Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

第 1 章 将 OpenStack Identity (keystone)与 Active Directory 集成

您可以将 OpenStack Identity (keystone)与 Microsoft Active Directory Domain Service (AD DS)集成。Identity Service 验证某些活动目录域服务(AD DS)用户,但在 Identity Service 数据库中保留授权设置和关键服务帐户。因此,身份服务具有对 AD DS 进行用户帐户身份验证的只读访问权限,并继续管理分配给经过身份验证的用户的帐户的权限。

通过将 Identity 服务与 AD DS 集成,您可以允许 AD DS 用户对 Red Hat OpenStack Platform (RHOSP)进行身份验证来访问资源。RHOSP 服务帐户(如 Identity Service 和 Image 服务)和授权管理保留在 Identity Service 数据库中。使用 Identity Service 管理工具将权限和角色分配给 AD DS 帐户。

将 OpenStack Identity 与 Active Directory 集成的过程包括以下阶段:

  1. 配置 Active Directory 凭证并导出 LDAPS 证书
  2. 在 OpenStack 中安装和配置 LDAPS 证书
  3. 将 director 配置为使用一个或多个 LDAP 后端
  4. 配置 Controller 节点以访问 Active Directory 后端
  5. 配置 Active Directory 用户或组对 OpenStack 项目的访问权限
  6. 验证域和用户列表是否已正确创建
  7. 可选:为非管理员用户创建凭证文件。

1.1. 配置 Active Directory 凭证
复制链接

要将 Active Directory 域服务(AD DS)配置为与 OpenStack 身份集成,请设置要使用的 Identity 服务的 LDAP 帐户,为 Red Hat OpenStack 用户创建一个用户组,并导出要在 Red Hat OpenStack Platform 部署中使用的 LDAPS 证书公钥。

先决条件

  • Active Directory 域服务已配置且可操作。
  • Red Hat OpenStack Platform 已配置且可操作。
  • DNS 名称解析可以完全正常工作,所有主机都被正确注册。
  • AD DS 身份验证流量使用 LDAPS 进行加密,使用端口 636。
  • 建议:实施 AD DS,具有高可用性或负载平衡解决方案,以避免出现单点故障。

流程

在 Active Directory 服务器上执行这些步骤。

  1. 创建 LDAP 查找帐户。Identity Service 使用这个帐户来查询 AD DS LDAP 服务: 

    PS C:\> New-ADUser -SamAccountName svc-ldap -Name "svc-ldap" -GivenName LDAP -Surname Lookups -UserPrincipalName svc-ldap@lab.local  -Enabled $false -PasswordNeverExpires $true -Path 'OU=labUsers,DC=lab,DC=local'
    Copy to Clipboard Toggle word wrap

  2. 为这个帐户设置密码,然后启用它。系统将提示您指定一个符合 AD 域复杂性要求的密码: 

    PS C:\> Set-ADAccountPassword svc-ldap -PassThru | Enable-ADAccount
    Copy to Clipboard Toggle word wrap

  3. 为 RHOSP 用户创建一个名为 grp-openstack 的组。只有此组的成员可以在 OpenStack Identity 中分配权限。 

    PS C:\> NEW-ADGroup -name "grp-openstack" -groupscope Global -path "OU=labUsers,DC=lab,DC=local"
    Copy to Clipboard Toggle word wrap

  4. 创建项目组: 

    PS C:\> NEW-ADGroup -name "grp-openstack-demo" -groupscope Global -path "OU=labUsers,DC=lab,DC=local"
PS C:\> NEW-ADGroup -name "grp-openstack-admin" -groupscope Global -path "OU=labUsers,DC=lab,DC=local"
    Copy to Clipboard Toggle word wrap

  5. svc-ldap 用户添加到 grp-openstack 组中: 

    PS C:\> ADD-ADGroupMember "grp-openstack" -members "svc-ldap"
    Copy to Clipboard Toggle word wrap
  6. 在 AD 域控制器中,使用证书 MMC 将 LDAPS 证书的公钥(而不是私钥)导出为 DER 编码的 x509 .cer 文件。将此文件发送到 RHOSP 管理员。

  7. 检索 AD DS 域的 NetBIOS 名称。 

    PS C:\> Get-ADDomain | select NetBIOSName
NetBIOSName
-----------
LAB
    Copy to Clipboard Toggle word wrap

    将此值发送到 RHOSP 管理员。

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat