原文:http://blog.csdn.net/xxfigo/article/details/8785748

原作者关于openstack的一系列文章http://blog.csdn.net/xxfigo/article/category/1151758

基本概念

身份服务有两个主要功能:

1、用户管理:记录用户和他们的权限

2、服务目录:提供可用服务和该服务api的终端地址

身份服务定义了一些非常值得理解的定义:

用户(User):使用OpenStack云服务的人、系统、服务的数字表示。身份验证服务验证用户传入的请求。用户登录可能被赋予访问资源的令牌。用户可能直接被指定给一个特定租户,好像用户在这个租户中一样。

认证信息(Credentials):用户持有的,一般情况下只有这个用户知道的数据。用户能够使用这个数据来证明他的身份(因为没有其他人知道这个数据)。例如:

  • 配对的用户名和密码
  • 配对的用户名和API key
  • 自己和有你本人照片的驾驶证
  • 颁发给你不被其他人知道的令牌

认证(Authentication):在认证服务背景下,认证是确认用户身份和请求正确性的动作。身份服务确认传入的请求来自于有请求权限的用户。这些请求最初以一系列验证信息的形式出现(用户名和密码,或用户名和API key)。经过初始验证后,身份服务会颁发给用户一个令牌,在后续请求时用户可以用这个令牌说明他们的身份已经经过认证。

令牌(Token):令牌是用来访问资源的任意比特的文本。每个令牌有一个访问范围。令牌可在任意时间收回,并在一个有限的时间内有效。在Folsom版本中身份服务支持基于令牌的认证,未来将会支持额外的协议。首要目的是集成服务,不渴望成为一个成熟的身份存储和管理方案。

租户(Tenant):用来分组或隔离资源和(或)身份对象的容器。根据服务运营商,租户可以映射成一个客户、账户、组织或项目。

服务(Service):一个OpenStack服务,例如计算(nova),对象存储(swift)或镜像服务(glance)。服务提供一个或多个用户可以访问资源和执行(可能有用的)操作的端点。

端点(Endpoint):一个可通过网络访问的服务地址,通常使用URL描述。如果使用扩展,可以创建端点模板,它代表了所有可跨区域访问的服务。

角色(Role):可执行一特定系列操作的用户特性。角色包括一系列权利和特权。用户可继承其所属角色的权利和特权。在身份服务中,颁发给用户的令牌包括用户能承担的角色列表。这个用户调用的服务决定他们怎样解释这个用户所属的角色,以及每个角色授予访问的操作和资源。

用户管理

用户身份管理有三个主要的概念:

  • 用户Users
  • 租户Tenants
  • 角色Roles

用户代表一个人,他持有相关的信息,例如用户名、密码、电子邮件。下面的例子是创建一个名为“alice”的用户:

[plain] view
plaincopy

 
  1. $ keystone user-create --name=alice --pass=mypassword123 --email= alice@example.com

租户可以看做是一个项目、分组或组织。当你向OpenStack服务发送请求时,你必须之地一个租户。例如如果你要向计算服务请求查询运行实例的列表,你将收到在你查询里指定租户内的运行实例列表。下面的例子创建一个名为“acme”的租户。

[plain] view
plaincopy

 
  1. $ keystone tenant-create --name=acme

注意!因为在以前的OpenStack计算版本中使用术语“项目”来代替租户,一些命令行工具使用--project_id代替--tenant-id或--os-tenant-id指定租户ID。

角色归纳了给定租户下允许用户执行的操作。以下例子创建一个名为“compute-user"的角色:

[plain] view
plaincopy

 
  1. $ keystone role-create --name=compute-user

注意!这取决于单个的服务(比如计算服务和镜像服务)分配这些角色的意义。至于身份服务而言,角色只是一个简单的名字。

身份服务将一个用户与租户、角色关联。继续我们前面的例子,我们希望在租户“acme”中给用户”alice”分配“compute-user”权限。

[plain] view
plaincopy

 
  1. $ keystone user-list
  2. +--------+---------+-------------------+--------+
  3. | id | enabled | email | name |
  4. +--------+---------+-------------------+--------+
  5. | 892585 | True | alice@example.com | alice |
  6. +--------+---------+-------------------+--------+
  7. $ keystone role-list
  8. +--------+--------------+
  9. | id | name |
  10. +--------+--------------+
  11. | 9a764e | compute-user |
  12. +--------+--------------+
  13. $ keystone tenant-list
  14. +--------+------+---------+
  15. | id | name | enabled |
  16. +--------+------+---------+
  17. | 6b8fd2 | acme | True |
  18. +--------+------+---------+
  19. $ keystone user-role-add --user=892585 --role=9a764e --tenant-id=6b8fd2

