第 2 章 将 OpenStack 身份(keystone)与红帽身份管理器(IdM)集成
当您将 OpenStack Identity (keystone)与 Red Hat Identity Manager (IdM)集成时,OpenStack Identity 会验证某些 Red Hat Identity Management (IdM)用户,但在 Identity Service 数据库中保留授权设置和关键服务帐户。因此,Identity Service 对 IdM 具有对 IdM 进行用户帐户身份验证的只读访问权限,同时保留对分配给经过身份验证的帐户的权限的管理。您还可以使用 novajoin
将节点注册到 IdM。
此集成的配置文件由 Puppet 管理。因此,您添加的任何自定义配置都会在下次运行 openstack overcloud deploy
命令时被覆盖。您可以使用 director 配置 LDAP 身份验证,而不是手动编辑配置文件。
在计划并配置 IdM 集成前,请查看以下关键术语:
- 身份验证 - 使用密码验证用户是否声明的进程。
- 授权 - 验证经过身份验证的用户对试图访问的系统具有适当权限。
- 域 - 请参阅在 Identity Service 中配置的额外后端。例如,可将 Identity Service 配置为从外部 IdM 环境验证用户身份。生成的用户集合可以被视为 域。
将 OpenStack 身份与 IdM 集成的过程包括以下阶段:
- 使用 novajoin 在 IdM 中注册 undercloud 和 overcloud
- 使用 Ansible 在 undercloud 和 overcloud 中实施 TLS-e
- 配置 IdM 服务器凭证并导出 LDAPS 证书
- 在 OpenStack 中安装和配置 LDAPS 证书
- 将 director 配置为使用一个或多个 LDAP 后端
- 配置 Controller 节点以访问 IdM 后端
- 配置 IdM 用户或组对 OpenStack 项目的访问权限
- 验证域和用户列表是否已正确创建
- 可选:为非管理员用户创建凭证文件
2.1. 规划 Red Hat Identity Manager (IdM)集成
当您计划 OpenStack 身份与红帽身份管理(IdM)集成时,请确保服务都已配置并运行,并查看集成对用户管理和防火墙设置的影响。
- 先决条件
- 红帽身份管理已配置和操作。
- Red Hat OpenStack Platform 已配置和操作。
- DNS 名称解析功能全面,所有主机都被正确注册。
- 权限和角色
- 此集成允许 IdM 用户对 OpenStack 进行身份验证并访问资源。OpenStack 服务帐户(如 keystone 和 glance)和授权管理(权限和角色)将保留在 Identity Service 数据库中。使用 Identity Service 管理工具将权限和角色分配给 IdM 帐户。
- 高可用性选项
- 此配置会为单个 IdM 服务器的可用性创建一个依赖项:如果 Identity Service 无法向 IdM 服务器进行身份验证,则项目用户将会受到影响。您可以将 keystone 配置为查询不同的 IdM 服务器,应该不可用,也可以使用负载均衡器。将 IdM 与 SSSD 搭配使用时不要使用负载均衡器,因为此配置已在客户端上实施故障转移。
- 中断要求
- 需要重启 Identity Service 来添加 IdM 后端。
- 在 IdM 中创建帐户之前,用户无法访问控制面板。要减少停机时间,请考虑在此更改前预先执行 IdM 帐户。
- 防火墙配置
IdM 和 OpenStack 之间的通信包括:
- 验证用户
- IdM 每两小时从控制器检索证书撤销列表(CRL)
- 过期后对新证书的 certmonger 请求
如果初始请求失败,定期 certmonger 任务将继续请求新证书。
如果防火墙在 IdM 和 OpenStack 之间过滤流量,则需要通过以下端口允许访问:
源 | 目的地 | 类型 | 端口 |
---|---|---|---|
OpenStack Controller 节点 | Red Hat Identity Management | LDAPS | TCP 636 |