1.2. Active Directory LDAPS 証明書のインストール
OpenStack Identity (keystone) は、LDAPS クエリーを使用してユーザーアカウントを検証します。このトラフィックを暗号化するために、keystone は keystone.conf
で定義されている証明書ファイルを使用します。LDAPS 証明書を設定するには、Active Directory から受け取った公開鍵を .crt
形式に変換し、その証明書を keystone が参照できる場所にコピーします。
LDAP 認証に複数のドメインを使用する場合、Unable to retrieve authorized projects
または Peer's Certificate issuer is not recognized
など、さまざまなエラーが発生する可能性があります。これは、keystone が特定ドメインに誤った証明書を使用すると発生する可能性があります。回避策として、すべての LDAPS 公開鍵を単一の .crt
バンドルにマージし、このファイルを使用するようにすべての keystone ドメインを設定します。
前提条件
- Active Directory の認証情報が設定されている。
- LDAPS 証明書が Active Directory からエクスポートされている。
手順
OpenStack Identity を実行中のノードに、LDAPS 公開鍵をコピーし、
.cer
から.crt
に変換します。この例では、addc.lab.local.cer
とうい名前の元の証明書ファイルを使用しています。# openssl x509 -inform der -in addc.lab.local.cer -out addc.lab.local.crt # cp addc.lab.local.crt /etc/pki/ca-trust/source/anchors
(オプション)
ldapsearch
などの診断のコマンドを実行する必要がある場合には、RHEL の証明書ストアに証明書を追加する必要もあります。.cer
から.pem
に変換します。この例では、addc.lab.local.cer
とうい名前の元の証明書ファイルを使用しています。# openssl x509 -inform der -in addc.lab.local.cer -out addc.lab.local.pem
コントローラーノードに
.pem
をインストールします。たとえば、Red Hat Enterprise Linux の場合は以下を実行します。# cp addc.lab.local.pem /etc/pki/ca-trust/source/anchors/ # update-ca-trust