4.5. Service Authorization

云管理员必须定义具有每个服务 admin 角色的用户。此服务帐户提供相应的服务来验证用户。

计算和对象存储服务可以配置为使用身份服务来存储身份验证信息。身份服务支持 TLS 的客户端身份验证，可能启用。TLS 客户端身份验证除了提供用户标识的可靠性外，还提供额外的身份验证因素。当用户名和密码被泄露时，它会降低未授权访问的风险。但是，对于每次部署都可能无法正常工作的用户，还有额外的管理开销和成本来为用户发布证书。

云管理员应保护敏感配置文件不受未授权的修改。这可以使用强制访问控制框架（如 SELinux）进行配置，包括 /var/lib/config-data/puppet-generated/keystone/etc/keystone/keystone.conf 文件和 X.509 证书。

使用 TLS 的客户端身份验证需要向服务发布证书。这些证书可以由外部或内部证书颁发机构进行签名。OpenStack 服务默认检查对可信 CA 的证书签名请求的有效性，如果签名无效或者 CA 不可信，连接将失败。云部署器可能会使用自签名证书；在这种情况下，必须禁用有效检查，或者证书应标记为可信。要禁用自签名证书验证，请在 /etc/nova/api.paste.ini 文件的 [filter:authtoken] 部分中设置 insecure=False。此设置还禁用其他组件的证书。请注意，对于容器化服务，确切的文件路径可能有所不同。