深入理解Keystone 认证

最新推荐文章于 2024-08-09 21:25:06 发布
最新推荐文章于 2024-08-09 21:25:06 发布
阅读量7.5k 收藏 11
点赞数 2
分类专栏: openstack
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Shatty/article/details/48392401
版权

最近在搞keystone,学习一下keystone的几种认证方式:UUID, PKI。

 

UUID 认证流程

 

1.用户输入用户名密码,发送给keystone。Horizon登陆时候输入的用户密码或者CLI中的source的用户名密码环境变量。

2.Keystone验证用户名密码,并且生成token(UUID),发送给客户端。

3.客户端缓存UUID token

4.客户端发送具体的执行请求(nova boot)和UUID给keystone。

5.Keystone从http请求中获取token,并检查token是否有效

6.Token有效,处理请求,并返回客户端请求结果

7.Token失效,拒绝客户端请求,返回401。

 

PKI认证

通过keystone-manage pki_setup生成私钥及自签署证书。

 

对与pki(包括pkiz)认证方式,keystone相当于一个权威的认证中心,他用自己和的私钥证书对用户的token进行签名。 OpenStack服务中的每一个API Endpoint都有一份keystone签发的证书,失效列表和根证书。API不用在直接去keystone认证token是否合法,只需要根据keystone的证书和失效列表就可以确定token是否合法。但是这里还是会有每次都需要请求keystone去获取失效列表的操作,不可避免。

 

 

两种格式各有优劣,最大的不同是UUID必须每次都经过Keystone才能认证,而PKI是自包含的,service可以自己根据标准算法来检查签名, 这样的好处就是提高了验证效率,Keystone不会成为整个Openstack的瓶颈。但是PKI token也带来了一个问题,因为PKI token包含了很多元数据以及catalog等信息,会很大,不仅带来了网络开销,而且可能超出一些服务器的限制,引发异常

 

PKI认证流程大部分和UUID相似,可以对比上边两个图。只有下边几处不相同。

1) CMS格式的token

CMStoken包含三部分:service catalog,user role 和metadata。实例如下:

{
   "access": {
       "metadata": {
           ....metadata goes here....
       },
       "serviceCatalog": [
           ....endpoints goes here....
       ],
       "token": {
           "expires": "2013-05-26T08:52:53Z",
           "id": "placeholder",
           "issued_at": "2013-05-25T18:59:33.841811",
           "tenant": {
               "description": null,
               "enabled": true,
               "id": "925c23eafe1b4763933e08a4c4143f08",
               "name": "user"
           }
       },
       "user": {
           ....userdata goes here....
       }
   }
}

2) Token的验证

Token的验证包含三个方面:token的签名,token是否失效和token是否已经在撤销列表。

用openssl cms -verify -certfile /tmp/keystone-signing-nova/signing_cert.pem -CAfile /tmp/keystone-signing-nova/cacert.pem -inform PEM -nosmimecap -nodetach -nocerts -noattr < cms_token命令验证token签名。

根据expiration date判断token是否失效

向keystone查询token是否已经在撤销列表。

 

 

