10.7.5. keystone_authtoken
以下の表は、/etc/neutron/neutron.conf
ファイルの [keystone_authtoken]
グループ下で使用できるオプションの概要をまとめたものです。
表10.32 keystone_authtoken
設定オプション = デフォルト値 | タイプ | 説明 |
---|---|---|
| 文字列値 | プラグイン固有のオプションを読み込む config セクション |
| 文字列値 | 読み込む認証タイプ |
| 文字列値 | パブリックの Identity API エンドポイントを完了します。このエンドポイントは、すべてのエンドユーザーがアクセスできる必要があるため、"admin" エンドポイントにすることはできません。認証されていないクライアントは、認証のためにこのエンドポイントにリダイレクトされます。このエンドポイントにはバージョンを指定しないことが理想的ですが、ワイルドカードでのクライアントのサポートは異なります。バージョン指定された v2 エンドポイントを使用している場合、通常エンドユーザーがそのエンドポイントに到達できない可能性があるため、これはサービスユーザーがトークンを検証するために使用するエンドポイントにすることはできません。このオプションは www_authenticate_uri が優先されるため非推奨となり、S リリースで削除される予定です。 |
| 文字列値 | 管理 Identity API エンドポイントの API バージョン。 |
| 文字列値 |
Swift キャッシュオブジェクトが保存される環境キーを要求します。auth_token ミドルウェアを Swift キャッシュと共にデプロイする場合は、このオプションを使用して、ミドルウェアが swift とキャッシングバックエンドを共有するようにします。それ以外の場合は、代わりに |
| 文字列値 | HTTPs 接続の検証時に使用する PEM でエンコードされた認証局。デフォルトはシステム CA です。 |
| 文字列値 | ID サーバーでクライアント証明書が必要な場合に必要です。 |
| ブール値 | true の場合、失効リストはキャッシュされたトークンについてチェックされます。これには、PKI トークンを ID サーバーに設定する必要があります。 |
| ブール値 | ミドルウェア内の承認要求を処理せず、承認の決定をダウンストリームの WSGI コンポーネントに委譲します。 |
| 文字列値 | トークンバインディングの使用および種別を制御するために使用されます。トークンバインディングのチェックを無効するには、"disabled"に設定します。バインドタイプがサーバーの認識する形式の場合にはバインディング情報を検証し、そうでない場合には無視するには、"permissive"(デフォルト) に設定します。"strict"は"permissive"と類似していますが、バインドタイプが不明な場合にはトークンが拒否されます。"required"の場合は、いずれかの形式のトークンバインディングが必要です。最後に、トークンに指定する必要のあるバインディングメソッドの名前。 |
| リスト値 | PKI トークンのハッシュに使用するハッシュアルゴリズム。これは、単一のアルゴリズムでも複数でも構いません。アルゴリズムは、Python 標準の hashlib.new ()でサポートされているものです。ハッシュは指定の順序で試行されるため、パフォーマンスのために優先します。最初のハッシュの結果はキャッシュに保存されます。これは通常、セキュリティーが低いアルゴリズムからよりセキュアなアルゴリズムに移行している場合にのみ、複数の値に設定されます。すべての古いトークンの有効期限が切れると、パフォーマンスを向上させるために、このオプションを 1 つの値に設定する必要があります。 |
| 整数値 | Identity API サーバーと通信する際の要求タイムアウト値。 |
| 整数値 | Identity API サーバーと通信する際に再接続を試行する回数。 |
| ブール値 | (オプション)X-Service-Catalog ヘッダーを設定するかどうかを示します。False の場合、ミドルウェアはトークンの検証時にサービスカタログを要求せず、X-Service-Catalog ヘッダーを設定しません。 |
| ブール値 | HTTPS 接続を確認します。 |
| 文字列値 | ID サーバーでクライアント証明書が必要な場合に必要です。 |
| 整数値 | (オプション) プールから memcached クライアント接続を取得するまで操作が待機する秒数。 |
| 整数値 | (オプション)memcached サーバーが停止しているとみなされる秒数。この秒数が経過すると再試行されます。 |
| 整数値 | (オプション) すべての memcached サーバーへのオープン接続の最大合計数。 |
| 整数値 | (オプション)memcached サーバーと通信する際のソケットのタイムアウト (秒単位)。 |
| 整数値 | (オプション)memcached への接続がプール内で未使用の状態を維持する秒数。この秒数が経過すると終了されます。 |
| 文字列値 | (オプション、memcache_security_strategy が定義されている場合には必須) この文字列は鍵の導出に使用されます。 |
| 文字列値 | (オプション) 定義されている場合は、トークンデータを認証、または認証して暗号化する必要があるかどうかを示します。MAC の場合、キャッシュでトークンデータが認証されます (HMAC を使用)。ENCRYPT の場合、キャッシュでトークンデータが暗号化され、認証されます。値がこれらのオプションのいずれでもない場合や空の場合には、auth_token は初期化時に例外を発生させます。 |
| ブール値 | (オプション) 高度な (eventlet に対して安全な) memcached クライアントプールを使用します。高度なプールは python 2.x でのみ動作します。 |
| リスト値 | オプションで、キャッシュに使用する memcached サーバーの一覧を指定します。未定義のままの場合、トークンは代わりに処理中にキャッシュされます。 |
| 文字列値 | アイデンティティーサーバーがあるリージョン。 |
| 整数値 | 失効したトークンのリストが Identity サービス(秒単位)から取得される頻度を決定します。キャッシュ期間が低い状態で多数の失効イベントを組み合わせると、パフォーマンスが大幅に低下する可能性があります。PKI トークンにのみ有効です。このオプションは Ocata リリースで非推奨となり、P リリースで削除されます。 |
| リスト値 | サービストークンに存在する必要があるロールの選択。サービストークンは、期限切れのトークンを使用できることを要求できるため、このチェックでは実際のサービスのみがこのトークンを送信するように厳密に制御する必要があります。ここでのロールは ANY チェックとして適用されるため、この一覧のロールはすべて存在している必要があります。後方互換性の理由から、現在 allow_expired チェックにのみ影響します。 |
| ブール値 | 後方互換性の理由から、service_token_roles チェックを有効としてパスしない有効なサービストークンをパスさせる必要があります。これを true に設定することが今後のリリースでデフォルトとなり、可能な場合は有効にされる必要があります。 |
| 文字列値 | PKI トークンに関連するファイルのキャッシュに使用されるディレクトリー。このオプションは Ocata リリースで非推奨となり、P リリースで削除されます。 |
| 整数値 | トークンの検証に過剰な時間を費やすのを防ぐために、ミドルウェアは、設定可能な期間 (秒単位) 中は以前に見たトークンをキャシュします。キャッシュを完全に無効にするには -1 に設定します。 |
| 文字列値 | パブリックの Identity API エンドポイントを完了します。このエンドポイントは、すべてのエンドユーザーがアクセスできる必要があるため、"admin" エンドポイントにすることはできません。認証されていないクライアントは、認証のためにこのエンドポイントにリダイレクトされます。このエンドポイントにはバージョンを指定しないことが理想的ですが、ワイルドカードでのクライアントのサポートは異なります。バージョン指定された v2 エンドポイントを使用している場合、通常エンドユーザーがそのエンドポイントに到達できない可能性があるため、これはサービスユーザーがトークンを検証するために使用するエンドポイントにすることはできません。 |