2.6. Red Hat Identity Manager (IdM) LDAPS 証明書のインストール
OpenStack Identity (keystone) は、LDAPS クエリーを使用してユーザーアカウントを検証します。このトラフィックを暗号化するために、keystone は keystone.conf
で定義されている証明書ファイルを使用します。LDAPS 証明書をインストールするには、Red Hat Identity Manager (IdM) サーバーから keystone が参照できる場所に証明書をコピーし、それを .crt
から .pem
形式に変換します。
LDAP 認証に複数のドメインを使用する場合、Unable to retrieve authorized projects
または Peer's Certificate issuer is not recognized
など、さまざまなエラーが発生する可能性があります。これは、keystone が特定ドメインに誤った証明書を使用すると発生する可能性があります。回避策として、すべての LDAPS 公開鍵を単一の .crt
バンドルにマージし、このファイルを使用するようにすべての keystone ドメインを設定します。
前提条件
- IdM サーバーの認証情報が設定されている。
手順
IdM の環境で、LDAPS 証明書を見つけます。このファイルの場所は、
/etc/openldap/ldap.conf
で確認することができます。TLS_CACERT /etc/ipa/ca.crt
keystone サービスを実行しているコントローラーノードにファイルをコピーします。たとえば、
scp
コマンドはca.crt
ファイルをnode.lab.local
にコピーします。# scp /etc/ipa/ca.crt root@node.lab.local:/root/
ca.crt
ファイルを証明書のディレクトリーにコピーします。keystone サービスは、この場所を使用して証明書にアクセスします。# cp ca.crt /etc/pki/ca-trust/source/anchors
(オプション)
ldapsearch
などの診断のコマンドを実行する必要がある場合には、RHEL の証明書ストアに証明書を追加する必要もあります。3.コントローラーノードで
.crt
を.pem
形式に変換します。# openssl x509 -in ca.crt -out ca.pem -outform PEM
コントローラーノードに
.pem
をインストールします。たとえば、Red Hat Enterprise Linux の場合は以下を実行します。# cp ca.pem /etc/pki/ca-trust/source/anchors/ # update-ca-trust