安全服务¶
安全服务存储用于身份验证和授权 (AuthN/AuthZ) 的客户端配置信息。例如,共享服务器将是现有服务(如 LDAP、Kerberos 或 Microsoft Active Directory)的客户端。
您可以将一个共享与一种到三种安全服务类型关联
ldap:LDAP。kerberos:Kerberos。active_directory:Microsoft Active Directory。
您可以使用以下选项配置安全服务
一个 DNS IP 地址。
一个 IP 地址或主机名。
一个域名。
一个用户名或组名。
如果指定了用户名,则该用户的密码。
您可以将安全服务添加到 共享网络。
要创建一个安全服务,请指定安全服务类型、安全服务的描述、项目网络中使用的 DNS IP 地址、安全服务 IP 地址或主机名、域名、项目使用的安全服务用户或组,以及用户的密码。共享名称是可选的。
创建一个 ldap 安全服务
$ openstack share security service create ldap \
--dns-ip 8.8.8.8 --server 10.254.0.3 \
--name my_ldap_security_service
+-----------------+--------------------------------------+
| Field | Value |
+-----------------+--------------------------------------+
| id | 266d7c94-db18-47af-b6db-0c3a663e39f5 |
| name | my_ldap_security_service |
| type | ldap |
| status | new |
| created_at | 2025-04-04T12:44:17.131358 |
| updated_at | None |
| description | None |
| dns_ip | 8.8.8.8 |
| server | 10.254.0.3 |
| domain | None |
| user | None |
| password | None |
| project_id | ae096acaa6ce4a3bb4f5a7f7a324514c |
| ou | None |
| default_ad_site | None |
+-----------------+--------------------------------------+
要创建一个 kerberos 安全服务,请运行
$ openstack share security service create kerberos \
--server 10.254.0.3 --user demo --password secret \
--name my_kerberos_security_service \
--description "Kerberos security service"
+-----------------+--------------------------------------+
| Field | Value |
+-----------------+--------------------------------------+
| id | a6b3634d-63ba-460d-b506-bde475d9c634 |
| name | my_kerberos_security_service |
| type | kerberos |
| status | new |
| created_at | 2025-04-04T12:52:24.537002 |
| updated_at | None |
| description | Kerberos security service |
| dns_ip | None |
| server | 10.254.0.3 |
| domain | None |
| user | demo |
| password | secret |
| project_id | ae096acaa6ce4a3bb4f5a7f7a324514c |
| ou | None |
| default_ad_site | None |
+-----------------+--------------------------------------+
要查看创建的安全服务列表,请使用 openstack share security service list
$ openstack share security service list
+--------------------------------------+------------------------------+--------+----------+
| ID | Name | Status | Type |
+--------------------------------------+------------------------------+--------+----------+
| 266d7c94-db18-47af-b6db-0c3a663e39f5 | my_ldap_security_service | new | ldap |
| a6b3634d-63ba-460d-b506-bde475d9c634 | my_kerberos_security_service | new | kerberos |
+--------------------------------------+------------------------------+--------+----------+
您可以将安全服务添加到现有的 共享网络,该网络尚未被使用(一个未与共享关联的 share network)。
使用 openstack share network set --new-security-service 指定共享网络和安全服务,将安全服务添加到共享网络。该命令将返回有关安全服务的信息。您可以使用关联的共享网络 ID 查看新的属性和 share_networks。
$ openstack share network set share_net2 \
--new-security-service my_ldap_security_service
$ openstack share security service show my_ldap_security_service
+-----------------+-------------------------------------------+
| Property | Value |
+-----------------+-------------------------------------------+
| id | 266d7c94-db18-47af-b6db-0c3a663e39f5 |
| name | my_ldap_security_service |
| type | ldap |
| status | new |
| created_at | 2025-04-04T12:44:17.131358 |
| updated_at | None |
| description | None |
| dns_ip | 8.8.8.8 |
| server | 10.254.0.3 |
| domain | None |
| user | None |
| password | None |
| project_id | ae096acaa6ce4a3bb4f5a7f7a324514c |
| ou | None |
| default_ad_site | None |
| share_networks | [u'6d36c41f-d310-4aff-a0c2-ffd870e91cab'] |
+----------------+--------------------------------------------+
可以查看与给定共享网络关联的安全服务列表。使用以下命令列出 share_net2 共享网络的安全服务:
$ openstack share network show share_net2
+-----------------------------------+------------------------------------------------------------+
| Field | Value |
+-----------------------------------+------------------------------------------------------------+
| id | 6d36c41f-d310-4aff-a0c2-ffd870e91cab |
| name | share_net2 |
| project_id | ae096acaa6ce4a3bb4f5a7f7a324514c |
| created_at | 2025-04-03T12:34:12.211349 |
| updated_at | None |
| description | None |
| status | active |
| security_service_update_support | True |
| network_allocation_update_support | True |
| share_network_subnets | |
| | id = 55916458-1272-4d41-95d9-b1bfbc2e2da1 |
| | availability_zone = None |
| | created_at = 2025-04-08T21:27:22.735925 |
| | updated_at = None |
| | segmentation_id = None |
| | neutron_net_id = None |
| | neutron_subnet_id = None |
| | ip_version = None |
| | cidr = None |
| | network_type = None |
| | mtu = None |
| | gateway = None |
| | properties = |
| security_services | |
| | security_service_name = my_ldap_security_service |
| | security_service_id = 266d7c94-db18-47af-b6db-0c3a663e39f5 |
+-----------------------------------+------------------------------------------------------------+
您还可以将安全服务从共享网络分离,并确认安全服务现在具有一个空的共享网络列表
$ openstack share network unset --security-service my_ldap_security_service share_net2
$ openstack share security service show my_ldap_security_service
+-----------------+--------------------------------------+
| Property | Value |
+-----------------+--------------------------------------+
| id | 266d7c94-db18-47af-b6db-0c3a663e39f5 |
| name | my_ldap_security_service |
| type | ldap |
| status | new |
| created_at | 2025-04-04T12:44:17.131358 |
| updated_at | None |
| description | None |
| dns_ip | 8.8.8.8 |
| server | 10.254.0.3 |
| domain | None |
| user | None |
| password | None |
| project_id | ae096acaa6ce4a3bb4f5a7f7a324514c |
| ou | None |
| default_ad_site | None |
| share_networks | [] |
+-----------------+--------------------------------------+
共享文件系统服务允许您使用 openstack share security service set 命令和可选参数(如 --dns-ip、--server、--domain、--ou、server、default_ad_site、--user、--password、--name 或 --description)以及必需的 security-service 参数来更新安全服务字段。
要删除未与任何共享网络关联的安全服务,请运行
$ openstack share security service delete my_ldap_security_service
