第7章 keystone
以下の章では、keystone
サービスの設定オプションについて説明します。
7.1. keystone.conf
本項では、/etc/keystone/keystone.conf
ファイルのオプションについて説明します。
7.1.1. DEFAULT
以下の表には、/etc/keystone/keystone.conf
ファイルの [DEFAULT]
グループで使用できるオプションの概要をまとめています。
.
設定オプション = デフォルト値 | タイプ | 説明 |
---|---|---|
| 文字列値 |
この機能の使用は推奨され ていません。代わりに |
| 整数値 | 接続有効期限ポリシーのプールサイズ制限 |
| 整数値 | プールのアイドル状態の接続の存続期間(秒単位) |
| 文字列値 | トピックがスコープ設定されるデフォルトの変換。transport_url オプションで指定した変換名で上書きできます。 |
| ブール値 | true に設定すると、ログレベルはデフォルトの INFO レベルではなく DEBUG に設定されます。 |
| リスト値 | logger=LEVEL ペアのパッケージロギングレベルの一覧。このオプションは、log_config_append が設定されている場合は無視されます。 |
| 文字列値 |
送信通知のデフォルト |
| 整数値 | エグゼキューターがスレッディングまたはイベントレットの場合のエグゼキュータースレッドプールのサイズ。 |
| ブール値 | 非推奨の致命的なステータスを有効または無効にします。 |
| ブール値 | true に設定すると、サーバーは、認証されていない、または認証されたユーザーが通常の情報 (認証が失敗した理由に関する追加情報など) を取得できるように HTTP 応答の情報を返します。これはデバッグに役立ちますが、安全ではありません。 |
instance_format = [instance: %(uuid)s] | 文字列値 | ログメッセージで渡されるインスタンスの形式。 |
instance_uuid_format = [instance: %(uuid)s] | 文字列値 | ログメッセージで渡されるインスタンスUUIDの形式。 |
| 整数値 |
コレクションで返されるエンティティーの最大数。次に、適切なセクションに list_limit を指定して、特定のドライバーに対してこのグローバル制限を上書きできます (例: |
| 文字列値 | ロギング設定ファイルの名前。このファイルは、既存のロギング設定ファイルに追加されます。ロギング設定ファイルの詳細は、Python のロギングモジュールのドキュメントを参照してください。ロギング設定ファイルを使用すると、すべてのロギング設定が設定ファイルで設定され、その他のロギング設定オプションは無視されます(例:log-date-format)。 |
| 文字列値 | ログレコードの %%(asctime)sのフォーマット文字列を定義します。デフォルト:%(default)sこのオプションは、log_config_append が設定されている場合は無視されます。 |
| 文字列値 | (オプション)log_file の相対パスに使用されるベースディレクトリー。このオプションは、log_config_append が設定されている場合は無視されます。 |
| 文字列値 | (オプション)ロギング出力を送信するログファイルの名前。デフォルトが設定されていない場合、ロギングは use_stderr で定義されているように stderr に送信されます。このオプションは、log_config_append が設定されている場合は無視されます。 |
| 整数値 | ログファイルがローテーションされるまでの時間。このオプションは、log_rotation_type が「interval」に設定されていない限り無視されます。 |
| 文字列値 | ローテーション間隔の種別。次のローテーションをスケジューリングする際に、最後のファイル変更の時刻(またはサービスの起動時刻)が使用されます。 |
| 文字列値 | ログローテーションの種別。 |
| 文字列値 | コンテキスト付きログメッセージに使用するフォーマット文字列。oslo_log.formatters.ContextFormatter により使用されます。 |
| 文字列値 | メッセージのロギングレベルが DEBUG の場合にログメッセージに追加する追加のデータ。oslo_log.formatters.ContextFormatter により使用されます。 |
| 文字列値 | コンテキストが定義されていない場合に、ログメッセージに使用するフォーマット文字列。oslo_log.formatters.ContextFormatter により使用されます。 |
| 文字列値 | この形式で、例外出力の各行の前にプレフィックスが付けられます。oslo_log.formatters.ContextFormatter により使用されます。 |
| 文字列値 | logging_context_format_string で使用される %(user_identity)s のフォーマット文字列を定義します。oslo_log.formatters.ContextFormatter により使用されます。 |
| 整数値 | ローテーションされたログファイルの最大数。 |
| 整数値 | ログファイルの最大サイズ(MB 単位)。「log_rotation_type」が「size」に設定されていない場合は、このオプションは無視されます。 |
| 整数値 | ユーザー & プロジェクト ID/名前のサイズを制限します。 |
| 整数値 | プロジェクト階層の最大深さ (階層の上部にあるドメインとして機能するプロジェクトを除く)。警告: この値を大きく設定すると、パフォーマンスに悪影響を及ぼす可能性があります。 |
| 整数値 |
|
| 文字列値 |
Identity サービスイベントの通知形式を定義します。 |
| 多値 |
明示的にオプトアウトすることで、keystone が出力する通知数を減らすことができます。Keystone は、この一覧で表現されるパターンに一致する通知を出力しません。値は |
| URI 値 |
クライアントに通知される Keystone のベースパブリックエンドポイント URL (Keystone が接続をリッスンする方法には影響しません)。デフォルトは、要求のベースホスト URL です。たとえば、keystone が |
| ブール値 | エラーイベントの公開を有効または無効にします。 |
| 整数値 | rate_limit_interval ごとのログ記録されたメッセージの最大数。 |
| 文字列値 | レート制限で使用されるログレベル名:CRITICAL、ERROR、INFO、WARNING、DEBUG または空の文字列。rate_limit_except_level 以上のレベルのログはフィルターされません。空の文字列は、すべてのレベルがフィルターされることを意味します。 |
| 整数値 | ログのレート制限の間隔(秒数)。 |
| 整数値 | RPC 接続プールのサイズ。 |
| 整数値 | 呼び出しからの応答を待つ秒数。 |
| ブール値 | true に設定すると、パスワード操作に対して、パスワードの長さの厳密なチェックが実行されます。パスワードの最大長を超えると、操作は HTTP 403 Forbidden エラーを出して失敗します。false に設定すると、パスワードは自動的に最大長に切り捨てられます。 |
| 文字列値 | ログ行を受け取る syslog ファシリティー。このオプションは、log_config_append が設定されている場合は無視されます。 |
| 文字列値 | メッセージングバックエンドに接続するためのネットワークアドレスおよびオプションのユーザー認証情報(URL 形式)。想定される形式は次のとおりです。 driver://[user:pass@]host:port[,[userN:passN@]hostN:portN]/virtual_host?query 例:rabbit://rabbitmq:password@127.0.0.1:5672// URL のフィールドの詳細は、https://docs.openstack.org/oslo.messaging/latest/reference/transport.htmlで oslo_messaging.TransportURL のドキュメントを参照してください。 |
| ブール値 | ロギング用のjournald を有効にします。systemd 環境で実行している場合は、ジャーナルサポートを有効にしたい場合があります。その場合、ログメッセージに加えて構造化されたメタデータが含まれるjournalネイティブプロトコルが使用されます。このオプションは、log_config_append が設定されている場合は無視されます。 |
| ブール値 | ロギングに JSON 形式を使用します。このオプションは、log_config_append が設定されている場合は無視されます。 |
| ブール値 | ロギングに syslog を使用します。既存の syslog 形式は非推奨であり、後に RFC5424 に従うように変更されます。このオプションは、log_config_append が設定されている場合は無視されます。 |
| ブール値 | 出力をWindows イベントログに記録します。 |
| ブール値 | 出力を標準エラーに記録します。このオプションは、log_config_append が設定されている場合は無視されます。 |
| ブール値 | ファイルシステムを監視するように設計されたログハンドラーを使用します。ログファイルが移動または削除されると、このハンドラーは、指定されたパスで新しいログファイルを即時に開きます。これは、log_file オプションを指定し、Linux プラットフォームが使用される場合にのみ有効です。このオプションは、log_config_append が設定されている場合は無視されます。 |
7.1.2. application_credential
以下の表には、/etc/keystone/keystone.conf