可以在不同的租户中给用户分配不同的角色。例如Alice可以在租户“Cyberdyne”中拥有“admin”角色。在同一个租户中,也可以给用户分配多个角色。

/etc/[SERVICE_CODENAME]/policy.json控制给定服务允许用户进行的操作。例如/etc/nova/policy.json指定计算服务的访问策略,/etc/glance/policy.json指定镜像服务的访问策略,/etc/keystone/policy.json指定身份服务的访问策略。

计算、身份、镜像服务中默认的policy.json文件只有一个“admin"角色:里面所有不需要admin角色的操作可以被租户中任意角色的用户访问。

如果你希望在例如计算服务中限制用户执行操作,你需要在身份服务中创建角色,然后修改/etc/nova/policy.json文件使这个角色应用到计算操作中。

例如,下面/etc/nova/policy.json中的这一行指定对用户创建卷不做限制:不论用户在租户中是有何种角色,他们都可以在租户中创建卷。

[plain] view
plaincopy

 
  1. "volume:create":[],

如果你希望限制当前租户中有”compute-user"角色的用户才能创建卷,可以增加“role:compute-user",例如这样:

[plain] view
plaincopy

 
  1. "volume:create": ["role:compute-user"],

如果我们希望限制所有的计算服务请求都需要这个角色,策略文件是这样的:

