Menu Close
Settings Close

Language and Page Formatting Options

2.8. Dashboard に Red Hat Single Sign-On を使用したユーザーの同期

管理者は、LDAP(Lightweight Directory Access Protocol)統合を備えた Red Hat Single Sign-on(SSO)を使用して Red Hat Ceph Storage Dashboard のユーザーにアクセスすることができます。

前提条件

  • Red Hat Ceph Storage クラスターが実行中である。
  • Dashboard がインストールされている。
  • ダッシュボードへの管理者レベルのアクセス権。
  • ユーザーをダッシュボードに追加しておく。
  • すべてのノードでの root レベルのアクセス。
  • Red hat Single Sign-On をZIP ファイルからインストールしておく。詳細は、「Zip ファイルからの Red Hat Single Sign-On のインストール」を参照してください。

手順

  1. Red Hat Ceph ストレージがインストールされているシステムに Red Hat Single Sign-On 7.4.0 サーバー をダウンロードします。
  2. フォルダーを展開します。

    [root@cephuser]# unzip rhsso-7.4.0.zip
  3. standalone/configuration ディレクトリーに移動し、standalone.xml を開いて編集します。

    [root@cephuser]# cd standalone/configuration
    [root@cephuser configuration]# vi standalone.xml
  4. localhost の 3 つのインスタンスと 127.0.0.1 の 2 つのインスタンスを、Red Hat Single Sign-On がインストールされているマシンの IP アドレスに置き換えます。
  5. オプション: Red Hat Enterprise Linux 8 の場合には、認証局 (CA) の問題が発生する可能性があります。カスタム証明書を CA からインポートし、正確な java バージョンでキーストアに移動します。

    [root@cephuser]# keytool -import -noprompt -trustcacerts -alias ca -file ../ca.cer -keystore /etc/java/java-1.8.0-openjdk/java-1.8.0-openjdk-1.8.0.272.b10-3.el8_3.x86_64/lib/security/cacert

  6. rh-sso-7.4 フォルダーの bin ディレクトリーからサーバーを起動するには、standalone ブートスクリプトを実行します。

    [root@cephuser bin]# ./standalone.sh
  7. http:_IP_ADDRESS_:8080/auth にユーザー名とパスワードで管理者アカウントを作成します。

    Create Admin User
    注記

    管理コンソールへの初回ログイン時にのみ管理者アカウントを作成する必要があります。

  8. 作成した認証情報を使用して、管理コンソールにログインします。

    Admin Console
  9. レルムを作成するには、Master ドロップダウンをクリックします。このレルムでは、管理者はユーザーとアプリケーションへのアクセスを提供します。

    Add realm drop-down
  10. Add Realm ウィンドウでレルム の名前を入力し、パラメーター Enabled を ON に設定し、Create をクリックします。

    Add realm window
    注記

    レルム名は大文字と小文字を区別します。

  11. Realm Settings タブで以下のパラメーターを設定し、Save をクリックします。

    1. enabled - ON
    2. ユーザー管理アクセス: ON
    3. SAML 2.0 Identity Provider Metadata のリンクアドレスをコピーします。

      Add realm settings window
  12. Clients タブで、Create をクリックします。

    Add client
  13. Add Client ウィンドウで以下のパラメーターを設定し、Save をクリックします。

    1. Client ID - BASE_URL:8443/auth/saml2/metadata

      https://magna082.ceph.redhat.com:8443/auth/saml2/metadata

    2. Client Protocol - saml

      Add client window
  14. Clients ウィンドウで Settings タブで以下のパラメーターを設定し、Save をクリックします。

    1. Client ID - BASE_URL:8443/auth/saml2/metadata

      https://magna082.ceph.redhat.com:8443/auth/saml2/metadata

    2. enabled - ON
    3. Client Protocol - saml
    4. include AuthnStatement - ON
    5. Sign Documents: ON
    6. 署名アルゴリズム: RSA_SHA1
    7. SAML 署名キー名 - KEY_ID
    8. 有効なリダイレクト URL - BASE_URL:8443/*

