Présentation de Keystone :

Keystone est le service d’authentification d’Openstack.

L’accréditation (possibilité d’envoyer des commandes OpenStack) est basée sur trois éléments :

Un utilisateur peut donc avoir tous les droits sur un client (tenant) précis, il ne les a pas forcément sur les autres clients. Le super admin est l’utilisateur admin du tenant admin qui peut créer et supprimer des tenants.

 

 

LDAP ou pas LDAP

 

Le service d’authentification d’OpenStack peut être basé sur d’autres backends, par exemple LDAP.

C’est à éviter, d’une part, parce qu’il n’y a pas de raison pour ça (a priori, nul besoin d’avoir beaucoup d’utilisateurs dans OpenStack, juste un admin par tenant), d’autre part parce que c’est une grosse galère (les attributs LDAP y compris si c’est un AD doivent être modifiés, donc danger).

Si vraiment vous y tenez, la bonne pratique est de présenter un LDAP léger asynchrone et en lecture seule venant du LDAP d’entreprise.

 

Se connecter avec un user

Avec RedHat RDO

 

L’installeur Debian vous demande d’indiquer le mot de passe de l’administrateur pendant l’installation.

 

On teste :

Commandes keystone de base

Sur le même sujet :