5.10. Active Directory 集成故障排除
如果您在使用 Active Directory 与 OpenStack Identity 集成时遇到错误,您可能需要测试 LDAP 连接或测试证书信任配置。您可能还需要检查是否可以访问 LDAPS 端口。
根据错误类型和位置,只执行此流程中的相关步骤。
流程
使用
ldapsearch
命令针对 Active Directory 域控制器远程执行测试查询来测试 LDAP 连接。成功结果表示网络连接正常工作,AD DS 服务已启动。在本例中,对端口636
上的服务器192.0.2.250
执行测试查询:# ldapsearch -Z -x -H ldaps://192.0.2.250:636 -D "cn=openstack,ou=Users,dc=director,dc=example,dc=com" -W -b "ou=Users,dc=director,dc=example,dc=com" -s sub "(memberOf=cn=OSuser,ou=Groups,dc=director,dc=example,dc=com)"
注意-
ldapsearch
是openldap-clients
软件包的一部分。您可以使用# dnf install openldap-clients
安装它 - 此命令需要在主机操作系统中找到必要的证书。
-
如果您在测试
ldapsearch
命令时无法识别 Peer's Certificate issuer
错误,请确认您的TLS_CACERTDIR
路径已被正确设置。例如:TLS_CACERTDIR /etc/openldap/certs
作为临时解决方案,请考虑禁用证书验证。
重要不得永久配置此设置。
在
/etc/openldap/ldap.conf
中,设置TLS_REQCERT
参数以允许
:TLS_REQCERT allow
如果在设置这个值后
ldapsearch
查询可以正常工作,您可能需要检查您的证书信任是否正确配置。使用
nc
命令检查 LDAPS 端口636
是否可以被远程访问。在本例中,对服务器addc.lab.local
执行探测。按ctrl-c
退出提示符。# nc -v addc.lab.local 636 Ncat: Version 6.40 ( http://nmap.org/ncat ) Ncat: Connected to 192.168.200.10:636. ^C
不建立连接时可能表示防火墙配置问题。