无法运行任何需要从 keystone 进行身份验证的命令，包括登录 Horizo​​n。每个命令都失败并出现以下错误：

基石用户列表

授权失败：意外错误导致服务器无法满足您的请求。(OperationalError) (1045, "Access denied for user 'keystone_admin'@'controllerip' (使用密码: YES)") 无 无 (HTTP 500)

我是 Node+Mongoose 的新手，目前正在使用 KeystoneJS 创建 API。我已经设法用作者的电子邮件和姓名填充所有帖子。我的问题是，有没有办法每次都用作者填充帖子，可能还有一些中间件，而不必在我检索帖子的每种方法中重写它？我的目标是不要populate('author', 'email name')在整个代码中分散多个实例。例如，将来，我还想包含作者的个人资料照片网址，并且我希望能够在一个地方进行更改，然后将反映在我检索帖子的每个地方.

当前实施：

我正在尝试在我的 OpenStack 设置中配置 Keystone 以使用 SSL。我目前正在玩cert_required标志keystone.conf：

不幸的是，如果它设置为True我无法使用它的 CLI 客户端连接到 nova：

在 keystone CLI 客户端中，我可以指定--os-key和--os-cert选项来进行正确的 SSL 握手，然后它就可以工作了。nova CLI 客户端中缺少这些选项。如何使用cert_requirednova 选项？也许该选项已准备好用于其他场景？

我正在设置 openstack 的 keystone 服务，我正在使用 cloudsql 从计算引擎中完成它。当我创建连接时，我使用它作为我的连接字符串：

所有适当的权限都在那里。而且我能够从计算引擎创建表，所以我知道这很好。但是，当我开始 keystone 时，这就是我得到的：

我不是数据库专家，我可以做超级基本的 sql 查询。请帮忙。:)

哦，我从 rhel 实例连接，两者都在同一个区域。

我使用 MAAS-Juju（juju charms）部署了 openstack。在我尝试登录到 openstack 地平线后，我遇到了以下问题。身份服务发出的身份验证令牌已在 keystone (Openstack icehouse) 中过期，请帮助。

我们已经在我们自己的硬件上设置了一个 OpenStack 系统，安装了所有组件，一切看起来都很好，因为我们已经通过 Web 界面创建了网络和虚拟机。

我正在尝试使用 openstack.net SDK 以编程方式执行操作。我似乎可以使用用户名和密码进行身份验证，但是在访问已安装的其他服务时，我们收到错误提示 API 端点对用户不可用。

我们正在使用的代码在下面，它可以正常工作，直到 CreateServer 行出现错误

“无法验证用户身份并检索授权服务端点。”

在仪表板中以同一用户身份登录时，我可以在 Access and Security >> API Endpoints 部分看到所有服务 url，但 UserAccess.ServiceCatalog 似乎没有填充任何内容。

非常感谢任何帮助或指示。

我目前有一个运行 2.0 API 的 Openstack Havana 集群。我在将 Keystone 与我的公司只读 LDAP 集成时遇到了一些问题。

我按照建议完成了 LDAP/SQL 拆分（用于标识和分配）。当我多次运行“keystone user-list”命令时，它会同时打印 SQL 和 LDAP 用户（即，有时是 SQL 用户，有时是 LDAP 用户）。我不明白这一点，因为我希望它只从 LDAP 而不是从 SQL 获取用户列表。用户列表到底想在内部做什么？

除了 Keystone.conf [LDAP] 中的设置之外，我还需要更改一些其他设置吗？

我还尝试执行“keystone user-role-add”以尝试将 LDAP 用户映射到具有成员角色的预先创建的租户，但它未能说找不到用户，这再次意味着它正在尝试查找用户在 SQL 内部而不是在 LDAP 内部

有些人一直在谈论使用 keystone 3.0 API，但我还没有找到指导我如何安装和运行它的材料。安装和配置它的过程是什么？作为 Linux 新手，我对此一无所知。3.0 API 将如何帮助我解决这个问题？

另外，我读到只读 LDAP 在哈瓦那很不稳定。迁移到 Icehouse 会有帮助吗？这在 Icehouse 中变得更稳定了吗？

使用我们自己的硬件，我们已经安装了带有所有组件的 vanilla openstack，但是由于区域问题，我在访问身份以外的服务时遇到了问题。使用的代码如下调用我们创建的管理员帐户和管理员租户...

代码在调用 ListContainers(region: region) 时失败，出现错误...“用户无权访问请求的服务或区域”，好像我没有指定区域，错误只是“没有区域”已提供，服务不提供独立于区域的端点，并且没有为用户帐户设置默认区域'

我们目前只访问我们的内部网络，因此区域对我们来说并不重要......

另外值得注意的是，当拨打...

我可以看到的网络返回错误“该项目未找到或不存在。”

非常感谢帮助和建议。

对此进行了搜索，发现：

Keystone 返回带有元数据 is_admin = 0 的令牌

这并没有真正回答这个问题，而且它已经一岁了，所以我想我会开一个新的。

我正在运行一个运行最新版本的 devstack 的 Ubuntu 14.04 的 VM 实例（在不到几周的时间内），我认为我看到了 keystone 的奇怪行为。

我知道管理员角色应该是特定于租户的，但我的观察与此相矛盾。

1) Keystone 永远不会返回 is_admin=1。使用具有管理员租户管理员角色的管理员用户向管理员租户进行身份验证仍然返回“is_admin 0”。是否可以保证管理员角色将始终命名为“admin”？如果是这样，您可以使用 .user.roles.name = admin 来检查吗？

2）如果这是真的，我仍然需要在进行身份验证时提供一个租户，以便在响应中填充该数组。为什么这很重要？好吧，我想在没有租户的情况下进行身份验证，获取租户和角色的列表，然后重新对特定租户进行身份验证以做一些有用的事情。为什么？因为我不想提前知道我的租户和角色列表。我想编写一个允许登录并在进行身份验证时显示租户列表和附加功能的自动化过程，如果并且仅当用户是管理员时。

3）令人沮丧，这是＃2的延续。如果管理员角色确实是特定于租户的，那么当我什至不是租户 B 的成员时，使用租户 A 登录不应该允许我在租户 B 上执行管理操作，而且它肯定会这样做。这会让我相信管理员角色是全球性的。这对我来说更有意义，我认为拥有特定于租户的管理员、有权访问一组租户的管理员和全局管理员，但要么事实并非如此，他们在撒谎，要么我完全被Openstack 身份。

由于所有互联网搜索都出现了 nada，或者似乎假设读者已经知道上下文并回答了他们试图解决的问题，有人可以向我解释一下：

A) 管理员角色的官方目的/限制是什么？

B）为什么我的第一点不起作用？

C) 为什么管理员角色似乎是全局的？

D) 哪里有关于这方面的文档，假设您已经知道 keystone 的私密细节？例如，管理员角色是等等等等。您可以在 blah blah blah 中配置其访问权限。它的运作方式正是如此：等等等等。没有参考或假设任何先前接触过 Openstack 并且全部在一个地方？

E) 我要求太多了吗？:)

谢谢。

我们已经按照这里的程序在 Centos 上安装了 openstack...

http://docs.openstack.org/icehouse/install-guide/install/yum/content/index.html

我一直在尝试访问管理端点以列出用户（然后添加用户和租户）

但是，当我执行 GET 时，管理扩展似乎不可用...

我得到...

当我这样做时...

我得到...

我在这方面找不到任何文档，但我一直在四处寻找，并在服务器上找到了一个文件夹 admin_crud 可能有需要的东西，但我不知道在 keystone.conf 中放什么

任何帮助表示赞赏。