依預設,身分識別服務元件 (Keystone) 不會將使用者和群組傳回預設網域。下列程序會修改預設組態,以確保具有管理權限的使用者可以在 OpenStack 中存取 LDAP 使用者並將其指派給角色。

必要條件

  • 確認您已成功部署 VMware Integrated OpenStack
  • 確認 VMware Integrated OpenStack 是否在執行中。
  • 確認 Active Directory 已設定為 LDAP 後端。

程序

  1. 使用 SSH 登入 VMware Integrated OpenStack 部署。
    此步驟會根據您的部署模式而有所不同。
    • 如果您的部署使用精簡模式,請登入控制器節點。
    • 如果您的部署使用高可用性模式,請登入負載平衡器節點。
  2. 切換至根使用者。
    sudo su -
  3. 執行 cloudadmin_v3.rc 檔案。
    $ source ~/cloudadmin_v3.rc
  4. 在 OpenStack 的預設網域中建立初始專案。
    $ openstack --os-identity-api-version 3 --os-username admin \
           --os-user-domain-name local --os-project-name admin --os-password admin \
           --os-region-name nova project create --domain default --description "Demo Project" --or-show demo
    參數 說明
    --os-identity-api-version 3 指定 API 版本,在此案例中為版本 3
    --os-username admin 提供用於登入的管理使用者名稱,在此案例中為 admin
    --os-user-domain-name local 為指定的使用者指定網域,在此案例中為 local
    --os-project-name admin 指定管理 OpenStack 專案。
    --os-password admin 提供用於登入的管理密碼,在此案例中為 admin
    --os-region-name nova project create 執行 nova project create 命令。
    --domain default 此命令會指定建立新專案所在的網域,在此案例中為 default 網域。
    --description "Demo Project" 此參數會命名新專案,在此案例中為 Demo Project
    --or-show demo 建立新專案的別名。
  5. 新增管理使用者至預設網域中的新專案。
    $ openstack --os-identity-api-version 3 --os-username admin \
           --os-user-domain-name local --os-project-name admin --os-password admin \
           --os-region-name nova role add --project demo --project-domain default \
           --user SOMEUSER@vmware.com --user-domain default admin
    參數 說明
    --os-identity-api-version 3 指定 API 版本,在此案例中為版本 3
    --os-username admin 提供用於登入的管理使用者名稱,在此案例中為 admin
    --os-user-domain-name local 為指定的使用者指定網域,在此案例中為 local
    --os-project-name admin 指定管理 OpenStack 專案。
    --os-password admin 提供用於登入的管理密碼,在此案例中為 admin
    --os-region-name nova role add 執行 nova role add 命令。
    --project demo 指定要新增管理使用者的專案。
    --project-domain default 指定專案網域。
    --user SOMEUSER@vmware.com 指定新管理使用者。
    --user-domain default admin 指派新使用者至預設管理網域。
    備註: 如果使用者識別碼中包含特殊字元,您必須在 VMware Integrated OpenStack Manager 中修改 Keystone 設定。
  6. (選擇性) 如果管理使用者識別碼中包含特殊字元,您必須在 VMware Integrated OpenStack Manager 中修改 Keystone 設定。
    1. 請在 vCenter 的 VMware Integrated OpenStack Manager 中,前往管理 > 設定 > 設定身分識別來源
    2. 按一下編輯
    3. 在 [進階設定] 下,將使用者識別碼的值從 cn 修改為 userPrincipalName
    您現在可以在 VMware Integrated OpenStack 儀表板中,使用管理使用者名稱和密碼登入預設網域。