1.4. 配置 Active Directory Domain Services


本节介绍了 Active Directory 管理员需要完成的任务:

表 1.1. 配置步骤

任务

详情

创建一个服务帐户。

这可根据您的服务帐户的命名约定进行命名,例如: svc-ldap。这可以是常规域用户帐户。不需要管理员特权。

创建用户组。

如果用户需要访问 OpenStack,则他们必须是此组的成员。这可以通过您的用户组命名规则进行命名,例如: grp-openstack。如果此组的成员也是 项目 组的成员,则可以在控制面板中授予项目的访问权限。

创建项目组。

每个 OpenStack 项目都需要一个对应的 AD 组。例如,grp-openstack-demogrp-openstack-admin

配置服务帐户。

服务帐户 svc-ldap 必须是 grp-openstack 组的成员。

导出 LDAPS 公钥。

以以下格式导出公钥(而不是私钥):DER -encoded x509 .cer 文件。

将密钥发送到 OpenStack 管理员。

OpenStack 管理员将使用此密钥加密 OpenStack 和 Active Directory 之间的 LDAPS 通信。

检索 AD DS 域的 NetBIOS 名称。

OpenStack 管理员将该名称用于 Keystone 域,允许在环境之间实现一致的域命名。

例如,以下过程显示了在 Active Directory Domain Controller 上运行的 PowerShell 命令:

  1. 创建 LDAP 查找帐户。身份服务使用此帐户查询 AD DS LDAP 服务:

    PS C:\> New-ADUser -SamAccountName svc-ldap -Name "svc-ldap" -GivenName LDAP -Surname Lookups -UserPrincipalName svc-ldap@lab.local  -Enabled $false -PasswordNeverExpires $true -Path 'OU=labUsers,DC=lab,DC=local'
  2. 为此帐户设置密码,然后启用它。系统会提示您输入一个满足 AD 域复杂性要求的密码:

    PS C:\> Set-ADAccountPassword svc-ldap -PassThru | Enable-ADAccount
  3. 为 OpenStack 用户创建一个组,取名为 grp-openstack

    PS C:\> NEW-ADGroup -name "grp-openstack" -groupscope Global -path "OU=labUsers,DC=lab,DC=local"
  4. 创建项目组:

    PS C:\> NEW-ADGroup -name "grp-openstack-demo" -groupscope Global -path "OU=labUsers,DC=lab,DC=local"
    PS C:\> NEW-ADGroup -name "grp-openstack-admin" -groupscope Global -path "OU=labUsers,DC=lab,DC=local"
  5. svc-ldap 用户添加到 grp-openstack 组中:

    PS C:\> ADD-ADGroupMember "grp-openstack" -members "svc-ldap"
  6. 在 AD Domain Controller 中,使用 证书 MMC 将 LDAPS 证书的公钥(而不是私钥)导出为 DER 编码的 x509 .cer 文件。将此文件发送到 OpenStack 管理员。
  7. 检索 AD DS 域的 NetBIOS 名称。

    PS C:\> Get-ADDomain | select NetBIOSName
    NetBIOSName
    -----------
    LAB

将此值发送到 OpenStack 管理员。

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.