项目3认证服务-美化版.pptxVIP

OpenStack云计算基础架构平台技术与应用

keystone管理认证用户01任务创建租户、用户并绑定用户权限02任务认证服务项目3解Keystone的基本概念。理解Keystone的服务流程。掌握租户、用户的不同创建方法。掌握不同的绑定权限的方法。学习目标

keystone管理认证用户1任务要求小李是某公司云计算助理工程师，在公司已经部署好的云计算平台下，小李要学习如何配置keystone认证服务，并学习为公司员工创建用户账号，管理用户权限。具体要求如下：配置并启用认证服务创建用户账号alice创建租户acme，用于管理一组账户创建角色compute-user，用于用户权限的管理绑定用户和租户的权限

keystone管理认证用户1相关概念是确认允许一个用户访问的进程。为了确认请求，OpenStackIdentity会为访问用户提供证书，起初，这些证书是用户名和密码，或用户名和APIkey。当OpenStackIdentity认证体系接受了用户的请求之后，它会发布一个认证令牌（token），用户在随后的请求中使用这个令牌去访问资源中其他应用。认证（Authentication）

keystone管理认证用户1相关概念用于确认用户身份的数据。例如，用户名、密码或者APIkey，或认证服务提供的认证令牌。证书（Credentials）通常指的是一串比特值或者字符串，用来作为访问资源的记号。Token中含有可访问资源的范围和有效时间，一个令牌是一个任意比特的文本，用于与其它OpenStack服务来共享信息，Keystone以此来提供一个centrallocation，以验证访问OpenStack服务的用户。令牌的有效期是有限的，可以随时被撤回。令牌（Token）

keystone管理认证用户1相关概念Tenant即租户，早期版本又称为project，它是各个服务中的一些可以访问的资源集合。比如通过nova创建虚拟机时要指定到某个租户中，在cinder创建卷也要指定到某个租户中，用户访问租户的资源前，必须与该租户关联，并且指定该用户在该租户下的角色。租户（Tenant）

keystone管理认证用户1使用服务的用户，可以是人，服务或系统使用OpenStack相关服务的一个组织。例如一个租户映射到一个Nova的“project-id”，在对象存储中，一个租户可以有多个容器。根据不同的安装方式，一个租户可以代表一个客户、帐号、组织或项目。用户通过KeystoneIdentity认证登陆系统并调用资源。用户可以被分配到特定项目并执行项目相关操作。需要特别提出的是，OpenStack通过注册相关服务用户来管理服务，例如Nova服务注册nova用户来管理相应的服务。对于管理员来说，需要通过keystone来注册管理用户。用户（User）相关概念

keystone管理认证用户1相关概念Role即角色，Role代表一组用户可以访问的资源权限，例如Nova中的虚拟机、Glance中的镜像。Users可以被添加到任意一个全局的role或租户内的role中。在全局的role中，用户的role权限作用于所有的租户，即可以对所有的租户执行role规定的权限，在租户内的role中，用户仅能在当前租户内执行role规定的权限。角色（Role）

keystone管理认证用户1相关概念使用云服务的用户不局限与是人也可以是系统或者服务。用户可以通过指定的令牌登陆系统并调用资源。用户可以被分配到特定项目并执行项目相关操作。在平台构建完毕之后系统会创建_member_、admin两个用户权限，在系统中_member_表示系统的普通用户的权限，拥有系统的正常使用和对当前租户的管理权限。admin角色是代表系统的管理员身份，对系统有绝对的管理权限。

keystone管理认证用户2131认证服务流程服务申请认证机制流程

11配置keystone应用环境2验证服务3在安装Keystone服务之前需要指定一个用户名和密码通过认证服务来进行身份认证，在开始阶段是没有创建任何的用户，所以必须使用授权令牌和服务的访问接口来创建特定的用来做身份认证的用户，之后需要创建一个管理用户的环境变量（admin-openrc.sh）来管理最终的凭证和终端。在安装Keystone服务之后，产生的主配置文件存放在/etc/keystone目录，名为keystone.conf，在配置文件中需要配置初始的token值和数据库的连接地址。4keystone管理认证用户

keystone管理认证用户1配置keystone应用环境验证服务Keystone服务安装完毕之后，可以通过请求身份令牌来验证服务。具体命令如下：$keystone--os-username=admi