Keystone Folsom Summit Topics

中间件的使用方案 - 它是在 Keystone 中，还是每个项目里等等。

• 12:16 [freenode] [(westmaas ~ westmaas@184-106-186-202.static.cloud-ips.com ) ]您好，最近有一些东西正在 Keystone 项目的中间件中着陆，特别是针对 Glance - 这些更改是否需要重新完成，因为 ksl 即将发布？
• 12:55 [freenode] [msg(westmaas)] 如果你在 ksl 项目中这样做就不会，将你想要更改的内容移植到 http://github.com/termie/keystonelight
• 12:56 [freenode] [(westmaas ~ westmaas@184-106-186-202.static.cloud-ips.com )] 中间件会从 ksl 中移除吗？
• 12:57 [freenode] [msg(westmaas)] 也许在某个时候会，但当他们这样做时，它们将被从 ksl 项目中复制出来（我预计）
• 12:58 [freenode] [(westmaas ~ westmaas@184-106-186-202.static.cloud-ips.com )] 好的
• 12:58 [freenode] [msg(westmaas)] 我们还没有承诺全部完成
• 12:58 [freenode] [msg(westmaas)] 不过我认为 Nova 目前已经在这样做
• 12:58 [freenode] [(westmaas ~ westmaas@184-106-186-202.static.cloud-ips.com )] 是的
• 13:01 [freenode] [msg(westmaas)] 刚刚和 vish 讨论过，我们对中间件的处理有一个相当不错的计划，实际情况是：
• 13:02 [freenode] [msg(westmaas)] 想法很简单：我们在 keystoneclient 中放置一些中间件基类，项目中间件可以对其进行子类化，然后项目中间件执行特定操作
• 13:04 [freenode] [msg(westmaas)] 这将允许我们有一定的灵活性，如果发生小的更改或我们想要添加一些默认行为

如何允许/启用多因素认证 -

• 可插拔的后端，用于多个身份验证源（例如：Verisign 的移动身份验证，但通过 Telesign 进行短信验证） -
• 潜在的开箱即用的 WikiD 集成 - 一个开源 MFA 提供商 -
• 允许为不同的租户/用户启用 MFA。例如：访问租户 A 需要 3 次身份验证，但租户 B 需要 2 次。用户 Jane 需要 3 次身份验证，但用户 test_service 需要 1 次。

目录 CRUD

• 目前，目录是基于 keystone/redux 中的模板/配置文件 - 目录在用户身份验证后返回，因为 tenantID 嵌入到某些服务的 URI 中（SWIFT，我正在看你） - 还有一些用例与希望向某些用户隐藏端点有关 - 例如，如果您不是管理员，请不要返回管理员端点。端点通常需要从用例的角度进行讨论，然后重新检查 API 以确定如何支持它。

联合身份认证

• 这是一个很大的话题 - 对很多人来说意味着很多事情。我们需要了解社区的需求，然后将其缩小到我们可以进行原型设计并从小处开始的东西 - 在 Folsom 时间范围内完成一些事情，并随着项目的发展进行扩展。

信任与服务

• OpenStack 云的信任区域当前是所有服务都会收到一个可以在其他服务上使用的令牌。添加服务而不要求它们收到可重用的令牌会更好。

默认租户

• 我们是否允许在没有租户的情况下创建用户 - 如果允许，我们如何处理当这种情况发生时“自由浮动用户”的问题（假设它们在某些后端系统中是独立的实体）目前 nova EC2 密钥会颁发给用户 - 而不是用户-租户对，因此理论上它们可以被用户使用，无论该用户访问/操作的 VM 属于哪个租户

RBAC

• Essex 中 RBAC 的要求是否仍然相同？有什么变化吗？我们没有在 Essex 中交付它，因此它对 Folsom 来说更加需要

PKI

• 某些部署环境需要 PKI。Keystone 如何适应（或通常向适应）这一点？

服务关系

• 卷服务可能与显式计算服务相关联。今天无法通过服务目录显式指示这种关系。类型和名称可以根据合同重复，并且扩展 URL 类型以表示关系似乎有些过头。需要一个服务集合或分组来指示哪些服务可以很好地协同工作。