用户和身份管理指南

Red Hat OpenStack Platform 16.2

管理用户和 Keystone 身份验证

OpenStack Documentation Team

rhos-docs@redhat.com

法律通告

摘要

管理应用凭据、用户、角色、项目和配额。

前言
复制链接

注意

您不能在实例创建过程中将基于角色的访问控制(RBAC)共享安全组直接应用到实例。要将 RBAC 共享安全组应用到实例，必须首先创建端口，将共享安全组应用到该端口，然后将该端口分配给实例。请参阅将安全组添加到端口。

对红帽文档提供反馈
复制链接

我们感谢您对文档提供反馈信息。与我们分享您的成功秘诀。

在 JIRA 中提供文档反馈

使用 Create Issue 表单对文档提供反馈。JIRA 问题将在 Red Hat OpenStack Platform Jira 项目中创建，您可以在其中跟踪您的反馈进度。

确保您已登录到 JIRA。如果您没有 JIRA 帐户，请创建一个帐户来提交反馈。
点击以下链接打开 Create Issue 页面： Create Issue
完成 Summary 和 Description 字段。在 Description 字段中，包含文档 URL、章节或章节号以及问题的详细描述。不要修改表单中的任何其他字段。
点 Create。

第 1 章身份服务
复制链接

作为云管理员，您可以管理项目、用户和角色。

项目是包含资源集合的组织单元。您可以将用户分配到项目内的角色。角色定义这些用户可在给定项目中对资源执行的操作。用户可以在多个项目中分配角色。

每个 Red Hat OpenStack(RHOSP)部署都必须至少包含一个在项目中分配给某一角色的用户。作为云管理员，您可以：

添加、更新和删除项目和用户。
将用户分配到一个或多个角色，以及更改或删除这些分配。
相互独立管理项目和用户。

您还可以使用身份服务(keystone)配置用户身份验证，以控制对服务和端点的访问。身份服务提供基于令牌的身份验证，并可与 LDAP 和 Active Directory 集成，以便您可以从外部管理用户和身份，并将用户数据与身份服务同步。

第 2 章管理用户
复制链接

作为云管理员，您可以在仪表板中添加、修改和删除用户。用户可以是一个或多个项目的成员。您可以独立管理项目和用户。

2.1. 使用仪表板创建用户
复制链接

您可以为该用户分配主项目和角色。使用 OpenStack Dashboard(horizon)创建的用户默认为 Identity service 用户。您可以通过配置身份服务中包含的 LDAP 供应商来集成 Active Directory 用户。

流程

以 admin 用户身份登录到控制面板。
选择 Identity > Users。
单击 创建用户。
为用户输入用户名、电子邮件和初步密码。
从 Primary Project 列表中选择一个项目。
从 Role 列表中选择该用户的角色。默认角色为 member。
单击 创建用户。

2.2. 使用仪表板编辑用户
复制链接

您可以更新用户详情，包括主项目。

流程

以 admin 用户身份登录控制面板。
选择 Identity > Users。
在 Actions 列中，单击 Edit。
在 Update User 窗口中，您可以更新 User Name, Email, and Primary Project。
单击 Update User。

2.3. 使用仪表板启用或禁用用户
复制链接

您可以使用控制面板禁用用户。与删除用户不同，此操作不可逆。

限制：

您不能一次禁用或启用多个用户。
您不能将用户的主项目设置为 active。

其结果是，您禁用的用户不能：

登录控制面板。
获得 RHOSP 服务的访问权限。
在仪表板中执行任何 user-project 操作。

流程

在仪表板中作为 admin 用户，选择 Identity > Users。
在 Actions 列中，单击箭头，再选择 Enable User 或 Disable User。在 Enabled 列中，值被更新为 True 或 False。

2.4. 使用仪表板删除用户
复制链接

您必须是具有管理角色的用户才能删除其他用户。无法撤销此操作。

流程

在仪表板中作为 admin 用户，选择 Identity > Users。
选择您要删除的用户。
单击 Delete Users。此时会显示 Confirm Delete Users 窗口。
单击 Delete Users 以确认操作。

第 4 章管理组
复制链接

您可以使用 Identity Service(keystone)组为多个用户帐户分配一致的权限。

4.2. 使用控制面板配置组
复制链接

您可以使用控制面板管理 keystone 组成员资格。但是，您必须使用命令行为组群分配角色权限。如需更多信息，请参阅使用 CLI 配置组。

4.2.1. 创建组
复制链接

以具有管理特权的用户身份登录控制面板。
选择 Identity > Groups。
单击 +Create Group。
输入组的名称和描述。
单击 Create Group。

4.2.2. 管理组成员资格
复制链接

您可以使用控制面板管理 keystone 组成员资格。

以具有管理特权的用户身份登录控制面板。
选择 Identity > Groups。
点您要编辑的组的 Manage Members。
使用 Add users 将用户添加到组中。如果要删除用户，标记其复选框，然后单击 删除用户。

作为云管理员，您可以为项目设置和管理配额。每个项目分配到资源，项目用户被授予使用这些资源的访问权限。这可让多个项目使用单个云，而不会互相干扰权限和资源。创建新项目时会预先配置一组资源配额。配额包括可分配给项目的 VCPU 数、实例、RAM 和浮动 IP。配额可以在项目和 project-user 级别上强制执行。您可以使用控制面板为新的和现有项目设置或修改 Compute 和 Block Storage 配额。如需更多信息，请参阅管理项目。

5.1. 查看用户的计算配额
复制链接

运行以下命令，以列出用户当前设置的配额值。

流程

nova quota-show --user [USER-ID] --tenant [TENANT-ID]

$ nova quota-show --user [USER-ID] --tenant [TENANT-ID]

Copy to Clipboard

Toggle word wrap

示例

nova quota-show --user 3b9763e4753843529db15085874b1e84 --tenant a4ee0cbb97e749dca6de584c0b1568a6

$ nova quota-show --user 3b9763e4753843529db15085874b1e84 --tenant a4ee0cbb97e749dca6de584c0b1568a6
+-----------------------------+-------+
| Quota                       | Limit |
+-----------------------------+-------+
| instances                   | 10    |
| cores                       | 20    |
| ram                         | 51200 |
| floating_ips                | 5     |
| fixed_ips                   | -1    |
| metadata_items              | 128   |
| injected_files              | 5     |
| injected_file_content_bytes | 10240 |
| injected_file_path_bytes    | 255   |
| key_pairs                   | 100   |
| security_groups             | 10    |
| security_group_rules        | 20    |
| server_groups               | 10    |
| server_group_members        | 10    |
+-----------------------------+-------+

Copy to Clipboard

Toggle word wrap

5.2. 更新用户的计算配额
复制链接

运行以下命令以更新特定配额值：

nova quota-update --user [USER-ID] --[QUOTA_NAME] [QUOTA_VALUE] [TENANT-ID]
nova quota-show --user [USER-ID] --tenant [TENANT-ID]

$ nova quota-update --user [USER-ID] --[QUOTA_NAME] [QUOTA_VALUE] [TENANT-ID]
$ nova quota-show --user [USER-ID] --tenant [TENANT-ID]

