5.3.4. LDAPS 설정
Ceph Object Gateway는 간단한 ID와 암호를 사용하여 LDAP 서버로 인증하므로 연결에는 LDAP용 SSL 인증서가 필요합니다. LDAP용 디렉터리 서버를 구성하려면 Red Hat Directory Server 11 관리 가이드 의 보안 연결 구성 장을 참조하십시오.
LDAP가 작동하고 나면 Directory Server의 인증서를 신뢰하도록 Ceph Object Gateway 서버를 구성합니다.
- LDAP 서버의 SSL 인증서에 서명한 CA(인증 기관)에 대한 PEM 형식의 인증서를 추출/다운로드.
-
/etc/openldap/ldap.conf에TLS_RE¢ERT가 설정되어있지 않은지 확인합니다. -
/etc/openldap/ldap.conf에TLS_CACERTDIR /etc/openldap/certs설정이 포함되어 있는지 확인합니다. certutil명령을 사용하여 AD CA를/etc/openldap/certs의 저장소에 추가합니다.예를 들어 CA가 "msad-frog-MSAD-FROG-CA"이고 PEM 형식 CA 파일이ldap.pem인 경우 다음 명령을 사용합니다.# certutil -d /etc/openldap/certs -A -t "TC,," -n "msad-frog-MSAD-FROG-CA" -i /path/to/ldap.pem
모든 원격 LDAP 사이트에서 SELinux를 업데이트합니다.
# setsebool -P httpd_can_network_connect on
참고SELinux가 허용 모드인 경우에도 이 설정은 계속 설정해야 합니다.
인증서 데이터베이스를누구나 읽을 수 있게 만듭니다.# chmod 644 /etc/openldap/certs/*
"ldapwhoami"를 루트가 아닌 사용자로 사용하여 서버에 연결합니다. 예를 들면 다음과 같습니다.
$ ldapwhoami -H ldaps://rh-directory-server.example.com -d 9
d 9 옵션은 SSL 협상에서 문제가 발생하는 경우 디버깅 정보를 제공합니다.
