您可以配置 LDAP 身份验证、添加新域,或修改现有的 LDAP 配置。

重要说明: 所有 LDAP 属性只能使用 ASCII 字符。

默认情况下,VMware Integrated OpenStack 通过端口 636 使用 SSL 与 LDAP 服务器连接。如果此配置不适合您的环境,请在高级设置下指定正确的端口和协议。

前提条件

  • 请与您的 LDAP 管理员联系,获取适用于您环境的正确 LDAP 设置。
  • 如果要为 LDAP 用户使用新的 Keystone 域,请先在 Keystone 中创建域,然后再继续操作。不能将域 defaultlocalservice 用于 LDAP。

过程

  1. admin 用户身份登录到 Integrated OpenStack Manager Web 界面。
  2. OpenStack 部署中,单击部署的名称,然后打开管理选项卡。
  3. 设置选项卡上,单击配置标识源
  4. 单击添加以配置新的 LDAP 源,或单击编辑以修改现有的配置。
  5. 输入 LDAP 配置。
    选项 说明

    Active Directory 域名

    指定完整的 Active Directory 域名。

    Keystone 域名

    输入 LDAP 源的 Keystone 域名。

    注:
    • 不要使用 defaultlocalservice 作为 Keystone 域。
    • 添加 LDAP 源后,无法更改 Keystone 域。
    • 必须指定现有的 Keystone 域。在配置 LDAP 身份验证之前,先创建所需的域。

    绑定用户

    输入要绑定到 LDAP 请求的 Active Directory 的用户名。

    绑定密码

    输入 LDAP 用户的密码。

    域控制器

    (可选)输入一个或多个域控制器的 IP 地址,用逗号 (,) 分隔。

    如果未指定域控制器,则 VMware Integrated OpenStack 会自动选择现有的 Active Directory 域控制器。

    站点

    (可选)输入您组织内的特定部署站点,将 LDAP 搜索限制到该站点。

    查询范围

    选择 SUB_TREE 可查询基本对象下的所有对象;选择 ONE_LEVEL 可仅查询基本对象的直接子对象。

    用户树 DN

    (可选)输入用户的搜索库(例如,DC=example,DC=com)。

    用户筛选器

    (可选)输入 LDAP 用户搜索筛选器。

    重要说明:

    如果您的目录包含的对象(用户和组)超过 1,000 个,则必须应用筛选器以确保返回的对象少于 1,000 个。

    有关筛选器的详细信息,请参见 Microsoft 文档中的搜索筛选器语法

    组树 DN

    (可选)输入组的搜索库。默认情况下使用 LDAP 后缀。

    组筛选器

    (可选)输入 LDAP 组搜索筛选器。

    LDAP 管理员用户

    输入 LDAP 用户以充当域的管理员。如果指定 LDAP 管理员用户,则将在 LDAP 的 Keystone 域中创建 admin 项目,并且将在该项目中为该用户分配 admin 角色。然后,此用户可以登录到 Horizon 并在 LDAP 的 Keystone 域中执行其他操作。

    如果不指定 LDAP 管理员用户,则必须使用 OpenStack 命令行界面向 LDAP 的 Keystone 域添加一个项目,并在该项目中向一个 LDAP 用户分配 admin 角色。
  6. (可选) 选中高级设置复选框,以显示其他 LDAP 配置字段。
    选项 说明

    加密

    选择SSLStartTLS

    主机名

    输入 LDAP 服务器的主机名。可以提供多个 LDAP 服务器,以便为单个 LDAP 后端提供高可用性支持。要指定多个 LDAP 服务器,只需使用逗号分隔即可。

    端口

    输入要在 LDAP 服务器上使用的端口号。

    用户对象类

    (可选)输入用户的 LDAP 对象类。默认值是 organizationalPerson

    用户 ID 属性

    (可选)输入映射到用户 ID 的 LDAP 属性。此值不能为多值属性。默认值是 cn

    用户名属性

    (可选)输入映射到用户名的 LDAP 属性。默认值是 userPrincipalName

    用户邮件属性

    (可选)输入映射到用户电子邮件的 LDAP 属性。默认值是 mail

    用户密码属性

    (可选)输入映射到密码的 LDAP 属性。默认值是 userPassword

    用户启用的位掩码

    输入用于确定哪个位指示已启用用户的位掩码。以整数形式输入此值。如果未使用位掩码,请输入 0。默认值是 2

    组对象类

    (可选)输入组的 LDAP 对象类。默认值是 group

    组 ID 属性

    (可选)输入映射到组 ID 的 LDAP 属性。默认值是 cn

    组名称属性

    (可选)输入映射到组名称的 LDAP 属性。默认值是 sAMAccountName

    组成员属性

    (可选)输入映射到组成员名称的 LDAP 属性。默认值是 member

    组描述属性

    (可选)输入映射到组描述的 LDAP 属性。默认值是 description
  7. 单击确定
    VMware Integrated OpenStack 将验证指定的 LDAP 配置。
  8. 验证成功后,接受 CERT 列中的证书。
  9. 单击配置
  10. 如果未指定 LDAP 管理员用户,请为 LDAP 的 Keystone 域配置项目和管理员。
    1. root 用户身份登录到 Integrated OpenStack Manager 并打开工具箱。 
      ssh root@mgmt-server-ip
toolbox
    2. 在 LDAP 的 Keystone 域中创建一个项目。 
      openstack project create new-project --domain ldap-domain
    3. 在 LDAP 的 Keystone 域中,将 admin 角色分配给该 LDAP 用户。 
      openstack role add admin --user ldap-username --user-domain ldap-domain --domain ldap-domain
    4. 在新项目中,将 admin 角色分配给该 LDAP 用户。 
      openstack role add admin --user ldap-username --user-domain ldap-domain --project new-project --project-domain ldap-domain
    5. 可以向 URL 提供多个 LDAP 服务器,以便为单个 LDAP 后端提供高可用性支持。要指定多个 LDAP 服务器,只需将 ldap 部分中的 URL 选项更改为列表并使用逗号分隔即可。 
      ldaps/ldap://ldap server1:636/389, ldaps/ldap://ldap backup:636/389

结果

VMware Integrated OpenStack 部署上配置 LDAP 身份验证。您可以使用配置过程中指定的 LDAP 管理员用户身份登录到 VMware Integrated OpenStack 仪表板。

注: 如果需要修改 LDAP 配置,则必须使用 Integrated OpenStack Manager Web 界面。不支持通过命令行修改 LDAP 配置。