3장. novajoin을 사용하여 IdM과 통합

1. 언더클라우드 노드에서 python-novajoin 패키지를 설치합니다.

   $ sudo yum install python-novajoin

2. 언더클라우드 노드에서 novajoin-ipa-setup 스크립트를 실행하여 배포에 맞게 값을 조정합니다.

   $ sudo /usr/libexec/novajoin-ipa-setup \
       --principal admin \
       --password <IdM admin password> \
       --server <IdM server hostname> \
       --realm <overcloud cloud domain (in upper case)> \
       --domain <overcloud cloud domain> \
       --hostname <undercloud hostname> \
       --precreate

   다음 섹션에서는 생성된 TTL(단시간 암호)을 사용하여 언더클라우드를 등록합니다.

1. novajoin 서비스는 기본적으로 비활성화되어 있습니다. 활성화하려면 다음을 수행합니다.

   [DEFAULT]
   enable_novajoin = true

2. 언더클라우드 노드를 IdM에 등록하려면 One-Time Password(OTP)를 설정해야 합니다.

   ipa_otp = <otp>

3. neutron의 DHCP 서버에서 제공하는 오버클라우드의 도메인 이름이 IdM 도메인(대소문자의 kerberos 영역)과 일치하는지 확인합니다.

   overcloud_domain_name = <domain>

4. 언더클라우드에 적절한 호스트 이름을 설정합니다.

   undercloud_hostname = <undercloud FQDN>

5. IdM을 언더클라우드의 네임서버로 설정합니다.

   undercloud_nameservers = <IdM IP>

6. 대규모 환경의 경우 novajoin 연결 시간 초과 값을 검토해야 합니다. undercloud.conf 에서 이름이 undercloud-timeout.yaml 인 새 파일에 대한 참조를 추가합니다.

   hieradata_override = /home/stack/undercloud-timeout.yaml

   undercloud-timeout.yaml 에 다음 옵션을 추가합니다. 시간 제한 값을 초 단위로 지정할 수 있습니다(예: 5:

   nova::api::vendordata_dynamic_connect_timeout: <timeout value>
   nova::api::vendordata_dynamic_read_timeout: <timeout value>

7. undercloud.conf 파일을 저장합니다.

8. 언더클라우드 배포 명령을 실행하여 기존 언더클라우드에 변경 사항을 적용합니다.

   $ openstack undercloud install

검증

1. 언더클라우드의 키 항목의 키탭 파일을 확인합니다.

    [root@undercloud-0 ~]# klist -kt
    Keytab name: FILE:/etc/krb5.keytab
    KVNO Timestamp           Principal
    ---- ------------------- ------------------------------------------------------
       1 04/28/2020 12:22:06 host/undercloud-0.redhat.local@REDHAT.LOCAL
       1 04/28/2020 12:22:06 host/undercloud-0.redhat.local@REDHAT.LOCAL
   
   
    [root@undercloud-0 ~]# klist -kt /etc/novajoin/krb5.keytab
    Keytab name: FILE:/etc/novajoin/krb5.keytab
    KVNO Timestamp           Principal
    ---- ------------------- ------------------------------------------------------
       1 04/28/2020 12:22:26 nova/undercloud-0.redhat.local@REDHAT.LOCAL
       1 04/28/2020 12:22:26 nova/undercloud-0.redhat.local@REDHAT.LOCAL

2. /etc/krb.keytab 파일을 호스트 원칙으로 테스트합니다.

    [root@undercloud-0 ~]# kinit -k
    [root@undercloud-0 ~]# klist
    Ticket cache: KEYRING:persistent:0:0
    Default principal: host/undercloud-0.redhat.local@REDHAT.LOCAL
   
    Valid starting       Expires              Service principal
    05/04/2020 10:34:30  05/05/2020 10:34:30  krbtgt/REDHAT.LOCAL@REDHAT.LOCAL
   
    [root@undercloud-0 ~]# kdestroy
    Other credential caches present, use -A to destroy all

3. novajoin /etc/novajoin/krb.keytab 파일을 nova 원칙으로 테스트합니다.

    [root@undercloud-0 ~]# kinit -kt /etc/novajoin/krb5.keytab 'nova/undercloud-0.redhat.local@REDHAT.LOCAL'
    [root@undercloud-0 ~]# klist
    Ticket cache: KEYRING:persistent:0:0
    Default principal: nova/undercloud-0.redhat.local@REDHAT.LOCAL
   
    Valid starting       Expires              Service principal
    05/04/2020 10:39:14  05/05/2020 10:39:14  krbtgt/REDHAT.LOCAL@REDHAT.LOCAL