云計算基礎(chǔ)平臺搭建與應(yīng)用課程教案

授課題目：第11講OpenStack的認證中心Keystone

教學(xué)時數(shù)：3授課類型：0理論課0實踐課

教學(xué)目的、要求：

了解OpenStack的基本名詞

了解Keystone的功能

了解Keystone的組件構(gòu)成及功能

了解Keystone的基本工作過程

能夠安裝配置Keystone認證組件

教學(xué)重點：

了解OpenStack的基本名詞

Keystone的組件構(gòu)成及基本工作過程

安裝配置keystone服務(wù)

教學(xué)方法和手段：

通過微課講解

跟著視頻實作

教學(xué)條件：

網(wǎng)課

參考資料：

o

云計算基礎(chǔ)平臺搭建與應(yīng)用課程教案

教學(xué)內(nèi)容及過程旁批

課前準備：

檢查自己前面的系統(tǒng)配置是否完全完成，必須完成后才能進入這一段學(xué)習(xí)。

教學(xué)引入：

OpcnStack云計算平臺是由OpcnStack的多個功能組件組成。猶如搭積木一樣，各

個功能組件構(gòu)成了云計算平臺，那應(yīng)該先搭建哪一個組件呢？由于OpenSiack的所有

組件都要通過“Keystone”組件的認證才能夠進入云管理平臺，因此首先安裝身份認

證組件：“Keyslone”。

教學(xué)內(nèi)容與教學(xué)設(shè)計：

IL]Keystone的基本概念

H.1J基本名詞解釋

從本章開始我們將要接觸很多OpenStack的專業(yè)名詞，如域、項目、服務(wù)、端點、

用戶、角色、憑據(jù)、鑒權(quán)、令牌、組等，感覺好復(fù)雜的樣子呢。下面我們通過一個

淺顯的例子來理解它們。

假設(shè)我投資了一個網(wǎng)吧，這個質(zhì)吧就是項目（Project）。該網(wǎng)吧對外提供多種服務(wù)

（Service）,比如上網(wǎng)、泡方便面、叫外賣等。為了知道客戶想要什么服務(wù)，每個

服務(wù)都有一個不同的服務(wù)地址，只要你來到這個地址就能使用對應(yīng)的服務(wù)，如到前

臺可以泡方便面，這里的地址就是服務(wù)端點（Endpoint）。在這個項目里，我、網(wǎng)

管和來上網(wǎng)的人都是用戶（User）,我們都可以使用該網(wǎng)吧的服務(wù)。但我們在網(wǎng)吧

里的權(quán)限又不一樣，因為我們的角色（Role）不一樣。我的角色是老板，我有查賬

的權(quán)限；網(wǎng)管的角色是管理員，負貢收銀和軟硬件管理；其他人的角色是顧客，只

能上網(wǎng)與消費。用戶來到服務(wù)端點后并不是馬上就可以使用服務(wù)，得把身份憑據(jù)

（Credentials）提供出來由系統(tǒng)進行鑒權(quán)（Authentication）以判斷是否可以使用該

服務(wù)（比如年齡不到不允許使月上網(wǎng)服務(wù)）。當(dāng)通過鑒權(quán)后會給發(fā)給你一個令牌

（Token）,每次你要使用項目中某項服務(wù)的時候只需要出示令牌即可。比如你還

需要買方便面時只需要出示令牌由管理員進行記賬即可，不需要再次鑒權(quán)。另外，

為了便于管理還可以將若干個用戶分為若干組（Group）,如VIP組收費打八折，

一般會員組收費打九折，這實際是進行批最權(quán)限設(shè)定，你進了這個組就有了這個組

的所有權(quán)限。隨著業(yè)務(wù)擴大，乂開設(shè)了很多連鎖加盟店（不同的項目），顯然每個

加盟店有自己的用戶，不能拿著一個網(wǎng)吧的會員卡到另一個網(wǎng)吧消費。此時我們可

以把部分項目（Project）和用戶（User）劃到一個域（Domain）中，并規(guī)定只有本

域中的用戶才能使用本域中項目的資源。

其中域（Domain）、項目（Project）、組（Group）、用戶（User）、角色（Role）

的關(guān)系圖如圖11.1所示。

域

(I)項目(Project)

Project是可?供用戶訪問的資源集合，不同的項目(Project)之間資源是隔離的。

(2)用戶(User)

