keystone中的domain

最新推荐文章于 2024-04-18 21:35:54 发布
最新推荐文章于 2024-04-18 21:35:54 发布
阅读量2.1k 收藏 3
点赞数
分类专栏: openstack 文章标签: openstack keystone domain scope policy

相关对象

Keystone中当前和domain相关的对象有user,project,group和token,其中user,project和group从sql driver看,这三个模型的name字段都和domain_id一起作为联合唯一键在数据库层面增加了约束。

token比较特殊,获取V3 token的时候有一个可选参数scope,来指定需要获取什么样scope的token,可以参考keystone V3 API

获取token的时候,scope分为三种:

  • domain
  • project
  • trust

其实最终keystone内部处理的时候,也会把trust转化为project。又因为获取token的时候,scope是可选参数,可以不填,所以还可以获取一种特殊的不关联scope的token,这种token的唯一的目的也就是确认一个唯一的用户。

token实际的scope最终转化为两种domain和project。

授权

keystone的授权(create_grant)过程,其实是一个三方关联的过程,三方就是:actor(被授权的主体),role(权限),target(被授权的范围)。实际授权过程可以这样理解:

为actor在target的范围内赋予role的权利。

  • actor -> user & group
  • targe -> project & domain
  • role

再说回来,domain scope token包含的roles,就是这个domain范围内的所有这个user相关的role,其中包括user本身和user所属的group的role的一个并集。而project scope token包含的roles,同上,就是范围变成了project相关的role。

怎么用domain

keystone默认的policy.json,其实是拥有admin角色的用户可以做任何的事情,可以在domainA中创建project,也可以在domainB中创建project,这样就无法做到,限制domain内的admin只可以在所属domain内创建project,也就是domain admin的概念,为了弥补这一问题,keystone引入了policy.v3cloudsample.json

我们来分析一下是怎么做到的,来看其中的一段例子,摘自policy.v3cloudsample.json

1 "admin_required": "role:admin",
2 
3 "identity:create_project": "rule:admin_required and domain_id:%(project.domain_id)s",
4 
5 "identity:get_project": "rule:admin_required and domain_id:%(target.project.domain_id)s",
6 
7 "identity:list_projects": "rule:admin_required and domain_id:%(domain_id)s",

先来看create_project,首先要求admin角色,需要注意的是and的后半句domain_id:%(project.domain_id)s,这条规则的意思就是create_project时,使用的token的domain_id必须等于project所在的domain的domain_id。

也就是如下场景:

  1. 为userA在domainA的范围内赋予admin的权限
  2. userA指定domainA作为scope,申请一个domainA scope的tokenA
  3. userA使用tokenA,去创建project,创建project时domain_id参数必须为domainA的id
  4. 创建project成功

这里有几个关键点需要注意,首先userA在domainA内必须要有admin权限,这样才能满足rule:admin_required,其次,token需要是一个domain scope的token,这样token中才会有domain_id ,再次,创建project的时候,domain_id参数必须等于domainA的id,这样才能满足domain_id:%(project.domain_id)s

这样一条规则的意义在于,可以限制只有在domainA内有权限的用户才能在domainA创建project。

get_project比较好理解,就是查询的project的domain_id必须和token的domain_id相同,也就是只能查询token所在范围内的project。

list_project是查询出所有的project,但是会根据token的domain_id过滤,然后剩下所有和token的domain_id相同的project。

keystone增加了domain这样一个概念之后,其实也就把keystone本身的资源user、project、group按照domain给做了一个划分,可以做到在domain范围内的对于user、project和group的管理。

policy.v3cloudsample.json中又增加了几种的权限规则,例如:cloud_admin、domain_admin、project_domain。大家可以自己结合policy.v3cloudsample.json来看一下它们各自的作用。

 1 "admin_required": "role:admin",
 2 
 3 "cloud_admin": "rule:admin_required and domain_id:admin_domain_id",
 4 
 5 "service_role": "role:service",
 6 
 7 "service_or_admin": "rule:admin_required or rule:service_role",
 8 
 9 "owner" : "user_id:%(user_id)s or user_id:%(target.token.user_id)s",
10 
11 "admin_or_owner": "(rule:admin_required and domain_id:%(target.token.user.domain.id)s) or rule:owner",
12 
13 "admin_or_cloud_admin": "rule:admin_required or rule:cloud_admin",
14 
15 "user_domain_id": "domain_id:%(target.user.domain_id)s or domain_id:%(user.domain_id)s",
16 
17 "project_domain_id": "domain_id:%(target.project.domain_id)s or domain_id:%(project.domain_id)s",
18 
19 "groups_domain_id": "domain_id:%(group.domain_id)s or domain_id:%(target.group.domain_id)s",
20 
21 "same_domain_id": "domain_id:%(domain_id)s or domain_id:%(target.domain.id)s",
22 
23 "match_domain_id": "rule:same_domain_id or rule:user_domain_id or rule:project_domain_id or rule:groups_domain_id",
24 
25 "domain_admin": "rule:admin_required and rule:match_domain_id",
26 
27 "project_admin": "rule:admin_required and project_id:%(target.project.id)s",

