3.3. Keystone 認証を使用するように Ceph Object Gateway を設定

手順

1. 管理ノードの Ceph 設定ファイルを編集します。
2. [client.radosgw.INSTANCE_NAME] に移動します。ここで、INSTANCE_NAME は設定するゲートウェイインスタンスの名前です。

3. 各ゲートウェイインスタンスで以下を行います。

   1. rgw_s3_auth_use_keystone を true に設定します。
   2. nss_db_path 設定を、NSS データベースが保存されるパスに設定します。

4. 認証証明書を指定します。

   システム管理者が OpenStack サービスを設定する方法と同様に、OpenStack Identity API の v2.0 バージョン用の Keystone サービステナント、ユーザー、およびパスワードを設定することができます。ユーザー名とパスワードを指定することで、共有の秘密を rgw_keystone_admin_token 設定に提供するのを防ぎます。

   重要

   Red Hat は、実稼働環境で管理トークンによる認証を無効にすることを推奨します。サービステナントの認証情報には、admin 権限が必要です。

   必要な設定オプションは以下のとおりです。

   Copy to Clipboard Toggle word wrap

   rgw_keystone_admin_user = KEYSTONE_TENANT_USER_NAME
   rgw_keystone_admin_password = KEYSTONE_TENANT_USER_PASSWORD
   rgw_keystone_admin_tenant = KEYSTONE_TENANT_NAME

   Ceph Object Gateway ユーザーは Keystone の tenant にマッピングされます。Keystone ユーザーには、複数のテナントで異なるロールが割り当てられている可能性があります。Ceph Object Gateway がチケットを取得する際には、テナントと、そのチケットに割り当てられたユーザーロールを確認し、設定可能な rgw_keystone_accepted_roles に従って要求を受け入れるか拒否します。

   通常の設定には、以下の設定があります。

   例

   Copy to Clipboard Toggle word wrap

   [client.radosgw.gateway]
   rgw_keystone_url = {keystone server url:keystone server admin port}
   ##Authentication using an admin token. Not preferred.
   #rgw_keystone_admin_token = {keystone admin token}
   ##Authentication using username, password and tenant. Preferred.
   rgw_keystone_admin_user = _KEYSTONE_TENANT_USER_NAME_
   rgw_keystone_admin_password =  _KEYSTONE_TENANT_USER_PASSWORD_
   rgw_keystone_admin_tenant =  _KEYSTONE_TENANT_NAME_
   rgw_keystone_accepted_roles = _KEYSTONE_ACCEPTED_USER_ROLES_
   ##
   rgw_keystone_token_cache_size = _NUMBER_OF_TOKENS_TO_CACHE_
   rgw_keystone_revocation_interval = _NUMBER_OF_SECONDS_BEFORE_CHECKING_REVOKED_TICKETS_
   rgw_keystone_make_new_tenants = _TRUE_FOR_PRIVATE_TENANT_FOR_EACH_NEW_USER_
   rgw_s3_auth_use_keystone = true
   nss_db_path = _PATH_TO_NSS_DB_