本文展示了如何配置 Keystone,以便使用轻量级目录http://www.aliyun.com/zixun/aggregation/34570.html">访问协议( LDAP)服务器作为其身份服务的后端,而不是使用默认的 SQL 后端。

开源的 OpenStack 项目为构建公共云和私有云提供了一个基础架构即服务(IaaS)层。企业、服务提供商、增值分销商、中小型企业、研究人员和全球数据中心都使用 OpenStack 来部署大型私有云或公共云。

轻量级目录访问协议(LDAP)是一个客户端/服务器协议,用于访问和管理目录信息。许多企业应用程序都使用 LDAP 作为用户身份验证的基础。(LDAP 的实现包括 IBM® Tivoli® Directory Server、Microsoft® Active Directory 和 OpenLDAP)。本文展示了如何快速、正确地启动和运行一个示例集成 OpenStack/LDAP 环境。学习如何:

使用 DevStack 安装一个 LDAP 服务器,DevStack 是一个用于构建 OpenStack 开发环境的工具。 配置 Keystone,通过 Keystone 的 LDAP 身份
驱动程序使用已安装的 LDAP 服务器。 使用 Keystone 兼容的树型结构来填充 LDAP 服务器。 使用 Keystone 的单元测试库来测试基于 LDAP 的 Keystone 服务。

此外,学习如何在不使用 DevStack 的情况下配置 Keystone,使用已经在生产环境中运行的 LDAP 服务器。

使用 DevStack 设置一个 LDAP 后端

自 2013 年 4 月 Grizzly 版本的 OpenStack 发布起,您可以通过标准的 OpenStack 开发环境安装工具 DevStack 将 LDAP 设置为 Keystone 后端。DevStack 是一个经过良好维护和记录的 shell 脚本,用于构建完整的 OpenStack 开发环境。

下载 DevStack 并在 devstack 根目录中创建一个名为 localrc 的文件。在 localrc 中为
OpenStack 配置用户定制内容。为了使 DevStack 能够以您的名义安装 LDAP 服务器,可以将 ldap 添加到由 localrc
中已启用的服务组成的列表中。例如

ENABLED_SERVICES=key,n-api,n-crt,n-obj,n-cpu,n-net,n-cond,cinder,c-sch,c-api,c-vol,n-sch,n-novnc,n-xvnc,n-cauth,horizon,mysql,rabbit,ldap

您还必须在 localrc 中添加以下代码行,以告知 DevStack 您希望 Keystone 使用其 LDAP 后端身份驱动程序:

KEYSTONE_IDENTITY_BACKEND = ldap

如果您希望 DevStack 清除现有的 Keystone LDAP 树并重新开始,那么可以将以下代码行添加到 localrc 文件中:

KEYSTONE_CLEAR_LDAP=yes

保存并关闭 localrc。现在运行来自 devstack 根目录的 stack.sh 脚本:

./stack.sh

运行完脚本后,您可以看到:

OpenLDAP 已被安装。 Keystone 被配置为使用其 LDAP 后端身份驱动程序。 一个初始 Keystone LDAP 树已被创建,它使用了 devstack\files\ldap\openstack.ldif 中的数据,如清单 1 所示:

清单 1. openstack.ldif 的内容

dn: dc=openstack,dc=orgdc:
openstackobjectClass: dcObjectobjectClass: organizationalUnitou:
openstackdn: ou=Groups,dc=openstack,dc=orgobjectClass:
organizationalUnitou:Groupsdn: ou=Users,dc=openstack,dc=orgobjectClass:
organizationalUnitou:Usersdn: ou=Roles,dc=openstack,dc=orgobjectClass:
organizationalUnitou:Rolesdn:
ou=Projects,dc=openstack,dc=orgobjectClass:
organizationalUnitou:Projectsdn:
cn=9fe2ff9ee4384b1894a90878d3e92bab,ou=Roles,dc=openstack,dc=orgobjectClass:
organizationalRoleou:_member_cn:9fe2ff9ee4384b1894a90878d3e92bab

LDAP 树

Keystone LDAP 后端身份驱动程序所用的示例模式假设采用了如图 1 所示的树型结构:

图 1. Keystone LDAP 后端身份驱动程序所用的示例模式

在图 1 的示例 LDAP 树中,Users、UserGroups、Projects 和 Roles 都是该树的子树,都使用了标准 LDAP ObjectClass。例如,在 Users 子树中,ObjectClass=inetOrgPerson。

配置OpenStack以使用LDAP实现身份管理的更多相关文章

  1. openstack中的身份管理

    原文:http://blog.csdn.net/xxfigo/article/details/8785748 原作者关于openstack的一系列文章http://blog.csdn.net/xxfi ...

  2. OpenStack-Ocata版+CentOS7.6 云平台环境搭建 — 2.安装配置OpenStack基础服务

    节点配置情况说明: 控制节点:controller: IP:192.168.164.128 hostname&hosts:likeadmin 计算加点:Nova: IP:192.168.164 ...