Copy to Clipboard

Toggle word wrap

示例

nova quota-update --user 3b9763e4753843529db15085874b1e84 --floating-ips 10 a4ee0cbb97e749dca6de584c0b1568a6
nova quota-show --user 3b9763e4753843529db15085874b1e84 --tenant a4ee0cbb97e749dca6de584c0b1568a6

$ nova quota-update --user 3b9763e4753843529db15085874b1e84 --floating-ips 10 a4ee0cbb97e749dca6de584c0b1568a6
$ nova quota-show --user 3b9763e4753843529db15085874b1e84 --tenant a4ee0cbb97e749dca6de584c0b1568a6
+-----------------------------+-------+
| Quota                       | Limit |
+-----------------------------+-------+
| instances                   | 10    |
| cores                       | 20    |
| ram                         | 51200 |
| floating_ips                | 10    |
| ...                         |       |
+-----------------------------+-------+

Copy to Clipboard

Toggle word wrap

注意

要查看 quota-update 命令的选项列表，请运行：

nova help quota-update

$ nova help quota-update

Copy to Clipboard

Toggle word wrap

5.3. 为用户设置对象存储配额
复制链接

对象存储配额可按照以下类别分类：

容器配额 - 限制单个容器中可存储的对象总数（以字节为单位）。
帐户配额 - 限制用户在对象存储服务中可用的总大小（以字节为单位）。

要设置容器配额或帐户配额，Object Storage 代理服务器必须具有附加到 proxy-server.conf 文件的 [pipeline:main] 部分的参数 container_quotas 或 account_quotas （或两者）：

[pipeline:main]
pipeline = catch_errors [...] tempauth container-quotas \
account-quotas slo dlo proxy-logging proxy-server

[filter:account_quotas]
use = egg:swift#account_quotas

[filter:container_quotas]
use = egg:swift#container_quotas

[pipeline:main]
pipeline = catch_errors [...] tempauth container-quotas \
account-quotas slo dlo proxy-logging proxy-server

[filter:account_quotas]
use = egg:swift#account_quotas

[filter:container_quotas]
use = egg:swift#container_quotas

Copy to Clipboard

Toggle word wrap

使用以下命令来查看和更新 Object Storage 配额。项目中包含的所有用户都可以查看在项目上放置的配额。要更新项目上的 Object Storage 配额，必须在项目中拥有一个 distributorAdmin 的角色。

查看帐户配额：

swift stat

# swift stat

Account: AUTH_b36ed2d326034beba0a9dd1fb19b70f9
Containers: 0
Objects: 0
Bytes: 0
Meta Quota-Bytes: 214748364800
X-Timestamp: 1351050521.29419
Content-Type: text/plain; charset=utf-8
Accept-Ranges: bytes

Copy to Clipboard

Toggle word wrap

更新配额：

swift post -m quota-bytes:<BYTES>

# swift post -m quota-bytes:<BYTES>

Copy to Clipboard

Toggle word wrap

例如，要在帐户中放置 5 GB 配额：

swift post -m quota-bytes:5368709120

# swift post -m quota-bytes:5368709120

Copy to Clipboard

Toggle word wrap

第 6 章管理项目
复制链接

作为云管理员，您可以创建和管理项目。项目是共享虚拟资源池，您可为其分配 OpenStack 用户和组。您可以在每个项目中配置共享虚拟资源的配额。您可以创建多个项目 Red Hat OpenStack Platform，而不会影响相互的权限和资源。用户可以与多个项目关联。每个用户都必须为其分配每个项目的角色。

6.1. 创建一个项目
复制链接

创建项目，将成员添加到项目中，并为项目设置资源限值。

以具有管理特权的用户身份登录控制面板。
选择 Identity > Projects。
点击 Create Project。
在 Project Information 选项卡中，输入项目的名称和描述。默认选中 Enabled 复选框。
在 Project Members 选项卡上，将成员添加到 All Users 列表中的项目。
在 Quotas 选项卡上，指定项目的资源限值。
点击 Create Project。

6.2. 编辑项目
复制链接

您可以编辑项目以更改其名称或描述、启用或临时禁用它，或更新项目中的成员。

以具有管理特权的用户身份登录控制面板。
选择 Identity > Projects。
在项目 Actions 列中，单击箭头，再单击 Edit Project。
在 Edit Project 窗口中，您可以更新项目来更改其名称或描述，以及启用或临时禁用项目。
在 项目成员 选项卡上，根据需要为项目添加成员或移除它们。
点击 Save。

注意

默认选中 Enabled 复选框。若要临时禁用项目，可清除 Enabled 复选框。要启用禁用的项目，请选中 Enabled 复选框。

6.3. 删除项目
复制链接

以具有管理特权的用户身份登录控制面板。
选择 Identity > Projects。
选择您要删除的项目。
单击 Delete Projects。此时会显示 Confirm Delete Projects 窗口。
单击 Delete Projects 以确认操作。

该项目被删除，任何用户对都是解除关联。

6.4. 更新项目配额
复制链接

配额是您为优化云资源而设置的操作限制。您可以设置配额来防止项目资源在不通知的情况下耗尽。您可以在项目和 project-user 级别实施配额。

以具有管理特权的用户身份登录控制面板。
选择 Identity > Projects。
在项目 Actions 列中，单击箭头，再单击 Modify Quotas。
在" 配额 "选项卡中，根据需要修改项目配额。
点击 Save。

注意

目前，还不支持 嵌套配额。因此，您必须针对项目和子项目单独管理配额。

6.5. 更改活动项目
复制链接

将项目设置为活动项目，以便您可以使用仪表板与项目中的对象交互。要将项目设置为活动项目，您必须是该项目的成员。用户也必须成为多个项目的成员，才能启用 Set as Active Project 选项。您不能将禁用的项目设置为活动，除非重新启用。

以具有管理特权的用户身份登录控制面板。
选择 Identity > Projects。
在项目 Actions 列中，单击箭头，再单击 Set as Active Project。
或者，作为项目 Actions 列中的非管理员用户，单击 Set as Active Project，这将成为该列中的默认操作。

6.6. 项目层次结构
复制链接

您可以在身份服务(keystone)中使用多租户嵌套项目。多租户允许子项目从父项目继承角色分配。

6.6.1. 创建分级项目和子项目
复制链接

您可以使用 keystone 域和项目实施层次结构多租户(HMT)。首先创建新域，然后在该域中创建一个项目。然后，您可以将子项目添加到该项目。您也可以通过将用户添加到子项目的 admin 角色，将用户提升给子项目的管理员。

注意

keystone 使用的 HMT 结构目前没有在仪表板中表示。

流程

创建名为 corp 的新 keystone 域：

openstack domain create corp

$ openstack domain create corp
+-------------+----------------------------------+
| Field       | Value                            |
+-------------+----------------------------------+
| description |                                  |
| enabled     | True                             |
| id          | 69436408fdcb44ab9e111691f8e9216d |
| name        | corp                             |
+-------------+----------------------------------+

Copy to Clipboard

Toggle word wrap

在 corp 域中创建父项目（私有云）：

openstack project create private-cloud --domain corp

$ openstack project create private-cloud --domain corp
+-------------+----------------------------------+
| Field       | Value                            |
+-------------+----------------------------------+
| description |                                  |
| domain_id   | 69436408fdcb44ab9e111691f8e9216d |
| enabled     | True                             |
| id          | c50d5cf4fe2e4929b98af5abdec3fd64 |
| is_domain   | False                            |
| name        | private-cloud                    |
| parent_id   | 69436408fdcb44ab9e111691f8e9216d |
+-------------+----------------------------------+

