4.7. Keystone 域

Keystone 域是高级别的安全界限，逻辑上对项目、用户和组进行分组。因此，它们可用于集中管理所有基于 keystone 的身份组件。随着帐户域的引入，服务器、存储和其他资源现在可以逻辑地分组到多个项目（以前称为租户），后者本身可以分组到一个类似于 master 帐户的容器中。此外，可以在帐户域中管理多个用户，并分配对每个项目不同的角色。

Identity V3 API 支持多个域。不同域的用户可能会在不同的身份验证后端中表示。它们甚至可能具有不同的属性，它们必须映射到一组角色和特权，这些属性在策略定义中使用，以访问各种服务资源。

如果规则只能指定对 admin 用户和属于项目的用户的访问权限，则映射可能很简单。在其他情况下，云管理员可能需要批准每个项目的映射例程。

特定于域的身份验证驱动程序允许使用域特定的配置文件为多个域配置 Identity 服务。启用驱动程序并设置域特定配置文件位置，发生在 /var/lib/config-data/puppet-generated/keystone/etc/keystone/keystone.conf 文件的 [identity] 部分中。例如：

[identity]
domain_specific_drivers_enabled = True
domain_config_dir = /var/lib/config-data/puppet-generated/keystone/etc/keystone/domains/

[identity]
domain_specific_drivers_enabled = True
domain_config_dir = /var/lib/config-data/puppet-generated/keystone/etc/keystone/domains/

任何没有域特定配置文件的域将使用主 /var/lib/config-data/puppet-generated/keystone/etc/keystone/keystone.conf 文件中的选项。