1、keystone认证服务介绍
1.1 组件说明
(1)什么是keystone?
Keystone是OpehStack Identity Service的项目名称,是一个负责身份管理与授权的组件;
主要功能:实现用户的身份认证,基于角色的权限管理,及openstack其他组件的访问地址和安全策略管理
(2)为什么需要keystone?
Keystone项目的主要目的是给整个openstack的各个组件(nova, cinder, glance... )提供一个统一的验证方式
功能:
- 用户管理
- Account 账户
- Authentication 身份认证
- Authorization 授权
- 服务目录管理
(3)认证服务中的关键字
- User (用户) 一个人、 系统或服务在OpenStack中的数字表示。已经登录的用户分配令牌环以访问资源。用户可以直接分配给特定的租户,就像隶属于每个组。
- Credentials (凭证) 用于确认用户 身份的数据。例如:用户名和密码,用户名和API key,或由认证服务提供的身份验证令牌
- Authentication (验证) 确认用户 身份的过程。
- Token (令牌) 一个用于访问OpenStack API和资源的字母数字字符串。一个临牌可以随时撤销,并且持续一段时间有效
- Tenant (租户) 一个组织或孤立资源的容器。租户和可以组织或隔离认证对象。根据服务运营的要求,一个租户可以映射到客户、账户、组织或项目。
- Service (服务) OpenStack服务, 例如计算服务(nova) ,对象存储服务(swift) ,或镜像服务(glance)。它提供了一个或多个端点,供用户访问资源和执行操作。
- Endpoint(端点) 一个用于访问某个服务的可以通过网络进行访问的地址,通常是一个URL地址。
- Role (角色) 定制化的包含特定用户权限和特权的权限集合
- Keystone Client ( keystone命令行工具) Keystone的命令行工具。 通过该工具可以创建用户,角色,服务和端点等。。。
这些关键字可以和生活中住酒店联系在一起(参照下面):
1.2 组件之间的沟通方式
(1)用户认证过程
(2)组件之间的交互过程
(3)用户-角色-服务交互图
2、keystone的安装配置
在前面基础环境搭建的基础上,我在controller节点上安装和配置认证服务
2.1 配置先决条件
#1、创建认证服务数据库
#a.登录mysql数据库
mysql-u root -p
#b.创建keystone数据库
CREATE DATABASE keystone;
#c.创建keystone数据库用户,使其可以对keystone数据库有完全控制权限
GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'localhost' IDENTIFIED BY 'KEYSTONE_DBPASS';
GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'%' IDENTIFIED BY 'KEYSTONE_DBPASS';
#2、生成一个随机值作为管理令牌在初始配置
openssl rand -hex 10:
2.2 安装并配置认证服务组件
#1、安装软件包
yum install openstack-keystone python-keystoneclient
#2、编辑/etc/keystone/keyston.conf文件并作下列修改:
#a.修改[DEFAULT]小节,定义初始管理令牌。
[DEFAULT]
...
admin_token=刚才生成的随机值
#b.修改[database]小节,配置数据库访问
[database]
...
connection=mysql://keystone:KEYSTONE_DBPASS@controller.nice.com/keystone
#c.修改[token]小节,配置UUID提供者和SQL驱动
[token]
...
provider=keystone.token.providers.uuid.Provider
driver=keystone.token.persistence.backends.sql.Token
#d.(可选)开启详细日志,协助故障排除
[DEFAULT]
...
