OpenStack之认证服务（Keystone）

**1、安装与配置Keystone **

安装Keystone软件包

yum -y install openstack-keystone httpd mod_wsgi

查看用户/用户组信息，passwd文件所有包含keystone字符串行

cat /etc/passwd | grep keystone
cat /etc/group | grep keystone

进入MariaDB数据库服务器

mysql -uroot -p123456

新建“keystone”数据库

CREATE DATABASE keystone;

给用户授权使用新建数据库

GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'localhost' IDENTIFIED BY '123456';
GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'%' IDENTIFIED BY '123456';

退出数据库

quit；

**2、配置Keystone **

修改配置文件

vi /etc/keystone/keystone.conf

修改内容

#修改“[database]”部分实现与数据库连接 
connection = mysql+pymysql://keystone:123456@controller/keystone 
#修改“[token]”部分配置令牌的加密方式 
provider = fernet

初始化Keystone的数据库

su keystone -s /bin/sh -c "keystone-manage db_sync"

**3、Keystone组件初始化 **

初始化Fernet密钥库

keystone-manage fernet_setup --keystone-user keystone --keystone-group keystone

并在目录下生成两个Fernet密钥。这两个密钥用于加密解密用户凭证。

keystone-manage credential_setup --keystone-user keystone --keystone-group keystone

初始化用户身份认证信息

keystone-manage bootstrap --bootstrap-password 123456 --bootstrap-admin-url
http://controller:5000/v3 --bootstrap-internal-url http://controller:5000/v3
--bootstrappublic-url http://controller:5000/v3 --bootstrap-region-id RegionOne

配置Web服务（一）

ln -s /usr/share/keystone/wsgi-keystone.conf /etc/httpd/conf.d/

修改Apache服务器配置并启动Apache服务

vi /etc/httpd/conf/httpd.conf

#修改“ServerName”的值为Web服务所在的域名或IP地址。
ServerName controller

重启Apache服务

#定义端口：
semanage port -l|grep http
semanage port -a -t http_port_t -p tcp 5000

systemctl enable httpd
systemctl start httpd

**4、模拟登录验证 **

创建初始化环境变量文件

vi admin-login

#添加以下内容
export OS_USERNAME=admin
export OS_PASSWORD=123456
export OS_PROJECT_NAME=admin
export OS_USER_DOMAIN_NAME=Default
export OS_PROJECT_DOMAIN_NAME=Default
export OS_AUTH_URL=http://controller:5000/v3
export OS_IDENTITY_API_VERSION=3
export OS_IMAGE_API_VERSION=2

导入环境变量进行验证

source admin-login

然后可以用以下方法查看现有环境变量

export -p

检测Keystone服务

openstack project create --domain default project

查看列表

openstack project list

创建角色

openstack role create user

#查看角色列表
openstack role list