欢迎访问 生活随笔!
TAG聚合

生活随笔

当前位置: 首页 > 编程资源 > 编程问答 >内容正文

编程问答

Keystone认证服务详细操作流程

发布时间:2023/12/20 编程问答 87 豆豆
生活随笔 收集整理的这篇文章主要介绍了 Keystone认证服务详细操作流程 小编觉得挺不错的,现在分享给大家,帮大家做个参考.

第3章 全局服务类部署(上)

3.1 认证服务

3.1.1 服务简介

做为云操作系统的Keystone认证服务,主要提供两个功能:

①用户身份认证:为系统提供是否为合法用户的判断功能。对user的管理和保存,管理user的tenant、role、group、domain等,保存user的存放、验证、令牌管理等。

②服务目录列表:显示系统提供的服务列表。其他服务通过keystone来注册其服务的Endpoint(服务访问的URL),任何服务之间的相互调用,需要经过keystone的身份验证来获得目标服务的Endpoint来找到目标服务。

认证服务中出现的名词介绍及运行方式:

User用户:一个使用OpenStack云服务的人、系统或者服务的数字表示。用户需要登录,然后被分配token去访问资源。用户可以被分配到一个tenant。

Credential用户证据:用来证明用户身份的证据,可以是用户名和密码、用户名和API key,或者一个Keystone分配的身份token。

Authentication身份验证:验证用户身份的过程。Keystone服务通过检查用户的Credential来确定用户的身份。最开始,使用用户名/密码或者用户名/API key作为credential。当用户的credential被验证后,Keystone会给用户分配一个authentication token供该用户后续的请求使用。

Token令牌:一个用于访问OpenStack API和资源的alpha数字字符串。一个token可能在任何时间被撤销(revoke),因此其有效期是有限的。OpenStack中,token是和特定的tenant绑定的,因此如果user如果访问多个tenant的话他就需要多个token。

Tenant租户:一个用于分组或者隔离资源的容器。一个tenant可能对应一个客户、账号、组织或者项目。在OpenStack中,用户至少必须在一个tenant中。tenant容器的可使用资源的限制成为Tenant Quota,它包括tenant内各子资源的quota。

Service服务:一个OpenStack服务,比如Nova、Swift或者Glance等。每个服务提供一个或者多个endpoint供用户访问资源以及进行操作。

Endpoint端点:一个网络可访问的服务地址,通过它你可以访问一个服务,通常是个URL地址。不同region有不同的service endpoint。endpoint告诉也可告诉OpenStack service去哪里访问特定的service。比如,当Nova需要访问 Glance服务去获取image时,Nova通过访问Keystone拿到Glance的endpoint,然后通过访问该endpoint去获取Glance服务。我们可以通过Endpoint的region属性去定义多个region。Endpoint该使用对象分为三类:①admin url给admin用户使用。②internal url给OpenStack内部服务使用来跟别的服务通信。③public url其它用户可以访问的地址。

3.1.2 服务配置信息

创建keystone数据库

进入数据库,运行如下命令。

[root@ljl-controller ~]# mysql -uroot -p000000MariaDB [(none)]> CREATE DATABASE keystone;Query OK, 1 row affected (0.00 sec)MariaDB [(none)]> GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'localhost' \-> IDENTIFIED BY '000000';Query OK, 0 rows affected (0.00 sec)MariaDB [(none)]> GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'%' \-> IDENTIFIED BY '000000';Query OK, 0 rows affected (0.00 sec)

认证服务安装和配置

从yum中安装认证服务包。

[root@ljl-controller ~]# yum install openstack-keystone httpd mod_wsgi

随机数生成10位数。

[root@ljl-controller ~]# openssl rand -hex 104104bb0055496edc5650

配置认证令牌、端点URL、认证API版本。

[root@ljl-controller ~]# export OS_TOKEN=4104bb0055496edc5650[root@ljl-controller ~]# export OS_URL=http://ljl-controller:35357/v3[root@ljl-controller ~]# export OS_IDENTITY_API_VERSION=3

配置keystone.conf文件。

[root@ljl-controller ~]# vi /etc/keystone/keystone.conf[DEFAULT]admin_token = 4104bb0055496edc5650…[database]connection = mysql+pymysql://keystone:000000@ljl-controller/keystone…[token]provider = fernet

初始化身份认证服务的数据库,初始化Fernet keys。

[root@ljl-controller ~]# su -s /bin/sh -c "keystone-manage db_sync" keystone[root@ljl-controller ~]# keystone-manage fernet_setup --keystone-user keystone --keystone-group keystone

进入数据库查看同步是否成功。

[root@ljl-controller ~]# mysql -uroot -p000000MariaDB [(none)]> use keystone;MariaDB [keystone]> show tables;

                                                       图3-1 keystone数据库部分信息

配置Apache HTTP服务器

配置httpd.conf文件,添加如下。

[root@ljl-controller ~]# vi /etc/httpd/conf/httpd.confServerName ljl-controller

因为mitaka镜像中本身带有wsgi-keystone.conf文件,所以只需要移动到/etc/httpd/conf.d/目录下,重启HTTP服务即可。

[root@ljl-controller ~]# cp /LJL/mitaka/wsgi-keystone.conf /etc/httpd/conf.d/[root@ljl-controller ~]# systemctl enable httpd.serviceCreated symlink from /etc/systemd/system/multi-user.target.wants/httpd.service to /usr/lib/systemd/system/httpd.service.[root@ljl-controller ~]# systemctl restart httpd.service

