2.4. 配置 LDAPS

Ceph 对象网关使用简单的 ID 和密码与 LDAP 服务器进行身份验证,因此连接需要 LDAP 的 SSL 证书。要为 LDAP 配置目录服务器,请参阅《红帽目录服务器 10 管理指南》 中的配置安全连接 章节。

LDAP 运行后,配置 Ceph 对象网关服务器,以信任目录服务器的证书。

  1. 为签署 LDAP 服务器的 SSL 证书的证书颁发机构(CA)提取/下载 PEM 格式的证书。
  2. 确认 /etc/openldap/ldap.conf 没有设置 TLS_REQCERT
  3. 确认 /etc/openldap/ldap.conf 包含 TLS_CACERTDIR /etc/openldap/certs 设置。
  4. 使用 certutil 命令将 AD CA 添加到位于 /etc/openldap/certs. 的存储中,例如,如果 CA 是 "msad-frog-MSAD-FROG-CA",且 PEM 格式的 CA 文件为 ldap.pem,使用以下命令:

    # certutil -d /etc/openldap/certs -A -t "TC,," -n "msad-frog-MSAD-FROG-CA" -i /path/to/ldap.pem
  5. 在所有远程 LDAP 站点更新 SELinux:

    # setsebool -P httpd_can_network_connect on
    注意

    即使 SELinux 处于 permissive 模式,这仍需要设置。

  6. 使 certs 数据库为全局可读。

    # chmod 644 /etc/openldap/certs/*

以非 root 用户身份使用"ldapwhoami"连接到服务器。例如:

$ ldapwhoami -H ldaps://rh-directory-server.example.com -d 9

当 SSL 协商出现问题时,-d 9 选项将提供调试信息。