Atom feed of this document
  

 为令牌绑定配置身份服务

令牌绑定内嵌了外部认证机制的信息,诸如Kerberos服务或X.509证书。通过使用令牌绑定,客户端可强制使用指定外部认证机制的令牌。此额外的安全机制确保,假如令牌被偷,没有额外的认证是无法使用的。

keystone.conf文件中为令牌绑定配置认证类型:

[token]
bind = kerberos

[token]
bind = x509

kerberosx509 目前均支持。

要强制检查令牌绑定,为这些模式的其中一种设置enforce_token_bind属性:

  • 禁用

    禁用令牌绑定检查。

  • 许可

    启用绑定检查,如果令牌绑定到一个未知的认证机制,服务会忽略它。默认是此模式。

  • 严格

    启用绑定检查。如果令牌绑定到一个未知的认证机制,服务会拒绝它。

  • 必须

    启用检查,需要为令牌使用至少一种认证机制。

  • kerberos

    启用绑定检查,需要为令牌使用kerberos作为认证机制:

    [token]
    enforce_token_bind = kerberos
  • x509

    启用绑定检查。需要为令牌使用X.509作为认证机制:

    [token]
    enforce_token_bind = x509
Questions? Discuss on ask.openstack.org
Found an error? Report a bug against this page


loading table of contents...