2.9. ダッシュボードの Red Hat Single Sign-On を使用したユーザーの同期

手順

1. Red Hat Ceph ストレージがインストールされているシステムに Red Hat Single Sign-On 7.4.0 サーバー をダウンロードします。

2. フォルダーを展開します。

   [root@cephuser]# unzip rhsso-7.4.0.zip

3. standalone/configuration ディレクトリーに移動し、standalone.xml を開いて編集します。

   [root@cephuser]# cd standalone/configuration
   [root@cephuser configuration]# vi standalone.xml

4. localhost の 3 つのインスタンスと 127.0.0.1 の 2 つのインスタンスは、Red Hat Single Sign-On がインストールされているマシンの IP アドレスに置き換えます。

5. オプション: Red Hat Enterprise Linux 8 の場合には、認証局 (CA) の問題が発生する可能性があります。CA からカスタム証明書をインポートして、正確な Java バージョンを使用するキーストアに移動します。

   例

   [root@cephuser]# keytool -import -noprompt -trustcacerts -alias ca -file ../ca.cer -keystore /etc/java/java-1.8.0-openjdk/java-1.8.0-openjdk-1.8.0.272.b10-3.el8_3.x86_64/lib/security/cacert

6. rh-sso-7.4 フォルダーの bin ディレクトリーからサーバーを起動するには、standalone ブートスクリプトを実行します。

   [root@cephuser bin]# ./standalone.sh

7. ユーザー名とパスワードを指定して、https:_IP_ADDRESS_:8080/auth で管理アカウントを作成します。

   
   注記

   admin アカウントは、コンソールに初めてログインするときにのみ作成する必要があります。

8. 作成された認証情報を使用して管理コンソールにログインします。

   

9. レルムを作成するには、Master ドロップダウンをクリックします。このレルムでは、管理者はユーザーおよびアプリケーションにアクセスできます。

   

10. Add Realm ウィンドウで、レルムの名前を入力し、パラメーター Enabled を ON に設定し、Create をクリックします。

    
    注記

    レルム名は大文字と小文字が区別されます。

11. Realm Settings タブで、次のパラメーターを設定し、Save をクリックします。

    1. Enabled - ON
    2. User-Managed Access - ON

    3. SAML 2.0 アイデンティティープロバイダーメタデータのリンクアドレスをコピーします。

       

12. Clients タブで、Create をクリックします。

    

13. Add Client ウィンドウで、次のパラメーターを設定し、Save をクリックします。

    1. クライアント ID - BASE_URL:8443/auth/saml2/metadata

       例

       https://magna082.ceph.redhat.com:8443/auth/saml2/metadata

    2. クライアントプロトコル - saml

       

14. Clients ウィンドウの Settings タブで、次のパラメーターを設定し、Save をクリックします。

    1. クライアント ID - BASE_URL:8443/auth/saml2/metadata

       例

       https://magna082.ceph.redhat.com:8443/auth/saml2/metadata

    2. Enabled - ON
    3. クライアントプロトコル - saml
    4. Include AuthnStatement - ON
    5. Sign Documents - ON
    6. Signature Algorithm - RSA_SHA1
    7. SAML Signature Key Name - KEY_ID

    8. Valid Redirect URLs - BASE_URL:8443/*

       例

       https://magna082.ceph.redhat.com:8443/*

    9. Base URL - BASE_URL:8443

       例

       https://magna082.ceph.redhat.com:8443/

    10. Master SAML Processing URL - http://localhost:8080/auth/realms/REALM_NAME/protocol/saml/descriptor

        例

        http://localhost:8080/auth/realms/Ceph_LDAP/protocol/saml/descriptor

        注記

        Realm Settings タブから SAML 2.0 アイデンティティープロバイダーメタデータのリンクを貼り付けます。

        Fine Grain SAML Endpoint Configuration で、パラメーターを設定します。

    11. assertion Consumer Service POST Binding URL - BASE_URL:8443/#/dashboard

        例

        https://magna082.ceph.redhat.com:8443/#/dashboard

    12. Assertion Consumer Service Redirect Binding URL - BASE_URL:8443/#/dashboard

        例

        https://magna082.ceph.redhat.com:8443/#/dashboard

    13. Logout Service Redirect Binding URL - BASE_URL:8443/

        例

        https://magna082.ceph.redhat.com:8443/

        
        

15. Clients ウィンドウの Mappers タブで、次のパラメーターを設定し、Save をクリックします。

    1. protocol - saml
    2. name: username
    3. Mapper Property - User Property
    4. property - username

    5. SAML Attribute name - username

       

16. Clients Scope タブで、role_list を選択します。

    1. Mappers タブで、role list を選択し、Single Role Attribute をオンに設定します。

       

17. User_Federation タブを選択します。

    1. User Federation ウィンドウで、ドロップダウンメニューから LDAP を選択します。

       

18. User_Federation ウィンドウの Settings タブで、次のパラメーターを設定し、Save をクリックします。

    1. Console Display Name - rh-ldap
    2. Import Users - ON
    3. Edit_Mode - READ_ONLY
    4. Username LDAP attribute - username
    5. RDN LDAP attribute - username
    6. UUID LDAP attribute - nsuniqueid
    7. User Object Classes - inetOrgPerson, organizationalPerson, rhatPerson

    8. Connection URL - ldap:://myldap.example.com

       例

       ldap://ldap.corp.redhat.com

       Test Connection をクリックします。

       

       LDAP 接続が成功したという通知が表示されます。

    9. Users DN - ou=users, dc=example, dc=com

       例

       ou=users,dc=redhat,dc=com

    10. Bind Type - simple

        
        

    11. Test authentication をクリックします。

        

        LDAP 認証が成功したという通知が表示されます。

19. Mappers タブで、first name の行を選択して、以下のパラメーターを編集し、Save をクリックします。

    1. LDAP 属性 - GivenName

       
       

20. User_Federation タブの Settings タブで、Synchronize all users をクリックします。

    

    ユーザーの同期が正常に更新されたという通知が表示されます。

    

21. Users タブで、ダッシュボードに追加されたユーザーを検索し、検索アイコンをクリックします。

    

22. ユーザーを表示するには、その行をクリックします。フェデレーションリンクは、User Federation で指定した名前で表示されます。

    
    重要

    ユーザーは手動で追加しないでください。手動で追加した場合は、Delete をクリックしてユーザーを削除します。

23. レルムとダッシュボードに追加されたユーザーは、メールアドレスとパスワードを使用して Ceph Dashboard にアクセスできます。

    例

    https://magna082.ceph.redhat.com:8443