3.2.2. 服务授权

云管理员必须使用每个服务的 admin 角色定义用户。此服务帐户为服务提供授权来验证用户。

计算和对象存储服务可以配置为使用身份服务来存储身份验证信息。身份服务支持 TLS 的客户端身份验证，可能被启用。TLS 客户端身份验证提供了额外的身份验证因素，除了提供用户识别时提供更大的可靠性。当用户名和密码被破坏时，它会降低未经授权的访问的风险。但是，对于每个部署中都可能无法提供证书，还有额外的管理开销和成本。

云管理员应保护敏感的配置文件不受未授权修改的影响。这可以通过使用强制访问控制框架（如 SELinux）进行配置，包括 /var/lib/config-data/puppet-generated/keystone/etc/keystone.conf 文件和 X.509 证书。

使用 TLS 的客户端身份验证需要向服务发布证书。这些证书可由外部或内部证书颁发机构签名。OpenStack 服务默认根据可信 CA 检查证书签名请求的有效性，如果签名无效或者 CA 不可信，则连接将失败。云部署器可能会使用自签名证书 ; 在这种情况下，有效检查必须被禁用，或者证书应标记为可信。要禁用自签名证书验证，在 /etc/nova/api.paste.ini 文件的 [filter:authtoken] 部分中设置 insecure=False。此设置还禁用其他组件的证书。请注意，具体文件路径可能因容器化服务而异。