CloudStack4.0.1发布也有段时间了.近期基于CloudStack4.0.1 nonoss-13版本 (下载地址:http://t.cn/zYupWJY)简单测试了下与windows AD集成.
实验软件环境:
CloudStack-non-OSS-13.tar.bz2
Windows Server 2003

其中Windows Server 2003用于安装配置AD, 比较简单, 网上教程很多, 大家可以自己参考.
以下是我设置AD, 并用于测试的信息:
AD服务器地址: 172.16.206.211
新建域: cschina.org
新建组织单位: member
新建账号/密码: gavinlee/password
账号的邮件地址: gavinlee@cschina.org
DNS服务配置是本地
未使用SSL

这里假定你AD配置是成功的,如果以下测试中发现有错误, 可以参考LDAP错误码: http://t.cn/zYuOxjx
以下是建议的步骤:
1. 开启API服务端口, 可设置为8096; 此步是为了方便, 你也可以采用signature方式
2. 重启管理服务器使上述设置生效, 如果已设置API服务端口可跳过以上两步
3. 执行API命令ldapConfig, 此命令只需执行一次即可 (此命令接下来会详细说明)
4. 在CloudStack用户里添加新的账号, 请务必注意邮件地址与之前AD上建立账号的邮件地址完全一致
5. 修改/usr/share/cloud/management/webapps/client/scripts/sharedFunctions.js 文件的内容, 找到md5HashedLogin = true; 改成false;
6. 刷新浏览器使新更改的js生效
7. 使用CloudStack建立的用户名, 用AD的密码登录, 验证成功

附:
根据以上AD的设置, 请求的ldapConfig命令为(此处分行显示方便阅读):

http://172.16.235.40:8096/client/api?command=ldapConfig

&hostname=172.16.206.211
&searchbase=ou=member,DC=cschina,DC=org
&queryfilter=(&(mail=%e))
&binddn=CN=gavinlee,OU=member,DC=cschina,DC=org
&bindpass=password
&port=389
&response=json

其中参数的值里含有”(“, “,”, “=”这些需要编码, 编码后的请求:

http://172.16.235.40:8096/client/api?command=ldapConfig

&hostname=172.16.206.211
&searchbase=OU%3Dmember%2CDC%3Dcschina%2CDC%3Dorg
&queryfilter=%28%26%28mail%3D%25e%29%29
&binddn=CN%3Dgavinlee%2COU%3Dmember%2CDC%3Dcschina%2CDC%3Dorg
&bindpass=password
&port=389
&response=json

最终通过 curl命令提交API请求, 如果没有返回错误,即为成功, 否则按以上的参考LDAP错误码来解决.
通常出问题的地方是编码部分, 请务必仔细. 大家可以拿以上对比做为模板.

如果需要取消LDAP与CloudStack的账户关联, 可执行下列api:
curl “http://172.16.235.40:8096/client/api?command=ldapRemove”

遇到的问题:
虽说CloudStack自己的账号与AD的账号可以共存, 并且要能同时登录, 但4.0.1有一个小小的问题, 之前未关联AD的账号要登录的话, 需要把/usr/share/cloud/management/webapps/client/scripts/sharedFunctions.js 文件中的md5HashedLogin = false;重新改成true; 原因是CloudStack里的密码都是经过md5hash后存储在DB的.这个应该是一个小的Bug, 建议要用AD的话, 就不要再用CloudStack自身的账号/密码系统, 在你设置AD之前, 请先将admin的邮件与AD绑定以避免来回切换的烦恼.



» 转载自CloudStack中文社区