《OpenStack雲計算實戰手冊（第2版）》一1.4 安裝OpenStack身份認證服務

本節書摘來異步社群《openstack雲計算實戰手冊（第2版）》一書中的第1章，第1.4節，作者： 【英】kevin jackson , 【美】cody bunch 譯者： 黃凱 , 杜玉傑 責編： 楊海玲，更多章節内容可以通路雲栖社群“異步社群”公衆号檢視。

openstack雲計算實戰手冊（第2版）

我們将會使用ubuntu cloud archive安裝和配置openstack身份認證服務，也就是keystone項目。配置完成之後，連接配接到openstack雲環境都需經過這裡所安裝的openstack身份認證服務。

openstack身份認證服務的預設背景資料庫是mysql資料庫。

準備工作

為保證運作的是ubuntu cloud archive，必須配置ubunut 12.04安裝使用該服務。

我們将配置keystone使用mysql作為資料庫後端，是以，安裝keystone之前需要安裝mysql。如果mysql尚未安裝，請執行以下步驟安裝配置mysql：

接下來，請確定已經登入到openstack 身份認證伺服器或者需要安裝keystone的openstack控制節點上，并且確定該伺服器可以被其他的openstack主機通路到。

執行以下指令，登入到使用vagrant建立的openstack 控制節點：

操作步驟

要安裝openstack身份認證服務，需要執行如下指令。

1．安裝openstack身份認證服務可通過指定安裝ubuntu資源庫裡的keystone軟體包來完成。隻需執行如下指令：

2．安裝好之後，需要配置背景資料庫存儲。首先需要在mysql裡建立一個keystone資料庫，按照如下步驟來執行（在本例中，假定mysql的使用者名是root，對應的密碼是openstack，該使用者有建立資料庫的權限）：

3．一個最佳實踐是在資料庫中為openstack身份認證服務單獨建立一個特定的使用者。建立指令如下：

4．接下來，配置openstack身份認證服務來使用該資料庫。編輯配置檔案/etc/keystone/keystone.conf，修改sql_connection行來比對資料庫證書。指令如下所示：

5．超級使用者admin的token在/etc/keystone/keystone.conf 檔案中，需要配置該token。

6．grizzly版本釋出後，keystone支援pki架構的token簽名加密。如果不使用該功能，可編輯/etc/keystone/ keystone.conf檔案，使用非簽名的token。

7．現在重新開機keystone服務。

8．keystone啟動之後，用如下指令為keystone資料庫填充必需的資料表：

恭喜！現在已經為openstack環境安裝好了openstack身份認證服務。 工作原理

通過使用ubuntu的包，可以便捷地為openstack環境安裝好openstack身份認證服務。安裝完成之後，在mysql資料庫伺服器中配置了keystone資料庫，并且設定了keystone.conf檔案來使用它。啟動keystone服務之後，運作keystone-manage db_sync指令來為keystone資料庫填充合适的資料表，以友善向其中添加openstack環境中所必需的使用者（user）、角色（role）和租戶（tenant）。