2.6. Red Hat Identity Manager (IdM) LDAPS 証明書のインストール
OpenStack Identity (keystone) は、LDAPS クエリーを使用してユーザーアカウントを検証します。このトラフィックを暗号化するために、keystone は keystone.conf で定義されている証明書ファイルを使用します。LDAPS 証明書をインストールするには、Red Hat Identity Manager (IdM) サーバーから keystone が参照できる場所に証明書をコピーし、それを .crt から .pem 形式に変換します。
LDAP 認証に複数のドメインを使用する場合、Unable to retrieve authorized projects または Peer's Certificate issuer is not recognized など、さまざまなエラーが発生する可能性があります。これは、keystone が特定ドメインに誤った証明書を使用すると発生する可能性があります。回避策として、すべての LDAPS 公開鍵を単一の .crt バンドルにマージし、このファイルを使用するようにすべての keystone ドメインを設定します。
前提条件
- IdM サーバーの認証情報が設定されている。
手順
IdM の環境で、LDAPS 証明書を見つけます。このファイルの場所は、
/etc/openldap/ldap.confで確認することができます。TLS_CACERT /etc/ipa/ca.crt
keystone サービスを実行しているコントローラーノードにファイルをコピーします。たとえば、
scpコマンドはca.crtファイルをnode.lab.localにコピーします。# scp /etc/ipa/ca.crt root@node.lab.local:/root/
ca.crtファイルを証明書のディレクトリーにコピーします。keystone サービスは、この場所を使用して証明書にアクセスします。# cp ca.crt /etc/pki/ca-trust/source/anchors
(オプション)
ldapsearchなどの診断のコマンドを実行する必要がある場合には、RHEL の証明書ストアに証明書を追加する必要もあります。3.コントローラーノードで
.crtを.pem形式に変換します。# openssl x509 -in ca.crt -out ca.pem -outform PEM
コントローラーノードに
.pemをインストールします。たとえば、Red Hat Enterprise Linux の場合は以下を実行します。# cp ca.pem /etc/pki/ca-trust/source/anchors/ # update-ca-trust
