OpenStack是一个云计算平台的项目，其中Keystone是一个身份认证服务组件，它提供了认证、授权和目录的服务。其他OpenStack服务组件都需要使用Keystone来验证用户的身份和权限，并且彼此之间需要相互协作。当一个OpenStack服务组件接收到用户的请求时，它会先将请求交给Keystone身份认证服务组件，以检查该用户是否有足够的权限来完成请求。因此，Keystone身份认证服务组件是整个OpenStack项目中唯一可以提供身份认证的服务组件。

本文介绍Keystone安装步骤，Keystone仅需在控制节点安装。

在按照本教程安装之前，请确保完成以下配置：

【Openstack Train安装】一、虚拟机创建

【Openstack Train安装】二、NTP安装

【Openstack Train安装】三、openstack安装

【Openstack Train安装】四、MariaDB/RabbitMQ 安装

【Openstack Train安装】五、Memcached/Etcd安装

安装环境如下

VMware Workstation	V17.0
本机系统	win11
虚拟机系统	CentOS 7.5

一、创建数据库

使用keystone服务前，先创建数据库，首先进入数据库：

mysql -u root -p

密码是123456：

创建数据库keystone：

CREATE DATABASE keystone;

授予数据库权限（123456是设置的数据库密码）：

GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'localhost' IDENTIFIED BY '123456';
GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'%' IDENTIFIED BY '123456';

退出数据库，如下图：

二、配置keystone

安装相关包：

yum install openstack-keystone httpd mod_wsgi -y

对/etc/keystone/keystone.conf进行配置，在配置前，使用如下命令进行备份：

mv /etc/keystone/keystone.conf /etc/keystone/keystone.conf.source
cat /etc/keystone/keystone.conf.source | grep -Ev "^#|^$" > /etc/keystone/keystone.conf

接下来编辑/etc/keystone/keystone.conf，添加2个记录（这个123456是创建数据库keystone的密码），保存并退出：

[database]
# ...
connection = mysql+pymysql://keystone:123456@controller/keystone
[token]
# ...
provider = fernet

如下所示：

同步数据库：

su -s /bin/sh -c "keystone-manage db_sync" keystone

初始化Fernet 库：

keystone-manage fernet_setup --keystone-user keystone --keystone-group keystone
keystone-manage credential_setup --keystone-user keystone --keystone-group keystone

引导身份服务（这里的密码时ADMIN_PASS，为了简单所有的密码我都设置为123456，但是不同的服务密码有却别，可参考官网）：

keystone-manage bootstrap --bootstrap-password 123456\
  --bootstrap-admin-url http://controller:5000/v3/ \
  --bootstrap-internal-url http://controller:5000/v3/ \
  --bootstrap-public-url http://controller:5000/v3/ \
  --bootstrap-region-id RegionOne

三、配置Apache HTTP服务

编辑/etc/httpd/conf/httpd.conf，进行如下配置并保存退出：

创建软连接：

ln -s /usr/share/keystone/wsgi-keystone.conf /etc/httpd/conf.d/

配置开机自启，并启动服务：

systemctl enable httpd.service
systemctl start httpd.service

四、配置环境变量

配置环境变量，为了简单起见，新建一个文件，叫做admin-openrc，并添加以下内容：

export OS_USERNAME=admin
export OS_PASSWORD=123456
export OS_PROJECT_NAME=admin
export OS_USER_DOMAIN_NAME=Default
export OS_PROJECT_DOMAIN_NAME=Default
export OS_AUTH_URL=http://controller:5000/v3
export OS_IDENTITY_API_VERSION=3

如下图：

运行该文件，设定环境变量（可以通过export命令查看环境变量）：

五、使用

查看当前的domain：

openstack domain list

默认存在一个domain，名字为default：

新建一个名字为example的domain：

openstack domain create --description "An Example Domain" example

再次查看domain列表：

查看project 列表：

openstack project list

有个默认project，名字为admin：

向domain：default中添加一个project，project名字为service：

openstack project create --domain default --description "Service Project" service

查看新建的project：

关于user、role的创建，可以参考：https://docs.openstack.org/keystone/train/install/keystone-users-rdo.htmlhttps://docs.openstack.org/keystone/train/install/keystone-users-rdo.html

默认的project：admin是管理权限，创建一个普通的project：myproject， 在domain： Default中创建myproject和myuser，如下，密码设置为123456：

openstack project create --domain default --description "Demo Project" myproject
openstack user create --domain default --password-prompt myuser

如下所示：

创建role：

openstack role create myrole

如下：

将myrole和myproject\myuser关联起来：

openstack role add --project myproject --user myuser myrole

六、验证

取消环境变量OS_AUTH_URL和OS_PASSWORD：

unset OS_AUTH_URL OS_PASSWORD

使用admin请求一个身份验证的token：

openstack --os-auth-url http://controller:5000/v3 --os-project-domain-name Default --os-user-domain-name Default --os-project-name admin --os-username admin token issue

如下：

使用刚刚创建的myuser请求token：

openstack --os-auth-url http://controller:5000/v3 --os-project-domain-name Default --os-user-domain-name Default --os-project-name myproject --os-username myuser token issue

如下所示：

七、创建脚本

在后续测试时，有事需要用admin和普通用户进行测试，故编写2个脚本，分别用于设置admin和myuser到环境变量，admin的脚本已经在【四、配置环境变量】中配置完成，下面配置普通用户myuser的脚本，新建文件demo-openrc，其内容如下：

export OS_PROJECT_DOMAIN_NAME=Default
export OS_USER_DOMAIN_NAME=Default
export OS_PROJECT_NAME=myproject
export OS_USERNAME=myuser
export OS_PASSWORD=123456
export OS_AUTH_URL=http://controller:5000/v3
export OS_IDENTITY_API_VERSION=3
export OS_IMAGE_API_VERSION=2

如下所示：

使用admin请求token，如下：

使用myuser请求token：

keystone安装完成。

致谢

1、感谢Ceased指出数据库创建时的错误。