openstack keystone 用户管理

544323

openstack的keystone模块有用户管理和服务管理这两大块内容。这篇文章，先分析下用户管理。
一、概念理解
在讲用户管理，一定要先理解这三个概念：

• 用户（user）：现实生活中的你、我，他。在通俗点，就是一个人的账号名和密码。
  
  

openstack/keystone user-creat --name=xiaoming  --pass=password --email=xiaoming@qq,com

• 租户（tenant）：一个项目，也叫一个组织。一个租户里面，可以有一个或者多个用户。一个用户也可以属于不同租户。
  
  

openstack/keystone tenant-creat --name=ABC  --description="test"

• 角色(role)：在给定租户中用户可以操作的权限范围。
  
  

openstack/keystone role-creat --name=admin/_member_(openstack里面member前后各有一个下划线，很搞笑)
一般情况下，需要将用户、租户和角色关联起来，这样才能定义好。下面这个命令就是用户xiaoming在项目ABC里面具有_member_的权限。
keystone user-role-add --user=xiaoming --role=ABC --role=_member_

之前一直困恼我有个问题，就是角色到底有几种？原谅我是个实际派。是用户可以自己设置，还是openstack资源池统一预先设置。结合部署好的环境，我自己理解是openstack资源池里会统一定义好几种role，这块属于规划设计阶段的内容，并不对用户开放。
二、配置理解：
先来看一版部署环境中的user、tenant和role的设置。因为是已有环境且在neutron节点上查看的，需要先关联一个用户的环境变量。
#!/bin/sh
export LC_ALL=C
export OS_NO_CACHE='true'
export OS_TENANT_NAME='租户名'
export OS_PROJECT_NAME='租户名'
export OS_USERNAME='用户名'
export OS_PASSWORD='用户密码'
export OS_AUTH_URL='http://keystone的IP:5000/v2.0/'
export OS_AUTH_STRATEGY='keystone'
export OS_REGION_NAME='RegionOne'
export CINDER_ENDPOINT_TYPE='internalURL'
export GLANCE_ENDPOINT_TYPE='internalURL'
export KEYSTONE_ENDPOINT_TYPE='internalURL'
export NOVA_ENDPOINT_TYPE='internalURL'
export NEUTRON_ENDPOINT_TYPE='internalURL'
export OS_ENDPOINT_TYPE='internalURL'
export OS_VOLUME_API_VERSION=2
分别输入role是admin的用户和普通用户，来查看下通过keytone查看到的内容。
1、用admin用户
（1）查看user信息。可以查看到openstack资源池中的全部user信息。
[iyunv@testn-controller ~]# keystone user-list
+----------------------------------+------------------------------------------------+---------+--------------------------------------+

|                id                |                      name                      | enabled |                email                 |
+----------------------------------+------------------------------------------------+---------+--------------------------------------+
| 8a0d7901a32a45448cea64f60d0ec38b |               0000500022502500               |   True  |             fsf@163.com             |
| 62cdd9cd7f054327b684e5560d518f7c |               00010022002761-112               |   True  |          zonghu@163.com          |

（2）查看tenant信息。可以查看到openstack资源池中的全部tenant信息。
[iyunv@testn-controller ~]# keystone tenant-list
（3）查看role信息，可以发现有几个关键信息。
[iyunv@testn-controller ~]# keystone role-list
+----------------------------------+------------------+

|                id                |       name       |
+----------------------------------+------------------+
| 9fe2ff9ee4384b1894awww78d3e92bab |     _member_     |
| 5d881fe3c6044357a9f09fa575fd6f5f |      admin       |
| ade7d991d9d740b0a8f540wwwb0296f | heat_stack_owner |
| 3f397a3d8c4940fd9fc9fff17d475fe8 | heat_stack_user  |
| 54a47b232bed4fceb52ff11c101206 |   tenant_admin   |
| ae48825c33f146ef9ffb30c4e5ef851a |       user       |
+----------------------------------+------------------+
（4）查看当前用户user所对应的tenant和role。
[iyunv@testn-controller ~]# keystone user-role-list

+----------------------------------+-------+----------------------------------+----------------------------------+

|                id                |  name |             user_id              |            tenant_id             |
+----------------------------------+-------+----------------------------------+----------------------------------+
| 5d881fe3c604435fffffa575fd6f5f | admin | 64a80237dc464848566699263c481b37 | 3bd89ba6f56d4049ab05rrrre4656 |
+----------------------------------+-------+----------------------------------+----------------------------------+
在上面的命令下，只能查看当前用户的role。若是admin用户下，可以查看普通用户的role，需要使用这个命令：
[iyunv@testn-controller ~]#keystone user-role-list --user 000220157100100111 --tenant 00022015710010111
+----------------------------------+--------------+----------------------------------+----------------------------------+

|                id                |     name     |             user_id              |            tenant_id             |
+----------------------------------+--------------+----------------------------------+----------------------------------+
| 9fe2ff9ee4384b192bab |   _member_   | fd5d743c873b8c06134 | 1fbffabf30ed4ea998cfe65e |
| 44ee8a6ad387486825e533a6 | tenant_admin | fd5d743cba038c06134 | 1fbffabf30ed4ea7708fe65e |
+-------------------------------------+
查看用户所对应的tenant。
[iyunv@testn-controller ~]# keystone user-get userID
+----------+----------------------------------+

| Property |              Value               |
+----------+----------------------------------+
|  email   |                                  |
| enabled  |               True               |
|    id    | 64a80237dc4648488a6299263c481b37 |
|   name   |            lbaas-user            |
| tenantId | 3bd89ba6f56d4049ab05b56fd8de4656 |
| username |            lbaas-user            |
+----------+----------------------------------+
2、用普通用户
就用下面的这个用户来查询。这个用户是一个全局的_member_角色，也是对应这个tenant的admin角色。在云数据中心，一般用户估计都是这样的设置。

[iyunv@testn-controller ~]#keystone user-role-list --user 000220157100100111 --tenant 00022015710010111

+----------------------------------+--------------+----------------------------------+----------------------------------+

|                id                |     name     |             user_id              |            tenant_id             |

+----------------------------------+--------------+----------------------------------+----------------------------------+

| 9fe2ff9ee4384b192bab |   _member_   | fd5d743c873b8c06134 | 1fbffabf30ed4ea998cfe65e |

| 44ee8a6ad387486825e533a6 | tenant_admin | fd5d743cba038c06134 | 1fbffabf30ed4ea7708fe65e |

+-------------------------------------+

若是关联user000220157100100111来进行user、tenant和role的信息，发现返回全部是空，并提示说没有权限可以查询。