openstack-ocata-身份验证2
Identity service一、身份服务概述
OpenStack身份管理服务提供一个单点集成身份验证、授权和目录服务。 身份服务通常是第一个服务用户与之交互。一旦身份验证,最终用户可以使用自己的身份访问其他OpenStack服务。同样,其他OpenStack服务利用身份服务确保用户是他们说他们是谁,发现在其他服务中部署。服务还可以与一些外部集成用户身份管理系统(如LDAP)。
用户和服务可以找到其他服务通过使用服务目录,这是由身份管理服务。顾名思义,一个服务目录是可用的服务的集合在一个OpenStack部署。每个服务可以有一个或多个端点,每个端点可以三种类型之一:管理,内部或公共场合。在生产环境中,不同的端点类型可能驻留在单独的网络接触到不同类型的用户,是为了安全起见。例如,公共API网络可能是可见的互联网用户可以管理自己的云。管理API可能局限于组织内的运营商网络管理云基础设施。内部网络API可能会限制包含OpenStack的主机服务。此外,OpenStack支持可伸缩性的多个区域。为简单起见,本指南使用的管理网络端点类型和默认RegionOne地区。在一起,区域、服务和端点标识服务包括服务目录中创建一个部署。每个OpenStack服务在您的部署需要服务条目存储在相应的端点标识服务。这一切都已完成后身份服务已经安装和配置。
身份服务包含这些组件:
服务器
一个集中的服务器使用RESTful接口提供身份验证和授权服务。
驱动程序
驱动程序或服务后端集成到集中式服务器。他们是用于访问存储库中的身份信息外部OpenStack,并且可能已经存在在OpenStack部署的基础设施(例如,SQL数据库或LDAP服务器)。
模块
中间件模块OpenStack的地址空间中运行的组件是使用单位服务。这些模块拦截服务请求,提取用户凭证,并将它们发送到中央服务器进行授权。之间的集成中间件模块和OpenStack组件使用Python Web服务器网关接口。
二、安装配置身份验证
本节介绍如何安装和配置OpenStack身份服务,代号为keystone,安装在控制器节点上。可伸缩性的目的,这种配置部署Fernet令牌和Apache HTTP服务器处理请求。
1.先决条件:在安装和配置身份服务之前,您必须创建一个数据库。
Mysql –u root –p
Create database keystone 创建keystone数据库
授予keystone用户接入数据库keystone相应权限:设置用户keystone密码为keystone
Grant all privileges on keystone.* to ‘keystone’@’’localhost’ identified by ‘keystone’;
Grant all privileges on keystone.* to ‘keystone’@’’%’ identified by ‘keystone’;
Flush privileges;
Exit
2.安装和配置组件:
本指南使用Apache HTTP服务器与mod_wsgi服务标识服务请求端口5000和35357。默认情况下,keystone服务仍然监听这些端口。因此,本指南手动禁用keystone服务。
① 安装keystone数据包
Yum install openstack-keystone httpd mod_wsgi
② 配置/etc/keystone/keystone.conf
③ 填充身份服务数据库:
su -s /bin/sh -c "keystone-manage db_sync" keystone
④ 初始化Fernet密钥存储库:
keystone-manage fernet_setup --keystone-user keystone --keystone-group keystone
keystone-manage credential_setup --keystone-user keystone --keystone-group keystone
⑤引导identity service
#--bootstrap-password这里的密码是第4步,第二步骤定义的配置管理账户的密码
keystone-manage bootstrap --bootstrap-password admin --bootstrap-admin-url http://controller:35357/v3/ --bootstrap-internal-url http://controller:5000/v3/ --bootstrap-public-url http://controller:5000/v3/ --bootstrap-region-id RegionOne
3.配置apache
1.配置/etc/httpd/conf/httpd.conf 编辑ServerName
2.创建/usr/share/keystone/wsgi-keystone.conf软连接
ln -s /usr/share/keystone/wsgi-keystone.conf /etc/httpd/conf.d/
4.完成安装
1.开启httpd和设置开机启动
systemctl enable httpd.service
systemctl start httpd.service
2.配置管理账户
# export OS_USERNAME=admin
# export OS_PASSWORD=admin
# export OS_PROJECT_NAME=admin
# export OS_USER_DOMAIN_NAME=Default
# export OS_PROJECT_DOMAIN_NAME=Default
# export OS_AUTH_URL=http://controller:35357/v3
# export OS_IDENTITY_API_VERSION=3
三、创建一个域、项目、用户和角色
服务提供身份认证服务为每个OpenStack服务。身份验证服务使用的领域,项目,用户和角色。
[*]创建service project:
openstack project create --domain default --description "Service Project" service
2.创建demo project 和user:
①创建demo项目
openstack project create --domain default --description "Demo Project" demo
②创建demo用户:
openstack user create --domain default --password-prompt demo
③创建user 角色:
openstack role create user
④将user添加到demo项目和user:
openstack role add --project demo --user demo user
四、校验操作
验证操作的身份服务在安装之前做其他服务(在控制节点上操作)
[*]出于安全原因,禁用临时身份验证令牌机制:
编辑/etc/keystone/keystone-paste.ini;
删除 下边的admin_token_auth
2.删除OS_AUTH_URL OS-PASSWORD 临时环境变量
unset OS_AUTH_URL OS_PASSWORD
3.作为管理用户,请求身份验证令牌:
这里用的是用户admin和密码admin;上边设置的管理员
openstack --os-auth-url http://controller:35357/v3 --os-project-domain-name default --os-user-domain-name default --os-project-name admin --os-username admin token issue
4.作为demo用户,请求身份验证令牌:
这里用的是用户demo和密码demo;上边设置的demo用户
openstack --os-auth-url http://controller:5000/v3 --os-project-domain-name default --os-user-domain-name default --os-project-name demo --os-username demo token issue
提示:
这个命令使用是demo用户的密码和API 5000端口只允许普通(非管理)访问身份服务API。
五、创建客户机环境openstack脚本
前一节中使用环境变量的组合和命令选项与身份服务通过openstack客户机交互。增加客户端操作效率,OpenStack支持简单的客户机环境脚本也称为OpenRC文件。这些脚本通常包含常见的选项对所有客户,但也支持独特的选择。有关更多信息,请参见OpenStack最终用户指南。
1.创建脚本:
创建admin和demo项目和users的客户机环境脚本。未来本指南的部分参考这些脚本加载客户端操作的适当的凭证。
a)创建和编辑admin-openrc文件并添加以下内容:(目录自己定义)
vi admin-openrc
export OS_PROJECT_DOMAIN_NAME=Default
export OS_USER_DOMAIN_NAME=Default
export OS_PROJECT_NAME=admin
export OS_USERNAME=admin
export OS_PASSWORD=admin #用户admin的密码
export OS_AUTH_URL=http://controller:35357/v3
export OS_IDENTITY_API_VERSION=3
export OS_IMAGE_API_VERSION=2
b)创建和编辑demo-openrc文件并添加以下内容: (目录自己定义)
vi demo-openrc
export OS_PROJECT_DOMAIN_NAME=Default
export OS_USER_DOMAIN_NAME=Default
export OS_PROJECT_NAME=demo
export OS_USERNAME=demo
export OS_PASSWORD=demo #用户demo的密码
export OS_AUTH_URL=http://controller:5000/v3
export OS_IDENTITY_API_VERSION=3
export OS_IMAGE_API_VERSION=2
2.使用脚本:
a) 加载admin-openrc文件填充环境变量与身份的位置服务和管理项目和用户凭证:
. admin-openrc
b) 请求身份验证令牌:
openstack token issue
身份验证服务完成!
页:
[1]