第2章 Red Hat Identity Management の設定
以下の機能を使用して、フェデレーションされたユーザー管理で Red Hat OpenStack Platform を設定することができます。
- Red Hat Identity Management(IdM) は Red Hat OpenStack Platform の外部にあります。
- Red Hat IdM は、すべてのユーザーおよびグループ情報のソースです。
- Red Hat Single Signon (RH-SSO) は、ユーザーのフェデレーションに Red Hat IdM を使用するように設定されています。
2.1. RH-SSO 用の IdM サービスアカウントの作成
匿名バインドを使用する場合、セキュリティー上の理由から十分な情報が Red Hat Single Sign-On (RH-SSO) に不可欠となる一部情報は非表示になっています。その結果、IdM LDAP サーバーにこの情報を照会するには、専用アカウントの形式で RH-SSO に適切な特権を指定する必要があります。
LDAP_URL="ldaps://$FED_IPA_HOST" DIR_MGR_DN="cn=Directory Manager" SERVICE_NAME="rhsso" SERVICE_DN="uid=$service_name,cn=sysaccounts,cn=etc,$FED_IPA_BASE_DN" $ ldapmodify -H "${LDAP_URL}" -x -D "${DIR_MGR_DN}" -w <_FED_IPA_ADMIN_PASSWD_> <<EOF dn: ${SERVICE_DN} changetype: add objectclass: account objectclass: simplesecurityobject uid: ${SERVICE_NAME} userPassword: <_FED_IPA_RHSSO_SERVICE_PASSWD_> passwordExpirationTime: 20380119031407Z nsIdleTimeout: 0 EOF
注記
上記の手順は、configure-federation スクリプトで実行できます ($ ./configure-federation create-ipa-service-account
)。