keystone证书_身份组件Keystone

最新推荐文章于 2024-04-08 22:53:42 发布
最新推荐文章于 2024-04-08 22:53:42 发布
阅读量751 收藏
点赞数
文章标签: java python 数据库 大数据 linux
原文链接:https://www.ibm.com/developerworks/cloud/library/cl-openstack-keystone/index.html
版权

本文介绍了OpenStack身份,它为所有其他OpenStack项目提供了一种通用的身份验证方法。

每个多用户服务都需要某种机制来管理谁可以访问该应用程序以及每个人可以执行哪些操作。 私有云也不例外,OpenStack将这些功能简化为一个名为Keystone的单独项目。

Keystone是OpenStack Identity的项目名称,OpenStack Identity是一项通过OpenStack应用程序编程接口(API)提供令牌,策略和目录功能的服务。 与其他OpenStack项目一样,Keystone表示一个抽象层。 它实际上并没有实现任何用户管理功能。 相反,它提供了插件接口,以便组织可以利用其当前的身份验证服务或从市场上的各种身份管理系统中进行选择。

Keystone集成了用于身份验证,策略管理和目录服务的OpenStack功能,包括注册所有租户和用户,对用户进行身份验证并授予令牌进行授权,创建涵盖所有用户和服务的策略以及管理服务端点的目录。 身份管理系统的核心对象是用户-使用OpenStack服务的人,系统或服务的数字表示。 通常将用户分配给称为租户的容器,这些容器隔离资源和身份对象。 租户可以代表客户,帐户或任何组织单位。

身份验证是确定用户身份的过程。 Keystone确认任何传入的功能调用均源于声称提出请求的用户。 它通过测试一组采用凭据形式的声明来执行此验证。 凭证数据的区别在于,只有拥有数据的用户才能访问凭证数据。 它可以包含仅用户知道的数据(用户名,密码或密钥),用户实际拥有的内容(硬件令牌)或用户“是”的数据(虹膜扫描或指纹等生物数据)。

OpenStack身份确认用户的身份后,它将为用户提供一个令牌,该令牌可证实该身份并可用于后续资源请求。 每个令牌都包含一个范围,该范围列出了它所使用的资源。 该令牌仅在有限的时间内有效,如果需要删除特定用户的访问权限,则可以将其撤销。

安全策略是通过基于规则的授权引擎来实施的。 在对用户进行身份验证之后,下一步就是确定授权级别。 Keystone使用称为角色的概念封装了一组权利和特权。 身份服务发出的令牌包括经过身份验证的用户可以承担的角色列表。 然后由资源服务来将用户角色集与所请求的资源操作集进行匹配,并授予或拒绝访问。

Keystone的一项附加服务是用于端点发现的服务目录。 该目录提供了可用服务及其API端点的列表。 端点是网络可访问的地址,例如URL,用户可以从中使用服务。 所有OpenStack服务,包括OpenStack Compute(Nova)和OpenStack Object Storage(Swift)提供端点到Keystone的端点,用户可以通过它们请求资源和执行操作。

建筑

从结构上讲,Keystone很简单。 它处理所有API请求,提供身份,令牌,目录和策略服务。 它被组织为通过API网络公开的一组前端服务:

  • 身份服务会验证身份验证凭据并提供任何关联的元数据。
  • 验证用户凭据后,令牌服务将验证和管理用于验证请求的令牌。
  • 目录服务提供了可用于端点发现的服务注册表。
  • 策略服务公开基于规则的授权引擎。

每个Keystone功能都支持后端插件,以便集成到异构环境中并公开各种功能。 一些较常见的后端包括:

  • 键值存储。 支持主键查找的接口,例如内存字典。
  • Memcached。 分布式内存缓存系统
  • 结构化查询语言(SQL)。 使用SQLAlchemy(Python SQL工具箱和对象关系映射器)持久存储数据
  • 可插拔身份验证模块(PAM)。 使用本地系统的PAM服务进行身份验证
  • 轻型目录访问协议(LDAP)。 通过LDAP连接到后端目录,例如ActiveDirectory®,以对用户进行身份验证并获取角色信息

设定

实际的安装说明在发行版和OpenStack发行版之间有很大差异。 通常,它们是发行版的一部分。 但是,必须完成相同的基本任务。 本节使您对所涉及的内容有所了解。

系统要求

OpenStack依赖于64位x86架构; 否则,它是为商品硬件设计的,因此最低的系统要求是适度的。 可以在具有8GB RAM的单个系统上运行整个OpenStack项目套件。 对于稍大的安装,可以将Keystone服务与其他项目(例如Nova控制器)一起放置。 但是,对于高度可扩展的实现,最好使用专用系统进行身份管理。 一个简单系统的一个很好的起点是带有32GB RAM和两个Gbit网络适配器的四核CPU。

安装

安装说明取决于发行版,更具体地取决于您选择的软件包管理实用程序。 在许多情况下,必须声明存储库。 因此,例如,在Zypper的情况下,您用zypper arlibzypp宣布: 

# zypper ar -f http://download.opensuse.org/repositories/Cloud:/OpenStack:/Grizzly/SLE_11_SP3/Cloud:OpenStack:Grizzly.repo

然后,您安装必需的Keystone软件包,并且软件包管理实用程序应自动安装任何依赖项。 完整的安装过程取决于所需的配置和相关OpenStack的确切版本。 确保查看安装指南以获取权威说明。 为了说明的目的,以下是Debian(例如Ubuntu),Red Hat(Red Hat EnterpriseLinux®,CentOS,Fedora)和openSUSE的主要命令:

  • Debian。 要在基于Debian的系统(例如Ubuntu)上安装Keystone,请使用以下命令: 
    sudo apt-get install keystone
sudo apt-get install python-keystone
sudo apt-get install python-keystoneclient
  • 红帽。 在Red Hat系统上,命令是: 
    sudo yum install openstack-keystone
sudo yum install python-keystone
sudo yum install python-keystoneclient
  • openSUSE。 使用以下命令: 
    sudo zypper install openstack-keystone
sudo zypper install python-keystoneclient

组态

Keystone的主要配置文件是keystone.conf,它位于/ etc / keystone /中。 它标识[auth]部分中指定的所有身份验证插件:

  • methods 。 列出所有身份验证插件名称
  • <plugin name> 。 为每种身份验证方法指定类

例如: 

[auth]
methods = password,token,oauth1
password = keystone.auth.plugins.password.Password
token = keystone.auth.plugins.token.Token
oauth1 = keystone.auth.plugins.oauth1.OAuth

插件没有标准的机制来注册其自己的配置选项,但是在配置文件中具有自己的部分是很常见的。

证明书

许多组织正朝着公钥基础结构迈进,因为它是一种高度可扩展的,基于标准的技术。 它的好处之一是它允许委派信任,这对于身份联合至关重要,但也意味着有必要通过与公认的和受信任的证书颁发机构(CA)的防篡改链接来证明真实性。

实际上,这意味着公用密钥必须使用CA认证的X.509证书进行签名。 对于纯内部实现,可以使用keystone-manage来生成自签名证书,但是在联合环境中,可能需要来自外部CA的证书。

安装由外部CA颁发的证书涉及:

  • 向外部CA请求签名证书
  • 将证书和私钥都转换为增强隐私电子邮件(PEM)格式
  • 通过将.pem文件复制到证书目录来安装外部签名证书

使用场景

身份管理是一项支持功能,其功能远不如大多数其他OpenStack项目那么具体。 应该将其视为简化服务发现并提供执行安全策略的统一方法的启动器。

通过将其分为两个部分来可视化它的使用可能是最容易的。 Keystone中的管理功能定义用户和项目并分配适当的授权。 配置环境后,项目和应用程序可以与Keystone交互以执行查询和验证访问控制。

行政

让我们从第一部分开始,这很容易理解,因为它已映射到Horizo​​n仪表板。 管理员可以创建项目和用户。 可以为用户分配角色并将其聚合为组,以简化管理。

  1. 第一步通常是创建一个项目。 以管理员身份登录到OpenStack仪表板。 在导航窗格中的“标识面板”下,单击“ 项目” >“ 创建项目”
    图1.创建一个新项目
    该图显示了如何在“创建项目”窗口中创建项目
  2. 此时,您只需要名称和描述即可。 您还需要至少一个用户。 在身份面板下,单击用户 > 创建用户
    图2.创建一个用户
    该图显示了如何在“创建用户”窗口中创建用户
  3. 编辑项目。 在身份面板下,单击项目 > 编辑项目
    图3.编辑项目
    该图显示了如何编辑项目
  4. 在“编辑项目”窗口中的“项目成员”选项卡上,您可以编辑项目成员并更改其角色。
    图4.编辑项目成员及其角色
    该图显示了如何编辑项目成员及其角色
  5. 您也可以使用“配额”选项卡来指定项目的限制。 这在多租户环境中特别有用,以确保一个项目不会使用过多的资源并使在同一基础结构上运行的其他关键服务不堪重负。
    图5.指定项目的限制
    该图显示了“配额”选项卡

认证方式

该场景的第二部分是在执行时对服务进行身份验证。 例如,考虑使用OpenStack Swift进行对象存储的应用程序。 无论它是否作为OpenStack计算实例的一部分运行,它都必须能够进行身份验证,这意味着它需要访问有效的凭据。