Copy to Clipboard

Toggle word wrap

在 私有云 父项目中创建子项目(dev)，同时同时指定 corp 域：

openstack project create dev --parent private-cloud --domain corp

$ openstack project create dev --parent private-cloud --domain corp
+-------------+----------------------------------+
| Field       | Value                            |
+-------------+----------------------------------+
| description |                                  |
| domain_id   | 69436408fdcb44ab9e111691f8e9216d |
| enabled     | True                             |
| id          | 11fccd8369824baa9fc87cf01023fd87 |
| is_domain   | False                            |
| name        | dev                              |
| parent_id   | c50d5cf4fe2e4929b98af5abdec3fd64 |
+-------------+----------------------------------+

Copy to Clipboard

Toggle word wrap

创建另一个名为 qa 的子项目：

openstack project create qa --parent private-cloud --domain corp

$ openstack project create qa --parent private-cloud --domain corp
+-------------+----------------------------------+
| Field       | Value                            |
+-------------+----------------------------------+
| description |                                  |
| domain_id   | 69436408fdcb44ab9e111691f8e9216d |
| enabled     | True                             |
| id          | b4f1d6f59ddf413fa040f062a0234871 |
| is_domain   | False                            |
| name        | qa                               |
| parent_id   | c50d5cf4fe2e4929b98af5abdec3fd64 |
+-------------+----------------------------------+

Copy to Clipboard

Toggle word wrap

注意

您可以使用 Identity API 查看项目层次结构。如需更多信息，请参阅 https://developer.openstack.org/api-ref/identity/v3/index.html?expanded=show-project-details-detail

6.6.2. 配置对分层项目的访问
复制链接

默认情况下，新创建的项目没有分配角色。当您为父项目分配角色权限时，可以包含 --inherited 标记，以指示子项目从父项目继承分配的权限。例如，拥有对父项目的 admin 角色的用户也具有对子项目的 admin 访问权限。

授予用户访问权限

查看分配给项目的现有权限：

openstack role assignment list --project private-cloud

$ openstack role assignment list --project private-cloud

Copy to Clipboard

Toggle word wrap

查看现有角色：

openstack role list

$ openstack role list
+----------------------------------+-----------------+
| ID                               | Name            |
+----------------------------------+-----------------+
| 01d92614cd224a589bdf3b171afc5488 | admin           |
| 034e4620ed3d45969dfe8992af001514 | member          |
| 0aa377a807df4149b0a8c69b9560b106 | ResellerAdmin   |
| 9369f2bf754443f199c6d6b96479b1fa | heat_stack_user |
| cfea5760d9c948e7b362abc1d06e557f | reader          |
| d5cb454559e44b47aaa8821df4e11af1 | swiftoperator   |
| ef3d3f510a474d6c860b4098ad658a29 | service         |
+----------------------------------+-----------------+

Copy to Clipboard

Toggle word wrap

授予用户帐户 user1 对 private-cloud 项目的访问权限：

openstack role add --user user1 --user-domain corp --project private-cloud member

$ openstack role add --user user1 --user-domain corp --project private-cloud member

Copy to Clipboard

Toggle word wrap

使用 --inherited 标记重新运行此命令。因此，user1 还可访问 私有-cloud 子项目，它继承了角色分配：

openstack role add --user user1 --user-domain corp --project private-cloud member --inherited

$ openstack role add --user user1 --user-domain corp --project private-cloud member --inherited

Copy to Clipboard

Toggle word wrap

查看权限更新的结果：

openstack role assignment list --effective --user user1 --user-domain corp

$ openstack role assignment list --effective --user user1 --user-domain corp
+----------------------------------+----------------------------------+-------+----------------------------------+--------+-----------+
| Role                             | User                             | Group | Project                          | Domain | Inherited |
+----------------------------------+----------------------------------+-------+----------------------------------+--------+-----------+
| 034e4620ed3d45969dfe8992af001514 | 10b5b34df21d485ca044433818d134be |       | c50d5cf4fe2e4929b98af5abdec3fd64 |        | False     |
| 034e4620ed3d45969dfe8992af001514 | 10b5b34df21d485ca044433818d134be |       | 11fccd8369824baa9fc87cf01023fd87 |        | True      |
| 034e4620ed3d45969dfe8992af001514 | 10b5b34df21d485ca044433818d134be |       | b4f1d6f59ddf413fa040f062a0234871 |        | True      |
+----------------------------------+----------------------------------+-------+----------------------------------+--------+-----------+

Copy to Clipboard

Toggle word wrap

user1 用户已继承对 qa 和 dev 项目的访问权限。另外，因为 --inherited 标志应用于父项目，user1 也接收对之后创建的任何子项目的访问权限。

删除用户访问权限

显式和继承的权限必须单独删除。

从显式分配角色中删除用户：

openstack role remove --user user1 --project private-cloud member

$ openstack role remove --user user1 --project private-cloud member

Copy to Clipboard

Toggle word wrap

检查更改的结果。请注意，继承的权限仍然存在：

openstack role assignment list --effective --user user1 --user-domain corp

$ openstack role assignment list --effective --user user1 --user-domain corp
+----------------------------------+----------------------------------+-------+----------------------------------+--------+-----------+
| Role                             | User                             | Group | Project                          | Domain | Inherited |
+----------------------------------+----------------------------------+-------+----------------------------------+--------+-----------+
| 034e4620ed3d45969dfe8992af001514 | 10b5b34df21d485ca044433818d134be |       | 11fccd8369824baa9fc87cf01023fd87 |        | True      |
| 034e4620ed3d45969dfe8992af001514 | 10b5b34df21d485ca044433818d134be |       | b4f1d6f59ddf413fa040f062a0234871 |        | True      |
+----------------------------------+----------------------------------+-------+----------------------------------+--------+-----------+

Copy to Clipboard

Toggle word wrap

删除继承的权限：

openstack role remove --user user1 --project private-cloud member --inherited

$ openstack role remove --user user1 --project private-cloud member --inherited

Copy to Clipboard

Toggle word wrap

检查更改的结果。继承的权限已被删除，生成的输出现在为空：

openstack role assignment list --effective --user user1 --user-domain corp

$ openstack role assignment list --effective --user user1 --user-domain corp

Copy to Clipboard

Toggle word wrap

6.6.3. 经销商项目概述
复制链接

通过 经销商 项目，目的是拥有域层次结构；这些域最终允许您考虑重新销售云部分，并且具有代表全面启用云的子域。这个工作分为几个阶段，阶段 1 如下所示：

经销商的第 1 阶段

经销商（第 1 阶段）是 Hierarchical Multitenancy(HMT)的扩展，如下所述：创建分层项目和子项目。在以前的版本中，keystone 域最初旨在是存储用户和项目的容器，它们自己的表在数据库后端中。现在，域不再存储在自己的表中，并已合并到项目表中：

域现在是项目类型，通过 is_domain 标志区分。
域表示项目层次结构中的顶级项目：域是项目层次结构中的根
API 已更新，以使用 项目 subpath 创建和检索域：
- 通过创建一个将 is_domain 标记设为 true 的项目来创建新域
- 列出属于 domain 的项目：获取项目，包括 is_domain 查询参数。

