一、概念

1、keystone的作用

作为 OpenStack 的基础支持服务,Keystone 做下面这几件事情:

  •     管理用户及其权限

  •     维护 OpenStack Services 的 Endpoint(端点)

  •     Authentication(认证)和 Authorization(鉴权)

2、预备概念

1)User

    User指代任何使用 OpenStack 的实体,可以是真正的用户,其他系统或者服务。

    当 User 请求访问 OpenStack 时,Keystone 会对其进行验证。

2)Credentials

     Credentials 是 User 用来证明自己身份的信息,可以是: 

        a. 用户名/密码 

        b. Token 

        c. API Key 

        d. 其他高级方式

3)Authentication

     Authentication 是 Keystone 验证 User 身份的过程。

     User 访问 OpenStack 时向 Keystone 提交用户名和密码形式的 Credentials,Keystone 验证通过后会给 User 签发一个 Token 作为后续访问的 Credential。

4)Token

     Token 是由数字和字母组成的字符串,User 成功 Authentication 后由 Keystone 分配给 User。

     Token 用做访问 Service 的 Credential

     Service 会通过 Keystone 验证 Token 的有效性

     Token 的有效期默认是 24 小时

5)Project

     Project 用于将 OpenStack 的资源(计算、存储和网络)进行分组和隔离。 

     根据 OpenStack 服务的对象不同,Project 可以是一个客户(公有云,也叫租户)、部门或者项目组(私有云)。

    这里请注意:

    • 资源的所有权是属于 Project 的,而不是 User。

    • 在 OpenStack 的界面和文档中,Tenant / Project / Account 这几个术语是通用的,但长期看会倾向使用 Project

    •  每个 User(包括 admin)必须挂在 Project 里才能访问该 Project 的资源。 

    •  一个User可以属于多个 Project。

    • admin 相当于 root 用户,具有最高权限

6)Service

    OpenStack 的 Service 包括 Compute (Nova)、Block Storage (Cinder)、Object Storage (Swift)、Image Service (Glance) 、Networking Service (Neutron) 等。

    每个 Service 都会提供若干个 Endpoint,User 通过 Endpoint 访问资源和执行操作。

7)Endpoint

    Endpoint 是一个网络上可访问的地址,通常是一个 URL。 

    Service 通过 Endpoint 暴露自己的 API。 

    Keystone 负责管理和维护每个 Service 的 Endpoint。

8)Role 

    角色,roles代表一组用户可以访问的资源权限;

    安全包含两部分:Authentication(认证)和 Authorization(鉴权) 

    Authentication 解决的是“你是谁?”的问题 

    Authorization 解决的是“你能干什么?”的问题

    Keystone 是借助 Role 来实现Authorization(Keystone定义Role,可以为 User 分配一个或多个 Role) 

    Service 决定每个 Role 能做什么事情


二、举例认证的流程

    1、客户输入账号密码进行登录

    2、keystone收到登录请求之后对账号密码进行验证,验证成功会分配token

    3、因为token中包含了user的role信息,所以web顶部会显示用户可以访问的project和service

    4、用户点击 “Images”,是先将请求发送到glance的Endpoint

    5、glance向Keystone询问用户身份的有效性,keystone验证成功

    6、接下来glance会查看 /etc/glance/policy.json,判断用户是否有查看image的权限

    7、权限判定通过,Glance 将 image 列表发给用户