您可以設定 LDAP 驗證、新增網域或修改現有的 LDAP 組態。

重要: 所有 LDAP 屬性只能使用 ASCII 字元。

依預設,VMware Integrated OpenStack 會在連接埠 636 上使用 SSL 與 LDAP 伺服器進行連線。如果此組態不適用於您的環境,請在進階設定下指定正確的連接埠和通訊協定。

必要條件

  • 請連絡您的 LDAP 管理員,以取得適用於您的環境的正確 LDAP 設定。
  • 如果您想要對 LDAP 使用者使用新的 Keystone 網域,請在 Keystone 中建立網域後再繼續。網域 defaultlocalservice 不得用於 LDAP。

程序

  1. admin 使用者身分登入 Integrated OpenStack Manager Web 介面。
  2. OpenStack 部署中,按一下部署名稱,然後開啟管理索引標籤。
  3. 設定索引標籤中,按一下設定身分識別來源
  4. 按一下新增以設定新的 LDAP 來源,或按一下編輯以修改現有的組態。
  5. 輸入您的 LDAP 組態。
    選項 說明

    Active Directory 網域名稱

    指定完整 Active Directory 網域名稱。

    Keystone 網域名稱

    輸入 LDAP 來源的 Keystone 網域名稱。

    備註:
    • 請勿使用 defaultlocalservice 做為 Keystone 網域。
    • 新增 LDAP 來源後,無法變更 Keystone 網域。
    • 您必須指定現有的 Keystone 網域。設定 LDAP 驗證之前,請先建立所需的網域。

    繫結使用者

    針對 LDAP 要求,輸入使用者名稱來繫結到 Active Directory。

    繫結密碼

    輸入 LDAP 使用者的密碼。

    網域控制站

    (選擇性) 輸入一或多個網域控制站的 IP 位址,並以逗號 (,) 分隔。

    如果您未指定網域控制站,VMware Integrated OpenStack 會自動選擇現有的 Active Directory 網域控制站。

    站台

    (選擇性) 輸入組織內的特定部署站台,將 LDAP 搜尋範圍限制為該站台。

    查詢範圍

    選取 SUB_TREE 以查詢基礎物件下的所有物件,或選取 ONE_LEVEL 以僅查詢基礎物件的直接子系。

    使用者樹狀結構 DN

    (選擇性) 輸入使用者的搜尋基礎 (例如,DC=example,DC=com)。

    使用者篩選器

    (選擇性) 輸入使用者的 LDAP 搜尋篩選。

    重要:

    如果您的目錄包含 1,000 個以上的物件 (使用者和群組),則必須套用篩選器確保傳回 1,000 個以下的物件。

    如需有關篩選器的詳細資訊,請參閱 Microsoft 說明文件中的搜尋篩選器語法

    群組樹狀結構 DN

    (選擇性) 輸入群組的搜尋基礎。預設會使用 LDAP 尾碼。

    群組篩選器

    (選擇性) 輸入群組的 LDAP 搜尋篩選器。

    LDAP Admin 使用者

    輸入 LDAP 使用者以充當網域的管理員。如果指定 LDAP Admin 使用者,將會在 LDAP 的 Keystone 網域中建立 admin 專案,並且將在該專案中為此使用者指派 admin 角色。然後,此使用者可以登入 Horizon,並在 LDAP 的 Keystone 網域中執行其他作業。

    如果未指定 LDAP Admin 使用者,則必須使用 OpenStack 命令列介面,將專案新增至 LDAP 的 Keystone 網域,並在該專案中將 admin 角色指派給 LDAP 使用者。

  6. (選擇性) 選取進階設定核取方塊,以顯示其他 LDAP 組態欄位。
    選項 說明

    加密

    選取SSLStartTLS

    主機名稱

    輸入 LDAP 伺服器的主機名稱。可提供多個 LDAP 伺服器,以便為單一 LDAP 後端提供高可用性支援。若要指定多個 LDAP 伺服器,只需使用逗號分隔即可。

    連接埠

    輸入要在 LDAP 伺服器上使用的連接埠號碼。

    使用者物件類別

    (選擇性) 輸入使用者的 LDAP 物件類別。預設值為 organizationalPerson

    使用者識別碼屬性

    (選擇性) 輸入已對應至使用者識別碼的 LDAP 屬性。該值不可為多值屬性。預設值為 cn

    使用者名稱屬性

    (選擇性) 輸入已對應至使用者名稱的 LDAP 屬性。預設值為 userPrincipalName

    使用者郵件屬性

    (選擇性) 輸入已對應至使用者郵件的 LDAP 屬性。預設值為 mail

    使用者密碼屬性

    (選擇性) 輸入已對應至密碼的 LDAP 屬性。預設值為 userPassword

    使用者啟用的位元遮罩

    輸入用於判斷哪個位元表示已啟用使用者的位元遮罩。以整數形式輸入此值。如果未使用位元遮罩,則輸入 0。預設值為 2

    群組物件類別

    (選擇性) 輸入群組的 LDAP 物件類別。預設值為 group

    群組識別碼屬性

    (選擇性) 輸入已對應至群組識別碼的 LDAP 屬性。預設值為 cn

    群組名稱屬性

    (選擇性) 輸入已對應至群組名稱的 LDAP 屬性。預設值為 sAMAccountName

    群組成員屬性

    (選擇性) 輸入已對應至群組成員名稱的 LDAP 屬性。預設值為 member

    群組說明屬性

    (選擇性) 輸入已對應至群組說明的 LDAP 屬性。預設值為 description

  7. 按一下確定
    VMware Integrated OpenStack 會驗證指定的 LDAP 組態。
  8. 驗證成功後,接受 CERT 資料行中的憑證。
  9. 按一下設定
  10. 如果未指定 LDAP Admin 使用者,請為 LDAP 的 Keystone 網域設定專案和管理員。
    1. root 使用者身分登入 Integrated OpenStack Manager,然後開啟工具箱。
      ssh root@mgmt-server-ip
      toolbox
    2. 在 LDAP 的 Keystone 網域中建立專案。
      openstack project create new-project --domain ldap-domain
    3. 在 LDAP 的 Keystone 網域中,將 admin 角色指派給 LDAP 使用者。
      openstack role add admin --user ldap-username --user-domain ldap-domain --domain ldap-domain
    4. 在新專案中,將 admin 角色指派給 LDAP 使用者。
      openstack role add admin --user ldap-username --user-domain ldap-domain --project new-project --project-domain ldap-domain
    5. 可將多個 LDAP 伺服器提供給 URL,以便為單一 LDAP 後端提供高可用性支援。若要指定多個 LDAP 伺服器,只需將 ldap 區段中的 URL 選項變更為清單 (使用逗號分隔)。
      ldaps/ldap://ldap server1:636/389, ldaps/ldap://ldap backup:636/389

結果

已在您的 VMware Integrated OpenStack 部署上設定 LDAP 驗證。您可以在設定期間指定的 LDAP Admin 使用者身分登入 VMware Integrated OpenStack 儀表板。

備註: 如果您需要修改 LDAP 組態,則必須使用 Integrated OpenStack Manager Web 介面。不支援透過命令列修改 LDAP 組態。