6.7. 项目安全管理
复制链接

安全组是 IP 过滤规则的集合，这些规则可以分配给项目实例，它们定义实例的网络访问权限。安全组是特定于项目的；项目成员可以编辑其安全组的默认规则，并添加新的规则集。

所有项目都有一个默认的安全组，它应用到没有其他定义的安全组的任何实例。除非更改默认值，否则此安全组将拒绝所有传入流量，并且只允许来自您的实例的传出流量。

您可以在实例创建过程中直接将安全组应用到实例，或应用到正在运行的实例上的端口。

注意

在不创建允许所需出口的组的情况下，不要删除 default 安全组。例如，如果您的实例使用 DHCP 和元数据，您的实例需要安全组规则来允许到 DHCP 服务器和元数据代理的出口。

6.7.1. 创建安全组
复制链接

创建一个安全组，以便您可以配置安全规则。例如，您可以启用 ICMP 流量，或者禁用 HTTP 请求。

流程

在仪表板中，选择 Project > Compute > Access & Security。
在 Security Groups 选项卡中，点 Create Security Group。
输入组的名称和描述，然后单击 Create Security Group。

6.7.2. 添加安全组规则
复制链接

默认情况下，新组的规则仅提供传出访问。您必须添加新规则以提供其他访问权限。

流程

在仪表板中，选择 Project > Compute > Access & Security。
在 Security Groups 选项卡中，点您要编辑的安全组的 Manage Rules。
单击 Add Rule 以添加新规则。
指定规则值，然后点 Add。
以下规则字段是必需的：
规则
规则类型。如果您指定规则模板（例如 'SSH'），则会自动填写其字段：
TCP：通常用于系统间交换数据，用于最终用户通信。
UDP：通常用来在系统间交换数据，特别是在应用程序级别。
ICMP：网络设备（如路由器）使用时来发送错误或监控消息。
方向
Ingress（入站）或 Egress（出站）。
打开端口
对于 TCP 或 UDP 规则，打开 Port 或 Port Range（单个端口或端口范围）：
对于端口范围，在 From Port 和 To Port 字段中输入端口值。
对于单个端口，在端口字段中输入 端口值。
类型
ICMP 规则的类型 ; 必须处于 '-1:255' 范围。
代码
对于 ICMP 规则，代码必须位于 '-1:255' 范围中。
远程
此规则的流量源：
CIDR(Classless Inter-Domain Routing)：IP 地址块，这限制了块内 IP 的访问。在 Source 字段中输入 CIDR。
安全组：来源组，使组中的任何实例能够访问任何其他组实例。

6.7.3. 删除安全组规则
复制链接

删除您不再需要的安全组规则。

流程

在仪表板中，选择 Project > Compute > Access & Security。
在 Security Groups 选项卡中，单击该安全组的 Manage Rules。
选择安全组规则，然后点删除规则。
再次单击 Delete Rule。

注意

您无法撤销删除操作。

6.7.4. 删除安全组
复制链接

删除您不再需要的安全组。

流程

在仪表板中，选择 Project > Compute > Access & Security。
在 Security Groups 选项卡中，选择组并点击 Delete Security Groups。
点 Delete Security Groups。

注意

您无法撤销删除操作。

第 7 章管理域
复制链接

Identity Service(keystone)域是您可以在 keystone 中创建的额外命名空间。使用 keystone 域对用户、组和项目进行分区。您还可以配置这些单独的域，以在不同的 LDAP 或 Active Directory 环境中验证用户。如需更多信息，请参阅与身份服务集成指南。

注意

身份服务包含名为 Default 的内置域。建议您只为服务帐户保留这个域，并为用户帐户创建单独的域。

7.1. 查看域列表
复制链接

您可以使用 openstack domain list 命令查看域列表：

openstack domain list

$ openstack domain list
+----------------------------------+------------------+---------+--------------------+
| ID                               | Name             | Enabled | Description        |
+----------------------------------+------------------+---------+--------------------+
| 3abefa6f32c14db9a9703bf5ce6863e1 | TestDomain       | True    |                    |
| 69436408fdcb44ab9e111691f8e9216d | corp             | True    |                    |
| a4f61a8feb8d4253b260054c6aa41adb | federated_domain | True    |                    |
| default                          | Default          | True    | The default domain |
+----------------------------------+------------------+---------+--------------------+

Copy to Clipboard

Toggle word wrap

7.2. 创建新域
复制链接

您可以使用 openstack domain create 命令创建新域：

openstack domain create TestDomain

$ openstack domain create TestDomain
+-------------+----------------------------------+
| Field       | Value                            |
+-------------+----------------------------------+
| description |                                  |
| enabled     | True                             |
| id          | 3abefa6f32c14db9a9703bf5ce6863e1 |
| name        | TestDomain                       |
+-------------+----------------------------------+

Copy to Clipboard

Toggle word wrap

7.3. 查看域详情
复制链接

您可以使用 openstack domain show 命令查看域详情：

openstack domain show TestDomain

$ openstack domain show TestDomain
+-------------+----------------------------------+
| Field       | Value                            |
+-------------+----------------------------------+
| description |                                  |
| enabled     | True                             |
| id          | 3abefa6f32c14db9a9703bf5ce6863e1 |
| name        | TestDomain                       |
+-------------+----------------------------------+

Copy to Clipboard

Toggle word wrap

7.4. 禁用域
复制链接

您可以根据您的要求禁用和启用域。

流程

使用 --disable 选项禁用域：
```
openstack domain set TestDomain --disable
```
```
$ openstack domain set TestDomain --disable
```
Copy to Clipboard Toggle word wrap

确认域已被禁用：

openstack domain show TestDomain

$ openstack domain show TestDomain
+-------------+----------------------------------+
| Field       | Value                            |
+-------------+----------------------------------+
| description |                                  |
| enabled     | False                            |
| id          | 3abefa6f32c14db9a9703bf5ce6863e1 |
| name        | TestDomain                       |
+-------------+----------------------------------+

Copy to Clipboard

Toggle word wrap

如果需要，使用 --enable 选项重新启用域：
```
openstack domain set TestDomain --enable
```
```
$ openstack domain set TestDomain --enable
```
Copy to Clipboard Toggle word wrap

第 8 章使用 LDAP 进行身份管理
复制链接

如果您已经将身份服务(keystone)配置为对或进行身份验证，以便通过 LDAP 服务器从 LDAP 服务器检索身份信息，您可以使用 CA 证书保护身份服务的 LDAP 通信。

您必须从 Active Directory 获取 CA 证书，将 CA 证书文件转换为隐私增强邮件(PEM)文件格式，并为身份服务配置安全 LDAP 通信。您可以使用三种方法之一执行此配置，具体取决于如何配置 CA 信任。

8.1. 从 Active Directory 获取 CA 证书
复制链接

使用以下示例代码查询 Active Directory 来获取 CA 证书。CA_NAME 是证书的名称，可根据您的配置来更改其他参数：

CA_NAME="WIN2012DOM-WIN2012-CA"
AD_SUFFIX="dc=win2012dom,dc=com" LDAPURL="ldap://win2012.win2012dom.com"
ADMIN_DN="cn=Administrator,cn=Users,$AD_SUFFIX"
ADMINPASSWORD="MyPassword"

