Identity service,对应代码项目为Keystone,是OpenStack默认的身份管理系统,是OpenStack众多服务中的一个,用以对用户进行认证和鉴权,是访问OpenStack其他服务的基础。
Identity service支持基于Token的认证和基于“用户-服务”的授权,以REST API的形式提供服务。
1.Identity service的版本
- Identity service v1,没有正式发布。
- Identity service v2,从OpenStack的Mitaka版本开始deprecated,在OpenStack的Queens版本移除主要功能,仅保留其中的ec2tokens API。至OpenStack的T版本将完全移除。
- Identity service v3,OpenStack的Liberty版本开始提供。
2.Identity service的安装
1)安装MySQL数据库管理系统
CREATE DATABASE keystone
2)安装(包括Apache HTTP服务器和mod_wsgi模块)
yum install openstack-keystone httpd mod_wsgi
3)配置文件/etc/keystone/keystone.conf
4)使用keystone命令行工具keystone-manage
- 初始化
- 启动,管理端口http://controller:35357/v3/,公共服务端口http://controller:5000/v3/
3.Identity service的认证机制
采用PKI,Public Key Infrastructure,三要素如下: