2.6. 安装 Red Hat Identity Manager (IdM) LDAPS 证书
OpenStack Identity (keystone)使用 LDAPS 查询来验证用户帐户。要加密此流量,keystone 使用 keystone.conf
定义的证书文件。要安装 LDAPS 证书,请将证书从 Red Hat Identity Manager (IdM)服务器复制到 keystone 可以引用它的位置,并将证书从 .crt
转换为 .pem
格式。
当使用多个域进行 LDAP 身份验证时,您可能会收到各种错误,如 Unable to retrieve authorized projects
,或者 Peer 的证书签发者无法识别
。如果 keystone 对某个域使用不正确的证书,会出现这种情况。作为临时解决方案,将所有 LDAPS 公钥合并到单个 .crt
捆绑包中,并将所有 keystone 域配置为使用此文件。
先决条件
- IdM 服务器凭证已配置。
流程
在您的 IdM 环境中,找到 LDAPS 证书。此文件可以使用
/etc/openldap/ldap.conf
:TLS_CACERT /etc/ipa/ca.crt
将文件复制到运行 keystone 服务的 Controller 节点。例如,
scp
命令将ca.crt
文件复制到节点node.lab.local
:# scp /etc/ipa/ca.crt root@node.lab.local:/root/
将
ca.crt
文件复制到证书目录中。这是 keystone 服务用来访问证书的位置:# cp ca.crt /etc/pki/ca-trust/source/anchors
可选:如果您需要运行诊断命令,如
ldapsearch
,您还需要将证书添加到 RHEL 证书存储中:3.在 Controller 节点上,将
.crt
转换为.pem
格式:# openssl x509 -in ca.crt -out ca.pem -outform PEM
在 Controller 节点上安装
.pem
。例如,在 Red Hat Enterprise Linux 中:# cp ca.pem /etc/pki/ca-trust/source/anchors/ # update-ca-trust