2.4. LDAPS の設定
Ceph Object Gateway は単純な ID およびパスワードを使用して LDAP サーバーとの認証を行うため、接続には LDAP の SSL 証明書が必要です。LDAP 用 Directory Server を設定するには、Red Hat Directory Server 10 の「Administration Guide」の「Configuring Secure Connections」の章を参照してください。
LDAP が動作したら、Ceph Object Gateway サーバーが Directory Server の証明書を信頼するように設定します。
- LDAP サーバーの SSL 証明書に署名した認証局 (CA) の PEM 形式の証明書を抽出/ダウンロードします。
-
/etc/openldap/ldap.conf
にTLS_REQCERT
が設定されていないことを確認します。 -
/etc/openldap/ldap.conf
にTLS_CACERTDIR /etc/openldap/certs
設定が含まれていることを確認します。 certutil
コマンドを使用して、AD CA を/etc/openldap/certs
のストアに追加します。たとえば、CA が「msad-frog-MSAD-FROG-CA」で、PEM 形式の CA ファイルがldap.pem
の場合は、以下のコマンドを使用します。# certutil -d /etc/openldap/certs -A -t "TC,," -n "msad-frog-MSAD-FROG-CA" -i /path/to/ldap.pem
すべてのリモート LDAP サイトで SELinux を更新します。
# setsebool -P httpd_can_network_connect on
注記これは、SELinux が Permissive モードであっても、引き続き設定する必要があります。
certs
データベースを誰でも読めるようにします。# chmod 644 /etc/openldap/certs/*
root 以外のユーザーとして「ldapwhoami」を使用してサーバーに接続します。以下に例を示します。
$ ldapwhoami -H ldaps://rh-directory-server.example.com -d 9
-d 9
オプションは、SSL ネゴシエーションで何らかの問題が発生した場合にデバッグ情報を提供します。