项目4-OpenStack身份任务

OpenStack身份任务项目4学习目标任务描述01身份服务基础02基于dashboard界面进行身份管理操作03基于命令行界面进行身份管理操作04手动安装和部署Keystone知识学习Keystone是OpenStack的身份管理认证系统，也是唯一个能提供身份认证的组件。只有装了Keystone认证服务，其他的组件才可以注册使用，。Keystone有两大关键功能：用户管理和服务目录管理，而且Keystone服务有以下几个重要概念需要理解：认证（Authentication）、凭证、令牌、项目、用户、角色、服务、访问端点。OpenStack云计算平台可以用来验证Keystone认证服务，其中Dashboard界面可以用于身份服务的配置与管理，接下来以在Dashboard界面的操作来介绍身份服务。默认情况下Dashboard界面的项目列表中提供三个项目：admin、service和demo。列表中会显示项目名称、项目id等信息，可以通过Dashboard界面来修改组，项目。OpenStack使用的是身份服务，对OpenStack的任何请求都必须要提供项目信息。一个用户至少属于一个项目，也可以属于多个项目。OpenStack管理员可以管理项目、用户、组和角色，也可以去添加、修改和删除项目、用户、组和角色。一个项目可以包括若干用户和组，每个组可以包括若干用户，每个用户可以属于不同组，对每个用户可以分配不同的角色。1.keystone组件的作用2.Dashboard界面管理3.管理员角色思政课堂keystone是OpenStack的核心组件之一，他主要是用户的对组件之间的身份进行认证和鉴权，每一次访问或者调用一个组件都需要通过他的认证，作为OpenStack核心岗位，他不厌其烦的完成每一次认证、鉴权，才保证了OpenStack安全运行。从这里可以看出，每一个岗位都有自己的角色和责任。我们在社会生活中，必然要承担一定的社会责任。勇于承担责任是做人的基本原则，是公民的根本义务。相信这些话一定非常熟悉，我们从小就已经学习过这些做人的道理。但是在生活中，我们到底有没有履行自己的义务，有没有去勇于承担自己的责任?勇于承担责任不是微乎其微的小事。"勿以恶小而为之，勿以善小而不为”，就是勇于承担责任的具体表现。从小事做起，不仅因为能促使我们养成敢于承担责任的习惯，更因为它是一个不断提升自我的过程。Dashboard界面操作-查看项目在Dashboard界面点击左侧导航栏的身份管理查看项目，将它展开，如图：4-1图4-1查看项目Dashboard界面操作-用户管理用户是指使用云的用户，显示的内容包括用户名、描述、邮箱和用户id等。点击Dashboard界面中的身份管理，将其展开，再点击身份管理目录下的用户节点，可以看到，其默认提供了7个用户。Admin和demo是云的管理和测试用户，剩下的就是各组件服务的用户，如图4-2所示。图4-2用户管理Dashboard界面操作-组管理组是用户的集合，在Dashboard界面中，点击导航栏左侧的身份管理下的组便能展示组，组列表中会显示组的名称、描述、组id和动作，如图4-3所示。图4-3组管理Dashboard界面操作-创建项目点击身份管理下的项目，选择创建项目，项目名称为test，描述为this

is

a

test，激活默认被勾选，然后等待创建完成，如图4-4所示。图4-4创建项目Dashboard界面操作-查看项目图4-5查看项目Dashboard界面操作-修改项目在右边有个管理成员选项，点击管理右边的下拉菜单，选择编辑项目，可以修改项目名称、描述、激活状态；项目成员里可以选择添加或删除用户，如图4-6所示。图4-6修改项目Dashboard界面操作-查看使用量

下拉菜单还能选择修改组、查看使用量、修改配额和删除组。查看使用量能看到当前项目实例名称、vCPU的数量、磁盘状态、内存和时间等情况，如图4-7所示。图4-7查看使用量Dashboard界面操作-查看项目概况

点击创建的项目的名称，可以看到项目的概况、用户和组，如图4-8所示。图4-8查看项目概况Dashboard界面操作-创建用户在Dashboard界面中单击左侧导航栏的身份管理，点击其目录下的用户选项，单击右侧的创建用户按钮，可以创建一个新用户，用户名和密码是必填项，可以为新用户指定主项目，如图4-9所示。图4-9创建用户Dashboard界面操作-修改用户在动作下面的编辑选择对用户user1修改，可以编辑用户详情，包括主项目，如图4-10所示。图4-10修改用户Dashboard界面操作-编辑下拉菜单在编辑下拉列表可以选择更改用户密码、禁用用户和删除用户，如图4-11所示。图4-11编辑下拉菜单Dashboard界面操作-查看用户信息查看用户user1的信息，选择用户名下面的user1用户，如下图4-12所示。图4-12查看用户信息Dashboard界面操作-查看用户概况点击用户user1，在概况里面可以看到用户的名称、id、域名、域id、描述、邮箱、激活、密码过期、主项目等内容，如图4-13所示。图4-13查看用户概况Dashboard界面操作-角色分配在角色分配内通常包括项目、域系统范围、角色等内容，如图4-14所示。图4-14角色分配Dashboard界面操作-组管理在组里面可以看到组的名称、描述、组id等内容，如图4-15所示。图4-15组Dashboard界面操作-创建组在Dashboard界面，点击左侧导航栏的身份管理下拉列表的组，在组的右上方有个创建组选项,单击创建组，名称为必填项，现在创建一个testgroup组，如图4-16所示。图4-16创建组Dashboard界面操作-查看组图4-17查看组Dashboard界面操作-添加和删除组在动作下拉列表可以选择编辑和删除组，点击动作下的管理成员选项可以选择添加和删除用户，如图4-18所示.图4-18添加和删除组Dashboard界面操作-创建角色在Dashboard界面中点击左侧导航栏的身份管理下拉列表的角色，在其右上方有创建角色的选项，下面创建名称为role01的角色，单击提交即可创建成功，如图4-19所示。图4-19创建角色Dashboard界面操作-删除角色删除角色role01,勾选名称为role01的角色，单击右上角的删除角色，弹出下图所示的对话框，点击删除角色按钮，即可删除，如图4-20所示。图4-20删除角色基于命令行界面进行身份管理操作显示项目列表由于命令较多，管理员可以使用

