Configurar autenticación LDAP

Puede configurar la autenticación LDAP, agregar nuevos dominios o modificar la configuración de LDAP existente.

Importante: Todos los atributos de LDAP deben usar caracteres ASCII únicamente.

De forma predeterminada, VMware Integrated OpenStack se conecta con el servidor de LDAP mediante SSL en el puerto 636. Si esta configuración no es adecuada para el entorno, especifique el puerto y el protocolo correctos en Configuración avanzada.

Requisitos previos

Póngase en contacto con el administrador de LDAP para obtener la configuración de LDAP correcta para su entorno.
Si desea utilizar un nuevo dominio de Keystone para los usuarios de LDAP, cree el dominio en Keystone antes de continuar. Los dominios default, local y service no se pueden utilizar para LDAP.

Procedimiento

Inicie sesión en la interfaz web Integrated OpenStack Manager como el usuario de admin.
En Implementación de OpenStack, haga clic en el nombre de la implementación y abra la pestaña Administrar.
En la pestaña Configuración, haga clic en Configurar orígenes de identidad.
Haga clic en Agregar para configurar un nuevo origen de LDAP o en Editar para modificar una configuración existente.

Introduzca la configuración de LDAP.

Opción	Descripción
Nombre de dominio de Active Directory	Especifique el nombre de dominio completo de Active Directory.
Nombre de dominio de Keystone	Introduzca el nombre de dominio de Keystone para el origen de LDAP. Nota: No utilice `default`, `local` ni `service` como el dominio de Keystone. El dominio de Keystone no se puede cambiar después de que se haya agregado el origen de LDAP. Debe especificar un dominio de Keystone existente. Cree el dominio deseado antes de configurar la autenticación LDAP.
Usuario de enlace	Introduzca el nombre de usuario para el enlace con Active Directory para las solicitudes de LDAP.
Contraseña de enlace	Introduzca la contraseña del usuario de LDAP.
Controladores de dominio	(Opcional) Introduzca las direcciones IP de uno o varios controladores de dominio separadas por comas (,). Si no especifica ningún controlador de dominio, VMware Integrated OpenStack elegirá automáticamente un controlador de dominio de Active Directory existente.
Sitio	(Opcional) Introduzca un sitio de implementación específico dentro de la organización para limitar la búsqueda de LDAP a ese sitio.
Ámbito de la consulta	Seleccione SUB_TREE para consultar todos los objetos bajo el objeto base o ONE_LEVEL para consultar solo los elementos secundarios directos del objeto base.
DN de árbol de usuario	(Opcional) Introduzca la base de búsqueda para los usuarios (por ejemplo, `DC=ejemplo,DC=com`).
Filtro de usuario	(Opcional) Introduzca un filtro de búsqueda de LDAP para los usuarios. Importante: Si el directorio contiene más de 1.000 objetos (usuarios y grupos), debe aplicar un filtro para garantizar que se devuelvan menos de 1.000 objetos. Para obtener más información sobre filtros, consulte Sintaxis de los filtros de búsqueda en la documentación de Microsoft.
DN de árbol de grupo	(Opcional) Introduzca la base de búsqueda para los grupos. El sufijo LDAP se utiliza de forma predeterminada.
Filtro de grupo	(Opcional) Introduzca un filtro de búsqueda de LDAP para los grupos.
Usuario administrador de LDAP	Introduzca un usuario de LDAP para que actúe como administrador del dominio. Si especifica un usuario administrador de LDAP, el proyecto de `admin` se creará en el dominio de Keystone correspondiente a LDAP, y a este usuario se le asignará la función `admin` en ese proyecto. A continuación, el usuario puede iniciar sesión en Horizon y realizar otras operaciones en el dominio de Keystone para LDAP. Si no se especifica un usuario administrador de LDAP, se debe usar la interfaz de línea de comandos de OpenStack a fin de agregar un proyecto al dominio de Keystone para LDAP y asignar la función `admin` a un usuario de LDAP en ese proyecto.

(opcional) Active la casilla Configuración avanzada para mostrar campos de configuración de LDAP adicionales.