CA_CERT_DN="cn=latexmath:[$CA_NAME,cn=certification authorities,cn=public key services,cn=services,cn=configuration,$]AD_SUFFIX"

TMP_CACERT=/tmp/cacert.`date +'%Y%m%d%H%M%S'`.$$.pem

ldapsearch -xLLL -H
latexmath:[$LDAPURL -D `echo \"$]ADMIN_DN"`-W -s base -b`echo
"$CA_CERT_DN"` objectclass=* cACertificate

CA_NAME="WIN2012DOM-WIN2012-CA"
AD_SUFFIX="dc=win2012dom,dc=com" LDAPURL="ldap://win2012.win2012dom.com"
ADMIN_DN="cn=Administrator,cn=Users,$AD_SUFFIX"
ADMINPASSWORD="MyPassword"

CA_CERT_DN="cn=latexmath:[$CA_NAME,cn=certification authorities,cn=public key services,cn=services,cn=configuration,$]AD_SUFFIX"

TMP_CACERT=/tmp/cacert.`date +'%Y%m%d%H%M%S'`.$$.pem

ldapsearch -xLLL -H
latexmath:[$LDAPURL -D `echo \"$]ADMIN_DN"`-W -s base -b`echo
"$CA_CERT_DN"` objectclass=* cACertificate

Copy to Clipboard

Toggle word wrap

8.2. 将 CA 证书转换为 PEM 格式
复制链接

在身份服务(keystone)中配置 LDAP 之前，您必须将 CA 证书转换为 PEM 格式。

流程

创建名为 /path/cacert.pem 的文件，并在标题和 footer 中包括从 Active Directory 获取的 CA 证书的内容：

-----BEGIN CERTIFICATE-----
MIIDbzCCAlegAwIBAgIQQD14hh1Yz7tPFLXCkKUOszANB... -----END
CERTIFICATE-----

-----BEGIN CERTIFICATE-----
MIIDbzCCAlegAwIBAgIQQD14hh1Yz7tPFLXCkKUOszANB... -----END
CERTIFICATE-----

Copy to Clipboard

Toggle word wrap

为进行故障排除，您可以执行以下查询来检查 LDAP 是否正常工作，并确保正确创建了 PEM 证书文件。
```
LDAPTLS_CACERT=/path/cacert.pem ldapsearch -xLLL -ZZ -H $LDAPURL -s base -b "" "objectclass=*" currenttime
```
```
LDAPTLS_CACERT=/path/cacert.pem ldapsearch -xLLL -ZZ -H $LDAPURL -s base -b "" "objectclass=*" currenttime
```
Copy to Clipboard Toggle word wrap
查询应该返回类似如下的结果：
```
dn: currentTime:
20141022050611.0Z
```
```
dn: currentTime:
20141022050611.0Z
```
Copy to Clipboard Toggle word wrap

如果由 Web 服务器托管，则运行以下命令来获取 CA 证书。

$HOST=redhat.com

$PORT=443

echo Q | openssl s_client -connect $HOST:$PORT | sed -n -e '/BEGIN CERTIFICATE/,/END CERTIFICATE/ p'

# echo Q | openssl s_client -connect $HOST:$PORT | sed -n -e '/BEGIN CERTIFICATE/,/END CERTIFICATE/ p'

Copy to Clipboard

Toggle word wrap

8.3. 为身份服务配置安全 LDAP 通信
复制链接

使用以下方法之一为 Identity 服务(keystone)配置 LDAP。

方法 1

如果使用 PEM 文件，在 LDAP 级别上配置 CA 信任，请使用此方法。手动指定 CA 证书文件的位置。以下流程保护 LDAP 通信不仅可用于身份服务，而且适用于使用 OpenLDAP 库的所有应用程序。

将含有 PEM 格式的 CA 证书链的文件复制到 /etc/openldap/certs 目录。
编辑 /etc/openldap/ldap.conf 并添加以下指令，用 CA 证书文件的位置和名称替换 [CA_FILE]：
```
TLS_CACERT /etc/openldap/certs/[CA_FILE]
```
```
TLS_CACERT /etc/openldap/certs/[CA_FILE]
```
Copy to Clipboard Toggle word wrap
重启 horizon 容器：
```
systemctl restart tripleo_horizon
```
```
# systemctl restart tripleo_horizon
```
Copy to Clipboard Toggle word wrap

方法 2

如果使用网络安全服务(NSS)数据库在 LDAP 库级别上配置 CA 信任，请使用这个方法。使用 certutil 命令，将 CA 证书导入并信任到 OpenLDAP 库使用的 NSS 证书数据库中。以下流程保护 LDAP 通信不仅可用于身份服务，而且适用于使用 OpenLDAP 库的所有应用程序。

导入并信任证书，用 CA 证书文件的位置和名称替换 [CA_FILE]：

certutil -d /etc/openldap/certs -A -n "My CA" -t CT,, -a -i [CA_FILE]
certutil -d /etc/openldap/certs -A -n "My CA" -t CT,, -a -i [CA_FILE]

# certutil -d /etc/openldap/certs -A -n "My CA" -t CT,, -a -i [CA_FILE]
# certutil -d /etc/openldap/certs -A -n "My CA" -t CT,, -a -i [CA_FILE]

Copy to Clipboard

Toggle word wrap

确认正确导入 CA 证书：
```
certutil -d /etc/openldap/certs -L
```
```
# certutil -d /etc/openldap/certs -L
```
Copy to Clipboard Toggle word wrap
您的 CA 证书已被列出，信任属性被设置为 CT、。
重启 horizon 容器：
```
systemctl restart tripleo_horizon
```
```
# systemctl restart tripleo_horizon
```
Copy to Clipboard Toggle word wrap

方法 3

如果使用 PEM 文件，在 Keystone 级别上配置 CA 信任，请使用此方法。保护身份服务和 LDAP 服务器之间的通信的最后方法是为身份服务配置 TLS。

但是，与以上两种方法不同，此方法只保护身份服务的 LDAP 通信，且不会为使用 OpenLDAP 库的其他应用程序保护 LDAP 通信。以下流程使用 openstack-config 命令编辑 /var/lib/config-data/puppet-generated/keystone/etc/keystone/keystone.conf 文件中的值。

启用 TLS：

openstack-config --set /var/lib/config-data/puppet-generated/keystone/etc/keystone/keystone.conf ldap use_tls True

# openstack-config --set /var/lib/config-data/puppet-generated/keystone/etc/keystone/keystone.conf ldap use_tls True

Copy to Clipboard

Toggle word wrap

指定证书的位置，使用 CA 证书的名称替换 [CA_FILE]：

openstack-config --set /var/lib/config-data/puppet-generated/keystone/etc/keystone/keystone.conf ldap tls_cacertfile [CA_FILE]

# openstack-config --set /var/lib/config-data/puppet-generated/keystone/etc/keystone/keystone.conf ldap tls_cacertfile [CA_FILE]