应用程序首先需要连接到身份验证服务并提供其凭据。 然后,它收到一个身份验证令牌,该令牌可以传递给所有容器和对象操作的OpenStack对象存储。 在某些情况下,可能未为应用程序预配置所有连接参数。 它也可以从Keystone获取这些参数。 例如,它可以查询Keystone以发现它可以访问哪些项目并请求其所需服务的URL。

结论

只要您坚持使用Horizo​​n用户界面,用户管理就不会困难。 它隐藏了内部流程以及与其他用户存储库(例如Active Directory或任何LDAP目录)的任何必要集成。

翻译自: https://www.ibm.com/developerworks/cloud/library/cl-openstack-keystone/index.html

cusi77914
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Openstack组件——Keystone解析
m0_50650953的博客
01-29 1381
Keystone解析一、Keystone简介二、Keystone主要功能三、Keystone基本概念三、Keystone访问流程 一、Keystone简介 Keystone(OpenStack Identity Service)是 OpenStack 框架中负责管理身份验证、服务规则和服务令牌功能的模块。用户访问资源需要验证用户的身份与权限,服务执行操作也需要进行权限检测,这些都需要通过 Keystone 来处理。Keystone类似一个服务总线, 或者说是整个Openstack框架的注册表, 其他服务通过
Keystone身份认证服务
m0_49226664的博客
12-13 2162
Keystone项目的主要目的是为访问openstack的各个组件(nova,cinder,glance...)提供一个统一的验证方式,具体的: openstack是由众多组件构成的一套系统,该系统的功能是对外提供服务,因而我们可以将其定义为一个‘庞大的软件’,没有软件不考虑安全因素,Keystone对于通常的应用场景所不同的是他要解决分布式环境下的统一认证。
python-keystoneclient:OpenStack身份Keystone)客户端。 在opendev.org上维护的代码镜像
05-04
团队和存储库标签 将Python绑定到OpenStack身份API(Keystone) 这是Keystone团队实施的OpenStack Identity API的客户端; 它包含用于OpenStack身份服务的Python API( keystoneclient模块)。 要获得命令行界面支持,请使用 。 软件包安装 -发布管理 -功能规格 -问题跟踪 内容: Python API 通过快速入门: >>> from keystoneauth1.identity import v3 >>> from keystoneauth1 import session >>> from keystoneclient.v3 import client >>> auth = v3.Password(auth_url="http://example.com:5000/v3", username="
深入理解Keystone 认证
Shatty的专栏
09-12 7526
深入介绍了Openstack UUID和PKI两种认证方式。
OpenStack组件——Keyston身份认证服务
weixin_56665913的博客
08-28 2630
1、主要功能 身份认证:对用户进行身份认证,并对应权限范围 用户授权(令牌管理权限):以token令牌的方式标识用户对应拥有的权限范围 用户管理(寻址功能):提供用户访问资源的寻址功能(URL) 服务目录:所有服务的交互/调用,均需要keyston进行认证 ...
keystore生成、导出p12,cer,crt,.key.pem证书文件格式
热门推荐
lijun169的博客
04-09 1万+
1、生成keystore文件 命令行窗口执行如下命令: keytool -genkey -alias ynhr -keyalg RSA -keysize 1024 -keypass 123456 -validity 36500 -keystore test.keystore -storepass 123456 命令解读: -alias别名:ynhr -keyalg 算法:RSA -k...
OpenStack Keystone架构一:Keystone基础
weixin_33831673的博客
11-15 529
一 什么是keystone keystone是OpenStack的身份服务,暂且可以理解为一个'与权限有关'的组件。 二 为何要有keystone Keystone项目的主要目的是为访问openstack的各个组件(nova,cinder,glance...)提供一个统一的验证方式,具体的: openstack是由众多组件构成的一套系统,该系统的功能是...
Openstack之Keystone组件解析
yuiLan0的博客
12-14 719
文章目录KeyStone认证服务前言idntitiy server功能身份认证服务流程keystone工作流程图 KeyStone认证服务 前言 keystone为所有openstack组件提供认证和访问策略访问,它依赖自身REST(基于idntity API)系统进行工作,主要对(但不限于)Swift(对象存储)、Glance(镜像服务)、Nova(计算服务)等进行认证与授权。实际上,授权通过对动作消息来源者请求的合法性进行鉴定。 idntitiy server功能 1、身份认证 :令牌的发访和校验 2、
python keystone_CentOS6.2安装keystone使用命令yum install openstack-utils openstack-keystone python-keyston...
weixin_39665787的博客
