Важно
/etc/one/oned.conf
добавить строку DEFAULT_AUTH = "ldap":
… AUTH_MAD = [ EXECUTABLE = "one_auth_mad", AUTHN = "ssh,x509,ldap,server_cipher,server_x509" ] DEFAULT_AUTH = "ldap" …
Важно
/etc/one/sunstone-server.conf
для параметра :auth
должно быть указано значение opennebula:
:auth: opennebula
/etc/one/auth/ldap_auth.conf
необходимо указать:
:user
— пользователь AD с правами на чтение (пользователь указывается в формате opennebula@test.alt);
:password
— пароль пользователя;
:host
— IP-адрес или имя сервера AD (имя должно разрешаться через DNS или /etc/hosts
);
:base
— базовый DN для поиска пользователя;
:user_field
— для этого параметра следует установить значение sAMAccountName;
:rfc2307bis
— для этого параметра следует установить значение true.
/etc/one/auth/ldap_auth.conf
:
server 1: :user: 'opennebula@test.alt' :password: 'Pa$$word' :auth_method: :simple :host: dc.test.alt :port: 389 :base: 'dc=test,dc=alt' :user_field: 'sAMAccountName' :mapping_generate: false :mapping_timeout: 300 :mapping_filename: server1.yaml :mapping_key: GROUP_DN :mapping_default: 100 :rfc2307bis: true :order: - server 1
Примечание
:order
указывается порядок, в котором будут опрошены настроенные серверы. Элементы в :order
обрабатываются по порядку, пока пользователь не будет успешно аутентифицирован или не будет достигнут конец списка. Сервер, не указанный в :order
, не будет опрошен.
Примечание
/etc/one/auth/ldap_auth.conf
для настройки аутентификации в домене FreeIPA (домен example.test):
server 1: :user: 'uid=admin,cn=users,cn=accounts,dc=example,dc=test' :password: '12345678' :auth_method: :simple :host: ipa.example.test :port: 389 :base: 'dc=example,dc=test' :user_field: 'uid' :mapping_generate: false :mapping_timeout: 300 :mapping_filename: server1.yaml :mapping_key: GROUP_DN :mapping_default: 100 :rfc2307bis: true :order: - server 1
:mapping_file
(файл должен находиться в каталоге /var/lib/one/
).
:mapping_generate
должно быть установлено значение true). Если в шаблон группы добавить строку:
GROUP_DN="CN=office,CN=Users,DC=test,DC=alt"И в файле
/etc/one/auth/ldap_auth.conf
для параметра :mapping_key
установить значение GROUP_DN, то поиск DN сопоставляемой группы будет осуществляться в этом параметре шаблона. В этом случае файл /var/lib/one/server1.yaml
будет сгенерирован со следующим содержимым:
--- CN=office,CN=Users,DC=test,DC=alt: '100'и пользователи из группы AD office, будут сопоставлены с группой ALT (ID=100).
:mapping_generate
равным false, и выполнить сопоставление вручную. Файл сопоставления имеет формат YAML и содержит хеш, где ключ — это DN группы AD, а значение — идентификатор группы OpenNebula. Например, если содержимое файла /var/lib/one/server1.yaml
:
CN=office,CN=Users,DC=test,DC=alt: '100' CN=Domain Admins,CN=Users,DC=test,DC=alt: '101'то пользователи из группы AD office, будут сопоставлены с группой ALT (ID=100), а из группы AD Domain Admin — с группой Admin (ID=101):