cenos7.1 安装openstack kilo 心得之六 添加身份认证服务

最新推荐文章于 2023-06-26 00:07:43 发布
最新推荐文章于 2023-06-26 00:07:43 发布
阅读量1.2k 收藏
点赞数
分类专栏: openstack
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AHUT_SZF/article/details/49848125
版权

注意:该部分只在控制节点

一、安装和配置
这一章描述了怎样在控制结点安装和配置Openstack身份认证服务
配置前的准备
在你配置 OpenStack 身份认证服务前,你必须创建一个数据库和管理员令牌。
1. 完成下面的步骤以创建数据库:
   a. 以 root 用户身份通过数据库客户端连接到数据库服务:
       $ mysql -u root -p

     b. 创建 keystone 数据库:
         CREATE DATABASE keystone;
    c. 为 keystone 数据库赋予恰当的访问权限:
        GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'localhost' IDENTIFIED BY 'KEYSTONE_DBPASS';
        GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'%' IDENTIFIED BY 'KEYSTONE_DBPASS';
        将 KEYSTONE_DBPASS 替换为实际的密码。
    d. 退出数据库客户端。

          quit;
2. 生成一个随机值在初始的配置中作为管理员的令牌。
    $ openssl rand -hex 10
二、安装和配置组件
1. 运行以下命令来安装包。
   # yum install openstack-keystone python-keystoneclient
2. 编辑 /etc/keystone/keystone.conf ,并完成下列操作:
    a. 在 [DEFAULT] 段中,对管理员令牌进行配置。
        [DEFAULT]
         ...
        admin_token = ADMIN_TOKEN
        将 ADMIN_TOKEN 替换为上一步中生成的随机字符串。
    b. 在 [database] 段,配置数据库访问相关参数:
       [database]
        ...
       connection = mysql://keystone:KEYSTONE_DBPASS@控制器/keystone
       将 KEYSTONE_DBPASS 替换为实际的数据库用户的密码。
    c. 在 [token] 部分,设置 UUID 令牌的提供者和 SQL 驱动。
       [token]
       ...
       provider = keystone.token.providers.uuid.Provider
      driver = keystone.token.persistence.backends.sql.Token
    d. 在 [revoke] 部分,配置 SQL 的撤回驱动:
      [revoke]
      ...
      driver = keystone.contrib.revoke.backends.sql.Revoke

   e. (可选配置)可以在 [DEFAULT] 段中开启详细日志配置,为后期的故障排除提供帮助:

      [DEFAULT]
      ...
     verbose = True

3. 生成通用的证书和私钥文件,并修改这些文件的访问权限:
# keystone-manage pki_setup --keystone-user keystone --keystone-group keystone
# chown -R keystone:keystone /var/log/keystone
# chown -R keystone:keystone /etc/keystone/ssl
# chmod -R o-rwx /etc/keystone/ssl

4. 初始化身份认证服务的数据库:

#keystone-manage db_sync

三、完成安装
1. 启动身份认证服务,并将该服务配为系统启动时自动启动:
# systemctl enable openstack-keystone.service
# systemctl start openstack-keystone.service
2. 身份认证服务默认的情况会永久保存已经过期的身份凭证。过期凭证的累积会增加数据
库的体积甚至减低整个服务的性能,特别是在那些资源紧缺的环境中。
建议使用 cron 配置计划任务每个小时定时清理过期的身份凭证:
# (crontab -l -u keystone 2>&1 | grep -q token_flush) || echo '@hourly /usr/bin/keystone-manage token_flush >/var/log/keystone/keystone-tokenflush.log  \

2>&1' >> /var/spool/cron/keystone

四、创建租户、用户和角色

1. 配置管理员令牌:
$ export OS_SERVICE_TOKEN=ADMIN_TOKEN
将其中的 ADMIN_TOKEN 替换为您在 “安装和配置”一节 [30] 中生成的管理员令牌。例
如:
$ export OS_SERVICE_TOKEN=294a4c8a8a475f9b9836