ファイルの [application_credential]
グループで使用できるオプションの概要をまとめています。
設定オプション = デフォルト値 | タイプ | 説明 |
---|---|---|
| 整数値 | アプリケーション認証情報データを秒単位でキャッシュする時間。これは、グローバルキャッシングが有効でない限り効果はありません。 |
| ブール値 | アプリケーション認証情報のキャッシュを切り替えます。これは、グローバルキャッシングが有効でない限り効果はありません。 |
| 文字列値 |
|
| 整数値 | ユーザーが作成できるアプリケーション認証情報の最大数。-1 の値は無制限を意味します。制限が設定されていない場合には、ユーザーはアプリケーション認証情報を作成でき、これにより keystone データベースでエラーが発生したり、keystone が DoS 攻撃を行う可能性がありました。 |
7.1.3. assignment
以下の表には、/etc/keystone/keystone.conf
ファイルの [assignment]
グループ下で使用できるオプションの概要をまとめています。
設定オプション = デフォルト値 | タイプ | 説明 |
---|---|---|
| 文字列値 |
|
| リスト値 | 暗黙のロールになることを禁止されているロール名のリスト。 |
7.1.4. auth
以下の表には、/etc/keystone/keystone.conf
ファイルの [auth]
グループで使用できるオプションの概要をまとめています。
設定オプション = デフォルト値 | タイプ | 説明 |
---|---|---|
| 文字列値 |
|
| 文字列値 |
|
| 文字列値 |
|
| リスト値 |
許可される認証方法。注記: 現在フェデレーションを使用している場合は、 |
| 文字列値 |
|
| 文字列値 |
|
| 文字列値 |
|
7.1.5. cache
以下の表には、/etc/keystone/keystone.conf
ファイルの [cache]
グループで使用できるオプションの概要をまとめています。
設定オプション = デフォルト値 | タイプ | 説明 |
---|---|---|
| 文字列値 | キャッシュバックエンドモジュール。数百のスレッドサーバーを持つイベントレットベースまたは環境の場合は、プーリングを含む Memcache (oslo_cache.memcache_pool) が推奨されます。100 台未満のスレッドサーバーがある環境では、Memcached(dogpile.cache.memcached) または Redis(dogpile.cache.redis) が推奨されます。サーバーの単一のインスタンスを含むテスト環境は、dogpile.cache.memory バックエンドを使用できます。 |
| 多値 | バックエンドモジュールに指定された引数。このオプションは、dogpile.cache バックエンドに渡される引数ごとに 1 回指定します。例: "<argname>:<value>" |
| 文字列値 | キャッシュリージョンの設定ディクショナリーを構築するためのプレフィックス。同じ設定名を持つ別の dogpile.cache リージョンがない場合は、これを変更する必要はありません。 |
| ブール値 | キャッシュバックエンドからの追加デバッグ (キャッシュキー、get/set/delete/etc コール)。これは、キー/値を含む特定の cache-backend get/set/delete 呼び出しを確認する必要がある場合にのみ非常に便利です。通常、これは false に設定されている必要があります。 |
| ブール値 | キャッシュのグローバル切り替え。 |
| 整数値 | dogpile.cache リージョンのキャッシュされた項目に対するデフォルトの TTL (秒単位)。これは、キャッシュの有効期限が明示的に定義されていないキャッシュされたメソッドに適用されます。 |
| 整数値 | 再試行するまで memcached サーバーが停止されているとみなされる秒数 (dogpile.cache.memcache および oslo_cache.memcache_pool バックエンドのみ)。 |
| 整数値 | 操作が memcache クライアント接続を取得するのを待つ秒数。 |
| 整数値 | すべての memcached サーバーへのオープン接続の最大数 (oslo_cache.memcache_pool バックエンドのみ)。 |
| 整数値 | memcached への接続が閉じられる前にプールで未使用のままになる秒数 (oslo_cache.memcache_pool バックエンドのみ)。 |
| リスト値 | memcache サーバーは「host:port」の形式になります (dogpile.cache.memcache および oslo_cache.memcache_pool バックエンドのみ)。 |
| 浮動小数点の値 | サーバーへの呼び出しごとにタイムアウト (秒単位)。(dogpile.cache.memcache および oslo_cache.memcache_pool バックエンドのみ)。 |
| リスト値 | dogpile.cache バックエンドの機能に影響を与えるプロキシークラス。changing-backend-behavior についての dogpile.cache ドキュメントを参照してください。 |
7.1.6. catalog
以下の表には、/etc/keystone/keystone.conf
ファイルの [catalog]
グループで使用できるオプションの概要をまとめています。
設定オプション = デフォルト値 | タイプ | 説明 |
---|---|---|
| 整数値 | カタログデータのキャッシュ時間 (秒単位)。グローバルキャッシュとカタログキャッシングの両方が有効でない限り、効果はありません。カタログデータ (サービス、エンドポイントなど) は通常頻繁に変更されないため、グローバルデフォルトよりも長い期間が望ましい場合があります。 |
| ブール値 | カタログキャッシュを切り替えます。これは、グローバルキャッシングが有効でない限り効果はありません。一般的なデプロイメントでは、これを無効にする理由はありません。 |
| 文字列値 |
|
| 整数値 | カタログコレクションで返されるエンティティーの最大数。デプロイメントに十分なサービスやエンドポイントがあり、妥当な制限を超えるのに十分なサービスやエンドポイントがあるため、通常はこれを設定する必要はありません。 |
| 文字列値 |
テンプレート化されたカタログバックエンドに使用するファイルへの絶対パス。このオプションは、 |
7.1.7. cors
以下の表には、/etc/keystone/keystone.conf
ファイルの [cors]
グループ下で使用できるオプションの概要をまとめています。
設定オプション = デフォルト値 | タイプ | 説明 |
---|---|---|
| ブール値 | 実際の要求にユーザーの認証情報を含めることができることを示します。 |
| リスト値 | 実際の要求時に使用されるヘッダーフィールド名を示します。 |
| リスト値 | 実際の要求時に使用できるメソッドを示します。 |
| リスト値 | このリソースがリクエストの「origin"」ヘッダーで受信したドメインと共有されるかどうかを示します。形式:"<protocol>://<host>[:<port>]" (行末のスラッシュなし)例:https://horizon.example.com |
| リスト値 | API に安全に公開できるヘッダーを示します。デフォルトは HTTP Simple ヘッダーです。 |
| 整数値 | CORS プリフライトリクエストの最大キャッシュ期間。 |
7.1.8. credential
以下の表には、/etc/keystone/keystone.conf
ファイルの [credential]
グループで使用できるオプションの概要をまとめています。
設定オプション = デフォルト値 | タイプ | 説明 |
---|---|---|
| 整数値 | 認証情報データを秒単位でキャッシュする時間 (秒単位)。これは、グローバルキャッシングが有効でない限り効果はありません。 |
| ブール値 | ユーザー認証情報の取得時にのみキャッシュを有効にします。これは、グローバルキャッシングが有効でない限り効果はありません。 |
| 文字列値 |
|
| 文字列値 | 認証情報のバックエンドに保存されている認証情報を暗号化および復号化するために使用される Fernet キーが含まれるディレクトリー。認証情報の暗号化に使用される Fernet キーは、Fernet トークンの暗号化に使用される Fernet キーとは関係ありません。両方の鍵は別々に管理する必要があり、異なるローテーションポリシーが必要です。Fernet トークンのキーの管理に使用するリポジトリーとこのリポジトリーを共有しないでください。 |
| 文字列値 |
|
7.1.9. database
以下の表には、/etc/keystone/keystone.conf
ファイルの [database]
グループで使用できるオプションの概要をまとめています。
設定オプション = デフォルト値 | タイプ | 説明 |
---|---|---|
| 文字列値 | データベースに使用するバックエンド。 |
| 文字列値 | データベースへの接続に使用する SQLAlchemy 接続文字列。 |
| 整数値 | SQL デバッグ情報の詳細レベル: 0=None, 100=Everything |
`connection_parameters = ` | 文字列値 | 接続時に接続 URL に追加するオプションの URL パラメーター。param1=value1¶m2=value2&… として指定します。 |
| 整数値 | この秒数より長く接続プールに存在していた接続は、次にプールからチェックアウトされたときに新しい接続に置き換えられます。 |
| ブール値 | Python スタックトレースをコメント文字列として SQL に追加します。 |
| ブール値 | True の場合には、db_max_retry_interval までのデータベース操作の再試行回数を長くします。 |