Copy to Clipboard

Toggle word wrap

指定 LDAP 服务器中的传入 TLS 会话执行的客户端证书检查，将 [CERT_BEHAVIOR] 替换为以下列出的其中之一：
需求
将始终从 LDAP 服务器请求证书。如果未提供证书，或者无法针对现有证书颁发机构文件验证证书，会话将被终止。
allow
将始终从 LDAP 服务器请求证书。即使未提供证书，会话也会正常进行。如果提供了证书，但无法针对现有的证书颁发机构文件进行验证，证书将被忽略，会话将正常进行。
never
绝不会请求证书。
```
openstack-config --set /var/lib/config-data/puppet-generated/keystone/etc/keystone/keystone.conf ldap tls_req_cert [CERT_BEHAVIOR]
```
```
# openstack-config --set /var/lib/config-data/puppet-generated/keystone/etc/keystone/keystone.conf ldap tls_req_cert [CERT_BEHAVIOR]
```
Copy to Clipboard Toggle word wrap

重启 keystone 和 horizon 容器：

systemctl restart tripleo_keystone
systemctl restart tripleo_horizon

# systemctl restart tripleo_keystone
# systemctl restart tripleo_horizon

Copy to Clipboard

Toggle word wrap

第 9 章应用凭证
复制链接

使用 应用凭证 避免在配置文件中嵌入用户帐户凭据的过程。相反，用户会创建一个应用凭据，以接收委派对单个项目的访问权限，并且具有自己的不同 secret。用户也可以将委派的特权限制为该项目中的单个角色。这样，您可以采用最小特权的原则，经过身份验证的用户可以只获得访问所需的一个项目和角色的访问权限，而不是所有项目和角色。

您可以使用此方法来使用 API，而无需公开您的用户凭据，应用可以在不需要嵌入用户凭据的情况下对 Keystone 进行身份验证。

您可以使用应用程序凭证为应用程序生成令牌和配置 keystone_authtoken 设置。以下部分介绍了这些用例。

注意

Application Credential 依赖于创建它的用户帐户，因此，如果帐户被删除，或丢失对相关角色的访问，它将终止。

9.1. 使用应用凭证生成令牌
复制链接

在控制面板中，用户可使用应用凭据作为自助服务功能。本例演示了用户如何创建应用凭据，然后使用它生成令牌。

创建 test 项目并测试用户帐户：

创建名为 AppCreds 的项目：
```
openstack project create AppCreds
```
```
$ openstack project create AppCreds
```
Copy to Clipboard Toggle word wrap

创建名为 AppCredsUser 的用户：

openstack user create --project AppCreds --password-prompt AppCredsUser

$ openstack user create --project AppCreds --password-prompt AppCredsUser

Copy to Clipboard

Toggle word wrap

为 AppCredsUser 授予 AppCreds 项目的成员 角色访问权限：

openstack role add --user AppCredsUser --project AppCreds member

$ openstack role add --user AppCredsUser --project AppCreds member

Copy to Clipboard

Toggle word wrap

以 AppCredsUser 身份登录仪表板并创建应用程序凭证：
概述 → Identity → Application Credentials → +Create Application Credential。
注意
确保下载 clouds.yaml 文件内容，因为您无法在名为 Application Credential 的弹出窗口后再次访问它。

使用 CLI 创建名为 /home/stack/.config/openstack/clouds.yaml 的文件，并粘贴 clouds.yaml 文件的内容。

This is a clouds.yaml file, which can be used by OpenStack tools as a source
of configuration on how to connect to a cloud. If this is your only cloud,
just put this file in ~/.config/openstack/clouds.yaml and tools like
python-openstackclient will just work with no further config. (You will need
to add your password to the auth section)
If you have more than one cloud account, add the cloud entry to the clouds
section of your existing file and you can refer to them by name with
OS_CLOUD=openstack or --os-cloud=openstack

# This is a clouds.yaml file, which can be used by OpenStack tools as a source
# of configuration on how to connect to a cloud. If this is your only cloud,
# just put this file in ~/.config/openstack/clouds.yaml and tools like
# python-openstackclient will just work with no further config. (You will need
# to add your password to the auth section)
# If you have more than one cloud account, add the cloud entry to the clouds
# section of your existing file and you can refer to them by name with
# OS_CLOUD=openstack or --os-cloud=openstack
clouds:
  openstack:
    auth:
      auth_url: http://10.0.0.10:5000/v3
      application_credential_id: "6d141f23732b498e99db8186136c611b"
      application_credential_secret: "<example secret value>"
    region_name: "regionOne"
    interface: "public"
    identity_api_version: 3
    auth_type: "v3applicationcredential"

Copy to Clipboard

Toggle word wrap

注意

这些值与您的部署有所不同。

使用 Application Credential 生成令牌。使用以下命令时，不得以任何特定用户提供，且您必须位于与 clouds.yaml 文件相同的目录中。

openstack --os-cloud=openstack token issue

[stack@undercloud-0 openstack]$ openstack --os-cloud=openstack token issue
+------------+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| Field      | Value                                                                                                                                                                                                        |
+------------+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| expires    | 2018-08-29T05:37:29+0000                                                                                                                                                                                     |
| id         | gAAAAABbhiMJ4TxxFlTMdsYJpfStsGotPrns0lnpvJq9ILtdi-NKqisWBeNiJlUXwmnoGQDh2CMyK9OeTsuEXnJNmFfKjxiHWmcQVYzAhMKo6_QMUtu_Qm6mtpzYYHBrUGboa_Ay0LBuFDtsjtgtvJ-r8G3TsJMowbKF-yo--O_XLhERU_QQVl3hl8zmMRdmLh_P9Cbhuolt |
| project_id | 1a74eabbf05c41baadd716179bb9e1da                                                                                                                                                                             |
| user_id    | ef679eeddfd14f8b86becfd7e1dc84f2                                                                                                                                                                             |
+------------+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+

Copy to Clipboard

Toggle word wrap

注意

如果您收到类似于 init（）的错误，则会出现意外的关键字参数 'application_credential_secret'，那么您可能仍然会被提供到上一个凭证。对于全新的环境，请运行 sudo su - 堆栈。

9.2. 将应用凭证与应用程序集成
复制链接

应用凭据可用于对 keystone 的应用程序进行身份验证。使用 Application Credentials 时，keystone_authtoken 设置使用 v3applicationcredential 作为身份验证类型，并包含您在凭证创建过程中收到的凭证。输入以下值：

application_credential_secret ：应用凭据机密。
application_credential_id ：应用凭据 ID。
（可选） application_credential_name:如果您使用命名的应用程序凭证，您可以使用此参数，而不是 ID。

例如：

[keystone_authtoken]
auth_url = http://10.0.0.10:5000/v3
auth_type = v3applicationcredential
application_credential_id = "6cb5fa6a13184e6fab65ba2108adf50c"
application_credential_secret = "<example password>"

[keystone_authtoken]
auth_url = http://10.0.0.10:5000/v3
auth_type = v3applicationcredential
application_credential_id = "6cb5fa6a13184e6fab65ba2108adf50c"
application_credential_secret = "<example password>"

Copy to Clipboard

Toggle word wrap

9.3. 管理应用凭证
复制链接

您可以使用命令行来创建和删除应用凭证。

create 子命令根据当前源帐户创建应用凭据。例如，当作为 admin 用户提供时创建凭证将向应用凭证授予相同的角色：

openstack application credential create --description "App Creds - All roles" AppCredsUser

