1.2. 前提条件
フェデレーションされた認証をデプロイする前に、以下を完了する必要があります。
Red Hat OpenStack Platform director とオーバークラウドを、以下の属性でデプロイしている。
- SSH を使用して、Red Hat OpenStack Platform director と各オーバークラウドノードに接続することができます。
- 全ノードには完全修飾ドメイン名 (FQDN) があります。
- TLS 暗号化は、すべての外部通信に使用されます。
- HAProxy は TLS フロントエンド接続を終了し、HAProxy の背後で実行しているサーバーは TLS を使用しません。
- RH-SSO サーバーが存在し、サーバーに管理者権限があるか、RH-SSO 管理者が独自のレルムを作成し、そのレルムに対する管理者権限をユーザーに付与している。フェデレーションされた IdP は定義によって外部にあるため、RH-SSO サーバーは Red Hat OpenStack Platform director オーバークラウドの外部にあることを前提とします。詳細は、Installing and configuring RH-SSO および Creating a realm and user を参照してください。
- IdM サーバーが存在し、ユーザーおよびグループが管理される Red Hat OpenStack Platform director オーバークラウド外にも存在します。RH-SSO は、IdM をユーザーフェデレーションバッキングストアとして使用します。
- Keystone Federation Configuration Guide に記載の例に従います。
-
undercloud-0ノードで、ヘルパーファイルをstackユーザーのホームディレクトリーにインストールし、stackユーザーのホームディレクトリーで操作します。 -
controller-0ノードで、ヘルパーファイルをheat-adminユーザーのホームディレクトリーにインストールし、heat-adminユーザーのホームディレクトリーで動作します。 -
mod_auth_mellonがコントローラーノードに以前にインストールされている場合は、Puppet Apache クラスにより Puppet の管理下でない Apache 設定ファイルが削除されるため、再インストールが必要になります。
注記
Red Hat OpenStack オーバークラウドでは、フェデレーションのみが有効化されています。Director はフェデレーションされていません。
