第 2 章 Identity Management 集成
规划 OpenStack 身份与 Red Hat Identity Manager (IdM)集成时,请确保这两个服务都已配置并正在运行,并审查集成与用户管理和防火墙设置的影响。Red Hat Identity Manager IdM 依赖于 SRV 记录来实现负载平衡。您不应该将负载均衡器放在 IdM 的前面。
- 前提条件
- Red Hat Identity Management 是配置且可操作。
- Red Hat OpenStack Platform 是配置且可操作。
- DNS 名称解析可以完全正常工作,所有主机都正确注册。
- 权限和角色
- 此集成允许 IdM 用户对 OpenStack 进行验证并访问资源。OpenStack 服务帐户(如 keystone 和 glance)和授权管理(权限和角色)将保留在 Identity Service 数据库中。使用身份服务管理工具为 IdM 帐户分配权限和角色。
- 高可用性选项
- 这个配置会依赖于单个 IdM 服务器的可用性:如果 Identity Service 无法向 IdM 服务器进行身份验证,则项目用户将会受到影响。不建议将负载均衡器放在 IdM 前,但您可以将 keystone 配置为查询不同的 IdM 服务器,应该不可用。
- 中断要求
- 为了添加 IdM 后端,需要重启 Identity Service。
- 在 IdM 中创建其帐户后,用户才能访问仪表板。要减少停机时间,请考虑预先创建 IdM 帐户。
- 防火墙配置
IdM 和 OpenStack 之间的通信包括以下内容:
- 验证用户
- IdM 每隔两小时从控制器检索证书撤销列表(CRL)
- 在过期时为新证书的 certmonger 请求
如果初始请求失败,则定期 certmonger 任务将继续请求新证书。
如果在 IdM 和 OpenStack 间过滤防火墙流量,您需要允许通过以下端口进行访问:
+
| 源 | 目的地 | 类型 | 端口 |
| OpenStack Controller 节点 | Red Hat Identity Management | LDAPS | TCP 636 |
2.1. 配置 IdM 服务器
在 IdM 服务器中运行这些命令:
创建 LDAP 查找帐户。Identity Service 使用这个帐户查询 IdM LDAP 服务:
# kinit admin # ipa user-add First name: OpenStack Last name: LDAP User [radministrator]: svc-ldap
注意创建之后,查看此帐户的密码过期设置。
为 OpenStack 用户创建一个组,取名为 grp-openstack。只有此组成员才能在 OpenStack 身份服务中分配权限。
# ipa group-add --desc="OpenStack Users" grp-openstack
设置 svc-ldap 帐户密码,并将其添加到 grp-openstack 组中:
# ipa passwd svc-ldap # ipa group-add-member --users=svc-ldap grp-openstack
以 svc-ldap 用户身份登录,并在系统提示时执行密码更改:
# kinit svc-ldap
