HP CSA および OpenLDAP のマルチテナンシー用の

OpenLDAP または Microsoft Active Directory を使用したマルチテナンシーの構成
OpenLDAP または Microsoft Active
Directory を使用したマルチテナン
シーの構成
HP CloudSystem Enterprise/Foundation ソフトウェア
本書では、HP CloudSystem Foundation および Enterprise ソフトウ
ェアのマルチテナンシーを構成する方法について説明します。マ
ルチテナンシーを実現するため、CloudSystem Enterprise の組
織を CloudSystem Foundation のプロジェクトにマッピングします。
マルチテナンシーの構成を開始する前に、認証に OpenLDAP また
は Microsoft Active Directory を使用するよう、Foundation および
Enterprise のアプライアンスを構成しておく必要があります。
CloudSystem のマルチテナンシーの概要
CloudSystem Enterprise は、HP Cloud Service Automation (HP CSA) によって定義された組織を実装してい
ます。組織は、HP CSA の管理者が定義するエンティティであり、企業、ビジネスユニット、部門、グループな
どを設定できます。組織内のメンバーシップは、組織の ID 管理構成によって決定されます。HP CSA はこの
ID 管理構成にアクセスして、ユーザーのログイン認証情報を認証します。管理者はメンバーのクラウドへ
のエントリーポイントを決定し、各メンバーをサービスやリソースと関連付けます。
CloudSystem Foundation は、OpenStack テクノロジーによって定義されたプロジェクトを実装しています。
プロジェクトはユーザーの論理グループであり、クォータの定義や、仮想マシンイメージへのアクセスに使
用されます。
CloudSystem では、管理者が HP CSA 組織を OpenStack プロジェクトに手動でマッピングすることにより、マルチ
テナンシーを実装します。このマッピングは、ディレクトリサービス (OpenLDAP または Microsoft Active Directory)
を使用して確立されます。
組織をプロジェクトにマッピングすることで、組織のユーザーからのすべてのサブスクリプション要求を、対応す
るプロジェクトのコンテキストに沿って確実に処理できます。
• ユーザーのプロジェクトのリソースのみが使用されます。
• プロジェクトのクォータが要求の処理前にチェックされます。
• テンプレート定義に従って、プロジェクトのネットワークが分離されます。
• プロジェクトのユーザーに割り当てられる権限は、CloudSystem Enterprise によって付与されます。
CloudSystem Enterprise では、各組織はディレクトリサービスを使用するように構成されています。クラウド
管理者はディレクトリグループに組織へのアクセスを提供します。これにより、そのグループに属している
認証済みユーザーが、組織の Marketplace Portal にアクセスできるようになります。
OpenLDAP または Microsoft Active Directory を使用したマルチテナンシーの構成
CloudSystem Foundation では、管理者が各組織用のプロジェクトを作成して同一の名前を設定し、適切な組
織グループ内のすべてのユーザーをそのプロジェクトに追加します。
これにより、組織のユーザーは Marketplace Portal を使用して、サービスの確認や HP CSA でのサブスクリ
プションの作成ができるようになります。HP CSA は、関連するプロジェクトのユーザー認証情報を使用して
CloudSystem Foundation にログインし、CloudSystem によるインスタンスのプロビジョニングをオーケストレ
ーションします。CloudSystem Foundation レベルでは、プロビジョニングされたインスタンスはユーザーが所
有し、プロジェクト内のすべてのユーザーがアクセスできます。
図 1 のデータモデルは、マッピングがどのように確立されるかを示しています。
図 1: HP CSA 組織と CloudSystem Foundation プロジェクトの間のマッピング
OpenLDAP または Microsoft Active Directory を使用したマルチテナンシーの構成
HP CSA での組織の管理
HP CSA 組織を表示して管理するには、Cloud Service Automation Console を起動してください
(CloudSystem Console から、[Enterprise (エンタープライズ)] > [Tools (ツール)] > [Cloud Service
Management Console]を選択します)。
Cloud Service Automation Console から、[Organizations (組織)]タブを選択します。既存の組織が一覧表示
され、管理者が編集や新しい組織の作成を行えます。次の図では、Cloud Service Automation で定義され
た組織が 5 つ表示されています。HP CSA Consumer および HP CSA-Provider は、デフォルトの HP CSA 組織
です。BLUE、GREEN、RED は、管理者が以前に作成した組織です。
図 2: Cloud Service Automation Console の[Organizations (組織)]タブ
HP CSA 組織の設定と構成の詳細については、http://www.hp.com/go/CloudSystem/docs で入手できる
