2.9. Red Hat OpenStack Platform プロジェクトへの外部グループアクセス権の付与
複数の認証されたユーザーが Red Hat OpenStack Platform (RHOSP) リソースにアクセスできるようにするには、外部ユーザー管理サービスから特定のグループを承認し、RHOSP プロジェクトへのアクセ権限を付与します。この場合、OpenStack 管理者は各ユーザーをプロジェクト内のロールに手動で割り当てる必要はありません。その結果、これらのグループのすべてのメンバーは、事前に決定したプロジェクトにアクセスできます。
前提条件
外部サービスの管理者が以下の手順を完了していることを確認してください。
-
grp-openstack-admin
という名前のグループの作成。 -
grp-openstack-demo
という名前のグループの作成。 - 必要に応じて、RHOSP ユーザーをこれらのグループの 1 つに追加。
-
ユーザーを
grp-openstack
グループに追加。
-
-
OpenStack Identity ドメインを作成します。この手順では、
LAB
ドメインを使用。 -
RHOSP プロジェクトの作成や選択を行う。以下の手順では、
openstack project create --domain default --description "Demo Project" demo
コマンドで作成したdemo
という名前のプロジェクトを使用。
手順
OpenStack Identity ドメインからユーザーグループのリストを取得します。
# openstack group list --domain LAB
コマンド出力は、統合する外部のユーザー管理サービスによって異なります。
Active Directory Domain Service (AD DS):
+------------------------------------------------------------------+---------------------+ | ID | Name | +------------------------------------------------------------------+---------------------+ | 185277be62ae17e498a69f98a59b66934fb1d6b7f745f14f5f68953a665b8851 | grp-openstack | | a8d17f19f464c4548c18b97e4aa331820f9d3be52654aa8094e698a9182cbb88 | grp-openstack-admin | | d971bb3bd5e64a454cbd0cc7af4c0773e78d61b5f81321809f8323216938cae8 | grp-openstack-demo | +------------------------------------------------------------------+---------------------+
Red Hat Identity Manager (IdM):
+------------------------------------------------------------------+---------------------+ | ID | Name | +------------------------------------------------------------------+---------------------+ | 185277be62ae17e498a69f98a59b66934fb1d6b7f745f14f5f68953a665b8851 | grp-openstack | | a8d17f19f464c4548c18b97e4aa331820f9d3be52654aa8094e698a9182cbb88 | grp-openstack-admin | | d971bb3bd5e64a454cbd0cc7af4c0773e78d61b5f81321809f8323216938cae8 | grp-openstack-demo | +------------------------------------------------------------------+---------------------+
ロールのリストを取得します。
# openstack role list
コマンド出力は、統合する外部のユーザー管理サービスによって異なります。
Active Directory Domain Service (AD DS):
+----------------------------------+-----------------+ | ID | Name | +----------------------------------+-----------------+ | 01d92614cd224a589bdf3b171afc5488 | admin | | 034e4620ed3d45969dfe8992af001514 | member | | 0aa377a807df4149b0a8c69b9560b106 | ResellerAdmin | | 9369f2bf754443f199c6d6b96479b1fa | heat_stack_user | | cfea5760d9c948e7b362abc1d06e557f | reader | | d5cb454559e44b47aaa8821df4e11af1 | swiftoperator | | ef3d3f510a474d6c860b4098ad658a29 | service | +----------------------------------+-----------------+
Red Hat Identity Manager (IdM):
+----------------------------------+---------------+ | ID | Name | +----------------------------------+---------------+ | 0969957bce5e4f678ca6cef00e1abf8a | ResellerAdmin | | 1fcb3c9b50aa46ee8196aaaecc2b76b7 | admin | | 9fe2ff9ee4384b1894a90878d3e92bab | _member_ | | d3570730eb4b4780a7fed97eba197e1b | SwiftOperator | +----------------------------------+---------------+
ユーザーグループを上記のロールの 1 つまたは複数に追加して、プロジェクトへのアクセス権を付与します。たとえば、
grp-openstack-demo
グループのユーザーをdemo
プロジェクトの一般ユーザーに指定するには、統合する外部サービスに応じて、グループをmember
または_member_
ロールに追加する必要があります。Active Directory Domain Service (AD DS):
# openstack role add --project demo --group d971bb3bd5e64a454cbd0cc7af4c0773e78d61b5f81321809f8323216938cae8 member
Red Hat Identity Manager (IdM):
$ openstack role add --project demo --group d971bb3bd5e64a454cbd0cc7af4c0773e78d61b5f81321809f8323216938cae8 _member_
結果
grp-openstack-demo
のメンバーは、ユーザー名とパスワードを入力し、Domain
フィールドに LAB
を入力して Dashboard にログインすることができます。
ユーザーに Error: Unable to retrieve container list.
というエラーメッセージが表示され、コンテナーの管理が可能であることが想定されている場合には、SwiftOperator
ロールに追加する必要があります。