Openstack相关技术交流请加群:314889201


zsl6658
关注
专栏目录
OpenStack认证管理
03-20
通过对OpenStack认证管理的学习,特别是Keystone的核心概念和技术细节的深入了解,可以帮助我们更好地理解OpenStack的安全体系结构,从而有效地管理和保护云计算环境中的资源。同时,实践操作的练习将进一步加强理论...
keystone证书_身份组件Keystone
cusi77914的博客
06-21 751
本文介绍了OpenStack身份,它为所有其他OpenStack项目提供了一种通用的身份验证方法。 每个多用户服务都需要某种机制来管理谁可以访问该应用程序以及每个人可以执行哪些操作。 私有云也不例外,OpenStack将这些功能简化为一个名为Keystone的单独项目。 Keystone是OpenStack Identity的项目名称,OpenStack Identity是一项通过Op...
OpenStack之keystone(用户认证)
weixin_42795092的博客
03-09 2321
1)管理用户及其权限2)维护OpenStack Services 的 Endpoint3)Authentication(认证)和 Authorization(授权)keystone的名词概念。
【隐私保护】基于公钥基础设施(PKI)的认证
最新发布
qq_39780701的博客
08-09 1162
PKI的基本概念、PKI的组成、数字证书。
【公有云底层】核心组件基础概念
持续分享,个人的运维经验,包含:云计算、Linux、Windows、容器、K8s、CICD、Python、运维开发、公有云等;以及个人经历相关内容,包含:实习、面试经验等。
04-27 1403
👏 我是秋意零,欢迎大家一键三连、加入云社区👋 我们下期再见(⊙o⊙)!!!云社区。
在 OpenStack 中启用 Keystone LDAP 后端
笔尖的痕的专栏
03-12 1366
开源的 OpenStack 项目为构建公共云和私有云提供了一个基础架构即服务(IaaS)层。企业、服务提供商、增值分销商、中小型企业、研究人员和全球数据中心都使用 OpenStack 来部署大型私有云或公共云。 轻量级目录访问协议(LDAP)是一个客户端/服务器协议,用于访问和管理目录信息。许多企业应用程序都使用 LDAP 作为用户身份验证的基础。(LDAP 的实现包括 IBM® Tivol
从基础到理解——OpenStack的详解之路
wang961226的博客
12-10 549
一 Openstack介绍 是美国国家宇航局(NASA)和Rackspace合作开发的一个开源项目,目的是为公有云和社区云提供软件,但因其灵活性,也可以定制私有云。它是为云计算服务的,提供存储空间、计算能力等资源服务的Web Service。简单来说,OpenStack就是一个操作系统,一套软件,一套IaaS(基础设施即服务)软件,对资源进行管理,并且以服务的形式提供给上层应用或者用户去使用。 二 云计算的三种服务模式 2.1、基础设施及服务(Infrastructure as a Service,Ia
keystone demo
04-03
这个"keystone demo"可能是一个示例或教程,旨在帮助用户更好地理解如何在 OpenStack 环境中设置和使用 Keystone。下面我们将深入探讨 Keystone 的概念、功能以及如何通过这个 demo 进行实践操作。 Keystone 的主要...
keystone-源码.rar
10-10
8. **认证流程**:源码分析可以帮助理解keystone认证流程,包括令牌的生成逻辑、权限检查以及如何处理未授权的请求。 9. **扩展性**:Keystone 支持插件式架构,允许开发者添加自定义的认证、授权和令牌提供者,...
keystone简介PPT教案.pptx
10-02
Keystone中,以下几个关键概念值得深入理解: 1. Tenant(租户/项目):代表一个项目或工作空间,通常包含一组相关的用户、角色等。它是OpenStack服务调度的基本单位。 2. User(用户):可以是个人、系统或...
19-通过例子学习 Keystone 1
08-08
在这个例子中,我们将深入理解 Keystone 的工作原理,特别是如何通过一个实际操作——查询可用 image,来展示它的功能。 首先,我们要了解 Keystone 的核心概念,包括用户(User)、角色(Role)、项目(Project)...
OpenStack Keystone
02-19
openstackOpenStack Keystone云计算云计算云计算
openstack实验报告.docx
12-26
