Openstack Core Service -- Keystone

转载地址：

理解 Keystone 核心概念

通过例子学习 Keystone

 

What is Keystone?

Keystone is the identity service used by OpenStack for authentication (authN) and high-level authorization (authZ). It currently supports token-based authN and user-service authorization.

 

作为 OpenStack 的基础支持服务，Keystone 做下面这几件事情：

1. 管理用户及其权限

2. 维护 OpenStack Services 的 Endpoint

3. Authentication（认证）和 Authorization（鉴权）

 

安全包含两部分：Authentication（认证）和 Authorization（鉴权） Authentication 解决的是“你是谁？”的问题 Authorization 解决的是“你能干什么？”的问题

 

Role

Keystone 是借助 Role 来实现 Authorization 的：

Service 决定每个 Role 能做什么事情 Service 通过各自的 policy.json 文件对 Role 进行访问控制。 下面是 Nova 服务 /etc/nova/policy.json 中的示例

OpenStack 默认配置只区分 admin 和非 admin Role。 如果需要对特定的 Role 进行授权，可以修改 policy.json。

 

Troubleshoot

 

OpenStack 排查问题的方法主要是通过日志。 每个 Service 都有自己的日志文件。

 

Keystone 主要有两个日志： keystone.log 和 keystone_access.log 保存在 /var/log/apache2/ 目录里(devstack环境)。

 

如果需要得到最详细的日志信息，可以在 /etc/keystone/keystone.conf 中打开 debug 选项

在非 devstack 安装中，日志可能在 /var/log/keystone/ 目录里。