创建服务实体和API端点变种

创建服务实体和身份认证服务,每个添加到OpenStack环境中的服务要求一个或多个服务实体和三个认证服务中的API端点变种。

[root@ljl-controller ~]# openstack service create --name krystone --description "OpenStck Identity" identity

创建认证服务的三个API端点变种。

[root@ljl-controller ~]# openstack endpoint create --region RegionOne identity public http://ljl-controller:5000/v3 [root@ljl-controller ~]# openstack endpoint create --region RegionOne identity internal http://ljl-controller:5000/v3 [root@ljl-controller ~]# openstack endpoint create --region RegionOne identity admin http://ljl-controller:35357/v3

创建认证服务依赖组合

通过如下命令,创建域。

[root@ljl-controller ~]# openstack domain create --description "liujianlin Domain" default

为了进行管理的操作,创建admin的项目、用户和角色,命令如下。

[root@ljl-controller ~]# openstack project create --domain default --description "Admin Project" admin[root@ljl-controller ~]# openstack user create --domain default --password-prompt admin[root@ljl-controller ~]# openstack role create admin

添加admin角色到admin用户上。

[root@ljl-controller ~]# openstack role add --project admin --user admin admin

创建service项目,使环境中所有服务都含有用户自己的服务项目。

[root@ljl-controller ~]# openstack project create --domain default --description "Service Project" service

常规(非管理)任务应该使用无特权的项目和用户。创建一个演示demo项目和用户。

[root@ljl-controller ~]# openstack project create --domain default --description "Demo Project" demo[root@ljl-controller ~]# openstack user create --domain default --password-prompt demo

创建user角色。

[root@ljl-controller ~]# openstack role create user

添加user角色到demo用户上。

[root@ljl-controller ~]# openstack role add --project demo --user demo user

3.1.3 验证功能状态

用户请求认证令牌

重置环境变量。

[root@ljl-controller ~]# unset OS_TOKEN OS_URL

作为admin用户,请求认证令牌。

[root@ljl-controller ~]# openstack --os-auth-url http://ljl-controller:35357/v3 \> --os-project-domain-name default --os-user-domain-name default \> --os-project-name admin --os-username admin token issue

作为demo用户,请求认证令牌,这个命令使用demo用户的密码和API端口5000,这样只会允许对身份认证服务API的常规(非管理)访问。

[root@ljl-controller ~]# openstack --os-auth-url http://ljl-controller:5000/v3 \> --os-project-domain-name default --os-user-domain-name default \> --os-project-name demo --os-username demo token issue

创建优化环境变量脚本

前一节中使用环境变量和命令选项的组合通过open stack客户端与身份认证服务交互。为了提升客户端操作的效率,OpenStack支持简单的客户端环境变量脚本即openrc文件。

创建open stack客户端环境变量脚本,创建文件admin-openrc、demo-openrc。

[root@ljl-controller ~]# vi /root/admin-openrcexport OS_PROJECT_DOMAIN_NAME=defaultexport OS_USER_DOMAIN_NAME=defaultexport OS_PROJECT_NAME=adminexport OS_USERNAME=adminexport OS_PASSWORD=000000export OS_AUTH_URL=http://ljl-controller:35357/v3export OS_IDENTITY_API_VERSION=3export OS_IMAGE_API_VERSION=2[root@ljl-controller ~]# vi /root/demo-openrcexport OS_PROJECT_DOMAIN_NAME=defaultexport OS_USER_DOMAIN_NAME=defaultexport OS_PROJECT_NAME=demoexport OS_USERNAME=demoexport OS_PASSWORD=000000export OS_AUTH_URL=http://ljl-controller:5000/v3export OS_IDENTITY_API_VERSION=3export OS_IMAGE_API_VERSION=2

生效脚本并认证令牌

生效脚本文件,请求认证令牌。

[root@ljl-controller ~]# . admin-openrc[root@ljl-controller ~]# openstack token issue

 

本文由阿里云-掩日编辑,有阿里云服务器、数据库、直播等需求可私信我,官网折上折,阿里更优惠!

————阿里云优惠返现————
      1:官网优惠+返现优惠双享优惠
      2:新老账号都可以,招代理
     咨询:18580699993  (vx同号)

以下为操作流程每步的返回结果图。

 

本文由阿里云-掩日编辑,有阿里云服务器、数据库、直播等需求可私信我,官网折上折,阿里更优惠!

————阿里云优惠返现————
1:官网优惠+返现优惠双享优惠
2:新老账号都可以,招代理
咨询:18580699993  (vx同号)

总结

以上是生活随笔为你收集整理的Keystone认证服务详细操作流程的全部内容,希望文章能够帮你解决所遇到的问题。

如果觉得生活随笔网站内容还不错,欢迎将生活随笔推荐给好友。