LDAP 連線健全狀況檢查可以檢查 Keystone 網域中設定的所有 LDAP 連線。

症狀

健全狀況檢查報告特定網域的 detect ldap connection issue

解決方案

手動檢查連線
  • 使用以下命令尋找 LDAP 登入認證:
    #viocli get keystone --spec
  • 收集以下 LDAP 相關值。
    spec:
      conf:
        ks_domains:
          ${reporetd_domain}
            ldap:
              url: ${ldap_url}
              user: ${ldap_user}
              password: ${ldap_encrypted_pwd}
              user_tree_dn: ${user_tree_dn}
              user_filter: ${user_filter}

解密密碼

  • 將檔案從 VMware Integrated OpenStack 管理複製到 keystone-api 網繭之一。
    # osctl get pod |grep keystone-api | tail -n 1
    keystone-api-58b4d7dc48-np7jk                                     1/1     Running     0          6d18h
    #osctl cp /opt/vmware/data/health-check/fernet_decrypt.py keystone-api-58b4d7dc48-np7jk:tmp/ -c keystone-api
  • 若要取得純文字 vCenter 密碼,請執行以下命令:
    #osctl exec -it keystone-api-58b4d7dc48-np7jk -- bash -c "python /tmp/fernet_decrypt.py ${ldap_encrypted_pwd}"
  • 輸出的最後一行是純文本密碼,即 ${ldap_pwd}
測試連線
  • keystone-api 網繭中執行 ldapsearch
    例如:
    #osctl exec -it keystone-api-58b4d7dc48-np7jk -- bash -c "ldapsearch -o nettimeout=5 -x -w ${ldap_pwd} -D ${ldap_user} -H ${ldap_url} -b ${user_tree_dn} ${user_filter}"
    備註: 將參數取代為相應的值。

    如果 ldapsearch 命令失敗,請檢查 LDAP 伺服器中的 LDAP 使用者資訊,並在 VMware Integrated OpenStack 中進行更新。

更新 LDAP 登入認證

從管理 UI https://xxxxxxxx/ui/#/os/${your_os_deployment}/manage/setting/identity,檢查 LDAP 登入認證並確保其能夠登入 LDAP 伺服器。

如需有關 vCenter 和 NSX 連線檢查的詳細資訊,請參閱 vCenter 連線檢查NSX 連線檢查