| 整数値 | エラーが発生する前に接続エラーまたはデッドロックが発生した場合の最大再試行。再試行回数を無限に指定するには -1 に設定します。 |
| 整数値 | db_inc_retry_interval が設定されている場合は、データベース操作を再試行するまでの最大秒数です。 |
| 整数値 | データベーストランザクションの再試行間の秒数。 |
| 整数値 | 設定されている場合、この値を SQLAlchemy で max_overflow に使用します。 |
| 整数値 | プールに開いたままにする SQL 接続の最大数。値を 0 に設定すると無制限を意味します。 |
| 整数値 | 起動時のデータベース接続の最大再試行数。再試行回数を無限に指定するには -1 に設定します。 |
| ブール値 | True の場合には、MySQL Cluster (NDB) の処理のサポートを透過的に有効にします。 |
| 文字列値 | MySQL セッションに使用する SQL モード。このオプション (デフォルトを含む) は、サーバーセット SQL モードを上書きします。サーバー設定で設定された SQL モードを使用するには、これを no value に設定します。例: mysql_sql_mode= |
| 整数値 | 設定されている場合は、この値を SQLAlchemy で pool_timeout に使用します。 |
| 整数値 | SQL 接続を開く再試行の間隔。 |
| 文字列値 | スレーブデータベースへの接続に使用する SQLAlchemy 接続文字列。 |
| ブール値 | True の場合、SQLite は同期モードを使用します。 |
| ブール値 | 失われた接続でデータベースの実験的な使用を有効にします。 |
7.1.10. domain_config
以下の表には、/etc/keystone/keystone.conf
ファイルの [domain_config]
グループで使用できるオプションの概要をまとめています。
設定オプション = デフォルト値 | タイプ | 説明 |
---|---|---|
| 整数値 |
ドメイン固有の設定データをキャッシュするための Time-to-live (TTL)。 |
| ブール値 | ドメイン固有の設定バックエンドのキャッシュを切り替えます。これは、グローバルキャッシングが有効でない限り効果はありません。通常、これを無効にする理由はありません。 |
| 文字列値 |
|
7.1.11. endpoint_filter
以下の表には、/etc/keystone/keystone.conf
ファイルの [endpoint_filter]
グループで使用できるオプションの概要をまとめています。
設定オプション = デフォルト値 | タイプ | 説明 |
---|---|---|
| 文字列値 |
|
| ブール値 | これにより、設定されたエンドポイントフィルターでユーザー + プロジェクトペアのエンドポイントが生じない場合 (したがって、空のサービスカタログ) が keystone の動作を制御します。true に設定すると、keystone はサービスカタログ全体を返します。false に設定すると、keystone は空のサービスカタログを返します。 |
7.1.12. endpoint_policy
以下の表には、/etc/keystone/keystone.conf
ファイルの [endpoint_policy]
グループ下で使用できるオプションの概要をまとめています。
設定オプション = デフォルト値 | タイプ | 説明 |
---|---|---|
| 文字列値 |
|
7.1.13. eventlet_server
以下の表には、/etc/keystone/keystone.conf
ファイルの [eventlet_server]
グループ下で使用できるオプションの概要をまとめています。
設定オプション = デフォルト値 | タイプ | 説明 |
---|---|---|
| ホストのアドレス値 | admin サービスがリッスンするネットワークインターフェースの IP アドレス。 |
| ポート値 | リッスンする admin サービスのポート番号。 |
| ホストのアドレス値 | パブリックサービスがリッスンするネットワークインターフェースの IP アドレス。 |
| ポート値 | リッスンするパブリックサービスのポート番号。 |
7.1.14. federation
以下の表には、/etc/keystone/keystone.conf
ファイルの [federation]
グループ下に利用可能なオプションをまとめています。
設定オプション = デフォルト値 | タイプ | 説明 |
---|---|---|
`assertion_prefix = ` | 文字列値 | フェデレーションされたアサーションの環境変数名をフィルターする際に使用するプレフィックス。一致する変数は、フェデレーションされたマッピングエンジンに渡されます。 |
| ブール値 | フェデレーションキャッシングを切り替えます。これは、グローバルキャッシングが有効でない限り効果はありません。通常、これを無効にする理由はありません。 |
| 文字列値 |
|
| 文字列値 | フェデレーションされた一時ユーザーがドメインの概念を設定できるように予約される任意のドメイン名。管理者は、この名前でドメインを作成したり、既存のドメインをこの名前に更新したりすることはできません。本当に必要でない限り、この値を変更しないようにしてください。 |
| 文字列値 |
環境からアイデンティティープロバイダーのエンティティー ID を取得するために使用されるすべてのプロトコルのデフォルト値。 |
| 文字列値 | シングルサインオンコールバックハンドラーとして使用される HTML ファイルへの絶対パス。このページには、POST 要求でトークンをエンコードすることで、keystone からのユーザーを信頼済みのダッシュボードホストにリダイレクトすることが想定されています。ほとんどのデプロイメントでは、Keystone のデフォルト値で十分です。 |
| 多値 | 信頼済みダッシュボードホストの一覧。トークンを返すためのシングルサインオン要求を受け入れる前に、元のホストはこの一覧のメンバーである必要があります。この設定オプションは、複数の値に対して繰り返すことができます。これは、web ベースの SSO フローを使用するために設定する必要があります。たとえば、trusted_dashboard=https://acme.example.com/auth/websso trusted_dashboard=https://beta.example.com/auth/websso のようになります。 |
7.1.15. fernet_receipts
以下の表には、/etc/keystone/keystone.conf
ファイルの [fernet_receipts]
グループで使用できるオプションの概要をまとめています。
設定オプション = デフォルト値 | タイプ | 説明 |
---|---|---|
| 文字列値 |
Fernet receipt キーを含むディレクトリー。このディレクトリは、 |
| 整数値 |
これは、 |
7.1.16. fernet_tokens
以下の表には、/etc/keystone/keystone.conf
ファイルの [fernet_tokens]
グループで使用できるオプションの概要をまとめています。
設定オプション = デフォルト値 | タイプ | 説明 |
---|---|---|
| 文字列値 |
Fernet トークンキーを含むディレクトリー。このディレクトリは、 |
| 整数値 |
これは、 |
7.1.17. Healthcheck
以下の表には、/etc/keystone/keystone.conf
ファイルの [healthcheck]
グループで使用できるオプションの概要をまとめています。
設定オプション = デフォルト値 | タイプ | 説明 |
---|---|---|
| リスト値 | ヘルスチェックを実施し、リクエストの一部としてその情報を報告できる追加のバックエンド。 |
| ブール値 | 応答の一部として詳細情報を表示します。セキュリティー上の注意: このオプションを有効にすると、モニターされるサービスについての機密情報が公開される可能性があります。セキュリティポリシーに違反しないことを確認してください。 |
| 文字列値 | ファイルが存在することを確認し、アプリケーションがポート上で実行されているかどうかを確認します。DisableByFileHealthcheck プラグインで使用されます。 |
| リスト値 | ポートに基づいてファイルが存在することを確認し、アプリケーションがポート上で実行されているかどうかを判断します。文字列の「port:path」リストを想定します。DisableByFilesPortsHealthcheck プラグインで使用されます。 |
| 文字列値 | healtcheck 要求に応答するパス。 |
7.1.18. identity
以下の表には、/etc/keystone/keystone.conf
ファイルの [identity]
グループで使用できるオプションの概要をまとめています。
設定オプション = デフォルト値 | タイプ | 説明 |
---|---|---|
| 整数値 | アイデンティティーデータのキャッシュ時間 (秒単位)。グローバルおよびアイデンティティーキャッシングが有効でない限り、効果はありません。 |
| ブール値 | アイデンティティーキャッシングを切り替えます。これは、グローバルキャッシングが有効でない限り効果はありません。通常、これを無効にする理由はありません。 |
| 文字列値 |
これは、すべての Identity API v2 要求に使用するドメインを参照します (これはドメインを認識しません)。この ID を持つドメインは、オプションで |
| 文字列値 |
keystone がドメイン固有の |
| ブール値 |
デフォルトでは、ドメイン固有の設定データは、 |
| ブール値 |
