openstack中的身份管理

最新推荐文章于 2023-02-03 16:59:53 发布
最新推荐文章于 2023-02-03 16:59:53 发布
阅读量1.4k 收藏
点赞数
分类专栏: 云计算-openstack 文章标签: openstack keystone network 云服务

原文:http://blog.csdn.net/xxfigo/article/details/8785748

原作者关于openstack的一系列文章http://blog.csdn.net/xxfigo/article/category/1151758

基本概念

身份服务有两个主要功能:

1、用户管理:记录用户和他们的权限

2、服务目录:提供可用服务和该服务api的终端地址

身份服务定义了一些非常值得理解的定义:

用户(User):使用OpenStack云服务的人、系统、服务的数字表示。身份验证服务验证用户传入的请求。用户登录可能被赋予访问资源的令牌。用户可能直接被指定给一个特定租户,好像用户在这个租户中一样。

认证信息(Credentials):用户持有的,一般情况下只有这个用户知道的数据。用户能够使用这个数据来证明他的身份(因为没有其他人知道这个数据)。例如:

  • 配对的用户名和密码
  • 配对的用户名和API key
  • 自己和有你本人照片的驾驶证
  • 颁发给你不被其他人知道的令牌
认证(Authentication):在认证服务背景下,认证是确认用户身份和请求正确性的动作。身份服务确认传入的请求来自于有请求权限的用户。这些请求最初以一系列验证信息的形式出现(用户名和密码,或用户名和API key)。经过初始验证后,身份服务会颁发给用户一个令牌,在后续请求时用户可以用这个令牌说明他们的身份已经经过认证。

令牌(Token):令牌是用来访问资源的任意比特的文本。每个令牌有一个访问范围。令牌可在任意时间收回,并在一个有限的时间内有效。在Folsom版本中身份服务支持基于令牌的认证,未来将会支持额外的协议。首要目的是集成服务,不渴望成为一个成熟的身份存储和管理方案。


租户(Tenant):用来分组或隔离资源和(或)身份对象的容器。根据服务运营商,租户可以映射成一个客户、账户、组织或项目。

服务(Service):一个OpenStack服务,例如计算(nova),对象存储(swift)或镜像服务(glance)。服务提供一个或多个用户可以访问资源和执行(可能有用的)操作的端点。

端点(Endpoint):一个可通过网络访问的服务地址,通常使用URL描述。如果使用扩展,可以创建端点模板,它代表了所有可跨区域访问的服务。

角色(Role):可执行一特定系列操作的用户特性。角色包括一系列权利和特权。用户可继承其所属角色的权利和特权。在身份服务中,颁发给用户的令牌包括用户能承担的角色列表。这个用户调用的服务决定他们怎样解释这个用户所属的角色,以及每个角色授予访问的操作和资源。


用户管理

用户身份管理有三个主要的概念:

  • 用户Users
  • 租户Tenants
  • 角色Roles
用户代表一个人,他持有相关的信息,例如用户名、密码、电子邮件。下面的例子是创建一个名为“alice”的用户:

[plain]  view plain copy
  1. $ keystone user-create --name=alice --pass=mypassword123 --email= alice@example.com  

租户可以看做是一个项目、分组或组织。当你向OpenStack服务发送请求时,你必须之地一个租户。例如如果你要向计算服务请求查询运行实例的列表,你将收到在你查询里指定租户内的运行实例列表。下面的例子创建一个名为“acme”的租户。

[plain]  view plain copy
  1. $ keystone tenant-create --name=acme  

注意!因为在以前的OpenStack计算版本中使用术语“项目”来代替租户,一些命令行工具使用--project_id代替--tenant-id或--os-tenant-id指定租户ID。

角色归纳了给定租户下允许用户执行的操作。以下例子创建一个名为“compute-user"的角色:

