Ну тут такое с мфа, эта ошибка появляется так же и в момент когда под админом заходишь, и при этом проблем с авторизацией админа нет

А вот нот екстернал не понятно

Еще поскольку пользователь из кк все-таки создаётся на опенстаке но не логинит под ним грешу, что не правильно смапил соответствие между доменом группой и проектом

Вот вот, а почему хз

А рулесы связаны с маппингом?

(venv) ubuntu@dev:~$ openstack identity provider list +-----------+---------+----------------------------------+----------------+ | ID | Enabled | Domain ID | Description | +-----------+---------+----------------------------------+----------------+ | KeyCloack | True | 68e2157a8f4949c9a7b23f92db259474 | Auth KeyCloack | +-----------+---------+----------------------------------+----------------+

'domain': {'name': 'federated_domain'} А?

как кейтон должен догадаться? Из воздуха вхять взаимосвязь между доменом к клоке и кейтоном?

PATH_INFO: `/v3/auth/OS-FEDERATION/identity_providers/KeyCloack/protocols/openid/websso

чот наркоманией занимаетесь

'domain': {'name': 'federated_domain'} А?

Писали это

PATH_INFO: `/v3/auth/OS-FEDERATION/identity_providers/KeyCloack/protocols/openid/websso

Это тоже есть

я это все из вашего лога и беру

[ { "local": [ { "user": { "name": "{0}", "email": "{1}", "domain": { "name": "federated_domain" } }, "group": { "domain": { "name": "federated_domain" }, "name": "federated_users" }, "projects": [ { "name": "project_{0}", "roles": [ { "name": "_member_" } ] } ] } ], "remote": [ { "type": "OIDC-preferred_username" }, { "type": "OIDC-email" } ] } ]

Вот это последний маппинг который использовали

ubuntu@dev:~$ sudo cat /etc/kolla/keystone/wsgi-keystone.conf ServerSignature Off ServerTokens Prod TraceEnable off TimeOut 60 KeepAliveTimeout 60 ErrorLog "/var/log/kolla/keystone/apache-error.log" <IfModule log_config_module> CustomLog "/var/log/kolla/keystone/apache-access.log" common </IfModule> <Directory "/var/lib/kolla/venv/bin"> <FilesMatch "^keystone-wsgi-(public|admin)$"> AllowOverride None Options None Require all granted </FilesMatch> </Directory> <VirtualHost *:5000> ServerName https://pub-os.netengi.com:5000 WSGIDaemonProcess keystone-public processes=4 threads=1 user=keystone group=keystone display-name=keystone-public WSGIProcessGroup keystone-public WSGIScriptAlias / /var/lib/kolla/venv/bin/keystone-wsgi-public WSGIApplicationGroup %{GLOBAL} WSGIPassAuthorization On <IfVersion >= 2.4> ErrorLogFormat "%{cu}t %M" </IfVersion> ErrorLog "/var/log/kolla/keystone/keystone-apache-public-error.log" LogFormat "%{X-Forwarded-For}i %l %u %t \"%r\" %>s %b %D \"%{Referer}i\" \"%{User-Agent}i\"" logformat CustomLog "/var/log/kolla/keystone/keystone-apache-public-access.log" logformat OIDCClaimPrefix "OIDC-" OIDCClaimDelimiter ";" OIDCResponseType "id_token" OIDCScope "openid email profile" OIDCMetadataDir /etc/apache2/metadata OIDCOAuthVerifyCertFiles UEu440D9qLuDYlN1Ow82nFgbWwjOvsnNjg0kJ7XAlZI#/etc/apache2/cert/UEu440D9qLuDYlN1Ow82nFgbWwjOvsnNjg0kJ7XAlZI.pem OIDCCryptoPassphrase gEWhA5uVZPbddm1RmIGegQ1arTvj2NLiGFXUJPA4 OIDCRedirectURI https://pub-os.netengi.com:5000/redirect_uri <Location ~ "/redirect_uri"> Require valid-user AuthType openid-connect </Location> <Location /v3/auth/OS-FEDERATION/websso/openid> Require valid-user AuthType openid-connect </Location> <LocationMatch /v3/auth/OS-FEDERATION/identity_providers/KeyCloack/protocols/openid/websso> OIDCDiscoverURL https://pub-os.netengi.com:5000/redirect_uri?iss=https%3A//auth.ocplanet.cloud/auth/realms/onecloud Require valid-user AuthType openid-connect </LocationMatch> <LocationMatch /v3/OS-FEDERATION/identity_providers/KeyCloack/protocols/openid/auth> Require valid-user AuthType auth-openidc </LocationMatch> </VirtualHost> <VirtualHost *:35357> WSGIDaemonProcess keystone-admin processes=4 threads=1 user=keystone group=keystone display-name=keystone-admin WSGIProcessGroup keystone-admin WSGIScriptAlias / /var/lib/kolla/venv/bin/keystone-wsgi-admin WSGIApplicationGroup %{GLOBAL} WSGIPassAuthorization On <IfVersion >= 2.4> ErrorLogFormat "%{cu}t %M" </IfVersion> ErrorLog "/var/log/kolla/keystone/keystone-apache-admin-error.log" LogFormat "%{X-Forwarded-For}i %l %u %t \"%r\" %>s %b %D \"%{Referer}i\" \"%{User-Agent}i\"" logformat CustomLog "/var/log/kolla/keystone/keystone-apache-admin-access.log" logformat

Вот это последний маппинг который использовали

А как keystone должен понять что это именно federated_domain нужно сматчить с вашим KeyCloack (доменом в keyston)?

wsgi-keystone.conf

эти конфиги разворачивает колла

после keystone_identity_providers: - name: "KeyCloack" openstack_domain: "federated_domain" protocol: "openid" identifier: "https://..." public_name: "Auth KeyCloack" attribute_mapping: "rules" metadata_folder: "/etc/kolla/config/openid/metadata" certificate_file: "/etc/kolla/config/openid/UEu440D9qLuDYlN1Ow82nFgbWwjOvsnNjg0kJ7XAlZI.pem" keystone_identity_mappings: - name: "rules" file: "/etc/kolla/config/openid/rules.json" в глобал

federated_domain - покажите мне этот домен в keystone

исправил

теперь вижу

??

