第 2 章 将 OpenStack 身份(keystone)与红帽身份管理器(IdM)集成

当您将 OpenStack Identity (keystone)与 Red Hat Identity Manager (IdM)集成时,OpenStack Identity 会验证某些 Red Hat Identity Management (IdM)用户,但在 Identity Service 数据库中保留授权设置和关键服务帐户。因此,Identity Service 对 IdM 具有对 IdM 进行用户帐户身份验证的只读访问权限,同时保留对分配给经过身份验证的帐户的权限的管理。您还可以使用 tripleo-ipanovajoin 将节点注册到 IdM。

注意

此集成的配置文件由 Puppet 管理。因此,您添加的任何自定义配置都会在下次运行 openstack overcloud deploy 命令时被覆盖。您可以使用 director 配置 LDAP 身份验证,而不是手动编辑配置文件。

在计划并配置 IdM 集成前,请查看以下关键术语:

  • 身份验证 - 使用密码验证用户是否声明的进程。
  • 授权 - 验证经过身份验证的用户对试图访问的系统具有适当权限。
  • - 请参阅在 Identity Service 中配置的额外后端。例如,可将 Identity Service 配置为从外部 IdM 环境验证用户身份。生成的用户集合可以被视为

将 OpenStack 身份与 IdM 集成的过程包括以下阶段:

  1. 使用 novajoin 在 IdM 中注册 undercloud 和 overcloud
  2. 使用 Ansible 在 undercloud 和 overcloud 中实施 TLS-e
  3. 配置 IdM 服务器凭证并导出 LDAPS 证书
  4. 在 OpenStack 中安装和配置 LDAPS 证书
  5. 将 director 配置为使用一个或多个 LDAP 后端
  6. 配置 Controller 节点以访问 IdM 后端
  7. 配置 IdM 用户或组对 OpenStack 项目的访问权限
  8. 验证域和用户列表是否已正确创建
  9. 可选:为非管理员用户创建凭证文件

2.1. 规划 Red Hat Identity Manager (IdM)集成

当您计划 OpenStack 身份与红帽身份管理(IdM)集成时,请确保服务都已配置并运行,并查看集成对用户管理和防火墙设置的影响。

先决条件
  • 红帽身份管理已配置和操作。
  • Red Hat OpenStack Platform 已配置和操作。
  • DNS 名称解析功能全面,所有主机都被正确注册。
权限和角色
此集成允许 IdM 用户对 OpenStack 进行身份验证并访问资源。OpenStack 服务帐户(如 keystone 和 glance)和授权管理(权限和角色)将保留在 Identity Service 数据库中。使用 Identity Service 管理工具将权限和角色分配给 IdM 帐户。
高可用性选项
此配置会为单个 IdM 服务器的可用性创建一个依赖项:如果 Identity Service 无法向 IdM 服务器进行身份验证,则项目用户将会受到影响。您可以将 keystone 配置为查询不同的 IdM 服务器,应该不可用,也可以使用负载均衡器。将 IdM 与 SSSD 搭配使用时不要使用负载均衡器,因为此配置已在客户端上实施故障转移。
中断要求
  • 需要重启 Identity Service 来添加 IdM 后端。
  • 在 IdM 中创建帐户之前,用户无法访问控制面板。要减少停机时间,请考虑在此更改前预先执行 IdM 帐户。
防火墙配置

IdM 和 OpenStack 之间的通信包括:

  • 验证用户
  • IdM 每两小时从控制器检索证书撤销列表(CRL)
  • 过期后对新证书的 certmonger 请求
注意

如果初始请求失败,定期 certmonger 任务将继续请求新证书。

如果防火墙在 IdM 和 OpenStack 之间过滤流量,则需要通过以下端口允许访问:

目的地类型端口

OpenStack Controller 节点

Red Hat Identity Management

LDAPS

TCP 636