[plain]  view plain copy
  1. $ keystone role-create --name=compute-user  

注意!这取决于单个的服务(比如计算服务和镜像服务)分配这些角色的意义。至于身份服务而言,角色只是一个简单的名字。

身份服务将一个用户与租户、角色关联。继续我们前面的例子,我们希望在租户“acme”中给用户”alice”分配“compute-user”权限。

[plain]  view plain copy
  1. $ keystone user-list  
  2. +--------+---------+-------------------+--------+  
  3. | id | enabled | email | name |  
  4. +--------+---------+-------------------+--------+  
  5. | 892585 | True | alice@example.com | alice |  
  6. +--------+---------+-------------------+--------+  
  7. $ keystone role-list  
  8. +--------+--------------+  
  9. | id | name |  
  10. +--------+--------------+  
  11. | 9a764e | compute-user |  
  12. +--------+--------------+  
  13. $ keystone tenant-list  
  14. +--------+------+---------+  
  15. | id | name | enabled |  
  16. +--------+------+---------+  
  17. | 6b8fd2 | acme | True |  
  18. +--------+------+---------+  
  19. $ keystone user-role-add --user=892585 --role=9a764e --tenant-id=6b8fd2  

可以在不同的租户中给用户分配不同的角色。例如Alice可以在租户“Cyberdyne”中拥有“admin”角色。在同一个租户中,也可以给用户分配多个角色。

/etc/[SERVICE_CODENAME]/policy.json控制给定服务允许用户进行的操作。例如/etc/nova/policy.json指定计算服务的访问策略,/etc/glance/policy.json指定镜像服务的访问策略,/etc/keystone/policy.json指定身份服务的访问策略。

计算、身份、镜像服务中默认的policy.json文件只有一个“admin"角色:里面所有不需要admin角色的操作可以被租户中任意角色的用户访问。

如果你希望在例如计算服务中限制用户执行操作,你需要在身份服务中创建角色,然后修改/etc/nova/policy.json文件使这个角色应用到计算操作中。

例如,下面/etc/nova/policy.json中的这一行指定对用户创建卷不做限制:不论用户在租户中是有何种角色,他们都可以在租户中创建卷。

[plain]  view plain copy
  1. "volume:create":[],  
如果你希望限制当前租户中有”compute-user"角色的用户才能创建卷,可以增加“role:compute-user",例如这样:

[plain]  view plain copy
  1. "volume:create": ["role:compute-user"],  

如果我们希望限制所有的计算服务请求都需要这个角色,策略文件是这样的:

