OpenStack-keystone

1、Keystone 是OpenStack的组件之一，用于为OpenStack家族中的其它组件成员提供统一的认证服务，包括身份验证、令牌的发放和校验、服务列表、用户权限的定义等等。云环境中所有的服务之间的授权和认证都需要经过 keystone. 因此 keystone 是云平台中第一个即需要安装的服务。

2、作用和功能                                                                                                                               1.管理用户机器权限                                                                                                                    2.维护openstack services的endpoint                                                                                        3.Authentication（认证）和Authorization（鉴权）

3、Keystone中的几个概念：                                                                                                                 

1.User：指代任何使用OpenStack的实体，当User请求访问OpenStack时，keystone提供验证

2.Credentials（资格）：User用来证明自己身份的信息（用户名/密码、Token、API Key、其他高级方式） （身份服务建立时就会生成，存储在数据库中，用于对比鉴定身份信息是否正确） 

3.Authentication（验证）：Keystone验证User身份的过程，验证合格后会签发一个令牌Token                                                      

4.Token（令牌）：Authentication验证成功后会签发一个令牌，分配给user ，用作：访问Service的Credential（凭证）。  token并不是长久有效的，是有时效性的，在有效的时间内可以访问资源。                            

5.Project ：是一个人或服务所拥有的资源集合。用于将OpenStack的资源（计算、存储、网络）进行分组和隔离 ，注：资源的所有权属于Project而不是User                                                   User在使用Project（Tenant）的资源前，必须要与这个Project关联，并且制定User在Project下的Role，一个assignment(关联) 即：Project-User-Role                      

6.Service：OpenStack的Service包括：compute（Nova）、Block Storage（Cinder）、Object Storage（Swift）、Image Service（Glance）、Networking Service（Neutron），每个Service都会提供若干个Endpoint，User 通过 Endpoint访问资源和执行操作                        

7.Endpoint： 是一个网络上可访问的地址，通常是一个 URL。Service 通过 Endpoint 暴露自己的 API。 Keystone 负责管理和维护每个 Service 的 Endpoint。          

8.Role：安全包含两部分：Authentication（认证）和 Authorization（鉴权）

命令：openstack service list     查看Keystone服务是否开启                                                               openstack endpoint list  查看PAI端点创建结果