云平台建设与运维类企业案例用户安全身份认证介绍.docxVIP

PAGE 2 身份认证介绍 摘要：Keystone（OpenStack Identity Service）是OpenStack框架中，负责身份验证、服务规则和服务令牌的功能，它实现了OpenStack的Identity API。 关键词：OpenStack；Keystone；Authentication和Authorization；Keystone的组件；访问流程。 知识学习 1.OpenStack的组件 OpenStack是一个开源的云计算管理平台项目，由几个主要的组件组合起来完成具体工作。OpenStack是一个不断发展的系统，在它的发展历程之中，它的组件个数在增加，服务质量在提升。 下图为OpenStack的核心组件： OpenStack核心组件的作用： Nova：管理VM的生命周期，是OpenStack的最核心服务。 Neutron：提供网络连接服务。 Glance：管理VM的启动镜像。 Cinder：为VM提供块存储服务。 Swift：提供对象存储服务。 Keystone：为OpenStack提供认证与权限管理服务。 Horizon：为OpenStack用户提供一个Web自服务Portal。 2.Keystone概述 在OpenStack框架中，Keystone（OpenStack Identity Service）的功能是负责验证身份、校验服务规则和发布服务令牌的，它实现了OpenStack的Identity API。 Keystone可分解为两个功能，即权限管理和服务目录。权限管理主要用于用户的管理授权。服务目录，类似一个服务总线，或者说是整个OpenStack框架的注册表。认证模块提供API服务、token令牌机制、服务目录、规则和认证发布等功能。 Openstack中任何组件均依赖与Keystone提供的服务。 3.Keystone的主要功能 作为OpenStack的基础支持服务，Keystone做下面这几件事情： （1）管理用户及其权限； （2）维护OpenStack Services的Endpoint； （3）Authentication（认证：就是审查身份）； （4）Authorization（鉴权：审查身份过后查看具有对应的权限）。 Authentication是Keystone验证User身份的过程。User访问OpenStack时向Keystone提交用户名和密码形式的Credentials，Keystone验证通过后会给User签发一个Token作为后续访问的Credential。 4.Keystone的主要组件 Keystone主要组件： （1）Server 提供一个RESTful的接口，接收用户的请求并对其进行认证以及授权。 （2）Drivers 这个已经默认集成到Server中了，主要从后端存储获取用户的身份信息，比如从数据库或者LDAP中获取。 （3）Modules 中间件模块运行在会用到Keystone服务的其他的OpenStack的组件的空间中，这些模块拦截服务请求，提取用户凭据，并将它们发送到Server进行授权。使用Python WEB接口来整合中间件模块和OpenStack其他组件的通信，比如这些模块可以运行在镜像服务的空间中，也可以运行在计算服务的空间中。 5.Keystone在OpenStack中的访问流程 1）用户携带证书或密码进行Keystone认证。 2）Keystone认证通过后返回Token，此Token带有角色限制。 3）通过Token向Keystone获取服务访问目录。 4）Keystone返回服务访问目录。 5）携带Token进行虚拟机创建，将指令传递给nova-api。 6）Nova向Keystone验证Token。 7）Nova携带Token访问Glance，这里也需要Keystone验证Token。 8）Glance返回镜像。 9）Nova携带Token，向Neutron请求虚拟机网卡VIF设置参数。 10）Neutron向Keystone验证Token。 11）Nova携带Token验证VIF是否可以访问。 12）Neutron返回成功的信息给Nova。 13）Nova返回创建成功的信息给用户。 14）虚拟机创建成功。