1.11. Active Directory との統合のトラブルシューティング

OpenStack Identity で Active Directory との統合を使用する際にエラーが発生する場合には、LDAP コネクションをテストするか、証明書トラスト設定をテストする必要がある場合があります。LDAPS ポートにアクセスできることを確認する必要がある場合もあります。

注記

エラーのタイプおよび場所に応じて、以下の手順の関連ステップのみを実行します。

Procedure

  1. ldapsearch コマンドを使用して Active Directory Domain Controller に対してテストクエリーをリモートで実行して、LDAP 接続をテストします。クエリーが成功した場合には、ネットワーク接続が機能しており、AD DS サービスが稼働中であることを確認できます。以下の例では、テストクエリーはサーバー addc.lab.local のポート636 に対して実行されます。

    # ldapsearch -Z -x -H ldaps://addc.lab.local:636 -D "svc-ldap@lab.local" -W -b "OU=labUsers,DC=lab,DC=local" -s sub "(cn=*)" cn
    注記
    • ldapsearch は、openldap-clients パッケージに含まれています。このパッケージは、# dnf install openldap-clients のコマンドを実行するとインストールすることができます。
    • このコマンドを実行すると、ホストオペレーティングシステム内で必要な証明書が特定されるはずです。
  2. ldapsearch コマンドのテストの際に Peer's Certificate issuer is not recognized. というエラーを受け取った場合には、TLS_CACERTDIR パスが正しく設定されていることを確認してください。以下に例を示します。

    TLS_CACERTDIR /etc/openldap/certs
  3. 一時的な回避策として、証明書の検証を無効にすることを検討してください。

    重要

    この設定は、永続的には使用しないでください。

    /etc/openldap/ldap.conf で、TLS_REQCERT パラメーターを allow に設定します。

    TLS_REQCERT allow

    この値を設定した後に ldapsearch クエリーが機能した場合には、証明書トラストが正しく設定されているかどうかをレビューする必要があります。

  4. nc コマンドを使用して、LDAPS ポート 636 がリモートでアクセス可能であることを確認します。この例では、サーバー addc.lab.local に対してプローブを実行します。ctrl-c を押してプロンプトを終了します。

    # nc -v addc.lab.local 636
    Ncat: Version 6.40 ( http://nmap.org/ncat )
    Ncat: Connected to 192.168.200.10:636.
    ^C

    接続を確立できなかった場合には、ファイアウォールの設定に問題がある可能性があります。