OpenStack技术原理与实战：keystone认证组件介绍

keystone认证组件介绍什么是keystone?2南阳理工学院OpenStack是一种面向服务（SOA）的体系结构进行设计的，各个模块的实现按照提供的服务不同，而被划分成为若干相互独立的模块。但keystone在OpenStack中有着一定的特殊性。keystone是OpenStack的核心组件，主要用于为openstack家族中的其他组件成员提供统一的认证服务，包含身份验证、令牌的发放和校验、服务列表、用户权限定义等等。实际上OpenStack中任何组件均依赖于keystone提供的服务。可以作为OpenStack的统一认证的组件支持基于数据库的认证（SQLite3，MySQL以及PostgreSQL）支持基于Ldap认证，同样支持windowsActiveDirectory认证。未来会支持外部认证体系oAuth,SAML,OpenID3南阳理工学院Keystone职责keystone在整个OpenStack中主要负责两个工作：跟踪用户及监管用户权限为每个组件服务提供一个可用的服务目录和相应的API入口端点4南阳理工学院Keystone基本概念User

User即用户，他们代表可以通过keystone进行访问的人或程序。Users通过认证信息（credentials，如密码、APIKeys等）进行验证。Tenant（project）

Tenant即租户，它是各个服务中的一些可以访问的资源集合。例如，在Nova中一个tenant可以是一些机器，在Swift和Glance中一个tenant可以是一些镜像存储，在Neutron中一个tenant可以是一些网络资源。Users默认的总是绑定到某些tenant上。Role

Role即角色，Roles代表一组用户可以访问的资源权限，例如Nova中的虚拟机、Glance中的镜像。Users可以被添加到任意一个全局的或租户的角色中。在全局的role中，用户的role权限作用于所有的租户，即可以对所有的租户执行role规定的权限；在租户内的role中，用户仅能在当前租户内执行role规定的权限。Keystone基本概念Service

Service即服务，如Nova、Glance、Swift。根据前三个概念（User，Tenant和Role）一个服务可以确认当前用户是否具有访问其资源的权限。但是当一个user尝试着访问其租户内的service时，他必须知道这个service是否存在以及如何访问这个service，这里通常使用一些不同的名称表示不同的服务。CredentialsCredentials即凭证，用于确认用户身份的数据。例如：用户名和密码，用户名和APIkey，或由认证服务提供的身份验证令牌。Keystone基本概念Endpoint

Endpoint，翻译为“端点”，我们可以理解它是一个服务暴露出来的访问点，如果需要访问一个服务，则必须知道他的endpoint。因此，在keystone中包含一个endpoint模板，这个模板提供了所有存在的服务endpoints信息。一个endpointtemplate包含一个URLs列表，列表中的每个URL都对应一个服务实例的访问地址，并且具有public、private和admin这三种权限。publicurl可以被全局访问（如），privateurl只能被局域网访问（如http://compute.example.local），adminurl被从常规的访问中分离。TokenToken是访问资源的钥匙。它是通过Keystone验证后的返回值，在之后的与其他服务交互中只需要携带Token值即可。每个Token都有一个有效期，Token只在有效期内是有效的。8南阳理工学院各种概念之间关系解释1、租户下，管理着一堆用户（人，或程序）。2、每个用户都有自己的credentials（凭证）用户名+密码或者用户名+APIkey，或其他凭证。3、用户在访问其他资源（计算、存储）之前，需要用自己的credential去请求keystone服务，获得验证信息（主要是Token信息）和服务信息（服务目录和它们的endpoint）。4、用户拿着Token信息，就可以去访问特定的资源了。keystone的工作原理10南阳理工学院11南阳理工学院12南阳理工学院创建demo项目创建demo用户创建user角色

添加user角色到demo项目和用户：

#openstackroleadd--projectdemo--userdemouser使用demo用户，请求认证令牌使用demo用户，查看请求认证令牌Keystone相关配置文件/etc/keystone/keystone.confadmin_token选项：这个参数是用来访问Keystone服务的，相等于访问keyston这扇“门”的钥匙，客户端可以使用该Token访问Keystone服务、查看信息、创建其他服务等。在keystone的配置文件中默认值是ADMIN，读者可以修改这个token，只要在部署OpenStack其他组件时的keystone令牌需要保持一致。token_format选项：这一选项是一个关于认证令牌格式的选项，通常在较高版本的OpenStack中该选项的值为PKI格式，一般情况下将该选项设置成为UUID格式，这种格式可能使用起来比较方便。[sql]中connection：keystone的运行过程中需要数据库的辅助，在keystone的配置文件中，默认采用sqlite数据库，为了OpenStack部署和使用的方便，在配置keystone时将此项修改成mariaDB数据。19南阳理工学院Keystone的日志文件/var/log/keystone/keystone.log日志