      https://magna082.ceph.redhat.com:8443/*

    9. ベース URL - BASE_URL:8443

      https://magna082.ceph.redhat.com:8443/

    10. マスター SAML Processing URL - http://localhost:8080/auth/realms/REALM_NAME/protocol/saml/descriptor

      http://localhost:8080/auth/realms/Ceph_LDAP/protocol/saml/descriptor

      注記

      Realm Settings タブから SAML 2.0 Identity Provider Metadata のリンクを貼り付けます。

      Fine Grain SAML Endpoint 設定下で、パラメーターを設定します。

    11. アサーションコンシューマーサービス POST バインディング URL - BASE_URL:8443/#/dashboard

      https://magna082.ceph.redhat.com:8443/#/dashboard

    12. アサーションコンシューマーサービスリダイレクトバインディング URL - BASE_URL:8443/#/dashboard

      https://magna082.ceph.redhat.com:8443/#/dashboard

    13. logout Service Redirect Binding URL - BASE_URL:8443/

      https://magna082.ceph.redhat.com:8443/

      Client mappers upperpane
      Client mappers lowerpane
  15. Clients ウィンドウで Mappers タブで、以下のパラメーターを設定し、Save をクリックします。

    1. プロトコル - saml
    2. name: username
    3. マッパープロパティー: ユーザープロパティー
    4. property - username
    5. SAML 属性名 - ユーザー名

      Add Client Mappers
  16. Clients Scope タブで role_list を選択します。

    1. Mappers タブで ロール一覧 を選択し、Single Role Attribute を ON に設定します。

      Add client role list
  17. User_Federation タブを選択します:

    1. User Federation ウィンドウで、ドロップダウンから ldap を選択します。

      Add ldap as provider
  18. User_Federation ウィンドウで Settings タブで以下のパラメーターを設定し、Save をクリックします。

    1. コンソール表示名 - rh-ldap
    2. ユーザーのインポート - ON
    3. Edit_Mode - READ_ONLY
    4. ユーザー名 LDAP 属性: ユーザー名
    5. RDN LDAP 属性 - ユーザー名
    6. UUID LDAP 属性 - nsuniqueid
    7. ユーザーオブジェクトクラス - inetOrgPerson、organizationPerson、rhatPerson
    8. 接続 URL - ldap:://myldap.example.com

      ldap://ldap.corp.redhat.com

      Test Connection をクリックします。

      LDAP Test Connection

      LDAP 接続が正常に行われたことを示す通知が表示されます。

    9. ユーザー DN - ou=users, dc=example, dc=com

      ou=users,dc=redhat,dc=com

    10. bind Type: simple

      User Federation Upperpane
      User Federation Lowerpane
    11. Test authentication をクリックします。

      LDAP Test Authentication

      LDAP 認証が正常に行われたことを示す通知が表示されます。

  19. Mappers タブで First name row を選択し、以下のパラメーターを編集し、Save をクリックします。

    1. LDAP 属性 - givenName

      User Federation Mappers tab
      User Federation Mappers window
  20. User_Federation タブで 設定 タブで、全ユーザーの同期 をクリックします。

    User Federation Synchronize

    ユーザーの同期が正常に更新されたことを示す通知が表示されます。

    User Federation synchronize notification
  21. Users タブで、ダッシュボードに追加したユーザーを検索し、検索 アイコンをクリックします。

    User search tab
  22. ユーザーを表示するには、その行をクリックします。ユーザーフェデレーション に提供される名前にフェデレーションリンクが表示されるはずです。

    User details
    重要

    手動でユーザーを追加しないでください。手動で追加した場合は、Delete をクリックしてユーザーを削除します。

  23. レルムに追加され、ダッシュボードはそのメールアドレスおよびパスワードを使用して Ceph ダッシュボードにアクセスできます。

    https://magna082.ceph.redhat.com:8443

    Dashboard link

関連情報

  • Dashboard にユーザーを追加する場合には、『Red Hat Ceph Storage Dashboard Guide』の「 Creating users on dashboard 」セクションを参照してください。
  • Dashboard でユーザー用のロールを追加する場合は、『Red Hat Ceph Storage Dashboard Guide』 の「 Creating roles on dashboard 」セクションを参照してください。