2. 配置入口点:
$ export OS_SERVICE_ENDPOINT=http://控制器:35357/v2.0

创建租户、用户和角色
1. 创建管理员租户、用户和角色以在您的环境中执行管理员操作:
a. 创建 admin 租户:
$ keystone tenant-create --name admin --description "Admin Tenant"
+-------------+----------------------------------+
| Property | Value |
+-------------+----------------------------------+
| description | Admin Tenant |
| enabled | True |
| id | 6f4c1e4cbfef4d5a8a1345882fbca110 |
| name | admin |
+-------------+----------------------------------+

b. 创建 admin 用户:
$ keystone user-create --name admin --pass ADMIN_PASS --email EMAIL_ADDRESS
+----------+----------------------------------+
| Property | Value |
+----------+----------------------------------+
| email | admin@example.com |
| enabled | True |
| id | ea8c352d253443118041c9c8b8416040 |
| name | admin |
| username | admin |
+----------+----------------------------------+
将其中的 ADMIN_PASS 替换为您要设置的一个合适的密码,其中的 EMAIL_ADDRESS
替换为合适的 e-mail 地址。

c. 创建 admin 角色:
$ keystone role-create --name admin
+----------+----------------------------------+
| Property | Value |
+----------+----------------------------------+
| id | bff3a6083b714fa29c9344bf8930d199 |
| name | admin |
+----------+----------------------------------+
d. 将 admin 角色赋予给 admin 租户和用户:
$ keystone user-role-add --user admin --tenant admin --role admin

2. 创建一个 demo 租户和用户,用于环境中的一般操作:
a. 创建 demo 租户:
$ keystone tenant-create --name demo --description "Demo Tenant"
+-------------+----------------------------------+
| Property | Value |
+-------------+----------------------------------+
| description | Demo Tenant |
| enabled | True |
| id | 4aa51bb942be4dd0ac0555d7591f80a6 |
| name | demo |
+-------------+----------------------------------+

b. 在 demo 租户下创建 demo 用户:
$ keystone user-create --name demo --tenant demo --pass DEMO_PASS --email EMAIL_ADDRESS
+----------+----------------------------------+
| Property | Value |
+----------+----------------------------------+
| email | demo@example.com |
| enabled | True |
| id | 7004dfa0dda84d63aef81cf7f100af01 |
| name | demo |
| tenantId | 4aa51bb942be4dd0ac0555d7591f80a6 |
| username | demo |
+----------+----------------------------------+
将其中的 DEMO_PASS 替换为您要设置的一个合适的密码,其中的 EMAIL_ADDRESS 替
换为合适的 e-mail 地址。

3. OpenStack 服务也需要租户、用户和角色来与其他服务交互。每个服务一般需要在
service 租户下创建一个或多个用户,并赋予 admin 的角色。
• 创建 service 租户:

$ keystone tenant-create --name service --description "Service Tenant"
+-------------+----------------------------------+
| Property | Value |
+-------------+----------------------------------+
| description | Service Tenant |
| enabled | True |
| id | 6b69202e1bf846a4ae50d65bc4789122 |
| name | service |
+-------------+----------------------------------+

创建服务实体和 API 端点
创建好租户、用户和角色后,您必须为身份认证服务创建 service 实体和 API 端点。
配置前的准备
• 如 “创建租户、用户和角色”一节 [32] 中所描述的内容,设置 OS_SERVICE_TOKEN 和
OS_SERVICE_ENDPOINT 环境变量。
创建服务实体和 API 端点
1. 身份认证服务管理了一个关于您 OpenStack 环境中的服务的目录。服务使用这个目录来
查找您环境中的其他服务。
创建服务实体和身份认证服务:

$ keystone service-create --name keystone --type identity --description "OpenStack Identity"
+-------------+----------------------------------+
| Property | Value |
+-------------+----------------------------------+
| description | OpenStack Identity |
| enabled | True |
| id | 15c11a23667e427e91bc31335b45f4bd |
| name | keystone |
| type | identity |
+-------------+----------------------------------+

