Red Hat Training
A Red Hat training course is available for Red Hat OpenStack Platform
1.4. Active Directory ドメインサービスの設定
本項では、Active Directory の管理者が完了する必要のあるタスクについて説明します。
表1.1 設定手順
| タスク | 詳細 |
| サービスアカウントの作成 |
サービスアカウントの名前は、 |
| ユーザーグループの作成 |
OpenStack へのアクセス権限がユーザーに必要な場合は、このグループに所属する必要があります。ユーザーグループの名前は、 |
| プロジェクトグループの作成 |
OpenStack の各プロジェクトには、対応する AD グループが必要です。たとえば、 |
| サービスアカウントの設定 |
サービスアカウント |
| LDAPS 公開鍵のエクスポート |
公開鍵 (秘密鍵ではない) は、 |
| OpenStack 管理者へのキーの送信 | OpenStack の管理者は、このキーを使用して、OpenStack および Active Directory の LDAPS 通信を暗号化します。 |
| AD DS ドメインの NetBIOS 名の取得。 | OpenStack 管理者は、Keystone ドメインにこの名前を使用して、複数の環境間で一貫性のあるドメイン名を指定することができます。 |
たとえば、以下の手順では、Active Directory Domain Controller で実行する PowerShell コマンドが示されています。
LDAP ルックアップアカウントを作成します。このアカウントは、Identity サービスが AD DS LDAP サービスにクエリーを実行するのに使用されます。
PS C:\> New-ADUser -SamAccountName svc-ldap -Name "svc-ldap" -GivenName LDAP -Surname Lookups -UserPrincipalName svc-ldap@lab.local -Enabled $false -PasswordNeverExpires $true -Path 'OU=labUsers,DC=lab,DC=local'
このアカウントのパスワードを設定し、有効にします。AD ドメインのパスワードの複雑さの要件を満たすパスワードを指定するように要求されます。
PS C:\> Set-ADAccountPassword svc-ldap -PassThru | Enable-ADAccount
grp-openstackという名前の OpenStack ユーザーグループを作成します。PS C:\> NEW-ADGroup -name "grp-openstack" -groupscope Global -path "OU=labUsers,DC=lab,DC=local"
プロジェクトグループを作成します。
PS C:\> NEW-ADGroup -name "grp-openstack-demo" -groupscope Global -path "OU=labUsers,DC=lab,DC=local" PS C:\> NEW-ADGroup -name "grp-openstack-admin" -groupscope Global -path "OU=labUsers,DC=lab,DC=local"
svc-ldapユーザーをgrp-openstackグループに追加します。PS C:\> ADD-ADGroupMember "grp-openstack" -members "svc-ldap"
-
AD Domain Controller から
Certificates MMCを使用して、DER で暗号化されたx509.cer ファイルとして LDAPS 証明書の (秘密鍵ではなく) 公開鍵 をエクスポートします。このファイルを OpenStack 管理者に送信します。 AD DS ドメインの NetBIOS 名の取得。
PS C:\> Get-ADDomain | select NetBIOSName NetBIOSName ----------- LAB
この値を OpenStack 管理者に送信します。
