Блог

В настоящее время у меня есть кластер Openstack Havana, на котором работает API 2.0. У меня возникли некоторые проблемы с интеграцией моего Keystone с моим корпоративным LDAP только для чтения.

Я выполнил разделение LDAP / SQL (для идентификации и назначения) в соответствии с рекомендациями. Когда я запускаю команду ‘keystone user-list’ несколько раз, она выводит как пользователей SQL, так и пользователей LDAP (т.Е. Иногда пользователей SQL и иногда пользователей LDAP). Я этого не понимаю, поскольку ожидаю, что он будет извлекать список пользователей только из LDAP, а не из SQL. Что именно пытается сделать user-list внутренне?

Могут ли быть какие-то другие настройки в дополнение к настройкам в Keystone.conf [LDAP], которые мне нужно будет изменить?

Я также попытался выполнить ‘keystone user-role-add’, чтобы попытаться сопоставить пользователя LDAP с предварительно созданным клиентом с ролью участника, но это не удалось, заявив, что пользователь не найден, что опять же означает, что он пытается искать пользователя внутри SQL, а не внутри LDAP

Некоторые люди говорили об использовании keystone 3.0 API, но мне еще предстоит найти материал, который поможет мне установить и запустить это. Какова процедура установки и настройки этого? Будучи новичком в Linux, я понятия не имею. Как API 3.0 поможет мне решить эту проблему?

Кроме того, я читал, что LDAP только для чтения в Гаване не работает. Поможет ли переход на Icehouse? Было ли это сделано более стабильным в Icehouse?

Можете ли вы попробовать, установив только ldap драйвер для идентификации следующим образом :

 driver = keystone.identity.backends.ldap.Identity