[plain]  view plain copy
  1. {  
  2. "admin_or_owner": [["role:admin"], ["project_id: %(project_id)s"]],  
  3. "default": [["rule:admin_or_owner"]],  
  4. "compute:create": ["role":"compute-user"],  
  5. "compute:create:attach_network": ["role":"compute-user"],  
  6. "compute:create:attach_volume": ["role":"compute-user"],  
  7. "compute:get_all": ["role":"compute-user"],  
  8. "admin_api": [["role:admin"]],  
  9. "compute_extension:accounts": [["rule:admin_api"]],  
  10. "compute_extension:admin_actions": [["rule:admin_api"]],  
  11. "compute_extension:admin_actions:pause": [["rule:admin_or_owner"]],  
  12. "compute_extension:admin_actions:unpause": [["rule:admin_or_owner"]],  
  13. "compute_extension:admin_actions:suspend": [["rule:admin_or_owner"]],  
  14. "compute_extension:admin_actions:resume": [["rule:admin_or_owner"]],  
  15. "compute_extension:admin_actions:lock": [["rule:admin_api"]],  
  16. "compute_extension:admin_actions:unlock": [["rule:admin_api"]],  
  17. "compute_extension:admin_actions:resetNetwork": [["rule:admin_api"]],  
  18. "compute_extension:admin_actions:injectNetworkInfo": [["rule:admin_api"]],  
  19. "compute_extension:admin_actions:createBackup": [["rule:admin_or_owner"]],  
  20. "compute_extension:admin_actions:migrateLive": [["rule:admin_api"]],  
  21. "compute_extension:admin_actions:migrate": [["rule:admin_api"]],  
  22. "compute_extension:aggregates": [["rule:admin_api"]],  
  23. "compute_extension:certificates": ["role":"compute-user"],  
  24. "compute_extension:cloudpipe": [["rule:admin_api"]],  
  25. "compute_extension:console_output": ["role":"compute-user"],  
  26. "compute_extension:consoles": ["role":"compute-user"],  
  27. "compute_extension:createserverext": ["role":"compute-user"],  
  28. "compute_extension:deferred_delete": ["role":"compute-user"],  
  29. "compute_extension:disk_config": ["role":"compute-user"],  
  30. "compute_extension:extended_server_attributes": [["rule:admin_api"]],  
  31. "compute_extension:extended_status": ["role":"compute-user"],  
  32. "compute_extension:flavorextradata": ["role":"compute-user"],  
  33. "compute_extension:flavorextraspecs": ["role":"compute-user"],  
  34. "compute_extension:flavormanage": [["rule:admin_api"]],  
  35. "compute_extension:floating_ip_dns": ["role":"compute-user"],  
  36. "compute_extension:floating_ip_pools": ["role":"computeuser"],  
  37. "compute_extension:floating_ips": ["role":"compute-user"],  
  38. "compute_extension:hosts": [["rule:admin_api"]],  
  39. "compute_extension:keypairs": ["role":"compute-user"],  
  40. "compute_extension:multinic": ["role":"compute-user"],  
  41. "compute_extension:networks": [["rule:admin_api"]],  
  42. "compute_extension:quotas": ["role":"compute-user"],  
  43. "compute_extension:rescue": ["role":"compute-user"],  
  44. "compute_extension:security_groups": ["role":"compute-user"],  
  45. "compute_extension:server_action_list": [["rule:admin_api"]],  
  46. "compute_extension:server_diagnostics": [["rule:admin_api"]],  
  47. "compute_extension:simple_tenant_usage:show": [["rule:admin_or_owner"]],  
  48. "compute_extension:simple_tenant_usage:list": [["rule:admin_api"]],  
  49. "compute_extension:users": [["rule:admin_api"]],  
  50. "compute_extension:virtual_interfaces": ["role":"computeuser"],  
  51. "compute_extension:virtual_storage_arrays": ["role":"computeuser"],  