2. 身份认证服务管理了一个与您环境相关的 API 端点的目录。服务使用这个目录来决定如
何与您环境中的其他服务进行通信。

创建身份认证服务的 API 端点:
$ keystone endpoint-create --service-id $(keystone service-list | awk '/ identity / {print $2}') --publicurl http://控制器:5000/v2.0 --internalurl http://控制器:5000/v2.0 \
--adminurl http://控制器:35357/v2.0 --region regionOne
+-------------+----------------------------------+
| Property | Value |
+-------------+----------------------------------+
| adminurl | http://controller:35357/v2.0 |
| id | 11f9c625a3b94a3f8e66bf4e5de2679f |
| internalurl | http://controller:5000/v2.0 |
| publicurl | http://controller:5000/v2.0 |
| region | regionOne |
| service_id | 15c11a23667e427e91bc31335b45f4bd |
+-------------+----------------------------------+

验证操作
这个部分描述如何验证身份认证服务的操作。
1. 取消 OS_SERVICE_TOKEN 和 OS_SERVICE_ENDPOINT 临时环境变量的设置:
$ unset OS_SERVICE_TOKEN OS_SERVICE_ENDPOINT
2. 使用admin 租户和用户,需要一个认证的令牌:
$ keystone --os-tenant-name admin --os-username admin --os-password ADMIN_PASS --os-auth-url http://controller:35357/v2.0 token-get
+-----------+----------------------------------+
| Property | Value |
+-----------+----------------------------------+
| expires | 2014-10-10T12:50:12Z |
| id | 8963eb5ccd864769a894ec316ef8f7d4 |
| tenant_id | 6f4c1e4cbfef4d5a8a1345882fbca110 |
| user_id | ea8c352d253443118041c9c8b8416040 |
+-----------+----------------------------------+
将其中的 ADMIN_PASS 替换为您在身份认证服务中为 admin 用户设置的密码。如果包含
特殊字符,您可能需要使用单引号 (') 将密码引用。

3. 使用 admin 租户和用户,列出租户以验证 admin 租户和用户能够执行只有管理员才能执
行的命令行,且身份认证服务包含您在 “创建租户、用户和角色”一节 [32] 中创建的
租户:
$ keystone --os-tenant-name admin --os-username admin --os-password ADMIN_PASS --os-auth-url http://controller:35357/v2.0 tenant-list

+----------------------------------+----------+---------+
| id | name | enabled |
+----------------------------------+----------+---------+
| 6f4c1e4cbfef4d5a8a1345882fbca110 | admin | True |
| 4aa51bb942be4dd0ac0555d7591f80a6 | demo | True |
| 6b69202e1bf846a4ae50d65bc4789122 | service | True |
+----------------------------------+----------+---------+

4. 使用 admin 租户和用户,列出用户以验证身份认证服务包含您在 “创建租户、用户和
角色”一节 [32] 中创建的用户:
$ keystone --os-tenant-name admin --os-username admin --os-password ADMIN_PASS \
--os-auth-url http://controller:35357/v2.0 user-list
+----------------------------------+---------+---------+---------------------+
| id | name | enabled | email |
+----------------------------------+---------+---------+---------------------+
| ea8c352d253443118041c9c8b8416040 | admin | True | admin@example.com |
| 7004dfa0dda84d63aef81cf7f100af01 | demo | True | demo@example.com |
+----------------------------------+---------+---------+---------------------+
5. 使用 admin 租户和用户,列出角色以验证 身份认证服务包含您在 “创建租户、用户和
角色”一节 [32] 中创建的角色:
$ keystone --os-tenant-name admin --os-username admin --os-password ADMIN_PASS \
--os-auth-url http://controller:35357/v2.0 role-list
+----------------------------------+----------+
| id | name |
+----------------------------------+----------+
| 9fe2ff9ee4384b1894a90878d3e92bab | _member_ |
| bff3a6083b714fa29c9344bf8930d199 | admin |
+----------------------------------+----------+

将其中的 DEMO_PASS 替换为您在身份认证服务中为 demo 用户所设置的密码。

7. 使用 demo 租户和用户,尝试列出用户以验证您不能执行只有管理员才能执行的命令
行:
$ keystone --os-tenant-name demo --os-username demo --os-password DEMO_PASS \
--os-auth-url http://controller:35357/v2.0 user-list
You are not authorized to perform the requested action, admin_required. (HTTP 403)

