一、openstackkeystone无法登录
openstackkeystone作为一项重要的身份认证和授权服务,在openstack平台中扮演着至关重要的角色。但是有时候会出现无法登录的问题,接下来我们就来分析可能的原因及解决方法。
1、token失效
在openstackkeystone的登录过程中,token是必不可少的。如果token失效或过期了,就会导致登录不了。这时候我们可以重新生成一个token,可以通过以下代码实现:
$ export OS_TOKEN=ADMIN_TOKEN $ export OS_URL=http://controller:35357/v3 $ export OS_IDENTITY_API_VERSION=3 $ openstack token issue
2、账号密码错误
另外一个可能导致登录失败的原因是账号密码错误。我们可以通过重新设置密码来解决(这里以管理员账户为例):
$ export OS_USERNAME=admin $ export OS_PASSWORD=OLD_PASSWORD $ export OS_AUTH_URL=http://controller:35357/v3 $ export OS_IDENTITY_API_VERSION=3 $ openstack user password set --password NEW_PASSWORD admin
3、HTTP 500错误
如果登录时出现HTTP 500错误,并且openstack-keystone服务日志中出现类似以下的信息:
"POST /v3/auth/tokens HTTP/1.1" 500 295 "http://192.168.1.118:5000/v3/auth/tokens" ...
则可能是由于SSL证书配置错误导致的。这时候我们可以检查openstack-keystone.conf中的ssl配置,并重新生成证书。
# openstack-keystone.conf [ssl] certfile = /etc/keystone/ssl/certs/keystone.crt keyfile = /etc/keystone/ssl/private/keystone.key
重新生成证书的方法:
$ openssl req -x509 -nodes -days 365 \
-newkey rsa:2048 \
-keyout /etc/keystone/ssl/private/keystone.key \
-out /etc/keystone/ssl/certs/keystone.crt \
-subj "/C=CN/ST=xxxx/L=xxxx/O=xxxx/OU=xxxx/CN=xxxx"
二、openstackkeystone的API
openstackkeystone同时也支持了RESTful的API,这里我们通过几个常用的API来演示。
1、验证token API
验证token是openstackkeystone API中至关重要的一个。我们可以通过以下代码来进行验证:
$ curl -H "X-Auth-Token: ADMIN_TOKEN" \
http://controller:35357/v3/auth/tokens
2、获取用户信息API
openstackkeystone中可以通过UserName或UserID来获取用户信息。我们可以使用以下代码来获取用户信息:
# 通过UserName获取
$ curl -H "X-Auth-Token: ADMIN_TOKEN" \
http://controller:35357/v3/users?name=admin
# 通过UserID获取
$ curl -H "X-Auth-Token: ADMIN_TOKEN" \
http://controller:35357/v3/users/USER_ID
三、openstackkeystone的插件
openstackkeystone还提供了插件机制,使得用户可以在不修改源代码的情况下扩展其功能。
1、密码插件
为了更安全地存储密码,openstackkeystone提供了密码插件。我们以pam为例来演示:
# openstack-keystone.conf [auth] ... methods = external,password password = password ... [policy] ... password = core.pam.password ...
然后重新启动openstackkeystone服务即可。
# systemctl restart openstack-keystone.service
2、token插件
openstackkeystone默认使用Memcached来存储token信息。但是我们也可以扩展token插件,以支持其他存储方式。例如,我们可以将token存储在MongoDB中:
# openstack-keystone.conf [token] ... driver = keystone.token.persistence.backends.mongo.Mongo mongo_uri = mongodb://HOST:PORT/keystone ...
然后安装相应的Python依赖即可。
# pip install pymongo
四、openstackkeystone认证流程
最后我们来讲解一下openstackkeystone的认证流程。这里我们以用户名密码认证为例。
- 用户通过用户名密码登录openstack客户端,将用户名密码发送给openstackkeystone;
- openstackkeystone检查用户名密码并生成一个token(如果登录成功);
- openstackkeystone将该token发送给openstack客户端;
- openstack客户端在接下来的API请求中携带该token作为身份认证凭证。
这是一个简化的认证流程,实际上openstackkeystone还支持多种认证方式和验证机制。了解和掌握openstackkeystone的认证流程对于后续的OpenStack开发和管理非常重要。
原创文章,作者:小蓝,如若转载,请注明出处:https://www.506064.com/n/276038.html
微信扫一扫 
支付宝扫一扫 