(八)OpenStack中Keystone认证服务介绍及安装配置

最新推荐文章于 2022-12-29 15:08:10 发布
最新推荐文章于 2022-12-29 15:08:10 发布
阅读量2k 收藏 7
点赞数 1
分类专栏: 云计算和虚拟化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/until_u/article/details/107423312
版权

1、keystone认证服务介绍

1.1 组件说明

(1)什么是keystone?

Keystone是OpehStack Identity Service的项目名称,是一个负责身份管理与授权的组件;

主要功能:实现用户的身份认证,基于角色的权限管理,及openstack其他组件的访问地址和安全策略管理
 

(2)为什么需要keystone?

Keystone项目的主要目的是给整个openstack的各个组件(nova, cinder, glance... )提供一个统一的验证方式

功能:

  • 用户管理
  1. Account 账户
  2. Authentication 身份认证
  3. Authorization 授权
  • 服务目录管理

(3)认证服务中的关键字

  •  User (用户)   一个人、 系统或服务在OpenStack中的数字表示。已经登录的用户分配令牌环以访问资源。用户可以直接分配给特定的租户,就像隶属于每个组。
  • Credentials (凭证)   用于确认用户 身份的数据。例如:用户名和密码,用户名和API key,或由认证服务提供的身份验证令牌
  • Authentication (验证)   确认用户 身份的过程。
  • Token (令牌)   一个用于访问OpenStack API和资源的字母数字字符串。一个临牌可以随时撤销,并且持续一段时间有效
  • Tenant (租户)   一个组织或孤立资源的容器。租户和可以组织或隔离认证对象。根据服务运营的要求,一个租户可以映射到客户、账户、组织或项目。
  • Service (服务)     OpenStack服务, 例如计算服务(nova) ,对象存储服务(swift) ,或镜像服务(glance)。它提供了一个或多个端点,供用户访问资源和执行操作。
  • Endpoint(端点) 一个用于访问某个服务的可以通过网络进行访问的地址,通常是一个URL地址。
     
  • Role (角色) 定制化的包含特定用户权限和特权的权限集合
  • Keystone Client ( keystone命令行工具) Keystone的命令行工具。 通过该工具可以创建用户,角色,服务和端点等。。。

这些关键字可以和生活中住酒店联系在一起(参照下面):

1.2 组件之间的沟通方式

(1)用户认证过程

(2)组件之间的交互过程

(3)用户-角色-服务交互图

 

2、keystone的安装配置

在前面基础环境搭建的基础上,我在controller节点上安装和配置认证服务

2.1 配置先决条件

#1、创建认证服务数据库
#a.登录mysql数据库
mysql-u root -p

#b.创建keystone数据库
CREATE DATABASE keystone;

#c.创建keystone数据库用户,使其可以对keystone数据库有完全控制权限
GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'localhost' IDENTIFIED BY 'KEYSTONE_DBPASS';
GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'%' IDENTIFIED BY 'KEYSTONE_DBPASS';

#2、生成一个随机值作为管理令牌在初始配置
openssl rand -hex 10:

2.2 安装并配置认证服务组件

#1、安装软件包
yum install openstack-keystone python-keystoneclient

#2、编辑/etc/keystone/keyston.conf文件并作下列修改:
#a.修改[DEFAULT]小节,定义初始管理令牌。
[DEFAULT]
...
admin_token=刚才生成的随机值

#b.修改[database]小节,配置数据库访问
[database]
...
connection=mysql://keystone:KEYSTONE_DBPASS@controller.nice.com/keystone

#c.修改[token]小节,配置UUID提供者和SQL驱动
[token]
...
provider=keystone.token.providers.uuid.Provider
driver=keystone.token.persistence.backends.sql.Token

#d.(可选)开启详细日志,协助故障排除
[DEFAULT]
...
verbose=True

#3、常见通用证书的密钥,并限制相关文件的访问权限
keystone-manage pki_setup --keystone-user keystone --keystone-group keystone
chown -R keystone:keystone /var/log/keystone
chown -R keystone:keystone /etc/keystone/ssl
chmod -R o-rwx /etc/keystone/ssl

#4、初始化keystone数据库
su -s /bin/sh -c "keystone-manage db_sync" keystone

#5、启动identity服务并设置开机启动
systemctl enable openstack-keystone.service
systemctl start openstack-keystone.service

