5.3. 将 director 配置为使用域特定的 LDAP 后端
要将 director 配置为使用一个或多个 LDAP 后端,请在 heat 模板中将 KeystoneLDAPDomainEnable
标志设置为 true
,并使用每个 LDAP 后端的信息设置环境文件。然后,director 会为每个 keystone 域使用单独的 LDAP 后端。
域配置文件的默认目录设置为 /etc/keystone/domains/
。您可以使用 keystone::domain_config_directory
hiera 键设置所需的路径来覆盖它,并在环境文件中将它添加为 ExtraConfig
参数。
流程
-
在部署的 heat 模板中,将
KeystoneLDAPDomainEnable
标志设为true
。这会在identity
配置组中的 keystone 中的domain_specific_drivers_enabled
选项。 -
通过在
tripleo-heat-templates
中设置KeystoneLDAPBackendConfigs
参数来添加 LDAP 后端配置的规格,然后您可以指定所需的 LDAP 选项。 创建
keystone_domain_specific_ldap_backend.yaml
环境文件的副本:$ cp /usr/share/openstack-tripleo-heat-templates/environments/services/keystone_domain_specific_ldap_backend.yaml /home/stack/templates/
编辑
/home/stack/templates/keystone_domain_specific_ldap_backend.yaml
环境文件,并将值设置为适合您的部署。例如,此参数为名为testdomain
的 keystone 域创建 LDAP 配置:parameter_defaults: KeystoneLDAPDomainEnable: true KeystoneLDAPBackendConfigs: testdomain: url: ldaps://192.0.2.250 user: cn=openstack,ou=Users,dc=director,dc=example,dc=com password: RedactedComplexPassword suffix: dc=director,dc=example,dc=com user_tree_dn: ou=Users,dc=director,dc=example,dc=com user_filter: "(memberOf=cn=OSuser,ou=Groups,dc=director,dc=example,dc=com)" user_objectclass: person user_id_attribute: cn
注意keystone_domain_specific_ldap_backend.yaml
环境文件包含以下已弃用的写入参数:-
user_allow_create
-
user_allow_update
-
user_allow_delete
这些参数的值对部署没有影响,可以安全地删除。
-
可选:在环境文件中添加更多域。例如:
KeystoneLDAPBackendConfigs: domain1: url: ldaps://domain1.example.com user: cn=openstack,ou=Users,dc=director,dc=example,dc=com password: RedactedComplexPassword ... domain2: url: ldaps://domain2.example.com user: cn=openstack,ou=Users,dc=director,dc=example,dc=com password: RedactedComplexPassword ...
这会生成两个名为
domain1
和domain2
的域;每个域都有一个不同的 LDAP 域,它们都有自己的配置。