  52. "compute_extension:volumes": ["role":"compute-user"],  
  53. "compute_extension:volumetypes": ["role":"compute-user"],  
  54. "volume:create": ["role":"compute-user"],  
  55. "volume:get_all": ["role":"compute-user"],  
  56. "volume:get_volume_metadata": ["role":"compute-user"],  
  57. "volume:get_snapshot": ["role":"compute-user"],  
  58. "volume:get_all_snapshots": ["role":"compute-user"],  
  59. "network:get_all_networks": ["role":"compute-user"],  
  60. "network:get_network": ["role":"compute-user"],  
  61. "network:delete_network": ["role":"compute-user"],  
  62. "network:disassociate_network": ["role":"compute-user"],  
  63. "network:get_vifs_by_instance": ["role":"compute-user"],  
  64. "network:allocate_for_instance": ["role":"compute-user"],  
  65. "network:deallocate_for_instance": ["role":"compute-user"],  
  66. "network:validate_networks": ["role":"compute-user"],  
  67. "network:get_instance_uuids_by_ip_filter": ["role":"computeuser"],  
  68. "network:get_floating_ip": ["role":"compute-user"],  
  69. "network:get_floating_ip_pools": ["role":"compute-user"],  
  70. "network:get_floating_ip_by_address": ["role":"compute-user"],  
  71. "network:get_floating_ips_by_project": ["role":"computeuser"],  
  72. "network:get_floating_ips_by_fixed_address": ["role":"computeuser"],  
  73. "network:allocate_floating_ip": ["role":"compute-user"],  
  74. "network:deallocate_floating_ip": ["role":"compute-user"],  
  75. "network:associate_floating_ip": ["role":"compute-user"],  
  76. "network:disassociate_floating_ip": ["role":"compute-user"],  
  77. "network:get_fixed_ip": ["role":"compute-user"],  
  78. "network:add_fixed_ip_to_instance": ["role":"compute-user"],  
  79. "network:remove_fixed_ip_from_instance": ["role":"computeuser"],  
  80. "network:add_network_to_project": ["role":"compute-user"],  
  81. "network:get_instance_nw_info": ["role":"compute-user"],  
  82. "network:get_dns_domains": ["role":"compute-user"],  
  83. "network:add_dns_entry": ["role":"compute-user"],  
  84. "network:modify_dns_entry": ["role":"compute-user"],  
  85. "network:delete_dns_entry": ["role":"compute-user"],  
  86. "network:get_dns_entries_by_address": ["role":"compute-user"],  
  87. "network:get_dns_entries_by_name": ["role":"compute-user"],  
  88. "network:create_private_dns_domain": ["role":"compute-user"],  
  89. "network:create_public_dns_domain": ["role":"compute-user"],  
  90. "network:delete_dns_domain": ["role":"compute-user"]  
  91. }  
天魂地煞
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
openstack 权限控制 (添加自定义角色)keystone等组件
weixin_33963594的博客
12-21 1187
每一个平台、系统都会对于用户的权限进行严格的管理与控制。 openstack是一个开源的项目,我们可以直接下载其源码,进行更改以达到我们的要求。 这里只是针对于用户的权限进行管理,以keystonekeystone是使用policy.json定义权限,其它openstack组件也是一样的,都是存在文件policy.json(在这文件保证的是该组件对于用户身份管理 权限的控制...
openstack身份管理
肖飞figo的云计算专栏
04-11 7961
基本概念 身份服务有两个主要功能: 1、用户管理:记录用户和他们的权限 2、服务目录:提供可用服务和该服务api的终端地址 身份服务定义了一些非常值得理解的定义: 用户(User):使用OpenStack云服务的人、系统、服务的数字表示。身份验证服务验证用户传入的请求。用户登录可能被赋予访问资源的令牌。用户可能直接被指定给一个特定租户,好像用户在这个租户一样。 认证信息(Cred
openstack----Keystone身份服务
weixin_49226813的博客
12-11 276
目录Keystone是什么 ?Keystone身份服务主要功能Keystone管理对象Keystone认证流程图Keystone搭建 Keystone是什么 ? Keystone(OpenStack Identity Service)是 OpenStack 框架负责管理身份验证、服务规则和服务令牌功能的模块。用户访问资源需要验证用户身份与权限,服务执行操作也需要进行权限检测,这些都需要通过 Keystone 来处理。Keystone类似一个服务总线, 或者说是整个Openstack框架的注册表, 其他服
OpenStack主要逻辑模块–Keystone身份验证服务