$ openstack application credential create --description "App Creds - All roles" AppCredsUser
+--------------+----------------------------------------------------------------------------------------+
| Field        | Value                                                                                  |
+--------------+----------------------------------------------------------------------------------------+
| description  | App Creds - All roles                                                                  |
| expires_at   | None                                                                                   |
| id           | fc17651c2c114fd6813f86fdbb430053                                                       |
| name         | AppCredsUser                                                                           |
| project_id   | 507663d0cfe244f8bc0694e6ed54d886                                                       |
| roles        | member reader admin                                                                    |
| secret       | fVnqa6I_XeRDDkmQnB5lx361W1jHtOtw3ci_mf_tOID-09MrPAzkU7mv-by8ykEhEa1QLPFJLNV4cS2Roo9lOg |
| unrestricted | False                                                                                  |
+--------------+----------------------------------------------------------------------------------------+

Copy to Clipboard

Toggle word wrap

警告

使用 --unrestricted 参数可让应用程序凭证创建和删除其他应用程序凭证和信任。这存在潜在的危险行为，默认是禁用的。您不能与其他访问规则结合使用 --unrestricted 参数。

默认情况下，生成的角色成员资格包含分配给创建凭据的帐户的所有角色。您可以通过仅委派访问特定角色来限制角色成员资格：

openstack application credential create --description "App Creds - Member" --role member AppCredsUser

$ openstack application credential create --description "App Creds - Member" --role member AppCredsUser
+--------------+----------------------------------------------------------------------------------------+
| Field        | Value                                                                                  |
+--------------+----------------------------------------------------------------------------------------+
| description  | App Creds - Member                                                                     |
| expires_at   | None                                                                                   |
| id           | e21e7f4b578240f79814085a169c9a44                                                       |
| name         | AppCredsUser                                                                           |
| project_id   | 507663d0cfe244f8bc0694e6ed54d886                                                       |
| roles        | member                                                                                 |
| secret       | XCLVUTYIreFhpMqLVB5XXovs_z9JdoZWpdwrkaG1qi5GQcmBMUFG7cN2htzMlFe5T5mdPsnf5JMNbu0Ih-4aCg |
| unrestricted | False                                                                                  |
+--------------+----------------------------------------------------------------------------------------+

Copy to Clipboard

Toggle word wrap

删除应用程序凭证：

openstack application credential delete AppCredsUser

$ openstack application credential delete AppCredsUser

Copy to Clipboard

Toggle word wrap

9.4. 替换应用程序凭证
复制链接

应用凭据将绑定到创建它们的用户帐户，并在用户帐户被删除时无效，或者用户丢失对委派的角色的访问权限。因此，您应该准备根据需要生成新应用程序凭证。

替换配置文件的现有应用程序凭证

更新分配给应用程序的应用程序凭证（使用配置文件）：

创建一组新的应用凭据。
将新凭据添加到应用配置文件中，以替换现有的凭据。如需更多信息，请参阅将应用程序凭证与应用程序集成。
重启应用程序服务以应用更改。
删除旧应用程序凭证（如果适用）。有关命令行选项的更多信息，请参阅管理应用程序凭证。

替换 clouds.yaml 中的现有应用程序凭证

替换 clouds.yaml 使用的应用程序凭证时，您必须使用 OpenStack 用户凭证创建替换凭证。默认情况下，您无法使用应用程序凭证来创建另一组应用程序凭证。openstack application credential create 命令基于当前源的帐户创建一个应用程序凭证。

以 OpenStack 用户身份进行身份验证，后者最初创建即将过期的身份验证凭据。例如，如果您使用应用程序凭证生成令牌的步骤，则必须再次以 AppCredsUser 身份登录。

创建名为 AppCred2 的应用凭据。这可以通过 OpenStack Dashboard 或 openstack CLI 界面完成：

openstack application credential create --description "App Creds 2 - Member" --role member AppCred2

openstack application credential create --description "App Creds 2 - Member" --role member AppCred2

Copy to Clipboard

Toggle word wrap

复制上一命令输出中的 id 和 secret 参数。secret 参数值无法再次访问。
将 ${HOME}/.config/openstack/clouds.yaml 文件中的 application_credential_id 和 application_credential_secret 参数值替换为您复制的 secret 和 id 值。

验证

使用 clouds.yaml 生成令牌，以确认凭证按预期工作。使用以下命令时，不得作为任何特定用户提供，且必须与 clouds.yaml 文件位于同一个目录中：

openstack --os-cloud=openstack token issue

[stack@undercloud-0 openstack]$ openstack --os-cloud=openstack token issue

Copy to Clipboard

Toggle word wrap

输出示例：

+------------+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| Field      | Value                                                                                                                                                                                                        |
+------------+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| expires    | 2018-08-29T05:37:29+0000                                                                                                                                                                                     |
| id         | gAAAAABbhiMJ4TxxFlTMdsYJpfStsGotPrns0lnpvJq9ILtdi-NKqisWBeNiJlUXwmnoGQDh2CMyK9OeTsuEXnJNmFfKjxiHWmcQVYzAhMKo6_QMUtu_Qm6mtpzYYHBrUGboa_Ay0LBuFDtsjtgtvJ-r8G3TsJMowbKF-yo--O_XLhERU_QQVl3hl8zmMRdmLh_P9Cbhuolt |
| project_id | 1a74eabbf05c41baadd716179bb9e1da                                                                                                                                                                             |
| user_id    | ef679eeddfd14f8b86becfd7e1dc84f2                                                                                                                                                                             |
+------------+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+

+------------+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| Field      | Value                                                                                                                                                                                                        |
+------------+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| expires    | 2018-08-29T05:37:29+0000                                                                                                                                                                                     |
| id         | gAAAAABbhiMJ4TxxFlTMdsYJpfStsGotPrns0lnpvJq9ILtdi-NKqisWBeNiJlUXwmnoGQDh2CMyK9OeTsuEXnJNmFfKjxiHWmcQVYzAhMKo6_QMUtu_Qm6mtpzYYHBrUGboa_Ay0LBuFDtsjtgtvJ-r8G3TsJMowbKF-yo--O_XLhERU_QQVl3hl8zmMRdmLh_P9Cbhuolt |
| project_id | 1a74eabbf05c41baadd716179bb9e1da                                                                                                                                                                             |
| user_id    | ef679eeddfd14f8b86becfd7e1dc84f2                                                                                                                                                                             |
+------------+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+

Copy to Clipboard

Toggle word wrap

法律通告
复制链接

本文档内容及图解由红帽根据 Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA")授权。如需 CC-BY-SA 的解释，请访问 http://creativecommons.org/licenses/by-sa/3.0/根据 CC-BY-SA，如果发布本文档或提供此文档，则必须提供原始版本的 URL。

作为本文档的许可者，红帽可能会放弃强制制执行 CC-BY-SA 第4d 条款，且不声明该条款在适用条款允许的最大限度内有效。

从 Keystone 用户文档适应的部分内容.请参阅 Red Hat OpenStack Platform 许可证中的"Keystone 用户文档 "。

Red Hat、Red Hat Enterprise Linux、Shadowman 徽标、JBoss、MetaMatrix、Fedora、Infinity 徽标和 RHCE 是 Red Hat, Inc. 在美国和其他国家/地区注册的商标。

Linux® 是 Linus Torvalds 在美国和其他国家/地区的注册商标。

Java® 是 Oracle 和/或其附属公司的注册商标。

XFS® 是 Silicon Graphics International Corp. 或其子公司在美国和/或其他国家的商标。

MySQL® 是美国、欧盟和其他国家的 MySQL AB 的注册商标。

Node.js® 是 Joyent 的官方商标。Red Hat Software Collections 与官方 Joyent Node.js 开源或商业项目没有正式关联或被正式认可。

OpenStack® Word Mark 和 OpenStack 徽标是 OpenStack Foundation 在美国及其他国家的注册商标/服务标记或商标/服务标记，可根据 OpenStack Foundation 的许可使用。我们不附属于 OpenStack Foundation 或 OpenStack 社区。

所有其他商标均由其各自所有者所有。

用户和身份管理指南

管理用户和 Keystone 身份验证

OpenStack Documentation Team

前言复制链接链接已复制到粘贴板!

