Sie können LDAP-Authentifizierung konfigurieren, neue Domänen hinzufügen oder Ihre vorhandene LDAP-Konfiguration ändern.

Wichtig: Alle LDAP-Attribute dürfen nur ASCII-Zeichen verwenden.

Standardmäßig stellt VMware Integrated OpenStack mithilfe von SSL auf Port 636 eine Verbindung mit Ihrem LDAP-Server her. Wenn diese Konfiguration für Ihre Umgebung nicht geeignet ist, geben Sie den korrekten Port und das korrekte Protokoll unter Erweiterte Einstellungen an.

Voraussetzungen

  • Wenden Sie sich an Ihren LDAP-Administrator, um die korrekten LDAP-Einstellungen für Ihre Umgebung zu erhalten.
  • Wenn Sie eine neue Keystone-Domäne für LDAP-Benutzer verwenden möchten, erstellen Sie die Domäne in Keystone, bevor Sie fortfahren. Die Domänen default, local und service können nicht für LDAP verwendet werden.

Prozedur

  1. Melden Sie sich bei der Webschnittstelle für Integrated OpenStack Manager an und wechseln Sie zum admin-Benutzer.
  2. Klicken Sie in OpenStack-Bereitstellung auf den Namen Ihrer Bereitstellung und öffnen Sie die Registerkarte Verwalten.
  3. Klicken Sie auf der Registerkarte Einstellungen auf Identitätsquellen konfigurieren.
  4. Klicken Sie auf Hinzufügen, um eine neue LDAP-Quelle zu konfigurieren, oder auf Bearbeiten, um eine vorhandene Konfiguration zu ändern.
  5. Geben Sie Ihre LDAP-Konfiguration ein.
    Option Beschreibung

    Active Directory-Domänenname

    Geben Sie den vollständigen Domänennamen für Active Directory an.

    Keystone-Domänenname

    Geben Sie den Keystone-Domänennamen für die LDAP-Quelle ein.

    Hinweis:
    • Verwenden Sie default, local und service nicht als Keystone-Domäne.
    • Die Keystone-Domäne kann nicht geändert werden, nachdem die LDAP-Quelle hinzugefügt wurde.
    • Sie müssen eine vorhandene Keystone-Domäne angeben. Erstellen Sie die gewünschte Domäne, bevor Sie die LDAP-Authentifizierung konfigurieren.

    Bind-Benutzer

    Geben Sie den Benutzernamen ein, um ihn für LDAP-Anforderungen an Active Directory zu binden.

    Bind-Kennwort

    Geben Sie das Kennwort für den LDAP-Benutzer ein.

    Domänencontroller

    (Optional) Geben Sie die IP-Adresse eines oder mehrerer Domänencontroller durch Kommas getrennt ein (,).

    Wenn Sie keinen Domänencontroller angeben, wählt VMware Integrated OpenStack automatisch einen vorhandenen Active Directory-Domänencontroller aus.

    Site

    (Optional) Geben Sie eine bestimmte Bereitstellungssite in Ihrem Unternehmen ein, um die LDAP-Suche auf diese Site zu begrenzen.

    Abfragebereich

    Wählen Sie SUB_TREE, um alle Objekte unter dem Basisobjekt abzufragen, oder ONE_LEVEL aus, um nur die dem Basisobjekt direkt untergeordneten Elemente abzufragen.

    DN der Benutzerstruktur

    (Optional) Geben Sie die Suchbasis für Benutzer ein (z. B. DC=example,DC=com).

    Benutzerfilter

    (Optional) Geben Sie einen LDAP-Suchfilter für Benutzer ein.

    Wichtig:

    Wenn Ihr Verzeichnis mehr als 1.000 Objekte (Benutzer und Gruppen) enthält, müssen Sie einen Filter anwenden, um sicherzustellen, dass weniger als 1.000 Objekte zurückgegeben werden.

    Weitere Informationen zu Filtern finden Sie in der Microsoft-Dokumentation unter Suchfiltersyntax.

    DN der Gruppenstruktur

    (Optional) Geben Sie die Suchbasis für Gruppen ein. Das LDAP-Suffix wird standardmäßig verwendet.

    Gruppenfilter

    (Optional) Geben Sie einen LDAP-Suchfilter für Gruppen ein.

    LDAP-Admin-Benutzer

    Geben Sie einen LDAP-Benutzer ein, der als Administrator für die Domäne fungieren soll. Wenn Sie einen LDAP-Admin-Benutzer angeben, wird das admin-Projekt in der Keystone-Domäne für LDAP erstellt, und dem Benutzer wird die admin-Rolle in diesem Projekt zugewiesen. Dieser Benutzer kann sich dann bei Horizon anmelden und andere Vorgänge in der Keystone-Domäne für LDAP durchführen.

    Wenn Sie keinen LDAP-Admin-Benutzer angeben, müssen Sie die OpenStack-Befehlszeilenschnittstelle verwenden, um der Keystone-Domäne für LDAP ein Projekt hinzuzufügen und die admin-Rolle einem LDAP-Benutzer in diesem Projekt zuzuweisen.

