一、安装和配置KeyStone

1. 为KeyStone配置数据库

1. 使用数据库客户端，以root用户连接到数据库中：mysql -u root -p
2. 创建KeyStone数据库：CREATE DATABASE keystone;
3. 为KeyStone用户授权：
   GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'localhost' IDENTIFIED BY 'KEYSTONE_DBPASS';
GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'%' IDENTIFIED BY 'KEYSTONE_DBPASS';

2. 安装KeyStone

1. KeyStone服务的监听端口是5000和35357，配置Apache HTTP服务监听这两个端口，为了避免端口冲突，在Ubuntu上禁止KeyStone开机自启动：echo "manual" > /etc/init/keystone.override
2. 安装与Keystone相关的软件包：
   apt-get install keystone python-openstackclient apache2 libapache2-mod-wsgi memcached python-memcache

3. 修改KeyStone的配置文件keystone.conf

修改/etc/keystone/keystone.conf
小技巧：将原文件备份，使用命令cat backup_file | grep -v '^#' > new_file可以生成新文件，并去掉注释，即cat /etc/keystone/keystone.conf.bak | grep -v '^#' > /etc/keystone/keystone.conf

1. 随机生成一个16进制的token：openssl rand -hex 10
2. 修改[default]部分，配置初始的令牌管理：admin_token = ADMIN_TOKEN
   ADMIN_TOKEN是刚才所生成的随机值
3. 修改[database]部分，配置数据库的连接：
   connection = mysql://keystone:KEYSTONE_DBPASS@controller/keystone
4. 修改[memcache]，配置Memcache 服务:
   servers = localhost:11211
   11211是memecahced服务器的默认端口号
5. 修改[token]部分，配置UUID令牌的提供者和memcached的持久化驱动：
   provider = keystone.token.providers.uuid.Provider
driver = keystone.token.persistence.backends.memcache.Token
6. 修改[revoke] 部分, 配置SQL的撤回驱动：
   driver = keystone.contrib.revoke.backends.sql.Revoke
   可选：为了方便做问题诊断，在[DEFAULT]部分，配置详细的日志输出：
   verbose = True
7. 为keystone数据库填充数据：su -s /bin/sh -c "keystone-manage db_sync" keystone

4. 配置 Apache HTTP server

1. 编辑/etc/apache2/apache2.conf，配置ServerName选项为控制节点hostname：ServerName controller
2. 创建/etc/apache2/sites-available/wsgi-keystone.conf文件，添加如下内容：

   Listen 5000
   Listen 35357
   
   <VirtualHost *:5000>
       WSGIDaemonProcess keystone-public processes=5 threads=1 user=keystone display-name=%{GROUP}
       WSGIProcessGroup keystone-public
       WSGIScriptAlias / /var/www/cgi-bin/keystone/main
       WSGIApplicationGroup %{GLOBAL}
       WSGIPassAuthorization On
       <IfVersion >= 2.4>
       ErrorLogFormat "%{cu}t %M"
       </IfVersion>
       LogLevel info
       ErrorLog /var/log/apache2/keystone-error.log
       CustomLog /var/log/apache2/keystone-access.log combined
   </VirtualHost>
   
   <VirtualHost *:35357>
       WSGIDaemonProcess keystone-admin processes=5 threads=1 user=keystone display-name=%{GROUP}
       WSGIProcessGroup keystone-admin
       WSGIScriptAlias / /var/www/cgi-bin/keystone/admin
       WSGIApplicationGroup %{GLOBAL}
       WSGIPassAuthorization On
       <IfVersion >= 2.4>
       ErrorLogFormat "%{cu}t %M"
       </IfVersion>
       LogLevel info
       ErrorLog /var/log/apache2/keystone-error.log
       CustomLog /var/log/apache2/keystone-access.log combined
   </VirtualHost>
   

3. 启用身份认证服务的虚拟主机：
   ln -s /etc/apache2/sites-available/wsgi-keystone.conf /etc/apache2/sites-enabled
4. 为WSGI组件创建目录结构：mkdir -p /var/www/cgi-bin/keystone
5. 拷贝WSGI组件到当前创建好的目录/var/www/cgi-bin/keystone下：
   curl http://git.openstack.org/cgit/openstack/keystone/plain/httpd/keystone.py?h=stable/kilo | tee /var/www/cgi-bin/keystone/main /var/www/cgi-bin/keystone/admin
6. 设置目录和文件的权限：
   chown -R keystone:keystone /var/www/cgi-bin/keystone
chmod 755 /var/www/cgi-bin/keystone/*
7. 重启apache http server：service apache2 restart
8. 删除ubuntu默认创建的SQLite数据库：rm -f /var/lib/keystone/keystone.sqlite

