Keystone职能:
Keystone (OpenStack ldentityService)是OpenStack中的一个独立的提供安全认证的模块,主要负责openstack用户的身份认证、令牌管理、提供访问资源的服务目录(指引路径)、以及基于用户角色的访问控制。
Keystone提供路径指引服务前提:
Keystone类似一个服务总线,或者说是整个Openstack框架的注册表,其他服务通过keystone来注册其服务的Endpoint(服务访问的URL),任何服务之间相互的调用,需要经过Keystone的身份验证,来获得目标服务的Endpoint来找到目标服务。
主要功能:
身份认证(Authentication) :令牌的发放和校验;用户授权(Authorization):授予用户在一个服务中所拥有权限;用户管理(Account) :管理用户账户;服务目录(Service Catalog):提供可用服务的API端点。
安装、配置keystone(controller)
实验环境:compute:已安装:chronyd、openstack;ip:192.168.90.100
controller:已安装:chronyd、openstack、mariadb、rabbitmq、memcached、etcd;ip:192.168.90.110;mysql密码:000000
一、创建keystone数据库并授权
连接数据库:mysql -uroot -p000000
新建数据库keystone:CREATE DATABASE keystone;
为keystone数据库用户分配权限,并设置用户keystone的密码为000000:下面两条语句把‘keystone’数据库所有表(keystone.*)的所有权限(ALL PRIVILEGES)授予本地主机(‘localhost’)及任意远程主机(‘%’)上的登录名为‘keystone’的用户,验证密码为‘000000’
GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'localhost' IDENTIFIED BY 'kspass';
GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'%' IDENTIFIED BY 'kspass';
退出:quit;
二、安装和配置
安装软件包: yum -y install openstack-keystone httpd mod_wsgi
编辑配置文件:/etc/keystone/keystone.conf
第1步:修改‘【database】’部分实现与数据库连接 【小技巧:esc 按\ 输入要找内容 按N向下翻找查看】
connection = mysql+pymysql://keystone:000000@controller/keystone
第2步:修改‘【token】’部分配置令牌的加密方式。取消注释。使provider = fernet 生效
初始化keystone数据库:su -s /bin/sh -c "keystone-manage db_sync" keystone
查看数据库,确保初始化成功:
初始化令牌库:
keystone-manage fernet_setup --keystone-user keystone --keystone-group keystone
keystone-manage credential_setup --keystone-user keystone --keystone-group keystone
引导身份认证服务,其中设置了管理员密码为000000
keystone-manage bootstrap --bootstrap-password 000000 --bootstrap-admin-url http://controller:5000/v3 --bootstrap-internal-url
http://controller:5000/v3 --bootstrap-public-url http://controller:5000/v3 --bootstrap-region-id RegionOne
三、配置http服务
编辑/etc/httpd/conf/httpd.conf,配置服务名称:ServerName controller
创建配置文件/usr/share/keystone/wsgi-keystone.conf的符号链接:ln -s /usr/share/keystone/wsgi-keystone.conf /etc/httpd/conf.d/
重启Apache服务:systemctl enable/restart/status httpd
四、完成安装、模拟登陆验证
创建初始化环境变量文件:vi admin-login
export OS_USERNAME=admin
export OS_PASSWORD=000000
export OS_PROJECT_NAME=admin
export OS_USER_DOMAIN_NAME=Default
export OS_PROJECT_DOMAIN_NAME=Default
export OS_AUTH_URL=http://controller:5000/v3
export OS_IDENTITY_API_VERSION=3
导入环境变量进行验证:source admin-login
export -p
五、创建域、项目、用户和角色(身份的验证是通过域、项目、用户和角色的组合来进行的。)
1、创建一个名称为example的新域:openstack domain create --description "An Example Domain" example
2、新建一个名为service的新项目,属于example域:openstack project create --domain example --description "Service Project" service
3、 新建一个用户myuser,属于example域,密码设置为000000:openstack user create --domain example --password-prompt myuser
4、新建角色myrole:openstack role create lpm
查看现有域列表: openstack domain list
现有用户列表:openstack user list
现有项目列表:openstack project list
查看角色列表:openstack role list
六、验证
查看是否可以不指定密码就可以获取到token信息(验证认证服务)
openstack token issue