第 12 章 身份(keystone)参数

您可以使用身份参数修改 keystone 服务。

参数描述

AdminToken

OpenStack Identity(keystone)机密和数据库密码。

ApacheCertificateKeySize

覆盖为这个服务创建证书时使用的私钥大小。

ApacheTimeout

Apache 的超时时间(以秒为单位),定义 Apache 等待 I/O 操作的持续时间(以秒为单位)。默认值为 90

CertificateKeySize

指定创建证书时使用的私钥大小。默认值为 2048

EnableCache

使用 memcached 启用缓存。默认值为 true

EnablePublicTLS

是否在公共接口上启用 TLS。默认值为 true

EnableSQLAlchemyCollectd

设置为 true 以启用 SQLAlchemy-collectd 服务器插件。默认值为 false

EnforceSecureRbac

将此选项设置为 True 将配置每个 OpenStack 服务,以通过将 [oslo_policy] enforce_new_defaults[oslo_policy] enforce_scope 设置为 True 来强制执行安全 RBAC。这会在 OpenStack 服务间引入了一组一致的 RBAC 人员,这些服务包括对系统和项目范围的支持,以及 keystone 的默认角色、admin、member 和 reader。在部署中的所有服务都确实支持安全 RBAC 前,不要启用此功能。默认值为 false

