项目12 Keystone 的安全认证

项目12Keystone的安全认证专业核心课程精品课程112.1Keystone框架结构12.1.1Keystone服务器端架构认证（Authentication）：认证是确认允许一个用户访问的进程。证书（Credentials）：用于确认用户身份的数据。令牌（Token）：通常指的是一串比特值或者字符串，用来作为访问资源的记号。项目（Project）：各个服务中的一些可以访问的资源集合。用户（User）：使用服务的用户可以是人，也可以是服务，或者是系统使用OpenStack相关服务的一个组织。角色（Role）：代表一组用户可以访问的资源权限，如Nova中的虚拟机、Glance中的镜像。12.1.2Keystone客户端架构精品课程212.2用户管理12.2.1用户认证

Keystone默认配置的认证方法主要有External、Password、Token。12.2.2本地认证创建用户输出结果12.2.3用户信息的维护（1）登录数据库。以root用户连接到数据库服务器，命令如下：$mysql-uroot-p（2）创建keystone数据库，命令如下：CREATEDATABASEkeystone;（3）成功创建数据库之后，需要对“keystone”数据库授予恰当的权限。（4）退出数据库客户端。精品课程312.3多租户机制

12.3.1租户管理

1.创建租户创建了一个名称为“admin”的租户，命令如下：$keystonetenant-create--name=admin--description="AdminTenant"2.输出结果成功创建租户之后，会返回成功的结果。结果如下：+---------------+----------------------------------------------------------+|Property|Value|+---------------+----------------------------------------------------------+|description|enabled||id||name|AdminTenant||True|01d4a787cfb34df2be5ff29ab0b1811e3|admin|+---------------+----------------------------------------------------------+精品课程412.3多租户机制

12.3.2角色管理

1.创建角色角色限定了用户的操作权限。例如，创建一个角色“compute-user”的命令如下：$openstackrolecreatecompute-user---------------------------------------+2.运行结果成功创建角色之后，会返回成功的结果。结果如下：+--------------+------------------------------------------------+|Field|Value|+--------------+------------------------------------------------+|domain_id|None||id|ff5f54557ba44792b5edc6b6b482307c||name|compute-user|+--------------+------------------------------------------------+精品课程512.3多租户机制

12.3.3权限管理

绑定用户和项目权限添加的用户需要分配一定的权限，这就需要把用户关联绑定到对应的项目和角色上。图形化界面操作以管理员身份登录Dashboard，选择“管理员”→“认证面板”→“项目”选项，可以看到项目列表。管理用户精品课程612.4Token管理

12.4.1Token认证方式

Token认证方式的原理：Token是用户的一种凭证，需以正确的用户名/密码向Keystone申请才能得到。Token认证流程精品课程712.4Token管理

12.4.1Token认证方式

Token认证方式示例在一个典型的OpenStack环境中，可以指定Project凭借用户名和密码来获取Token。将Project名称传递给环境变量OS_PROJECT_NAME，将用户名传递给环境变量OS_USERNAME，将密码传递给环境变量OS_PASSWORD。Token认证方式的交互12.4.2Token的存储Token存储的原理Keystone不限制用户产生的Token数量，大量的Token会永久保留在数据库中。精品课程812.4Token管理

12.4.2Token的存储Fernet的原理：