第2章 Identity Management の統合
OpenStack Identity と Red Hat Identity Manager (IdM) の統合を計画する際には、両方のサービスが設定され稼動状態にあることを確認し、ユーザー管理、およびファイアウォール設定に対する統合の影響を確認してください。Red Hat Identity Manager IdM は、SRV レコードに依存して負荷分散を行います。Id M の前にロードバランサーを配置しないでください。
- 前提条件
- Red Hat Identity Management が設定済みで、稼働していること。
- Red Hat OpenStack Platform が設定済みで、稼働していること。
- DNS 名前解決が完全に機能しており、かつ全ホストが適切に登録されていること。
- アクセス権限およびロール
- この統合により、IdM ユーザーが OpenStack に対して認証を実行して、リソースにアクセスできるようになります。OpenStack のサービスアカウント (keystone、glance など) および承認管理 (パーミッションとロール) は Identity サービスのデータベースに残ります。パーミションとロールは、Identity サービスの管理ツールを使用して IdM アカウントに割り当てられます。
- 高可用性のオプション
- この設定により、単一の IdM サーバーの可用性に依存するようになるため、Identity サービスがその IdM サーバー に対して認証できない場合には、プロジェクトユーザーが影響を受けることになります。IdM の前にロードバランサーを配置することはお勧めしませんが、別の IdM サーバーが使用できなくなった場合に、別の IdM サーバーにクエリーを実行するように keystone を設定できます。
- 停止の要件
- IdM バックエンドを追加するには、Identity サービスを再起動する必要があります。
- ユーザーは、IdM でアカウントが作成されるまでは、Dashboard にアクセスできません。ダウンタイムを短縮するには、この変更の前に十分余裕をもって IdM アカウントのプレステージを行うことを検討してください。
- ファイアウォールの設定
IdM と OpenStack 間の通信は、以下で設定されています。
- ユーザーの認証
- IdM によるコントローラーからの証明書失効リスト (CRL) の取得 (2 時間ごと)
- 有効期限が切れた時点で Certmonger による新しい証明書の要求
最初の要求が失敗した場合に、certmonger の定期的なタスクで引き続き新しい証明書が要求されます。
ファイアウォールが IdM と OpenStack の間のトラフィックをフィルターリングしている場合には、以下のポートを介したアクセスを許可する必要があります。
+
| Source | 送信先 | タイプ | ポート |
| OpenStack コントローラーノード | Red Hat Identity Management | LDAPS | TCP 636 |
2.1. IdM サーバーの設定
IdM サーバーで、以下のコマンドを実行します。
LDAP ルックアップアカウントを作成します。このアカウントは、Identity サービスが IdM の LDAP サービスにクエリーを実行するのに使用します。
# kinit admin # ipa user-add First name: OpenStack Last name: LDAP User [radministrator]: svc-ldap
注記作成が完了したら、このアカウントのパスワード期限の設定を確認してください。
grp-openstack という名前の OpenStack ユーザーグループを作成します。OpenStack Identity でパーミッションを割り当てることができるのは、このグループのメンバーのみです。
# ipa group-add --desc="OpenStack Users" grp-openstack
svc-ldap アカウントのパスワードを設定して、grp-openstack グループに追加します。
# ipa passwd svc-ldap # ipa group-add-member --users=svc-ldap grp-openstack
svc-ldap ユーザーとしてログインし、指示に従ってパスワード変更を実施します。
# kinit svc-ldap
