深挖Openstack keystone - 源码分析(1)

最新推荐文章于 2024-07-04 02:59:49 发布
最新推荐文章于 2024-07-04 02:59:49 发布
阅读量1.3k 收藏
点赞数
分类专栏: 深挖OpenStack 文章标签: OpenStack 云计算
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011692924/article/details/80886559
版权
本文主要探讨了OpenStack Keystone的Policy策略机制,详细介绍了如何通过policy.json文件实现用户角色权限管理。此外,还剖析了Keystone组件间的关系,包括各组件的routes.py、controller.py、core.py和driver的实现。同时,提到了/etc/keystone-paste.ini中定义的公共服务mainservice和管理员服务adminservice的功能与区别。
摘要由CSDN通过智能技术生成

一.  Policy策略

Policy机制就是用来控制某一个User在某个Tenant中某个操作的权限。对于Keystone服务来说,policy就是一个json文件,默认是/etc/keystone/policy.json。

{
    "admin_required": "role:admin",
    "cloud_admin": "rule:admin_required and domain_id:admin_domain_id",
    "service_role": "role:service",
    "service_or_admin": "rule:admin_required or rule:service_role",
    "owner": "user_id:%(user_id)s or user_id:%(target.token.user_id)s",
    "admin_or_owner": "(rule:admin_required and domain_id:%(target.token.user.domain.id)s) or rule:owner",
    "admin_or_cloud_admin": "rule:admin_required or rule:cloud_admin",
    "admin_and_matching_domain_id": "rule:admin_required and domain_id:%(domain_id)s",
    "service_admin_or_owner": "rule:service_or_admin or rule:owner",
}

通过配置这个文件&

最低0.47元/天 解锁文章
熊孩子会撒野
关注
专栏目录
Openstack源代码分析keystone部分(一)--WSGI接口流程分析
戏笔
11-02 4821
前面分析keystone服务的启动工作,那启动后我们是怎么通过WSGI接口访问其中的服务的呢? keystone-paste.ini配置文件最下面 [composite:main] use = egg:Paste#urlmap /v2.0 = public_api [composite:admin] use = egg:Paste#urlmap /v2.0 = admin_
Openstack源代码分析keystone服务(keystone-all)
戏笔
10-27 4476
!在调试keystone遇到问题,evenlet线程出错,解决办法参考: http://adam.younglogic.com/2012/12/keystone-and-eclipse-pydev/,主要是在调试keystone-all时增加启动参数,–standard-threads解决,其实里面也有说明,在用pydev调试是需要将ma !原因:cannot switch to a diffe
openstack之:keystone 学习总结记录
magices的博客
08-23 3057
在了解 keystone 之前,我们来简单介绍下用户身份校验大概有几种方式 广义认证方式简介 广义上讲,用户身份认证并不仅限于领域。广义上的身份识别技术有如下几种:静态密码、动态密码(短信密码、动态口令牌)、令牌、USB KEY、数字证书、生物识别技术。 在以上几种认证方式中,我们IT人员在数据中心通常能够遇到的是:静态密码、动态口令牌、数字证书、令牌认证(token)。 静态密码 在四种认证方式中,最常见的就是静态密码。如果要加强动态密码的安全性,通常是通过增加密码的复杂度,设置密码过期时间的方法。大多数
如何优雅的阅读openstack源代码?
最新发布
weixin_36652455的博客
07-04 29
要优雅地阅读OpenStack源代码,可以遵循以下步骤:部署单节点OpenStack环境:首先,建议部署一个单节点的OpenStack环境。你可以使用RDO(Red Hat OpenStack Distribution)的Packstack quickstart工具来快速部署。如果你喜欢折腾,也可以使用devstack。选...
OpenStack Keystone 源码解析
美丽世界的孤儿
11-02 1985
# Licensed under the Apache License, Version 2.0 (the "License"); you may # not use this file except in compliance with the License. You may obtain # a copy of the License at # # http://www.apach
keystone源码分析(一)——Paste Deploy的应用
weixin_34376986的博客
10-28 163
  本keystone源码分析系列基于Juno版Keystone,于2014年10月16日随Juno版OpenStack发布。   Keystone作为OpenStack中的身份管理与授权模块,主要实现系统用户的身份认证、基于角色的授权管理、其他OpenStack服务的地址发现和安全策略管理等功能。Keystone作为开源云系统OpenStack中至关重要的组成部分,与OpenStack中几乎所...
keystone系列五:keystone源码分析
weixin_34268753的博客
01-09 998
keystone架构   6.1 Keystone API  Keystone API与Openstack其他服务的API类似,也是基于ReSTFul HTTP实现的。 Keystone API划分为Admin API和Public API: Public API不仅实现获取版本以及相应扩展信息的操作,同时包括获取Token以及Token租户信息的操作; Admin API主要...
openstack-barbican-keystone-listener-9.0.0-1.el8.noarch.rpm
12-05
官方离线安装包,亲测可用
openstack-keystone-doc-13.0.2-1.el7.noarch.rpm
01-17
官方离线安装包,测试可用。请使用rpm -ivh [rpm完整包名] 进行安装
openstack-keystone-doc-15.0.0-1.el7.noarch.rpm
12-28
官方离线安装包,测试可用。使用rpm -ivh [rpm完整包名] 进行安装
OpenStack源码分析-NOVA
09-14
OpenStack源码分析,学习nova的好材料
openstack nova源码分析
10-09
openstack nova 源码分析
openstack-keystone-doc-16.0.2-1.el8.noarch.rpm
12-28
官方离线安装包,测试可用。使用rpm -ivh [rpm完整包名] 进行安装
openstack源码分析
啵啵伯尼的专栏
03-29 383
本期我开始讲服务的创建,os服务有两种服务,一种是api服务,一种组件之间用于通信的服务,我们先来说一下组件之间的通信服务是如何创建的以及怎么工作的。 ...
OpenStack源码分析【2021-11-07】
benzenene的博客
11-07 376
2021SC@SDUSC
[openstack][G版]keystone源码学习
wangyish201201的专栏
05-22 2694
Keystone项目的主要目的是给整个openstack的各个组件(项目)提供一个统一的验证方式。用户管理,身份验证是几乎所有的软件管理都要处理的问题,Keystone对于通常的应用场景所不同的是他要解决分布式环境下的统一认证。        Keystone的程序结构也是采用openstack通常所用的manager,driver方式,这中方式的一个好处是driver可以被灵活的替换,通过
OpenStack源码分析【2021-11-29】
benzenene的博客
11-29 1346
2021SC@SDUSC KeyStone概述 身份服务通常是用户与之交互的第一个服务。通过身份验证后,最终用户可以使用他们的身份访问其他 OpenStack 服务。同样,其他 OpenStack 服务利用身份服务来确保用户是他们所声称的人,并发现其他服务在部署中的位置。 Identity 服务还可以与一些外部用户管理系统(例如 LDAP)集成。 用户和服务可以使用由 Identity 服务管理的服务目录来定位其他服务。顾名思义,服务目录是 OpenStack 部署中可用服务的集合。每个服务可以有一个或多个
openstack源码剖析
CrazyStone_SoftW的专栏
01-22 201
待续
OpenStack Nova-Compute源码剖析
"Nova-Compute源码分析 - OpenStack核心组件" Nova是OpenStack云操作系统中的关键组件,专门负责计算资源的管理和调度。它为用户提供虚拟机的创建、管理和销毁等功能,确保用户能够按需获取计算资源。在OpenStack的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值