4.8. LDAP를 사용한 인증

외부 ID 공급자(IdP)를 사용하여 OpenStack 서비스 공급자(SP)에 인증할 수 있습니다. 이 경우 서비스 프로바이더는 OpenStack 클라우드에서 제공하는 서비스입니다.

인증 및 권한 부여 서비스의 경우 OpenStack ID 모델은 외부 인증 데이터베이스를 별도의 keystone 도메인으로 간주합니다. 각 외부 인증 메커니즘은 여러 개의 공존 도메인을 지원하는 keystone 도메인과 연결됩니다. 역할을 사용하여 외부 도메인의 사용자에게 클라우드의 리소스에 대한 액세스 권한을 부여할 수 있습니다. 이 방법은 도메인 간 다중 프로젝트 배포에서도 작동합니다. 또한 모든 OpenStack 역할을 외부에서 인증된 사용자에게 매핑할 수 없으므로 이 방법은 구성별 정책에도 영향을 미칩니다. 예를 들어 외부 인증 데이터베이스의 사용자가 admin 도메인 의 admin 사용자와 유사한 관리 액세스 권한이 필요한 경우 일반적으로 추가 구성 및 고려 사항이 필요합니다.

외부 인증에서는 추가 ID를 프로비저닝하거나 여러 번 로그인할 필요 없이 기존 자격 증명을 사용하여 여러 인증 정보 집합을 사용하여 여러 엔드포인트에서 서버, 볼륨 및 데이터베이스와 같은 클라우드 리소스에 액세스할 수 있습니다. 자격 증명은 사용자의 ID 프로바이더가 유지 관리합니다.

ID 서비스는 사용자 자격 증명을 SQL 데이터베이스에 저장하거나 LDAP 호환 디렉터리 서버를 사용할 수 있습니다. ID 데이터베이스는 저장된 자격 증명의 손상 위험을 줄이기 위해 다른 OpenStack 서비스에서 사용하는 데이터베이스와 분리될 수 있습니다.

사용자 이름과 암호를 사용하여 인증할 때 ID는 암호 강도, 만료 또는 실패한 인증 시도에 정책을 적용하지 않습니다. 더 강력한 암호 정책을 적용하려는 조직은 ID 확장 또는 외부 인증 서비스를 사용하는 것이 좋습니다.

LDAP는 조직의 기존 디렉터리 서비스 및 사용자 계정 관리 프로세스에 ID 인증 통합을 간소화합니다. OpenStack의 인증 및 권한 부여 정책은 다른 서비스에 위임될 수 있습니다. 일반적인 사용 사례는 사설 클라우드를 배포하려고 하며 LDAP 시스템에 직원 및 사용자의 데이터베이스가 이미 있는 조직입니다. 이를 인증 기관으로 사용하면 ID 서비스에 대한 요청이 LDAP 시스템에 위임되므로 정책에 따라 인증 또는 거부됩니다. 인증에 성공하면 ID 서비스에서 권한 있는 서비스에 액세스하는 데 사용되는 토큰을 생성합니다.

LDAP 시스템에 admin, finance, HR 등과 같은 사용자에 대해 정의된 속성이 있는 경우 다양한 OpenStack 서비스에서 사용할 수 있도록 ID 내의 역할 및 그룹에 매핑해야 합니다. /var/lib/config-data/puppet-generated/keystone/etc/keystone/keystone.conf 파일은 LDAP 속성을 ID 속성에 매핑합니다.