LDAP 認証の構成、新しいドメインの追加、既存の LDAP 構成の変更を実行できます。
デフォルトでは、VMware Integrated OpenStack から LDAP サーバへの接続にはポート 636 で SSL が使用されます。この設定が環境に適していない場合は、[詳細設定] で正しいポートとプロトコルを指定します。
前提条件
- 現在の環境に適した LDAP 設定を取得するには、LDAP 管理者にお問い合わせください。
- LDAP ユーザーに対して新しい Keystone ドメインを使用する場合は、続行する前に Keystone でドメインを作成します。ドメイン
default、local、serviceは、LDAP では使用できません。
手順
- Integrated OpenStack Manager Web インターフェイスに
adminユーザーとしてログインします。 - [OpenStack デプロイ] で、デプロイの名前をクリックし、[管理] タブを開きます。
- [設定] タブで、[ID ソースの構成] をクリックします。
- [追加] をクリックして新しい LDAP ソースを構成するか、[編集] をクリックして既存の構成を変更します。
- LDAP 構成を入力します。
オプション 説明 [Active Directory ドメイン名]
Active Directory の完全ドメイン名を指定します。
[Keystone ドメイン名]
LDAP ソースの Keystone ドメイン名を入力します。
注:- Keystone ドメインとして
default、local、serviceは使用しないでください。 - Keystone ドメインは、LDAP ソースを追加した後では変更できません。
- 既存の Keystone ドメインを指定する必要があります。LDAP 認証を構成する前に、目的のドメインを作成します。
[バインド ユーザー]
LDAP 要求用に Active Directory にバインドするユーザー名を入力します。
[バインド パスワード]
LDAP ユーザーのパスワードを入力します。
[ドメイン コントローラ]
(オプション)ドメイン コントローラの IP アドレスを入力します。複数の場合はカンマで区切ります。
ドメイン コントローラを指定しない場合は、VMware Integrated OpenStack により既存の Active Directory ドメイン コントローラが自動的に選択されます。
[サイト]
(オプション)組織内の特定のデプロイ サイトを入力して、LDAP 検索をそのサイトに制限します。
[クエリの範囲]
ベース オブジェクトの下にあるすべてのオブジェクトに対してクエリを実行するには [SUB_TREE] を、ベース オブジェクトの直接の子のみに対してクエリを実行するには [ONE_LEVEL ] を選択します。
[ユーザー ツリー DN]
(オプション)ユーザーの検索ベースを入力します(例:DC=example,DC=com)。
[ユーザー フィルタ]
(オプション)ユーザーの LDAP 検索フィルタを入力します。
重要:ディレクトリに 1,000 個を超えるオブジェクト(ユーザーとグループ)が含まれている場合、フィルタを適用して、返されるオブジェクトの数が 1,000 個を下回るようにする必要があります。
フィルタの詳細については、Microsoft のドキュメントでSearch Filter Syntaxを参照してください。
[グループ ツリー DN]
(オプション)グループの検索ベースを入力します。LDAP サフィックスがデフォルトで使用されます。
[グループ フィルタ]
(オプション)グループの LDAP 検索フィルタを入力します。
[LDAP 管理者ユーザー]
ドメインの管理者となる LDAP ユーザーを入力します。LDAP 管理者ユーザーを指定した場合、
adminプロジェクトが LDAP 用の Keystone ドメイン内に作成され、そのユーザーにはプロジェクトのadminロールが割り当てられます。その後、このユーザーは Horizon にログインし、Keystone ドメインで LDAP に関する他の操作を実行できます。LDAP 管理者ユーザーを指定しない場合は、OpenStack のコマンドライン インターフェイスを使用して、LDAP 用の Keystone ドメインにプロジェクトを追加し、そのプロジェクトの LDAP ユーザーに
adminロールを割り当てる必要があります。 - Keystone ドメインとして
- (オプション) [詳細設定] チェックボックスを選択して、追加の LDAP 構成フィールドを表示します。
オプション 説明 [暗号化]
[なし]、[SSL]、または [StartTLS] を選択します。
[ホスト名]
LDAP サーバのホスト名を入力します。複数の LDAP サーバを指定して、単一の LDAP バックエンドで高可用性をサポートすることができます。複数の LDAP サーバを指定する場合は、カンマで区切ります。
[ポート]
LDAP サーバで使用するポート番号を入力します。
[ユーザー オブジェクト クラス]
(オプション)ユーザーの LDAP オブジェクト クラスを入力します。デフォルト値は
organizationalPersonです。[ユーザー ID 属性]
(オプション)ユーザー ID にマッピングされた LDAP 属性を入力します。この値を複数値属性にすることはできません。デフォルト値は
cnです。[ユーザー名属性]
(オプション)ユーザー名にマッピングされた LDAP 属性を入力します。デフォルト値は
userPrincipalNameです。[ユーザー メール属性]
(オプション)ユーザー E メールにマッピングされた LDAP 属性を入力します。デフォルト値は
mailです。[ユーザー パスワード属性]
(オプション)パスワードにマッピングされた LDAP 属性を入力します。デフォルト値は
userPasswordです。[ユーザーが有効にしたビットマスク]
ユーザーが有効になっていることをどのビットが示すかを決定するビットマスクを入力します。この値は整数で入力します。ビットマスクを使用しない場合は、
0と入力します。デフォルト値は2です。[グループ オブジェクト クラス]
(オプション)グループの LDAP オブジェクト クラスを入力します。デフォルト値は
groupです。[グループ ID 属性]
(オプション)グループ ID にマッピングされた LDAP 属性を入力します。デフォルト値は
cnです。[グループ名属性]
(オプション)グループ名にマッピングされた LDAP 属性を入力します。デフォルト値は
sAMAccountNameです。[グループ メンバー属性]
(オプション)グループ メンバー名にマッピングされた LDAP 属性を入力します。デフォルト値は
memberです。[グループ説明属性]
(オプション)グループ説明にマッピングされた LDAP 属性を入力します。デフォルト値は
descriptionです。 - [OK] をクリックします。
指定された LDAP 構成が VMware Integrated OpenStack によって検証されます。
- 検証が成功したら、[CERT] 列の証明書を受け入れます。
- [構成] をクリックします。
- LDAP 管理者ユーザーを指定していない場合は、LDAP 用の Keystone ドメインにプロジェクトと管理者を構成します。
-
rootユーザーとして Integrated OpenStack Manager にログインし、ツールボックスを開きます。ssh root@mgmt-server-ip toolbox
- LDAP 用の Keystone ドメイン内にプロジェクトを作成します。
openstack project create new-project --domain ldap-domain
- LDAP 用の Keystone ドメインで、LDAP ユーザーに
adminロールを割り当てます。openstack role add admin --user ldap-username --user-domain ldap-domain --domain ldap-domain
- 新しいプロジェクトで、LDAP ユーザーに
adminロールを割り当てます。openstack role add admin --user ldap-username --user-domain ldap-domain --project new-project --project-domain ldap-domain
- URL に複数の LDAP サーバを指定して、単一の LDAP バックエンドで高可用性をサポートすることができます。複数の LDAP サーバを指定するには、LDAP セクションの URL オプションをカンマ区切りのリストに変更します。
ldaps/ldap://ldap server1:636/389, ldaps/ldap://ldap backup:636/389
-
結果
VMware Integrated OpenStack デプロイで LDAP 認証が構成されます。VMware Integrated OpenStack ダッシュボードには、構成時に指定した LDAP 管理者ユーザーとしてログインできます。