创建 OpenStack 客户端环境脚本

1. 编辑 admin-openrc.sh 文件并添加下列内容:
export OS_TENANT_NAME=admin
export OS_USERNAME=admin
export OS_PASSWORD=ADMIN_PASS
export OS_AUTH_URL=http://控制器:35357/v2.0
将其中的 ADMIN_PASS 替换为您在身份认证服务中为 admin 用户设置的密码。
2. 编辑 demo-openrc.sh 文件并添加下列内容:
export OS_TENANT_NAME=demo
export OS_USERNAME=demo
export OS_PASSWORD=DEMO_PASS
export OS_AUTH_URL=http://控制器:5000/v2.0
将其中的 DEMO_PASS 替换为您在身份认证服务中为 demo 用户设置的密码。

加载客户端环境脚本
• 使用特定租户和用户运行客户端,您可以在运行之前简单地加载相关客户端脚本。例
如,加载身份认证服务的位置和 admin 租户及用户的凭证:
$ source admin-openrc.sh

Sprigson
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
k8s-身份认证与权限
Mclaughling的博客
10-28 4527
k8s-身份认证与权限 K8s的用户 k8s的有两类型的用户:被k8s集群管理的服务账号 ( Service Account Pod 对象)和常规用户 (User Account 现实的“人”)。 **User Account(用户账号):**一般是指由独立于Kubernetes之外的其他服务管理的用户账号,例如由管理员分发的密钥、Keystone一类的用户存储(账号库)、甚至是包含有用户名和密码列表的文件等。Kubernetes不存在表示此类用户账号的对象, 因此不能被直接添加进 Kubernet
OpenStack之keystone(身份认证服务
andrew6_success的博客
12-25 4755
安装部署openstack 一、准备基础环境 1、环境: CPU处理器要支持虚拟化 内存2GB 磁盘空间50GB 网络两块网卡,一块外网,一块内网 3台虚拟机: 192.168.80.103 controller(控制节点) 192.168.80.104 compute01(计算节点) 192.168.80.102 客户端 2、域名解析和关闭防火墙(所有机器上都做) 关闭防火墙 syst...
OpenStack-M版(Mitaka)搭建- – -身份认证服务(Keystone)篇
姬子的博客
11-27 6636
转载请注明:姬子的博客 » OpenStack-M版(Mitaka)搭建- – -身份认证服务(Keystone)篇 Keystone 作为 OpenStack 的核心组件之一,为Nova、Glance、Swift、Cinder、Neutron和Horizon之间的通信提供认证服务。 包括: 1、管理用户及其权限 2、维护 OpenStack Services
OpenStack(T版)——身份认证(Keystone)服务介绍与安装
最新发布
不知道
06-26 3308
OpenStack(T版)——身份认证(Keystone)服务介绍与安装
openstack-mitaka(二) 基于vmware的搭建
Jelly
09-03 1287
openstack核心组件的搭建:基础环境篇配置,认证服务 ,计算服务,镜像服务,网络服务的基本配置。
CentOS 一键安装Openstack详细介绍
09-30
在CentOS上安装OpenStack可能相对复杂,因为涉及到多个步骤和配置,但通过使用RDO(Red Hat OpenStack Platform)和Packstack工具,可以实现一键安装,简化这个过程。 RDO是Red Hat维护的一个项目,它提供了在基于...
基于CentOS的OpenStack环境部署详细教程(OpenStack安装)
09-29
5. **Keystone**:Keystone是认证服务,管理用户身份、项目、角色等,是OpenStack服务之间通信的身份验证心。所有服务的Endpoint注册和权限验证都由Keystone处理。 6. **Glance**:Glance是镜像服务,管理虚拟机...
在CentOS 7.1安装Oracle 11gR2
08-16
安装Oracle 11gR2数据库之前,你需要确保你的CentOS 7.1系统满足必要的硬件和软件要求。首先,内存至少需要1GB,但推荐至少2GB以确保顺畅运行。如果你的系统内存小于2GB,建议设置swap分区大小为内存的1.5倍;若...
openstack安装keystone服务,初始化身份认证服务的数据库 ([Errno 111] Connection refused)“)问题
盘行
09-17 1361