ドメインのサブセット (またはすべて) には独自のアイデンティティードライバーがあり、それぞれに独自の部分的な設定オプションがあり、リソースバックエンドまたはドメイン設定ディレクトリーのファイルのいずれかに保存されます ( |
| 文字列値 |
|
| 整数値 | アイデンティティーコレクションで返されるエンティティーの最大数。 |
| 整数値 | ユーザーパスワードの最大許容長。パフォーマンスを向上させるために、この値を小さくします。この値を変更しても、既存のパスワードは影響を受けません。 |
| 文字列値 | keystone に保存されているパスワードに使用するパスワードハッシュアルゴリズム。 |
| 整数値 |
このオプションは、セキュリティーとパフォーマンス間のトレードオフを表します。値が大きいほどパフォーマンスは低下しますが、セキュリティーが強化されます。このオプションを変更すると、既存のパスワードハッシュにすでに固定数のラウンドが適用されているため、新しく作成されたパスワードにのみ影響するため、実行中のクラスターでこのオプションを調整しても安全です。bcrypt のデフォルト値は 12 で、4 から 31 までの値である必要があります。scrypt のデフォルト値は 16 で、 |
| 整数値 | scrypt および pbkfd2_sha512 ハッシュの salt で使用するバイト数。scrypt のデフォルト値は 16 バイトです。デフォルトは、pbkfd2_sha512 は 16 バイトです。パスワードハッシュを保存するために使用される列のサイズにより、96 バイトの最大値に制限されます。 |
| 整数値 |
scrypt ハッシュ関数に渡す任意のブロックサイズ ( |
| 整数値 |
scrypt ハッシュ関数に渡すオプションの並列処理 ( |
7.1.19. identity_mapping
以下の表には、/etc/keystone/keystone.conf
ファイルの [identity_mapping]
グループで使用できるオプションの概要をまとめています。
設定オプション = デフォルト値 | タイプ | 説明 |
---|---|---|
| ブール値 |
UUID を生成しないバックエンド (例: LDAP) で、Jupno でユーザーおよびグループ ID の形式が変更され、keystone は LDAP の基礎となる属性にハッシュのマッピングを提供します。デフォルトでは、このマッピングが無効になり、既存の ID が変更されなくなります。ドメイン固有のドライバー ( |
| 文字列値 |
|
| 文字列値 |
|
7.1.20. jwt_tokens
以下の表には、/etc/keystone/keystone.conf
ファイルの [jwt_tokens]
グループで使用できるオプションの概要をまとめています。
設定オプション = デフォルト値 | タイプ | 説明 |
---|---|---|
| 文字列値 |
JWS トークンを署名するための秘密鍵が含まれるディレクトリー。keystone のサーバープロセスを開始するには、このディレクトリーが存在している必要があります。また、keystone の server プロセスでも読み取り可能でなければなりません。 |
| 文字列値 |
JWS トークン署名を検証するための公開鍵を含むディレクトリー。keystone のサーバープロセスを開始するには、このディレクトリーが存在している必要があります。また、keystone の server プロセスでも読み取り可能でなければなりません。 |
7.1.21. ldap
以下の表には、/etc/keystone/keystone.conf
ファイルの [ldap]
グループで使用できるオプションの概要をまとめています。
設定オプション = デフォルト値 | タイプ | 説明 |
---|---|---|
| 文字列値 |
エイリアスを含むクエリーに使用する LDAP 逆参照オプション。 |
| 整数値 |
LDAP サーバーへのエンドユーザー認証接続の最大有効期間 (秒単位)。このライフタイムを超えると、接続はバインドされず、接続プールから削除されます。このオプションは、 |
| 整数値 |
エンドユーザー認証に使用する接続プールのサイズ。このオプションは、 |
| ブール値 | ディレクトリーパーティション全体で、keystone の参照処理の動作を設定します。未設定のままにすると、システムのデフォルトの動作が使用されます。 |
| 整数値 |
LDAP サーバーで使用する接続のタイムアウト。 |
| 整数値 | LDAP 呼び出しの LDAP デバッグレベルを設定します。値が 0 の場合は、デバッグが有効になっていないことを意味します。この値はビットマスクです。可能な値については LDAP ドキュメントを参照してください。 |
| ブール値 | 有効にすると、グループクエリーはネスト化されたグループに Active Directory 固有のフィルターを使用します。 |
| リスト値 |
追加の属性を keystone のグループにマッピングするために使用される keystone グループ属性のペアへの LDAP 属性の一覧。予期される形式は |
| リスト値 | 作成および更新時に無視するグループ属性のリスト。または、特定のグループ属性をリストまたは表示するグループ属性にフィルターする必要があるかどうか。 |
| 文字列値 | keystone のグループの説明にマッピングされた LDAP 属性。 |
| 文字列値 | グループに使用する LDAP 検索フィルター。 |
| 文字列値 | keystone のグループ ID にマッピングされる LDAP 属性。これは多値属性にしないでください。グループ ID は、keystone ドメイン全体でグローバルに一意であり、URL セーフになることが予想されます。 |
| 文字列値 | ユーザーがグループのメンバーであることを示すために使用される LDAP 属性です。 |
| ブール値 |
グループオブジェクトクラスのメンバーが LDAP DN ではなく keystone ユーザー ID である場合は、このオプションを有効にします。Open Directory のグループオブジェクトクラスとして |
| 文字列値 | keystone のグループ名にマッピングされる LDAP 属性。グループ名は keystone ドメイン内でのみ一意となることが想定されており、URL セーフであることが予想されます。 |
| 文字列値 |
グループに使用する LDAP オブジェクトクラス。このオプションを |
| 文字列値 |
グループに使用する検索ベース。デフォルトは |
| 整数値 |
オブジェクトを一覧表示する際に keystone が LDAP サーバーから要求する必要のある、ページごとの最大結果数を定義します。 |
| 文字列値 | LDAP サーバーにクエリーを実行するときに使用する管理者バインド DN のパスワードは、LDAP サーバーが必要な場合です。 |
| 整数値 |
LDAP サーバーへの最大接続寿命を秒単位で指定します。このライフタイムを超えると、接続はバインドされず、接続プールから削除されます。このオプションは、 |
| 整数値 |
LDAP 接続のプーリング時に使用する接続のタイムアウト。 |
| 浮動小数点の値 |
LDAP サーバーへの再接続を試みるまで待機する秒数。このオプションは、 |
| 整数値 |
LDAPサーバーへの再接続を試みる最大回数 (中止するまでの回数)。値をゼロにすると再試行が回避されます。このオプションは、 |
| 整数値 |
LDAP 接続プールのサイズ。このオプションは、 |
| 文字列値 |
検索ベース内での詳細な検索方法を定義する検索範囲。値 |
| 文字列値 |
|
| 文字列値 |
LDAP サーバーと通信する際に使用する CA 証明書ディレクトリーへの絶対パス。 |
| 文字列値 |
LDAP サーバーと通信する際に使用する CA 証明書ファイルへの絶対パス。このオプションは |
| 文字列値 |
受信 TLS セッションでクライアント証明書に対して実行するチェックを指定します。 |
| 文字列値 | LDAP サーバーに接続するための URL。複数の LDAP URL をコンマ区切りの文字列として指定することができます。接続には、正常にバインドするための最初の URL が使用されます。 |
| ブール値 | エンドユーザー認証の LDAP 接続プールを有効にします。通常、これを無効にする理由はありません。 |
| ブール値 | LDAP サーバーへのクエリーの LDAP 接続プールを有効にします。通常、これを無効にする理由はありません。 |
| ブール値 |
LDAP サーバーと通信する際に TLS を有効にします。また、このオプションを使用する際に |
| 文字列値 | LDAP サーバーに必要な場合に、LDAP サーバーにクエリーする際に使用する管理者バインド DN のユーザー名。 |
| リスト値 |
追加属性を keystone のユーザー属性にマッピングするために使用される keystone ユーザー属性のペアへの LDAP 属性一覧予期される形式は |
| リスト値 | 作成および更新時に無視するユーザー属性のリスト、または特定のユーザー属性をリストまたは表示するユーザー属性にフィルターする必要があるかどうか。 |
| 文字列値 | keystone のユーザーの default_project_id にマッピングされる LDAP 属性。これは、keystone が LDAP への書き込みアクセスを持つ場合に最も一般的に使用されます。 |
| 文字列値 | keystone のユーザーの説明にマッピングされた LDAP 属性。 |
| 文字列値 |
keystone の user enabled 属性にマッピングされた LDAP 属性。このオプションを |
| 文字列値 |
ユーザーを有効にするためのデフォルト値。LDAP サーバーが、非ブール値 (ビットマスク) 値を使用してユーザーが有効または無効になっているかを示す場合は、適切な整数値と一致させる必要があります。これが |
| ブール値 |
有効な場合には、keystone は別の方法を使用して、ユーザーが |
| 文字列値 |
有効なエミュレーションを使用する場合に有効なユーザーを保持するグループエントリーの DN。 |
