第 9 章 应用凭证
使用 应用凭证 避免在配置文件中嵌入用户帐户凭据的过程。相反,用户会创建一个应用凭据,以接收委派对单个项目的访问权限,并且具有自己的不同 secret。用户也可以将委派的特权限制为该项目中的单个角色。这样,您可以采用最小特权的原则,经过身份验证的用户可以只获得访问所需的一个项目和角色的访问权限,而不是所有项目和角色。
您可以使用此方法来使用 API,而无需公开您的用户凭据,应用可以在不需要嵌入用户凭据的情况下对 Keystone 进行身份验证。
您可以使用应用程序凭证为应用程序生成令牌和配置 keystone_authtoken
设置。以下部分介绍了这些用例。
Application Credential 依赖于创建它的用户帐户,因此,如果帐户被删除,或丢失对相关角色的访问,它将终止。
9.1. 使用应用凭证生成令牌
在控制面板中,用户可使用应用凭据作为自助服务功能。本例演示了用户如何创建应用凭据,然后使用它生成令牌。
创建 test 项目并测试用户帐户:
创建名为
AppCreds
的项目:$ openstack project create AppCreds
创建名为
AppCredsUser
的用户:$ openstack user create --project AppCreds --password-prompt AppCredsUser
为
AppCredsUser
授予AppCreds
项目的成员
角色访问权限:$ openstack role add --user AppCredsUser --project AppCreds member
以
AppCredsUser
身份登录仪表板并创建应用程序凭证:概述
→Identity
→Application Credentials
→+Create Application Credential
。注意确保下载
clouds.yaml
文件内容,因为您无法在名为Application Credential
的弹出窗口后再次访问它。使用 CLI 创建名为
/home/stack/.config/openstack/clouds.yaml
的文件,并粘贴clouds.yaml
文件的内容。# This is a clouds.yaml file, which can be used by OpenStack tools as a source # of configuration on how to connect to a cloud. If this is your only cloud, # just put this file in ~/.config/openstack/clouds.yaml and tools like # python-openstackclient will just work with no further config. (You will need # to add your password to the auth section) # If you have more than one cloud account, add the cloud entry to the clouds # section of your existing file and you can refer to them by name with # OS_CLOUD=openstack or --os-cloud=openstack clouds: openstack: auth: auth_url: http://10.0.0.10:5000/v3 application_credential_id: "6d141f23732b498e99db8186136c611b" application_credential_secret: "<example secret value>" region_name: "regionOne" interface: "public" identity_api_version: 3 auth_type: "v3applicationcredential"
注意这些值与您的部署有所不同。
使用 Application Credential 生成令牌。使用以下命令时,不得以任何特定用户提供,且您必须位于与
clouds.yaml
文件相同的目录中。[stack@undercloud-0 openstack]$ openstack --os-cloud=openstack token issue +------------+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+ | Field | Value | +------------+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+ | expires | 2018-08-29T05:37:29+0000 | | id | gAAAAABbhiMJ4TxxFlTMdsYJpfStsGotPrns0lnpvJq9ILtdi-NKqisWBeNiJlUXwmnoGQDh2CMyK9OeTsuEXnJNmFfKjxiHWmcQVYzAhMKo6_QMUtu_Qm6mtpzYYHBrUGboa_Ay0LBuFDtsjtgtvJ-r8G3TsJMowbKF-yo--O_XLhERU_QQVl3hl8zmMRdmLh_P9Cbhuolt | | project_id | 1a74eabbf05c41baadd716179bb9e1da | | user_id | ef679eeddfd14f8b86becfd7e1dc84f2 | +------------+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
如果您收到类似于 init()的错误,则会出现意外的关键字参数 'application_credential_secret'
,那么您可能仍然会被提供到上一个凭证。对于全新的环境,请运行 sudo su - 堆栈
。