12-20 275
结果提示一下错误:Error:Package:python-keystone-2014.1.4-1.el6.noarch(openstack-icehouse)Requires:python-sqlalchemy>=0.7.8Available:python-sqlalchemy-0.5.5-3.el6_2.noarch...结果提示一下错误:Error: Package: python-k...
OpenStack云计算(六)——OpenStack身份管理通过图形界面管理项目、用户和角色,通过图形界面管理项目、用户和角色
最新发布
WZY22502701的博客
04-08 1363
令牌:export OS_TOKEN=”gAAAAABlL_Vw6WMqc_sKN-vUho__IiG0TifDn7EHD34oulS5KoGS6dGYHWS5zbBI0FlsG2UUy08_mgtK886VtvgAo6b5wAegk4BWwJfqzcKnSpErYYyBVfAokqRl2tPPFBTQb90BZN3QCsNIv6rlO6QKaF0jmBdYw3K94D8kMQNhqs6ceQSJO9w”export OS_TOKEN=[令牌ID值]
debian11使用apt安装openstakc组件keystone时,提示报错
轻的博客
02-01 356
apt安装时使用bdconfig-common配置keystone数据库,修改/etc/dbconfig-common/keystone.conf 的allow为%:debian11使用apt安装openstakc组件keystone时,提示报错。:执行keystone初始化数据库失败,修改数据库连接权限即可。
apk的签名加密
solarsaber的专栏
09-10 1833
android apk 上线前加密和签名图文详解
openstack学习一:openstack共享服务之身份服务-keystone
wangli的博客
08-12 1379
OpenStack Identity服务提供单点集成,用于管理身份验证,授权和服务目录。通常是用户与openstack交互的第一个服务。经过身份验证后,最终用户可以使用其身份访问其他OpenStack服务。Identity服务还可以与某些外部用户管理系统(例如LDAP)集成。 用户和服务可以使用由Identity服务管理的服务目录来查找其他服务。每个服务可以有一个或多个端点,每个端点...
Openstack云环境的登录和基本使用
sun7_9的博客
08-02 3821
实验目的: (1) 掌握在Linux虚拟机内搭建Openstack的方法。 (2) 在浏览器中可以运行Openstack客户端。 实验内容及要求: (1) 进行Openstack相关内容的配置和搭建Mysql环境。 (2) 配置好相关内容后,在浏览器运行Openstack客户端。 文章目录一、云计算虚拟机修改原始配置(1)启动分配给自己的云计算虚拟机。(2)修改配置使用系统能自动分配IP地址。(3)修改nova配置。(4)修改MySQL配置。二、云环境的登录和基本使用 一、云计算虚拟机修改原始配置 (1.
keystone认证原理
实践求真知
03-17 4001
一 认证原理图二 UUID认证的原理当用户拿着有效的用户名和密码去keystone认证后,keystone就会返回给他一个token,这个token就是一个uuid。以后用户进行其他操作时,都必须出示这个token。例如当nova接到一个请求后,就会用这个token去向keystone进行请求验证,keystone通过比对token,以及检查token的有效期,来判断token是否合法,然后返回给...
用OpenSSL做自签名的证书(by quqi99)
技术并艺术着
08-19 3309
作者:张华 发表于:2014-04-18 版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明 (http://blog.csdn.net/quqi99 ) 注:csdn居然丢文章,这篇2014年的就丢了,这是从互联网上找到的其他网站的转载备份。 加密技术回顾 非对称加密算法如RSA的特点如下: 1, 公钥加密私钥解密, 大家都可以用我的公钥给我发加密的数据了, 因为只有我有私钥才能解密. 2, 私钥加密公钥解密叫数字签名(例如所谓的UEFI secure boot就是在
openstack keystone 与 数字证书
u014226457的专栏
10-15 1895
各个权威证书机构 有自己的私钥,他们是被微软,被浏览器信任的,所以用户自己操作系统里就有这些机构的公钥 用户可以拿这些公钥去解密这些机构发布的证书 机构还会维护一份证书列表 用户请求访问网站的时候,会请求他的证书 他们根据自己的私钥a,和申请公司的信息,生产证书,这个证书里面包括公司信息,公钥b,以及校验码之类,保证不能被修改 如果有人修改了内容,因为没有证书公司的私钥a
JDK密钥证书管理工具keystore
Guo_guo
09-07 2687
1.查看keystone的类型及已有的数字证书 localhost:ssl ZhengGuangGuo$ localhost:ssl ZhengGuangGuo$ keytool -list -rfc -keystore jssecacerts 输入密钥库口令: 密钥库类型: JKS 密钥库提供方: SUN 您的密钥库包含 96 个条目 别名: digicertassuredidro
OpenStack认证服务Keystone身份管理与授权的核心组件
OpenStack的认证服务Keystone是OpenStack框架的核心组件之一,专门负责身份验证、服务规则和令牌管理。作为OpenStack Identity API的主要实现者,Keystone扮演着服务总线的角色,它充当整个OpenStack架构中的注册...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值