Vous pouvez configurer l'authentification LDAP, ajouter de nouveaux domaines ou modifier votre configuration LDAP existante.

Important : Tous les attributs LDAP doivent utiliser uniquement des caractères ASCII.

Par défaut, VMware Integrated OpenStack se connecte à votre serveur LDAP via SSL sur le port 636. Si cette configuration n'est pas adaptée à votre environnement, spécifiez le port et le protocole appropriés sous Paramètres avancés.

Conditions préalables

  • Contactez votre administrateur LDAP pour obtenir les paramètres LDAP appropriés pour votre environnement.
  • Si vous souhaitez utiliser un nouveau domaine Keystone pour les utilisateurs LDAP, créez le domaine dans Keystone avant de continuer. Les domaines default, local et service ne peuvent pas être utilisés pour LDAP.

Procédure

  1. Connectez-vous à l'interface Web de Integrated OpenStack Manager en tant qu'utilisateur admin.
  2. Dans Déploiement OpenStack, cliquez sur le nom de votre déploiement et ouvrez l'onglet Gérer.
  3. Dans l'onglet Paramètres, cliquez sur Configurer les sources d'identité.
  4. Cliquez sur Ajouter pour configurer une nouvelle source LDAP ou sur Modifier pour modifier une configuration existante.
  5. Entrez votre configuration LDAP.
    Option Description

    Nom de domaine Active Directory

    Spécifiez le nom de domaine Active Directory complet.

    Nom de domaine Keystone

    Entrez le nom de domaine Keystone pour la source LDAP.

    Note :
    • N'utilisez pas default, local ou service comme domaine Keystone.
    • Le domaine Keystone ne peut pas être modifié après l'ajout de la source LDAP.
    • Vous devez spécifier un domaine Keystone existant. Créez le domaine de votre choix avant de configurer l'authentification LDAP.

    Relier l'utilisateur

    Entrez le nom d'utilisateur à relier à Active Directory pour les demandes LDAP.

    Relier le mot de passe

    Entrez le mot de passe de l'utilisateur LDAP.

    Contrôleurs de domaine

    (Facultatif) Entrez les adresses IP d'un ou de plusieurs contrôleurs de domaine, séparées par des virgules (,).

    Si vous ne spécifiez pas de contrôleur de domaine, VMware Integrated OpenStack choisit automatiquement un contrôleur de domaine Active Directory existant.

    Site

    (Facultatif) Entrez un site de déploiement spécifique au sein de votre organisation pour limiter la recherche LDAP à ce site.

    Portée de la requête

    Sélectionnez SUB_TREE pour interroger tous les objets sous l'objet de base ou ONE_LEVEL afin d'interroger uniquement les enfants directs de l'objet de base.

    Nom unique de l'arborescence d'utilisateurs

    (Facultatif) Entrez la base de recherche des utilisateurs (par exemple, DC=example,DC=com).

    Filtre Utilisateur

    (Facultatif) Entrez un filtre de recherche LDAP pour les utilisateurs.

    Important :

    Si votre répertoire contient plus de 1 000 objets (utilisateurs et groupes), vous devez appliquer un filtre pour vous assurer que moins de 1 000 objets sont retournés.

    Pour plus d'informations sur les filtres, reportez-vous à la section « Syntaxe du filtre de recherche » dans la documentation de Microsoft à l'adresse https://docs.microsoft.com/en-us/windows/win32/adsi/search-filter-syntax.

    Nom unique de l'arborescence de groupes

    (Facultatif) Entrez la base de recherche pour les groupes. Le suffixe LDAP est utilisé par défaut.

    Filtre de groupe

    (Facultatif) Entrez un filtre de recherche LDAP pour les groupes.

    Utilisateur Admin LDAP

    Entrez un utilisateur LDAP qui sera défini en tant qu'administrateur pour le domaine. Si vous spécifiez un utilisateur Admin LDAP, le projet admin est créé dans le domaine Keystone pour LDAP et cet utilisateur se voit attribuer le rôle admin dans ce projet. Cet utilisateur peut alors se connecter à Horizon et effectuer d'autres opérations dans le domaine Keystone pour LDAP.

    Si vous ne spécifiez pas d'utilisateur Admin LDAP, vous devez utiliser l'interface de ligne de commande OpenStack pour ajouter un projet au domaine Keystone pour LDAP et attribuer le rôle admin à un utilisateur LDAP dans ce projet.

