2.2. 配置 LDAPS 证书


注意

当使用多个域进行 LDAP 身份验证时,您可能会收到各种错误,如 Unable to retrieve authorized projects,否则 无法识别 Peer 的证书签发者。如果 keystone 对某个域使用不正确的证书,会出现这种情况。作为临时解决方案,将所有 LDAPS 公钥合并到一个 .crt 捆绑包中,并配置所有 keystone 域以使用此文件。

  1. 在 IdM 环境中,找到 LDAPS 证书。此文件可以使用 /etc/openldap/ldap.conf

    TLS_CACERT /etc/ipa/ca.crt
  2. 将 文件复制到运行 keystone 服务的 OpenStack 节点。例如,这个命令使用 scp 将 ca.crt 复制到名为 node.lab.local 的节点上:

    # scp /etc/ipa/ca.crt root@node.lab.local:/root/
  3. 在 OpenStack 节点上,将 .crt 转换为 .pem:

    # openssl x509 -in ca.crt -out ca.pem -outform PEM
  4. 将 .crt 复制到证书目录中。这是 keystone 服务用来访问证书的位置:

    # cp ca.crt /etc/pki/ca-trust/source/anchors
注意

另外,如果您需要运行诊断命令,如 ldapsearch,您还需要将证书添加到 RHEL 证书存储中。例如:

# cp ca.pem /etc/pki/ca-trust/source/anchors/
# update-ca-trust
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.