3.16. Ceph Object Gateway およびマルチファクター認証

手順

1. urandom Linux デバイスファイルから 30 文字のシードを生成し、シェル変数 SEED に格納します。

   例

   [user@host ~]$ SEED=$(head -10 /dev/urandom | sha512sum | cut -b 1-30)

2. SEED 変数で echo を実行して、シードを出力します。

   例

   [user@host ~]$ echo $SEED
   492dedb20cf51d1405ef6a1316017e

   同じシードを使用するように、ワンタイムパスワードジェネレーターおよびバックエンドの MFA システムを設定します。

手順

1. 新しい MFA TOTP トークンを作成します。

   構文

   radosgw-admin mfa create --uid=USERID --totp-serial=SERIAL --totp-seed=SEED --totp-seed-type=SEED_TYPE --totp-seconds=TOTP_SECONDS --totp-window=TOTP_WINDOW

   USERID にはユーザー名を設定し、SERIAL には TOTP トークンの ID を表す文字列を設定し、SEED には TOTP の計算に使用する 16 進数または base32 値を設定します。以下の設定は任意です。SEED_TYPE を hex または base32 に設定し、TOTP_SECONDS をタイムアウト (秒単位) に設定するか、TOTP_WINDOW を設定して、トークンの検証時に現在のトークンの前後にチェックします。

   例

   [root@mon ~]# radosgw-admin mfa create --uid=johndoe --totp-serial=MFAtest --totp-seed=492dedb20cf51d1405ef6a1316017e

手順

1. TOTP トークンの PIN をテストして、TOTP が正しく機能することを確認します。

   構文

   radosgw-admin mfa check --uid=USERID --totp-serial=SERIAL --totp-pin=PIN

   USERID には MFA が設定されているユーザー名を設定し、SERIAL には TOTP トークンの ID を表す文字列を設定し、PIN にはワンタイムパスワードジェネレーターからの最新の PIN を設定します。

   例

   [root@mon ~] # radosgw-admin mfa check  --uid=johndoe --totp-serial=MFAtest --totp-pin=870305
   ok

   PIN の初回テスト時の場合には、失敗する場合があります。失敗する場合は、トークンを再同期します。Red Hat Ceph Storage Object Gateway Configuration and Administration Guideの Resynchronizing a multi-factor authentication token を参照してください。

手順

1. タイムスキューまたはチェックが失敗した場合に、マルチファクター認証 TOTP トークンを再同期します。

   これには、前のピンと現在のピンの 2 回連続して渡す必要があります。

   構文

   radosgw-admin mfa resync --uid=USERID --totp-serial=SERIAL --totp-pin=PREVIOUS_PIN --totp=pin=CURRENT_PIN

   USERID には MFA が設定されているユーザー名を設定し、SERIAL には TOTP トークンの ID を表す文字列を設定し、PREVIOUS_PIN にはユーザーの以前の PIN を設定し、CURRENT_PIN にはユーザーの現在の PIN を設定します。

   例

   radosgw-admin mfa resync --uid=johndoe --totp-serial=MFAtest --totp-pin=802017 --totp-pin=439996

2. 新しい PIN をテストしてトークンが正常に再同期されたことを確認します。

   構文

   radosgw-admin mfa check --uid=USERID --totp-serial=SERIAL --totp-pin=PIN

   USERID には MFA が設定されているユーザー名を設定し、SERIALには TOTP トークンの ID を表す文字列を設定し、PIN にはユーザーの PIN を設定します。

   例

   [root@mon ~]# radosgw-admin mfa check  --uid=johndoe --totp-serial=MFAtest --totp-pin=870305
   ok

手順

1. MFA TOTP トークンを一覧表示します。

   構文

   radosgw-admin mfa list --uid=USERID

   USERID に、MFA が設定されているユーザー名を設定します。

   例

   [root@mon ~]# radosgw-admin mfa list --uid=johndoe
   {
       "entries": [
           {
               "type": 2,
               "id": "MFAtest",
               "seed": "492dedb20cf51d1405ef6a1316017e",
               "seed_type": "hex",
               "time_ofs": 0,
               "step_size": 30,
               "window": 2
           }
       ]
   }

手順

1. MFA TOTP トークンを表示します。

   構文

   radosgw-admin mfa get --uid=USERID --totp-serial=SERIAL

   USERID には MFA が設定されているユーザー名に設定し、SERIAL には TOTP トークンの ID を表す文字列に設定します。

手順

1. MFA TOTP トークンを削除します。

   構文

   radosgw-admin mfa remove --uid=USERID --totp-serial=SERIAL

   USERID には MFA が設定されているユーザー名に設定し、SERIAL には TOTP トークンの ID を表す文字列に設定します。

   例

   [root@mon ~]# radosgw-admin mfa remove --uid=johndoe --totp-serial=MFAtest

2. MFA TOTP トークンが削除されたことを確認します。

   構文

   radosgw-admin mfa get --uid=_USERID_ --totp-serial=_SERIAL_

   USERID には MFA が設定されているユーザー名に設定し、SERIAL には TOTP トークンの ID を表す文字列に設定します。

   例

   [root@mon ~]# radosgw-admin mfa get --uid=johndoe --totp-serial=MFAtest
   MFA serial id not found