[plain] view
plaincopy

 
  1. {
  2. "admin_or_owner": [["role:admin"], ["project_id: %(project_id)s"]],
  3. "default": [["rule:admin_or_owner"]],
  4. "compute:create": ["role":"compute-user"],
  5. "compute:create:attach_network": ["role":"compute-user"],
  6. "compute:create:attach_volume": ["role":"compute-user"],
  7. "compute:get_all": ["role":"compute-user"],
  8. "admin_api": [["role:admin"]],
  9. "compute_extension:accounts": [["rule:admin_api"]],
  10. "compute_extension:admin_actions": [["rule:admin_api"]],
  11. "compute_extension:admin_actions:pause": [["rule:admin_or_owner"]],
  12. "compute_extension:admin_actions:unpause": [["rule:admin_or_owner"]],
  13. "compute_extension:admin_actions:suspend": [["rule:admin_or_owner"]],
  14. "compute_extension:admin_actions:resume": [["rule:admin_or_owner"]],
  15. "compute_extension:admin_actions:lock": [["rule:admin_api"]],
  16. "compute_extension:admin_actions:unlock": [["rule:admin_api"]],
  17. "compute_extension:admin_actions:resetNetwork": [["rule:admin_api"]],
  18. "compute_extension:admin_actions:injectNetworkInfo": [["rule:admin_api"]],
  19. "compute_extension:admin_actions:createBackup": [["rule:admin_or_owner"]],
  20. "compute_extension:admin_actions:migrateLive": [["rule:admin_api"]],
  21. "compute_extension:admin_actions:migrate": [["rule:admin_api"]],
  22. "compute_extension:aggregates": [["rule:admin_api"]],
  23. "compute_extension:certificates": ["role":"compute-user"],
  24. "compute_extension:cloudpipe": [["rule:admin_api"]],
  25. "compute_extension:console_output": ["role":"compute-user"],
  26. "compute_extension:consoles": ["role":"compute-user"],
  27. "compute_extension:createserverext": ["role":"compute-user"],
  28. "compute_extension:deferred_delete": ["role":"compute-user"],
  29. "compute_extension:disk_config": ["role":"compute-user"],
  30. "compute_extension:extended_server_attributes": [["rule:admin_api"]],
  31. "compute_extension:extended_status": ["role":"compute-user"],
  32. "compute_extension:flavorextradata": ["role":"compute-user"],
  33. "compute_extension:flavorextraspecs": ["role":"compute-user"],
  34. "compute_extension:flavormanage": [["rule:admin_api"]],
  35. "compute_extension:floating_ip_dns": ["role":"compute-user"],
  36. "compute_extension:floating_ip_pools": ["role":"computeuser"],
  37. "compute_extension:floating_ips": ["role":"compute-user"],
  38. "compute_extension:hosts": [["rule:admin_api"]],
  39. "compute_extension:keypairs": ["role":"compute-user"],
  40. "compute_extension:multinic": ["role":"compute-user"],
  41. "compute_extension:networks": [["rule:admin_api"]],
  42. "compute_extension:quotas": ["role":"compute-user"],
  43. "compute_extension:rescue": ["role":"compute-user"],
  44. "compute_extension:security_groups": ["role":"compute-user"],
  45. "compute_extension:server_action_list": [["rule:admin_api"]],
  46. "compute_extension:server_diagnostics": [["rule:admin_api"]],
  47. "compute_extension:simple_tenant_usage:show": [["rule:admin_or_owner"]],
  48. "compute_extension:simple_tenant_usage:list": [["rule:admin_api"]],
  49. "compute_extension:users": [["rule:admin_api"]],
  50. "compute_extension:virtual_interfaces": ["role":"computeuser"],
  51. "compute_extension:virtual_storage_arrays": ["role":"computeuser"],
  52. "compute_extension:volumes": ["role":"compute-user"],
  53. "compute_extension:volumetypes": ["role":"compute-user"],
  54. "volume:create": ["role":"compute-user"],
  55. "volume:get_all": ["role":"compute-user"],
  56. "volume:get_volume_metadata": ["role":"compute-user"],
  57. "volume:get_snapshot": ["role":"compute-user"],
  58. "volume:get_all_snapshots": ["role":"compute-user"],
  59. "network:get_all_networks": ["role":"compute-user"],
  60. "network:get_network": ["role":"compute-user"],
  61. "network:delete_network": ["role":"compute-user"],
  62. "network:disassociate_network": ["role":"compute-user"],
  63. "network:get_vifs_by_instance": ["role":"compute-user"],
  64. "network:allocate_for_instance": ["role":"compute-user"],
  65. "network:deallocate_for_instance": ["role":"compute-user"],
  66. "network:validate_networks": ["role":"compute-user"],
  67. "network:get_instance_uuids_by_ip_filter": ["role":"computeuser"],
  68. "network:get_floating_ip": ["role":"compute-user"],
  69. "network:get_floating_ip_pools": ["role":"compute-user"],
  70. "network:get_floating_ip_by_address": ["role":"compute-user"],
  71. "network:get_floating_ips_by_project": ["role":"computeuser"],
  72. "network:get_floating_ips_by_fixed_address": ["role":"computeuser"],
  73. "network:allocate_floating_ip": ["role":"compute-user"],
  74. "network:deallocate_floating_ip": ["role":"compute-user"],
  75. "network:associate_floating_ip": ["role":"compute-user"],
  76. "network:disassociate_floating_ip": ["role":"compute-user"],
  77. "network:get_fixed_ip": ["role":"compute-user"],
  78. "network:add_fixed_ip_to_instance": ["role":"compute-user"],
  79. "network:remove_fixed_ip_from_instance": ["role":"computeuser"],
  80. "network:add_network_to_project": ["role":"compute-user"],
  81. "network:get_instance_nw_info": ["role":"compute-user"],
  82. "network:get_dns_domains": ["role":"compute-user"],
  83. "network:add_dns_entry": ["role":"compute-user"],
  84. "network:modify_dns_entry": ["role":"compute-user"],
  85. "network:delete_dns_entry": ["role":"compute-user"],
  86. "network:get_dns_entries_by_address": ["role":"compute-user"],
  87. "network:get_dns_entries_by_name": ["role":"compute-user"],
  88. "network:create_private_dns_domain": ["role":"compute-user"],
  89. "network:create_public_dns_domain": ["role":"compute-user"],
  90. "network:delete_dns_domain": ["role":"compute-user"]
  91. }

openstack中的身份管理的更多相关文章

  1. Azure Active Directory中的特权身份管理如何运作?

    [TechTarget中国原创] 用户权限不是平等的.有些用户需要有大量权利和特权——通常这些都是管理员.企业在允许特权用户进行管理以及支持活动时,还需要意识到特权用户也有可能犯错.他们会犯错.他们可 ...

  2. 003-官网安装openstack之-keystone身份认证服务

    以下操作均在控制节点进行 1.控制节点安装keystone服务 概念理解: Keystone是OpenStack框架中,负责身份验证.服务规则和服务令牌的功能, 它实现了OpenStack的Ident ...

  3. 云计算openstack核心组件——keystone身份认证服务

    一.Keystone介绍:       keystone 是OpenStack的组件之一,用于为OpenStack家族中的其它组件成员提供统一的认证服务,包括身份验证.令牌的发放和校验.服务列表.用户 ...