『HP Cloud Service Automation: Cloud Service Management Console Help (HP Cloud Service Automation:
Cloud Service Management Console ヘルプ)』の「Organization (組織)」セクションをご覧ください。
HP CSA および OpenLDAP のマルチテナンシー用の構成
注記: Microsoft Active Directory を使用している場合は、「HP CSA および Active Directory のマルチテナン
シー用の構成」セクションに移動してください。それらの手順を完了したら、「CloudSystem Foundation での
組織用のプロジェクトの作成」に進んでください。
HP CSA を構成するには、各組織が OpenLDAP ディレクトリを使用するように構成してください。手順は次のと
おりです。
1. 組織のユーザーを保持するための OpenLDAP グループの作成
2. 組織の作成と組織名の設定
3. 組織の OpenLDAP 認証の構成
4. 組織にアクセス可能な OpenLDAP グループの定義
5. 組織のカタログにアクセス可能な OpenLDAP グループの定義
OpenLDAP または Microsoft Active Directory を使用したマルチテナンシーの構成
ステップ1: 組織のユーザーを保持するためのOpenLDAPグループの作成
各組織用に OpenLDAP の groupOfNames を作成します。たとえば、BLUE、GREEN、RED という名前の 3 つ
の組織を作成する場合は、blue_users、green_users、red_users という 3 つのグループを作成してください。
組織内のすべてのユーザーは、グループのメンバーである必要があります。
図 3: BLUE 組織のユーザーを保持する groupOfNames blue_users の属性
図 3 は、BLUE 組織用に設定された blue_users グループを示しています。メンバーは Steve1Blue、
Steve2Blue、Steve3Blue、blue1、blue2 です。
ステップ2: HP CSAでの組織の作成と組織名の設定
HP CSA の[Organizations (組織)] > [Create Organization (組織の作成)]画面を使用して、HP CSA 組織を作成
します (BLUE、GREEN、RED は、以前に作成したサンプルの組織です)。[General Information (一般情報)] タ
ブが表示されます。
次の図に示すとおり、HP CSA 組織の[General Information (一般情報)]セクションの[Organization Identifier (組
織識別子)]に、HP CSA 組織識別子が表示されます。
各 HP CSA 組織について、CloudSystem Foundation 内に対応する同じ名前のプロジェクトが必要なことに
注意してください (「CloudSystem Foundation での組織用のプロジェクトの作成」で作成します)。HP CSA 組
織識別子は常に大文字で表記されるため、CloudSystem Foundation 内の対応するプロジェクト名も大文
字で表記する必要があります。
HP CSA で作成されるトポロジベースのサービス設計は、HP CSA の HP Cloud OS プロバイダーを使用します。
HP CSA 組織識別子を CloudSystem Portal 内のプロジェクトと一致させることで、インスタンスが適切なプロ
ジェクトにプロビジョニングされます。たとえば、HP CSA 組織識別子が BLUE で、CloudSystem プロジェクト名
も BLUE の場合、インスタンスは BLUE プロジェクトにプロビジョニングされます。
OpenLDAP または Microsoft Active Directory を使用したマルチテナンシーの構成
ステップ3: 組織のOpenLDAP認証の構成
組織を選択し、[LDAP]をクリックします。
1. LDAP サーバーの完全修飾ドメイン名 (FQDN) または IP アドレスを入力します。
2. ポートを 389 または 636 (セキュア LDAP 用) に指定します。
3. 検索コンテキスト用のベース DN (識別名) を追加します。
次の図の例では、ベース DN はドメインコンポーネント dc=pulsar,dc=io,dc=fc,dc=hp,dc=com
で構成されています。検索コンテキストは、LDAP 検索クエリの作成時にベース DN 設定を使用しま
す。
4. LDAP クエリを実行するために、ディレクトリにバインドされる OpenLDAP ユーザーのフル DN とパスワー
ドを入力します。
この例では、ユーザーは dc=Manager,dc=pulsar,dc=io,dc=fc,dc=hp,dc=com として識別
されています。
OpenLDAP または Microsoft Active Directory を使用したマルチテナンシーの構成
5. [User Login Information (ユーザーログイン情報)]を構成します。
次の図の例では、ユーザーは HP CSA Marketplace Portal へのログイン時に、共通名 (cn) 属性を使用
しています。[User Name Attribute (ユーザー名属性)]を入力すると、[User Search Filter (ユーザー検索
フィルター)]は自動的に記入されます。
[User Search Base (ユーザー検索ベース)]を入力します。この例では、ou=Users を選択しています。これ
をベース DN 設定と組み合わせて、LDAP クエリ
ou=users,dc=pulsar,dc=io,dc=fc,dc=hp,dc=com が作成されます。
6.