verbose=True
#3、常见通用证书的密钥,并限制相关文件的访问权限
keystone-manage pki_setup --keystone-user keystone --keystone-group keystone
chown -R keystone:keystone /var/log/keystone
chown -R keystone:keystone /etc/keystone/ssl
chmod -R o-rwx /etc/keystone/ssl
#4、初始化keystone数据库
su -s /bin/sh -c "keystone-manage db_sync" keystone
#5、启动identity服务并设置开机启动
systemctl enable openstack-keystone.service
systemctl start openstack-keystone.service
2.3 安装后进行配置
(1)默认情况下,服务器会无限存储到期的令牌,在资源有限的情况下会严重影响服务器性能。建议用计划任务,每小时删除过期的令牌
(crontab -l -u keystone 2>&1 | grep -q token_flush) || echo '@hourly /usr/bin/keystone-manage token_flush>/var/log/keystone/keystone-tokenflush.log 2>&1'>> /var/spool/cron/keystone
(2)创建tenants(租户),(users)用户和(roles)角色
#配置先决条件
#1、配置管理员令牌
export OS_SERVICE_TOKEN=刚才生成的字符串
#2、配置端点
export OS_SERVICE_ENDPOINT=http://controller.nice.com:35357/v2.0
#3、创建租户用户和角色
#创建admin租户
keystone tenant-create --name admin --description "Admin Tenant"
#创建admin用户
keystone user-create --name admin --pass ADMIN_PASS --email 12345@163.com
#创建admin角色
keystone role-create --name admin
#添加加admin租户和用户到admin角色
keystone user-role-add --tenant admin --user admin --role admin
#创建用于dashboard访问的“_member_”角色
keystone role-create --name _member_
#添加admin租户和用户到_member_角色
keystone user-role-add --tenant admin --user admin --role _member_
#4、 创建一个用于演示的demo租户和用户
#创建demo租户
keystone tenant-create --name demo --description "Demo Tenant"
#创建的demo用户
keystone user-create --name demo --pass DEMO_PASS --email demo@163.com
#添加demo租户和用户到_member_角色
keystone user-role-add --tenant demo --user demo --role _member_
#5、 OpenStack服务业需要一个租户,用户和角色和其他服务进行交互。因此我们创建一个service的租户。任何一个OpenStack服务都要和它关联
keystone tenant-create --name service --description "Service Tenant"
(3)创建服务实体和API端点
#1、在OpenStack环境中,identity服务管理一个服务目录,并使用这个目录在OpenStack环境中定位其他服务。
#为identity服务创建一个服务实体
keystone service-create --name keystone --type identity --description "OpenStackIdentity"
#2、OpenStack环境中,identity服务管理目录以及与服务相关API断点。服务使用这个目录来沟通其他服务。
#OpenStack为每个服务提供了三个API端点:admin(管理),internal(内部),public(公共)为identity服务#创建API端点
keystone endpoint-create --service-id $(keystone service-list | awk '/ identity / {print $2}') --publicurl http://controller.nice.com:5000/v2.0 --internalurl http://controller.nice.com:5000/v2.0 --adminurl http://controller.nice.com:35357/v2.0 --region regionOne
2.4 确认操作
#1、删除OS_SERVICE_TOKEN 和OS_SERVICE_ENDPOINT 临时变量
unset OS_SERVICE_TOKEN OS_SERVICE_ENDPOINT
#2、使用admin租户和用户请求认证令牌
keystone --os-tenant-name admin --os-username admin --os-password ADMIN_PASS --os-auth-url http://controller.nice.com:35357/v2.0 token-get
#3、以admin租户和用户的身份查看租户列表
keystone --os-tenant-name admin --os-username admin --os-password ADMIN_PASS --os-auth-url http://controller.nice.com:35357/v2.0 tenant-list
#4、以admin租户和用户的身份查看用户列表
keystone --os-tenant-name admin --os-username admin --os-password ADMIN_PASS --os-auth-url http://controller.nice.com:35357/v2.0 user-list
#5、以admin租户和用户的身份查看角色列表
keystone --os-tenant-name admin --os-username admin --os-password ADMIN_PASS --os-auth-url http://controller.nice.com:35357/v2.0 role-list
#6、以demo租户和用户的身份请求认证令牌(这个是允许的)
keystone --os-tenant-name demo --os-username demo --os-password DEMO_PASS --os-auth-url http://controller.nice.com:35357/v2.0 token-get
#7、以demo租户和用户的身份查看用户列表(这个不允许)
keystone --os-tenant-name demo --os-username demo --os-password DEMO_PASS --os-auth-url http://controller.nice.com:35357/v2.0 user-list
2.5 创建OpenStack客户端环境脚本
为了方便使用上面的环境变量和命令选项,我们为admin和demo租户和用户创建环境脚本。(后面会用到)
#admin.sh
export OS_TENANT_NAME=admin
export OS_USERNAME=admin
export OS_PASSWORD=ADMIN_PASS
export OS_AUTH_URL=http://controller.nice.com:35357/v2.0
#demo.sh
export OS_TENANT_NAME=demo
export OS_USERNAME=demo
export OS_PASSWORD=DEMO_PASS
export OS_AUTH_URL=http://controller.nice.com:5000/v2.0
#加载客户端环境脚本
source admin.sh
3、配置检查
登录到mysql查看keystone数据库下的内容: