3.1keystone管理认证用户

1
keystone管理认证用户
管理认证用户
绑定用户和租户权限
添加的用户需要分配一定的权限，这就需要把用户关联绑定到对应的租户 和角色。比如给用户“alice”分配“acme”租户下的“computeuser”角色，命令如下：
$ keystone user-role-add --user=alice --role=compute-user -tenant-id=7542b75f42014c1485edbddb2c1cab37
1
keystone管理认证用户
相关概念
使用云服务的用户不局限与是人也可以是系统 或者服务。用户可以通过指定的令牌登陆系统 并调用资源。用户可以被分配到特定项目并执 行项目相关操作。
在平台构建完毕之后系统会创建_member_、 admin两个用户权限，在系统中_member_表 示系统的普通用户的权限，拥有系统的正常使 用和对当前租户的管理权限。admin角色是代 表系统的管理员身份，对系统有绝对的管理权 限。
1
keystone管理认证用户
配置keystone应用环境
验证服务
Keystone服务安装完毕之后，可以通过请求身份令牌来验证服务。 具体命令如下：
$keystone --os-username=admin --os-password=000000 --os-auth-url=http://172.24.0.10:35357/v2.0 token-get
1
keystone管理认证用户
相关概念
租户（Tenant）
Tenant即租户，早期版本又称为project，它是 各个服务中的一些可以访问的资源集合。比如 通过nova创建虚拟机时要指定到某个租户中， 在cinder创建卷也要指定到某个租户中，用户 访问租户的资源前，必须与该租户关联，并且 指定该用户在该租户下的角色。
1
keystone管理认证用户
相关概念
角色（Role）
Role即角色，Role代表一组用户可以访问的 资源权限，例如Nova中的虚拟机、Glance 中的镜像。Users可以被添加到任意一个全 局的role或租户内的role中。在全局的role 中，用户的role权限作用于所有的租户，即 可以对所有的租户执行role规定的权限，在 租户内的role中，用户仅能在当前租户内执 行role规定的权限。
1
keystone管理认证用户
认证服务流程
服务申请认来自百度文库机制流程
1
keystone管理认证用户
配置keystone应用环境
验证服务
在安装Keystone服务之前需要指定一个用户名和密码通过认证服务来 进行身份认证，在开始阶段是没有创建任何的用户，所以必须使用授权 令牌和服务的访问接口来创建特定的用来做身份认证的用户，之后需要 创建一个管理用户的环境变量（admin-openrc.sh）来管理最终的凭证 和终端。 在安装Keystone服务之后，产生的主配置文件存放在/etc/keystone目 录，名为keystone.conf，在配置文件中需要配置初始的token值和数 据库的连接地址。
1
keystone管理认证用户
管理认证用户
创建租户
创建一个名为“acme”租户：
$keystone tenant-create --name=acme 从上面操作可以看出，创建租户需要租户名等相关信息。具体操作格式如 下： $keystone tenant-create --name <tenant-name>
云计算基础架构平台 技术与应用
学习目标
• 了解Keystone的基本概念。 • 理解Keystone的服务流程。 • 掌握租户、用户的不同创建方法 。 • 掌握不同的绑定权限的方法。
项目3
认证服务
01 任务
keystone管理认证用户
02 任务
创建租户、用户并
绑定用户权限
keystone管理认证用户
//以admin用户访问http://172.24.0.10:35357/v2.0地址获取token值
1
keystone管理认证用户
管理认证用户
创建用户
创建一个名称为“alice”账户，密码为“mypassword123”、邮箱为 “alice@example.com”。命令如下：
$keystone user-create --name=alice --pass=mypassword123 -email=alice@example.com
• 绑定用户和租户的权限
1
keystone管理认证用户
相关概念
认证（Authentication）
是确认允许一个用户访问的进程。为了确认 请求，OpenStack Identity 会为访问用户提 供证书，起初，这些证书是用户名和密码， 或 用 户 名 和 API key 。 当 OpenStack Identity认证体系接受了用户的请求之后， 它会发布一个认证令牌（token），用户在 随后的请求中使用这个令牌去访问资源中其 他应用。
[--description <tenant-description>] [--enabled <true|false>]
1
keystone管理认证用户
管理认证用户
创建角色
角色限定了用户的操作权限。如下创建一个角色“compute-user”：
$keystone role-create --name=compute-user 从上面操作可以看出创建角色需要角色名称信息。具体命令格式如下： $keystone role-create --name <role-name>
1
keystone管理认证用户
管理认证用户
绑定用户和租户权限
从上面操作可以看出，绑定用户权限需要用户名称、角色名称和租户名称 等信息。具体命令格式如下：
$keystone user-role-add --user <user> --role <role> [-tenant <tenant>]
1
keystone管理认证用户
管理认证用户
图形化用户管理
图形化界面操作
以管理员身份登录到 dashboard，进入“管 理员/认证面板/项目” 可以看到项目（租户） 列表如图所示。
1
keystone管理认证用户
管理认证用户
分配权限
单击图界面中的【修改用户】 按钮，进入“acme”项目中
。在这个界面中可以查看刚 加入用户“alice”，把该用 户分配给用户对应的角色 “compute-user”
1
keystone管理认证用户
相关概念
用户（User）
使用服务的用户，可以是人，服务或系统使用OpenStack相关服务的一个组织。例如一个租户 映射到一个Nova的“project-id”，在对象存储中，一个租户可以有多个容器。根据不同的安 装方式，一个租户可以代表一个客户、帐号、组织或项目。用户通过Keystone Identity认证 登陆系统并调用资源。用户可以被分配到特定项目并执行项目相关操作。 需要特别提出的是，OpenStack通过注册相关服务用户来管理服务，例如Nova服务注册nova 用户来管理相应的服务。对于管理员来说，需要通过keystone来注册管理用户。
任务要求
小李是某公司云计算助理工程师，在公司已经部署好的云计算
1
平台下，小李要学习如何配置keystone认证服务，并学习为公 司员工创建用户账号，管理用户权限。具体要求如下：
• 配置并启用认证服务
• 创建用户账号alice
• 创建租户acme，用于管理一组账户
• 创建角色compute-user，用于用户权限的管理
1
keystone管理认证用户
相关概念
证书（Credentials）
用于确认用户身份的数据。例如 ，用户名、密码或者API key ， 或认证服务提供的认证令牌。
令牌（Token）
通常指的是一串比特值或者字符串，用来作为 访问资源的记号。Token 中含有可访问资源的 范围和有效时间，一个令牌是一个任意比特的 文本，用于与其它OpenStack服务来共享信息 ，Keystone以此来提供一个central location ，以验证访问OpenStack服务的用户。令牌的 有效期是有限的，可以随时被撤回。
Thank YOU!