weixin_33995481的博客
04-18 354
Keystone作为Openstack的核心模块,为Nova(计算),Glance(镜像),Swift(对象存储),Cinder(块存储),Neutron(网络)以及Horizon(Dashboard)提供认证服务Keystone基本概念介绍之一User User即用户,他们代表可以通过keystone进行访问的人或程序。Users通过认证信息(credentials,如密码...
openstack学习一:openstack共享服务之身份服务-keystone
wangli的博客
08-12 1372
OpenStack Identity服务提供单点集成,用于管理身份验证,授权和服务目录。通常是用户openstack交互的第一个服务。经过身份验证后,最终用户可以使用其身份访问其他OpenStack服务。Identity服务还可以与某些外部用户管理系统(例如LDAP)集成。 用户和服务可以使用由Identity服务管理的服务目录来查找其他服务。每个服务可以有一个或多个端点,每个端点...
OpenStack认证管理
03-20
通过对OpenStack认证管理的学习,特别是Keystone的核心概念和技术细节的深入了解,可以帮助我们更好地理解OpenStack的安全体系结构,从而有效地管理和保护云计算环境的资源。同时,实践操作的练习将进一步加强理论...
OpenStack镜像管理
最新发布
03-20
- **定义**: Glance是OpenStack项目的一项关键服务,它主要用于管理虚拟机镜像,包括镜像的发现、注册及检索。 - **作用**: - 提供了一个统一的接口用于管理各种类型的虚拟机镜像。 - 支持多种存储后端,如本地...
OpenStack安装部署管理常见问题解决方法
03-02
控制节点包括网络控制、调度管理、api服务、存储卷管理、数据库管理身份管理和镜像管理等,计算节点主要提供nova-compute服务。控制节点的服务可以分开在多个节点,我们把提供nova-network服务的节点称为网络控制...
openstack kilo 文安装文档
01-18
OpenStack由多个核心项目组成,每个项目负责云计算架构的一个特定功能。主要包括: - Compute(Nova):提供虚拟机的管理功能。 - Identity Service(Keystone):管理身份认证、授权、服务目录等。 - ...
openstack 权限管理
Lan Qi Song 的博客
10-17 9483
针对openstack kilo版本 几乎大部分跟用户相关的系统都需要对用户相关的权限进行管理,当然也包括云平台系统。 比如:在Openstack,只有具有管理员角色的用户才能管理aggregate,才能创建和更改flavor。普通租户只能查看和管理本租户内的虚拟机及相关资源等等, 这些都需要通过一套权限管理机制来实现。 社区的Openstack对权限管理
openstack_项目与用户管理
wang_san_shi的专栏
04-30 7511
openstack_项目与用户管理 1、项目或租户? 在OpenStack用户界面和一些文档,有时候你会看到“项目”是指一组用户,而有时候你会也看到用来替代“租户”,这两种术语是可以通用的。 2、管理项目 一个用户必须至少属于一个项目,也可以属于多个项目。因此,您应该至少添加一个项目,然后再添加用户。 2.1 添加项目 通过仪表盘来创建一个项目: 用
openstack平台开放镜像权限
不知道
02-03 1056
OpenStack平台开放镜像权限
openstack的 oslo_policy的权限验证简单分析
linyonghui1213的专栏
09-05 1662
openstack,权限校验的是通过oslo_policy的进行权限的校验,本文主要基于 newton版本的olso_policy进行简单的说明。 policy配置文件内容 { "context_is_admin": "role:admin", "admin_or_owner": "is_admin:True or project_id:%(project_id)s",
OpenStack 的部署(one)
m0_53432902的博客
05-20 592
一、环境配置 1、控制节点ct CPU 双核双线程-CPU虚拟化开启 内存8G 硬盘:300G+1024G(CEPH块存储) 双网卡 VMnet1(局域网)192.168.100.20 / NAT-192.168.37.100 操作系统 Centos 7.6(1810)——最小化安装 2、计算节点c1 CPU 双核双线程-CPU虚拟化开启 内存8G 硬盘:300G+1024G(CEPH块存储) 双网卡 VMnet1(局域网)192.168.100.30 NAT
openstack policy机制
wuyongpeng的专栏
08-11 2196
一、什么是policy policy策略,是OpenStack用来约束不同等级用户的操作权限,用于自定义权限管理的一种机制。 二、为什么要用policy 1、基于keystone理解policy Keystone有User(用户)、Project(租户)、role(角色)三个概念,使用基本流程为: 1)创建租户 2)创建用户 3)创建角色 4)给用户和租户赋予角色 赋予角色之后,角色还只是一个空的概念定义,没有实际意义。真正限制用户角色执行具体action操作的,是policy.json.
OpenStack Cinder服务启动过程的资源加载和扩展源码解析之一
溜溜小哥
03-25 4713
OpenStack Cinder服务启动的过程,对/cinder/api/contrib/和/cinder/api/v1/和/cinder/api/v2/下定义的功能进行了加载,那么具体是如何实现功能的加载,并且如何进行自定义功能的实现呢,这篇博客将会进行具体的分析。 在前面的博客cinder服务启动源码分析
OpenStack命令操作【Openstack证书考试 2022】
qq_47848696的博客
04-22 4111
一、keystone 身份认证服务 1.1、配置用户环境变量 1、切换用户(admin):source /home/devstack/openrc admin 2、获取所有用户列表: openstack user list 3、获取环境变量 :export | grep OS 其: OS_AUTH_TYPE=“password” : “密码验证 OS_AUTH_URL=“http://172.25.0.10/identity” : keyston
openstack用户管理笔记
m0_56539278的博客
05-25 1984
1、创建项目 1.1、创建项目 需要确认集群环境是否初始化完毕,实验初始化需要几分钟时间,访问控制节点IP/dashboard,如果正常弹出登录页面即初始化完毕,假设控制节点IP为172.20.6.22,则访问地址为:172.20.6.22/dashboard 项目用于将OpenStack的资源的分组和隔离(资源包括:计算,存储和网络)。 域:default,用户名:admin,密码:zhitu2017 在超级管理员admin登录状态下,点击“身份管理”下的“项目” 点击创建项目,在项.
二·Openstack 管理项目与用户
热门推荐
My
04-10 1万+
(本文所有提及OSP=OpenStack Platform) 1 管理项目 1) OpenStack 项目简介: ● Linux 通过实施用户和组来控制对操作系统资源的访问 ● OSP 利用域、项目、组和用户来组织OpenStack 资源 ● admin 用户可用于登录Horizon 控制面板或通过命令行管理OpenStack。此 ● admin ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值