1.2. Active Directory LDAPS 証明書のインストール

OpenStack Identity (keystone) は、LDAPS クエリーを使用してユーザーアカウントを検証します。このトラフィックを暗号化するために、keystone は keystone.conf で定義されている証明書ファイルを使用します。LDAPS 証明書を設定するには、Active Directory から受け取った公開鍵を .crt 形式に変換し、その証明書を keystone が参照できる場所にコピーします。

注記

LDAP 認証に複数のドメインを使用する場合、Unable to retrieve authorized projects または Peer's Certificate issuer is not recognized など、さまざまなエラーが発生する可能性があります。これは、keystone が特定ドメインに誤った証明書を使用すると発生する可能性があります。回避策として、すべての LDAPS 公開鍵を単一の .crt バンドルにマージし、このファイルを使用するようにすべての keystone ドメインを設定します。

前提条件

  • Active Directory の認証情報が設定されている。
  • LDAPS 証明書が Active Directory からエクスポートされている。

Procedure

  1. OpenStack Identity を実行中のノードに、LDAPS 公開鍵をコピーし、.cer から .crt に変換します。この例では、addc.lab.local.cer とうい名前の元の証明書ファイルを使用しています。

    # openssl x509 -inform der -in addc.lab.local.cer -out addc.lab.local.crt
    # cp addc.lab.local.crt /etc/pki/ca-trust/source/anchors
  2. (オプション) ldapsearch などの診断のコマンドを実行する必要がある場合には、RHEL の証明書ストアに証明書を追加する必要もあります。

    1. .cer から .pem に変換します。この例では、addc.lab.local.cer とうい名前の元の証明書ファイルを使用しています。

      # openssl x509 -inform der -in addc.lab.local.cer -out addc.lab.local.pem
    2. コントローラーノードに .pem をインストールします。たとえば、Red Hat Enterprise Linux の場合は以下を実行します。

      # cp addc.lab.local.pem /etc/pki/ca-trust/source/anchors/
      # update-ca-trust