05 OpenStack培训 - 3 5dHCIE-Cloud06 KeyStone讲解

HC13081,云计算,V1R5,1.0,李扶洋,2016-05,fly,新开发,OpenstackKeystone,Keystone对象模型Token的使用RBAC：基于角色的访问控制Keystone对接AD,Keystone,OpenStack中的KeyStone,Domain：域，keystone中资源（project、user、group）的持有者Project：租户，其他组件中资源（虚拟机、镜像等）的持有者User：用户，云系统的使用者Group：用户组，可以把多个用户作为一个整体进行角色管理Role：角色，基于角色进行访问控制Trust：委托，把自己拥有的角色临时授权给别人Service：服务，一组相关功能的集合，比如计算服务、网络服务、镜像服务、存储服务等Endpoint：必须和一个服务关联，代表这个服务的访问地址，一般一个服务需要提供三种类型的访问地址：public、internal、admin,Keystone对象模型,Region：区域，在keystone里基本代表一个数据中心Policy：访问控制策略，定义接口访问控制规则Assignment：一个(actor,target,role)三元组叫一个assignment，actor包括user、group，target包括domain、project。每个assignment代表一次赋权操作Token：令牌，用户访问服务的凭证，代表着用户的账户信息，一般需要包含user信息、scope信息（project、domain或者trust）、role信息。分为PKI，UUID,PKIZ,Fernet几种类型。,Keystone对象模型,user,project,domain,role,assignment:,Keystone对象模型,user,group,project,domain,role绑定关系接口举例：赋予用户在租户上有指定的权限,actor,target,Keystone对象模型-Assignment,Region,service,endpoint:,Keystone对象模型,Region,service,endpoint关系:,Region1az1.dc1,级联Openstack,Region2az2.dc1,被级联Openstack,Region3az3.dc1,被级联Openstack,ServiceNova,Endpoint,Internalurl：:8001/v2/$(tenant_id)sPublicurl：:443/v2/$(tenant_id)sAdmincurl：:443/v2/$(tenant_id)s,Keystone对象模型,Keystone对象模型Token的使用RBAC：基于角色的访问控制Keystone对接AD,Token是什么：用户向keystone提供一组有效的用户信息，keystone向用户返回一个token。Token包含这个用户的信息，用户的角色(role)信息，token的作用域(scope)，token有效期(expiration)。使用这个token可以访问其他openstack服务。为什么使用Token：使用token访问api服务比使用用户名密码访问更加方便。Token具有有效期，在客户端缓存token比缓存用户名密码更安全。,Token的概念,Token在Openstack中的应用,USER,Openstack,Keystone,Nova-api,1、申请Token,2、创建虚拟机，Head中携带Token,Nova-compute,3、校验Token是否有效,4、Token通过接口透传,Neutron-server,5、进行网口相关操作，Head中携带Token,6、校验Token是否有效,创建token,auth:identity:methods:password,password:user:name:cloud_admin,password:FusionSphere123,domain:id:defaultscope:project:name:admin,domain:id:default,Token交互,用户从keystone申请token用户使用token访问服务被访问组件验证token用户得到返回消息,Token的生成和验证,UUIDToken：每次验证需要访问keystone服务端。,Token的生成和验证,PKIToken：Token验证在客户端即可完成。,Token验证流程,Authtoken模块验证token流程：,RBAC：基于角色的访问控制原理1,Nova-api,Keystone提供统一的Policy模块,Policy.json一般存在于组件的配置文件目录下。修改实时生效，不需要重启服务。,Keystone对象模型Token的使用RBAC：基于角色的访问控制Keystone对接AD,RBAC：基于角色的访问控制原理2,Policy模块在检测时需要三方面的数据：1、policy.json策略配置文件；2、auth_token添加到http头部的token数据；3、用户的请求数据。,USER,Openstack,1、申请Token，用户USER_A,2、创建租户，Head中携带Token，URL中携带操作,policy.json：all_admins:role:admin,role:internal_admin,identity:list_projects:rule:all_adminsidentity:create_project:role:admin,3、从Token中解析出用户的权限信息根据Policy.json的规则，判断权限是否满足操作的要求,Keystone,RBAC：基于角色的访问控制,Token认证只认证token的有效性，权限控制是在各个组件代码内部做的。Keystone提供统一的policy模块供其他组件进行访问控制检测。Policy模块在检测时需要三方面的数据：1、policy.json策略配置文件；2、auth_token添加到http头部的token数据；3、用户的请求数。policy.json的修改实时生效，不需要重启服务。,RBAC：基于角色的访问控制,格式：:or两种写法：“identity:get_user”:”role:adminoruser_id:%(user_id)s”-and,or,not“identity:get_user”:”role:adminanduser_id:%(user_id)s”“identity:get_user”:”role:admin”,“user_id:%(user_id)s”-逗号隔开的为或，同一括号内为与“identity:get_user”:”role:admin”,“user_id:%(user_id)s”,RBAC：基于角色的访问控制,Matchstatement规则：:or“user_id:$user_id”-token中用户id为$user_id“user_id:%(user_id)s”-token中用户id与url中的user_id匹配如：GET/v3/users/$user_id“domain_id:%(user.domain_id)s”-token的domain与请求body体中用户domain_id匹配创建某个domain下的用户必须使用该domain的管理员“user_id:%(target.credential.user_id)s”-token的用户与要操作的数据库中对象的user_id匹配用户只能查询属于自己的credential,Keystone对象模型Token的使用RBAC：基于角色的访问控制Keystone对接AD,Keystone对接AD概述,Keystone对接AD配置1,Keystone对接AD配置1,Keystone对接AD配置2,配置需要通过CPS配置命令来完成：cpstemplate-params-update-parameterldap_domain=*ldap_url=*-servicekeystonekeystone,Keystone对接AD举例,ldap_suffix,ldap_group_tree_dn,ldap_user_tree_dn,distinguishedName,Keystone对接AD限制,当前只支持一个domain对接一个AD安装好FM虚拟机，进行keystone对接之前，不能配置keystone对接AD，否则会出现FM对接keystone失败。不能在AD上手动删除group下的用户组，否则会导致FM功能异常不支持切换对接AD的vdc对接AD的vdc名称不能与内置domain重名，内置domain包括：Default，heat_stack_domain配置keystone不同doma