LDAP 認証を設定したり、既存の LDAP 設定を変更することができます。

VMware Integrated OpenStack は SQL に加えて、アイデンティティ ソースとして 1 つ以上のドメインをサポートします。ドメインの最大数は 10 です。

重要:

すべての LDAP 属性には、ASCII 文字のみを使用する必要があります。

前提条件

LDAP 管理者に連絡するか、ldapsearch や Apache Directory Studio などのツールを使用して、LDAP 設定の正しい値を取得します。

手順

  1. vSphere Client で、[メニュー] > [VMware Integrated OpenStack] の順に選択します。
  2. [OpenStack デプロイ] をクリックし、[管理] タブを開きます。
  3. [設定] タブで、[アイデンティティ ソースの構成] をクリックします。
  4. 新しい LDAP ソースを設定するには、[追加](プラス記号)アイコンを、既存の設定を変更するには、[編集](鉛筆)アイコンをクリックします。
  5. LDAP 設定を入力します。

    オプション

    説明

    Active Directory ドメイン名

    Active Directory の完全ドメイン名を指定します。

    Keystone ドメイン名

    Keystone ドメイン名を入力します。

    Keystone ドメインとして default または local を使用しないでください。

    バインド ユーザー

    LDAP 要求用に Active Directory にバインドするユーザー名を入力します。

    バインド パスワード

    LDAP クライアントから LDAP サーバにアクセスするためのパスワードを入力します。

    ドメイン コントローラ

    (オプション)ドメイン コントローラの IP アドレスを入力します。複数の場合はカンマで区切ります。

    ドメイン コントローラを指定しない場合は、VMware Integrated OpenStack により既存の Active Directory ドメイン コントローラが自動的に選択されます。

    サイト

    (オプション)組織内の特定のデプロイ サイトを入力して、LDAP 検索をそのサイトに制限します。

    ユーザー ツリー DN

    (オプション)ユーザーの検索ベースを入力します(例:DC=vmware、DC=com)。

    ほとんどの Active Directory デプロイでは、ユーザー ツリーの最上位がデフォルトで使用されます。

    ユーザー フィルタ

    (オプション)ユーザーの LDAP 検索フィルタを入力します。Active Directory ドメイン設定を確認して、nova、cinder など、OpenStack のサービス ユーザーと同じ名前のユーザーをフィルタリングします。

    重要:

    ディレクトリに 1,000 個を超えるオブジェクト(ユーザーとグループ)が含まれている場合、フィルタを適用して、返されるオブジェクトの数が 1,000 個を下回るようにする必要があります。フィルタの詳細については、https://docs.microsoft.com/en-us/windows/desktop/ADSI/search-filter-syntax を参照してください。

    グループ ツリー DN

    (オプション)グループの検索ベースを入力します。LDAP サフィックスがデフォルトで使用されます。

    グループ フィルタ

    (オプション)グループの LDAP 検索フィルタを入力します。

    LDAP 管理者ユーザー

    Keystone ID プロバイダが OpenLDAP と連携するように設定されている場合は、LDAP 管理者ユーザーを入力します。

    [詳細設定] チェックボックスを選択すると、追加の LDAP 設定フィールドが表示されます。

    オプション

    説明

    暗号化

    [なし][SSL]、または [StartTLS] を選択します。

    ホスト名

    LDAP サーバのホスト名を入力します。

    ポート

    LDAP サーバで使用するポート番号を入力します。

    ユーザー オブジェクト クラス

    (オプション)ユーザーの LDAP オブジェクト クラスを入力します。

    ユーザー ID 属性

    (オプション)ユーザー ID にマッピングされた LDAP 属性を入力します。この値を複数値属性にすることはできません。

    ユーザー名属性

    (オプション)ユーザー名にマッピングされた LDAP 属性を入力します。

    ユーザー メール属性

    (オプション)ユーザー E メールにマッピングされた LDAP 属性を入力します。

    ユーザー パスワード属性

    (オプション)パスワードにマッピングされた LDAP 属性を入力します。

    グループ オブジェクト クラス

    (オプション)グループの LDAP オブジェクト クラスを入力します。

    グループ ID 属性

    (オプション)グループ ID にマッピングされた LDAP 属性を入力します。

    グループ名属性

    (オプション)グループ名にマッピングされた LDAP 属性を入力します。

    グループ メンバー属性

    (オプション)グループ メンバー名にマッピングされた LDAP 属性を入力します。

    グループ説明属性

    (オプション)グループ説明にマッピングされた LDAP 属性を入力します。

  6. [検証] ボタンをクリックして設定を確認します。

    検証では、管理者ユーザーが存在すること、およびユーザー ツリーの識別名 (DN) とフィルタ検索でユーザーを使用できることを検証します。

  7. [OK] をクリックします。