OpenStack Identity service简介
2017-02-23 23:30
176 查看
Identity service,对应代码项目为Keystone,是OpenStack默认的身份管理系统,是OpenStack众多服务中的一个,用以对用户进行认证和鉴权,是访问OpenStack其他服务的基础。
Identity service支持基于Token的认证和基于“用户-服务”的授权,以REST API的形式提供服务。
1.Identity service的版本
Identity service v1,没有正式发布。
Identity service v2,从OpenStack的Mitaka版本开始deprecated,并将在OpenStack的Queens版本移除。
Identity service v3,OpenStack的Liberty版本开始提供。
2.Identity service的安装
1)安装MySQL数据库管理系统
CREATE DATABASE keystone
2)安装(包括Apache HTTP服务器和mod_wsgi模块)
yum install openstack-keystone httpd mod_wsgi
3)配置文件/etc/keystone/keystone.conf
4)使用keystone命令行工具keystone-manage
初始化
启动,管理端口http://controller:35357/v3/,公共服务端口http://controller:5000/v3/
3.Identity service的认证机制
采用PKI,Public Key Infrastructure,三要素如下:
public/private key pair
X509 certificate
CA
4.Identity service的Token
1)token的组成
user_id
domain_id
project_id
2)token的作用域(scopes)
unscoped token, 只是为了在Keystone中标明某用户存在,但是没有任何授权,该类型的Token还必须生成有作用域的Token
project-scoped token,基于project作用域的Token
domain-scoped token,基于domain作用域的Token
3)token的类型(types)
UUID,默认token
fernet,非持久的token
PKI,过时了,包含认证上下文和服务编目的签名档
PKIZ,过时了,压缩了的PKI
参考文献: https://wiki.openstack.org/wiki/Keystone https://github.com/openstack/keystone https://docs.openstack.org/developer/keystone/ http://specs.openstack.org/openstack/keystone-specs/#identity-v3-api http://specs.openstack.org/openstack/keystone-specs/#v2-0-api
Identity service支持基于Token的认证和基于“用户-服务”的授权,以REST API的形式提供服务。
1.Identity service的版本
Identity service v1,没有正式发布。
Identity service v2,从OpenStack的Mitaka版本开始deprecated,并将在OpenStack的Queens版本移除。
Identity service v3,OpenStack的Liberty版本开始提供。
2.Identity service的安装
1)安装MySQL数据库管理系统
CREATE DATABASE keystone
2)安装(包括Apache HTTP服务器和mod_wsgi模块)
yum install openstack-keystone httpd mod_wsgi
3)配置文件/etc/keystone/keystone.conf
4)使用keystone命令行工具keystone-manage
初始化
启动,管理端口http://controller:35357/v3/,公共服务端口http://controller:5000/v3/
3.Identity service的认证机制
采用PKI,Public Key Infrastructure,三要素如下:
public/private key pair
X509 certificate
CA
4.Identity service的Token
1)token的组成
user_id
domain_id
project_id
2)token的作用域(scopes)
unscoped token, 只是为了在Keystone中标明某用户存在,但是没有任何授权,该类型的Token还必须生成有作用域的Token
project-scoped token,基于project作用域的Token
domain-scoped token,基于domain作用域的Token
3)token的类型(types)
UUID,默认token
fernet,非持久的token
PKI,过时了,包含认证上下文和服务编目的签名档
PKIZ,过时了,压缩了的PKI
参考文献: https://wiki.openstack.org/wiki/Keystone https://github.com/openstack/keystone https://docs.openstack.org/developer/keystone/ http://specs.openstack.org/openstack/keystone-specs/#identity-v3-api http://specs.openstack.org/openstack/keystone-specs/#v2-0-api
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- Chapter 3 OpenStack认证服务(Identity service)
- Install and Configure OpenStack Identity Service (Keystone) for Ubuntu 14.04
- openstack setup demo Identity service
- Install and Configure OpenStack Identity Service (Keystone)
- 二OpenStack 安装 Identity Service - Keystone
- [Android][Service简介]
- Java Service Wrapper简介与使用
- Action/Service/DAO简介
- OpenStack简介和相关资料
- JAVA多线程Callable、Executors -- ExecutorService简介
- openstack架构简介J版(更新中)
- IdentityServer4 中文文档 -7- (简介)贡献
- activiti入门七(identityService介绍)
- Android Service简介
- Android基础service简介
- OpenStack云计算快速入门之一:OpenStack及其构成简介
- Android之旅七 Service简介
- WindowsAzure存储服务(StorageService)简介
- ServiceStack 项目实例 000 简介
- Web Service简介