  6. (Facultatif) Cochez la case Paramètres avancés pour afficher d'autres champs de configuration LDAP.
    Option Description

    Chiffrement

    Sélectionnez Aucun, SSL ou StartTLS.

    Nom d'hôte

    Entrez le nom d'hôte du serveur LDAP. Plusieurs serveurs LDAP peuvent être fournis pour permettre une prise en charge de la haute disponibilité pour un serveur principal LDAP unique. Pour spécifier plusieurs serveurs LDAP, séparez-les simplement par des virgules.

    Port

    Entrez le numéro de port à utiliser sur le serveur LDAP.

    Classe d'objet d'utilisateur

    (Facultatif) Entrez une classe d'objet LDAP pour les utilisateurs. La valeur par défaut est organizationalPerson.

    Attribut ID d'utilisateur

    (Facultatif) Entrez l'attribut LDAP mappé sur l'ID d'utilisateur. Notez qu'il ne peut pas s'agir d'un attribut à plusieurs valeurs. La valeur par défaut est cn.

    Attribut Nom d'utilisateur

    (Facultatif) Entrez l'attribut LDAP mappé sur le nom d'utilisateur. La valeur par défaut est userPrincipalName.

    Attribut E-mail d'utilisateur

    (Facultatif) Entrez l'attribut LDAP mappé sur l'e-mail d'utilisateur. La valeur par défaut est mail.

    Attribut Mot de passe d'utilisateur

    (Facultatif) Entrez l'attribut LDAP mappé sur le mot de passe. La valeur par défaut est userPassword.

    Masque activé par l'utilisateur

    Entrez le masque de bits qui détermine quel bit indique qu'un utilisateur est activé. Entrez cette valeur sous la forme d'un nombre entier. Si aucun masque de bits n'est utilisé, entrez 0. La valeur par défaut est 2.

    Classe d'objet de groupe

    (Facultatif) Entrez la classe d'objet LDAP pour les groupes. La valeur par défaut est group.

    Attribut ID de groupe

    (Facultatif) Entrez l'attribut LDAP mappé sur l'ID de groupe. La valeur par défaut est cn.

    Attribut Nom de groupe

    (Facultatif) Entrez l'attribut LDAP mappé sur le nom de groupe. La valeur par défaut est sAMAccountName.

    Attribut Membre de groupe

    (Facultatif) Entrez l'attribut LDAP mappé sur le nom de membre de groupe. La valeur par défaut est member.

    Attribut Description de groupe

    (Facultatif) Entrez l'attribut LDAP mappé sur la description de groupe. La valeur par défaut est description.

  7. Cliquez sur OK.
    VMware Integrated OpenStack valide la configuration LDAP spécifiée.
  8. Une fois la validation effectuée, acceptez le certificat dans la colonne CERT.
  9. Cliquez sur Configurer.
  10. Si vous n'avez pas spécifié d'utilisateur Admin LDAP, configurez un projet et un administrateur pour le domaine Keystone pour LDAP.
    1. Connectez-vous à Integrated OpenStack Manager en tant qu'utilisateur root et ouvrez la boîte à outils.
      ssh root@mgmt-server-ip
      toolbox
    2. Créez un projet dans le domaine Keystone pour LDAP.
      openstack project create new-project --domain ldap-domain
    3. Dans le domaine Keystone pour LDAP, attribuez le rôle admin à l'utilisateur LDAP.
      openstack role add admin --user ldap-username --user-domain ldap-domain --domain ldap-domain
    4. Dans le nouveau projet, attribuez le rôle admin à l'utilisateur LDAP.
      openstack role add admin --user ldap-username --user-domain ldap-domain --project new-project --project-domain ldap-domain
    5. Plusieurs serveurs LDAP peuvent être fournis à l'URL pour permettre une prise en charge de la haute disponibilité pour un serveur principal LDAP unique. Pour spécifier plusieurs serveurs LDAP, modifiez simplement l'option appliquée aux URL dans la section ldap en choisissant une liste séparée par des virgules.
      ldaps/ldap://ldap server1:636/389, ldaps/ldap://ldap backup:636/389

Résultats

L'authentification LDAP est configurée sur votre déploiement VMware Integrated OpenStack. Vous pouvez vous connecter au tableau de bord VMware Integrated OpenStack en tant que l'utilisateur Admin LDAP que vous avez spécifié lors de la configuration.

Note : S'il faut modifier votre configuration LDAP, vous devez utiliser l'interface Web de Integrated OpenStack Manager. La modification de la configuration LDAP sur la ligne de commande n'est pas prise en charge.