構成を保存します。[Look Up User (ユーザーを検索)]を選択して、構成をテストします。
OpenLDAP または Microsoft Active Directory を使用したマルチテナンシーの構成
ステップ4: 組織にアクセス可能なOpenLDAPグループの定義
1. [Access Control (アクセス制御)]を選択し、この組織にアクセス可能な OpenLDAP グループをサービスコン
シューマーとして指定します。
サービスコンシューマーは、Marketplace Portal を通じて、組織に提供されたサブスクリプションを要求お
よび管理します。ステップ 1 で、blue_users がこの用途に定義されました。
2. [Add DN (DN を追加)]を選択し、LDAP 設定で先ほど構成したベース DN に関係するグループ名を入力し
ます。
次の図の例では、cn=blue_users,ou=Groups が入力されています。このエントリーは、ベース DN の
dc=pulsar,dc=io,dc=fc,dc=hp,dc=com と組み合わせられ、フル識別名の
cn=blue_users,ou=Groups,dc=pulsar,dc=io,dc=fc,dc=hp,dc=com が作成されます。
OpenLDAP または Microsoft Active Directory を使用したマルチテナンシーの構成
ステップ5:
組織のカタログにアクセス可能なOpenLDAPグループの定義
Marketplace Portal からサービスをプロビジョニングするには、サービスがカタログに公開されている必要
があります。すべての組織の Marketplace Portal に表示される、単一のグローバルカタログが存在します。
さらに、すべての組織について、組織の作成時にデフォルトカタログが自動で作成されます。デフォルトサー
ビスカタログの名前は、組織名の後に Catalog が追加されています。
組織用の追加カタログの作成が可能です。詳細については、『HP Cloud Service Automation: Cloud Service
Management Console Help (HP Cloud Service Automation: Cloud Service Management Console ヘルプ)』をご
覧ください。
OpenLDAP または Microsoft Active Directory を使用したマルチテナンシーの構成
ユーザーが組織用のカタログにアクセスできるようにする前に、アクセス制御をカタログに設定する必要があ
ります。
1. HP CSA で、[Catalogs (カタログ)] > [組織名 Catalog] > [Access Control (アクセス制御)]を選択します。
2. [Add DN (DN を追加)]をクリックして、ステップ 4 で HP CSA 組織へのアクセスを許可するために作成し
た既存の DN を使用するか、新しい DN を入力します。
マルチテナンシーの構成における次のステップは、Foundation での対応するプロジェクトの作成です。詳細は
「CloudSystem Foundation での組織用のプロジェクトの作成」をご覧ください。
HP CSA および Active Directory のマルチテナンシー用の構
成
注記: OpenLDAP を使用している場合は、「HP CSA および OpenLDAP のマルチテナンシー用の構成」
の手順に従ってください。それらの手順を完了したら、「CloudSystem Foundation での組織用のプロジェ
クトの
作成」に進んでください。
HP CSA を構成するには、各組織が Active Directory を使用するように構成してください。手順は次のとおりで
す。
1. 組織のユーザーを保持するための Active Directory グループの作成
2. 組織の作成と組織名の設定
3. 組織の Active Directory 認証の構成
4. 組織にアクセス可能な Active Directory グループの定義
5. 組織のカタログにアクセス可能な Active Directory グループの定義
ステップ1: 組織のユーザーを保持するためのActive Directoryグループの作成
各組織用に Active Directory のセキュリティグループを作成します。たとえば、BLUE、GREEN、RED という名
前の 3 つの組織に対しては、blue_users、green_users、red_users という 3 つのセキュリティグループを作成