| ブール値 |
|
| ブール値 |
LDAP サーバーから取得した enabled 属性のブール値を論理的に無視します。一部の LDAP サーバーはブール値ロック属性を使用するものもあります。"true" はアカウントが無効を意味します。 |
| 整数値 |
LDAP サーバーが個別のブール値ではなく、整数の整数を整数で表した場合、有効な値を示すビットマスク整数。 |
| 文字列値 | ユーザーに使用する LDAP 検索フィルター。 |
| 文字列値 | keystone のユーザー ID にマッピングされた LDAP 属性これは多値属性にしないでください。ユーザー ID は、keystone ドメイン全体でグローバルに一意であり、URL セーフになることが予想されます。 |
| 文字列値 | keystone のユーザーのメールにマップされた LDAP 属性。 |
| 文字列値 | keystone のユーザー名にマッピングされる LDAP 属性。ユーザー名は keystone ドメイン内でのみ一意となることが想定されており、URL セーフであることが予想されます。 |
| 文字列値 | ユーザーに使用する LDAP オブジェクトクラス。 |
| 文字列値 | keystone のユーザーパスワードにマッピングされる LDAP 属性。 |
| 文字列値 |
ユーザーに使用する検索ベース。デフォルトは |
7.1.22. memcache
以下の表には、/etc/keystone/keystone.conf
ファイルの [memcache]
グループ下で使用できるオプションの概要をまとめています。
設定オプション = デフォルト値 | タイプ | 説明 |
---|---|---|
| 整数値 | memcached サーバーが再び試行されるまで停止されているとみなされる秒数。これは、キー値ストアシステムによって使用されます。 |
| 整数値 | 操作が memcache クライアント接続を取得するのを待つ秒数。これは、キー値ストアシステムによって使用されます。 |
| 整数値 | すべての memcached サーバーへのオープン接続の最大数。これは、キー値ストアシステムによって使用されます。 |
| 整数値 | memcached への接続が、閉じられる前にプールに未使用のまま保持される秒数。これは、キー値ストアシステムによって使用されます。 |
| 整数値 | サーバーへの呼び出しごとにタイムアウト (秒単位)。これは、キー値ストアシステムによって使用されます。 |
7.1.23. oauth1
以下の表には、/etc/keystone/keystone.conf
ファイルの [oauth1]
グループで使用できるオプションの概要をまとめています。
設定オプション = デフォルト値 | タイプ | 説明 |
---|---|---|
| 整数値 | OAuth アクセストークンの作成後も有効な状態を維持するための秒数。これは、コンシューマーがサービスプロバイダー (通常は keystone) と対話する必要のある時間です。このオプションをゼロに設定すると、アクセストークンが最後に実行されることを意味します。 |
| 文字列値 |
|
| 整数値 | OAuth 要求トークンの作成後も有効な状態を維持するための秒数。これは、ユーザーがトークンを承認する必要がある時間です。このオプションをゼロに設定すると、リクエストトークンが永久に継続されます。 |
7.1.24. oslo_messaging_amqp
以下の表では、/etc/keystone/keystone.conf
ファイルの [oslo_messaging_amqp]
グループで利用可能なオプションの概要を説明します。
設定オプション = デフォルト値 | タイプ | 説明 |
---|---|---|
| 文字列値 | ドライバーが使用するアドレスモードを示します。許可される値:legacy - レガシーのルーティング不可能なアドレス指定を使用します。routable - ルーティング可能なアドレスを使用します。dynamic - メッセージバスがルーティングをサポートしていない場合はレガシーのアドレスを使用します。それ以外の場合は、ルーティング可能なアドレスを使用します。 |
| 文字列値 | コンシューマーのグループに送信する際に、アドレス接頭辞に追加されます。コンシューマー間でラウンドロビン方式で配信される必要のあるメッセージを特定するために、メッセージバスで使用されます。 |
| 文字列値 | すべてのサーバーにブロードキャストする場合に使用されるアドレスプレフィックス |
| 整数値 | フェイルオーバーの試みに失敗するたびに、connection_retry_interval をこの秒数だけ増やします。 |
| 整数値 | 再接続を試みる前に一時停止する秒数。 |
| 整数値 | connection_retry_interval + connection_retry_backoff の上限 |
| 文字列値 | AMQP コンテナーの名前。グローバルで一意でなければなりません。デフォルトは、生成された UUID です。 |
| 文字列値 | 通知アドレスで使用される変換名。エクスチェンジ名の解決の優先順位:Target.exchange、他に設定されている場合は default_notification_exchange、他に設定されている場合は control_exchange、他に設定されている場合は notify |
| 整数値 | 送信された通知メッセージ配信の期限。呼び出し元がタイムアウトを明示的に指定しない場合にのみ使用されます。 |
| 整数値 | リカバリー可能なエラーが原因で失敗した返信メッセージを再送信する最大試行回数。 |
| 整数値 | rpc返信メッセージ配信の期限。 |
| 文字列値 | RPC アドレスで使用される変換名。エクスチェンジ名の解決の優先順位:Target.exchange、他に設定されている場合は default_rpc_exchange、他に設定されている場合は control_exchange、他に設定されている場合は rpc |
| 整数値 | rpcキャストまたは呼び出しメッセージ配信の期限。呼び出し元がタイムアウトを明示的に指定しない場合にのみ使用されます。 |
| 整数値 | アイドル状態の送信者リンクのパージをスケジュールする時間。期限切れ後にリンクの割り当てを解除します。 |
| 文字列値 | グループの任意のサーバーに送信する際のアドレスプレフィックス |
| 整数値 | 非アクティブな接続のタイムアウト(秒単位) |
| 整数値 | リカバリー可能なエラーが原因で失敗した AMQP 1.0 リンクの再接続間に一時停止する時間。 |
| 文字列値 | ファンアウトメッセージを送信するときにアドレス接頭辞に追加されます。ファンアウトメッセージを識別するためにメッセージバスによって使用されます。 |
| 文字列値 | すべての生成される通知アドレスのアドレスプレフィックス |
| 整数値 | 受信通知メッセージのウィンドウサイズ |
| 多値 | このタイプのメッセージを事前処置状態で送信します。事前処置されたメッセージは、ピアから確認応答を受信しません。注記:事前処置されたメッセージは、配信に失敗した場合に警告なしに破棄される可能性があります。許可される値:rpc-call - RPC 呼び出しを事前処置状態で送信します。rpc-reply- RPC 返信を事前処置状態で送信します。rpc-cast - RPC キャストを事前処置状態で送信します。notify - 通知を事前処置状態で送信します。 |
| ブール値 | 仮想ホスト(qpidd など)をネイティブにサポートしていないメッセージバスの仮想ホストサポートを有効にします。true に設定すると、仮想ホスト名はすべてのメッセージバスアドレスに追加され、結果として仮想ホストごとにプライベート サブネット を作成します。メッセージバスが仮想ホストの名前として AMQP 1.0 オープン遂行動詞の hostname フィールドを使用して仮想ホストをサポートする場合は False に設定します。 |
| 整数値 | 受信する RPC 返信メッセージのウィンドウサイズ。 |
| 文字列値 | すべての生成されるRPCアドレスのアドレスプレフィックス |
| 整数値 | 受信する RPC リクエストメッセージのウィンドウサイズ。 |
sasl_config_dir = | 文字列値 | SASL 設定が含まれるディレクトリーへのパス |
sasl_config_name = | 文字列値 | 設定ファイルの名前(.conf 接尾辞なし) |
sasl_default_realm = | 文字列値 | ユーザー名にレルムが存在しない場合に使用する SASL レルム |
sasl_mechanisms = | 文字列値 | 許可される SASL メカニズムのスペース区切りリスト |
| 文字列値 | 特定のサーバーに送信する時に使用するアドレスプレフィックス |
| ブール値 | SSL 経由で接続を試みます。その他の ssl 関連のパラメーターが指定されていない場合、システムの CA バンドルを使用してサーバーの証明書を検証します。 |
ssl_ca_file = | 文字列値 | サーバーの証明書の検証に使用する CA 証明書 PEM ファイル |
ssl_cert_file = | 文字列値 | クライアント認証用の自己識別証明書 PEM ファイル |
ssl_key_file = | 文字列値 | ssl_cert_file 証明書の署名に使用される秘密鍵 PEM ファイル(オプション) |
| 文字列値 | ssl_key_file を復号するためのパスワード(暗号化されている場合) |
| ブール値 | デフォルトでは、SSL は、サーバーの証明書の名前が transport_url のホスト名と一致することを確認します。構成によっては、代わりに仮想ホスト名を使用することが望ましい場合があります。たとえば、サーバーが Server Name Indication TLS 拡張(rfc6066)を使用して、仮想ホストごとの証明書を提供する場合などです。サーバーの SSL 証明書が DNS 名ではなく仮想ホスト名を使用する場合は、ssl_verify_vhost を True に設定します。 |