  3. ldap配置系列一:ldap的安装

    ldap的安装 ldap的简介 LDAP是轻量目录访问协议,英文全称是Lightweight Directory Access Protocol,一般都简称为LDAP.它是基于X.500标准的,但是简 ...

  4. Ubuntu配置OpenStack 二:配置时间同步NTP和安装数据库Maridb以及问题总结

    继上一节Ubuntu配置OpenStack 一:配置主机环境,下面继续为安装时间同步,以及配置openstack的安装包源和安装数据库Maridb.(全文截图都是由自己徒手搭建完成并且截图) 一.安装 ...

  5. 虚拟机配置Openstack常见问题汇总

    之前配置了openstack,遇到一些问题,现在将问题全部汇总记录在这里. (1)问题:主机名字修改不了: 原因:没有进入root状态:或者没有正确打开文件,要打开的是/etc/hostname,结果 ...

  6. OCM_第十六天课程:Section7 —》GI 及 ASM 安装配置 _安装 GRID 软件/创建和管理 ASM 磁盘组/创建和管理 ASM 实例

    注:本文为原著(其内容来自 腾科教育培训课堂).阅读本文注意事项如下: 1:所有文章的转载请标注本文出处. 2:本文非本人不得用于商业用途.违者将承当相应法律责任. 3:该系列文章目录列表: 一:&l ...

  7. openstack 租户ip 手动配置 openstack静态租户ip

    作者:[吴业亮]云计算开发工程师 博客:http://blog.csdn.net/wylfengyujiancheng 1.综述: 在日常开发和生产环境中经常需要将OpenStack虚拟机配置一个静态 ...

  8. Azure Active Directory中的特权身份管理如何运作?

    [TechTarget中国原创] 用户权限不是平等的.有些用户需要有大量权利和特权——通常这些都是管理员.企业在允许特权用户进行管理以及支持活动时,还需要意识到特权用户也有可能犯错.他们会犯错.他们可 ...

  9. 2016.11.29 activiti实战--第19章--统一身份管理(含自定义用户与数组的实现)

    学习资料:<Activiti实战> 第十九章 统一身份管理 本章讲解如何统一业务系统与activiti的用户管理系统. 第5章的时候已经讲解过activiti的用户与组.一般来说业务系统都 ...

随机推荐

  1. C/C++中几种经典的垃圾回收算法

    1.引用计数算法 引用计数(Reference Counting)算法是每个对象计算指向它的指针的数量,当有一个指针指向自己时计数值加1:当删除一个指向自己的指针时,计数值减1,如果计数值减为0,说明 ...

  2. ***SQL统计语句总结(运用场景:运营分析,财务分析等)

    -- 统计三月的每天的数据量 ,) ,) ; --统计从5月19到6月29的数据量 , ) AS '日期', count(*) AS '医说数' FROM xm_feed a WHERE a.feed ...

  3. Centos系统备份与恢复教程

    Linux不像windows,它不限制根用户存取任何东西,因此,你完全可以把一个分区上每一个的文件放入一个TAR文件中. 使用root用户切换到根目录 然后,使用下面的命令备份完整的系统: tar c ...

  4. 不同VLAN之间互相通信

    前话 我们经常到机房上课,想必对机房后面那层叠的跟DVD一样的机器有印象吧,那些就是交换机. 交换机作用是什么? 我这里度娘一下: 交换机(Switch)意为"开关"是一种用于电( ...

  5. 安装Hadoop系列 — 新建MapReduce项目

    1.新建MR工程 依次点击 File → New → Ohter…  选择 “Map/Reduce Project”,然后输入项目名称:mrdemo,创建新项目:     2.(这步在以后的开发中可能 ...

  6. c#自带压缩类实现数据库表导出到CSV压缩文件的方法

    在导出大量CSV数据的时候,常常体积较大,采用C#自带的压缩类,可以方便的实现该功能,并且压缩比例很高,该方法在我的开源工具DataPie中已经经过实践检验.我的上一篇博客<功能齐全.效率一流的 ...

  7. C# 字符串加密解密方法

    这个是加密的算法的命名空间,使用加密算法前要引用该程序集  System.Security.Cryptography using System;using System.Data;using Syst ...

  8. 关于Firefox浏览器如何支持ActiveX控件,一个小的Hellow World

    今天尝试开发一个Firefox的插件.虽然比较简单,网上也有很多教程,但是感觉一些教程写的比较麻烦,在初步的开发过程中并没有用到那些东西,于是自己把开发过程记录下来.我是根据Mozilla官方教程开发 ...

  9. 移动端调试 weinre

    weinre 是基于 Node 的工具,因此使用如下命令安装 weinre $ npm install -g weinre 用上面的命令将 weinre 安装到全局,然后就可以使用 weinre的命令 ...

  10. poj 1035 Spell checker(水题)

    题目:http://poj.org/problem?id=1035 还是暴搜 #include <iostream> #include<cstdio> #include< ...