1.7. LDAPS 証明書の設定
LDAP 認証に複数のドメインを使用する場合、Unable to retrieve authorized projects
または Peer's Certificate issuer is not recognized
など、さまざまなエラーが発生する可能性があります。これは、keystone が特定ドメインに誤った証明書を使用すると発生する可能性があります。回避策として、すべての LDAPS 公開鍵を単一の .crt
バンドルにマージし、このファイルを使用するようにすべての keystone ドメインを設定します。
keystone は LDAPS クエリーを使用してユーザーアカウントを検証します。このトラフィックを暗号化するために、keystone は keystone.conf
で定義されている証明書ファイルを使用します。この手順では、Active Directory から取得した公開鍵を .crt
形式に変換して、keystone が参照できる場所にコピーします。
OpenStack Identity (keystone) を実行中のノードに、LDAPS 公開鍵をコピーし、
.cer
から.crt
に変換します。この例では、addc.lab.local.cer
とうい名前の元の証明書ファイルを使用しています。# openssl x509 -outform der -in addc.lab.local.pem -out addc.lab.local.crt # cp addc.lab.local.crt /etc/pki/ca-trust/source/anchors
オプションとして、ldapsearch
などの診断のコマンドを実行する必要がある場合には、RHEL の証明書ストアに証明書を追加する必要もあります。
.cer
から.pem
に変換します。この例では、addc.lab.local.cer
とうい名前の元の証明書ファイルを使用しています。# openssl x509 -inform der -in addc.lab.local.cer -out addc.lab.local.pem
OpenStack コントローラーに
.pem
をインストールします。たとえば、Red Hat Enterprise Linux の場合は以下を実行します。# cp addc.lab.local.pem /etc/pki/ca-trust/source/anchors/ # update-ca-trust