Vous pouvez mettre à jour certains paramètres de votre configuration des services Keystone à l'aide de la commande viocli update keystone.

Pour plus d'informations sur la configuration de Keystone, reportez-vous à la Documentation de la configuration d'OpenStack Keystone.

Pour plus d'informations sur des exemples de configuration de services Keystone, consultez Fichier de configuration d'OpenStack Keystone.

Exemples d'options de configuration utilisant viocli update keystone. 
conf:
  keystone:
    DEFAULT:
      list_limit: 100
    token:
      expiration: 7200

  ks_domains:
    <keystone domain name>:
      ldap:
        user_enabled_invert: false
        user_enabled_mask: 2
        user_enabled_default: true
        chase_referrals: false
        debug_level: 4095
        pool_retry_max: 20
        pool_size: 200
        pool_retry_delay: 0.1
        pool_connection_timeout: -1
        pool_connection_lifetime: 600
        use_auth_pool: true
        auth_pool_size: 100
        auth_pool_connection_lifetime: 60
        user_enabled_attribute: userAccountControl
        lockout_failure_attempts = 6
        lockout_duration = 1800
Tableau 1. Paramètres de viocli update keystone
Paramètre Valeur par défaut Description

list_limit

none

Entrez le nombre maximal d’entités qui peuvent être renvoyées dans une collection.

expiration

Valeur minimale : 0

Valeur maximale : 9223372036854775807

Entrez la durée maximale de validité du jeton. L'augmentation significative de cette valeur peut augmenter la charge sur le pilote et diminuer considérablement cette valeur peut compromettre les opérations de longue durée.

ks_domains

Entrez le nom de domaine Keystone.

user_enabled_invert

 false

Entrez true pour désactiver le compte. Le réglage de keystone_ldap_user_enabled_invert: true vous permet d'utiliser les attributs de verrouillage.

user_enabled_mask

 0

Entrez 2 pour définir la valeur du masque. Une valeur de 0 indique que vous ne pouvez pas utiliser le masque.

user_enabled_default

 true

Entrez true pour activer les utilisateurs LDAP Keystone. Toutefois, si cette valeur n'est pas true, la valeur standard est 512.

chase_referrals

 none

Entrez la valeur booléenne du comportement de référence par défaut des systèmes pour les requêtes.

debug_level

 none

Entrez la valeur du niveau de débogage LDAP pour les appels LDAP. La valeur minimale est -1. Une valeur de 0 indique que vous ne pouvez pas activer le débogage.

pool_retry_max

 3

Entrez le nombre maximal de tentatives de reconnexion au serveur LDAP. La valeur minimale est 0.

pool_size

 10

Entrez la taille du pool de connexion LDAP. La valeur minimale est 0.

pool_retry_delay

 0.1

Entrez le nombre de secondes d'attente avant tentative de reconnexion au serveur LDAP.

pool_connection_timeout

 -1

Entrez la valeur du délai d'attente de connexion lors du pooling de connexions LDAP. Une valeur de -1 indique que la connexion ne peut jamais expirer.

pool_connection_lifetime

 600

Entrez la durée de vie maximale de connexion au serveur LDAP en secondes. La valeur minimale est 1.

use_auth_pool

 true

Entrez true pour activer le pooling de connexions LDAP pour l'authentification des utilisateurs finaux.

auth_pool_size

 100

Entrez la taille du pool de connexions à utiliser pour l’authentification de l’utilisateur final. La valeur minimale est 1.

auth_pool_connection_lifetime

 60

Entrez la valeur maximale de durée de vie de la connexion d'authentification de l'utilisateur final en secondes. La valeur minimale est 1.

user_enabled_attribute

 enabled

Entrez l'attribut LDAP que vous pouvez mapper à l'indicateur activé par l'utilisateur.
lockout_failure_attempts 5

Configure le nombre maximal d'échecs de tentative de connexion.
lockout_duration 1800

Configure le nombre de secondes pendant lesquelles un compte est verrouillé une fois que vous avez atteint lockout_failure_attempts. Si la valeur est définie sur 0, les comptes sont verrouillés de façon permanente jusqu'à ce qu'ils soient spécifiquement déverrouillés à partir de l'interface de ligne de commande/API.