  6. (Optional) Wählen Sie das Kontrollkästchen Erweiterte Einstellungen aus, um zusätzliche Felder für die LDAP-Konfiguration anzuzeigen.
    Option Beschreibung

    Verschlüsselung

    Wählen Sie Keine, SSL oder StartTLS.

    Hostname

    Geben Sie den Hostnamen des LDAP-Servers ein. Zur Unterstützung von Hochverfügbarkeit für ein einzelnes LDAP-Backend können mehrere LDAP-Server bereitgestellt werden. Zur Angabe mehrerer LDAP-Server trennen Sie sie einfach durch Kommas.

    Port

    Geben Sie die Portnummer für den LDAP-Server ein.

    Benutzerobjektklasse

    (Optional) Geben Sie die LDAP-Objektklasse für Benutzer ein. Der Standardwert lautet organizationalPerson.

    Attribut der Benutzer-ID

    (Optional) Geben Sie das LDAP-Attribut ein, das der Benutzer-ID zugewiesen ist. Dieser Wert darf kein Attribut mit mehreren Werten sein. Der Standardwert lautet cn.

    Attribut des Benutzernamens

    (Optional) Geben Sie das LDAP-Attribut ein, das dem Benutzernamen zugewiesen ist. Der Standardwert lautet userPrincipalName.

    Attribut der Benutzer-E-Mail

    (Optional) Geben Sie das LDAP-Attribut ein, das der Benutzer-E-Mail-Adresse zugewiesen ist. Der Standardwert lautet mail.

    Attribut des Benutzerkennworts

    (Optional) Geben Sie das LDAP-Attribut ein, das dem Kennwort zugewiesen ist. Der Standardwert lautet userPassword.

    Bitmaske für aktivierte Benutzer

    Geben Sie die Bitmaske zur Bestimmung des Bits ein, das den aktivierten Benutzer angibt. Geben Sie diesen Wert als Ganzzahl ein. Wenn keine Bitmaske verwendet wird, geben Sie 0 ein. Der Standardwert lautet 2.

    Gruppenobjektklasse

    (Optional) Geben Sie die LDAP-Objektklasse für Gruppen ein. Der Standardwert lautet group.

    Attribut der Gruppen-ID

    (Optional) Geben Sie das LDAP-Attribut ein, das der Gruppen-ID zugewiesen ist. Der Standardwert lautet cn.

    Attribut des Gruppennamens

    (Optional) Geben Sie das LDAP-Attribut ein, das dem Gruppennamen zugewiesen ist. Der Standardwert lautet sAMAccountName.

    Attribut der Gruppenmitglieder

    (Optional) Geben Sie das LDAP-Attribut ein, das dem Namen des Gruppenmitglieds zugewiesen ist. Der Standardwert lautet member.

    Attribut der Gruppenbeschreibung

    (Optional) Geben Sie das LDAP-Attribut ein, das der Gruppenbeschreibung zugewiesen ist. Der Standardwert lautet description.

  7. Klicken Sie auf OK.
    VMware Integrated OpenStack validiert die angegebene LDAP-Konfiguration.
  8. Akzeptieren Sie nach erfolgreicher Validierung das Zertifikat in der Spalte CERT.
  9. Klicken Sie auf Konfigurieren.
  10. Wenn Sie keinen LDAP-Admin-Benutzer angegeben haben, konfigurieren Sie ein Projekt und einen Administrator für die Keystone-Domäne für LDAP.
    1. Melden Sie sich beim Integrated OpenStack Manager als root-Benutzer an und öffnen Sie die Toolbox.
      ssh root@mgmt-server-ip
      toolbox
    2. Erstellen Sie ein Projekt in der Keystone-Domäne für LDAP.
      openstack project create new-project --domain ldap-domain
    3. Weisen Sie in der Keystone-Domäne für LDAP dem LDAP-Benutzer die admin-Rolle zu.
      openstack role add admin --user ldap-username --user-domain ldap-domain --domain ldap-domain
    4. Weisen Sie im neuen Projekt dem LDAP-Benutzer die admin-Rolle zu.
      openstack role add admin --user ldap-username --user-domain ldap-domain --project new-project --project-domain ldap-domain
    5. Zur Unterstützung von Hochverfügbarkeit für ein einzelnes LDAP-Backend können der URL mehrere LDAP-Server bereitgestellt werden. Zur Angabe mehrerer LDAP-Server ändern Sie einfach die URL-Option im Abschnitt ldap in eine durch Kommas getrennte Liste.
      ldaps/ldap://ldap server1:636/389, ldaps/ldap://ldap backup:636/389

Ergebnisse

Die LDAP-Authentifizierung ist auf Ihrer VMware Integrated OpenStack-Bereitstellung konfiguriert. Sie können sich beim VMware Integrated OpenStack-Dashboard als der LDAP-Admin-Benutzer anmelden, den Sie während der Konfiguration angegeben haben.

Hinweis: Wenn Sie Ihre-LDAP-Konfiguration ändern müssen, müssen Sie die Integrated OpenStack Manager-Webschnittstelle verwenden. Das Ändern der LDAP-Konfiguration über die Befehlszeile wird nicht unterstützt.