keystone policy.json 的学习总结

keystone的policy.json文件位于：
/etc/keystone/policy.json

其内容如下：
1 {
2 "admin_required": "role:admin or is_admin:1",

34 "identity:get_project": "rule:admin_required",
35 "identity:list_projects": "rule:admin_required",
36 "identity:list_user_projects": "rule:admin_or_owner",
37 "identity:create_project": "rule:admin_required",
38 "identity:update_project": "rule:admin_required",
39 "identity:delete_project": "rule:admin_required",

41 "identity:get_user": "rule:admin_required",
42 "identity:list_users": "rule:admin_required",
43 "identity:create_user": "rule:admin_required",
44 "identity:update_user": "rule:admin_required",
45 "identity:delete_user": "rule:admin_required",
46 "identity:change_password": "rule:admin_or_owner",

此文件的格式为：“规则名”，再冒号空格，再“判定条件”。从规则名可以看出，规则名是代表的是某种动作，例如创建用户这个动作，对应动作名为“identity:create_user”，其判定条件是“rule:admin_required”。
判定条件“rule:admin_required”表示调用规则“admin_required”。“admin_required”在第2行，其判定条件是“role:admin or is_admin:1”，这就比较容易理解，如果当前用户是admin角色或者元数据中“is_admin”字段的值为1，就返回真。
判定条件中可以用“or”或者“and”等，甚至使用变量。
由于未找到官方对于配置policy.json的详细说明，本文的出现的规则语法，全部借鉴于网络。

从规则名可以知道，大概每个keystone的API在policy.json中都有对应的规则名。
经过验证，V2版本的API只验证规则“admin_required”的判定条件，而其它规则不生效。原因在于以下文件中：

/usr/lib/python2.7/site-packages/keystone/common/wsgi.py
185 class Application(BaseApplication):
274 def assert_admin(self, context):
299 creds['roles'] = user_token_ref.role_names
300 # Accept either is_admin or the admin role
301 self.policy_api.enforce(creds, 'admin_required', {})
assert_admin函数只调用了规则“admin_required”。

/usr/lib/python2.7/site-packages/keystone/identity/controllers.py
30 class User(controller.V2Controller):
31
32 @controller.v2_deprecated
33 def get_user(self, context, user_id):
34 self.assert_admin(context)
35 ref = self.identity_api.get_user(user_id)
36 return {'user': self.v3_to_v2_user(ref)}
每个动作的具体实现函数里，调用assert_admin函数进行判定条件的检查，所以只检查规则“admin_required”。
例如，如果想使V2的API不检查判定条件（即所有用户都能执行该动作），注释掉self.assert_admin(context)即可。
例如，如果想使V2的API换一个规则进行判定，把“admin_required”替换成别的规则。
操作系统中keystone命令默认是调用V2版本的API，故只生效规则“admin_required”。

V3版本的API支持policy.json中的所有规则。V3版本主要是多了“domain”的概念。V2中的tenant在V3中改名为project，任何一个project或者user只能归属于一个domain。
使用keystone相关命令创建的租户或用户，默认属于域“default”。

下面对policy.json的工作原理做一个总结。
其中最关键的文件是以下文件：

/usr/lib/python2.7/site-packages/keystone/openstack/common/policy.py
118 class Rules(dict):
Rules自动载入policy.json中的每条规则，返回字典对象rules。
它是动态的，对policy.json的修改是不需要重启keystone服务的（修改Python原代码需要重启keystone服务）。

/usr/lib/python2.7/site-packages/keystone/openstack/common/policy.py
174 class Enforcer(object):
262 def enforce(self, rule, target, creds, do_raise=False,
263 exc=None, *args, **kwargs):
296 try:
298 result = self.rules[rule](target, creds, self)
V3 API的每个动作执行时，都会调用enforce函数，判定是否符合policy.json中的规则，原因见下文。
rule是规则名，如“identity:create_endpoint”。
self.rules是keystone.openstack.common.policy.Rules类型，即包含policy.json每条规则的字典。
self.rules[rule]是keystone.openstack.common.policy.RuleCheck类型，即此处将调用RuleCheck函数，检查规则的判定条件。

/usr/lib/python2.7/site-packages/keystone/openstack/common/policy.py
830 class RuleCheck(Check):
831 def __call__(self, target, creds, enforcer):
834 try:
835 return enforcer.rules[self.match](target, creds, enforcer)
self.match是判定条件，即冒号右边的字符串。
enforcer.rules是keystone.openstack.common.policy.Rules类型，它根据self.match，决定调用何种Check函数，即enforcer.rules[self.match]可能是GenericCheck、RoleCheck、OrCheck、AndCheck等类型，然后调用对应函数。
OrCheck或AndCheck类型是当判定条件含有or或and才出现的类型。在OrCheck或AndCheck函数内部，把判定条件再拆解成GenericCheck或RoleCheck类型。例如，"domain_id:%(domain_id)s"或"role:service"。

/usr/lib/python2.7/site-packages/keystone/openstack/common/policy.py
867 class GenericCheck(Check):
880 try:
881 match = self.match % target
887 try:
889 leftval = ast.literal_eval(self.kind)
891 try:
892 leftval = creds[self.kind]
895 return match == six.text_type(leftval)
GenericCheck函数的逻辑比较复杂，涉及字典变量target和creds。

