Openstack Swift Auth System

2019独角兽企业重金招聘Python工程师标准>>>

Swift目前已经支持keystone认证，不过官方的安装文档中还使用了TempAuth,这篇翻译，关于auth帮助我们更好的理解swift auth，

 

The Auth System 认证系统

TempAuth

Swift的认证系统松散的基于Rackspace架构下存在的认证系统-事实上来自于一些存在的认证系统-因此有一些杂乱。得到了一下的几点：
1.鉴权的部分可以使一个外部的系统或者子系统运行在Swift作为WSGI中间件。
2.在每次请求中，Swift的用户通过需要认证令牌。
3.Swift确认每一个令牌通过一个额外的认证系统或者认证子系统缓存这个结果。
4.令牌在请求直接不会改变，倒是存在有效期。

能通过Swift的令牌使用X-Auth-Token或者X-Storage-Token 头部。都有相同的格式：只是一个简单的字符串代表这个令牌。有些认证系统使用UUID令牌，有些使用唯一的MD5值，还有使用其他方法的，但是共同点是令牌是一个字符串可以没送回认证系统进行校验。

Swift将会调用认证系统，给予认证令牌进行校验。对于一个有效的令牌，认证系统响应一个整体有效的秒数从现在开始。Swift将缓存这个令牌知道期满。

包括TempAuth也admin和non-admin的概念在一个账户中。admin用户可以做任何事在账户内，non-admin用户只能执行操作容器基于容器的X-Container-Read和X-Container-Write ACLs.更多的信息在ACLs,see
swift.common.middleware.acl

此外，如果认证系统设置request environ的swift_owner的值为True，代理服务器将会返回一个额外的头段信息在一些请求中，就像是X-container-Sync-Key对于容器的GET或者HEAD。

用户开始一段会话通过发送一个ReST 请求到认证系统去接受认证令牌和一个URL到Swift 系统。

Keystone Auth

Swift 可以认证通过OpenStack keystone取道 swift.common.middleware.keystoneauth 中间件。
为了使用keystoneauth中间件 authtoken中间件通过keystone，需要进行相关的配置。

authtoken中间件执行认证令牌确认和取回真实用户的认证信息。它可以在Keystone分布中找到。

keystoneauth中间件执行认证和映射keystone角色到Swift's ACLs。

Configuring Swift to use Keystone

配置Swift使用Keystone 是相当直接的。第一步是确保你已经安装了auth_token中间件，分布在keystone，它可以访问通过你的python路径或者keystone包的安装路径。

你需要首先确认你有一个服务端点的类型object-store在keystone指向你的Swift代理服务器。例如有如下配置在你的/etc/keystone/default_catalog.templates

catalog.RegionOne.object_store.name = Swift Service
catalog.RegionOne.object_store.publicURL = http://swiftproxy:8080/v1/AUTH_$(tenant_id)s
catalog.RegionOne.object_store.adminURL = http://swiftproxy:8080/
catalog.RegionOne.object_store.internalURL = http://swiftproxy:8080/v1/AUTH_$(tenant_id)s

在你的Swift代理服务器你将调整你的主管道加入auth_token和keystoneauth在你的/etc/swift/proxy-server.conf

pipeline:main]
pipeline = [....] authtoken keystoneauth proxy-logging proxy-server
添加authtoken中间件的配置：
[filter:authtoken]
paste.filter_factory = keystone.middleware.auth_token:filter_factory
auth_host = keystonehost
auth_port = 35357
auth_protocol = http
auth_uri = http://keystonehost:5000/
admin_tenant_name = service
admin_user = swift
admin_password = password

这些变量真实的值需要被设置依赖于你的情况。更多的信息，请参考Keystone文档关于auth_token中间件，简而言之：
1.这些变量以auth_开始指向Keystone admin服务。这些信息被用来通过中间件来真实的查询Keystone关于变量的认证令牌。
2.admin认证授权（admin_user,admin_tenant_name,admin_password）将会用来取回一个admin认证。那个认证将会用来鉴权用户令牌在之后的场景中。

注意: 如果需要支持未检测的用户（通过匿名访问）或者用 tempurl/formposts 中间件，认证需要配置delay_auth_decision设置为1。

最后你可以添加keystoneauth配置：

[filter:keystoneauth]
use = egg:swift#keystoneauth
operator_roles = admin, swiftoperator

默认下只有用户可以给予ACL或者创建其他容器是那些Keystone角色指定 operator_roles设置。

有那些角色其中之一的用户有能力给予ACLs到其他用户的容器，看ACL的文档 swift.common.middleware.acl

Extending Auth 扩展认证

TempAuth被作为wsgi中间件，随意实现你自己拥有的认证就像是写一个新的wsgi中间件一样简单，把它插入到你的代理服务器。Keystone和Swauth项目都是额外认证服务的例子。

 

转载于:https://my.oschina.net/zhouxingxing/blog/70156