2.3 安装后进行配置

(1)默认情况下,服务器会无限存储到期的令牌,在资源有限的情况下会严重影响服务器性能。建议用计划任务,每小时删除过期的令牌

(crontab -l -u keystone 2>&1 | grep -q token_flush) || echo '@hourly /usr/bin/keystone-manage token_flush>/var/log/keystone/keystone-tokenflush.log 2>&1'>> /var/spool/cron/keystone

(2)创建tenants(租户),(users)用户和(roles)角色

#配置先决条件
#1、配置管理员令牌
export OS_SERVICE_TOKEN=刚才生成的字符串

#2、配置端点
export OS_SERVICE_ENDPOINT=http://controller.nice.com:35357/v2.0

#3、创建租户用户和角色
#创建admin租户
keystone tenant-create --name admin --description "Admin Tenant"
#创建admin用户
keystone user-create --name admin --pass ADMIN_PASS --email 12345@163.com
#创建admin角色
keystone role-create --name admin
#添加加admin租户和用户到admin角色
keystone user-role-add --tenant admin --user admin --role admin
#创建用于dashboard访问的“_member_”角色
keystone role-create --name _member_
#添加admin租户和用户到_member_角色
keystone user-role-add --tenant admin --user admin --role _member_

#4、 创建一个用于演示的demo租户和用户
#创建demo租户
keystone tenant-create --name demo --description "Demo Tenant"
#创建的demo用户
keystone user-create --name demo --pass DEMO_PASS --email demo@163.com
#添加demo租户和用户到_member_角色
keystone user-role-add --tenant demo --user demo --role _member_

#5、 OpenStack服务业需要一个租户,用户和角色和其他服务进行交互。因此我们创建一个service的租户。任何一个OpenStack服务都要和它关联
keystone tenant-create --name service --description "Service Tenant"

(3)创建服务实体和API端点

#1、在OpenStack环境中,identity服务管理一个服务目录,并使用这个目录在OpenStack环境中定位其他服务。
#为identity服务创建一个服务实体
keystone service-create --name keystone --type identity --description "OpenStackIdentity"

#2、OpenStack环境中,identity服务管理目录以及与服务相关API断点。服务使用这个目录来沟通其他服务。
#OpenStack为每个服务提供了三个API端点:admin(管理),internal(内部),public(公共)为identity服务#创建API端点
keystone endpoint-create --service-id $(keystone service-list | awk '/ identity / {print $2}') --publicurl http://controller.nice.com:5000/v2.0 --internalurl http://controller.nice.com:5000/v2.0 --adminurl http://controller.nice.com:35357/v2.0 --region regionOne

2.4 确认操作

#1、删除OS_SERVICE_TOKEN 和OS_SERVICE_ENDPOINT 临时变量
unset OS_SERVICE_TOKEN OS_SERVICE_ENDPOINT

#2、使用admin租户和用户请求认证令牌
keystone --os-tenant-name admin --os-username admin --os-password ADMIN_PASS --os-auth-url http://controller.nice.com:35357/v2.0 token-get

#3、以admin租户和用户的身份查看租户列表
keystone --os-tenant-name admin --os-username admin --os-password ADMIN_PASS --os-auth-url http://controller.nice.com:35357/v2.0 tenant-list

#4、以admin租户和用户的身份查看用户列表
keystone --os-tenant-name admin --os-username admin --os-password ADMIN_PASS --os-auth-url http://controller.nice.com:35357/v2.0 user-list

#5、以admin租户和用户的身份查看角色列表
keystone --os-tenant-name admin --os-username admin --os-password ADMIN_PASS --os-auth-url http://controller.nice.com:35357/v2.0 role-list

#6、以demo租户和用户的身份请求认证令牌(这个是允许的)
keystone --os-tenant-name demo --os-username demo --os-password DEMO_PASS --os-auth-url http://controller.nice.com:35357/v2.0 token-get

#7、以demo租户和用户的身份查看用户列表(这个不允许)
keystone --os-tenant-name demo --os-username demo --os-password DEMO_PASS --os-auth-url http://controller.nice.com:35357/v2.0 user-list

2.5 创建OpenStack客户端环境脚本

为了方便使用上面的环境变量和命令选项,我们为admin和demo租户和用户创建环境脚本。(后面会用到)

#admin.sh 
export OS_TENANT_NAME=admin
export OS_USERNAME=admin
export OS_PASSWORD=ADMIN_PASS
export OS_AUTH_URL=http://controller.nice.com:35357/v2.0

