具有新域的openstack中的身份验证错误

Question

我的openstack在default域上运行得很好。今天，我创建了另一个域domainTwo

openstack create doamin domainTwo

创建了一个新项目domainTwoProject

openstack project create --domain domainTwo --description "Admin Project" domainTwoProject

和一个新的用户domainTwoAdmin

openstack user create --domain domainTwo --password-prompt domainTwoAdmin

创建管理角色：

openstack role create admin

将管理角色添加到domainTwoProject项目和用户：

openstack role add --project domainTwoProject --user domainTwoAdmin admin

现在，当我试图使用领域中的水平仪表板登录时，domainTwo使用用户名domainTwoAdmin和密码XXXXXXXXXX登录，它工作得非常完美。当我用source admins-openrc.sh尝试的时候

admin-openrc.sh的内容是：

export OS_PROJECT_DOMAIN_ID=default
export OS_USER_DOMAIN_ID=default
export OS_PROJECT_NAME=admin
export OS_TENANT_NAME=admin
export OS_USERNAME=admin
export OS_PASSWORD=XXXXX
export OS_AUTH_URL=http://XXX.XXX.XXX.XXXX:35357/v3
export OS_IDENTITY_API_VERSION=3

在此之后，我运行openstack token issue并获得了所需的输出。然而，当我使用source admin-domaintwo.sh尝试这个命令时，我并没有得到想要的输出。

admin-domaintwo.sh的内容是：

export OS_PROJECT_DOMAIN_ID=XXXXXXXXXXXXXXXXXXXXXXXXX
export OS_USER_DOMAIN_ID=XXXXXXXXXXXXXXXXXXXXXXXX
export OS_PROJECT_NAME=domainTwoProject
export OS_TENANT_NAME=domainTwoProject
export OS_USERNAME=domainTwoAdmin
export OS_PASSWORD=XXXXX
export OS_AUTH_URL=http://XXX.XXX.XXX.XXXX:35357/v3
export OS_IDENTITY_API_VERSION=3

我搞错了

The request you have made requires authentication. (HTTP 401) (Request-ID: req-IDXXXXXXXXXXXXXXXXXXX)

Answer 1

我不知道你是否找到了解决方案，但我想提供一种帮助解决这类问题的方法。我也面临着这个问题，并找到了解决办法。

从您的评论来看，您似乎存在身份验证问题。身份验证由openstack的keystone组件处理。因此，为了找到确切的问题，我们需要检查每个相关组件日志消息。

首先检查httpd的访问日志，我命令继续查看日志，您可以在另一个选项卡中打开它。

tail -f /var/log/httpd/access_log

现在检查httpd的错误消息。

tail -f /var/log/httpd/error_log

检查基石日志

tail -f /var/log/keystone/keystone.log

试着找出哪里出了问题。还检查水平本地设置的配置文件。

/etc/openstack-dashboard/local_settings

特别是OPENSTACK_KEYSTONE_URL这个领域，和OPENSTACK_API_VERSIONS，OPENSTACK_KEYSTONE_DEFAULT_DOMAIN，OPENSTACK_KEYSTONE_DEFAULT_ROLE。重复检查您的标识版本和Keystone端点url版本，检查仪表板配置和服务端点中的版本是否相同。

这是一个研究过程，它将帮助您找出认证的错误所在。

如果您重新开始安装过程，在每个步骤中，验证每个组件的操作，比如第一次安装keystone，并检查它是否还好，然后继续。这将有助于识别和排除进一步的问题。

Answer 2

我认为：

openstack role add --domain domainTwo --user domainTwoAdmin admin

openstack role add --project domainTwoProject --user domainTwoAdmin admin