| ブール値 | デバッグ: AMQP フレームを標準出力(stdout)にダンプします。 |
| 文字列値 | 特定のRPC/通知サーバーに送信する際に、アドレス接頭辞に追加されます。単一の送信先に送信されたメッセージを識別するためにメッセージバスによって使用されます。 |
7.1.25. oslo_messaging_kafka
以下の表には、/etc/keystone/keystone.conf
ファイルの [oslo_messaging_kafka]
グループで使用できるオプションの概要をまとめています。
設定オプション = デフォルト値 | タイプ | 説明 |
---|---|---|
| 文字列値 | プロデューサーによって生成されたすべてのデータの圧縮コーデック。設定されていない場合、圧縮は使用されません。この設定に許可される値は、kafka バージョンに依存することに注意してください。 |
| 整数値 | 接続有効期限ポリシーのプールサイズ制限 |
| 整数値 | プールのアイドル状態の接続の存続期間(秒単位) |
| 文字列値 | Kafka コンシューマーのグループ ID。あるグループのコンシューマーは、メッセージ消費を調整します。 |
| ブール値 | 非同期コンシューマーコミットを有効にします。 |
| 浮動小数点の値 | Kafka コンシューマーのデフォルトタイムアウト |
| 整数値 | Kafka コンシューマーの最大フェッチバイト |
| 整数値 | ポーリング呼び出しで返されるレコードの最大数 |
| 整数値 | Kafka コンシューマーのプールサイズ |
| 整数値 | プロデューサーの非同期送信のバッチサイズ |
| 浮動小数点の値 | KafkaProducer バッチ処理の遅延の上限(秒単位) |
| 文字列値 | セキュリティープロトコルが SASL である際のメカニズム |
| 文字列値 | ブローカーとの通信に使用されるプロトコル |
ssl_cafile = | 文字列値 | サーバーの証明書の検証に使用する CA 証明書 PEM ファイル |
7.1.26. oslo_messaging_notifications
以下の表には、/etc/keystone/keystone.conf
ファイルの [oslo_messaging_notifications]
グループで使用できるオプションの概要をまとめています。
設定オプション = デフォルト値 | タイプ | 説明 |
---|---|---|
| 多値 | 通知の送信を処理するドライバー。使用できる値は messaging、messagingv2、routing、log、test、noop です。 |
| 整数値 | リカバリー可能なエラーが原因で配信に失敗した通知メッセージを再送信する最大試行回数。0 - 再試行なし、-1 - 無限回 |
| リスト値 | OpenStack の通知に使用する AMQP トピック。 |
| 文字列値 | 通知に使用するメッセージングドライバーを表す URL。設定されていない場合は、RPC に使用されるものと同じ設定にフォールバックします。 |
7.1.27. oslo_messaging_rabbit
以下の表には、/etc/keystone/keystone.conf
ファイルの [oslo_messaging_rabbit]
グループで使用できるオプションの概要をまとめています。
設定オプション = デフォルト値 | タイプ | 説明 |
---|---|---|
| ブール値 | AMQP の自動削除キュー。 |
| ブール値 | AMQP で永続キューを使用します。 |
| 整数値 | 直接送信するために RabbitMQ の必須フラグを有効または無効にします。クライアントキューが存在しない場合、ダイレクト送信は応答として使用され、MessageUndeliverable 例外が発生します。 |
| ブール値 | 実験的用途: ネイティブ python スレッドを介してヘルスチェックハートビートスレッドを実行します。デフォルトでは、このオプションが指定されていない場合、ヘルスチェックハートビートは親プロセスから実行モデルを継承します。例として、親プロセスの monkey に、イベントレット/gリーンレットを使用してstdlib のパッチが適用された場合、ハートビートはグリーンスレッドを通じて実行されます。 |
| 整数値 | heartbeat_timeout_threshold 中、ハートビートを確認する回数。 |
| 整数値 | ハートビートの keep-alive が失敗した場合に Rabbit ブローカーがダウンとみなされるまでの秒数(0 はハートビートを無効にします)。 |
| 文字列値 | 実験的用途: 許容値は gzip、bz2 です。設定されていない場合、圧縮は使用されません。このオプションは、今後のバージョンで利用できない可能性があります。 |
| 文字列値 | 現在接続しているノードが利用できなくなった場合に、次の RabbitMQ ノードを選択する方法を指定します。設定で複数の RabbitMQ ノードが指定される場合に限り有効になります。 |
| 整数値 | 応答のないクライアントが応答を送信するのを待つ時間。この時間が経過すると無視します。この値は rpc_response_timeout より長くすることはできません。 |
| 浮動小数点の値 | AMQP コンシューマーの取り消し通知への応答で、再接続するまでの待機時間。 |
| ブール値 | RabbitMQ (x-ha-policy: all)の HA キューの使用を試みます。このオプションを変更する場合は、RabbitMQ データベースを消去する必要があります。RabbitMQ 3.0 では、キューを宣言する際に x-ha-policy 引数によってキューのミラーリングが制御されなくなりました。すべてのキュー(自動生成された名前のキューを除く)がすべてのノードでミラーリングされるようにするには、"rabbitmqctl set_policy HA ^(?!amq\.).* {"ha-mode": "all"}" を実行します。 |
| 整数値 | RabbitMQ 接続を再試行する最大間隔。デフォルトは 30 秒です。 |
| 文字列値 | RabbitMQ ログイン方法 |
| 整数値 | 事前フェッチするメッセージの数を指定します。ゼロに設定すると、無制限のメッセージのフェッチが許可されます。 |
| 整数値 | RabbitMQ に接続する際に再試行間でバックオフする長さ |
| 整数値 | RabbitMQ との接続を再試行する頻度。 |
| 整数値 | キューの TTL (x-expires)の期間(秒単位)を表す正の整数。TTL の期間使用されないキューは自動的に削除されます。このパラメーターは応答キューとファンアウトキューにのみ影響します。 |
| ブール値 | SSL 経由で接続します。 |
ssl_ca_file = | 文字列値 | SSL 認証局ファイル(SSL が有効な場合にのみ有効)。 |
ssl_cert_file = | 文字列値 | SSL 証明書ファイル(SSL が有効な場合にのみ有効)。 |
ssl_key_file = | 文字列値 | SSL キーファイル(SSL が有効な場合にのみ有効)。 |
ssl_version = | 文字列値 | 使用する SSL バージョン(SSL が有効な場合にのみ有効)。有効な値は TLSv1 および SSLv23 です。SSLv2、SSLv3、TLSv1_1、および TLSv1_2 は、一部のディストリビューションで利用できます。 |
7.1.28. oslo_middleware
以下の表には、/etc/keystone/keystone.conf
ファイルの [oslo_middleware]
グループで使用できるオプションの概要をまとめています。
設定オプション = デフォルト値 | タイプ | 説明 |
---|---|---|
| ブール値 | アプリケーションがプロキシーの背後であるかどうか。これにより、ミドルウェアがヘッダーを解析すべきかどうかを決定します。 |
| 整数値 | 各リクエストの本文の最大サイズ (バイト単位)。 |
| 文字列値 | SSL 終端プロキシーによって非表示であった場合でも、元のリクエストプロトコルスキームを決定するために使用される HTTP ヘッダー。 |
7.1.29. oslo_policy
以下の表には、/etc/keystone/keystone.conf
ファイルの [oslo_policy]
グループ下で使用できるオプションの概要をまとめています。
設定オプション = デフォルト値 | タイプ | 説明 |
---|---|---|
| ブール値 |
このオプションは、ポリシーを評価する際にスコープを適用するかどうかを制御します。 |
| 文字列値 | デフォルトルール。要求されたルールが見つからない場合に適用されます。 |
| 多値 | ポリシー設定ファイルが保存されるディレクトリー。これは、config_dir オプションで定義される検索パス内の任意のディレクトリーへの相対パスか、または絶対パスにすることができます。このディレクトリーの検索には、policy_file で定義されたファイルが存在している必要があります。存在しないディレクトリーまたは空のディレクトリーは無視されます。 |
| 文字列値 | ロールを指定のサービスのパーミッションにマッピングするファイルの相対パスまたは絶対パス。相対パスは、このオプションを設定する設定ファイルに対する相対パスとして指定する必要があります。 |
| 文字列値 | REST ベースのポリシーチェックのデータを送受信するコンテンツ種別 |
| 文字列値 | REST ベースのポリシーチェック用の認証局証明書ファイルの絶対パス |
| 文字列値 | REST ベースのポリシーチェック用のクライアント証明書の絶対パス |
| 文字列値 | REST ベースのポリシーチェック用のクライアント鍵ファイルの絶対パス |
| ブール値 | REST ベースのポリシーチェックのサーバーアイデンティティー検証 |
7.1.30. policy
以下の表には、/etc/keystone/keystone.conf
ファイルの [policy]