#demo.sh 
export OS_TENANT_NAME=demo
export OS_USERNAME=demo
export OS_PASSWORD=DEMO_PASS
export OS_AUTH_URL=http://controller.nice.com:5000/v2.0

#加载客户端环境脚本
source admin.sh

 

3、配置检查

登录到mysql查看keystone数据库下的内容:

 

硬核的无脸man~
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Openstack安装配置第二部分(keystone篇)
需要远程指导仿真实验、代码有问题的,请后台私信或者关注公众号
06-22 815
在Linux操作系统上进行OpenStackkeystone安装部署
搭建云平台 3 Day _______**如何安装配置云计算的认证服务**
qq_46906413的博客
12-01 539
**Keystone安装配置** 下载安装openstack软件仓库(queens版本) yum install centos-release-openstack-queens -y yum upgrade yum install python-openstackclie...
Openstack实验之keystone认证安装
weixin_43303023的博客
06-19 700
一、keystone认证任务 1.实验目的 ①安装控制器必备组件 ②部署共享任务 ③在控制器端配置镜像存储、网络、计算和Dashboard服务 2.keystone认证流程 3.安装MySQL服务 3.1 安装mysql服务 #yum clean all //清空yum缓存 #yun makecache //制作新的缓存 [root@contrller0 ~]#yum install -y mysql mysql-server MySQL-python 图: vi /etc/my.cnf
openstack之:keystone 学习总结记录
magices的博客
08-23 2994
在了解 keystone 之前,我们来简单介绍下用户身份校验大概有几种方式 广义认证方式简介 广义上讲,用户身份认证并不仅限于领域。广义上的身份识别技术有如下几种:静态密码、动态密码(短信密码、动态口令牌)、令牌、USB KEY、数字证书、生物识别技术。 在以上几种认证方式,我们IT人员在数据心通常能够遇到的是:静态密码、动态口令牌、数字证书、令牌认证(token)。 静态密码 在四种认证方式,最常见的就是静态密码。如果要加强动态密码的安全性,通常是通过增加密码的复杂度,设置密码过期时间的方法。大多数
Openstack keystone、dashboard、swift组件启用SSL
SA2013的博客
06-03 854
Openstack keystone、dashboard、swift(Mitaka版本、Ubuntu系统)启用SSL1.Keystone启用SSL修改endpoint修改admin-openrc环境变量文件2.对象存储Swift启用SSL修改endpoint3.DashBoard启用SSL 1.Keystone启用SSL 创建存放SSL证书的文件夹,将证书相关文件放入 mkdir -p /etc...
keystone服务
nlfdpzq的博客
11-23 393
keystone服务运维 一,创建用户 二,创建项目 三,创建角色 四,绑定用户和项目权限(给与权限才能登陆) 五,查看user用户经常使用的 命令 (1)user list查询当前用户列表 (2)user delete删除用户 (3)user show查看用户完整信息 (4)user set 修改用户名(也可以修改密码等) 六,project项目常用的命令 (1)project list项目列表查询 (2)project create创建新项目 (3)project show
OpenStack认证服务Keystone
最新发布
01-13
OpenStack认证服务Keystone是云平台的核心组件之一,它负责提供身份管理和授权服务,确保只有经过验证的用户和应用程序可以访问资源。Keystone通过颁发、验证和管理身份令牌来控制OpenStack服务的访问。 安装与...
OpenStack Keystone的基本概念详细介绍
09-30
OpenStack KeystoneOpenStack云平台的核心组件之一,主要负责身份验证、服务规则和服务令牌的管理。它是OpenStack Identity Service,确保只有经过验证的用户才能访问系统的资源和服务。以下是关于Keystone基本...
OpenStack 安装 Keystone.doc
07-08
OpenStack 安装 KeystoneOpenStack 体系下面的认证、授权、和目录服务管理的重要组件。Keystone 通常是我们接触 OpenStack 的第一个组件,它可以管理其他 OpenStack 服务,每个服务都可以有一个或者多个 ...
OpenStack Victoria版安装部署实例教程
03-07
配置Cinder包括安装服务配置存储后端(如LVM或Ceph),创建卷类型和服务端点。 最后,教程还包含了一章专门处理OpenStack安装过程可能遇到的问题,帮助用户解决故障和异常情况。 总的来说,OpenStack Victoria...
Openstack keystone 安装
11-23
