第8章 LDAP によるアイデンティティ管理
Identity サービス (Keystone) が LDAP サーバーに対して認証を行うか、LDAP サーバーから識別情報を取得するように設定した場合に、CA 証明書を使用して Identity サービスの LDAP 通信を保護できます。
Active Directory から CA 証明書の取得し、CA 証明書ファイルを Privacy Enhanced Mail (PEM) ファイル形式に変換し、Identity サービス用にセキュアな LDAP 通信を設定する必要があります。CA 信頼が設定された場所および方法に応じて、3 つの方法のいずれかでこの設定を行うことができます。
8.1. Active Directory からの CA 証明書の取得
以下のコード例を使用して Active Directory に対してクエリーを実行し、CA 証明書を取得します。CA_NAME は証明書の名前に置き換え、その他のパラメーターは実際の設定に応じて変更できます。
CA_NAME="WIN2012DOM-WIN2012-CA" AD_SUFFIX="dc=win2012dom,dc=com" LDAPURL="ldap://win2012.win2012dom.com" ADMIN_DN="cn=Administrator,cn=Users,$AD_SUFFIX" ADMINPASSWORD="MyPassword" CA_CERT_DN="cn=latexmath:[$CA_NAME,cn=certification authorities,cn=public key services,cn=services,cn=configuration,$]AD_SUFFIX" TMP_CACERT=/tmp/cacert.`date +'%Y%m%d%H%M%S'`.$$.pem ldapsearch -xLLL -H latexmath:[$LDAPURL -D `echo \"$]ADMIN_DN"`-W -s base -b`echo "$CA_CERT_DN"` objectclass=* cACertificate
