keystone详解

keystone的详细功能

keystone的基本概念
* User（用户）：用户身份认证，一个用户可以关联多个租户，
* Tenant（租户）：相当于用户组的概念，一个Tenant可以容纳多个用户
* Role（角色）：关联到user和tenant，
* server（服务）：服务的类型和名称（一般类型有identity，compute，network，image，object-store。）
* Endpoint（端点）：服务的实例，（URL的入口）

keystone的模块；
* Token；用来生成管理token
* Catalog： 用来存储和管理service和endpoint
* indetity：用来管理user，tenant，role的认证
* Policy：用来管理访问权限

keystone的流程解释：
1，用户香keystone发送用户名和密码，通过验证之后，keystone会向临时I用户返回一个临时的token和service catalog，
2，用户用这个临时的token向catalog列表中的keystone的endpoint请求tanant，入股通过验证则返回tenant
信息
3，用户向列表中选取tenant，再次行keysone请求，keytone验证通过后返回与该tenant相关的的catalog信息和token，
4，用户用token以及tenant向catalog中的nava服务端点请求开虚拟机，nova向keystone验证请求是否合法，a，token是合法，b，这个租户是否有权限向nova请求服务；
5，keystone返回nova，a该租户具有访问权限，b，toekn合法，c，token属于该租户
6，nova根据自己的规则来半段用户是否具有开启虚拟机的权利，如果有则开启，并向用户报告状态，

keystone：包含一个命令行接口，可以与keystone api交互，管理相关的服务；
keystone-all：用于验证，面向管理员和和用户的api；
keystone-manage；管理keystone命令行接口，用户管理和keystone相连接的数据库；
keytone token-get 获取token

创建服务

 keystone service-create --name=keystone -- type=identity --description="Keystone Identity Service“

 keystone endpoint-create --service_id c27c729c081447b283db6aa405a2fa55 -- publicurl 'http://192.168.1.188:5000/v2.0' -- adminurl 'http://192.168.1.188:35357/v2.0' -- internalurl 'http://192.168.1.188:5000/v2.0' -- region admin

Token Formats:
1,uuid :通用唯一识别码 (Universally Unique
Identifier)，这是一个软件建构的标准,
[token]
provider=kestone.token.providers.uuid.Provider
2,pki :Public Key Infrastructure的首字母缩写，翻译过来就是公钥基础设施；
3,pkiz :
【2.3】的配置如下：
provider=keystone.token.provicers.[pki|pkiz].Provider
[signing]
cerfile=/….（证书签名文件路径）
keyfile=/….（证书密钥路径)
ca_certs=/…(证书路径)