目录

一、认证服务概览

二、安装和配置

1、先决条件

2、安全并配置组件

3、 配置 Apache HTTP 服务器

4、完成安装

三、创建服务实体和API端点

1、先决条件

2、创建服务实体和API端点

四、创建域、项目、用户和角色

五、验证操作

六、创建 OpenStack 客户端环境脚本

---

一、认证服务概览

       OpenStack:term:`Identity service`为认证管理，授权管理和服务目录服务管理提供单点整合。其它OpenStack服务将身份认证服务当做通用统一API来使用。此外，提供用户信息但是不在OpenStack项目中的服务（如LDAP服务）可被整合进先前存在的基础设施中。

       为了从identity服务中获益，其他的OpenStack服务需要与它合作。当某个OpenStack服务收到来自用户的请求时，该服务询问Identity服务，验证该用户是否有权限进行此次请求

身份服务包含这些组件：

服务器：

        一个中心化的服务器使用RESTful 接口来提供认证和授权服务。

驱动：

       驱动或服务后端被整合进集中式服务器中。它们被用来访问OpenStack外部仓库的身份信息, 并且它们可能已经存在于OpenStack被部署在的基础设施（例如，SQL数据库或LDAP服务器）中。

模块：

       中间件模块运行于使用身份认证服务的OpenStack组件的地址空间中。这些模块拦截服务请求，取出用户凭据，并将它们送入中央是服务器寻求授权。中间件模块和OpenStack组件间的整合使用Python Web服务器网关接口。

       当安装OpenStack身份服务，用户必须将之注册到其OpenStack安装环境的每个服务。身份服务才可以追踪那些OpenStack服务已经安装，以及在网络中定位它们。

二、安装和配置

1、先决条件

创建数据库

mysql -u root -p
CREATE DATABASE keystone;
GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'localhost' \
  IDENTIFIED BY 'keystone';
GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'%' \
  IDENTIFIED BY 'keystone';

生成一个随机值在初始的配置中作为管理员的令牌。

openssl rand -hex 10

 

2、安全并配置组件

安装包：

yum install openstack-keystone httpd mod_wsgi

编辑文件：

vim /etc/keystone/keystone.conf

使用前面步骤生成的随机数替换``ADMIN_TOKEN`` 值

初始化身份认证服务的数据库：

su -s /bin/sh -c "keystone-manage db_sync" keystone

初始化Fernet keys：

keystone-manage fernet_setup --keystone-user keystone --keystone-group keystone

3、 配置 Apache HTTP 服务器

编辑

vim /etc/httpd/conf/httpd.conf
ServerName controller

 

创建文件

vim /etc/httpd/conf.d/wsgi-keystone.conf

Listen 5000
Listen 35357

<VirtualHost *:5000>
    WSGIDaemonProcess keystone-public processes=5 threads=1 user=keystone group=keystone display-name=%{GROUP}
    WSGIProcessGroup keystone-public
    WSGIScriptAlias / /usr/bin/keystone-wsgi-public
    WSGIApplicationGroup %{GLOBAL}
    WSGIPassAuthorization On
    ErrorLogFormat "%{cu}t %M"
    ErrorLog /var/log/httpd/keystone-error.log
    CustomLog /var/log/httpd/keystone-access.log combined

    <Directory /usr/bin>
        Require all granted
    </Directory>
</VirtualHost>

<VirtualHost *:35357>
    WSGIDaemonProcess keystone-admin processes=5 threads=1 user=keystone group=keystone display-name=%{GROUP}
    WSGIProcessGroup keystone-admin
    WSGIScriptAlias / /usr/bin/keystone-wsgi-admin
    WSGIApplicationGroup %{GLOBAL}
    WSGIPassAuthorization On
    ErrorLogFormat "%{cu}t %M"
    ErrorLog /var/log/httpd/keystone-error.log
    CustomLog /var/log/httpd/keystone-access.log combined

    <Directory /usr/bin>
        Require all granted
    </Directory>
</VirtualHost>

4、完成安装

启动 Apache HTTP 服务并配置其随系统启动：

systemctl enable --now httpd.service

三、创建服务实体和API端点

1、先决条件

export OS_TOKEN=643dd9423324699e8143
export OS_URL=http://controller:3535
export OS_IDENTITY_API_VERSION=37/v3

2、创建服务实体和API端点

创建服务实体和身份认证服务：

openstack service create \
  --name keystone --description "OpenStack Identity" identity

 创建认证服务的 API 端点：

openstack endpoint create --region RegionOne \
  identity public http://controller:5000/v3
openstack endpoint create --region RegionOne \
  identity internal http://controller:5000/v3
openstack endpoint create --region RegionOne \
  identity admin http://controller:35357/v3

 

四、创建域、项目、用户和角色

创建域``default``：

openstack domain create --description "Default Domain" default

 创建 admin 项目

openstack project create --domain default \
  --description "Admin Project" admin

 创建 admin 用户：

openstack user create --domain default \
  --password admin admin

创建 admin 角色：

openstack role create admin

 

添加``admin`` 角色到 admin 项目和用户上：

openstack role add --project admin --user admin admin

创建``service``项目：

openstack project create --domain default \
  --description "Service Project" service

 创建``demo`` 项目：

openstack project create --domain default \
  --description "Demo Project" demo

创建``demo`` 用户：

openstack user create --domain default \
  --password demo demo

 创建 user 角色：

openstack role create user

 

 添加 user``角色到 ``demo 项目和用户：

openstack role add --project demo --user demo user

五、验证操作

重置``OS_TOKEN``和``OS_URL`` 环境变量：

unset OS_TOKEN OS_URL

作为 admin demo 用户，请求认证令牌：

openstack --os-auth-url http://controller:35357/v3 \
  --os-project-domain-name default --os-user-domain-name default \
  --os-project-name admin --os-username admin token issue

openstack --os-auth-url http://controller:5000/v3 \
  --os-project-domain-name default --os-user-domain-name default \
  --os-project-name demo --os-username demo token issue

 

六、创建 OpenStack 客户端环境脚本

1、创建脚本

admin-openrc 

vim admin-openrc 

export OS_PROJECT_DOMAIN_NAME=default
export OS_USER_DOMAIN_NAME=default
export OS_PROJECT_NAME=admin
export OS_USERNAME=admin
export OS_PASSWORD=ADMIN_PASS
export OS_AUTH_URL=http://controller:35357/v3
export OS_IDENTITY_API_VERSION=3
export OS_IMAGE_API_VERSION=2

vim  demo-openrc 

export OS_PROJECT_DOMAIN_NAME=default
export OS_USER_DOMAIN_NAME=default
export OS_PROJECT_NAME=demo
export OS_USERNAME=demo
export OS_PASSWORD=DEMO_PASS
export OS_AUTH_URL=http://controller:5000/v3
export OS_IDENTITY_API_VERSION=3
export OS_IMAGE_API_VERSION=2

 

2、使用脚本

. admin-openrc
. demo-openrc
openstack token issue