LDAP 認証の設定、新しいドメインの追加、既存の LDAP 設定の変更を実行できます。

重要: すべての LDAP 属性には、ASCII 文字のみを使用する必要があります。

デフォルトでは、VMware Integrated OpenStack から LDAP サーバへの接続にはポート 636 で SSL が使用されます。この設定が環境に適していない場合は、[詳細設定] で正しいポートとプロトコルを指定します。

前提条件

  • 現在の環境に適した LDAP 設定を取得するには、LDAP 管理者にお問い合わせください。
  • LDAP ユーザーに対して新しい Keystone ドメインを使用する場合は、続行する前に Keystone でドメインを作成します。ドメイン defaultlocalservice は、LDAP では使用できません。

手順

  1. Integrated OpenStack Manager Web インターフェイスに admin ユーザーとしてログインします。
  2. [OpenStack デプロイ] で、デプロイの名前をクリックし、[管理] タブを開きます。
  3. [設定] タブで、[ID ソースの構成] をクリックします。
  4. [追加] をクリックして新しい LDAP ソースを設定するか、[編集] をクリックして既存の設定を変更します。
  5. LDAP 設定を入力します。
    オプション 説明

    [Active Directory ドメイン名]

    Active Directory の完全ドメイン名を指定します。

    [Keystone ドメイン名]

    LDAP ソースの Keystone ドメイン名を入力します。

    注:
    • Keystone ドメインとして defaultlocalservice は使用しないでください。
    • Keystone ドメインは、LDAP ソースを追加した後では変更できません。
    • 既存の Keystone ドメインを指定する必要があります。LDAP 認証を構成する前に、目的のドメインを作成します。

    [バインド ユーザー]

    LDAP 要求用に Active Directory にバインドするユーザー名を入力します。

    [バインド パスワード]

    LDAP ユーザーのパスワードを入力します。

    [ドメイン コントローラ]

    (オプション)ドメイン コントローラの IP アドレスを入力します。複数の場合はカンマで区切ります。

    ドメイン コントローラを指定しない場合は、VMware Integrated OpenStack により既存の Active Directory ドメイン コントローラが自動的に選択されます。

    [サイト]

    (オプション)組織内の特定のデプロイ サイトを入力して、LDAP 検索をそのサイトに制限します。

    [クエリの範囲]

    ベース オブジェクトの下にあるすべてのオブジェクトに対してクエリを実行するには [SUB_TREE] を、ベース オブジェクトの直接の子のみに対してクエリを実行するには [ONE_LEVEL ] を選択します。

    [ユーザー ツリー DN]

    (オプション)ユーザーの検索ベースを入力します(例:DC=example,DC=com)。

    [ユーザー フィルタ]

    (オプション)ユーザーの LDAP 検索フィルタを入力します。

    重要:

    ディレクトリに 1,000 個を超えるオブジェクト(ユーザーとグループ)が含まれている場合、フィルタを適用して、返されるオブジェクトの数が 1,000 個を下回るようにする必要があります。

    フィルタの詳細については、Microsoft のドキュメントでSearch Filter Syntaxを参照してください。

    [グループ ツリー DN]

    (オプション)グループの検索ベースを入力します。LDAP サフィックスがデフォルトで使用されます。

    [グループ フィルタ]

    (オプション)グループの LDAP 検索フィルタを入力します。

    [LDAP 管理者ユーザー]

    ドメインの管理者となる LDAP ユーザーを入力します。LDAP 管理者ユーザーを指定した場合、admin プロジェクトが LDAP 用の Keystone ドメイン内に作成され、そのユーザーにはプロジェクトの admin ロールが割り当てられます。その後、このユーザーは Horizon にログインし、Keystone ドメインで LDAP に関する他の操作を実行できます。

