Dieser Abschnitt beschreibt, wie der Identitätsdienst auf dem Controller-Knoten zu installieren und zu konfigurieren ist, der Codename lautet Keystone. Aus Performancegründen verwendet diese Konfiguration Fernet-Token und den Apache HTTP-Server zur Verarbeitung von Anfragen.
Führen Sie folgenden Befehl zur Installation der Pakete aus:
# apt-get install keystone
Antworten auf Aufforderungen von debconf, welche zu den unten stehenden Datenbankzugriffsdirektiven hinzugefügt werden.
[database]
...
connection = mysql+pymysql://keystone:KEYSTONE_DBPASS@controller/keystone
Wenn Sie sich entscheiden, dbconfig-common nicht zu verwenden, müssen Sie die Datenbank selbst anlegen und die Zugriffsberechtigungen selbst verwalten und folgende Schritte manuell ausführen.
# keystone-manage db_sync
Lassen Sie einen Zufallswert zur Nutzung als Administrations-Token für die Erst-Konfiguration erzeugen:
$ openssl rand -hex 10
Konfigurieren Sie den anfänglichen Administrations-Token:
Verwenden Sie den Zufallswert, den Sie im vorherigen Schritt generiert haben. Wenn Sie den nicht-interaktiven Installationsmodus verwenden oder diesen Token nicht belegen, wird das Konfigurationswerkzeug einen zufälligen Wert generieren.
Anschließend wird das Paket die unten stehende Anweisung mit dem eingegeben Wert konfigurieren:
[DEFAULT]
...
admin_token = ADMIN_TOKEN
Erstellen Sie das Projekt und den Benutzer admin:
Während des letzten Abschnitts der Paketinstallation ist es möglich, die Projekte admin und service sowie den Benutzer admin automatisch zu erstellen. Andere OpenStack-Dienste können dies anschließend zum Kontaktieren des Identitätsdienstes verwenden. Es ist das Äquivalent zu den unten stehenden Befehlen:
# openstack --os-token ${AUTH_TOKEN} \
--os-url=http://127.0.0.1:35357/v3/ \
--os-domain-name default \
--os-identity-api-version=3 \
project create --or-show \
admin --domain default \
--description "Default Debian admin project"
# openstack --os-token ${AUTH_TOKEN} \
--os-url=http://127.0.0.1:35357/v3/ \
--os-domain-name default \
--os-identity-api-version=3 \
project create --or-show \
service --domain default \
--description "Default Debian admin project"
# openstack --os-token ${AUTH_TOKEN} \
--os-url=http://127.0.0.1:35357/v3/ \
--os-domain-name default \
--os-identity-api-version=3 \
user create --or-show \
--password ADMIN_PASS \
--project admin \
--email root@localhost \
--enable \
admin \
--domain default \
--description "Default Debian admin user"
# openstack --os-token ${AUTH_TOKEN} \
--os-url=http://127.0.0.1:35357/v3/ \
--os-domain-name default \
--os-identity-api-version=3 \
role create --or-show admin
# openstack --os-token ${AUTH_TOKEN} \
--os-url=http://127.0.0.1:35357/v3/ \
--os-domain-name default \
--os-identity-api-version=3 \
role add --project admin --user admin admin
In Debian bietet das Keystone-Paket die Möglichkeit, Keystone im Dienstkatalog automatisch zu registrieren. Dies entspricht den unten stehenden Befehlen:
# openstack --os-token ${AUTH_TOKEN} \
--os-url=http://127.0.0.1:35357/v3/ \
--os-domain-name default \
--os-identity-api-version=3 \
service create \
--name keystone \
--description "OpenStack Identity" \
identity
# openstack --os-token ${AUTH_TOKEN} \
--os-url=http://127.0.0.1:35357/v3/ \
--os-domain-name default \
--os-identity-api-version=3 \
keystone public http://controller:5000/v2.0
# openstack --os-token ${AUTH_TOKEN} \
--os-url=http://127.0.0.1:35357/v3/ \
--os-domain-name default \
--os-identity-api-version=3 \
keystone internal http://controller:5000/v2.0
# openstack --os-token ${AUTH_TOKEN} \
--os-url=http://127.0.0.1:35357/v3/ \
--os-domain-name default \
--os-identity-api-version=3 \
keystone admin http://controller:35357/v2.0
Except where otherwise noted, this document is licensed under Creative Commons Attribution 3.0 License. See all OpenStack Legal Documents.