Red Hat Training
A Red Hat training course is available for Red Hat OpenStack Platform
1.3. 影響評価
以下のステップを実行すると、AD DS ユーザーが OpenStack に対して認証を実行して、リソースにアクセスできるようになります。OpenStack のサービスアカウント (keystone、glance など) および承認管理 (パーミッション、ロール、プロジェクト) は Identity サービスのデータベースに残ります。パーミションとロールは、Identity サービスの管理ツールを使用して AD DS アカウントに割り当てられます。
1.3.1. 高可用性のオプション
この設定により、単一の Active Directory Domain Controller に依存するようになるため、Identity サービスがその AD Domain Controller に対して認証できない場合には、プロジェクトユーザーが影響を受けることになります。このリスクを管理するオプションは複数あります。たとえば、Identity サービスが 個別の AD Domain Controller ではなく DNS エイリアスやロードバランシングアプライアンスにクエリーを実行するように設定することが可能です。また、Domain Controller の 1 つが利用できない場合には、keystone が異なる Domain Controller にクエリーを実行するように設定することもできます。
1.3.2. 停止の要件
- AD DS バックエンドを追加するには、Identity サービスを再起動する必要があります。
- keystone v3 に切り替えるには、全ノード上の Compute サービスを再起動する必要があります。
- ユーザーは、AD DS でアカウントが作成されるまでは、Dashboard にアクセスできません。ダウンタイムを短縮するには、この変更の前に十分余裕をもって AD DS アカウントのプレステージを行うことを検討してください。
1.3.3. ファイアウォールの設定
ファイアウォールで AD DS と OpenStack の間のトラフィックをフィルターリングしている場合には、以下のポートを介したアクセスを許可する必要があります。
| ソース | 送信先 | タイプ | ポート |
|---|---|---|---|
| OpenStack コントローラーノード | Active Directory Domain Controller | LDAPS | TCP 636 |