してください。組織内のすべてのユーザーは、グループのメンバーである必要があります。
OpenLDAP または Microsoft Active Directory を使用したマルチテナンシーの構成
図 4 は、BLUE 組織用に設定された blue_users グループを示しています。メンバーは Steve1Blue、
Steve2Blue、Steve3Blue、blue1、blue2 です。
図 4: BLUE 組織のユーザーを保持するセキュリティグループ blue_users のメンバー
ステップ2: 組織の作成と組織名の設定
HP CSA Management Console の[Organizations (組織)] > [Create Organization (組織の作成)]画面を使用して
、HP CSA 組織を作成します (BLUE、GREEN、RED は、以前に作成したサンプルの組織です)。[General
Information (一般情報)]タブが表示されます。
次の図に示すとおり、HP CSA 組織の[General Information (一般情報)]セクションの[Organization Identifier (組
織識別子)]に、HP CSA 組織識別子が表示されます。
各 HP CSA 組織について、CloudSystem Foundation 内に対応する同じ名前のプロジェクトが必要なことに注
意してください (「CloudSystem Foundation での組織用のプロジェクトの作成」をご覧ください)。HP CSA 組織識
別子は常に大文字で表記されるため、CloudSystem Foundation 内の対応するプロジェクト名も大文字で表
記する必要があります。
HP CSA で作成されるトポロジベースのサービス設計は、HP CSA の HP Cloud OS プロバイダーを使用します。
HP CSA 組織識別子を CloudSystem Portal 内のプロジェクトと一致させることで、インスタンスが適切なプロ
ジェクトにプロビジョニングされます。たとえば、HP CSA 組織識別子が BLUE で、CloudSystem プロジェクト名
も BLUE の場合、インスタンスは BLUE プロジェクトにプロビジョニングされます。
OpenLDAP または Microsoft Active Directory を使用したマルチテナンシーの構成
ステップ3: 組織のActive Directory認証の構成
組織を選択し、[LDAP]をクリックします。
1. Active Directory サーバーの完全修飾ドメイン名 (FQDN) または IP アドレスを入力します。
2. ポートを 389 または 636 (セキュア Active Directory 用) に指定します。
3. 検索コンテキスト用のベース DN (識別名) を追加します。
次の図の例では、ベース DN はドメインコンポーネント
dc=pulsar,dc=io,dc=fc,dc=hp,dc=com で構成されています。検索コンテキストは、Active
Directory 検索クエリの作成時にベース DN 設定を使用します。
4.
Active Directory クエリを実行するために、ディレクトリにバインドされる Active Directory ユーザーの共通
名とパスワードを入力します。
次の図の例では、ユーザーは
cn=administrator,cn=users,dc=pulsar,dc=io,dc=fc,dc=hp,dc=com
ています。
として識別され
OpenLDAP または Microsoft Active Directory を使用したマルチテナンシーの構成
5. [User Login Information (ユーザーログイン情報)]を構成します。
次の図の例では、ユーザーは HP CSA Marketplace Portal へのログイン時に、共通名 (cn) 属性を使用
しています。[User Name Attribute (ユーザー名属性)]を入力すると、[User Search Filter (ユーザー検索
フィルター)]は自動的に記入されます。
[User Search Base (ユーザー検索ベース)]を入力します。この例では、cn=Users を選択しています。これ
をベース DN 設定と組み合わせて、Active Directory クエリ
cn=users,dc=pulsar,dc=io,dc=fc,dc=hp,dc=com が作成されます。
6.
