第 6 章 将 OpenStack 身份(keystone)与红帽身份管理器(IdM)集成
当您将 OpenStack Identity (keystone)与 Red Hat Identity Manager (IdM)集成时,OpenStack Identity 验证某些红帽身份管理(IdM)用户,但在 Identity Service 数据库中保留授权设置和关键服务帐户。因此,身份服务对 IdM 具有对用户帐户身份验证的只读访问权限,同时保持对分配给经过身份验证的用户的权限的管理。您还可以使用 novajoin 将节点注册到 IdM。
此集成的配置文件由 Puppet 管理。因此,您添加的任何自定义配置都会在下次运行 openstack overcloud deploy 命令时被覆盖。您可以使用 director 配置 LDAP 身份验证,而不是手动编辑配置文件。
在计划并配置 IdM 集成前查看以下关键术语:
- Authentication - 使用密码验证用户是否声明的身份。
- 授权 - 验证经过身份验证的用户对其试图访问的系统具有正确的权限。
- 域 - 请参阅 Identity Service 中配置的额外后端。例如,可将 Identity Service 配置为从外部 IdM 环境验证用户身份。生成的用户集合可以被视为 域。
将 OpenStack 身份与 IdM 集成的过程包括以下阶段:
- 使用 novajoin 将 undercloud 和 overcloud 注册到 IdM 中
- 使用 Ansible 在 undercloud 和 overcloud 上实施 TLS-e
- 配置 IdM 服务器凭证并导出 LDAPS 证书
- 在 OpenStack 中安装和配置 LDAPS 证书
- 将 director 配置为使用一个或多个 LDAP 后端
- 配置 Controller 节点以访问 IdM 后端
- 配置 IdM 用户或组对 OpenStack 项目的访问权限
- 验证域和用户列表是否已正确创建
- 可选:为非管理员用户创建凭证文件
6.1. 规划 Red Hat Identity Manager (IdM)集成
当您计划 OpenStack 身份与 Red Hat Identity Manager (IdM)集成时,请确保配置并运行这两个服务,并查看集成用户管理和防火墙设置的影响。
- 先决条件
- Red Hat Identity Management 已配置且可操作。
- Red Hat OpenStack Platform 已配置且可操作。
- DNS 名称解析功能全面,所有主机都进行适当注册。
- 权限和角色
- 此集成允许 IdM 用户对 OpenStack 和访问资源进行身份验证。OpenStack 服务帐户(如 keystone 和 glance)以及授权管理(权限和角色)将保留在 Identity Service 数据库中。使用 Identity Service 管理工具将权限和角色分配给 IdM 帐户。
- 高可用性选项
- 此配置会创建对单个 IdM 服务器可用性的依赖项:如果 Identity Service 无法向 IdM 服务器进行身份验证,则项目用户将会受到影响。您可以将 keystone 配置为查询不同的 IdM 服务器,如果不可用,或者您可以使用负载均衡器。在将 IdM 与 SSSD 搭配使用时,不要使用负载均衡器,因为此配置已在客户端上实现故障转移。
- 中断要求
- 需要重启 Identity Service 才能添加 IdM 后端。
- 在 IdM 中创建帐户之前,用户将无法访问仪表板。要减少停机时间,请事先考虑在这个更改前预先尝试 IdM 帐户。
- 防火墙配置
IdM 和 OpenStack 之间的通信包括:
- 验证用户
- IdM 每两小时从控制器检索证书撤销列表(CRL)
- 过期时对新证书的 certmonger 请求
如果初始请求失败,定期 certmonger 任务将继续请求新证书。
如果防火墙在 IdM 和 OpenStack 之间过滤流量,则需要允许通过以下端口访问:
| 源 | 目的地 | 类型 | 端口 |
|---|---|---|---|
| OpenStack Controller 节点 | Red Hat Identity Management | LDAPS | TCP 636 |
