Atom feed of this document
  

 身份的外部认证

当身份服务运行在 apache-httpd中时,你可以使用外部认证的方法,这不同与由身份存储后端所提供的认证。举例来说,你可以使用一SQL身份后端和X.509认证以及Kerberos,来代替使用用户名和密码的方式。

 使用HTTPD认证

web服务器,例如Apache HTTP,支持多种认证方式。身份服务允许web服务器去执行认证。web服务器然后传送所认证过的用户给身份服务,这是通过使用 REMOTE_USER环境变量实现的。此用户必须已经存在于后端的身份中,从而可以从控制器获取到令牌。要使用此方法,认证服务须运行在apache-httpd中。

 使用 X.509

以下是Apache配置的用户摘要认证,基于从一个已知的CA的合法的X.509证书。

    <VirtualHost _default_:5000>
        SSLEngine on
        SSLCertificateFile    /etc/ssl/certs/ssl.cert
        SSLCertificateKeyFile /etc/ssl/private/ssl.key

        SSLCACertificatePath /etc/ssl/allowed_cas
        SSLCARevocationPath  /etc/ssl/allowed_cas
        SSLUserName          SSL_CLIENT_S_DN_CN
        SSLVerifyClient      require
        SSLVerifyDepth       10

        (...)
    </VirtualHost>
Questions? Discuss on ask.openstack.org
Found an error? Report a bug against this page


loading table of contents...