keystone V3 与Microsoft Active Directory(AD)的集成

一  环境准备

1. 安装或在现有的windows server2008,操作Microsoft Acitve
Directory(以下简称AD)。欲了解AD请看系列文章[深入浅出ActiveDirectory http://terryli.blog.51cto.com/704315/141686 ]。配置了AD后这台windows
server会自成一个DNS服务器。配置相应的hostname和域 ad-ldap.opentest.com ,并且保证装有keystone服务的节点可以ping通它。

若在部署OpenStack环境中各个密码无法达到windows server密码复杂度要求,在此之前请先disable掉AD用户密码复杂度的要求,参考http://tanyanbo2.blog.163.com/blog/static/973391592011222102326909/ 。并且将windows
server原始的管理员用户名 Adminstrator更名为admin。修改管理员用户名的步骤是:依次点击开始,管理工具,Active
Directory管理中心;选中右边的tab,可以看到opentest(本地);点击Users可以看到右边列出了所有的用户;选中Adminstrator右击鼠标,然后点属性,更改“全名”和“用户”即可。

2. 选中Users  右键 新建 用户

3. 填入 全名和用户名  确定即可

二、Keystone 的配置   首先保证使用的是 keystone V3

1. 修改配置

# vim /etc/keystone/keystone.conf

[identity]

domain_specific_drivers_enabled= true

domain_config_dir= /etc/keystone/domains

 

2.新建一个domain

Openstack domain create laok

在/etc/keystone/下面新建立domains

3. 在domains下面建比如我们一个域keystone.laok.conf

[ldap]

url=ldap://192.168.0.12

#[email protected]

user=cn=admin,cn=Users,dc=contoso,dc=com

password= passwd

suffix=dc=contoso,dc=com

user_name_attribute=sAMAccountName

user_allow_create=False

user_objectclass=organizationalPerson

user_pass_attribute=userPassword

user_allow_delete=False

user_enabled_default=512

user_id_attribute=cn

query_scope=sub

user_filter=

user_enabled_attribute=userAccountControl

user_allow_update=False

#user_tree_dn=ou=laok,dc=contoso,dc=com

user_tree_dn=cn=Users,dc=contoso,dc=com

user_enabled_mask=2

#group_tree_dn=ou=laok,dc=contoso,dc=com

group_tree_dn=cn=Users,dc=contoso,dc=com

group_allow_create=True

group_allow_delete=True

group_allow_update=True

group_id_attribute=cn

group_name_attribute=cn

group_objectclass=group

[identity]

driver=keystone.identity.backends.ldap.Identity

[assignment]

driver = keystone.assignment.backends.sql.Assignment

4. 重启keystone 服务

Dashboard  支持多域  (如果要使用horizon)

vi /etc/openstack-dashboard/local_settings

OPENSTACK_API_VERSIONS = {

"identity": 3

}

OPENSTACK_KEYSTONE_MULTIDOMAIN_SUPPORT =True

OPENSTACK_KEYSTONE_DEFAULT_DOMAIN =‘Default‘

OPENSTACK_KEYSTONE_URL=http://192.168.11.106:5000/v3

结果:

上面keystone 中的查询出来的用户  对应下面 AD域中Users里的四个用户

参考文章:

http://www.ibm.com/developerworks/cloud/library/cl-configure-keystone-ldap-and-active-directory/index.html

http://richmegginson.livejournal.com/25846.html

https://docs.hpcloud.com/commercial/GA1/1.1commerical.services-identity-integrate-ldap.html#topic9275__per-domain-ldap-backend-configuration-post-installation

http://blog.csdn.net/qq_21398167/article/details/51158716

时间: 2024-10-13 16:17:50

keystone V3 与Microsoft Active Directory(AD)的集成的相关文章

datazen Active Directory AD 配置

今天苦心经营的datazen 链接AD,文档已经无法吐槽了简单的几句话,根本不够用. 先说一下链接AD 的好处吧, 1 首先免去设置密码的麻烦,因为直接用AD账号的密码. 2 更安全,因为客户可不想自己的自己的系统,开发人员随便一个测试账号都能进入.(其实我是参加一个银行类项目,被客户发现投产了,我居然还可以用他们系统,被催着用AD的.) 直接上修改步奏: 原文链接:https://msdn.microsoft.com/en-us/library/mt404694.aspx 加工后的中文版 在c