グループで使用できるオプションの概要をまとめています。
設定オプション = デフォルト値 | タイプ | 説明 |
---|---|---|
| 文字列値 |
|
| 整数値 | ポリシーコレクションで返されるエンティティーの最大数。 |
7.1.31. profiler
以下の表には、/etc/keystone/keystone.conf
ファイルの [profiler]
グループ下で使用できるオプションの概要をまとめています。
設定オプション = デフォルト値 | タイプ | 説明 |
---|---|---|
| 文字列値 | 通知バックエンドの接続文字列。
デフォルト値は 使用できる値の例:
|
| ブール値 | このノード上の全サービスのプロファイリングを有効にします。 デフォルト値は False です (プロファイリング機能を無効にします)。 以下の値を使用できます。
|
| 文字列値 | elasticsearch の通知インデックスについてのドキュメントタイプ。 |
| 整数値 | elasticsearch は大規模な要求をバッチに分割します。このパラメーターは、各バッチの最大サイズを定義します (例: es_scroll_size=10000)。 |
| 文字列値 | このパラメーターは時間値パラメーター (es_scroll_time=2m など) です。これは、検索に参加するノードが継続してサポートするために関連するリソースを維持する時間を示します。 |
| ブール値 | エラー/例外を含むフィルタートレースを分離された場所へ有効にします。 デフォルト値は False に設定されます。 以下の値を使用できます。
|
| 文字列値 | パフォーマンスプロファイリング用にコンテキストデータの暗号化に使用するシークレットキー。 この文字列の値の形式は <key1>[,<key2>,…<keyn>] です。各キーはランダムな文字列です。REST API 経由でプロファイリングをトリガーするユーザーは、REST API 呼び出しのヘッダーにこれらのキーの 1 つを設定し、この特定プロジェクトのノードのプロファイリング結果が含まれるようにする必要があります。 プロファイリングを有効にするには、「enabled」フラグと「hmac_keys」設定オプションの両方を設定する必要があります。また、少なくとも 1 つのキーで全サービス間で正しいプロファイリング情報を生成するには、OpenStack プロジェクト間で一貫性を確保する必要があります。これにより、クライアント側からを使用して、すべての可能なリソースからの情報を含むトレースを生成できます。 |
| 文字列値 |
Redissentinel はサービス名を使用してマスターの redis サービスを識別します。このパラメーターは名前を定義します (例: |
| 浮動小数点の値 | Redissentinel は、接続に timeout オプションを提供します。このパラメーターは、タイムアウトを定義します (例: socket_timeout=0.1)。 |
| ブール値 | サービスで SQL 要求のプロファイリングを有効にします。 デフォルト値は False です (SQL 要求はトレースされません)。 以下の値を使用できます。
|
7.1.32. receipt
以下の表には、/etc/keystone/keystone.conf
ファイルの [receipt]
グループで使用できるオプションの概要をまとめています。
設定オプション = デフォルト値 | タイプ | 説明 |
---|---|---|
| ブール値 | 発行した受信データを取得して検証キャッシュを取得し、最初の受信検証で完全な検証サイクルが発生しないようにします。グローバルキャッシングおよび受信キャッシングが有効でない限り、このオプションは機能しません。 |
| 整数値 |
受信データおよび検証データをキャッシュする秒数。グローバルと |
| ブール値 | キャッシュ受信データおよび検証データのキャッシュを切り替えます。これは、グローバルキャッシングが有効でない場合や、問題のキャッシュ受信のみのために cache_on_issue が無効でない限り効果はありません。 |
| 整数値 | 受信が有効な時間 (秒単位)。この値は、認証メソッドが欠落している場合にユーザーが認証を再試行する必要がある時間を表すため、常に非常に短くする必要があります。 |
| 文字列値 |
|
7.1.33. resource
以下の表には、/etc/keystone/keystone.conf
ファイルの [resource]
グループ下で使用できるオプションの概要をまとめています。
設定オプション = デフォルト値 | タイプ | 説明 |
---|---|---|
| 文字列値 |
|
| 文字列値 |
これは、サービス全体のクラウドレベルの管理者権限を表す特別なプロジェクトです。このプロジェクトにスコープ指定されたトークンには true の |
| 整数値 | リソースデータを秒単位でキャッシュする時間 (秒単位)。これは、グローバルキャッシングが有効でない限り効果はありません。 |
| ブール値 | リソースキャッシュを切り替えます。これは、グローバルキャッシングが有効でない限り効果はありません。 |
| 文字列値 |
これは、ドメインの名前が URL-reserved 文字を含むように制限されるかどうかを制御します。 |
| 文字列値 |
|
| 整数値 | リソースコレクションで返されるエンティティーの最大数。 |
| 文字列値 |
これは、プロジェクトの名前が URL-reserved 文字を含むように制限されるかどうかを制御します。 |
7.1.34. revoke
以下の表には、/etc/keystone/keystone.conf
ファイルの [revoke]
グループ下で使用できるオプションの概要をまとめています。
設定オプション = デフォルト値 | タイプ | 説明 |
---|---|---|
| 整数値 |
失効リストと失効イベントをキャッシュする時間 (秒単位)。これは、グローバルキャッシュと |
| ブール値 | 失効イベントキャッシュを切り替えます。これは、グローバルキャッシングが有効でない限り効果はありません。 |
| 文字列値 |
|
| 整数値 | 対応する失効イベントがバックエンドからパージされるまでのトークンの期限切れ後の秒数。 |
7.1.35. role
以下の表には、/etc/keystone/keystone.conf
ファイルの [role]
グループで使用できるオプションの概要をまとめています。
設定オプション = デフォルト値 | タイプ | 説明 |
---|---|---|
| 整数値 |
ロールデータのキャッシュ時間 (秒単位)。グローバルキャッシングと |
| ブール値 | ロールのキャッシュを切り替えます。これは、グローバルキャッシングが有効でない限り効果はありません。一般的なデプロイメントでは、これを無効にする理由はありません。 |
| 文字列値 |
|
| 整数値 | ロールコレクションで返されるエンティティーの最大数。これは、デプロイメントに多数の個別ロールがある場合に調整するのに便利です。 |
7.1.36. saml
以下の表には、/etc/keystone/keystone.conf
ファイルの [saml]
グループで利用可能なオプションの概要をまとめています。
設定オプション = デフォルト値 | タイプ | 説明 |
---|---|---|
| 整数値 |
|
| 文字列値 |
SAML 署名に使用するパブリック証明書ファイルへの絶対パス。値にはコンマ ( |
| 文字列値 | これは、アイデンティティープロバイダーの連絡先個人の会社名です。 |
| 文字列値 | これは、アイデンティティープロバイダーの連絡先ユーザーのメールアドレスです。 |
| 文字列値 | これは、アイデンティティープロバイダーの連絡先人の名前になります。 |
| 文字列値 | これは、アイデンティティープロバイダーの連絡先ユーザーの名称です。 |
| 文字列値 | これは、アイデンティティープロバイダーの連絡先ユーザーの電話番号です。 |
| 文字列値 | これは、アイデンティティープロバイダーの連絡先担当者に最適な連絡先のタイプです。 |
| URI 値 |
これは、SAML アサーションを生成するときに使用するアイデンティティープロバイダー (keystone) の一意のエンティティー識別子です。この値はアイデンティティープロバイダーのメタデータを生成するために必要です。この値は URI でなければなりません (URL の使用が推奨されます)。例: |
| 文字列値 | これは、アイデンティティープロバイダーの組織によって使用される言語です。 |
| 文字列値 |
アイデンティティープロバイダーメタデータファイルへの絶対パス。このファイルは |
| 文字列値 | これは、表示するアイデンティティープロバイダーの組織の名前です。 |
| 文字列値 | これは、アイデンティティープロバイダーの組織の名前です。 |
| URI 値 | これは、アイデンティティープロバイダーの組織の URL です。ここで参照される URL は人間にとって役に立ちます。 |
| URI 値 |
これは、HTTP POST 要求を受け入れるアイデンティティープロバイダーのシングルサインオン (SSO) サービスの場所です。アイデンティティープロバイダーのメタデータを生成するには、値が必要です。例: |
| 文字列値 |
SAML 署名に使用するプライベートキーファイルへの絶対パス。値にはコンマ ( |
| 文字列値 | 強化されたクライアントおよびプロキシー (ECP) アサーションを生成するときに使用する RelayState SAML 属性のプレフィックス。一般的なデプロイメントでは、この値を変更する必要はありません。 |
| 文字列値 |
XML 署名に使用するバイナリーの名前、または絶対パス。XML Security Library ( |
7.1.37. security_compliance
以下の表には、/etc/keystone/keystone.conf
ファイルの [security_compliance]
グループで使用できるオプションの概要をまとめています。