Usei?指代任何擁有身份驗證信息來使用OpenStack的實體，它屬于特定的域(Domain),

可以是真正的使用人、其他系統(tǒng)或者服務(wù)。OpenStack中自帶了“admin”用戶，該用

戶從屬于“admin”項目并且分配有“admin”角色。用戶必須要指定一個項目(Project)

才可以申請使用OpenStack的服務(wù)。

(3)域(Domain)

Domain是項目(Project)和用戶(User)的集合。默認存在“default”域，如果沒有

創(chuàng)建域，所有項目和用戶都使用“default”域。

(4)角色(Role)

Role是預(yù)定義的權(quán)限集合。OpenStack自帶兩個預(yù)定義角色，即“admin”和“member”。

“member”角色提供普通用戶訪問權(quán)限。"admin”角色提供整個OpenStack環(huán)境的管

理特權(quán)。如果項目中的用戶被分配了“admin”角色，則該用戶獲得與“admin”用戶

相司的特權(quán)?！癮dmin”用戶不僅是所屬項目的管理員，還能夠管理OpenStack環(huán)境中

的所有項目。

(5)組(Group)

Group是域中的部分用戶的集合。通過分配角色到組，可以批量向在該組中的所有用

戶分配權(quán)限。

(6)憑據(jù)(Credentials)

是Keystone驗證用戶身份時需要的身份驗證數(shù)據(jù)。這些數(shù)據(jù)包含用戶名、密碼、項目

名、域名等信息。

(7)鑒權(quán)(Authentication)

鑒權(quán)(Authentication)是Keystone通過檢查用戶的憑據(jù)(Credentials)來確定用戶的

身份的過程。當(dāng)用戶的憑據(jù)(Credentials)通過驗證后，Keystone給用戶提供身份驗證

令牌(Token),讓用戶能夠訪同該服務(wù)。

(8)令牌(Token)

令牌(Token)是一個加密字符串，作為訪問資源的“通行證”。一個Token包含了在

指定范圍和有效時間內(nèi)可以被訪問的資源信息o

(9)服務(wù)(Service)

即Openstack中提供的組件服務(wù)，如計算服務(wù)、鏡像服務(wù)等。

(10)端點(Endpoint)

一個可以通過網(wǎng)絡(luò)來訪問和定位某個服務(wù)(Service)的地址，通常是一個URL地址。

如“http:〃controller:5000/v3"就是Keystone組件對外提供服務(wù)的端點。

2

Endpoint分為三類：

①admin-url：給管理員提供服務(wù)的地址

②intcrnal-url：給OpcnStack內(nèi)部組件提供服務(wù)的地址

③public-url：給其他用戶提供服務(wù)的地址

在OpenSlackTrain版中這三類端點是一樣的，只是保留了不同的定義而已。

11.1.2Keystone基本架構(gòu)

圖1.2Kcysionc服務(wù)后端支持模塊

如圖11.2所示，Keystone的服務(wù)（Service）是由Token、Catalog>IdentityPolicyH

大后端模塊所支持的。

（I）Tokenbackend

顧名思義該模塊用來生成和管理Token令牌。

（2）Catalogbackend

用來存儲和管理服務(wù)（Service）、服務(wù)端點（Endpoint）o

（3）Identitybackend

用來管理項目（Project）、用戶（User）、角色（Role）和提供驗證服務(wù)。

（4）Policybackend

用來管理所有訪問的權(quán)限。

11.1.3Keystone認證的基本步驟

UserKevstoncGlanceNeutron

總）發(fā)送憑證請求監(jiān)證

:②驗證通過返回令牌

③攜令牌請求■剛艮務(wù)創(chuàng)建出川機

嚴驗證令牌及權(quán)限

f⑤脂證通過-

-------!

⑥攜令牌請求Glance服務(wù)獲得鏡像

I

⑦粉i￡令麗及權(quán)限

⑧驗證通過

3

I

⑨提供鏡像

⑩攜令牌請求Neutron服務(wù)綁定戰(zhàn)n

I

:?驗證令枕及權(quán)取;

￡}~?驗證通過\

?綁定扁口成功

?生成比擬隊

圖1L3虛擬機生成步驟示意圖

從圖11.3可以看出，對OpenStack中任何服務(wù)的訪問都要經(jīng)過Keystone的鑒權(quán)。

3

Keystone的鑒權(quán)分為兩種：

（1）判斷用戶憑證是否合法

用戶初次使用服務(wù)時需要提交給Keystone用戶名、密碼等用戶憑證信息。Keystone

進行鑒權(quán)判斷是否為合法用戶，如果是則頒發(fā)令牌（Token）。在頒發(fā)的令牌中包

含有川戶對服務(wù)的使用權(quán)限、令牌的失效時間等信息。拿著令牌就可以在系統(tǒng)內(nèi)通

行了。

（2）判斷用戶令牌是否合法

當(dāng)用戶（User）使用OpenStack的任一組件服務(wù)時都需要提交已獲得的令牌。提供

服務(wù)的組件將收到的令牌提交給KeyStone判斷該令牌是否合法，是否過期，是否

有權(quán)獲得服務(wù)等。只有通過了KeyStone的驗證后服務(wù)才會響應(yīng)相應(yīng)的請求。

11.2安裝與配置Keystone認證服務(wù)

為了避免接下來的工作中由于操作不當(dāng)造成系統(tǒng)重裝的風(fēng)險，我們將前期工作進行

拍攝快照保存。由于本章工作只在控制節(jié)點上實施，因此只需要給控制節(jié)點拍攝快

照，詳細操作請參閱任務(wù)6.4。

11.2.1安裝和配置Keystone

（I）安裝Keystone軟件包

[root@controlleryuminstallopenstack-keystonehttpdmod_wsgi-y

這里安裝了三個軟件：“openstack-keystonew,“httpd,"mod_wsgi”。

openstack-keystone是Keystone的軟件包；Keystone組件實限是一款基于服務(wù)器網(wǎng)

關(guān)接口（WSGD協(xié)議的Web應(yīng)用，它需要在支持WSGI協(xié)議的Web服務(wù)器上運行；

Hupd是一個Web服務(wù)器，當(dāng)它安裝上mod_wsgi擴展模塊就能支持WSGI協(xié)議，

以滿足Keystone的運行需要。

在安裝opcnstack-keystonc包的時候，同時也會在系統(tǒng)自動創(chuàng)建名為“keystone”的

用戶以及同名用戶組。我們可以用如下兩種方式查看系統(tǒng)自動生成的“keyslone”

用戶和“keystone”用戶組的相關(guān)信息。

①查看keystone用戶信息

lroot@controllcrcat/etc/passwd|grepkeystone

[root（acontroller~]#cat/etc/passwd|grepkeystone

keystone:x:163:163:OpenStackKeystoneDaemons:/var/lib/keystone:,sbin/nologin

能看見已經(jīng)存在“keystone”用戶。

②查看keystone用戶組信息

（root@controllercal/etc/group|grepkeystone

[rootleontroller~]#cat/etc/group|grepkeystone

keystone：x：163:

能看見已經(jīng)存在“keystone”用戶組。

（2）創(chuàng)建keystone數(shù)據(jù)庫并授權(quán)

①進入數(shù)據(jù)庫

[root@controller~]#mysql-uroot-pOOOOOO

因為MariaDB數(shù)據(jù)庫完全兼容MySql數(shù)據(jù)庫，因此在使用方式上是與MySql數(shù)據(jù)

庫是一樣的。該命令的參數(shù)-u后為用戶名，-p后為密碼，不需要空格。

4

[root(acontroller-]#mysql-uroot-pQOOOOO

WelcometotheMariaDBmonitor.Commandsendwith;or\g.

YourMariaDBconnectionidis22

Serverversion:10.3.10-MariaDBMariaDBServer

Copyright(c)2000,2018,Oracle,MariaDBCorporationAbandothers.

Type'help;'or'\h'forhelp.Type'\c'toclearthecurrentinputsttement.

MariaDB[(none)]>|

②建立keystone數(shù)據(jù)庫

MariaDB[(none)]>CREATEDATABASEkeystone;#劃建,個名為keystone

的數(shù)據(jù)庫

【提示】SQL命令需要作為結(jié)束符，不要忘記。

③為數(shù)據(jù)庫授權(quán)

MariaDB[(none)]>GRANTALLPRIVILEGESONkeystone.*TO

'keystone^'localhost'IDENTIFIEDBY'KEYSTONE_DBPASS':

MariaDB[(none)]>GRANTALLPRIVILEGESONkeystone.*TO

,keystone'?'%*IDENTIFIEDBYKEYSTONE_DBPASS,;

上面兩條語句把“keystone”數(shù)據(jù)庫所有表(keystone.*)的所有權(quán)限(ALL

PRIVILEGES)賦予本地主機(hcalhost)及任意遠程主機「％，)中名為keystone

的用戶，驗證密碼為“KEYSTONE_DBPASS”。

【提示】OpenStack的密碼都可以根據(jù)實際需要進行設(shè)置，但一定要記住它們！

④退出數(shù)據(jù)庫

MariaDB((none)]>exit;

(3)修改Keystone配置文件

[roo(@controller~]#vi/etc/keystone/keystone.conf

這是一個很長的配置文件，我們首先配置Keystone組件使用的數(shù)據(jù)庫。

利用vi的搜索功能，搜索到[daiabase]區(qū)域，增加或者修改

connection=

mysql+pymysql://keystone:KEYSTONE_DBPASS@con(roller/keyslone

該行配置數(shù)據(jù)庫連接信息：用戶“keystone”和密碼“KEYSTONE_DBPASS”

(keystone:KEYSTONE)去連接controller主機中的名字叫“keyslone”的數(shù)據(jù)庫

(@controller/keystone)。

【提示】這里設(shè)置的用戶名和密碼要和數(shù)據(jù)庫里對keystone數(shù)據(jù)庫授權(quán)時設(shè)置的用

戶名和密碼一致。

然后在[token]區(qū)域下取消注釋讓下面設(shè)置生效。

provider=fernet

Keystone令牌有三種生成方式：UUID、PK1、Fernet。其中"Fernettokenv是當(dāng)前

主流推薦的token加密格式。它是一種輕量級的消息格式，不需要存儲于數(shù)據(jù)庫，

減少了磁盤的IO,帶來了一定的性能提升。一個"Fernettoken”的樣子長得像這

樣的:

gAAAAABeuBugyxruglqqhcvgl-4rHhlrd6Vl/lgOLdjbtnpvnKANkSqzndl^cwHky-oOc

06nU7jfaZhEpgnEnw8Csrw7nxrBclMY3xBtLwLY0DJBQhHyd55b8901Ot9UzXiv-YZ

Nk7jPYP3RzfUg8HmBUSI2SUmHd2eYcrowUq32c7hv7gODLoA

在這個字符串中存儲了用加密密鑰加密后的用戶信息、權(quán)限信息、過期時間信息等。

Keystone在驗證的時候?qū)⒂媒饷苊荑€進行解密獲得原始信息。

(4)同步數(shù)據(jù)庫

Keystone安裝后已經(jīng)提供了數(shù)據(jù)庫的基礎(chǔ)表數(shù)據(jù)，但還沒有導(dǎo)入到數(shù)據(jù)庫中，我們需

要手動將數(shù)據(jù)同步導(dǎo)入到數(shù)據(jù)庫中。

|root@controller~]#sukeystone-s/bin/sh-c"keystone-m￡nagedb_sync"

[命令解釋]

sukeystone」^換至【Jkeystone用戶，因為只有keystone用戶【安裝時自動創(chuàng)建的用

5

戶）1用有對keystone數(shù)據(jù)庫.完全操作的權(quán)限所以要切換到keystone用戶來執(zhí)行同步，

執(zhí)行完后將把用戶切換回root用戶；

?s；bin/sh：-s為su命令的參數(shù),指定用什么編譯器（Shell）來執(zhí)行命令,“/bin/sh”