虚拟机ubuntu18.04,当按照官网的教程配置M版的openstack时,: 出现问题: ([Errno 111] Connection refused)") 输入命令: tail /var/log/keystone/keystone-manage.log 进行日志查看的时候,发现是主机连不上数据库的原因。 经过排查有以下解决办法: 进入: cd /etc/mysql/mariadb.conf.d 文件夹下:vim打开 50-server.cnf文件,找到 bind-address
openstack登陆dashboard失败身份验证令牌已经过期
weixin_50344742的博客
03-06 1292
身份验证令牌已经过期 解决方法 此处问题是虚拟机时间不同步的问题,重启chronyd。 控制节点:systemctl restart chronyd 其余节点:systemctl stop chronyd,再启动,即可解决问题
Openstack(1)
zhoumengyang1993的博客
11-30 378
一.openstack
openstack云计算平台<2>--核心组件配置->认证服务
小螺号的博客
05-04 774
目录认证服务1.概述2.安装和配置1.先决条件2.创建服务实体和API端点3.创建域、项目、用户和角色4.验证操作5.创建 OpenStack 客户端环境脚本 认证服务 1.概述 其它所用服务的调用都需要通过认证服务的认证来完成,并且它提供了目录服务,它存储了所有其它组件的API连接端点,即它提供了整个openstack集群的用户认证授权,每个组件在连接的时候需要申请什么样的资源都需要经过认证服务(keystone)的认证,获取token后去连接,连接的时候这个连接信息,就是要访问资源的location就
OpenStack安装部署---个人笔记整理
私_有_云
10-19 1027
1、系统安装 apt-get install ntp   ###安装时间服务器程序 nano /etc/ntp.conf      server ntp.ubuntu.com iburst      server 127.127.1.0      fudge 127.127.1.0 stratum 10 service ntp restart apt-get install tgt
openstack--3--控制节点安装配置keystone
weixin_30487701的博客
02-20 440
Keystone介绍 Keystone作用 用户与认证:用户权限与用户行为跟踪: 服务目录:提供一个服务目录,包括所有服务项与相关Api的端点,它是个注册心 用户认证包括:User,Tenant,Token,Role 服务目录包括:Service,Endpoint 服务目录名字介绍 Service Service即服务,如Nova、Glance、...
几分钟搞定 Openstack 环境搭建
何进的博客
02-26 7423
1.[ntp安装] ntp主要为同步时间所用,时间不同步,可能造成你不能创建云主机 yum install chrony  vi /etc/chrony.conf增加   server NTP_SERVER iburst   allow 你的IP地址网段(允许你的ip地址网段可以访问ntp)   systemctl enable chronyd.service(加入系统自启动)
YIIYou are not authorized to perform this action的解决方法
热门推荐
周祥平程序专栏
03-22 1万+
当访问:TblOrders/listdetial时 YII出现You are not authorized to perform this action的提示,是因为当前用户没有访问这个控制器下面的actionlistdetial的权限,只要在accessRules下设置一下该action的访问控制就可以了。 代码如下: public function accessRules() {
Openstack安装部署
cxx2637969257的博客
11-30 2960
系统版本 rhel7.4 关闭 iptables 关闭 selinux foundation1: 172.25.254.1 server1: 172.25.254.11 server2: 172.25.254.12 可参考:https://docs.openstack.org/mitaka/zh_CN/install-guide-rdo/ //选择的mit...
CentOS 7.1 OpenStack Kilo安装教程与关键组件配置
本文档详细介绍了在CentOS 7.1系统安装OpenStack Kilo版本的步骤,包括安装前的准备工作、安装和配置必要的组件,以及具体的实施过程。以下是主要知识点的概述: 1. **安装前准备** - 分配主机IP地址:确保所有...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值