2.2. 配置 LDAPS 证书
注意
当使用多个域进行 LDAP 身份验证时,您可能会收到各种错误,如 Unable to retrieve authorized projects
,否则 无法识别 Peer 的证书签发者
。如果 keystone 对某个域使用不正确的证书,会出现这种情况。作为临时解决方案,将所有 LDAPS 公钥合并到一个 .crt
捆绑包中,并配置所有 keystone 域以使用此文件。
在 IdM 环境中,找到 LDAPS 证书。此文件可以使用 /etc/openldap/ldap.conf :
TLS_CACERT /etc/ipa/ca.crt
将 文件复制到运行 keystone 服务的 OpenStack 节点。例如,这个命令使用 scp 将 ca.crt 复制到名为 node.lab.local 的节点上:
# scp /etc/ipa/ca.crt root@node.lab.local:/root/
在 OpenStack 节点上,将 .crt 转换为 .pem:
# openssl x509 -in ca.crt -out ca.pem -outform PEM
将 .crt 复制到证书目录中。这是 keystone 服务用来访问证书的位置:
# cp ca.crt /etc/pki/ca-trust/source/anchors
注意
另外,如果您需要运行诊断命令,如 ldapsearch
,您还需要将证书添加到 RHEL 证书存储中。例如:
# cp ca.pem /etc/pki/ca-trust/source/anchors/ # update-ca-trust