深入理解Keystone 认证

最新推荐文章于 2023-06-26 00:07:43 发布
最新推荐文章于 2023-06-26 00:07:43 发布
阅读量7.3k 收藏 11
点赞数 2
分类专栏: openstack
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shatty/article/details/48392401
版权

最近在搞keystone,学习一下keystone的几种认证方式:UUID, PKI。

 

UUID 认证流程

 

1.用户输入用户名密码,发送给keystone。Horizon登陆时候输入的用户密码或者CLI中的source的用户名密码环境变量。

2.Keystone验证用户名密码,并且生成token(UUID),发送给客户端。

3.客户端缓存UUID token

4.客户端发送具体的执行请求(nova boot)和UUID给keystone。

5.Keystone从http请求中获取token,并检查token是否有效

6.Token有效,处理请求,并返回客户端请求结果

7.Token失效,拒绝客户端请求,返回401。

 

PKI认证

通过keystone-manage pki_setup生成私钥及自签署证书。

 

对与pki(包括pkiz)认证方式,keystone相当于一个权威的认证中心,他用自己和的私钥证书对用户的token进行签名。 OpenStack服务中的每一个API Endpoint都有一份keystone签发的证书,失效列表和根证书。API不用在直接去keystone认证token是否合法,只需要根据keystone的证书和失效列表就可以确定token是否合法。但是这里还是会有每次都需要请求keystone去获取失效列表的操作,不可避免。

 

 

两种格式各有优劣,最大的不同是UUID必须每次都经过Keystone才能认证,而PKI是自包含的,service可以自己根据标准算法来检查签名, 这样的好处就是提高了验证效率,Keystone不会成为整个Openstack的瓶颈。但是PKI token也带来了一个问题,因为PKI token包含了很多元数据以及catalog等信息,会很大,不仅带来了网络开销,而且可能超出一些服务器的限制,引发异常

 

PKI认证流程大部分和UUID相似,可以对比上边两个图。只有下边几处不相同。

1) CMS格式的token

CMStoken包含三部分:service catalog,user role 和metadata。实例如下:

{
   "access": {
       "metadata": {
           ....metadata goes here....
       },
       "serviceCatalog": [
           ....endpoints goes here....
       ],
       "token": {
           "expires": "2013-05-26T08:52:53Z",
           "id": "placeholder",
           "issued_at": "2013-05-25T18:59:33.841811",
           "tenant": {
               "description": null,
               "enabled": true,
               "id": "925c23eafe1b4763933e08a4c4143f08",
               "name": "user"
           }
       },
       "user": {
           ....userdata goes here....
       }
   }
}

2) Token的验证

Token的验证包含三个方面:token的签名,token是否失效和token是否已经在撤销列表。

用openssl cms -verify -certfile /tmp/keystone-signing-nova/signing_cert.pem -CAfile /tmp/keystone-signing-nova/cacert.pem -inform PEM -nosmimecap -nodetach -nocerts -noattr < cms_token命令验证token签名。

根据expiration date判断token是否失效

向keystone查询token是否已经在撤销列表。

 

 