对红帽文档提供反馈复制链接链接已复制到粘贴板!

第 1 章 身份服务复制链接链接已复制到粘贴板!

第 2 章 管理用户复制链接链接已复制到粘贴板!

2.1. 使用仪表板创建用户复制链接链接已复制到粘贴板!

2.2. 使用仪表板编辑用户复制链接链接已复制到粘贴板!

2.3. 使用仪表板启用或禁用用户复制链接链接已复制到粘贴板!

2.4. 使用仪表板删除用户复制链接链接已复制到粘贴板!

第 3 章 管理角色复制链接链接已复制到粘贴板!

3.1. 了解 Red Hat OpenStack Platform admin 角色复制链接链接已复制到粘贴板!

3.2. 使用 CLI 查看角色复制链接链接已复制到粘贴板!

3.3. 使用 CLI 创建和分配角色复制链接链接已复制到粘贴板!

3.4. 创建简单角色复制链接链接已复制到粘贴板!

第 4 章 管理组复制链接链接已复制到粘贴板!

4.1. 使用 CLI 配置组复制链接链接已复制到粘贴板!

4.2. 使用控制面板配置组复制链接链接已复制到粘贴板!

4.2.1. 创建组复制链接链接已复制到粘贴板!

4.2.2. 管理组成员资格复制链接链接已复制到粘贴板!

第 5 章 配额管理复制链接链接已复制到粘贴板!

5.1. 查看用户的计算配额复制链接链接已复制到粘贴板!

5.2. 更新用户的计算配额复制链接链接已复制到粘贴板!

5.3. 为用户设置对象存储配额复制链接链接已复制到粘贴板!

第 6 章 管理项目复制链接链接已复制到粘贴板!

6.1. 创建一个项目复制链接链接已复制到粘贴板!

6.2. 编辑项目复制链接链接已复制到粘贴板!

6.3. 删除项目复制链接链接已复制到粘贴板!

6.4. 更新项目配额复制链接链接已复制到粘贴板!

6.5. 更改活动项目复制链接链接已复制到粘贴板!

6.6. 项目层次结构复制链接链接已复制到粘贴板!

6.6.1. 创建分级项目和子项目复制链接链接已复制到粘贴板!

6.6.2. 配置对分层项目的访问复制链接链接已复制到粘贴板!

6.6.3. 经销商项目概述复制链接链接已复制到粘贴板!

6.7. 项目安全管理复制链接链接已复制到粘贴板!

6.7.1. 创建安全组复制链接链接已复制到粘贴板!

6.7.2. 添加安全组规则复制链接链接已复制到粘贴板!

6.7.3. 删除安全组规则复制链接链接已复制到粘贴板!

6.7.4. 删除安全组复制链接链接已复制到粘贴板!

第 7 章 管理域复制链接链接已复制到粘贴板!

7.1. 查看域列表复制链接链接已复制到粘贴板!

7.2. 创建新域复制链接链接已复制到粘贴板!

7.3. 查看域详情复制链接链接已复制到粘贴板!

7.4. 禁用域复制链接链接已复制到粘贴板!

第 8 章 使用 LDAP 进行身份管理复制链接链接已复制到粘贴板!

8.1. 从 Active Directory 获取 CA 证书复制链接链接已复制到粘贴板!

8.2. 将 CA 证书转换为 PEM 格式复制链接链接已复制到粘贴板!

8.3. 为身份服务配置安全 LDAP 通信复制链接链接已复制到粘贴板!

第 9 章 应用凭证复制链接链接已复制到粘贴板!

9.1. 使用应用凭证生成令牌复制链接链接已复制到粘贴板!

9.2. 将应用凭证与应用程序集成复制链接链接已复制到粘贴板!

9.3. 管理应用凭证复制链接链接已复制到粘贴板!

9.4. 替换应用程序凭证复制链接链接已复制到粘贴板!

法律通告复制链接链接已复制到粘贴板!

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

前言
复制链接

对红帽文档提供反馈
复制链接

第 1 章身份服务
复制链接

第 2 章管理用户
复制链接

2.1. 使用仪表板创建用户
复制链接

2.2. 使用仪表板编辑用户
复制链接

2.3. 使用仪表板启用或禁用用户
复制链接

2.4. 使用仪表板删除用户
复制链接

第 3 章管理角色
复制链接

3.1. 了解 Red Hat OpenStack Platform admin 角色
复制链接

3.2. 使用 CLI 查看角色
复制链接

3.3. 使用 CLI 创建和分配角色
复制链接

3.4. 创建简单角色
复制链接

第 4 章管理组
复制链接

4.1. 使用 CLI 配置组
复制链接

4.2. 使用控制面板配置组
复制链接

4.2.1. 创建组
复制链接

4.2.2. 管理组成员资格
复制链接

第 5 章配额管理
复制链接

5.1. 查看用户的计算配额
复制链接

5.2. 更新用户的计算配额
复制链接

5.3. 为用户设置对象存储配额
复制链接

第 6 章管理项目
复制链接

6.1. 创建一个项目
复制链接

6.2. 编辑项目
复制链接

6.3. 删除项目
复制链接

6.4. 更新项目配额
复制链接

6.5. 更改活动项目
复制链接

6.6. 项目层次结构
复制链接

6.6.1. 创建分级项目和子项目
复制链接

6.6.2. 配置对分层项目的访问
复制链接

6.6.3. 经销商项目概述
复制链接

6.7. 项目安全管理
复制链接

6.7.1. 创建安全组
复制链接

6.7.2. 添加安全组规则
复制链接

6.7.3. 删除安全组规则
复制链接

6.7.4. 删除安全组
复制链接

第 7 章管理域
复制链接

7.1. 查看域列表
复制链接

7.2. 创建新域
复制链接

7.3. 查看域详情
复制链接

7.4. 禁用域
复制链接

第 8 章使用 LDAP 进行身份管理
复制链接

8.1. 从 Active Directory 获取 CA 证书
复制链接

8.2. 将 CA 证书转换为 PEM 格式
复制链接

8.3. 为身份服务配置安全 LDAP 通信
复制链接

第 9 章应用凭证
复制链接

9.1. 使用应用凭证生成令牌
复制链接

9.2. 将应用凭证与应用程序集成
复制链接

9.3. 管理应用凭证
复制链接

9.4. 替换应用程序凭证
复制链接

法律通告
复制链接