–help来辅助[root@controller~]#openstackproject--helpCommand"project"matches:projectcreateprojectdeleteprojectlistprojectpurgeprojectsetprojectshow基于命令行界面进行身份管理操作使用以下命令来显示所有的项目，包括它们的id和名字[root@controller~]#openstackprojectlist+----------------------------------+-----------+|ID|Name|+----------------------------------+-----------+|9982d3e56878438d895644c76b4c9ac1|service||f503feac93744ca4ac348d0e103911e3|admin||ffcd94cc525b4d8c952fc81f717f39fc|myproject|+----------------------------------+-----------+基于命令行界面进行身份管理操作【创建项目】创建一个service1项目，命令如下[root@controller~]#openstackprojectcreate--domaindefault--description通过以上命令运行结果如图4-21所示。图4-21创建service1基于命令行界面进行身份管理操作列出所有项目[root@controller~]#openstackprojectlist通过以上命令运行结果如图4-22所示。图4-22列出所有项目基于命令行界面进行身份管理操作删除项目[root@controller~]#openstackprojectdeleteservice1[root@controller~]#openstackprojectlist通过以上命令运行结果如图4-23所示。图4-23列出项目基于命令行界面进行身份管理操作显示项目的详细信息[root@controller~]#openstackprojectshowadmin通过以上命令运行结果如图4-24所示。图4-24查看项目的详细信息基于命令行界面进行身份管理操作临时禁用项目[root@controller~]#openstackprojectsetmyproject01–disable（临时禁用myproject01项目）[root@controller~]#openstackprojectshowmyproject01通过以上命令运行结果如图4-25所示。图4-25禁用项目基于命令行界面进行身份管理操作修改项目名称[root@controller~]#openstackprojectsetmyproject--nameabc[root@controller~]#openstackprojectlist通过以上命令运行结果如图4-26所示。图4-26修改项目名称基于命令行界面进行身份管理操作用户管理，常用的用户配置命令如下[root@controller~]#openstackuser–helpCommand“user”matches:usercreateuserdeleteuserlistuserpasswordsetusersetusershow基于命令行界面进行身份管理操作查看所有用户信息[root@controller~]#openstackuserlist通过以上命令运行结果如图4-27所示。图4-27查看所有用户基于命令行界面进行身份管理操作创建用户[root@controller~]#openstackusercreate--projectabc--password123456users1创建用户成功结果如图4-28所示。图4-28查看所有用户基于命令行界面进行身份管理操作修改用户[root@controller~]#openstackusersetusers1–disable（设置临时禁用用户）[root@controller~]#openstackusershowusers1修改用户信息成功结果如图4-29所示。图4-29修改用户基于命令行界面进行身份管理操作组管理，常用组命令[root@controller~]#openstackgroup–helpCommand“group”matches:groupaddusergroupcontainsusergroupcreategroupdeletegrouplsitgroupremoveuser基于命令行界面进行身份管理操作创建组[root@controller~]#openstackgroupcreate--description"Itisagroup"group1创建组成功结果如图4-30所示图4-30创建组基于命令行界面进行身份管理操作向组中添加用户[root@controller~]#openstackgroupaddusergroup1users1[root@controller~]#openstackgrouplist添加用户成功结果如图4-31所示图4-31向组中添加用户基于命令行界面进行身份管理操作角色管理，常用角色配置命令[root@controller~]#openstackrole–helpCommand“role”matches:roleassignmentlistrolecreateroledeleterolelistroleremoverolesetroleshow基于命令行界面进行身份管理操作查看角色列表[root@controller~]#openstackrolelist通过以上命令运行结果如图4-32所示图4-32查看角色列表基于命令行界面进行身份管理操作查看角色详细信息[root@controller~]#openstackroleshowadmin查看角色详细信息结果如图4-33所示图4-33查看角色详细信息基于命令行界面进行身份管理操作创建角色[root@controller~]#openstackrolecreaterole01创建角色成功结果如图4-34所示图4-34创建角色基于命令行界面进行身份管理操作分配角色[root@controller~]#openstackroleadd--useruser1--projectmyprojectrole-01[root@controller~]#openstackroleassignmentlist--useruser1--projectmyproject--names通过以上命令运行结果如图4-35所示图4-35列出角色基于命令行界面进行身份管理操作删除角色[root@controller~]#openstackroleremove--useruser1--projectmyprojectrole-01[root@controller~]#openstackrolelist--useruser1--projectmyproject手动安装和部署keystone1、创建Keystone数据库安装配置身份服务前，需要创建一个数据库。每个组件都有一个属于自己的数据库用来储存后端数据，使用正确的root密码连接到到数据库。