2.7. 配置 director 以使用域特定的 LDAP 后端

流程

1. 在部署的 heat 模板中，将 KeystoneLDAPDomainEnable 标志设置为 true。这会在 identity 配置组中的 keystone 中的 domain_specific_drivers_enabled 选项。
2. 通过在 tripleo-heat-templates 中设置 KeystoneLDAPBackendConfigs 参数来添加 LDAP 后端配置的规格，然后您可以指定所需的 LDAP 选项。

3. 创建 keystone_domain_specific_ldap_backend.yaml 环境文件的副本：

   $ cp /usr/share/openstack-tripleo-heat-templates/environments/services/keystone_domain_specific_ldap_backend.yaml /home/stack/templates/

   Copy to Clipboard Toggle word wrap

4. 编辑 /home/stack/templates/keystone_domain_specific_ldap_backend.yaml 环境文件，并设置这些值以适应您的部署。例如，此参数为名为 testdomain 的 keystone 域创建 LDAP 配置：

       parameter_defaults:
         KeystoneLDAPDomainEnable: true
         KeystoneLDAPBackendConfigs:
           testdomain:
             url: ldaps://192.0.2.250
             user: cn=openstack,ou=Users,dc=director,dc=example,dc=com
             password: RedactedComplexPassword
             suffix: dc=director,dc=example,dc=com
             user_tree_dn: ou=Users,dc=director,dc=example,dc=com
             user_filter: "(memberOf=cn=OSuser,ou=Groups,dc=director,dc=example,dc=com)"
             user_objectclass: person
             user_id_attribute: cn

   Copy to Clipboard Toggle word wrap
   注意

   keystone_domain_specific_ldap_backend.yaml 环境文件包含以下已弃用的写入参数：

   • user_allow_create
   • user_allow_update
   • user_allow_delete

   这些参数的值对部署没有影响，可以安全地删除。

5. 可选：在环境文件中添加更多域。例如：

       KeystoneLDAPBackendConfigs:
         domain1:
           url: ldaps://domain1.example.com
           user: cn=openstack,ou=Users,dc=director,dc=example,dc=com
           password: RedactedComplexPassword
           ...
         domain2:
           url: ldaps://domain2.example.com
           user: cn=openstack,ou=Users,dc=director,dc=example,dc=com
           password: RedactedComplexPassword
           ...

   Copy to Clipboard Toggle word wrap

   这会导致名为 domain1 和 domain2 的两个域；各自具有不同的 LDAP 域，它们都有自己的配置。