16.2. 将 undercloud 添加到 IdM

1. 默认情况下，禁用 novajoin 服务。启用它：

   [DEFAULT]
   enable_novajoin = true

   Copy to Clipboard Toggle word wrap

2. 您需要设置一个一次性密码(OTP)，以使用 IdM 注册 undercloud 节点：

   ipa_otp = <otp>

   Copy to Clipboard Toggle word wrap

3. 确保 neutron 的 DHCP 服务器提供 overcloud 的域名与 IdM 域（您小写的 kerberos 域）匹配：

   overcloud_domain_name = <domain>

   Copy to Clipboard Toggle word wrap

4. 为 undercloud 设置适当的主机名：

   undercloud_hostname = <undercloud FQDN>

   Copy to Clipboard Toggle word wrap

5. 将 IdM 设置为 undercloud 的名称服务器：

   undercloud_nameservers = <IdM IP>

   Copy to Clipboard Toggle word wrap

6. 对于较大的环境，您需要查看 novajoin 连接超时值。在 undercloud.conf 中，添加对名为 undercloud-timeout.yaml 的新文件的引用：

   hieradata_override = /home/stack/undercloud-timeout.yaml

   Copy to Clipboard Toggle word wrap

   在 undercloud-timeout.yaml 中添加以下选项。您可以指定超时值（以秒为单位），例如 5 ：

   nova::api::vendordata_dynamic_connect_timeout: <timeout value>
   nova::api::vendordata_dynamic_read_timeout: <timeout value>

   Copy to Clipboard Toggle word wrap
7. 保存 undercloud.conf 文件。

8. 运行 undercloud 部署命令，将更改应用到现有的 undercloud：

   $ openstack undercloud install

   Copy to Clipboard Toggle word wrap

验证

1. 检查 keytab 文件是否有 undercloud 的密钥条目：

    [root@undercloud-0 ~]# klist -kt
    Keytab name: FILE:/etc/krb5.keytab
    KVNO Timestamp           Principal
    ---- ------------------- ------------------------------------------------------
       1 04/28/2020 12:22:06 host/undercloud-0.redhat.local@REDHAT.LOCAL
       1 04/28/2020 12:22:06 host/undercloud-0.redhat.local@REDHAT.LOCAL
   
   
    [root@undercloud-0 ~]# klist -kt /etc/novajoin/krb5.keytab
    Keytab name: FILE:/etc/novajoin/krb5.keytab
    KVNO Timestamp           Principal
    ---- ------------------- ------------------------------------------------------
       1 04/28/2020 12:22:26 nova/undercloud-0.redhat.local@REDHAT.LOCAL
       1 04/28/2020 12:22:26 nova/undercloud-0.redhat.local@REDHAT.LOCAL

   Copy to Clipboard Toggle word wrap

2. 使用主机原则测试系统 /etc/krb.keytab 文件：

    [root@undercloud-0 ~]# kinit -k
    [root@undercloud-0 ~]# klist
    Ticket cache: KEYRING:persistent:0:0
    Default principal: host/undercloud-0.redhat.local@REDHAT.LOCAL
   
    Valid starting       Expires              Service principal
    05/04/2020 10:34:30  05/05/2020 10:34:30  krbtgt/REDHAT.LOCAL@REDHAT.LOCAL
   
    [root@undercloud-0 ~]# kdestroy
    Other credential caches present, use -A to destroy all

   Copy to Clipboard Toggle word wrap

3. 使用 nova 原则测试 novajoin /etc/novajoin/krb.keytab 文件：

    [root@undercloud-0 ~]# kinit -kt /etc/novajoin/krb5.keytab 'nova/undercloud-0.redhat.local@REDHAT.LOCAL'
    [root@undercloud-0 ~]# klist
    Ticket cache: KEYRING:persistent:0:0
    Default principal: nova/undercloud-0.redhat.local@REDHAT.LOCAL
   
    Valid starting       Expires              Service principal
    05/04/2020 10:39:14  05/05/2020 10:39:14  krbtgt/REDHAT.LOCAL@REDHAT.LOCAL

   Copy to Clipboard Toggle word wrap