执行以下命令来创建Keystone数据库（数据库名Keystone）[root@controller~]#mysql-uroot-p123456WelcometotheMariaDBmonitor.Commandsendwith;or\g.YourMariaDBconnectionidis8Serverversion:10.3.18-MariaDBMariaDBServerCopyright(c)2000,2018,Oracle,MariaDBCorporationAbandothers.Type'help;'or'\h'forhelp.Type'\c'toclearthecurrentinputstatement.MariaDB[(none)]>createdatabasekeystone;QueryOK,1rowaffected(0.002sec)再依次给Keystone数据库授予合适权限（这里将Keystone账户访问数据库的密码设置为KEYSTONE_DBPASS）MariaDB[(none)]>grantallprivilegesonkeystone.*to'keystone'@'localhost'\identifiedby'keystone_dbpass';（授予keystone账户全部权限）MariaDB[(none)]>grantallprivilegesonkeystone.*to'keystone'@'%'\identifiedby'KEYSTONE_DBPASS';（授予来自任何地方的Keystone账户全部权限）退出数据库MariaDB[(none)]>exitByeMariaDB[(none)]>grantallprivilegesonkeystone.*to'keystone'@'localhost'\identifiedby'keystone_dbpass';（授予keystone账户全部权限）MariaDB[(none)]>grantallprivilegesonkeystone.*to'keystone'@'%'\identifiedby'KEYSTONE_DBPASS';（授予来自任何地方的Keystone账户全部权限）退出数据库MariaDB[(none)]>exitBye手动安装和部署keystone2、安装和配置Keystone组件[root@controller~]#yuminstall-yopenstack-keystonehttpdmod_wsgi其中openstack-keystone是Keystone的软件包名。Keystone是基于于WSGI的Web应用程序，而httpd是一个兼容WSGI的Web服务器，所以还要安装好httpdmod_wsgi编辑/etc/keystone/keystone.conf配置文件，修改以下内容[database]（配置数据库访问）connection=mysql+pymysql://keystone:KEYSTONE_DBPASS@controller/keystone[token]（在[token]节中配置Fernet令牌提供者）provider=fernet初始化Keystone数据库[root@controller~]#su-s/bin/sh-c"keystone-managedb_sync"keystone初始化fernet密钥库来生成令牌[root@controller~]#keystone-managefernet_setup--keystone-userkeystone--keystone-groupkeystone[root@controller~]#keystone-managecredential_setup--keystone-userkeystone--keystone-groupkeystone手动安装和部署keystone这两个命令完成了Keystone对自己的授权，创建了一个Keystone用户和组，并对它们授予权限。Keystone对其他组件提供认证服务，首先要对自己进行验证。对Keystone服务进行初始化命令如下：[root@controller~]#keystone-managebootstrap--bootstrap-passwordADMIN_PASS\--bootstrap-admin-urlhttp://controller:5000/v3/\--bootstrap-internal-urlhttp://controller:5000/v3/\--bootstrap-public-urlhttp://controller:5000/v3/\--bootstrap-region-idRegionOne这是最基本的初始化过程，会创建API端点和生成管理员密码。配置ApacheHTTP服务，编辑/etc/httpd/conf/httpd.conf配置文件，修改ServerName，使其指向控制节点ServerNamecontroller，需创建一个链接文件，具体命令如下：[root@controller~]#ln-s/usr/share/keystone/wsgi-keystone.conf/etc/httpd/conf.d/到此完成Keystone的安装。启动ApacheHTTP服务并将其配置开机自动启动：[root@controller~]#systemctlenablehttpd.service[root@controller~]#systemctlstarthttpd.service手动安装和部署keystone导出环境变量来配置用户环境，vimadmin-openrc在里面加入以下内容：exportOS_USERNAME=admin#管理员账户exportOS_PASSWORD=ADMIN_PASS#密码exportOS_PROJECT_NAME=admin#项目exportOS_USER_DOMAIN_NAME=Default#域名exportOS_PROJECT_DOMAIN_NAME=DefaultexportOS_AUTH_URL=http://controller:5000/v3#认证URLexportOS_IDENTITY_API_VERSION=3#指定版本信息生成环境变量：[root@controller~]#sourceadmin-openrc通过执行openstackservicelist命令来验证Keystone是否安装成功，也可以在控制节点访问http://controller:5000/v3网址来验证。[root@controller~]#curlhttp://controller:5000/v3{"version":{"status":"stable","updated":"2019-07-19T00:00:00Z","media-types":[{"base":"application/json","type":"application/vnd.openstack.identity-v3+json"}],"id":"v3.13","links":[{"href":"1:5000/v3/","rel":"self"}]}}手动安装和部署keystone创建域、项目、用户和角色创建域，Keystone安装过程中创建一个默认域，使用openstackdomainlist命令能查看，创建项目：使用openstackprojectlist能查看已创建的默认项目，openstackprojectcreate–domain–description“Demo”Project”demo这是一条创建demo项目的命令。创建一个demo用户密码为DEMO_PASS。[root@controller~]#openstackusercreate--domaindefault--password-promptdemoUserPassword:RepeatUserPassword:这里需要输入两次设置的密码创建角色：Keystone提供三个默认的角色：：admin、member和reader，使用以下命令查看已有角色。[root@controller~]#openstackrolelist+----------------------------------+--------+