2장. Identity Management Integration
Red Hat IdM(Identity Manager)과 OpenStack ID 통합을 계획할 때 두 서비스가 모두 구성되고 작동하는지 확인하고 사용자 관리 및 방화벽 설정에 대한 통합의 영향을 검토합니다. Red Hat Identity Manager IdM은 로드 밸런싱을 수행하기 위해 SRV 레코드에 따라 다릅니다. IdM 앞에 로드 밸런서를 배치해서는 안 됩니다.
- 사전 요구 사항
- Red Hat Identity Management 구성 및 운영.
- Red Hat OpenStack Platform이 구성 및 작동합니다.
- DNS 이름 확인이 완전히 작동하며 모든 호스트가 적절하게 등록됩니다.
- 권한 및 역할
- 이 통합을 통해 IdM 사용자는 OpenStack에 인증하고 리소스에 액세스할 수 있습니다. OpenStack 서비스 계정(예: keystone 및 glance) 및 권한 관리(권한 및 역할)은 ID 서비스 데이터베이스에 유지됩니다. 권한 및 역할은 ID 서비스 관리 툴을 사용하여 IdM 계정에 할당됩니다.
- 고가용성 옵션
- 이 구성은 단일 IdM 서버의 가용성에 종속됩니다. ID 서비스를 IdM 서버에 인증할 수 없는 경우 프로젝트 사용자가 영향을 받습니다. IdM 앞에 로드 밸런서를 배치하는 것은 권장되지 않지만 다른 IdM 서버를 쿼리하도록 keystone을 구성할 수 있습니다.
- 중단 요구 사항
- IdM 백엔드를 추가하려면 ID 서비스를 다시 시작해야 합니다.
- 사용자는 IdM에서 계정을 생성할 때까지 대시보드에 액세스할 수 없습니다. 다운타임을 줄이려면 이 변경 전에 IdM 계정을 미리 태그하는 것이 좋습니다.
- 방화벽 구성
IdM과 OpenStack 간의 통신은 다음과 같습니다.
- 사용자 인증
- 2시간마다 컨트롤러에서 CRL(인증서 해지 목록)의 IdM 검색
- 만료 시 새 인증서에 대한 certmonger 요청
초기 요청이 실패하는 경우 주기적인 certmonger 작업은 새 인증서를 계속 요청합니다.
방화벽이 IdM과 OpenStack 간의 트래픽을 필터링하는 경우 다음 포트를 통해 액세스를 허용해야 합니다.
+
| 소스 | 대상 | 유형 | 포트 |
| OpenStack 컨트롤러 노드 | Red Hat Identity Management | LDAPS | TCP 636 |
2.1. IdM 서버 설정
IdM 서버에서 다음 명령을 실행합니다.
LDAP 조회 계정을 생성합니다. 이 계정은 ID 서비스에서 IdM LDAP 서비스를 쿼리하는 데 사용됩니다.
# kinit admin # ipa user-add First name: OpenStack Last name: LDAP User [radministrator]: svc-ldap
참고생성된 후 이 계정의 암호 만료 설정을 검토합니다.
grp-openstack 이라는 OpenStack 사용자를 위한 그룹을 생성합니다. 이 그룹의 멤버만 OpenStack ID에 할당된 권한이 있을 수 있습니다.
# ipa group-add --desc="OpenStack Users" grp-openstack
svc-ldap 계정 암호를 설정하고 grp-openstack 그룹에 추가합니다.
# ipa passwd svc-ldap # ipa group-add-member --users=svc-ldap grp-openstack
svc-ldap 사용자로 로그인하고 메시지가 표시되면 암호 변경을 수행합니다.
# kinit svc-ldap
