[Comm] неправильный KVM?

[Sergey Vlasov]

On Mon, Apr 02, 2012 at 01:31:10PM +0300, adobrovolskii wrote:
> On Sun, Apr 1, 2012 at 9:24 PM, Sergey Vlasov <vsu на altlinux.ru> wrote:
> > Вообще же совершенно не обязательно запускать virt-* именно на той
> > машине, где фактически запущен libvirtd и создаются ВМ.
> Я про это постоянно слышу, но ничего не получается...
> У меня есть работающий ssh на сервер, но запустить туда virt-* не удается...
> Не работает это у меня на р6.

Нужно как минимум модифицировать /etc/libvirt/libvirtd.conf -
например, для разрешения доступа только членам группы vmusers:

unix_sock_group = "vmusers"
unix_sock_ro_perms = "0770"
unix_sock_rw_perms = "0770"
auth_unix_ro = "none"
auth_unix_rw = "none"

По умолчанию для аутентификации сейчас используется PolicyKit, который
не даст управлять libvirt через ssh-соединение.  При назначении прав
следует учитывать, что действия, доступные через libvirtd, могут
давать возможность получения прав root на хосте.

С такими настройками должны работать, например, команды вида

  virsh -c qemu+ssh://user@host/system

(часть "user@" указывать не обязательно, ":port" - нужно в случае
использования нестандартного порта, как указано в соседнем письме).
Для нормальной работы ещё требуется либо добавление ключей в ssh-agent
заранее, либо установленный x11-ssh-askpass (в этом случае возможна и
аутентификация по паролю, но для virt-manager и virt-viewer пароль
будет запрашиваться более одного раза).
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : отсутствует
Тип     : application/pgp-signature
Размер  : 198 байтов
Описание: Digital signature
Url     : <http://lists.altlinux.org/pipermail/community/attachments/20120403/3afdcb16/attachment.bin>