ааа))) а то я чет пытался понять про что вы там )) не понял )))

проект project_nlapenkov - есть в домене federated_domain?

проект project_nlapenkov - есть в домене federated_domain?

Есть, он заводится с новым юзером

Есть, он заводится с новым юзером

Точно в домене federated_domain? не в default?

ха я завтра наверно толлько вернусь в работу ) надо добить тоже скайлайн и вообще с правами разобраться

Точно в домене federated_domain? не в default?

да да я видел, буду проверять по результату сообщу

Точно в домене federated_domain? не в default?

Имя project_nlapenkov ID 901ab6870bba40868b54646041d9669f Имя домена federated_domain ID домена 68e2157a8f4949c9a7b23f92db259474 Включен Да Описание -

Точно в домене federated_domain? не в default?

Ну и группа

я увидел по скринам

openstack user list --domain federated_domain что показывает?

значит keystone знает этого юзера

значит keystone знает этого юзера

Знает?

Знает?

да

openstack role assignment list --names --project 901ab6870bba40868b54646041d9669f

ubuntu@dev:~$ openstack role assignment list --names --project 901ab6870bba40868b54646041d9669f +----------+----------------------------+-------+------------------------------------+--------+--------+-----------+ | Role | User | Group | Project | Domain | System | Inherited | +----------+----------------------------+-------+------------------------------------+--------+--------+-----------+ | _member_ | nlapenkov@federated_domain | | project_nlapenkov@federated_domain | | | False | +----------+----------------------------+-------+------------------------------------+--------+--------+-----------+

openstack role list

вы сами добавляли _member_?

вроде нет

по идее маппер его создал

я пока виж что отовсюду выпинывают _member_

замените на member

Сейчас потестим

ничего не изменилось

а если из cli под этим пользователм проверить ресурсы?

любой list сделать.

для этого нужно или выпустить токен для этого юзера или знать его пас, верно?

с openid я хз, но по идее должна всяцепочка повторится с ауфом

в опен рц нужно засунуть данные от этого юзера?

и соур его?

но там или пасс или токен

пихни пас

пихни пас

У федеративных юзеров нет пароля, и назначить нельзя

там внизу про The K2K Federation Authentication Flow Хоть и старое но может быть живое http://greenstack.die.upm.es/2015/09/16/keystone-to-keystone-federation-with-the-openstack-ansible-project/

там внизу про The K2K Federation Authentication Flow Хоть и старое но может быть живое http://greenstack.die.upm.es/2015/09/16/keystone-to-keystone-federation-with-the-openstack-ansible-project/

Поглядим, спасибо большое

У федеративных юзеров нет пароля, и назначить нельзя

ну просто так не выйдет, юзер который завелся через кейклок хз какой пас имеет в база опенстака, + если он в веб не логинится, а что бы через сли это сделать, ему нужно выпустить токен, а чтоб выпустить токен, в команде указывается пас юзера

Нету у кк-юзера пасса в стеке. Только токен

И это не тот токен который openstack token isseu, а опенидшный токен

это же правильная пост настройка? openstack domain create federated_domain openstack group create federated_users --domain federated_domain # Get the federated_users group id and assign the role Member GROUP_ID=$(openstack group show federated_users --domain federated_domain | grep -v domain_id | grep id |awk '{print $4}') openstack role add --group ${GROUP_ID} --domain federated_domain Member

И это не тот токен который openstack token isseu, а опенидшный токен

А я могу его с реквеста вытянуть и использовать?

А я могу его с реквеста вытянуть и использовать?

Зачем?

Там опенрц надо писать с указанием драйвера

Там опенрц надо писать с указанием драйвера

Ок, хотя не думаю что он нам чем-то поможет)

Коллеги, у кого Ubuntu 22.04 LTS на физике с поднятым LACP?

У меня плавающая ошибка, когда бутаю ОС бонд то поднимается, то нет.

Когда не поднимается в файле /proc/net/bonding/bond0 Aggregator ID /NA.

Коллеги, у кого Ubuntu 22.04 LTS на физике с поднятым LACP?

Могу налить и посмотреть что вам интересно, но таких проблем там не было

У меня проблемы начались начиная с 5.15.0-69-generic.

Оии логику netplan поменяли, где стал match на всех интерфейсах проверять, если у тебя хоть где то match стоит. И Бонд через раз поднимается. При буте вообще виснет, если не в безопасном, ждет когда бонд запуститься.

Я вот думаю, или это я криворукий и кривоголовый, или со стороны коммутаторов настройки надо глядеть.

Bond к OVS привязан.

Могу налить и посмотреть что вам интересно, но таких проблем там не было

С праздником 9 Мая кстати. 😊

Bond к OVS привязан.

такой конфиг я ток завтра налью) а обычный сервак сейчас запустится, покажу вывод