就是指定的編譯器；

-C：為SU的參數(shù)，后面在引號內(nèi)的是具體執(zhí)行的命令；

keystone-manage：是用來同Keysione服務(wù)進行交互的命令行工具。

keystone-nianage的命令格式：

keyslone-manage[參數(shù)]具體操作（action）

keystone-manage常見操作：

dh_sync：同步數(shù)據(jù)摩；

fernet_setup：創(chuàng)建一個"Fernelkey”倉庫，用于令牌（token）加密；

crcdcntial_sctup：創(chuàng)建一個“Fernetkey”倉庫，用于憑證[credential）加密：

bootstrap：認證引導(dǎo)服務(wù),初始化Keystone的登錄信息；

loken_flush：清除過期的tokeno

(5)檢查同步后的數(shù)據(jù)庫

[root@controller-]#mysql-uroot-pOOOOOO#進入到數(shù)據(jù)庫

MariaDB[(none)]>usekeystone;#轉(zhuǎn)換到keystone數(shù)據(jù)庫

MariaDB|kcystonc]>showtables;#查詢該數(shù)據(jù)庫中所有的表

MariaDB[(none)]>usekeystone；

Roadingtableinformationforcompletionoftabloandcolumnnames

Youcanturnoffthisfeaturetogetaquickerstartupwith-A

Databasechanged

MariaDB[keystone]>showtables;

ITables_in_keystone

|access_rule

|access_token

Iapplication^redential

Iapplication^redential_access_rule|

Iapplication^redential_role

Iassignment

Iconfig_register

|consumer

jcredential

|endpoint

見到如上數(shù)據(jù)庫表列表時表示數(shù)據(jù)庫導(dǎo)入成功。

11.2.2Keystone組件初始化

（1）初始化Fernet密鑰存儲庫

lroot@controllcr-J#keystone-managefernct_sctup-keystone-userkeystone

—keystone-groupkeystone

該命令將自動創(chuàng)建u/ctc/kcystonc/fcrnct-kcys/v目錄，并生成兩個Fernet密鑰放到

目錄下。此密鑰用于加密和解密令牌（token）。

[root@controiler?]#keystone-managecredential_se（up-keystone-userkeystone

—keystone-groupkeystone

該命令將自動創(chuàng)建“/etc/keystone/credential-keys/”目錄，并生成兩個Fernet密鑰放

到目錄下。此密鑰用于驗證用戶憑證的正確性。當(dāng)token過期后需要重新輸入用戶

名和密碼等相關(guān)憑證，該密鑰完成對憑證的加密和解密工作。

（2）初始化身份認證引導(dǎo)

已知OpenStack有一個默認用戶為“admin”，但現(xiàn)在還沒有對應(yīng)的密碼等登錄所

必需的信息。下面我們用keystone-managebootstrapw命令來給admin用戶初始化

它的登錄信息。以后登錄時只需要比對用戶名、密碼等信息就可以進行鑒權(quán)。

[root@controller~]#keystone-managebootstrap-bootstrap-passwordADMIN_PASS

—bootstrap-admin-urlhttp://controller:5000/v3/--bootstrap-internal-url

http://controllcr:5000/v3/-bootstrap-public-urlhttp://controllcr:5000/v3/

6

—bootstrap-region-idRegionOne

【命令及參數(shù)解釋】

keystone-managebootstrap：給系統(tǒng)初始化鑒權(quán)所需要的登錄信息；

-bootstrap-password：設(shè)置admin用戶的密碼；

-bootstrap-admin-url：設(shè)置admin用戶使用的服務(wù)地址(endpoint)；

-bootstrap-internal-url：設(shè)置內(nèi)部用戶使用的服務(wù)地址(endpoint)；

-bootstrap-public-ur：設(shè)置其他用戶使用的服務(wù)地址(endpaint)；

-bootstrap-region-id：設(shè)置區(qū)域ID名稱，用于配置集群服務(wù)。

從命令中可以看到admin-ur)internal-urlpublic-ur都是司樣的地址，均指向

Keystone的服務(wù)端點。

(3)創(chuàng)建wsgi配置文件軟鏈接

[root@controller-]#In-s/usr/share/keystone/wsgi-keyslone.conf

/ctc/httpd/conf.d/

該命令將wsgi-keyslone.conf文件軟鏈接到了“/etc/htlpd/conf.d/”這個目錄下面，鏈

接完成后在該目錄下可以看到“wsgi-keystone.conf”文件。這里并不是把該文件拷

貝過去，只是建立了一個映射，類似于快捷方式。因為“/etc/httpd/conf.d/"目錄下

的conf文件都是Apache的配置文件，所以這個命令讓“wsgi-keystone.conf”也成

為Apache的配置文件之一。該配置文件讓Apache能夠應(yīng)用mod_wsgi模塊以支持

WSGI協(xié)議。

(4)修改Apache配置，啟動Apache服務(wù)

