分享

【求助】keystone的用户、租户、角色的疑问。

marsaber 发表于 2015-1-20 21:17:57 [显示全部楼层] 只看大图 回帖奖励 阅读模式 关闭右栏 6 61220
初始时:
[root@controller ~]# keystone user-list

[root@controller ~]# keystone tenant-list

[root@controller ~]# keystone role-list
+----------------------------------+----------+
|                id                |   name   |
+----------------------------------+----------+
| 9fe2ff9ee4384b1894a90878d3e92bab | _member_ |
+----------------------------------+----------+
[root@control ~]#


创建用户admin、角色admin、租户admin:
# keystone user-create --name=admin --pass=openstack --email=admin@test.com
# keystone role-create --name=admin
# keystone tenant-create --name=admin --description="Admin Tenant"
关联用户admin、租户admin到admin角色:
# keystone user-role-add --user=admin --tenant=admin --role=admin
关联用户admin、租户admin到_member_角色:
# keystone user-role-add --user=admin --role=_member_ --tenant=admin

创建用户demo、租户demo:
# keystone user-create --name=demo --pass=demotest --email=demo@test.com
# keystone tenant-create --name=demo --description="Demo Tenant"
关联用户demo、租户demo到_member_角色:
# keystone user-role-add --user=demo --role=_member_ --tenant=demo

分别使用用户admin和demo登录Dashboard后看到的管理界面不一样(如图)。为什么呢?

难道keystone tenant-create --name=admin --description="Admin Tenant"这条命令是创建了一个特权租户(管理员)???
admin.jpg
demo.jpg

已有(6)人评论

跳转到指定楼层
marsaber 发表于 2015-1-20 21:23:37
执行
keystone user-role-add --user=demo --tenant=demo --role=admin
之后,发现demo用户的管理界面跟admin的管理界面一样了。

难道keystone role-create --name=admin创建了一个特权角色?
回复

使用道具 举报

marsaber 发表于 2015-1-20 21:44:57
[root@controller ~]#keystone user-role-remove --user=demo --tenant=demo --role=admin
恢复至以前,demo用户看不到管理员菜单。

[root@controller ~]# keystone role-create --name=demo
[root@controller ~]# keystone user-role-add --user=demo --tenant=demo --role=demo
这个,demo用户管理界面看不到管理员菜单,看来跟角色很有关系了。
回复

使用道具 举报

marsaber 发表于 2015-1-20 21:47:58
可是就凭keystone role-create --name=admin就能创建一个特权角色?毕竟,只有_member_是默认存在的角色,admin也只是新建的。
请大牛指点。
回复

使用道具 举报

nextuser 发表于 2015-1-20 22:27:07
marsaber 发表于 2015-1-20 21:47
可是就凭keystone role-create --name=admin就能创建一个特权角色?毕竟,只有_member_是默认存在的角色,a ...
正如楼主所见,不同的角色有不同的权限,管理员能够看到更多的内容。
回复

使用道具 举报

nextuser 发表于 2015-1-20 22:35:13
nextuser 发表于 2015-1-20 22:27
正如楼主所见,不同的角色有不同的权限,管理员能够看到更多的内容。
admin这个是系统默认的,允许大多数的服务。
回复

使用道具 举报

desehawk 发表于 2015-1-20 22:38:52
marsaber 发表于 2015-1-20 21:47
可是就凭keystone role-create --name=admin就能创建一个特权角色?毕竟,只有_member_是默认存在的角色,a ...
创建一个service用户、租户、角色,试一下效果。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

关闭

推荐上一条 /2 下一条