二、配置服务实体与API端点

1. 配置认证服务的服务实体

1. 设置操作系统临时环境变量：校验令牌：export OS_TOKEN=ADMIN_TOKEN
2. 设置操作系统临时环境变量：端点URL：export OS_URL=http://controller:35357/v2.0
3. 为认证服务创建服务实体：
   openstack service create --name keystone --description "OpenStack Identity" identity
4. 配置认证服务的API端点：
   openstack endpoint create --publicurl http://controller:5000/v2.0 --internalurl http://controller:5000/v2.0 --adminurl http://controller:35357/v2.0 --region RegionOne identity

三、创建项目（租户）、用户和角色

1. 创建admin租户：openstack project create --description "Admin Project" admin
2. 创建admin用户：openstack user create --password-prompt admin
3. 创建admin角色：openstack role create admin
4. 添加admin角色到admin租户和用户：openstack role add --project admin --user admin admin

四、创建服务项目

1. 位其他的OpenStack服务创建服务项目：openstack project create --description "Service Project" service

五、创建普通项目和用户

1. 创建demo项目：openstack project create --description "Demo Project" demo
2. 创建demo用户：openstack user create --password-prompt demo
3. 创建demo角色：openstack role create user
4. 添加user角色到demo租户和用户：openstack role add --project demo --user demo user

六、校验安装

1. 校验安装前的准备

1. 基于安全的原因，先临时禁止校验令牌的机制。编辑/etc/keystone/keystone-paste.ini：
   移除admin_token_auth从[pipeline:public_api], [pipeline:admin_api], [pipeline:api_v3]部分
2. 取消设置的操作系统环境变量：unset OS_TOKEN OS_URL

2. 使用admin用户校验安装

1. 以admin用户，从2.0版本的认证API申请一个校验令牌：
   openstack --os-auth-url http://controller:35357 --os-project-name admin --os-username admin --os-auth-type password token issue
   3.0版本的认证API支持域名，以admin用户申请一个校验令牌：
   openstack --os-auth-url http://controller:35357 --os-project-domain-id default --os-user-domain-id default --os-project-name admin --os-username admin --os-auth-type password token issue
2. 以admin用户，校验admin用户是否有权限云查看认证服务中所包含的项目：
   openstack --os-auth-url http://controller:35357 --os-project-name admin --os-username admin --os-auth-type password project list
3. 以admin用户，查看认证服务中的用户是否创建成功：
   openstack --os-auth-url http://controller:35357 --os-project-name admin --os-username admin --os-auth-type password user list
4. 以admin用户，查看认证服务中的角色是否创建成功：
   openstack --os-auth-url http://controller:35357 --os-project-name admin --os-username admin --os-auth-type password role list

3. 使用demo用户校验安装

1. 以demo用户，从v3版本的认证API中申请校验令牌：
   openstack --os-auth-url http://controller:5000 --os-project-domain-id default --os-user-domain-id default --os-project-name demo --os-username demo --os-auth-type password token issue
2. 以demo用户，尝试能否执行只有管理用户才能执行的查看用户的操作：
   openstack --os-auth-url http://controller:5000 --os-project-domain-id default --os-user-domain-id default --os-project-name demo --os-username demo --os-auth-type password user list

七、创建OpenStack客户端脚本

1. 创建admin用户的脚本

创建和编辑文件admin-openrc.sh，加入如下内容：

export OS_PROJECT_DOMAIN_ID=default
export OS_USER_DOMAIN_ID=default
export OS_PROJECT_NAME=admin
export OS_TENANT_NAME=admin
export OS_USERNAME=admin
export OS_PASSWORD=ADMIN_PASS
export OS_AUTH_URL=http://controller:35357/v3

2. 创建demo用户的脚本

创建和编辑文件demo-openrc.sh，加入如下内容：

export OS_PROJECT_DOMAIN_ID=default
export OS_USER_DOMAIN_ID=default
export OS_PROJECT_NAME=demo
export OS_TENANT_NAME=demo
export OS_USERNAME=demo
export OS_PASSWORD=DEMO_PASS
export OS_AUTH_URL=http://controller:5000/v3

3. 测试脚本

1. 加载脚本：source admin-openrc.sh
2. 测试脚本：openstack token issue