认证服务（keystone）

Keystone职能：

Keystone (OpenStack ldentityService）是OpenStack中的一个独立的提供安全认证的模块，主要负责openstack用户的身份认证、令牌管理、提供访问资源的服务目录(指引路径)、以及基于用户角色的访问控制。

Keystone提供路径指引服务前提：

Keystone类似一个服务总线，或者说是整个Openstack框架的注册表，其他服务通过keystone来注册其服务的Endpoint(服务访问的URL)，任何服务之间相互的调用，需要经过Keystone的身份验证，来获得目标服务的Endpoint来找到目标服务。

主要功能：

身份认证(Authentication) ：令牌的发放和校验；用户授权(Authorization)：授予用户在一个服务中所拥有权限；用户管理(Account) ：管理用户账户；服务目录(Service Catalog)：提供可用服务的API端点。

---

安装、配置keystone（controller）

实验环境：compute：已安装：chronyd、openstack；ip：192.168.90.100

controller：已安装：chronyd、openstack、mariadb、rabbitmq、memcached、etcd；ip：192.168.90.110；mysql密码：000000

一、创建keystone数据库并授权

连接数据库：mysql -uroot -p000000

新建数据库keystone：CREATE DATABASE keystone；

为keystone数据库用户分配权限，并设置用户keystone的密码为000000：下面两条语句把‘keystone’数据库所有表（keystone.*）的所有权限（ALL PRIVILEGES）授予本地主机（‘localhost’）及任意远程主机（‘%’）上的登录名为‘keystone’的用户，验证密码为‘000000’

GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'localhost' IDENTIFIED BY 'kspass';

GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'%' IDENTIFIED BY 'kspass';

退出：quit；

二、安装和配置

安装软件包： yum -y install openstack-keystone httpd mod_wsgi

编辑配置文件：/etc/keystone/keystone.conf

第1步：修改‘【database】’部分实现与数据库连接                【小技巧：esc   按\  输入要找内容    按N向下翻找查看】

 connection = mysql+pymysql：//keystone：000000@controller/keystone

第2步：修改‘【token】’部分配置令牌的加密方式。取消注释。使provider = fernet  生效

初始化keystone数据库：su -s /bin/sh -c "keystone-manage db_sync" keystone

查看数据库，确保初始化成功：

初始化令牌库：

 keystone-manage fernet_setup --keystone-user keystone --keystone-group keystone
 keystone-manage credential_setup --keystone-user keystone --keystone-group keystone
引导身份认证服务，其中设置了管理员密码为000000

keystone-manage bootstrap --bootstrap-password 000000 --bootstrap-admin-url http://controller:5000/v3 --bootstrap-internal-url 
http://controller:5000/v3 --bootstrap-public-url http://controller:5000/v3 --bootstrap-region-id RegionOne

三、配置http服务

编辑/etc/httpd/conf/httpd.conf，配置服务名称：ServerName controller

创建配置文件/usr/share/keystone/wsgi-keystone.conf的符号链接：ln -s /usr/share/keystone/wsgi-keystone.conf  /etc/httpd/conf.d/

重启Apache服务：systemctl enable/restart/status httpd

四、完成安装、模拟登陆验证

创建初始化环境变量文件：vi admin-login

 export OS_USERNAME=admin
 export OS_PASSWORD=000000
 export OS_PROJECT_NAME=admin
 export OS_USER_DOMAIN_NAME=Default
 export OS_PROJECT_DOMAIN_NAME=Default
 export OS_AUTH_URL=http://controller:5000/v3
 export OS_IDENTITY_API_VERSION=3

导入环境变量进行验证：source admin-login

export -p

五、创建域、项目、用户和角色（身份的验证是通过域、项目、用户和角色的组合来进行的。）

1、创建一个名称为example的新域：openstack domain create --description "An Example Domain" example

 2、新建一个名为service的新项目，属于example域：openstack project create --domain example --description "Service Project" service

3、 新建一个用户myuser，属于example域，密码设置为000000：openstack user create --domain example --password-prompt myuser

 4、新建角色myrole：openstack role create lpm

查看现有域列表: openstack domain list

现有用户列表：openstack user list

现有项目列表：openstack project list

查看角色列表：openstack role list

六、验证

查看是否可以不指定密码就可以获取到token信息（验证认证服务）

openstack token issue