一、概況
1. 請求認證token時,需發送的認證信息包括:
2. 如果認證成功,會獲得認證token
3. 在發送的API請求中將認證token填入X-Auth-Token字段。可以一直使用這個認證token發送API請求,直到任務完成或出現401非認證錯誤。
4. 如果出現401非認證錯誤,可以重新請求一個認證token。
二、詳細流程舉例
說明:以下例子會使用到cURL( http://curl.haxx.se/)和OpenStack APIs( http://developer.openstack.org/api-ref.html)
1、認證過程
使用如下命令請求認證token:
$ curl -i 'http://127.0.0.1:5000/v2.0/tokens' -X POST -H "Content-Type: application/json" -H "Accept: application/json" -d '{"auth": {"tenantName": "admin", "passwordCredentials": {"username": "admin", "password": "secretsecret"}}}'
如果認證成功,將獲得200 OK響應報文,其中響應body包含了一個token和過期時間,前者格式為"id":"token",后者格式為"expires":"datetime"。詳細情況如下:
HTTP/1.1 200 OK Vary: X-Auth-Token Content-Type: application/json Content-Length: 5858 Date: Wed, 06 Nov 2013 20:06:24 GMT
{
"access": {
"token": { "issued_at": "2013-11-06T20:06:24.113908", "expires": "2013-11-07T20:06:24Z", "id": "{token}", "tenant": { "description": null, "enabled": true, "id": "604bbe45ac7143a79e14f3158df67091", "name": "admin" } }, "serviceCatalog": [ { "endpoints": [ { "adminURL": "http://166.78.21.23:8774/v2/604bbe45ac7143a79e14f3158df67091", "region": "RegionOne", "internalURL": "http://166.78.21.23:8774/v2/604bbe45ac7143a79e14f3158df67091", "id": "9851cb538ce04283b770820acc24e898", "publicURL": "http://166.78.21.23:8774/v2/604bbe45ac7143a79e14f3158df67091" } ], "endpoints_links": [], "type": "compute", "name": "nova" },
...
"user": { "username": "admin", "roles_links": [], "id": "3273a50d6cfb4a2ebc75e83cb86e1554", "roles": [ { "name": "admin" } ], "name": "admin" }, "metadata": { "is_admin": 0, "roles": [ "b0d525aa42784ee0a3df1730aabdcecd" ] } } }
2、發送API請求過程
說明:以下使用 Identity API (http://developer.openstack.org/api-ref-identity-v3.html)和Compute API (http://developer.openstack.org/api-ref-compute-v2.html)的請求舉例。
2.1 使用Identity API 請求tenants list,如下:
$ curl -i -X GET http://166.78.21.23:35357/v2.0/tenants -H "User-Agent: python-keystoneclient" -H "X-Auth-Token: token"
結果內容:
{ "tenants_links": [], "tenants": [ { "description": null, "enabled": true, "id": "3eddf34c2f814bd5bc50a382f8fba1c6", "name": "demo" }, { "description": null, "enabled": true, "id": "604bbe45ac7143a79e14f3158df67091", "name": "admin" }, { "description": null, "enabled": true, "id": "78323d3574e6421b98fe5894475c69fe", "name": "service" }, { "description": null, "enabled": true, "id": "da73856734d84ec29958b048d8708d82", "name": "invisible_to_admin" }, { "description": null, "enabled": true, "id": "ee30a93eaade41acbcf210780dd7a0ba", "name": "alt_demo" } ] }
2.2 使用Compute API 請求servers list,如下:
$ curl -v -H "X-Auth-Token:token" http://208.123.85.197:8774/v2/tenant_id/servers
結果內容:
{ "server": { "adminPass": "MVk5HPrazHcG", "id": "5bbcc3c4-1da2-4437-a48a-66f15b1b13f9", "links": [ { "href": "http://openstack.example.com/v2/openstack/servers/5bbcc3c4-1da2-4437-a48a-66f15b1b13f9", "rel": "self" }, { "href": "http://openstack.example.com/openstack/servers/5bbcc3c4-1da2-4437-a48a-66f15b1b13f9", "rel": "bookmark" } ] } }
三、詳細流程圖
如果給出tenant直接從以下步驟開始:
四、keystone
keystone的管控主要針對三個方面:
1、用戶,對用戶進行認證
2、服務,管理服務的訪問點
3、權限,即role,這里的role相對比較復雜:
role的定義不只依靠keystone,也依賴於各個服務組件對role的認可,其中由於user可以屬於多個project,所以僅對user是無法管理權限的,只能針對(user,project)對進行權限管理。
1)權限管理抽象成role后,keystone負責記錄並綁定role和(user,project)對
2)各服務組件在其自身的policy.json中定義role和各個具體操作之間的認可關系。
整個流程:
1.用戶首先到keystone認證,獲取token,同時會獲取service endpoints
2.用戶使用token訪問心儀的service endpoint,這里token只是管控user對service的進入,但是不管控user在service里面的具體operation
3.service會根據用戶的請求識別role,然后檢測policy.json里面該role所綁定的operation,以此來許可operation
參考文章:
http://docs.openstack.org/api/quick-start/content/index.html#authenticate
http://docs.openstack.org/icehouse/install-guide/install/yum/content/keystone-concepts.html