LDAP 连接运行状况检查可以检查 Keystone 域中配置的所有 LDAP 连接。

症状

运行状况检查报告特定域的 detect ldap connection issue

解决方案

手动检查连接
  • 使用以下命令查找 LDAP 登录凭据:
    #viocli get keystone --spec
  • 收集以下 LDAP 相关值。
    spec:
  conf:
    ks_domains:
      ${reporetd_domain}
        ldap:
          url: ${ldap_url}
          user: ${ldap_user}
          password: ${ldap_encrypted_pwd}
          user_tree_dn: ${user_tree_dn}
          user_filter: ${user_filter}

解密密码

  • 将文件从 VMware Integrated OpenStack 管理复制到 keystone-api Pod 之一。
    # osctl get pod |grep keystone-api | tail -n 1
keystone-api-58b4d7dc48-np7jk                                     1/1     Running     0          6d18h
#osctl cp /opt/vmware/data/health-check/fernet_decrypt.py keystone-api-58b4d7dc48-np7jk:tmp/ -c keystone-api
  • 要获取纯文本 vCenter 密码,请运行以下命令:
    #osctl exec -it keystone-api-58b4d7dc48-np7jk -- bash -c "python /tmp/fernet_decrypt.py ${ldap_encrypted_pwd}"
  • 输出的最后一行是纯文本密码,即 ${ldap_pwd}
测试连接
  • keystone-api Pod 中运行 ldapsearch
    例如: 
    #osctl exec -it keystone-api-58b4d7dc48-np7jk -- bash -c "ldapsearch -o nettimeout=5 -x -w ${ldap_pwd} -D ${ldap_user} -H ${ldap_url} -b ${user_tree_dn} ${user_filter}"
    注: 将 参数替换为相应的值。

    如果 ldapsearch 命令失败,请检查 LDAP 服务器中的 LDAP 用户信息,并在 VMware Integrated OpenStack 中进行更新。

更新 LDAP 登录凭据

从管理 UI https://xxxxxxxx/ui/#/os/${your_os_deployment}/manage/setting/identity,检查 LDAP 登录凭据并确保它可以登录到 LDAP 服务器。

有关 vCenter 和 NSX 连接检查的详细信息,请参见 vCenter 连接检查NSX连接检查