Atom feed of this document
  

 keystone 信任认证

从IceHouse发布后,OpenStack的身份信任是一种新引进的认证方法。

信托是OpenStack认证的扩展,其提供了委托的办法,并通过OpenStack的身份可选模拟。关键的术语是trustor (委托人)和trustee (所接受委托的用户)。

要创建一个信任,trustor(在此情况下用户在编排模块中创建栈)提供OpenStack信任的下面信息:

  • trustee的ID(你打算给委托给谁,在此情况下的编排服务用户)。

  • 该角色被委派(通过配置heat.conf,但是它需要包括能够代表用户执行的延期操作的任何角色,例如为响应自动扩展事件而启动一个OpenStack计算实例)。

  • 是否启用模拟。

OpenStack 认证提供一个 trust_id,它可以被信任人 (且 仅能是 信任人) 获取一个 trust scoped token。如果在创建时狗选了的话,这个令牌在是有限制范围的,这样信任人对授予了角色具有有限的访问权,以及信任用户的有效模拟。更多信息请阅读在认证管理小节。

下列步骤是信任认证的执行过程:

  1. 用户通过API请求来创建一个栈(仅需要令牌)。

  2. Orchestration 使用令牌来创建一个栈拥有者 (委托人) 和栈服务用户 (受托人) 之间的委托,代表一个在 heat 配置文件中的 trusts_delegated_roles 列表里的特定的角色 (或多个角色)。默认情况下,heat 从委托人到受托人都设置了所有的可用角色。开发者们可能修改了这个列表来显示本地 RBAC 策略,如确保 heat 进程在模拟一个栈拥有者时仅能访问那些期望的服务。

  3. 编排组件会加密trust id 并存放在编排数据库中。

  4. 当需要进行一个延期的操作时,Orchestration 检索 trust id,然后请求一个委托范围的令牌,这个令牌允许服务用户在延期操作过程中扮演栈拥有者,例如启动一些需要栈拥有者支持的 OpenStack 计算实例来负责 AutoScaling 事件。

Questions? Discuss on ask.openstack.org
Found an error? Report a bug against this page


loading table of contents...