Red Hat Summit1.6. Active Directory 도메인 서비스 구성
이 섹션에서는 Active Directory 관리자가 수행해야 하는 작업에 대해 설명합니다.
| Task | 세부 정보 |
| 서비스 계정을 생성합니다. |
서비스 계정에 대한 이름 지정 규칙에 따라 이름이 지정될 수 있습니다(예: |
| 사용자 그룹을 생성합니다. |
사용자가 OpenStack에 액세스해야 하는 경우 해당 사용자가 이 그룹의 멤버여야 합니다. 사용자 그룹에 대한 이름 지정 규칙에 따라 이름이 지정될 수 있습니다(예: |
| 프로젝트 그룹을 생성합니다. |
각 OpenStack 프로젝트에는 해당 AD 그룹이 필요합니다. 예를 들어 |
| 서비스 계정을 구성합니다. |
서비스 계정 |
| LDAPS 공개 키를 내보냅니다. |
공개 키(개인 키가 아님)를 |
| 이 키를 OpenStack 관리자에게 보냅니다. | OpenStack 관리자는 이 키를 사용하여 OpenStack과 Active Directory 간의 LDAPS 통신을 암호화합니다. |
| AD DS 도메인의 NetBIOS 이름을 검색합니다. | OpenStack 관리자는 이 이름을 Keystone 도메인에 사용하므로 환경 간에 도메인 이름을 일관되게 지정할 수 있습니다. |
예를 들어 다음 절차에서는 Active Directory 도메인 컨트롤러에서 실행되는 PowerShell 명령을 보여줍니다.
1. LDAP 조회 계정을 생성합니다. 이 계정은 ID 서비스에서 AD DS LDAP 서비스를 쿼리하는 데 사용됩니다.
PS C:\> New-ADUser -SamAccountName svc-ldap -Name "svc-ldap" -GivenName LDAP -Surname Lookups -UserPrincipalName svc-ldap@lab.local -Enabled $false -PasswordNeverExpires $true -Path 'OU=labUsers,DC=lab,DC=local'
2. 이 계정의 암호를 설정한 다음 활성화합니다. AD 도메인의 복잡성 요구 사항을 준수하는 암호를 지정하라는 메시지가 표시됩니다.
PS C:\> Set-ADAccountPassword svc-ldap -PassThru | Enable-ADAccount
3. grp-openstack 이라는 OpenStack 사용자를 위한 그룹을 만듭니다.
PS C:\> NEW-ADGroup -name "grp-openstack" -groupscope Global -path "OU=labUsers,DC=lab,DC=local"
4. 프로젝트 그룹을 생성합니다.
PS C:\> NEW-ADGroup -name "grp-openstack-demo" -groupscope Global -path "OU=labUsers,DC=lab,DC=local" PS C:\> NEW-ADGroup -name "grp-openstack-admin" -groupscope Global -path "OU=labUsers,DC=lab,DC=local"
5. svc-ldap 사용자를 grp-openstack 그룹에 추가합니다.
PS C:\> ADD-ADGroupMember "grp-openstack" -members "svc-ldap"
6. AD 도메인 컨트롤러에서 인증서 MMC 를 사용하여 LDAPS 인증서의 공개 키(개인 키가 아님)를 DER 인코딩 x509 .cer 파일로 내보냅니다. 이 파일을 OpenStack 관리자에게 보냅니다.
7. AD DS 도메인의 NetBIOS 이름을 검색합니다.
PS C:\> Get-ADDomain | select NetBIOSName NetBIOSName ----------- LAB
이 값을 OpenStack 관리자에게 보냅니다.