  4. openstack核心组件——keystone身份认证服务(5)

    云计算openstack核心组件——keystone身份认证服务(5) 部署公共环境 ntp openstack mariadb-server rabbitmq-server memcache 1.w ...

  5. 云计算OpenStack核心组件---horizon Web管理界面(9)

    一.horizon介绍 Horizon 为 Openstack 提供一个 WEB 前端的管理界面 (UI 服务 )通过 Horizone 所提供的 DashBoard 服务 , 管理员可以使用通过 W ...

  6. 云计算OpenStack核心组件---keystone身份认证服务(5)

    一.Keystone介绍: keystone 是OpenStack的组件之一,用于为OpenStack家族中的其它组件成员提供统一的认证服务,包括身份验证.令牌的发放和校验.服务列表.用户权限的定义等 ...

  7. OpenStack中Keystone的基本概念理解

    原文http://www.kankanews.com/ICkengine/archives/10788.shtml Keystone简介 Keystone(OpenStack Identity Ser ...

  8. openstack中eventlet使用

    openstack中使用eventlet的协程来实现并发. 第一种,使用eventlet.GreenPool来管理绿色线程 如l3-agent在开启了8个绿色线程来处理router消息 def _pr ...

  9. Azure Service Bus 中的身份验证方式 Shared Access Signature

    var appInsights=window.appInsights||function(config){ function r(config){t[config]=function(){var i= ...

随机推荐

  1. CloudNotes:一个云端个人笔记系统

    很长时间没有更新博客了,一直在忙着工作和生活琐事,虽然偶尔也有闲暇之时,但短短的几个小时空闲又未必能够静下心来.最近一个多月突发奇想,将自己在近一年前做的一个自己用的云端个人笔记系统重构美化了一下,增 ...

  2. Javascript 接口模拟

    Javascript接口模拟可以通过三种方式实现文档手段(注释).辅助类和鸭式辨. 第一种和第二种只形式上体现没有真正的实现. 鸭式辨实现原理是:"只要能像鸭子一样叫和走就是鸭子" ...

  3. Xamarin.Android之引导页的简单制作

    0x01 前言 对于现在大部分的APP,第一次打开刚安装或更新安装的APP都会有几个引导界面,通常这几个引导页是告诉用户 APP有些什么功能或者修改了什么bug.新增了什么功能等等等. 下面就用Xam ...

  4. XML文档操作集锦(C#篇)

    在JSON没流行起来的时候xml一直作为程序存储配置信息的主流介质:特别是小型数据表方面还是不错的选择,所以经常涉及到的操作无非也就是增删改查,这篇博客主要是对这些对比较常用的操作做了个简单的总结 文 ...

  5. urlMappings与URL映射

    此配置节的作用就是往Web程序中添加URL的映射,从而达到用户访问映射后的URL(如/Page/AAA)也能访问到源URL(如/Page/PageAAA.aspx)的效果.这也是URL映射本来的作用. ...

  6. Entity FrameWork 6帮助类

    public class BaseDAL { string strConn = ""; public BaseDAL(string connString) { strConn = ...

  7. 从零开始学Python第六周:面向对象基础(需修改)

    标签(空格分隔): 面向对象 一,面向对象基础 (1)面向对象概述 面向过程:根据业务逻辑从上到下写代码 函数式:将某功能代码封装到函数中,日后便无需重复编写,仅调用函数即可 面向对象:对函数进行分类 ...

  8. 【夯实Mysql基础】记一次mysql语句的优化过程

    1. [事件起因] 今天在做项目的时候,发现提供给客户端的接口时间很慢,达到了2秒多,我第一时间,抓了接口,看了运行的sql,发现就是 2个sql慢,分别占了1秒多. 一个sql是 链接了5个表同时使 ...

  9. WebAPI生成可导入到PostMan的数据

    一.前言 现在使用WebAPI来作为实现企业服务化的需求非常常见,不可否认它也是很便于使用的,基于注释可以生成对应的帮助文档(Microsoft.AspNet.WebApi.HelpPage),但是比 ...

  10. javascript实现下雪效果

    原理: 1.js动态创建DIV,指定CLASS类设置不同的背景图样式显示不同的雪花效果. 2.js获取创建的DIV并改变其top属性值,当下落的高度大于屏幕高后删除该移动div 3.好像不够完善勿喷 ...