Red Hat Training
A Red Hat training course is available for Red Hat OpenStack Platform
2.5. 新規プロジェクトの作成
上記の統合ステップが完了した後に新規プロジェクトを作成する場合には、Default
ドメインと、自分で作成した keystone ドメインのどちらに作成するかを決定する必要があります。これは、ワークフローとユーザーアカウントの管理方法を考慮して決定することができます。Default
ドメインは、サービスアカウントと admin
プロジェクトに使用する内部ドメインとして考えることができるので、AD でバッキングされているユーザーを異なる keystone ドメインに内に配置することは理にかなっています。これは、IdM ユーザーが管理されているのと全く同じ keystone ドメインである必要はありません。また、分離の目的で複数の keystone ドメインを使用することも可能です。
2.5.1. Dashboard へのログインプロセスの変更
Identity サービスに複数のドメインを設定すると、Dashboard のログインページに新しい ドメイン フィールドが有効になります。
ユーザーは、ログイン認証情報にマッチするドメインを入力する必要があります。このフィールドには、keystone で提示されるドメインの 1 つを手動で入力する必要があります。利用可能なエントリーを一覧表示するには、openstack コマンドを使用します。
以下の例では、IdM アカウントは LAB
ドメインを指定する必要があります。admin のような組み込みの keystone アカウントには、ドメインに Default
を指定する必要があります。
$ openstack domain list +----------------------------------+---------+---------+----------------------------------------------------------------------+ | ID | Name | Enabled | Description | +----------------------------------+---------+---------+----------------------------------------------------------------------+ | 6800b0496429431ab1c4efbb3fe810d4 | LAB | True | | | default | Default | True | Owns users and tenants (i.e. projects) available on Identity API v2. | +----------------------------------+---------+---------+----------------------------------------------------------------------+
2.5.2. コマンドラインへの変更
特定のコマンドでは、対象のドメインを指定する必要がある場合があります。たとえば、以下のコマンドに --domain LAB
を追加すると、LAB ドメイン内のユーザー (grp-openstack グループのメンバー) が返されます。
$ openstack user list --domain LAB
--domain Default
を追加すると、組み込みの keystone アカウントが返されます。
$ openstack user list --domain Default
2.5.3. IdM 統合のテスト
以下の手順では、Dashboard の機能へのユーザーアクセスをテストして、IdM の統合を検証します。
-
IdM にテストユーザーを作成し、そのユーザーを
grp-openstack
IdM グループに追加します。 -
テストユーザーを
demo
テナントの_member_
ロールに追加します。 - IdM テストユーザーの認証情報を使用して Dashboard にログインします。
- 各タブをクリックし、エラーメッセージなしに正常に表示されているかどうかを確認します。
- Dashboard を使用してテストインスタンスをビルドします。
上記の手順で問題が発生した場合には、ステップ 3 から 5 までを組み込みの admin アカウントで実行してください。正常に実行できた場合には、OpenStack が想定通りに機能していることが実証されるので、問題は IdM と Identity の統合設定の間のどこかにあることになります。「トラブルシューティング」を参照してください。