Keystone本質(zhì)上是一個WEB應(yīng)用，所以要借助WEB服務(wù)器運行。Apache就是一

個WEB服務(wù)器應(yīng)用，它的服務(wù)名為“httpd”。

①修改Apache配置

[root@control)er~]#vi/etc/httpd/conf/httpd.conf

配置服務(wù)器的名稱為控制節(jié)點的名稱：

ServerNamecontroller

②重啟Apache服務(wù)

[root@controller~]#systemcllenablehltpd#開機啟動

froot@controller-]#systemctlrestarthttpd#重新啟動

]L3鑒權(quán)并驗證Keystone月艮務(wù)

11.3.1鑒權(quán)

在以上的操作中，我們設(shè)置了OpenStack用戶“admin”的密碼為“ADMIN_PASS”。

現(xiàn)在該如何通過Keystone的認證登入系統(tǒng)呢？我們首先需要養(yǎng)權(quán)，判斷用戶是否是

合法用戶。我們可以通過環(huán)境變最傳送用戶名及密碼等相關(guān)登錄信息給KcyStone,

由它進行鑒權(quán)。

(I)創(chuàng)建初始化環(huán)境變量文件

[root@controller?]#viadmin-openre

在文件中寫入如下命令

exportOS_USERNAME=admin

exportOS_PASSWORD=ADMIN_PASS

exportOS_PROJECT_NAME=admin

exportOS_USER_DOMAIN_NAME=Dcfault

exportOS_PROJECT_DOMAIN_NAME=Default

exportOS_AUTH_URL=http://controller:5000/v3

export0S」DENTITY_API_VERSI0N=3

exportOS」MAGE_API_VERSION=2

在這里面我們定義了要登錄OpenStack系統(tǒng)用戶名(OSUSERNAME)是“admin”，

7

登錄密碼(OS_PASSWORD)是“ADMIN.PASS”，用戶屬干的域

(OS_USER_DOMAIN_NAME)是“Default”，項目屬于的域

(OS_PROJECT_DOMAIN_NAME)是“Default”，認證地址(OS_AUTH_URL)

是“hllp:〃congller:5000/v3"，Keystone版本號(OS」DENTITY_API_VERSION)

是“3”，鏡像管理應(yīng)用的版本號(OS」MAGE_API_VERSION)是“2”。

（2）導(dǎo)入環(huán)境變量進行鑒權(quán)

[root@control)er~]#.admin-openrc#運行

[root@controllcrexport-p#查看環(huán)境變量

declare-xOSAUTHURL="http://controller:5。。。八3"

declare-XOS-IDENTITYAPIVERSI0N="3"

declare-xOSZPASSWORD="ADMIN_PASS"

declare-xOS二PROJECTDOMAIN_NAME="Default"

declare-xOS_PROJECTNAME="admin"

declare-xOS_USERNAME="admin"

declare-xOS_USERDOMAINNAME="Default"

能看到如上結(jié)果，說明環(huán)境變量導(dǎo)入成功。這里的環(huán)境變量就是模擬用戶登錄時將

用戶名、密碼等信息提供給KcyStone來驗證是否允許其登錄。

11.3.2驗證Keystone服務(wù)

(I)創(chuàng)建service項目

[root@controller~]#openstackprojectcreate—domaindefaultservice

+...........

|Field|Value

|description1

|domainiddefault

|enabledTrue

1id47d45382a2af45d8b27503f6ff202835|

1is_domainFalse

Inameservice

|options{}

|parent_iddefault

1tags[]1

【命令解釋】

uopenstackprojectcreateM：創(chuàng)建一個項目；

u-domaindefault"：該項目建立在“default”這個域下，該域名必須存在；

“service”：這是新項目的名。

【提示】系統(tǒng)存在一個默認名為“Default”、ID名為“default”的域，由于在“-domain”

后的輸入既可以是域的名字，也可以是域的ID,所以在這里輸入Default和default均

可以。

[root@controller-]#openstackprojectlist#查看現(xiàn)有項目列表

十------------------------------------+---------+

|ID|Name|

+....................................+.........+

|64312f0b020f49e6919108e98948734e|service|

|a6d62f2801dc4f21bc635a8a2ce5acaa|admin|

(2)而還use必拓芯

lroot@controller-]#openstackrolecreateuser

+.....................+..............................................................+

|Field|Value|

|description|None

Idomainid|None

|id|635ao616d6b94a3ca92el6boi45e46d9|

|name|user

Ioptions|{}

⑶,…富X索號善谷豪呈三冷滔藏「就百「眉而赭色信息

如果在后面操作中看到“Missingvalueauth-urlrequiredforauthpluginpassword"這樣

的錯誤信息，說明用戶的登錄信息還沒有導(dǎo)入系統(tǒng)，只需將上面創(chuàng)建的“admin-openrc”

