主題

OpenStack Administrator Guide - Identity

前言

這幾天開始我會講一系列的訂製服務，今天當系湍裝完成總不能每件事都靠著預設服務再進行八
那今天主要來聊聊訂製安全服務，其中會聊到建立使用者、網域配置、外部驗證

主要內容

建立使用者、專案、網域... ...

1.建立使用者alice

 openstack user create --password-prompt --email alice@example.com alice

2.建立專案default

openstack project create acme --domain default

3.建立網域名稱emea

openstack --os-identity-api-version=3 domain create emea

4.建立群組規則compute-user

openstack role create compute-user

5.加入群組規則

openstack role add --project acme --user alice compute-user

網域配置

sudo vim /etc/keystone/keystone.conf

1.啟用服務驅動(編輯設定檔)

[identity]
domain_specific_drivers_enabled = True
domain_config_dir = /etc/keystone/domains

2.在資料庫中配置啟用選項(編輯設定檔)

[identity]
domain_specific_drivers_enabled = True
domain_configurations_from_database = True

3.將配置同步到資料庫(指令)

sudo keystone-manage domain_config_upload --all

keystone-manage domain_config_upload --domain-name 網域名稱

外部驗證方式(HTTP)

今天我們可以使用外部驗證的方式而非使用帳號密碼組合，像是X509或是Kerberos
前往Apache設定檔並設定

<VirtualHost _default_:5000>
    SSLEngine on
    SSLCertificateFile    /etc/ssl/certs/ssl.cert
    SSLCertificateKeyFile /etc/ssl/private/ssl.key

    SSLCACertificatePath /etc/ssl/allowed_cas
    SSLCARevocationPath  /etc/ssl/allowed_cas
    SSLUserName          SSL_CLIENT_S_DN_CN
    SSLVerifyClient      require
    SSLVerifyDepth       10

    (...)
</VirtualHost>

金鑰驗證方式

sudo vim  /etc/keystone/keystone.conf

[token]
#kerberos or X509
bind = kerberos
#kerberos or X509
enforce_token_bind = kerberos

後記

今天內容比較屬於如何訂製KeyStone的服務，其中我並未提到LDAP的調整方法，大家可以私底下去看一下喔!!
希望大家可以在這一個月中讀到非常多的應用技巧，那如果有問題可以以私訊我的方式是使用問題回復，我會盡可能地回答問題，那會在後面統一做回覆，或者如果有想知道的相關的應用也可以提出討論喔。

參考資料

OpenStack Doc