默认情况下,身份服务组件 (Keystone) 不会将用户和组返回到默认域。以下过程可修改此默认配置,以确保具有管理特权的用户可以访问 LDAP 用户并将其分配到 OpenStack 中的角色。

开始之前

  • 确认您已成功部署 VMware Integrated OpenStack

  • 确认 VMware Integrated OpenStack 正在运行。

  • 确认已将 Active Directory 配置为 LDAP 后端。

过程

  1. 使用 SSH 登录到 VMware Integrated OpenStack 部署。

    此步骤因部署模式而异。

    • 如果您的部署使用紧凑模式,请登录到控制器节点。

    • 如果您的部署使用高可用性模式,请登录到负载平衡器节点。

  2. 切换到 root 用户。
    sudo su -
  3. 执行 cloudadmin_v3.rc 文件。
    $ source ~/cloudadmin_v3.rc
  4. 在 OpenStack 的默认域中创建初始项目。
    $ openstack --os-identity-api-version 3 --os-username admin \
           --os-user-domain-name local --os-project-name admin --os-password admin \
           --os-region-name nova project create --domain default --description "Demo Project" --or-show demo

    参数

    说明

    --os-identity-api-version 3

    指定 API 版本,在本例中为 3

    --os-username admin

    提供用于登录的管理用户名,在本例中为 admin

    --os-user-domain-name local

    为指定的用户指定域,在本例中为 local

    --os-project-name admin

    指定管理员 OpenStack 项目。

    --os-password admin

    提供用于登录的管理密码,在本例中为 admin

    --os-region-name nova project create

    运行 nova project create 命令。

    --domain default

    此命令用于指定创建新项目的域,在本例中为 default 域。

    --description "Demo Project"

    此参数用于为新项目命名,在本例中为 Demo Project

    --or-show demo

    为新项目创建别名。

  5. 将管理用户添加到默认域中的新项目。
    $ openstack --os-identity-api-version 3 --os-username admin \
           --os-user-domain-name local --os-project-name admin --os-password admin \
           --os-region-name nova role add --project demo --project-domain default \
           --user SOMEUSER@vmware.com --user-domain default admin

    参数

    说明

    --os-identity-api-version 3

    指定 API 版本,在本例中为 3

    --os-username admin

    提供用于登录的管理用户名,在本例中为 admin

    --os-user-domain-name local

    为指定的用户指定域,在本例中为 local

    --os-project-name admin

    指定管理员 OpenStack 项目。

    --os-password admin

    提供用于登录的管理密码,在本例中为 admin

    --os-region-name nova role add

    运行 nova role add 命令。

    --project demo

    指定要在其中添加新管理用户的项目。

    --project-domain default

    指定项目域。

    --user SOMEUSER@vmware.com

    指定新的管理用户。

    --user-domain default admin

    将新用户分配到默认管理域。

    注:

    如果在用户 ID 中使用了特殊字符,则必须在 VMware Integrated OpenStack 管理器中修改 Keystone 设置。

  6. (可选) : 如果在管理用户 ID 中使用了特殊字符,则必须在 VMware Integrated OpenStack 管理器中修改 Keystone 设置。
    1. 在 vCenter 的 VMware Integrated OpenStack 管理器中,转到管理 > 设置 > 配置标识源
    2. 单击编辑
    3. 在高级设置下,将用户 ID 值从 cn 修改为 userPrincipalName

    现在,您就可以使用管理用户名和密码登录到 VMware Integrated OpenStack 仪表板中的默认域了。