-

keystone

OpenStack 的 Keystone V3 中引入了 Domain 的概念

Domain，project，user，role，token 的概念和关系

简单来说，

• Domain - 表示 project 和 user 的集合，在公有云或者私有云中常常表示一个客户

• Group - 一个domain 中的部分用户的集合

• Project - IT基础设施资源的集合，比如虚机，卷，镜像等

• Role - 角色，表示一个 user 对一个 project resource 的权限

• Token - 一个 user 对于某个目标（project 或者 domain）的一个有限时间段内的身份令牌

它们之间的关系用一个不完整的图来表示：

• Domain 可以认为是 project，user，group 的 namespace。 一个 domain 内，这些元素的名称不可以重复，但是在两个不同的domain内，它们的名称可以重复。因此，在确定这些元素时，需要同时使用它们的名称和它们的 domain 的 id 或者 name。

• Group 是一个 domain 部分 user 的集合，其目的是为了方便分配 role。给一个 group 分配 role，结果会给 group 内的所有 users 分配这个 role。

• Role 是全局（global）的，因此在一个 keystone 管辖范围内其名称必须唯一。role 的名称没有意义，其意义在于 policy.json 文件根据 role 的名称所指定的允许进行的操作。

• 简单地，role 可以只有 admin 和 member 两个，前者表示管理员，后者表示普通用户。但是，结合 domain 和 project 的限定，admin 可以分为 cloud admin，domain admin 和 project admin。

• policy.json 文件中定义了 role 对某种类型的资源所能进行的操作，比如允许 cloud admin 创建 domain，允许所有用户创建卷等

• project 是资源的集合，其中有一类特殊的project 是 admin project。通过指定 admin_project_domain_name 和 admin_project_name 来确定一个 admin project，然后该project 中的 admin 用户即是 cloud admin。

• Token 具有 scope 的概念，分为 unscoped token，domain-scoped token 和 project-scoped token。下文有说明。

token

token即令牌，身份的凭证。在整个openstack项目中服务与服务之间的通信都需要token来进行身份认证，我们来举个例子：

如上图所示，一个用户需要创建一台虚拟机，用户首先要登入之后先拿到一个project_scope token 这个token包含了用户具有的角色以及服务列表，用户拿着这个令牌去请求nova服务，nova首先会去keystone认证该token是否有效，之后会向glance发送获取镜像的请求，glance接收请求后也会向之前的步骤一样去keystone认证token有效性，最终返回镜像给nova，nova再用镜像去给用户创建虚拟机。
另外需要说明的是token中包含用户所拥有的角色，nova和其他服务还会根据token中的role来判断用户是否有操作权限。

scope token

在keystone中scope token主要有以下几种类型：

• project-scoped token:该类型token表示用户对具体项目的访问权限，token信息主要包括用户可访问的服务目录、拥有的权限、以及项目信息。

• domain-scoped token：该类型token表示用户在域范围具有的权限，例如如果用户对域内具有管理员权限，则该用户就能管理域内的所有项目以及用户。跟project-scoped token不同的是project-scoped token包含了可访问项目信息，而domain-scoped token则包含了具有操作权限的域信息。

• trust-scoped token:当truster授予trustee一定的权限后，trustee可以使用该类型token来操作truster资源，该类型token信息包括truster的项目／域信息以及一系列权限，服务目录。

转自：http://www.cnblogs.com/sammyliu/p/5955984.html