C#操作Active Directory(AD)详解

1. LDAP简介 LDAP(轻量级目录访问协议,Lightweight Directory Access Protocol)是实现提供被称为目录服务的信息服务.目录服务是一种特殊的数据库系统,其专门针对读取,浏览和搜索操作进行了特定的优化.目录一般用来包含描述性的,基于属性的信息并支持精细复杂的过滤能力.目录一般不支持通用数据库针对大量更新操作操作需要的复杂的事务管理或回卷策略.而目录服务的更新则一般都非常简单.这种目录可以存储包括个人信息.web链结.jpeg图像等各种信息.为了访问存储在目

C# AD(Active Directory)域信息同步,组织单位、用户等信息查询

Windows Server 2008 R2 配置AD(Active Directory)域控制器 目录 配置环境 配置DNS服务器 配置Active Directory 域服务 C# AD(Active Directory)域同步 组织单位.用户等信息查询 PDF下载 配置环境 Windows版本:Windows Server 2008 R2 Enterprise Service Pack 1 系统类型:       64 位操作系统 配置DNS服务器 这一步不是必须的,在安装Active D

Windows Azure Active Directory (2) Windows Azure AD基础

<Windows Azure Platform 系列文章目录> Windows Azure AD (WAAD)是Windows Azure提供的一个REST风格的服务,为您的云服务提供了身份管理和访问控制的功能.微软的很多在线服务,例如微软Office 365, Dynamics CRM Online, Windows Intune及Windows Azure自身都在使用Windows Azure AD作为身份的提供方.通过使用Windows Azure AD,您可以将用户的管理验证交给Win

Active Directory 活动目录(简称AD)的基础架构与使用(三)

在我们使用AD域服务的过程中,会遇到域控制器故障的突发状况,为了保证在遇到突发状况的时候,能最快的解决问题,就需要用到AD域服务的备份和还原,今天会给大家带来的几个案例,让大家进一步了解AD域服务. 模拟环境:服务器崩溃,利用备份的系统状态还原. 准备:1)重新安装过系统的服务器.(因为是模拟服务器崩溃,所以要重新给服务器装系统,这里就不详细介绍了.) 2)需要把过去的备份,导入到服务器中.(注意:无论用什么方法导入备份,一定不要放在系统盘!!) 步骤一:给重新安装过系统的服务器,重命名,(系统

Active Directory 活动目录(简称AD)的基础架构与使用(四)

在我们使用AD域服务的过程中,会遇到域控制器故障的突发状况,为了保证在遇到突发状况的时候,能最快的解决问题,就需要用到AD域服务的备份和还原,今天会给大家带来的几个案例,让大家进一步了解AD域服务. 模拟环境:服务器崩溃,利用备份的系统状态还原. 准备:1)重新安装过系统的服务器.(因为是模拟服务器崩溃,所以要重新给服务器装系统,这里就不详细介绍了.) 2)需要把过去的备份,导入到服务器中.(注意:无论用什么方法导入备份,一定不要放在系统盘!!) 步骤一:给重新安装过系统的服务器,重命名,(系统

TFS 与活动目录AD(Active Directory)的同步机制

TFS用户管理机制 TFS系统与企业域服务器用户系统(或本地计算机用户系统)高度集成在一起,使用域服务器验证系统用户的账户和密码,从而在企业中实现单一用户,单点登录.也就是说,TFS系统自身并没有用户管理的功能,没有针对账户信息的创建.修改.删除功能.当用户通过域服务器提供的功能修改了账户密码以后,登陆TFS系统时,需要使用新的账户密码. 但是,并不是说在TFS系统中完全没有账户信息的概念.实际上,当管理员将开发人员的域账户或本地服务器的账户添加到TFS的团队项目中时,TFS系统自动将账户的部分

Ldap登陆AD(Active Directory)进行认证的Java示例

原文地址:http://hi.baidu.com/js2007/item/24efbb0fae1c9b90a3df432a package LdapTest; import java.util.Hashtable; import javax.naming.Context; import javax.naming.NamingEnumeration; import javax.naming.NamingException; import javax.naming.AuthenticationExc

Windows Azure Active Directory (3) China Azure AD增加新用户

<Windows Azure Platform 系列文章目录> 本文介绍的是国内由世纪互联运维的China Azure. 本文是对笔者之前的文档:Windows Azure Active Directory (2) Windows Azure AD基础 进行的补充 在本章笔者会介绍2个内容点: 1.在Azure AD添加新的账户 2.在将新增加的Azure AD账户与订阅做关联 首先我们介绍第一部分的内容:在Azure AD添加新的账户 1.首先我们登陆Azure China管理门户https