Opción	Descripción
Cifrado	Seleccione Ninguno, SSLo StartTLS.
Nombre de host	Introduzca el nombre del host del servidor LDAP. Se pueden suministrar varios servidores LDAP para proporcionar compatibilidad de alta disponibilidad para un único back-end de LDAP. Para especificar varios servidores LDAP, simplemente sepárelos mediante comas.
Puerto	Introduzca el número de puerto para usarlo en el servidor LDAP.
Atributo objectclass para usuario	(Opcional) Introduzca una clase de objeto LDAP para los usuarios. El valor predeterminado es `organizationalPerson`.
Atributo de identificador de usuario	(Opcional) Introduzca el atributo de LDAP asignado al identificador de usuario. Este valor no puede ser un atributo con varios valores. El valor predeterminado es `cn`.
Atributo de nombre de usuario	(Opcional) Introduzca el atributo de LDAP asignado al nombre de usuario. El valor predeterminado es `userPrincipalName`.
Atributo de correo de usuario	(Opcional) Introduzca el atributo de LDAP asignado al correo electrónico de usuario. El valor predeterminado es `mail`.
Atributo de contraseña de usuario	(Opcional) Introduzca el atributo de LDAP asignado a la contraseña. El valor predeterminado es `userPassword`.
Máscara de bits habilitada por el usuario	Introduzca la máscara de bits que determina el bit que indica que un usuario está habilitado. Este valor debe ser un número entero. Si no se utiliza ninguna máscara de bits, introduzca `0`. El valor predeterminado es `2`.
Atributo objectclass para grupo	(Opcional) Introduzca la clase de objeto de LDAP para grupos. El valor predeterminado es `group`.
Atributo de identificador de grupo	(Opcional) Introduzca el atributo de LDAP asignado al identificador de grupo. El valor predeterminado es `cn`.
Atributo de nombre de grupo	(Opcional) Introduzca el atributo de LDAP asignado al nombre de grupo. El valor predeterminado es `sAMAccountName`.
Atributo de miembro de grupo	(Opcional) Introduzca el atributo de LDAP asignado al nombre de miembro de grupo. El valor predeterminado es `member`.
Atributo de descripción de grupo	(Opcional) Introduzca el atributo de LDAP asignado a la descripción de grupo. El valor predeterminado es `description`.

Haga clic en Aceptar.
VMware Integrated OpenStack valida la configuración de LDAP especificada.
Una vez finalizada la validación, acepte el certificado de la columna CERT.
Haga clic en Configurar.
Si no especificó un usuario administrador de LDAP, configure un proyecto y un administrador para el dominio de Keystone correspondiente a LDAP.
1. Inicie sesión en Integrated OpenStack Manager como el usuario root y abra el cuadro de herramientas.
```
ssh root@mgmt-server-ip
toolbox
```
2. Cree un proyecto en el dominio de Keystone para LDAP.
```
openstack project create new-project --domain ldap-domain
```
3. En el dominio de Keystone para LDAP, asigne la función admin al usuario de LDAP.
```
openstack role add admin --user ldap-username --user-domain ldap-domain --domain ldap-domain
```
4. En el nuevo proyecto, asigne la función admin al usuario de LDAP.
```
openstack role add admin --user ldap-username --user-domain ldap-domain --project new-project --project-domain ldap-domain
```
5. Se pueden suministrar varios servidores LDAP a la URL para proporcionar compatibilidad de alta disponibilidad para un único back-end de LDAP. Para especificar varios servidores LDAP, simplemente cambie la opción url de la sección ldap a una lista separada por comas.
```
ldaps/ldap://ldap server1:636/389, ldaps/ldap://ldap backup:636/389
```

Resultados

La autenticación LDAP está configurada en la implementación de VMware Integrated OpenStack. Puede iniciar sesión en el panel de control de VMware Integrated OpenStack como el usuario administrador de LDAP que especificó durante la configuración.

Nota: Si necesita modificar la configuración de LDAP, debe utilizar la interfaz web de Integrated OpenStack Manager. No se admite la modificación de la configuración de LDAP a través de la línea de comandos.