    LDAP 管理者ユーザーを指定しない場合は、OpenStack のコマンドライン インターフェイスを使用して、LDAP 用の Keystone ドメインにプロジェクトを追加し、そのプロジェクトの LDAP ユーザーに admin ロールを割り当てる必要があります。

  6. (オプション) [詳細設定] チェックボックスを選択して、追加の LDAP 設定フィールドを表示します。
    オプション 説明

    [暗号化]

    [なし][SSL]、または [StartTLS] を選択します。

    [ホスト名]

    LDAP サーバのホスト名を入力します。

    [ポート]

    LDAP サーバで使用するポート番号を入力します。

    [ユーザー オブジェクト クラス]

    (オプション)ユーザーの LDAP オブジェクト クラスを入力します。デフォルト値は organizationalPerson です。

    [ユーザー ID 属性]

    (オプション)ユーザー ID にマッピングされた LDAP 属性を入力します。この値を複数値属性にすることはできません。デフォルト値は cn です。

    [ユーザー名属性]

    (オプション)ユーザー名にマッピングされた LDAP 属性を入力します。デフォルト値は userPrincipalName です。

    [ユーザー メール属性]

    (オプション)ユーザー E メールにマッピングされた LDAP 属性を入力します。デフォルト値は mail です。

    [ユーザー パスワード属性]

    (オプション)パスワードにマッピングされた LDAP 属性を入力します。デフォルト値は userPassword です。

    [ユーザーが有効にしたビットマスク]

    ユーザーが有効になっていることをどのビットが示すかを決定するビットマスクを入力します。この値は整数で入力します。ビットマスクを使用しない場合は、0 と入力します。デフォルト値は 2 です。

    [グループ オブジェクト クラス]

    (オプション)グループの LDAP オブジェクト クラスを入力します。デフォルト値は group です。

    [グループ ID 属性]

    (オプション)グループ ID にマッピングされた LDAP 属性を入力します。デフォルト値は cn です。

    [グループ名属性]

    (オプション)グループ名にマッピングされた LDAP 属性を入力します。デフォルト値は sAMAccountName です。

    [グループ メンバー属性]

    (オプション)グループ メンバー名にマッピングされた LDAP 属性を入力します。デフォルト値は member です。

    [グループ説明属性]

    (オプション)グループ説明にマッピングされた LDAP 属性を入力します。デフォルト値は description です。

  7. [OK] をクリックします。
    指定された LDAP 設定が VMware Integrated OpenStack によって検証されます。
  8. 検証が成功したら、[CERT] 列の証明書を受け入れます。
  9. [構成] をクリックします。
  10. LDAP 管理者ユーザーを指定していない場合は、LDAP 用の Keystone ドメインにプロジェクトと管理者を設定します。
    1. root ユーザーとして Integrated OpenStack Manager にログインし、ツールボックスを開きます。
      ssh root@mgmt-server-ip
      toolbox
    2. LDAP 用の Keystone ドメイン内にプロジェクトを作成します。
      openstack project create new-project --domain ldap-domain
    3. 新しいプロジェクトに LDAP ユーザーを追加します。
      openstack user set ldap-username --domain ldap-domain --project new-project --project-domain ldap-domain
    4. LDAP 用の Keystone ドメインで、LDAP ユーザーに admin ロールを割り当てます。
      openstack role add admin --user ldap-username --user-domain ldap-domain --domain ldap-domain
    5. 新しいプロジェクトで、LDAP ユーザーに admin ロールを割り当てます。
      openstack role add admin --user ldap-username --user-domain ldap-domain --project new-project --project-domain ldap-domain

結果

VMware Integrated OpenStack デプロイで LDAP 認証が構成されます。VMware Integrated OpenStack ダッシュボードには、構成時に指定した LDAP 管理者ユーザーとしてログインできます。

注: LDAP 構成を変更する必要がある場合は、 Integrated OpenStack Manager Web インターフェイスを使用する必要があります。コマンドラインによる LDAP 構成の変更はサポートされていません。