設定オプション = デフォルト値 | タイプ | 説明 |
---|---|---|
| ブール値 |
このオプションを有効にすると、ユーザーの作成時や、管理者がパスワードをリセットした場合に、ユーザーによるパスワードの変更が必要となります。サービスにアクセスする前に、影響を受けるユーザーはパスワードを変更する必要があります。サービスユーザーなどの特定ユーザーのこの要件を無視するには、更新ユーザー API で必要なユーザーの |
| 整数値 |
ユーザーが認証なしでアカウントを使用し続けることのできる最大日数。この期間が過ぎるとアカウントは「非アクティブ」と見なされて自動的に無効 (ロック状態) になります。この機能はデフォルトでは無効になっています。有効にするには、任意の値を設定します。この機能は、 |
| 整数値 |
|
| 整数値 |
|
| 整数値 |
ユーザーがパスワードを変更できるようになるまで、そのパスワードを使用する必要のある日数。これは、パスワードの履歴を消去して古いパスワードを再利用するためにユーザーがパスワードを直ちに変更するのを防ぎます。この機能は、管理者がパスワードを手動でリセットするのを防ぐものではありません。これはデフォルトで無効になっており、即時にパスワードの変更を可能にします。この機能は、 |
| 整数値 |
パスワードが有効と見なされる日数。この期間が過ぎるとパスワードの変更が要求されます。この機能はデフォルトで無効にされています。有効にすると、新しいパスワードの変更には有効期限が設定されますが、既存のパスワードは影響を受けません。この機能は、 |
| 文字列値 |
パスワードの強度要件の検証に使用される正規表現デフォルトでは、正規表現は任意のパスワードと一致します。以下は、1文字以上、1桁以上、7文字以上のパターンの例です。^(?=.\d)(?=.[a-zA-Z]).{7,}$ この機能は、 |
| 文字列値 | 人が判読できる言語でパスワードの正規表現を記述してください。パスワードが正規表現と一致しない場合、この設定変数の内容はユーザーに返され、要求されたパスワードが不十分な理由が説明されています。 |
| 整数値 |
これにより、新たに作成されたパスワードが一意であることを強制するために、履歴に保管する以前のユーザーパスワードのイテレーション数が制御されます。新しいパスワードを含む合計数はこの値以上にしないでください。値をゼロ (デフォルト) に設定すると、この機能が無効になります。したがって、この機能を有効にするには、値は 0 より大きい必要があります。この機能は、 |
7.1.38. shadow_users
以下の表には、/etc/keystone/keystone.conf
ファイルの [shadow_users]
グループで使用できるオプションの概要をまとめています。
設定オプション = デフォルト値 | タイプ | 説明 |
---|---|---|
| 文字列値 |
|
7.1.39. token
以下の表には、/etc/keystone/keystone.conf
ファイルの [token]
グループで使用できるオプションの概要をまとめています。
設定オプション = デフォルト値 | タイプ | 説明 |
---|---|---|
| 整数値 | これは、組み込みの有効期限を超えたトークンを取得できる秒数を制御します。これにより、長時間実行される操作が正常に実行されることができます。デフォルトは 2 日です。 |
| ブール値 | これにより、スコープ付きトークンが新規プロジェクトまたはドメインに再スコープされるかどうかを切り替えて、他のトークンに対してスコープ付きトークン (デフォルトプロジェクトスコープを持つトークンを含む) を変更できないようにします。これにより、ユーザーに非スコープトークンの認証 (さらに特定のスコープを持つトークンに対してその非スコープのトークンを交換) または、スコープ付きトークンにすべての要求で認証情報を指定して再スコープ設定を回避することができます。 |
| ブール値 |
発行されたトークンデータをトークン検証キャッシュに保存し、最初のトークン検証によって検証サイクルが完全に発生しないようにします。グローバルキャッシングが有効でない限り、このオプションは効果がなく、 |
| 整数値 |
トークンの作成および検証データをキャッシュする秒数。グローバルと |
| ブール値 | トークンの作成および検証データのキャッシュを切り替えます。これは、グローバルキャッシングが有効でない限り効果はありません。 |
| 整数値 | トークンが有効でなければならない期間 (秒単位)。この値を大きく減らすと、複数のサービスを組み合わせて調整する「長時間実行される」操作が中断される可能性があり、ユーザーは keystone でより頻繁に認証を強制します。この値を大きくすると、同時に有効なトークンの数が増えます。Keystone トークンもベアラートークンであるため、期間は短く、危険にさらされたトークンの潜在的なセキュリティーの影響を軽減します。 |
| 文字列値 |
|
| ブール値 |
これにより、トークン識別子で個別のトークンを取り消すサポートと、さまざまなトークンの列挙操作 (特定のユーザーに発行した全トークンの一覧表示など) がサポートされます。これらの操作は、取り消されるトークンの一覧を決定するために使用されます。 |
7.1.40. tokenless_auth
以下の表には、/etc/keystone/keystone.conf
ファイルの [tokenless_auth]
グループで使用できるオプションの概要をまとめています。
設定オプション = デフォルト値 | タイプ | 説明 |
---|---|---|
| 文字列値 | クライアント証明書の発行者を keystone に渡すために使用される WSGI 環境変数の名前。この属性は、X.509 トークンレス承認のアイデンティティープロバイダー ID として使用され、対応するマッピングを検索します。一般的なデプロイメントでは、この値を変更する必要はありません。 |
| 文字列値 |
X.509 トークンレス承認を表すために使用されるフェデレーションされたプロトコル ID。これは |
| 多値 |
X.509 トークンレス認証の使用が許可されるクライアント証明書の信頼できる発行者を識別する識別名の一覧。オプションが存在しない場合、証明書は許可されません。識別名 (DN) の値の形式はコンマで区切り、スペースは使用しないでください。さらに、個別の DN にはコンマが含まれる可能性があるため、このオプションを複数回繰り返して、複数の値を表すことができます。たとえば、keystone.conf には、 |
7.1.41. totp
以下の表には、/etc/keystone/keystone.conf
ファイルの [totp]
グループで使用できるオプションの概要をまとめています。
設定オプション = デフォルト値 | タイプ | 説明 |
---|---|---|
| 整数値 | TOTP の乗車の乗車パスを処理するときに確認する前のウィンドウの数。 |
7.1.42. trust
以下の表には、/etc/keystone/keystone.conf
ファイルの [trust]
グループ下で使用できるオプションの概要をまとめています。
設定オプション = デフォルト値 | タイプ | 説明 |
---|---|---|
| ブール値 |
あるユーザーから別のユーザーに承認を交換し、信頼を効果的にチェーンできるようにします。無効にすると、信頼の |
| 文字列値 |
|
| 整数値 | あるユーザーから別のユーザーに承認をトラストチェーンで交換できる最大回数。この数は、特定の信頼に対してさらに削減される可能性があります。 |
7.1.43. unified_limit
以下の表には、/etc/keystone/keystone.conf
ファイルの [unified_limit]
グループで使用できるオプションの概要をまとめています。
設定オプション = デフォルト値 | タイプ | 説明 |
---|---|---|
| 整数値 |
統一された制限データをキャッシュする時間 (秒単位)。グローバルキャッシングと |
| ブール値 | 統一された制限キャッシュに切り替えます。これは、グローバルキャッシングが有効でない限り効果はありません。一般的なデプロイメントでは、これを無効にする理由はありません。 |
| 文字列値 |
|
| 文字列値 | プロジェクトに関連する制限を検証するときに使用する実施モデル。適用モデルは、既存の制限に応じて動作が異なります。これにより、実行中のデプロイメントでモデルを切り替えると、後方互換性のない変更が生じる可能性があります。 |
| 整数値 | ロールコレクションで返されるエンティティーの最大数。これは、デプロイメントに統合されている制限が多数ある場合にチューニングに役立つことがあります。 |
7.1.44. wsgi
以下の表には、/etc/keystone/keystone.conf
ファイルの [wsgi]
グループ下で使用できるオプションの概要をまとめています。
設定オプション = デフォルト値 | タイプ | 説明 |
---|---|---|
| ブール値 | true に設定すると、Keystone の oslo デバッグミドルウェアが有効になります。このミドルウェアは、リクエストとレスポンスに関する多くの情報を出力します。ワイヤ上のデータに関する情報 (コーディング済み) を取得し、WSGI アプリケーションパイプラインに渡す場合に便利です。このミドルウェアは、設定ファイルの [DEFAULT] セクションの「デバッグ」設定や、Keystone のログレベルを「DEBUG」に設定することや、Keystone が Keystone (特定の要求関連のデータ) のままにしているので、WSGI データのデバッグに固有の設定には影響を与えません。このオプションは、Web サーバー (apache、nginx など) と Keystone 間の要求および応答データのイントロスペクションに使用されます。このミドルウェアは、ミドルウェアチェーンの最初の要素として挿入され、ネットワークに最も近いデータを表示します。警告: 実稼働での使用を目的としていません。このミドルウェアは、機密/特権データを生成することができます。 |