La comprobación de estado de la conectividad LDAP puede verificar todas las conexiones LDAP configuradas en dominios de Keystone.

Síntomas

La comprobación de estado notifica detect ldap connection issue en ciertos dominios.

Solución

Compruebe la conexión manualmente
  • Busque las credenciales de inicio de sesión LDAP con los siguientes comandos:
    #viocli get keystone --spec
  • Recopile los siguientes valores relacionados con LDAP.
    spec:
  conf:
    ks_domains:
      ${reporetd_domain}
        ldap:
          url: ${ldap_url}
          user: ${ldap_user}
          password: ${ldap_encrypted_pwd}
          user_tree_dn: ${user_tree_dn}
          user_filter: ${user_filter}

Descifrar contraseña

  • Copie el archivo de la administración de VMware Integrated OpenStack a uno de los pod keystone-api.
    # osctl get pod |grep keystone-api | tail -n 1
keystone-api-58b4d7dc48-np7jk                                     1/1     Running     0          6d18h
#osctl cp /opt/vmware/data/health-check/fernet_decrypt.py keystone-api-58b4d7dc48-np7jk:tmp/ -c keystone-api
  • Para obtener la contraseña de vCenter de texto sin formato, ejecute el siguiente comando:
    #osctl exec -it keystone-api-58b4d7dc48-np7jk -- bash -c "python /tmp/fernet_decrypt.py ${ldap_encrypted_pwd}"
  • La última línea del resultado es la contraseña de texto sin formato, ${ldap_pwd}.
Pruebe la conexión
  • Ejecute ldapsearch en un pod keystone-api.
    Por ejemplo: 
    #osctl exec -it keystone-api-58b4d7dc48-np7jk -- bash -c "ldapsearch -o nettimeout=5 -x -w ${ldap_pwd} -D ${ldap_user} -H ${ldap_url} -b ${user_tree_dn} ${user_filter}"
    Nota: Reemplace el parámetro por los valores correspondientes.

    Si se produce un error en el comando ldapsearch, compruebe la información del usuario LDAP en el servidor LDAP y actualícela en VMware Integrated OpenStack.

Actualizar información confidencial de inicio de sesión LDAP

Desde la interfaz de usuario de administración https://xxxxxxxx/ui/#/os/${su_implementación_de_so}/manage/setting/identity, compruebe las credenciales de inicio de sesión de LDAP y asegúrese de que puede iniciar sesión en el servidor LDAP.

Para obtener más información sobre la comprobación de conexión de vCenter y NSX, consulte Comprobación de conexión de vCenter y Comprobación de conexión de NSX.