Keystone引入PKI体系,生成签名证书的令牌,以及在服务请求中对用户的令牌进行验签等流程,与标准的PKI流程完全一样,在实际实现和部署中,Keystone完全可以利用现有的用户安全认证(CA)系统对接实现签名证书的生成和管理。
图11-6为用户访问Keystone进行用户认证和后续访问服务节点的流程图,从这个流程可以看出,Keystone完全可以利用现成的用户安全认证系统,实现对用户令牌的签名认证。
图11-6 用户访问Keystone进行用户认证和后续访问服务节点的流程
1)用户发送自己的凭证(用户名、密码等信息)到Keystone请求认证。
2)Keystone校验用户名、密码以及可访问资源等合法信息之后,将该用户的令牌元数据发送到CA系统进行签名。
3)CA系统返回该用户的令牌签名、与用户的令牌签名对应的签名公钥证书和CA的公钥证书等给Keystone。
4)Keystone向用户返回该用户的令牌签名。
5)Keystone同时向该用户有权限访问的服务节点(如Nova或Glance)发送该用户的签名公钥证书和CA的公钥证书。
6)用户向服务节点发送服务请求,同时附加自己的令牌签名。
7)服务节点用本地存放的用户的签名公钥证书进行验签,确认用户的合法性与访问权限。
8)服务端点处理合法的请求,拒绝验证未通过的请求。
从图11-6流程可以看出,Keystone完全可以与现有CA系统对接,以实现对令牌的签名和验证。