OpenStack技术原理与实战：keystone认证组件介绍.pptxVIP

keystone认证组件介绍 什么是keystone?2南阳理工学院OpenStack是一种面向服务（SOA）的体系结构进行设计的，各个模块的实现按照提供的服务不同，而被划分成为若干相互独立的模块。但keystone在OpenStack中有着一定的特殊性。keystone是OpenStack的核心组件，主要用于为openstack家族中的其他组件成员提供统一的认证服务，包含身份验证、令牌的发放和校验、服务列表、用户权限定义等等。实际上OpenStack中任何组件均依赖于keystone提供的服务。可以作为OpenStack的统一认证的组件支持基于数据库的认证（SQLite3，MySQL以及PostgreSQL）支持基于Ldap认证，同样支持windows Active Directory 认证。未来会支持外部认证体系oAuth,SAML,OpenID 3南阳理工学院 Keystone职责keystone在整个OpenStack中主要负责两个工作：跟踪用户及监管用户权限为每个组件服务提供一个可用的服务目录和相应的API入口端点4南阳理工学院 Keystone基本概念User 　　User即用户，他们代表可以通过keystone进行访问的人或程序。Users通过认证信息（credentials，如密码、API Keys等）进行验证。 Tenant （project）　　Tenant即租户，它是各个服务中的一些可以访问的资源集合。例如，在Nova中一个tenant可以是一些机器，在Swift和Glance中一个tenant可以是一些镜像存储，在Neutron中一个tenant可以是一些网络资源。Users默认的总是绑定到某些tenant上。 Role 　　Role即角色，Roles代表一组用户可以访问的资源权限，例如Nova中的虚拟机、Glance中的镜像。Users可以被添加到任意一个全局的或租户的角色中。在全局的role中，用户的role权限作用于所有的租户，即可以对所有的租户执行role规定的权限；在租户内的role中，用户仅能在当前租户内执行role规定的权限。 Keystone基本概念Service 　　Service即服务，如Nova、Glance、Swift。根据前三个概念（User，Tenant和Role）一个服务可以确认当前用户是否具有访问其资源的权限。但是当一个user尝试着访问其租户内的service时，他必须知道这个service是否存在以及如何访问这个service，这里通常使用一些不同的名称表示不同的服务。CredentialsCredentials即凭证，用于确认用户身份的数据。例如：用户名和密码，用户名和API key，或由认证服务提供的身份验证令牌。 Keystone基本概念Endpoint 　Endpoint，翻译为“端点”，我们可以理解它是一个服务暴露出来的访问点，如果需要访问一个服务，则必须知道他的endpoint。因此，在keystone中包含一个endpoint模板，这个模板提供了所有存在的服务endpoints信息。一个endpoint template包含一个URLs列表，列表中的每个URL都对应一个服务实例的访问地址，并且具有public、private和admin这三种权限。public url可以被全局访问（如），private url只能被局域网访问（如http://compute.example.local），admin url被从常规的访问中分离。Token Token是访问资源的钥匙。它是通过Keystone验证后的返回值，在之后的与其他服务交互中只需要携带Token值即可。每个Token都有一个有效期，Token只在有效期内是有效的。 8南阳理工学院 各种概念之间关系解释1、租户下，管理着一堆用户（人，或程序）。2、每个用户都有自己的credentials（凭证）用户名+密码或者用户名+API key，或其他凭证。3、用户在访问其他资源（计算、存储）之前，需要用自己的credential去请求keystone服务，获得验证信息（主要是Token信息）和服务信息（服务目录和它们的endpoint）。4、用户拿着Token信息，就可以去访问特定的资源了。 keystone的工作原理10南阳理工学院 11南阳理工学院 12南阳理工学院 创建 demo 项目 创建 demo 用户 创建 user 角色 添加 user 角色到 demo 项目和用户：# openstack role add --project demo --user demo user 使用 demo 用户，请求认证令牌 使用 demo 用户，查看请求认证令牌 Keystone相关配置文件/etc/