具体policy规则的配置可以参考keystone的官方文档

宝宝2011
关注
专栏目录
openstack keystone 命令详细.docx
01-02
- 域(Domain)管理:Keystone 还支持域级别的资源管理,如用户、项目和角色。 以上命令通常在运行前需执行 `. admin-openrc` 以加载环境变量,确保拥有足够的权限操作 OpenStack 服务。在实际使用时,应根据具体...
cloudstack的user,account,domain和project解释--之一
HelloWorld的专栏
09-11 2908
原文地址:https://cwiki.apache.org/confluence/display/CLOUDSTACK/Accounts%2C+Domains%2C+and+Projects+oh+my%21 Accounts, Domains, and Projects oh my! Added by Clayton Weise, last e
OpenStack dashboard控制面板配置keystone多域(domain)支持
u011052940的博客
02-23 941
修改配置文件开启OpenStack dashboard控制面板和keystone的多域(domain)支持模式。
OpenStack的G版Keystone对象模型
ztejiagn的专栏
04-19 946
Users:表示API的一个特定使用者,属于一个指定的domain。可以赋予user权限(role),每一个user-domain或user-project都可以有一组权限。   Groups:表示一组拥有某权限的用户,属于一个指定的domain。可以赋予group特定的role,此时group内的user都自动具备该role表示的权限。   Credentials:与us
华为HCIE学习之Openstack keystone组件
qq_48440248的博客
03-07 640
华为HCIE学习之keystone
Opnestack学习笔记
weixin_44628921的博客
04-18 990
1、openstack实际上由一系列脚本的命令组成。脚本会被捆绑在名为项目的软件包,这些软件包用于创建云环境,并且还会使用虚拟化软件(用于创建从硬件抽象出来的虚拟化资源层)和基础操作系统(用于执行openstack脚本的命令)。2、openstack本身不会虚拟化资源,但会使用虚拟化资源构建云,openstack、虚拟化和基础操作系统这三种技术共同工作服务用户。openstack是框架,以openstack为框架,将计算、存储、网络、管理、运营、运维等多个领域的软硬件产品整合在一起。
OpenStack之认证服务(Keystone
01-13
在MariaDB创建名为`keystone`的数据库,并为`keystone`用户授予所有权限。配置数据库连接信息在`/etc/keystone/keystone.conf`文件的`[database]`部分,例如设置`connection`字段为`mysql+pymysql://keystone:...
Python库 | keystoneauth1-2.9.0-py2.py3-none-any.whl
03-21
KeystoneOpenStack的身份管理服务,负责用户认证、权限控制和服务目录管理。 **使用keystoneauth1** 在Python应用程序使用keystoneauth1,首先需要创建一个session对象,该对象会管理认证信息和HTTP请求。...
OpenStack认证管理
03-20
通过对OpenStack认证管理的学习,特别是Keystone的核心概念和技术细节的深入了解,可以帮助我们更好地理解OpenStack的安全体系结构,从而有效地管理和保护云计算环境的资源。同时,实践操作的练习将进一步加强理论...
PyPI 官网下载 | python-keystoneclient-0.5.1.tar.gz
01-29
OpenStack云环境Keystone是核心组件之一,负责提供身份验证、授权和服务目录功能。 ### Keystone简介 KeystoneOpenStack的认证服务,主要任务是验证用户的身份,并基于角色和策略授权用户访问其他...
云计算实验2 安装镜像服务glance.doc
最新发布
06-06
- 在OpenStack的身份认证服务Keystone创建一个新的用户`glance`。 - 为该用户设置密码,并赋予其所需的权限,以便能够在系统执行必要的操作。 3. **创建镜像服务的调用端点**: - 在Keystone注册Glance...
Python库 | keystonemiddleware-1.6.1-py2.py3-none-any.whl
03-21
这个库是一个间件,用于将身份验证服务(通常称为Keystone)集成到Web应用程序和服务。`1.6.1`是该库的一个版本,支持Python 2和3,这由`py2.py3`部分表明。`none-any`表示这个whl文件不依赖于特定的硬件或操作...
OpenStack Identity Keystone基本概念及验证进化过程
evandeng2009
06-29 3398
一、概念与关系     先上图,看user、credential、group、role、project/tenant、service、endpoint、domain、region;token、authentication、scope等彼此间的关系。 1. resource:project、domain 2. credential:可以是3个配对,username/password,use
OpenStackOpenStack的G版Keystone对象模型
代码改变世界
02-01 2652
本博客欢迎转发,但请保留原作者信息(新浪微博 @孔令贤HW  Blog地址:http://blog.csdn.net/lynn_kong)!内容系本人学习、研究和总结,如有雷同,实属荣幸! Users:表示API的一个特定使用者,属于一个指定的domain。可以赋予user权限(role),每一个user-domain或user-project都可以有一组权限。 Groups:
(转)理解Keystone的四种Token
weixin_30603633的博客
01-11 589
Token 是什么 通俗的讲,token 是用户的一种凭证,需拿正确的用户名/密码向 Keystone 申请才能得到。如果用户每次都采用用户名/密码访问 OpenStack API,容易泄露用户信息,带来安全隐患。所以 OpenStack 要求用户访问其 API 前,必须先获取 token,然后用 token 作为用户凭据访问 OpenStack API。 四种 Token 的由来 D...
了解和使用keystone(一)keystone的基本认知
愷风(Wei)的专栏
09-10 7547
为啥想起要求了解keystone 想起keystone,并不是因为openstack,我目前没有参与涉及DC的项目。但是作为openstack的管理身份验证、服务规则和服务令牌功能的模块,可以对性以上的项目给予帮助。因此就花了点时间来看keystone,目标是了解并在项目使用keystone,这和在keystone开源的基础上开发自己数据心的
KeystoneOpenstack认证基石与安装详解
- **服务实体和API端点**:Keystone会创建domain、project、user和role等管理对象,并定义API接口,使得其他组件能通过这些接口进行身份验证和权限检查。 - **用户、项目和角色**:User是Openstack服务的使用者,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值