構成を保存します。[Look Up User (ユーザーを検索)]を選択して、構成をテストします。
OpenLDAP または Microsoft Active Directory を使用したマルチテナンシーの構成
ステップ4: 組織にアクセス可能なActive Directoryグループの定義
1. [Access Control (アクセス制御)]を選択し、この組織にアクセス可能な Active Directory グループをサービ
スコンシューマーとして指定します。
サービスコンシューマーは、Marketplace Portal を通じて、組織に提供されたサブスクリプションを要求お
よび管理します。ステップ 1 で、blue_users がこの用途に定義されました。
2. [Add DN (DN を追加)]を選択し、Active Directory 設定で先ほど構成したベース DN に関係するグループ
名を入力します。
3. 次の図の例では、cn=blue_users,cn=users が入力されています。このエントリーは、ベース DN
の dc=pulsar,dc=io,dc=fc,dc=hp,dc=com と組み合わせられ、フル識別名の
cn=blue_users,cn=users,dc=pulsar,dc=io,dc=fc,dc=hp,dc=com
が作成されます。
OpenLDAP または Microsoft Active Directory を使用したマルチテナンシーの構成
ステップ5: 組織のカタログにアクセス可能なActive Directoryグループの定義
Marketplace Portal からサービスをプロビジョニングするには、サービスがカタログに公開されている必要
があります。すべての組織の Marketplace Portal に表示される、単一のグローバルカタログが存在します。
さらに、すべての組織について、組織の作成時にデフォルトカタログが自動で作成されます。デフォルトサー
ビスカタログの名前は、組織名の後に Catalog が追加されています。
組織用の追加カタログの作成が可能です。詳細については、『HP Cloud Service Automation: Cloud Service
Management Console Help (HP Cloud Service Automation: Cloud Service Management Console ヘルプ)』をご
覧ください。
ユーザーが組織用のカタログにアクセスできるようにする前に、アクセス制御をカタログに設定する必要があ
ります。
1. HP CSA で、[Catalogs (カタログ)] > [組織名 Catalog] > [Access Control (アクセス制御)]を選択します。
2. [Add DN (DN を追加)]をクリックして、ステップ 4 で HP CSA 組織へのアクセスを許可するために作成し
た既存の DN を使用するか、新しい DN を入力します。
CloudSystem Foundation での組織用のプロジェクトの作成
マルチテナンシーの構成における次のステップは、Foundation での対応するプロジェクトの作成です。
OpenLDAP または Microsoft Active Directory を使用したマルチテナンシーの構成
1. CloudSystem Portal に管理者としてログインします。
2. [Admin (管理)]、[Projects (プロジェクト)] (左側のバー) を選択し、[+Create Project (+プロジェクトの作成)]
を選択します。
3. [Project Info (プロジェクト情報)]タブで、組織名と同じプロジェクト名を入力します。その際は、大文字を
完全に同じように使用してください。
OpenLDAP または Microsoft Active Directory を使用したマルチテナンシーの構成
4.
[Project Members (プロジェクトメンバー)]タブを選択し、組織にアクセス可能なすべてのユーザーを、個
別にプロジェクトに追加します。CloudSystem Foundation の管理者をプロジェクトの管理者に指定す
ることをお勧めします。
OpenLDAP または Microsoft Active Directory を使用したマルチテナンシーの構成
HP CSA サブスクリプションのプロビジョニング
HP CSA 組織が OpenLDAP または Active Directory を使用するように構成されると、組織のサービスコンシュ
ーマーロール (前述のステップ 4) で指定したディレクトリグループのメンバーになっているユーザーは、組織
に固有の URL を使用して、組織の Marketplace Portal にログインできます。組織の URL は、組織の [General
Information (一般情報)]セクションに表示されています。
Marketplace Portal へのログイン後、blue_users グループのユーザーは、[BLUE Catalog]または[Global
Shared Catalog (グローバル共有カタログ)]からサービスを要求できます。BLUE サービスコンシューマー
(blue1 など) は、カタログからサービスをチェックすることで、サブスクリプションを作成できます。プロビジョ
ニングに成功すると、OpenStack インスタンス、ネットワーク、ストレージボリュームが CloudSystem
Foundation の BLUE プロジェクト内に作成されます。これらは、BLUE プロジェクトのすべてのメンバーに
よって管理されます。
OpenLDAP または Microsoft Active Directory を使用したマルチテナンシーの構成
サブスクリプションを作成するための要求を送信する際に、グループ所有権をオプションで指定できます。
[Group Ownership (グループ所有権)]が[On (オン)]になっている場合、作成されたサブスクリプションは、ユー
ザーが属している Active Directory グループ (この例では blue_users) 内のすべてのユーザーが管理できま
