2.7. LDAPS 証明書の設定
LDAP 認証に複数のドメインを使用する場合、Unable to retrieve authorized projects
または Peer's Certificate issuer is not recognized
など、さまざまなエラーが発生する可能性があります。これは、keystone が特定ドメインに誤った証明書を使用すると発生する可能性があります。回避策として、すべての LDAPS 公開鍵を単一の .crt
バンドルにマージし、このファイルを使用するようにすべての keystone ドメインを設定します。
IdM の環境で、LDAPS 証明書を見つけます。このファイルの場所は、/etc/openldap/ldap.conf で確認することができます。
TLS_CACERT /etc/ipa/ca.crt
keystone サービスを実行している OpenStack ノードにファイルをコピーします。たとえば、以下のコマンドは、scp を使用して、ca.crt を node.lab.local という名前のノードにコピーします。
# scp /etc/ipa/ca.crt root@node.lab.local:/root/
OpenStack ノードで、.crt を .pem に変換します。
# openssl x509 -in ca.crt -out ca.pem -outform PEM
.crt を証明書のディレクトリーにコピーします。keystone サービスは、この場所を使用して証明書にアクセスします。
# cp ca.crt/etc/pki/ca-trust/source/anchors
オプションとして、ldapsearch
などの診断のコマンドを実行する必要がある場合には、RHEL の証明書ストアに証明書を追加する必要もあります。以下に例を示します。
# cp ca.pem /etc/pki/ca-trust/source/anchors/ # update-ca-trust