Openstack相关技术交流请加群:314889201


zsl6658
关注
  • 2
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
keystone证书_身份组件Keystone
cusi77914的博客
06-21 726
本文介绍了OpenStack身份,它为所有其他OpenStack项目提供了一种通用的身份验证方法。 每个多用户服务都需要某种机制来管理谁可以访问该应用程序以及每个人可以执行哪些操作。 私有云也不例外,OpenStack将这些功能简化为一个名为Keystone的单独项目。 Keystone是OpenStack Identity的项目名称,OpenStack Identity是一项通过Op...
keystone介绍
热门推荐
Fivestar_wang的专栏
09-27 1万+
keystone简介 keystone(openstack identity service)是openstack框架中负责身份验证、服务规则和服务令牌的功能, 它实现了openstack的Identity API。 keystone类似一个服务总线,或者说是挣个openstack框架的注册表, 其他服务通过keystone来注册其服务的Endpoint(服务访问的URL),任何服务之间的相互调
网络安全——身份认证与PKI原理
Yushiba972的博客
10-17 5124
文章总结了网络安全中PKI系统的组成以及特点、运作机制,并介绍了RADIUS协议、Kerberos协议、SSL协议三大身份认证协议。
PKI的工作机制
zljszn的博客
10-17 2290
实体使用自己的私钥解密,并验证消息认证码的参考值和秘密值。证书的公钥进行加密,而且证书注册请求消息必须包含消息认证码的参考值和秘密值(与。使用自己的私钥解密后,并验证消息认证码的参考值和秘密值。实体的额外证书中的公钥进行加密和自己的私钥进行数字签名,将证书发送给。实体的额外证书中的公钥解密数字签名并验证数字指纹。实体的公钥进行加密和自己的私钥进行数字签名,将证书发送给。实体的公钥解密数字签名并验证数字指纹。实体间互相通信时,需各自获取并安装对端实体的本地证书。证书的公钥进行加密和自己的私钥进行数字签名。
openstack—keystone身份认证服务
weixin_50344820的博客
01-31 1071
文章目录keystone身份服务功能 keystone身份服务功能 身份认证:令牌管理、访问控制 在经过身份认证后,提供路径指引服务 用户授权:授权用户在一个服务中所拥有的权限 用户管理:管理用户账户 服务目录:提供可用于服务的API端点 ...
OpenStack——认证服务Keystone
02-24
Keystone(OpenStackIdentityService)是OpenStack框架中,负责身份验证、服务规则和服务令牌的功能,它实现了OpenStack的IdentityAPI。Keystone类似一个服务总线,或者说是整个...Authentication(认证)和Aut
Openstack组件实现原理—Keystone认证功能
01-27
Keystone实现始终围绕着Keystone所实现的功能来展开,所以在理解其实现之前,建议大家尝试通过安装Keystone这一个过程来感受Keystone在Openstack架构中所充当的角色。下面给出了Keystone-M的安装过程。Keystone安装...
Keystone使用总结
02-28
keystone的安装部署、使用以及二次开发的角度进行了总结。
openstack手动安装部署(四) --- Keystone认证任务
swag_An的博客
01-15 545
Keystone认证任务一、Keystone认证任务1、实验目的2、Keystone认证流程3、安装MySQL服务3.1、安装mysql服务3.2、安装Rabbitmq消息队列4、安装keystone4.1、Keystone的安装与配置4.2、keystone创建user,tenant,role,和endpoint**排错** 一、Keystone认证任务 认证 认证是确认允许一个用户访问的进...
openstack(T版):keystone认证
Ryougi_Shiki_uio的博客
08-24 540
keystone身份认证服务 keystone的主要功能 keystone的管理对象 keystone认证流程 keystone服务的部署
PKI-CA数字证书验证过程
海绵汽水的博客
03-01 3489
签名:私钥 加密 HASH值。 公钥解密 加密数据:公钥加密,私钥解密。 数字证书:CA 颁发者 有效期 使用者 序列号 公钥 指纹算法 指纹 注:CA证书服务器 ...
Openstack架构构建及详解(2)--keystone组件,java面试没问技术
m0_64383449的博客
11-26 416
Service(服务) OpenStack服务,例如计算服务(nova),对象存储服务(swift),或镜像服务(glance)。它提供了一个或多个端点,供用户访问资源和执行操作。 Endpoint(端点) 一个用于访问某个服务的可以通过网络进行访问的地址,通常是一个URL地址。 Role(角色) 定制化的包含特定用户权限和特权的权限集合Keystone Client(keystone命令行工具) Keystone的命令行工具。通过该工具可以创建用户,角色,服务和端点等。。。 实例理解: **用户:张三 凭
OpenStack(T版)——身份认证(Keystone)服务介绍与安装
最新发布
不知道
06-26 2645
OpenStack(T版)——身份认证(Keystone)服务介绍与安装
OpenStack Victoria搭建(五) Keystone认证服务
qq_40277608的博客
07-01 1162
OpenStack环境搭建,keystone
Keystone 用户认证
公众号
11-01 1812
Keystone 用户认证   1、keystone简介     keystone认证,因为版本原因,同样也分为version 2与version 3,并且version2与3分属不同模块(下述所指模块均基于keystone),version2的代码集中于keystone.token模块,version3的代码集中于keystone.auth模块。 keystone各部件的代码组成主要包括rou
keystone组件作用以及验证流程
weixin_34123613的博客
01-16 1456
在开源社区openstack官网的介绍中keystone作为第一个组件被介绍,足以显示其在整个OpenStack架构中的重要地位,那么keystone在OpenStack架构中到底扮演者什么角色,今天就和大家聊一下 OpenStack第一个组件keystonekeystone组件在整个OpenStack架构中主要是负责用户和服务的认证授权的,详细的分为其作用可以分成2大部分,第一个部分是 负责用...
云计算|OpenStack|社区版OpenStack安装部署文档(三 --- 身份认证服务keystone安装部署---Rocky版)
zsk_john的技术分享专用博客
01-31 1752
初始化keystone认证服务 1)创建 keystone 用户,初始化的服务实体和API端点 # 在之前的版本(queens之前),引导服务需要2个端口提供服务(用户5000和管理35357),本版本通过同一个端口5000提供服务.这个优化非常nice,减少了很多出错几率 # 创建keystone服务实体和身份认证服务,以下三种类型分别为公共的、内部的、管理的。
OpenStack之keystone
weixin_45039547的博客
11-03 1470
keystone的功能及认证流程
OpenStack之keystone(身份认证服务)
yemu880的博客
08-29 5364
keystone概述 概念 Keystone (OpenStack ldentity Service)是OpenStack中的一个独立的提供安全认证的模块,主要负责openstack用户的身份认证、令牌管理、提供访问资源的服务目录、以及基于用户角色的访问控制。 Keystone类似一个服务总线,或者说是整个Openstack框架的注册表,其他服务通过keystone来注册其服务的Endpoint(服务访问的URL),任何服务之间相互的调用,需要经过Keystone的身份验证,来获得目标服务的Endpoi
keystone认证服务流程
06-08
Keystone是OpenStack项目中的认证服务,用于管理用户、角色和权限等身份认证相关的信息。其认证服务的流程如下: 1. 用户向Keystone发送认证请求,包括用户名和密码。 2. Keystone根据用户名和密码验证用户身份,如果验证正确,则颁发一个认证Token。 3. 用户在向其他OpenStack服务发起请求时,需要携带此Token。 4. 其他服务在收到请求后,将Token发送给Keystone进行验证。 5. Keystone验证Token的有效性,如果Token有效,则会向其他服务返回请求的数据。 需要注意的是,在验证Token的过程中,Keystone会验证Token的签名和过期时间,以确保Token的合法性和有效性。此外,Keystone还可以通过配置来支持其他的身份认证方式,例如LDAP、OAuth等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值