す。ユーザーが複数のグループに属している場合は、適切なグループを選択する必要があります。
マルチテナンシーに関しては、グループ所有権を有効にするのがベストプラクティスです。プロジェクト内のすべて
のユーザーがプロジェクト内のすべてのインスタンスを管理できるという、CloudSystem Foundation プロジェク
トの動作に近いからです。
CloudSystem Foundation プロジェクトへの HP CSA 組織の
接続
前述したように、HP CSA と CloudSystem Foundation の関係は、管理者が手動で設定する必要があります。
この関係を正常に機能させるには、以下を確認します。
• 各 HP CSA 組織識別子がすべて大文字で表記されている。
• CloudSystem Foundation が同じ名前のプロジェクトを含んでいる。
• すべての HP CSA 組織のユーザーがプロジェクトのメンバーである。
マッピングは手動のプロセスのため、漏れや誤りが発生する可能性があります。このような場合、プロビジョ
ニングが正常に完了しても、作成されたインスタンスはユーザーが意図したプロジェクトへの割り当てができな
いため、孤立してしまいます。こうしたインスタンスは、HP CSA が指定するプロジェクトおよびユーザーによっ
て所有されます。デフォルトでは、CloudSystem プロジェクト Administrator およびユーザー
csaresourceprovider が指定されます。
Administrator プロジェクトは幅広いリソースにアクセス可能なため、Enterprise のインストール直後にデフォ
ルトのプロジェクトとユーザーを変更しておくことをお勧めします。
OpenLDAP または Microsoft Active Directory を使用したマルチテナンシーの構成
デフォルトのプロジェクトとユーザーを変更するには、次の手順を実行します。
1. CloudSystem Foundation で、管理者 Administrator を使用して、CSA_CONSUMER という名前のプロジェ
クトを作成します。このプロジェクトは、作成されたがマッピングできなかったインスタンスの受け皿とし
て機能します。
2. HP CSA Management Console でリソースを編集して、すべての孤立インスタンスを CSA_CONSUMER プ
ロジェクトに送るようにします。HP CSA Management Console の[Resources (リソース)]を使用して、リ
ソースマッピングを構成します。[HP Cloud OS]を選択します。
3. [HP CS Foundation]をクリックし、[Summary (概要)]の下にある編集アイコンをクリックします。[User ID (ユー
ザーID)]を administrator に変更し、パスワードを設定して、[Save (保存)]をクリックします。
4. [Properties (プロパティ)] > [tenant (テナント)]を選択し、[Value (値)]を CSA_CONSUMER に変更して、
[Save (保存)]をクリックします。これにより、プロビジョニングで孤立インスタンスが発生した場合に、
Administrator/CSA_CONSUMER がユーザー名およびプロジェクトとして使用されます。
OpenLDAP または Microsoft Active Directory を使用したマルチテナンシーの構成
プロビジョニングされたサブスクリプションの確認
導入されたサブスクリプションは、Cloud Service Automation 管理コンソールの[Operations (オペレーション)]
で確認できます。次の図は、BLUE 組織で導入されたサブスクリプションを示しています。
対応するインスタンスは、CloudSystem Portal の[Admin (管理)] > [Instances (インスタンス)]で管理者が確
認できます。RED、BLUE、GREEN という 3 つのプロジェクトのそれぞれに、インスタンスが導入されています。
OpenLDAP または Microsoft Active Directory を使用したマルチテナンシーの構成
参考資料
『HP CloudSystem Administrator Guide (HP CloudSystem 管理者ガイド)』の「Configuring CloudSystem to use Active
Directory or OpenLDAP directory authentication (Active Directory または OpenLDAP ディレクトリ認証を使用するため
の CloudSystem の構成)」セクション (http://www.hp.com/go/CloudSystem/docs)
『Configuring Directory Services in HP CloudSystem Enterprise and Foundation Software (HP CloudSystem Enterprise およ
び Foundation ソフトウェアでのディレクトリサービスの構成)』ホワイトペーパー
(http://www.hp.com/go/CloudSystem/docs)
HP CloudSystem の詳細は下記をご覧ください。
hp.com/go/CloudSystem
hp.com/go/CloudSystem/docs
© 2015 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。HP製品およびサービスに対する保証につい
ては、当該製品およびサービスの保証規定書に記載されています。本書のいかなる内容も、新たな保証を追加するものではありません。本書の内容につきま
しては万全を期しておりますが、本書中の技術的あるいは校正上の誤り、省略に対しては責任を負いかねますのでご了承ください。
4AA5-7818JPN, March 2015

Download Report