/usr/lib/python2.7/site-packages/keystone/common/controller.py
85 def protected(callback=None):
86 """Wraps API calls with role based access controls (RBAC).
152 self.policy_api.enforce(creds,
153 action,
154 utils.flatten_dict(policy_dict))
161 def filterprotected(*filters):
162 """Wraps filtered API calls with role based access controls (RBAC)." ""
193 self.policy_api.enforce(creds,
194 action,
195 utils.flatten_dict(target))
V3版本每个动作的具体实现函数中，都会调用protected或filterprotected函数，而这两个函数调用policy.py的enforce函数，传递了target（或policy_dict）变量。
utils.flatten_dict函数的作用是返回一个一维字典，即GenericCheck函数中的target变量是一维字典。

target是目标的意思，字典变量target中存储了操作对象的domain_id或user_id等。有以下几种方式传递方式：
1、列出domain中所有的用户，可以在URL中传递?domain_id=参数，如：
# curl http://controller:35357/v3/users?domain_id=660450adcc194c0bbf9e462bb21b0935 -H "X-Auth-Token:f469cb22b6384a5b8dd343e480fc7bba"|python -mjson.tool

2、列出用户的project信息，URL中传递了user_id，如：
# curl http://controller:35357/v3/users/735c4d1fc8eb4bf8b96ee6866b441d9d/projects -H "X-Auth-Token:f469cb22b6384a5b8dd343e480fc7bba"|python -mjson.tool

3、如创建用户、创建项目、删除用户等，传递了操作对象，如在哪个域创建用户，删除哪个用户等：
# curl -X POST http://controller:35357/v3/users -H "Content-type: application/json" -H "X-Auth-Token:22142d114ddc454a9fbf6d282793840e" -d '{"user": {"default_project_id": "c0d6c4a09b7649a19c394a6cd946f53f","domain_id": "660450adcc194c0bbf9e462bb21b0935","enabled": true,"name": "evecom001","password":"123456"}}'|python -mjson.tool

以上几种传递方式，其实就两类：一类是通过filterprotected函数传递；另一类是通过protected函数传递。总之target的内容是来自于http数据，若是使用curl命令调用API，则来自于URL或-d参数。

可以尝试在GenericCheck函数中添加打印target内容的代码，观察调用不同API时target内容的变化。以下是不同动作获得domain_id的不同方法：
list_users: domain_id=target['domain_id']
create_user: domain_id=target['user.domain_id']
delete_user: domain_id=target['target.user.domain_id']
list_projects: domain_id=target['domain_id']
create_project: domain_id=target['project.domain_id']
delete_project: domain_id=target['target.project.domain_id']
只有打印了才知道不同动作获得domain_id的方法是什么（或者去源代码找）。

知道了target的关键字，就可以编辑policy.json，判断当前执行操作的用户的domain_id，与被操作对象的domain_id是否一致：
"target_list_users": "domain_id:%(domain_id)s",
"target_create_user": "domain_id:%(user.domain_id)s",
"target_delete_user": "domain_id:%(target.user.domain_id)s",
"target_list_projects": "domain_id:%(domain_id)s",
"target_create_project": "domain_id:%(project.domain_id)s",
"target_delete_project": "domain_id:%(target.project.domain_id)s",

"identity:list_projects": "rule:target_list_projects",
"identity:create_project": "rule:target_create_project",
"identity:delete_project": "rule:target_delete_project",
"identity:list_users": "rule:target_list_users",
"identity:create_user": "rule:target_create_user",
"identity:delete_user": "rule:target_delete_user",

按照上述policy.json，当enforce函数检查规则“target_create_user”时，调用的是GenericCheck函数。
881 match = self.match % target
match变量的值为target['user.domain_id']，即被操作对象的domain_id。

892 leftval = creds[self.kind]
leftval变量的值为creds[domain_id]，即执行操作者的domain_id。

895 return match == six.text_type(leftval)
最后enforce函数返回match是否与leftval相等的比较结果（True of False）。

至于字典变量creds，打印其关键字为：
'is_delegated_auth'
'access_token_id'
'user_id'
'roles'
'trustee_id'
'trustor_id'
'consumer_id'
'token'
'domain_id'
'project_id'
'trust_id'
有点特别奇怪，默认管理员账户admin的creds没有'domain_id'这个关键字。如果admin的creds有'domain_id'这个关键字，值应该为“default”。初步猜测是由于admin是用keystone命令创建造成的，因为keystone命令是调用V2 API，没有domain的概念，创建用户时，只指定了tenant，即V3中的project。换句话说，如果要判断用户的domain_id，创建这个用户的时候，要指定其domain_id。同理适用于project_id。

字典变量creds的关键字比较稳定，不像target的关键字不同的API都不一样。至于字典变量creds的内容如何产生，我未去寻找其源代码，因为想得通：多半是通过token就能知道是哪个用户，知道哪个用户，系统自然有它的信息。

除了keystone可以使用policy.json定义权限，其它openstack组件也有policy.json：
/etc/nova/policy.json
/etc/heat/policy.json
/etc/keystone/policy.json
/etc/glance/policy.json
/etc/neutron/policy.json
/etc/cinder/policy.json
/etc/ceilometer/policy.json