keystone
1 新特性
通过使用新REST APIS,domain指定配置选项可以存储在sql中,取代在配置文件中存储
# 在identity组件中的core模块,有DomainConfig类,其中可以指定配置等操作.
keystone支持X.509 ssl客户端签名认证而无需token
# contrib.federation下面的idp模块添加x509认证
支持单点登陆系统WebSSO
# 这个不太了解
将 openstack_user_domain openstack属性添加到SAML断言中以匹配相应的user 与project domain
# 关于SAML的介绍可以查阅以下链接
# http://baike.baidu.com/link?url=56Jl48z_Nxivd9f8OauuJmPa8N9Gp2e8Aw-lR-Av7cMxnwtop7O_8Rf1mpTQG9tHZH28Kr0ziuQz7ITuDuTPKK
凭证列表可以通过凭证类型进行过滤
# credential模块中CredentialV3类中list_credentials 函数加了filterprotected,只限与user_id以及type过滤
通过定义稳定的驱动接口提供对外部驱动的支持
# 大概就是在contrib这边吧
Fernet token、Federation、domain 从数据库获取指定配置以及角色分配等特性越发稳定
2、废弃特性
Eventlet将在M版废弃
使用LDAP作为resource后端将在M版废弃,主要用于projects以及domains
全路径驱动将在M版被废弃,取而代之的是命名空间,其实现在大多都使用的命名空间
keystone.conf在resource和role部分的配置未指定驱动而使用assignment的驱动的行为将在M版废弃,在M版中resource和role驱动默认为sql
keystone-paste.ini中废弃使用paste.filter_factory而使用use,来指定命名空间
在创建user、group、project时,不指定domain的行为将会置为默认domain的处理方式在N版被废弃
3、更新记录
EC2 token中间件已经从middleware中移除
#middleware文件下确实没有EC2token
compute_port 配置选项,不再适用
XML 中间件在keystone-paste.ini中已经移除
status_monitoring以及status_reporting paste filter已经从keystone-paste.ini中移除
ExternalDefault、ExternalDomain、LegacyDefaultDomain以及LegacyDomain以及不再适用
keystone.conf现在驱动指定使用命名空间
对keystone-manage只暴露命名空间而不是文件
特性延伸诸如(OAuth授权、Federated 认证,endpoint policy等 )默认可用
某些在keystone.conf的选项已经改变
可以在policy rules中使用'domain_name'
