ceph存储 ceph集群auth设置

Ceph的验证配置

 

来识别用户，并防止人在中间攻击，Ceph的提供cephx的的认证系统的用户进行身份验证和守护。Ceph的介绍到cephx 认证的身份验证和授权。启用/禁用，创建用户并设置用户功能的细节上见Cephx指南。

启用/禁用身份验证

 

根据版本的不同，Ceph的启用或禁用身份验证默认情况下。使用以下设置明确启用或禁用的Ceph。更多详细信息，请参阅Ceph的认证。

验证启用默认

Ceph的0.54版本及更早版本默认情况下禁用身份验证。如果你想使用Ceph的验证，你必须特别启用版本0.54及更早版本。

Ceph的版本0.55和更高版本默认情况下启用身份验证。如果你不想使用Ceph的认证，你必须明确禁用版本0.55及更高版本。

验证程度

Ceph的0.50版本和早期版本使用支持的身份验证 来启用或禁用的的CEPH客户和Ceph的存储集群之间的身份验证。在较早版本的Ceph的身份验证对用户进行身份验证和客户端之间的集群发送消息流量，所以它不具备细粒度的控制。

Ceph的0.51版及更高版本中使用细粒度的控制，它允许您需要的客户端的身份验证集群（需要身份验证 服务 ），客户端（需要验证 客户端 ）认证的集群和内一个守护进程的认证集群的集群（需要权威性 集群 ）内另一个守护。

auth supported

废弃了，因为0.51版本。

说明：指示是否使用验证。如果未指定，则默认为“ 无“，这意味着它被禁用。
类型：串
要求：没有
默认：没有

auth cluster required

新版本0.51。

说明：如果启用，Ceph的存储集群守护程序（cephOSD即ceph纹， 和cephMDS）必须相互进行身份验证。有效设置是cephx或没有。

类型：串

要求：没有

默认：版本0.54和更早的版本没有。版本0.55和后cephx。

auth service required

新版本0.51。

说明：如果启用，Ceph的存储集群守护程序要求Ceph的存储集群Ceph的客户端进行身份验证才能访问Ceph的服务。有效设置是cephx或没有。

类型：串

要求：没有

默认：版本0.54和更早的版本没有。版本0.55和后cephx。

auth client required

新版本0.51。

说明：如果启用，Ceph的客户端需要Ceph的存储集群Ceph的客户端进行身份验证。有效设置是cephx 或没有。

类型：串

要求：没有

默认：版本0.54和更早的版本没有。版本0.55和后cephx。

key

 

当你启用身份验证，ceph行政指令和Ceph的客户端运行的Ceph 需要认证密钥访问Ceph的存储集群。

ceph行政指令和客户提供这些键是最常用的方法下的/etc/ceph 目录包括Ceph的keyring。Cuttlefish及更高版本中使用ceph部署，文件名 通常被ceph.client.admin.keyring（或$ cluster.client.admin.keyring。 ）。如果包括的/ etc /ceph目录下的keyring，你不需要在你的Ceph的配置文件指定一个keyring条目。

我们建议复制Ceph的存储集群的节点，在那里你会运行管理命令钥匙扣文件，因为它包含了client.admin关键。

您可以使用ceph-deploy管理执行此任务。有关详细信息，请参阅创建管理主机。要手动执行此步骤，执行以下命令：

sudo scp{user}@{ceph-cluster-host}:/etc/ceph/ceph.client.admin.keyring/etc/ceph/ceph.client.admin.keyring

提示:确保ceph.keyring文件具有相应的权限设置（例如，chmod 644）客户机上。

您可以指定密钥本身的的CEPH配置文件使用键 设置（不推荐），或使用密钥文件设置密钥文件的路径。

keyring

说明：keyring文件的路径。
类型：串
要求：没有
默认：/etc/ceph/$cluster.$name.keyring,/etc/ceph/$cluster.keyting,/etc/ceph/keyring,/etc/ceph/keyring.bin

keyfile

说明：路径的密钥文件（即，一个文件只包含键）。
类型：串
要求：没有
默认：无

key

说明：密钥（即密钥本身的文本字符串）。不推荐使用。
类型：串
要求：没有
默认：无

签名

Ceph的Bobtail及以后的版本中，我们更倾向于Ceph的验证所有正在进行的设立，最初的身份验证使用会话密钥的实体之间的消息。但是，淘金者和早期Ceph的守护不知道如何执行正在进行的消息认证。为了保持向后兼容性（例如，在同一个集群，同时运行Botbail和淘金者的守护进程），默认情况下是关闭的消息签名。如果您运行的是短尾猫或以后的守护，专门配置的Ceph要求签名。

Ceph的Ceph的身份验证的其他部分一样，提供细粒度的控制，所以你可以启用/禁用的服务信息和客户端之间的Ceph的签名，您可以启用/禁用Ceph的守护进程之间的消息的签名。

cephx require signatures

说明：如果设置为true，Ceph的要求签名Ceph的客户端和Ceph的存储集群，而Ceph的存储集群之间的守护进程，包括所有的消息之间的交通。
类型：布尔
要求：没有
默认：假

cephx cluster require signatures

说明：如果设置为true，Ceph的要求所有Ceph的守护进程，包括CEPH存储集群之间的邮件通信的签名。
类型：布尔
要求：没有
默认：假

cephx service require signatures

说明：如果设置为true，Ceph的的CEPH客户和所有的消息之间的交通Ceph的存储集群上需要签名。
类型：布尔
要求：没有
默认：假

cephx sign messages

说明：Ceph的版本支持消息签署，将签署Ceph的所有消息，所以它们不能被欺骗。
类型：布尔
默认：真

生存时间

 

auth service ticket ttl

说明：当Ceph的存储集群发送Ceph的客户端进行身份验证的车票，Ceph的存储集群分配票证生存时间。
类型：双击
默认：60 * 60