4.5. 서비스 권한 부여

클라우드 관리자는 각 서비스에 대해 admin 역할의 사용자를 정의해야 합니다. 이 서비스 계정은 사용자를 인증하기 위한 권한 부여를 서비스에 제공합니다.

ID 서비스를 사용하여 인증 정보를 저장하도록 계산 및 오브젝트 스토리지 서비스를 구성할 수 있습니다. ID 서비스는 활성화될 수 있는 TLS에 대한 클라이언트 인증을 지원합니다. TLS 클라이언트 인증은 사용자 이름 및 암호 외에도 사용자 식별 시 더 나은 안정성을 제공하는 추가 인증 요소를 제공합니다. 사용자 이름과 암호가 손상될 수 있는 경우 무단 액세스의 위험이 줄어듭니다. 그러나 모든 배포에서 불가능할 수 없는 사용자에게 추가 관리 오버헤드와 인증서를 발급하는 비용이 있습니다.

클라우드 관리자는 중요한 구성 파일을 무단 수정으로부터 보호해야 합니다. 이는 /var/lib/config-data/puppet-generated/keystone/etc/keystone/keystone.conf 파일 및 X.509 인증서를 포함하여 SELinux와 같은 필수 액세스 제어 프레임워크를 사용하여 구성할 수 있습니다.

TLS를 사용한 클라이언트 인증에는 서비스에 인증서가 발급되어야 합니다. 이러한 인증서는 외부 또는 내부 인증 기관에서 서명할 수 있습니다. OpenStack 서비스는 기본적으로 신뢰할 수 있는 CA에 대한 인증서 서명의 유효성을 확인하고 서명이 유효하지 않거나 CA가 신뢰할 수 없는 경우 연결이 실패합니다. 클라우드 배포자는 자체 서명 인증서를 사용할 수 있습니다. 이 경우 유효성 검사가 비활성화되거나 인증서가 신뢰할 수 있음으로 표시되어야 합니다. 자체 서명 인증서의 유효성 검사를 비활성화하려면 /etc/nova/api.paste.ini 파일의 [filter:authtoken] 섹션에 insecure=False 를 설정합니다. 이 설정은 다른 구성 요소에 대한 인증서도 비활성화합니다. 컨테이너화된 서비스에는 정확한 파일 경로가 다를 수 있습니다.