使用者管理 三個概念Tenant，User，Role

Tenant:用來分組或隔離資源或身份物件的容器,根據服務運營商,租戶可以對映成一個客戶,賬號,組織或專案。

    User：使用OpenStack雲服務的人,系統,服務的數字表示.驗證使用者傳入的請求.使用者登入可能被賦予訪問資源的令牌.使用者可能直接被指定給一個特定租戶,好像使用者在這個租戶中一樣，使用者可以在這個租戶中充當一個角色，在另一個租戶中扮演其他角色。

    Role:可執行一特定系列操作的使用者特性。角色包括一系列權利和特權。使用者可繼承其所屬角色的權利和特權。在身份服務中，頒發給使用者的令牌包括使用者能承擔的角色列表。

以上圖為摘自社群的文件

解釋下這個過程，list intsances為例，從通過

當我們使用dashborad時我們知道登陸的時候提供了使用者名稱密碼， 後面的處理流程如下

    第一步：用這個使用者名稱密碼獲取臨時Token和使用者基本資訊

    第二步：用這個token去查詢這個使用者的租戶資訊，

    第三步：選擇一個租戶， 這時重新向keystone請求token和服務endpoint列表

    第四步：這時開始利用新的token， 選擇向相應服務的endpoint發出請求，如本例就是'http://10.0.0.13:8774/v2/070911b880444bd7adf1796acb780ec8/servers/detail'， 這是service會檢查token

    第五步：檢查是不是有許可權， 這就是role policy發揮作用的地方了

    第六步：檢查通過後， 開始執行請求

    第七步：返回結果

應用

1、 建立使用者，即為使用者。

usage:keystone user-create --name <user-name> [--tenant-id<tenant-id>]　[--pass<pass>] [--email <email>][--enabled<true|false>]

keystone user-create --name=chenxiao --pass=Passw0rd

2、租戶主要為了隔離資源， 可視為一個project，群組。當你向openstack傳送REST API請求，你必須指定一個租戶tenant，

usage:keystone tenant-create --name <tenant-name>[--description<tenant-description>] [--enabled<true|false>]

keystone tenant-create --name=openstackteam --description="openstack team tenant"

3、建立了使用者和租戶，那使用者在這個租戶裡面扮演什麼樣的角色，擁有什麼樣的許可權，這就需要role定義了，賦予chenxiao在租戶openstackteam中role為computerole。

usage:keystone role-create --name <role-name>

keystone role-create –name=computerole

role的建立非常簡單， 當時讓它生效， 還需要配置各個模組中的policy.json檔案， 這個檔案中可以指定相關的功能什麼樣的role可以有許可權執行。

openstack中role的相關配置都在/etc/{componentname}/policy.json中，對應關係如下表所示

這些檔案預設情況下會提供admin角色許可權，在配置中標示不需要admin許可權的服務表示此租戶下的其他使用者都可以訪問。

配置檔案的格式為json的書寫樣式，以/etc/nova/policy.json為例，如下

{

"context_is_admin": [["role:admin"]],

"admin_or_owner": [["is_admin:True"], ["project_id:%(project_id)s"]],

"default":[["rule:admin_or_owner"]],

"compute:create":[],

"compute:create:attach_network":[],

"compute:create:attach_volume":[],

"compute:get_all":[],

"admin_api":[["is_admin:True"]],

"compute_extension:accounts":[["rule:admin_api"]],

"compute_extension:admin_actions":[["rule:admin_api"]],

"compute_extension:admin_actions:pause":[["rule:admin_or_owner"]],

"compute_extension:admin_actions:unpause":[["rule:admin_or_owner"]],

"compute_extension:admin_actions:suspend":[["rule:admin_or_owner"]],

"compute_extension:admin_actions:resume":[["rule:admin_or_owner"]],

"compute_extension:admin_actions:lock":[["rule:admin_api"]],

…....

}

回到建立的computerole中，在nova服務中定義此role，在/etc/nova/policy.json中，做如下修改

"compute:create":["role":"computerole"],

"compute:create:attach_network":["role":"computerole"],

"compute:create:attach_volume":["role":"computerole"],

"compute:get_all":["role":"computerole"],

這樣就定義好了computerole的許可權集合，接下來賦予使用者chenxiao在openstackteam租戶中享有computerole許可權

命令如下

usage:keystone user-role-add --user-id <user-id> --role-id <role-id> [--tenant-id<tenant-id>]

keystoneuser-role-add --user-id=ee31970eb71d444db72381a9542a3b8e --role-id=289b86c57515434e8357a59b6bb95043 --tenant-id=1c5e913ef6074c44acac9a59af246872

至此一個完整的使用配置就此完成

Note：

1.一個使用者可以處在多個租戶中，可以在不同租戶中扮演不同的角色,也可以在一個租戶中扮演多個角色

2.當建立一些資源時，指定了特定的租戶，這時，這些資源只能被這個租戶下的使用者所使用

TroubleShoting：

1.當建立一個使用者，沒有分給任何一個租戶，

這時登陸horizon時會報錯”You are not authorized for any projects.”

2.各個服務中須設定[filter:authtoken],如nova中，需設定具有admin role的使用者及其tenant.

在此需設定項在keystone中已經存在