Otorisasi

Layanan Identitas mendukung gagasan tentang kelompok dan peran. Pengguna termasuk dalam kelompok sementara sebuah kelompok memiliki daftar peran. Layanan OpenStack merujuk pada peran pengguna yang mencoba mengakses layanan ini. Middleware penegakan kebijakan OpenStack mempertimbangkan aturan kebijakan yang terkait dengan setiap sumber daya, maka kelompok/peran pengguna dan asosiasi menentukan apakah akses diizinkan ke sumber yang diminta.

Middleware penegakan kebijakan memungkinkan kontrol akses fine-grained ke sumber daya OpenStack. Perilaku kebijakan dibahas secara mendalam di Kebijakan.

Menetapkan kebijakan kontrol akses formal

Sebelum mengkonfigurasi peran, kelompok, dan pengguna, dokumentasikan kebijakan kontrol akses yang diperlukan untuk instalasi OpenStack. Kebijakan harus konsisten dengan peraturan atau persyaratan hukum untuk organisasi. Modifikasi kontrol konfigurasi akses harus dilakukan secara konsisten dengan kebijakan formal. Kebijakan harus mencakup kondisi dan proses untuk membuat, menghapus, melumpuhkan (disabling), dan mengaktifkan akun, dan menetapkan hak istimewa ke akun. Tinjau ulang kebijakan secara berkala dan pastikan konfigurasi tersebut sesuai dengan kebijakan yang disetujui.

Otorisasi layanan

Administrator awan harus menentukan pengguna dengan peran admin untuk setiap layanan, seperti yang dijelaskan di OpenStack Administrator Guide. Akun layanan ini menyediakan layanan dengan otorisasi untuk mengotentikasi pengguna.

Layanan Compute and Object Storage dapat dikonfigurasi untuk menggunakan layanan Identity untuk menyimpan informasi otentikasi. Pilihan lain untuk menyimpan informasi otentikasi mencakup penggunaan file "tempAuth", namun hal ini tidak boleh digunakan di lingkungan produksi karena kata sandi ditampilkan dalam teks biasa.

Layanan Identitas mendukung otentikasi klien untuk TLS yang mungkin diaktifkan. Otentikasi klien TLS memberikan faktor otentikasi tambahan, selain nama pengguna dan kata sandi, yang memberikan keandalan yang lebih besar pada identifikasi pengguna. Ini mengurangi risiko akses tidak sah saat nama pengguna dan kata sandi dapat dikompromikan. Namun, ada biaya administrasi tambahan dan biaya untuk menerbitkan sertifikat kepada pengguna yang mungkin tidak layak dilakukan di setiap penempatan.

Catatan

Sebaiknya gunakan otentikasi klien dengan TLS untuk otentikasi layanan ke layanan Identitas.

Administrator awan harus melindungi file konfigurasi sensitif dari modifikasi yang tidak sah. Hal ini dapat dicapai dengan kerangka kontrol akses wajib seperti SELinux, termasuk sertifikat /etc/keystone/keystone.conf dan X.509.

Otentikasi klien dengan TLS mengharuskan sertifikat dikeluarkan untuk layanan. Sertifikat ini dapat ditandatangani oleh otoritas sertifikat eksternal atau internal. Layanan OpenStack memeriksa validitas tanda tangan sertifikat terhadap CA yang terpercaya secara default dan koneksi akan gagal jika tanda tangan tidak valid atau CA tidak dipercaya. Penyebar awan dapat menggunakan sertifikat yang ditandatangani sendiri. Dalam kasus ini, pemeriksaan validitas harus dinonaktifkan atau sertifikat harus ditandai sebagai terpercaya. Untuk menonaktifkan validasi sertifikat self-signed, set insecure = False di bagian [filter: authtoken] di file /etc/nova/api.paste.ini. Pengaturan ini juga menonaktifkan sertifikat untuk komponen lainnya.

Pengguna administratif

Sebaiknya pengguna admin mengautentikasi menggunakan layanan Identitas dan layanan autentikasi eksternal yang mendukung autentikasi 2 faktor, seperti sertifikat. Hal ini mengurangi risiko dari password yang mungkin dikompromikan. Rekomendasi ini sesuai dengan panduan NIST 800-53 IA-2 (1) dalam penggunaan autentikasi multi-faktor untuk akses jaringan ke akun istimewa.

Pengguna akhir (end user)

Layanan Identity dapat secara langsung memberikan otentikasi pengguna akhir, atau dapat dikonfigurasi untuk menggunakan metode otentikasi eksternal agar sesuai dengan kebijakan dan persyaratan keamanan organisasi.