Keystone引入PKI體系,生成簽名證書的令牌,以及在服務請求中對用戶的令牌進行驗簽等流程,與標準的PKI流程完全一樣,在實際實現和部署中,Keystone完全可以利用現有的用戶安全認證(CA)系統對接實現簽名證書的生成和管理。
圖11-6為用戶訪問Keystone進行用戶認證和後續訪問服務節點的流程圖,從這個流程可以看出,Keystone完全可以利用現成的用戶安全認證系統,實現對用戶令牌的簽名認證。
圖11-6 用戶訪問Keystone進行用戶認證和後續訪問服務節點的流程
1)用戶發送自己的憑證(用戶名、密碼等信息)到Keystone請求認證。
2)Keystone校驗用戶名、密碼以及可訪問資源等合法信息之後,將該用戶的令牌元數據發送到CA系統進行簽名。
3)CA系統返回該用戶的令牌簽名、與用戶的令牌簽名對應的簽名公鑰證書和CA的公鑰證書等給Keystone。
4)Keystone向用戶返回該用戶的令牌簽名。
5)Keystone同時向該用戶有權限訪問的服務節點(如Nova或Glance)發送該用戶的簽名公鑰證書和CA的公鑰證書。
6)用戶向服務節點發送服務請求,同時附加自己的令牌簽名。
7)服務節點用本地存放的用戶的簽名公鑰證書進行驗簽,確認用戶的合法性與訪問權限。
8)服務端點處理合法的請求,拒絕驗證未通過的請求。
從圖11-6流程可以看出,Keystone完全可以與現有CA系統對接,以實現對令牌的簽名和驗證。