第2章 OpenStack Identity (keystone) と Red Hat Identity Manager (IdM) の統合
OpenStack Identity (keystone) と Red Hat Identity Manager (IdM) を統合する場合、OpenStack Identity は特定の Red Hat Identity Management (IdM) ユーザーを認証しますが、承認設定および重要なサービスアカウントは Identity サービスデータベースに保持されます。この手順を実行すると、Identity サービスは、IdM に読み取り専用でアクセスしてユーザーアカウントの認証を行う一方で、認証されたアカウントに割り当てる権限を引き続き管理するようになります。novajoin
を使用して、ノードを IdM に登録することもできます。
この統合用の設定ファイルは、Puppet によって管理されます。このため、次回 openstack overcloud deploy
コマンドを実行すると、自分で追加したカスタム設定が上書きされる可能性があります。設定ファイルを手動で編集するのではなく、director を使用して LDAP 認証を設定できます。
IdM 統合を計画して設定する前に、以下の主要な項目を確認してください。
- 認証: パスワードを使用して、ユーザーが本人であることを検証するプロセス。
- 承認: 認証されたユーザーに対して、アクセスしようとしているシステムの適切なパーミッションが付与されていることを確認するプロセス。
- ドメイン: Identity サービス内で設定する追加のバックエンド。たとえば、Identity サービスは、外部の IdM 環境内のユーザーを認証するように設定することができます。このように設定されたユーザーの集合は、ドメイン として考えることができます。
OpenStack Identity と IdM を統合するプロセスには、以下の段階が含まれています。
- novajoin を使用して、アンダークラウドおよびオーバークラウドを IdM に登録する
- Ansible を使用して、アンダークラウドおよびオーバークラウドに TLS-e を実装する
- IdM サーバーの認証情報を設定し、LDAPS 証明書をエクスポートする
- OpenStack に LDAPS 証明書をインストールおよび設定する
- 1 つまたは複数の LDAP バックエンドを使用するように director を設定する
- IdM バックエンドにアクセスするようにコントローラーノードを設定する
- OpenStack プロジェクトへの IdM ユーザーまたはグループのアクセスを設定する
- ドメインおよびユーザーリストが正しく作成されていることを確認する
- (オプション) 管理者以外のユーザーの認証情報ファイルを作成する
2.1. Red Hat Identity Manager (IdM) との統合の計画
OpenStack Identity と Red Hat Identity Manager (IdM) の統合を計画する際には、両方のサービスが設定され稼動状態にあることを確認し、ユーザー管理、およびファイアウォール設定に対する統合の影響を確認してください。
- 前提条件
- Red Hat Identity Management が設定済みで、稼働していること。
- Red Hat OpenStack Platform が設定済みで、稼働していること。
- DNS 名前解決が完全に機能しており、かつ全ホストが適切に登録されていること。
- アクセス権限およびロール
- この統合により、IdM ユーザーが OpenStack に対して認証を実行して、リソースにアクセスできるようになります。OpenStack のサービスアカウント (keystone、glance など) および承認管理 (パーミッションとロール) は Identity サービスのデータベースに残ります。パーミションとロールは、Identity サービスの管理ツールを使用して IdM アカウントに割り当てられます。
- 高可用性のオプション
- この設定により、単一の IdM サーバーの可用性に依存するようになるため、Identity サービスがその IdM サーバー に対して認証できない場合には、プロジェクトユーザーが影響を受けることになります。別の IdM サーバーが使用できなくなった場合に別の IdM サーバーにクエリーを実行するように keystone を設定したり、ロードバランサーを使用したりできます。この設定ではクライアントにフェイルオーバーが実装されているため、SSSD で IdM を使用する場合はロードバランサーを使用しないでください。
- 停止の要件
- IdM バックエンドを追加するには、Identity サービスを再起動する必要があります。
- ユーザーは、IdM でアカウントが作成されるまでは、Dashboard にアクセスできません。ダウンタイムを短縮するには、この変更の前に十分余裕をもって IdM アカウントのプレステージを行うことを検討してください。
- ファイアウォールの設定
IdM と OpenStack 間の通信は、以下で設定されています。
- ユーザーの認証
- IdM によるコントローラーからの証明書失効リスト (CRL) の取得 (2 時間ごと)
- 有効期限が切れた時点で Certmonger による新しい証明書の要求
最初の要求が失敗した場合に、certmonger の定期的なタスクで引き続き新しい証明書が要求されます。
ファイアウォールが IdM と OpenStack の間のトラフィックをフィルタリングしている場合には、以下のポートを介したアクセスを許可する必要があります。
ソース | 送信先 | タイプ | ポート |
---|---|---|---|
OpenStack コントローラーノード | Red Hat Identity Management | LDAPS | TCP 636 |