導(dǎo)入到環(huán)境變量即可。

8

①查看己有域(Domain)

[root@controller-]#openstackdomainlist#查看域列表

[root@controller-]#openstackdomainlist

+.....................+...........+.....................+........................................+

|ID|Name|Enablec|Description|

|default|Default|True|Thedefaultdomain|

這里金們就能出看到存星一個名】Default,ID為default的域。

②查看已有項目(Project)

[root@controller-]#openstackprojectlist#查看項目列表

[root@controller~]#openstackprojectlist

+................................+........+

|ID|Name|

|40b08e3170cf4b8ebb08f8e5678670c3|admin

|47d45382a2af45d8b27503f6ff202835|service|

[root@controller-]#openstackuserlist#查看用戶列表

+...................................+......+

IID|Name|

+...................................+......+

|0765881dde56417c869c502faad9efb4|admin|

+...................................+......+

④杳看已有角色(Role)

[root@controller~]#openstackrolelist#查看角色列表

[root@controll?r-]#openstackrolelist

+...............................-+-......十

|ID|Name|

|10c9144b992e4c0485d37cc96bd50665|member|

|382e4d01c94f453a8e2269d7a9822ec9|user

|c9efa364650e46adb0dbabcef67509f6|admin|

Iff637b4fe56b4467a8f6c9f5fa3a078d|reader|

(4」…克薪岑麗一

lroot@controllcropenstacktokenissue

+....................+.................................................

IField|Value

|expires|2020-02-12T19:16:48+0000

I

|id|gAAAAABeREEQkhFVlqpMoIVRWaVNm2VcVVCvJPRwl

WCtKH00BxIan4SLkp7QfmexxGF4dHDV6oS7EBobH85TGe4eXR24D0c|

|projectid|bd8165865d6143d5bd0c07505699fe5e

I

|userid|0765881dde56417c869c502faad9efb4

每一次至彳亍―金媒扇冢虛晟二不葡&血疝司&會重新計算。這里的id

對應(yīng)的數(shù)據(jù)就是token值，expires是token的過期時間，projcct_id是項目id,uscr_id

是用戶id。

(5)檢查Keystone服務(wù)端點(Endpoint)

[root?controller?]#curlhtip://controller:5000

(root@controller-)#curlhttp:〃controller:5000

{"versions":{"values"：[{"status":"stable","updated"："2O19-O7-19TO0:OO:00Z",

"media-types":[{"base":"application/json","type":"application/vnd.openstack

.identity-v3+json"}],"id":"v3.13","links":[{"href":"http:〃controller:5009/

如果能夠獲得的如上的返回數(shù)據(jù)，說明服務(wù)端點(Endpoint)正常。

9

作業(yè)和思考題：

讓學(xué)生根據(jù)自己做的情況填寫報告

自檢表11.1Keystone安裝自檢工單

檢測結(jié)果

檢驗內(nèi)容檢驗方法價格標(biāo)準失敗原因

成功失敗

控制節(jié)點是否

能看到

建立了運行“ca【/eia^passwd|

"kcy$tonc”用戶

“keystone”用grepkeysKme**

信息

戶

拄制節(jié)點是否

運行"cal/etc/group|能看到

建立了

grepkcysionc”“keystone”用戶

“keystone”用

組信息

戶組

控制節(jié)點是否

能看到

建立了進入數(shù)據(jù)庫用“show

“keystone”數(shù)據(jù)

"keystone"數(shù)database;"

庫

捽庫

遠程與本地的

在數(shù)據(jù)庫中運行“show

“keystone”用“keystone”用尸

grantsfor

戶對數(shù)據(jù)庫是被授予r對

'keystone?%'："和

否擁有完全權(quán)"kcy$tonc”數(shù)據(jù)

showgrantsfor

限庫的先全控制權(quán)

,kcystonc'@'localhost";

限。

keystoneM數(shù)進入數(shù)據(jù)