Atom feed of this document
  

 加强OpenStack身份服务到后端LDAP连接的安全性

身份服务支持使用TLS加密LDAP的流量。在配置此之前,你首先必须验证你的证书颁发机构文件在哪里。更多信息,请参阅 “证书的PKI”一节

一旦你验证了你的证书颁发机构文件的位置:

 

配置TLS加密的LDAP流量

  1. 打开/etc/keystone/keystone.conf配置文件。

  2. 找到 [ldap]一节。

  3. [ldap] 一节中,设置配置键use_tlsTrue。这样就打开了TLS。

  4. 配置身份服务来使用你的证书颁发机构文件。要完成这步,设置ldap 节中的tls_cacertfile配置键为证书颁发机构文件的路径。

    [注意]注意

    你也可以设置tls_cacertdir (也在ldap一节)为保存所有的证书颁发机构的目录。如果同时设置了tls_cacertfiletls_cacertdir,后者会被忽略。

  5. 指定来自LDAP服务器的TLS会话执行证书检查的行为。要做这些,在 [ldap] 一节设置tls_req_cert配置项。有三个选择,分别是 demand, allow, 或never:

    • demand: 一直要求来自LDAP服务器的证书。如果没有提供证书会话就会终止。如果所提供的证书经验证,不能满足现有的证书颁发机构,会话也会被终止。

    • allow: 一直要求来自LDAP服务器的证书。如果没有提供证书会话进程照样。如果所提供的证书经验证,不能满足现有的证书颁发机构,证书会被忽略且会话照常进行。

    • never: 不需要提供证书。

在安装有openstack-config的发行版中,你可以通过运行下面命令来配置TLS加密LDAP的流量:

# openstack-config --set /etc/keystone/keystone.conf \
ldap use_tls True
# openstack-config --set /etc/keystone/keystone.conf \
ldap tls_cacertfile CA_FILE
# openstack-config --set /etc/keystone/keystone.conf \
ldap tls_req_cert CERT_BEHAVIOR

地点:

  • CA_FILE 用于加密LDAP流量的证书颁发机构文件的绝对路径。

  • CERT_BEHAVIOR: 指定来自LDAP服务器的TLS会话执行证书检查的行为 (demand, allow, 或 never)。

Questions? Discuss on ask.openstack.org
Found an error? Report a bug against this page


loading table of contents...