开发者社区> cloud_ruiy> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

配置OpenStack以使用LDAP实现身份管理

简介: 本文展示了如何配置 Keystone,以便使用轻量级目录http://www.aliyun.com/zixun/aggregation/34570.html">访问协议( LDAP)服务器作为其身份服务的后端,而不是使用默认的 SQL 后端。
+关注继续查看

本文展示了如何配置 Keystone,以便使用轻量级目录http://www.aliyun.com/zixun/aggregation/34570.html">访问协议( LDAP)服务器作为其身份服务的后端,而不是使用默认的 SQL 后端。

开源的 OpenStack 项目为构建公共云和私有云提供了一个基础架构即服务(IaaS)层。企业、服务提供商、增值分销商、中小型企业、研究人员和全球数据中心都使用 OpenStack 来部署大型私有云或公共云。

轻量级目录访问协议(LDAP)是一个客户端/服务器协议,用于访问和管理目录信息。许多企业应用程序都使用 LDAP 作为用户身份验证的基础。(LDAP 的实现包括 IBM® Tivoli® Directory Server、Microsoft® Active Directory 和 OpenLDAP)。本文展示了如何快速、正确地启动和运行一个示例集成 OpenStack/LDAP 环境。学习如何:

使用 DevStack 安装一个 LDAP 服务器,DevStack 是一个用于构建 OpenStack 开发环境的工具。 配置 Keystone,通过 Keystone 的 LDAP 身份 驱动程序使用已安装的 LDAP 服务器。 使用 Keystone 兼容的树型结构来填充 LDAP 服务器。 使用 Keystone 的单元测试库来测试基于 LDAP 的 Keystone 服务。

此外,学习如何在不使用 DevStack 的情况下配置 Keystone,使用已经在生产环境中运行的 LDAP 服务器。

使用 DevStack 设置一个 LDAP 后端

自 2013 年 4 月 Grizzly 版本的 OpenStack 发布起,您可以通过标准的 OpenStack 开发环境安装工具 DevStack 将 LDAP 设置为 Keystone 后端。DevStack 是一个经过良好维护和记录的 shell 脚本,用于构建完整的 OpenStack 开发环境。

下载 DevStack 并在 devstack 根目录中创建一个名为 localrc 的文件。在 localrc 中为 OpenStack 配置用户定制内容。为了使 DevStack 能够以您的名义安装 LDAP 服务器,可以将 ldap 添加到由 localrc 中已启用的服务组成的列表中。例如

ENABLED_SERVICES=key,n-api,n-crt,n-obj,n-cpu,n-net,n-cond,cinder,c-sch,c-api,c-vol,n-sch,n-novnc,n-xvnc,n-cauth,horizon,mysql,rabbit,ldap

您还必须在 localrc 中添加以下代码行,以告知 DevStack 您希望 Keystone 使用其 LDAP 后端身份驱动程序:

KEYSTONE_IDENTITY_BACKEND = ldap

如果您希望 DevStack 清除现有的 Keystone LDAP 树并重新开始,那么可以将以下代码行添加到 localrc 文件中:

KEYSTONE_CLEAR_LDAP=yes

保存并关闭 localrc。现在运行来自 devstack 根目录的 stack.sh 脚本:

./stack.sh

运行完脚本后,您可以看到:

OpenLDAP 已被安装。 Keystone 被配置为使用其 LDAP 后端身份驱动程序。 一个初始 Keystone LDAP 树已被创建,它使用了 devstack\files\ldap\openstack.ldif 中的数据,如清单 1 所示:

清单 1. openstack.ldif 的内容

dn: dc=openstack,dc=orgdc: openstackobjectClass: dcObjectobjectClass: organizationalUnitou: openstackdn: ou=Groups,dc=openstack,dc=orgobjectClass: organizationalUnitou:Groupsdn: ou=Users,dc=openstack,dc=orgobjectClass: organizationalUnitou:Usersdn: ou=Roles,dc=openstack,dc=orgobjectClass: organizationalUnitou:Rolesdn: ou=Projects,dc=openstack,dc=orgobjectClass: organizationalUnitou:Projectsdn: cn=9fe2ff9ee4384b1894a90878d3e92bab,ou=Roles,dc=openstack,dc=orgobjectClass: organizationalRoleou:_member_cn:9fe2ff9ee4384b1894a90878d3e92bab

LDAP 树

Keystone LDAP 后端身份驱动程序所用的示例模式假设采用了如图 1 所示的树型结构:

图 1. Keystone LDAP 后端身份驱动程序所用的示例模式

在图 1 的示例 LDAP 树中,Users、UserGroups、Projects 和 Roles 都是该树的子树,都使用了标准 LDAP ObjectClass。例如,在 Users 子树中,ObjectClass=inetOrgPerson。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
通过LDAP管理VSFTP帐户
yum install -y openldap openldap-servers openldap-clients pam_ldap nss-pam-ldapd vsftpd slappasswd #记录备用 {SSHA}70WfjeJVZhmGy0wfSUKcOGsKPgLR7/ae cp /usr/share/openldap-servers/slapd.
1208 0
+关注
cloud_ruiy
爱技术,爱开源,爱linux! 在技术成长道路上,能拉一把就拉一把,不藏着不掖着! 我由衷希望能和有理想敢吃苦的it人一起共同进步,共同成长! 虽然我现在没有大牛的能力,但是我有大牛的心态. 技术领域:shell编程,C编程,嵌入式开发.hadoop大数据,桉树,onenebul
文章
问答
文章排行榜
最热
最新
相关电子书
更多
安全机制与User账户身份验证实战
立即下载
从身份开始的零信任基础
立即下载
ICA安全标准组测试认证分享
立即下载