5.3. 将 director 配置为使用域特定的 LDAP 后端

流程

1. 在部署的 heat 模板中，将 KeystoneLDAPDomainEnable 标志设为 true。这会在 identity 配置组中的 keystone 中的 domain_specific_drivers_enabled 选项。
2. 通过在 tripleo-heat-templates 中设置 KeystoneLDAPBackendConfigs 参数来添加 LDAP 后端配置的规格，然后您可以指定所需的 LDAP 选项。

3. 创建 keystone_domain_specific_ldap_backend.yaml 环境文件的副本：

   $ cp /usr/share/openstack-tripleo-heat-templates/environments/services/keystone_domain_specific_ldap_backend.yaml /home/stack/templates/

   Copy to Clipboard Toggle word wrap

4. 编辑 /home/stack/templates/keystone_domain_specific_ldap_backend.yaml 环境文件，并将值设置为适合您的部署。例如，此参数为名为 testdomain 的 keystone 域创建 LDAP 配置：

       parameter_defaults:
         KeystoneLDAPDomainEnable: true
         KeystoneLDAPBackendConfigs:
           use_pool: False
           testdomain:
             url: ldaps://192.0.2.250
             user: cn=openstack,ou=Users,dc=director,dc=example,dc=com
             password: RedactedComplexPassword
             suffix: dc=director,dc=example,dc=com
             user_tree_dn: ou=Users,dc=director,dc=example,dc=com
             user_filter: "(memberOf=cn=OSuser,ou=Groups,dc=director,dc=example,dc=com)"
             user_objectclass: person
             user_id_attribute: cn

   Copy to Clipboard Toggle word wrap
   注意
   • 确保将 use_pool 参数的值设置为 False。在超过池大小时，使用 LDAP 池可能会导致 TIMEOUT 或 SERVERDOWN 错误。

   • keystone_domain_specific_ldap_backend.yaml 环境文件包含以下已弃用的参数，它们对部署没有影响，可以安全地删除：

     • user_allow_create
     • user_allow_update
     • user_allow_delete

5. 可选：在环境文件中添加更多域。例如：

       KeystoneLDAPBackendConfigs:
         domain1:
           url: ldaps://domain1.example.com
           user: cn=openstack,ou=Users,dc=director,dc=example,dc=com
           password: RedactedComplexPassword
           ...
         domain2:
           url: ldaps://domain2.example.com
           user: cn=openstack,ou=Users,dc=director,dc=example,dc=com
           password: RedactedComplexPassword
           ...

   Copy to Clipboard Toggle word wrap

   这会生成两个名为 domain1 和 domain2 的域；每个域都有一个不同的 LDAP 域，它们都有自己的配置。