LDAP 인증 구성

LDAP 인증을 구성하거나 새 도메인을 추가하거나 기존 LDAP 구성을 수정할 수 있습니다.

중요: 모든 LDAP 특성은 ASCII 문자만 사용해야 합니다.

기본적으로 VMware Integrated OpenStack은 포트 636에서 SSL을 사용하여 LDAP 서버와 연결합니다. 이 구성이 환경에 적합하지 않으면 고급 설정에서 올바른 포트와 프로토콜을 지정합니다.

사전 요구 사항

환경에 맞는 올바른 LDAP 설정을 얻으려면 LDAP 관리자에게 문의하십시오.
LDAP 사용자에 대해 새 Keystone 도메인을 사용하려면 계속하기 전에 Keystone에 도메인을 생성합니다. default, local 및 service 도메인은 LDAP에 사용할 수 없습니다.

프로시저

Integrated OpenStack Manager 웹 인터페이스에 admin 사용자로 로그인합니다.
OpenStack 배포에서 배포 이름을 클릭하고 관리탭을 엽니다.
설정 탭에서 ID 소스 구성을 클릭합니다.
추가를 클릭하여 새 LDAP 소스를 구성하거나 편집을 클릭하여 기존 구성을 수정합니다.

LDAP 구성을 입력합니다.

옵션	설명
Active Directory 도메인 이름	전체 Active Directory 도메인 이름을 지정합니다.
Keystone 도메인 이름	LDAP 소스에 대한 Keystone 도메인 이름을 입력합니다. 참고: `default`, `local` 또는 `service`는 Keystone 도메인으로 사용하지 마십시오. LDAP 소스가 추가된 후에는 Keystone 도메인을 변경할 수 없습니다. 기존 Keystone 도메인을 지정해야 합니다. LDAP 인증을 구성하기 전에 원하는 도메인을 생성합니다.
바인드 사용자	LDAP 요청을 위해 Active Directory에 바인딩할 사용자 이름을 입력합니다.
바인드 암호	LDAP 사용자 암호를 입력합니다.
도메인 컨트롤러	(선택 사항) 도메인 컨트롤러 하나 이상의 IP 주소를 쉼표(,)로 구분하여 입력합니다. 도메인 컨트롤러를 지정하지 않으면 VMware Integrated OpenStack에서 기존 Active Directory 도메인 컨트롤러가 자동으로 선택됩니다.
사이트	(선택 사항) LDAP 검색을 특정 사이트로 제한하려면 조직 내의 특정 배포 사이트를 입력합니다.
쿼리 범위	기본 개체 아래 모든 개체를 쿼리하려면 SUB_TREE를 선택하고 기본 개체의 직속 하위 항목만 쿼리하려면 ONE_LEVEL을 선택합니다.
사용자 트리 DN	(선택 사항) 사용자에 대한 검색 기준을 입력합니다(예: `DC=example,DC=com`).
사용자 필터	(선택 사항) 사용자에 대한 LDAP 검색 필터를 입력합니다. 중요: 디렉토리에 포함된 개체(사용자 및 그룹)가 1,000개보다 많으면 반환되는 개체가 1,000개 미만이 되도록 필터를 적용해야 합니다. 필터에 대한 자세한 내용은 Microsoft 설명서에서 검색 필터 구문 항목을 참조하십시오.
그룹 트리 DN	(선택 사항) 그룹에 대한 검색 기준을 입력합니다. LDAP 접미사는 기본적으로 사용됩니다.
그룹 필터	(선택 사항) 그룹에 대한 LDAP 검색 필터를 입력합니다.
LDAP 관리자	도메인의 관리자 역할을 할 LDAP 사용자를 입력합니다. LDAP 관리자를 지정하면 LDAP의 Keystone 도메인에 `admin` 프로젝트가 생성되고, 이 사용자에게는 해당 프로젝트의 `admin` 역할이 할당됩니다. 그러면 이 사용자가 Horizon에 로그인하고 LDAP용 Keystone 도메인에서 다른 작업을 수행할 수 있습니다. LDAP 관리자를 지정하지 않은 경우 OpenStack 명령줄 인터페이스를 사용하여 LDAP의 Keystone 도메인에 프로젝트를 추가하고 이 프로젝트의 LDAP 사용자에게 `admin` 역할을 할당해야 합니다.

(선택 사항) 고급 설정 확인란을 선택하면 추가적인 LDAP 구성 필드가 표시됩니다.

옵션	설명
암호화	없음, SSL 또는 StartTLS를 선택합니다.
호스트 이름	LDAP 서버의 호스트 이름을 입력합니다. 단일 LDAP 백엔드에 고가용성 지원을 제공하기 위해 여러 LDAP 서버를 제공할 수 있습니다. 여러 LDAP 서버를 지정하려면 간단히 쉼표로 구분하면 됩니다.
포트	LDAP 서버에서 사용할 포트 번호를 입력합니다.
사용자 개체 클래스	(선택 사항) 사용자에 대한 LDAP 개체 클래스를 입력합니다. 기본값은 `organizationalPerson`입니다.
사용자 ID 특성	(선택 사항) 사용자 ID에 매핑된 LDAP 특성을 입력합니다. 이 값은 다중 값 특성일 수 없습니다. 기본값은 `cn`입니다.
사용자 이름 특성	(선택 사항) 사용자 이름에 매핑된 LDAP 특성을 입력합니다. 기본값은 `userPrincipalName`입니다.
사용자 메일 특성	(선택 사항) 사용자 이메일에 매핑된 LDAP 특성을 입력합니다. 기본값은 `mail`입니다.
사용자 암호 특성	(선택 사항) 암호에 매핑된 LDAP 특성을 입력합니다. 기본값은 `userPassword`입니다.
사용자가 사용하도록 설정한 비트마스크	사용자가 사용하도록 설정되었음을 나타내는 비트를 확인하는 비트마스크를 입력합니다. 이 값은 정수로 입력합니다. 비트마스크가 사용되지 않으면 `0`을 입력합니다. 기본값은 `2`입니다.
그룹 개체 클래스	(선택 사항) 그룹에 대한 LDAP 개체 클래스를 입력합니다. 기본값은 `group`입니다.
그룹 ID 특성	(선택 사항) 그룹 ID에 매핑된 LDAP 특성을 입력합니다. 기본값은 `cn`입니다.
그룹 이름 특성	(선택 사항) 그룹 이름에 매핑된 LDAP 특성을 입력합니다. 기본값은 `sAMAccountName`입니다.
그룹 멤버 특성	(선택 사항) 그룹 멤버 이름에 매핑된 LDAP 특성을 입력합니다. 기본값은 `member`입니다.
그룹 설명 특성	(선택 사항) 그룹 설명에 매핑된 LDAP 특성을 입력합니다. 기본값은 `description`입니다.

확인을 클릭합니다.
VMware Integrated OpenStack이 지정된 LDAP 구성을 검증합니다.
검증이 성공하면 CERT 열에서 인증서를 수락합니다.
구성을 클릭합니다.
LDAP 관리자를 지정하지 않은 경우 LDAP용 Keystone 도메인의 관리자와 프로젝트를 구성합니다.
1. Integrated OpenStack Manager에 root 사용자로 로그인하고 도구 상자를 엽니다.
```
ssh root@mgmt-server-ip
toolbox
```
2. LDAP용 Keystone 도메인에 프로젝트를 생성합니다.
```
openstack project create new-project --domain ldap-domain
```
3. LDAP용 Keystone 도메인에서 LDAP 사용자에게 admin 역할을 할당합니다.
```
openstack role add admin --user ldap-username --user-domain ldap-domain --domain ldap-domain
```
4. 새 프로젝트에서 LDAP 사용자에게 admin 역할을 할당합니다.
```
openstack role add admin --user ldap-username --user-domain ldap-domain --project new-project --project-domain ldap-domain
```
5. 단일 LDAP 백엔드에 고가용성 지원을 제공하기 위해 URL에 여러 LDAP 서버를 제공할 수 있습니다. 여러 LDAP 서버를 지정하려면 간단히 ldap 섹션에서 URL 옵션을 쉼표로 구분된 목록으로 변경하면 됩니다.
```
ldaps/ldap://ldap server1:636/389, ldaps/ldap://ldap backup:636/389
```

결과

LDAP 인증은 VMware Integrated OpenStack 배포에 구성됩니다. 구성 중에 지정한 LDAP 관리자로 VMware Integrated OpenStack 대시보드에 로그인할 수 있습니다.

참고: LDAP 구성을 수정해야 하는 경우 Integrated OpenStack Manager 웹 인터페이스를 사용해야 합니다. 명령줄을 통해 LDAP 구성을 수정하는 것은 지원되지 않습니다.