Nova使用LDAP作为backend认证

最新推荐文章于 2022-06-29 18:34:57 发布
最新推荐文章于 2022-06-29 18:34:57 发布
阅读量695 收藏
点赞数
分类专栏: Openstack
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013088806/article/details/48288279
版权
本文档介绍了如何在OpenStack K版本环境中,将Nova的backend认证与LDAP进行集成。内容包括安装ldap相关包,修改ldap配置,创建及重新创建keystone服务相关项目和用户,以及Nova认证的重新生成。虽然作者对ldap不熟悉,但通过实验成功完成了配置。
摘要由CSDN通过智能技术生成

事先说明:

①Openstack环境已准备好,backend当然是mysql的,可以用packstack安装一下,详见packstack自动化部署

②本文档是参考华为团队的资料http://blog.csdn.net/lynn_kong/article/details/10239089,赞一下(文档是openstack G版,我这里用的K版)

    还有openstack官网的资料(太笼统,没什么用)

③本人对ldap是一窍不通的,所以配置中有投机取巧的地方,将就将就了吧

④环境说明:系统(RHEL7+Openstack(K)),ldap 2.4.39


一、ldap相关包安装

# yum install -y openldap* (一般源里都有吧吧)

二、修改ldap配置文件

①添加slapd.conf配置文件(现在版本ldap已经不用conf配置文件了大哭,但还兼容,我的取巧方式之一)

# vim /etc/openldap/slapd.conf
include /etc/openldap/schema/core.schema
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/inetorgperson.schema
pidfile /var/run/openldap/slapd.pid
argsfile /var/run/openldap/slapd.args
loglevel none
modulepath /usr/libexec/openldap
moduleload back_hdb
database hdb
suffix "dc=openstack,dc=com"            # openstack com等可自行设置
rootdn "cn=Manager,dc=openstack,dc=com"
rootpw shitou92           #  密码自行设置
directory /var/lib/ldap
index objectClass,cn eq
access to attrs=userPassword
       by anonymous auth
       by self write
       by * none
access to *
       by self write
       by * none
②备份原始配置(slapd.d方式),改用slapd.conf的方式 
<pre name="code" class="cpp"># mv /etc/openldap/slapd.d /etc/openldap/slap.d.bak -f
③启动ldap服务 
# systemctl start slapd.service
# systemctl enable slapd.service



 三、创建文件add.ldif 

# vim add.ldif
dn: dc=openstack,dc=com           #dc根据配置文件中的suffix修改
dc: openstack
objectClass: dcObject
objectClass: organizationalUnit
ou: openstack

dn: ou=Projects,dc=openstack,dc=com
objectClass: top
objectClass: organizationalUnit
ou: projects

dn: ou=Users,dc=openstack,dc=com
objectClass: top
objectClass: organizationalUnit
ou: users

dn: ou=Roles,dc=openstack,dc=com
objectClass: top
objectClass: organizationalUnit
ou: roles

dn: ou=Groups,dc=openstack,dc=com
objectClass: top
objectClass: organizationalUnit
ou: groups

dn: ou=Domains,dc=openstack,dc=com
objectClass: top
objectClass: organizationalUnit
ou: domains
将表导入ldap中 

 

 

# ldapadd -x -c -D "cn=Manager,dc=op

                

        

        

    

  


        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    

      

        

            

              
                
                  石头92
                
              
            

            

                关注
              
            

        

        

          
      

      

            

                专栏目录
          









                



	

		

			

				
					
Kerberos使用OpenLDAP作为backend

				
			

			

				

					 weixin_45906054的博客
				

				

					03-20
					
					509
					
				

			

		

		

			
				
作者:云魄,阿里云E-MapReduce 高级开发工程师,专注于流式计算,Spark Contributor,开源爱好者本文介绍Kerberos对接Op...

			
		

	



                

              
                



	

		

			

				
					
Keystone LDAP backend

				
			

			

				

					chenwei8280的专栏
				

				

					10-22
					
					1468
					
				

			

		

		

			
				
一直以来想看看LDAP在keystone中如何应用的,最近终于静下心来好好的看了一下,keystone曾经有许多backends,SQL,memcache, LDAP, KVS等,随着版本的演进,现在的版本主要只支持SQL,与LDAP后端,而且LDAP与只是保留在Identity这一个组件中,且只支持读而不再支持写操作。但是LDAP在企业用的这么广泛,有必要来研究研究keystone是如何LDAP...