一、Virtual Box的安装 1、安装Virtual Box 2、 Virtual Box网络设定 3、 安装操作系统 二、 环境预配置 1、 网路设置 2、 分别修改三个虚拟机的主机名 3、 主机地址映射配置 4、 禁用selinux 5、 CentOS6本地yum源配置 注:先加载镜像 6、 NTP安装服务 三、 本地源制作 1. Centos6.6本地base、extra源制作 2. 本地base、extra源制作 3. 本地epel、openstack源制作 4. ftp服务安装 5. 修改yum源仓库指向文件 四、 keystone安装(上) 1. 安装Mysql服务 2. 安装rabbitmq消息队列 3. 为nova,neutron,cinder.heat创建用户并授权 五、 keystone安装(下) 1. 创建库和授权 2. 创建库和授权 3. 生成PKI认证所需要的证书文件 4. 同步keystone数据库,生成keystone所需的表 5. 启动keystone服务和校验服务状态 6. 创cron任务,配置定期清理过期的token 7. keystone创建user,tenant,role和endpoint 六、 Glance安装 1. Glance的安装 2. 配置glance-api服务 3. 配置glance-registry服务 4. 启动并校验glance服务 57 七、 Nova安装 59 1. nova的安装与配置 59 2. 安装和配置nova 60 八、 Neutron安装 63 1. neutron的安装与配置 63 2.Neutron使用二层组件 66 3. 配置OVS二层插件 67 4. 配置nova支持neutron 67 5. 启动neutron-server服务 68 6. 重启nova服务和neutron联动 69 7. 重启neutron-server 69 8. controller0上校验neutron的配置 69 九、 Horizon安装 71 1. Horizon组件的安装与配置 71 十、 Compute0安装nova 74 1. nova的安装与配置(compute0-10.20.0.30) 74 2. nova的安装与配置 75 十一、 Compute0安装neutron 78 1. neutron的安装与配置(compute0) 78 十二、 Network0安装neutron 83 1. neutron的安装与配置 83 十三、 新建网络 91 1. 配置安全组规则 91 2. 新建网络 92 3 .创建云主机 99 4 .分配浮动ip 101 十四、 心得体会 107
OpenStack学习笔记(二)
m0_51734025的博客
06-23 1261
视频讲解:keystone简单来说是用来做认证的概念详解:User:使用Openstack组件的客户端可以是人、服务。系统,任何访问Openstack组件的客户端都需要有一个用户名Project:1、是一个人或服务所拥有的资源集合。不同的Project之间资源是隔离的,资源可以设置配额;2、在一个Project中可以包含多个User,每个User都会根据权限的划分来使用Project中的资源。3、User访问Project的资源前,必须要与该Project关联,并且指定User在Project下的Role,
keystone介绍
热门推荐
Fivestar_wang的专栏
09-27 1万+
keystone简介 keystone(openstack identity service)是openstack框架中负责身份验证、服务规则和服务令牌的功能, 它实现了openstack的Identity API。 keystone类似一个服务总线,或者说是挣个openstack框架的注册表, 其他服务通过keystone来注册其服务的Endpoint(服务访问的URL),任何服务之间的相互调
OpenStack(T版)——身份认证(Keystone)服务介绍与安装
不知道
06-26 3669
OpenStack(T版)——身份认证(Keystone)服务介绍与安装
OpenStack Keystone架构一:Keystone基础
weixin_33831673的博客
11-15 529
一 什么是keystone keystone是OpenStack的身份服务,暂且可以理解为一个'与权限有关'的组件。 二 为何要有keystone Keystone项目的主要目的是为访问openstack的各个组件(nova,cinder,glance...)提供一个统一的验证方式,具体的: openstack是由众多组件构成的一套系统,该系统的功能是...
Keystone认证服务详细操作流程
weixin_57994384的博客
05-12 3337
第3章 全局服务类部署(上) 3.1 认证服务 3.1.1 服务简介 做为云操作系统的Keystone认证服务,主要提供两个功能: ①用户身份认证:为系统提供是否为合法用户的判断功能。对user的管理和保存,管理user的tenant、role、group、domain等,保存user的存放、验证、令牌管理等。 ②服务目录列表:显示系统提供的服务列表。其他服务通过keystone来注册其服务的Endpoint(服务访问的URL),任何服务之间的相互调用,需要经过keystone的身份验证来获得目标
Keystone 认证服务
timedown的博客
11-01 1168
项目介绍​Keystone是Openstack框架中负责身份认证、服务管理、服务规则和服务令牌的功能,它实现了Openstack的Identity API。​Keystone是整个openstack框架的注册表,其他服务通过keystone来注册其服务的endpoint,任何服务之间相互的调用,都需要经过keystone的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值