OpenStack环境Keystone是其他所有服务的统一入口点,通过它可以获取访问其他服务所需的令牌。 首先,让我们来详细了解一下Keystone安装过程: 1. **环境准备**:在安装Keystone之前,你需要确保你的服务器...
关于OpenStackkeystone服务使用
qq_50981675的博客
07-06 2403
关于keystone的有关使用 使用前不要忘了生效环境变量 [root@controller bin]# source /etc/keystone/admin-openrc.sh 一、安装keystone后,在数据库查询keystone用户的远程访问权限信息 [root@controller bin]# mysql -uroot -p000000 Welcome to the MariaDB monitor. Commands end with ; or \g. Your MariaDB con.
手动部署OpenStack(三)之“Keystone认证服务配置
初心的博客
02-02 2632
配置详细步骤 笔记链接:http://note.youdao.com/noteshare?id=75a9c5fa39865ef369e73d4c9aadfd03 1、安装MySQL服务 注:该项的所有操作步骤需要使用root用户进行 该项需要在controller控制节点主机进行单独设置。 OpenStack持久化数据需要存储到数据库,如Nova相关的主机信息,instance状态,网络相关的网...
安装KeyStone服务(在控制节点上操作)
m0_61777116的博客
03-30 3209
接着上次的OpenStack-T的安装 OpenStack-T keystone官网文档:OpenStack Docs: Install and configure 下面的这个链接为上次的安装链接: CSDNhttps://mp.csdn.net/mp_blog/creation/editor/123702147 ps:在安装配置身份服务之前,您必须创建一个数据库 # mysql -u root -p 打上自己设置的密码,这里我的是123,不知道的可以看下上一篇文档的链接 1、创建ke
实验06 Keystone安装配置
inexaustible的博客
11-15 1746
一、实验目的: 1、掌握OpenStack环境搭建的基础工作 2、掌握keystone安装配置方法 3、掌握keystone基础接口的调用方法 二、实验步骤: 1、利用最初创建的快照克隆两台CentOS服务器,克隆的两台分别修改主机名为xxx-controller和xxx-compute1,修改IP地址为192.168.xx.10和192.168.xx.20。(xxx为自己姓名拼音,...
身份认证服务(Keystone)安装配置,这一篇就够了!!
考研渣渣斌斌的博客
11-27 5898
实验目标 OpenStack:Identity service 为认证管理,授权管理和服务目录服务管理提供单点整合。其它 OpenStack 服务将身份认证服务当做通用统一 API 来使用。此外,提供用户信息但是不在 OpenStack 项目服务(如 LDAP 服务)可被整合进先前存在的基础设施。为了从 identity 服务获益,其他的 OpenStack 服务需要与它合作。当某个 OpenStack 服务收到来自用户的请求时,该服务询问Identity 服务,验证该用户是否有权限进行此次请求。
初识keystone-领域模型与安装配置
李子无为的杂货铺
01-08 4646
OpenStack概念不多讲了,因为讲不明白。只了解过keystone,其他服务是干什么的,怎么用的,目前还没有驱动力去了解,所以就自觉闭嘴了。现在只对这段时间学习keystone的一些认识做个总结。 “keystone"的文意思是拱心石,就是石拱门上面最间那块石头,将两边的石头塞住不会掉下来,如图:
OpenStack Rocky 版本部署之二——keystone部署
zhangkangren的博客
04-10 1004
三、配置认证服务Keystone 1、修改keystone配置文件 (1)修改 /etc/keystone/keystone.conf [database] connection = mysql+pymysql://keystone:keystone@192.168.158.10/keystone # fernet为加密方式,还有UUID,PKIZ,PKI三种方式 [token] provider = fernet driver = memcache # 添加memcache加速访问速度
OpenStack实战—keystone04】
weixin_45093078的博客
12-29 1098
Keystone——身份认证组件Keystone (OpenStack Identity Service)是OpenStack的一个独立的提供安全认证的模块,主要负责openstack用户的身份认证、令牌管理、提供访问资源的服务目录、以及基于用户角色的访问控制。
OpenStack Keystone认证核心,架构与流程解析
"OpenStack KeystoneOpenStack云平台的核心组件,负责提供认证、授权和目录服务。它与其他OpenStack服务紧密协作,确保用户和服务之间的安全交互。" OpenStack Keystone 是一个关键的组件,它的主要功能是为...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

硬核的无脸man~

你的鼓励是我创作的最大功力!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值