			
		

	



                


  
              

                


	

		

			

				
					
ldapContacts-开源

				
			

			

				

					06-30
				

			

		

		

			
				
ldapContacts 是一个用 PHP 编写的工具,用于处理 LDAP 服务器 (openldap) 上的共享地址簿。 它与 Mozilla Thunderbird LDAP 架构 (mozillaAddressBookEntry.schema) 完全兼容。 新:您可以同步您的 Microsoft Outlook

			
		

	





	

		

			

				
					
MDB: A Memory-Mapped Database and Backend for OpenLDAP

				
			

			

				

					07-27
				

			

		

		

			
				
MDB: A Memory-Mapped Database and Backend for OpenLDAP

			
		

	



		

			
		



	

		

			

				
					
OpenLDAP动态后台配置

				
			

			

				

					weixin_34221036的博客
				

				

					12-09
					
					199
					
				

			

		

		

			
				
2019独角兽企业重金招聘Python工程师标准>>>   
                                        
         ...

			
		

	





	

		

			

				
					
OpenStack身份认证服务:理解Keystone

				
			

			

				

					
				

			

		

		

			
				
其中,OpenStack身份认证服务(Keystone)负责管理用户、项目和权限,并提供身份认证和授权功能。  ### 1.2 Keystone的作用与重要性 Keystone是OpenStack中的核心组件之一,它提供了统一的身份认证和授权机制,使得...

			
		

	





	

		

			

				
					
OpenStack身份认证服务:Keystone的架构与实践

				
			

			

				

					
				

			

		

		

			
				
# 1. 引言  ## OpenStack简介  OpenStack是一款开源的云计算平台,它提供了一系列的基础设施服务,包括计算、存储和网络等。OpenStack的设计目标是实现可扩展、可靠和强大的...在OpenStack中,身份认证是构建安全可靠

			
		

	





	

		

			

				
					
使用openstack搭建私有云

				
			

			

				

					zheou的博客
				

				

					04-30
					
					4181
					
				

			

		

		

			
				
OpenStack 部署
一、环境准备
1、网络环境




主机
IP




controller
10.0.0.51


compute1
10.0.0.61


修改hosts文件
cat /etc/hosts
10.0.0.51	controller
10.0.0.61	compute1
关闭selinux、firewalld
cat env_set.sh 
#!/bin/bash

systemctl  stop firewalld
systemctl  disable firewalld

s

			
		

	





	

		

			

				
					
OpenStack架构分析

				
			

			

				

					O1564511094的博客
				

				

					08-19
					
					1万+
					
				

			

		

		

			
				
1、总体架构

下图是OpenStack各Services之间的相互关系。



Nova:管理VM的生命周期

Neutron:为其它组件提供网络连接服务,负责创建和管理L2、L3网络。

Glance:管理VM镜像

Cinder:提供块存储服务

Keystone:为其它组件提供认证和权限管理服务

Ceilometer:提供监控告警和计量计费服务

Horizon:为用户提供一个基于Web...

			
		

	





	

		

			

				
					
配置openldap_Kerberos使用OpenLDAP作为backend

				
			

			

				

					weixin_35705011的博客
				

				

					12-25
					
					251
					
				

			

		

		

			
				
本文介绍Kerberos对接OpenLDAP, 使用OpenLDAP作为principal数据库。1.前置操作系统为Centos安装OpenLDAP,并设置了管理员账户和相关的组,可参考OpenLDAP官网;例如ldap的host为localhost,port为10389,添加的管理账户的dn为cn=Manager,dc=example,dc=com安装Kerberos52.添加schema如果已...

			
		

	





	

		

			

				
					
openstack glance、nova backend glusterfs

				
			

			

				

					litianze99的专栏
				

				

					03-25
					
					1217
					
				

			

		

		

			
				
**openstack glance、nova backend glusterfs** 
glusterfs 不仅可以提供跟cinder作为后端存储,也可以提供给glance、nova。创建glusterfs共享卷首先要准备一个共享的glusterfs volume command:gluster volume create testvol IP:/exp1
gluster volume start

			
		

	





	

		

			

				
					
组件分享之后端组件——LDAP仓库docker-openlda

				
			

			

				

					CN華少的博客
				

				

					06-29
					
					406
					
				

			

		

		

			
				
组件分享之后端组件——LDAP仓库docker-openlda
背景
近期正在探索前端、后端、系统端各类常用组件与工具,对其一些常见的组件进行再次整理一下,形成标准化组件专题,后续该专题将包含各类语言中的一些常用组件。欢迎大家进行持续关注。
组件基本信息

组件:docker-openldap

开源协议:MIT license


内容
本节我们分享的是LDAP仓库docker-openldap...