KeystoneAuthMethods

用于身份验证的方法列表。

KeystoneChangePasswordUponFirstUse

启用此选项要求用户在创建用户时或管理重置时更改密码。

KeystoneCorsAllowedOrigin

指明此资源是否可以与请求"origin"标头中收到的域共享。

KeystoneCredential0

第一个 OpenStack Identity(keystone)凭据密钥。必须是有效的密钥。

KeystoneCredential1

第二个 OpenStack Identity(keystone)凭据密钥。必须是有效的密钥。

KeystoneCronTrustFlushDestination

清除已过期或软删除信任的 Cron - 日志目的地。默认值为 /var/log/keystone/keystone-trustflush.log

KeystoneCronTrustFlushEnsure

清除已过期或软删除信任的 Cron - Ensure。默认值 存在

KeystoneCronTrustFlushHour

清除已过期或软删除信任的 Cron - 小时。默认值为 *

KeystoneCronTrustFlushMaxDelay

清除已过期或软删除信任的 Cron - Max Delay。默认值为 0

KeystoneCronTrustFlushMinute

清除已过期或软删除信任的 Cron - 分钟。默认值为:1

KeystoneCronTrustFlushMonth

清除已过期或软删除信任的 Cron - 月。默认值为 *

KeystoneCronTrustFlushMonthday

清除已过期或软删除信任的 Cron - 几号。默认值为 *

KeystoneCronTrustFlushUser

清除已过期或软删除信任的 Cron - User。默认值为 keystone

KeystoneCronTrustFlushWeekday

清除已过期或软删除信任的 Cron - 星期几。默认值为 *

KeystoneDisableUserAccountDaysInactive

在被视为"主动"并自动禁用(锁定)前,用户可以经过验证的最大天数。

KeystoneEnableDBPurge

是否在 OpenStack Identity (keystone)数据库中为清除软删除行创建 cron 作业。默认值为 true

KeystoneEnableMember

创建 member 角色,适用于 undercloud 部署。默认值为 False

KeystoneFederationEnable

启用对联合身份验证的支持。默认值为 false

KeystoneFernetKeys

包含 OpenStack Identity(keystone)fernet 密钥及其路径的映射。

KeystoneFernetMaxActiveKeys

OpenStack Identity(keystone)fernet 密钥存储库中的最大活动键。默认值为 5

KeystoneLDAPBackendConfigs

包含 keystone 中配置 LDAP 后端的哈希。

KeystoneLDAPDomainEnable

触发器调用 ldap_backend puppet keystone 定义。默认值为 False

KeystoneLockoutDuration

超过用户帐户的失败尝试次数上限(如 KeystoneLockoutFailureAttempts 指定)的最大数量时,将会被锁定。

KeystoneLockoutFailureAttempts

在 KeystoneLockoutDuration 指定的秒数内,用户可以在用户帐户锁定前验证的次数上限。

KeystoneMinimumPasswordAge

在用户可以更改密码之前必须使用密码的天数。这可防止用户立即更改密码,以擦除密码历史记录并重复使用旧密码。

KeystoneNotificationDriver

OpenStack Identity (keystone)使用的以逗号分隔的 Oslo 通知驱动程序列表。

KeystoneNotificationFormat

OpenStack Identity (keystone) 通知格式。默认值为 basic

KeystoneNotificationTopics

可实现 OpenStack Identity(keystone)通知主题的 OpenStack Identity(keystone)通知主题。

KeystoneOpenIdcClientId

与 OpenID Connect 供应商实践时使用的客户端 ID。

KeystoneOpenIdcClientSecret

与 OpenID Connect 供应商实践时使用的客户端 secret。

KeystoneOpenIdcCryptoPassphrase

在为 OpenID Connect 握手加密数据时使用密码短语。默认值为 openstack

KeystoneOpenIdcEnable

启用对 OpenIDC 联合的支持。默认值为 false

KeystoneOpenIdcEnableOAuth

启用 OAuth 2.0 集成。默认值为 false

KeystoneOpenIdcIdpName

与 OpenStack Identity(keystone)中的 IdP 关联的名称。

KeystoneOpenIdcIntrospectionEndpoint

mod_auth_openidc 的 OAuth 2.0 内省端点。

KeystoneOpenIdcProviderMetadataUrl

指向 OpenID Connect 供应商元数据的 url。

KeystoneOpenIdcRemoteIdAttribute

要从环境中获取身份提供程序的实体 ID 属性。默认值为 HTTP_OIDC_ISS

KeystoneOpenIdcResponseType

预期来自 OpenID Connect 供应商的响应类型。默认值为 id_token

KeystonePasswordExpiresDays

在要求更改密码之前,密码被视为有效的天数。

KeystonePasswordRegex

用于验证密码强度要求的正则表达式。

KeystonePasswordRegexDescription

以人员使用的语言描述您的密码正则表达式。

KeystoneSSLCertificate

OpenStack Identity(keystone)证书以验证令牌的有效性。

KeystoneSSLCertificateKey

用于签名令牌的 OpenStack Identity(keystone)密钥。

KeystoneTokenProvider

OpenStack Identity(keystone)令牌格式。默认值为 fernet

KeystoneTrustedDashboards

用于单点登录的仪表板 URL 列表。

KeystoneUniqueLastPasswordCount

这将控制在历史记录中保留的之前用户密码迭代的数量,以便强制新创建的密码是唯一的。

KeystoneWorkers

设置 OpenStack Identity(keystone)服务的 worker 数量。请注意,更多 worker 在系统上创建更多进程,这会导致过量内存消耗。建议您在具有高 CPU 内核数量的系统中选择合适的非默认值。0 设置为 OpenStack 内部默认值,它等于节点上的 CPU 内核数。默认值等于物理节点上的 vCPU 内核数。

ManageKeystoneFernetKeys

director 是否应该管理 OpenStack Identity(keystone)fernet 密钥。如果设置为 True,则 fernet 键将从 KeystoneFernetKeys 变量中保存的密钥存储库中获取值。如果设置为 false,则只有堆栈创建会初始化密钥,但随后的更新将不涉及它们。默认值为 true

MemcachedTLS

设置为 True,以在 Memcached 服务上启用 TLS。因为并非所有服务都支持 Memcached TLS,在迁移期间,Memcached 会在带有 MemcachedPort 参数(above)以及 11211 的端口设置的端口上侦听 2 个端口,且没有 TLS。默认值为 false

NotificationDriver

处理发送通知的驱动程序或驱动程序。默认值为 noop

PublicSSLCertificateAutogenerated

公共 SSL 证书是自动生成的。默认值为 false

PublicTLSCAFile

如果 TLS 用于公共网络中的服务,则指定要使用的默认 CA 证书。

SSLCertificate

PEM 格式 SSL 证书的内容(不包括 Key)。

TokenExpiration

设置令牌到期时间(以秒为单位)。默认值为 3600