三、Openstack安装keystion(identity)

FragranceM

Idenitity 服务理念：
执行以下功能：
用户管理，跟踪用户以及用户的权限
catalog服务：提供与他们的API catalog 服务
用户（user）
用户表示拥有用户名，密码，邮箱等帐号信息的自然人。
证书(Credentials)
证明资格和权力的东西，如用户名和密码，用户名和API KEY 或者服务本身的认证token
认证（Authentication）
确认用户身份的行为，经过上面描述的“证书”服务确认用户。
令牌（token）
一种认证方式，通过认证后发给连接端。
租户(tenant)
租户可以被理解为一个项目，团队或组织。你必须指定一个相应的租户(tenant)才可以申请OpenStack服务
服务（Service）
通过它用户可以访问资源并执行操作的一个终端。 即完成以上几步后就给一个终端供client使用。               
终端（Endpoint）
通过网络访问的一个URL地址，可以获得你想要访问的服务，
角色（Role）
角色代表特定的租户中的用户用户操作权限


六个过程，alice任务请求创建一个虚拟机
alice发送凭据给keystone,keystone返回一个临时创建的tokent和一个通用的目录。
alice请求提供租户的列表，keystone返回一个他的租户的服务列表。
keystone发送给alice带有租房的凭据、租房的服务列表、租户的token
alice去终端连接服务，并提供一个请求的token,终端去问keystone是否是正确的令牌和是否允许使用这个服务
keystone提供“alice的租户允许访问服务，令牌与请求匹配并且这个令牌属于alice”给Service
Service执行服务请求并把执行状态发送给alice

安装identity服务
安装软件包
# apt-get install keystone
修改配置文件/etc/keystone/keystone.conf
使用数据库存储数据，我们改一下他的连接方式，默认使用sqlite我们要进行更改
connection = mysql://keystone:stack@controller/keystone

给keystone创建一个keystone数据库
mysql> create database keystone;
mysql> GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'localhost' IDENTIFIED BY 'stack’;
GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'controller' IDENTIFIED BY 'stack';

4、同步一下到数据库
# keystone-manage db_sync
创建了一些空表

6、生成一个token，并放到配置文件中

/etc/keystone/keystone.conf


重启keystone服务
# service keystone restart

定义用户、租户、角色
1、定义环境变量
由于我们并没有用户，所以需要创建用户，但这本身就需要认证，所以我们增加怎么环境变量os_server_token os_service_endpoint
# export OS_SERVICE_TOKEN=9f9c6ce6e5fcc5437443
# export OS_SERVICE_ENDPOINT=http://controller:35357/v2.0

创建一个admin和service的租户
# keystone tenant-create --name=admin --description="Admin Tenant"
# keystone tenant-create --name=service --description="Service Tenant"


创建一个管理员用户为admin并设置一个密码并指定电子邮件,这是第三个密码了。记下来。
# keystone user-create --name=admin --pass=openstack --email=zwhset@163.com

创建一个管理员用记的角色admin，注意默认使用admin角色将允许大多数的服务。创建的角色应该映射到openstack服务的policy.json文件名中指定的角色
# keystone role-create --name=admin

添加角色用户租户的对应关系
# keystone user-role-add --user=admin --tenant=admin --role=admin

我们看下数据库



定义服务与API的端点
创建一个服务，服务ID是随机生成的
# keystone service-create --name=keystone --type=identity --description="Keystone Identity Service"

通过返回的服务ID指定身份证服务的API端点，你应该提供公共的API，内部API和管理API的URL。
煮酒品茶：注意填写你自己的ID号

# keystone endpoint-create   --service-id=0bde195742b54963b4478de9232b9465   --publicurl=http://controller:5000/v2.0   --internalurl=http://controller:5000/v2.0   --adminurl=http://controller:35357/v2.0

你安装了其它服务时，通过这个指定你的服务。

验证一下：

# unset OS_SERVICE_TOKEN OS_SERVICE_ENDPOINT
# keystone --os-username=admin --os-password=openstack --os-auth-url=http://controller:35357/v2.0 token-get



－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
如果发现500错误

查看日志：

更改配置文件：

好了，需要重启下keystone
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
重启下：
# service keystone restart

我们设置环境变量，就不需要每次都填验证参数了。
# export OS_USERNAME=admin
# export OS_PASSWORD=openstack
# export OS_TENANT_NAME=admin
# export OS_AUTH_URL=http://controller:35357/v2.0

查看一下token,事实上他的ID也太长了吧。

查了一下表：


更多可以看用户租户角色：
http://docs.openstack.org/havana/install-guide/install/apt/content/keystone-users.html