			
		

	





	

		

			

				
					
LDAP协议简介以及OpenLDAP服务搭建

				
			

			

				

					ximingren的博客
				

				

					05-06
					
					5819
					
				

			

		

		

			
				
我这篇文章是自己在学习LDAP的时候,为了记录下来,将自己收集的资料集合成一篇文章而成的仅供参考,并非原创。参考过的文章有点击打开链接点击打开链接点击打开链接点击打开链接一:LDAP协议简介LDAP,全称为轻量级目录访问协议,是一项开放协议,用于通过分层目录结构对数据进行存储与检索。LDAP是一种灵活得解决方案,适用于定义各类条目及相关性质。OpenLDAP项目是实现了LDAP协议的开源软件。基本...

			
		

	





	

		

			

				
					
LDAP服务器的概念和原理简单介绍

					
热门推荐

				
			

			

				

					马万明的专栏
				

				

					08-01
					
					1万+
					
				

			

		

		

			
				
转自http://www.open-open.com/lib/view/open1426834264554.html



1. 目录服务
目录是一个为查询、浏览和搜索而优化的专业分布式数据库,它呈树状结构组织数据,就好象Linux/Unix系统中的文件目录一样。目录数据库和关 系数据库不同,它有优异的读性能,但写性能差,并且没有事务处理、回滚等复杂功能,不适于存储修改频繁的数据。所以目

			
		

	





	

		

			

				
					
关于单点登陆--LDAP

				
			

			

				

					xiaohonghui2011的专栏
				

				

					01-09
					
					2325
					
				

			

		

		

			
				
在公司上班,我们经常需要上各种各样的内网系统,都是需要账号登陆,要是每个系统都使用独立的账号系统的话,我们就要记住好多的账号密码,十分不方便。但是单点登陆——LDAP就可以解决这个问题。
LDAP的站点:http://www.python-ldap.org/docs.shtml

LDAP可以说是一个数据储存服务器,里面存放着我们的一些信息(姓名。账号,密码,邮箱等我们可以自定)。总而言之,

			
		

	





	

		

			

				
					
winbind服务作用

				
			

			

				

					weixin_45137294的博客
				

				

					04-29
					
					3826
					
				

			

		

		

			
				
Winbind是Samba程序套件的一个组件,可以解决统一登录问题。Winbind使用Microsoft RPC调用,可插入身份验证模块(PAM)和名称服务开关(NSS)的UNIX实现,以允许Windows NT域用户在UNIX计算机上出现并作为UNIX用户运行。本章介绍Winbind系统,其提供的功能,如何配置以及如何在内部工作。

Winbind提供了三个独立的功能:
	验证用户凭据(通过P...

			
		

	





	

		

			

				
					
OpenLDAP使用疑惑解答及使用Java完成LDAP身份认证

				
			

			

				

					weixin_33766168的博客
				

				

					04-14
					
					171
					
				

			

		

		

			
				
导读
LDAP(轻量级目录访问协议,Lightweight Directory Access Protocol)是实现提供被称为目录服务的信息服务。目录服务是一种特殊的数据库系统,其专门针对读取,浏览和搜索操作进行了特定的优化。目录一般用来包含描述性的,基于属性的信息并支持精细复杂的过滤能力。目录一般不支持通用数据库针对大量更新操作操作需要的复杂的事务管理或回卷策略。而目录服务的更新则一般都非常...

			
		

	





	

		

			

				
					
openldap介绍和使用

				
			

			

				

					weixin_30797199的博客
				

				

					08-16
					
					1366
					
				

			

		

		

			
				
openldap介绍和使用

为什么会有本文?
早期,公司是没有统一认证这个东西的,所以各自玩各自的。于是, confluence一个用户体系,gitlab一个用户体系,Jenkins一个用户体系等等, 开发中要用到的开源软件数不胜数,每个软件都要认证, 必须想办法统一账号。
第三系统的认证通常都是配置化的, 比如oauth, openid, ldap。兼容最广泛就是ldap了,虽然是很...

			
		

	





	

		

			

				
					
使用LDAP实现Samba安全域控认证

				
			

			

				

					
				

			

		

		

			
				
在设置过程中,需要配置PAM,使得系统能够使用LDAP进行身份验证。PAM的灵活性使得不同的服务(如Samba)可以共享相同的认证机制。  然后,文档会讨论如何启用TLS以加密Samba和OpenLDAP之间的通信,确保敏感数据在...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值