Red Hat Summit8.5. Ceph Object Gateway 및 다단계 인증
스토리지 관리자는 Ceph Object Gateway 사용자의 시간 기반 TOTP(한 번 암호) 토큰을 관리할 수 있습니다.
8.5.1. 다단계 인증
버킷이 오브젝트 버전 지정에 대해 구성되면 개발자가 삭제 요청에 대해 MFA(다중 인증)를 요구하도록 버킷을 선택적으로 구성할 수 있습니다. MFA를 사용하면 시간 기반 TOTP(한 번 암호) 토큰이 x-amz-mfa 헤더에 키로 전달됩니다. 토큰은 Google Authenticator와 같은 가상 MFA 장치 또는 Gemalto에서 제공하는 것과 같은 하드웨어 MFA 장치로 생성됩니다.
radosgw-admin 을 사용하여 시간 기반 암호 토큰을 사용자에게 할당합니다. 시크릿 시드와 직렬 ID를 설정해야 합니다. radosgw-admin 을 사용하여 토큰을 나열, 제거 및 재동기화할 수도 있습니다.
MFA ID는 사용자 메타데이터에 설정되어 있지만 실제 MFA 암호 구성은 로컬 영역의 OSD에 있으므로 다중 사이트 환경에서는 다른 영역에 다른 토큰을 사용하는 것이 좋습니다.
| 용어 | 설명 |
|---|---|
| TOTP | 시간 기반 일회성 암호. |
| 토큰 직렬 | TOTP 토큰의 ID를 나타내는 문자열입니다. |
| 토큰 시드 | TOTP를 계산하는 데 사용되는 시크릿 시드입니다. 16진수 또는 base32일 수 있습니다. |
| TOTP 초 | TOTP 생성에 사용되는 시간 해상도입니다. |
| TOTP 창 | 토큰을 검증할 때 현재 토큰 전후에 확인되는 TOTP 토큰 수입니다. |
| TOTP 핀 | 특정 시간에 TOTP 토큰의 유효한 값입니다. |
8.5.2. 다단계 인증을 위한 시드 생성
MFA(다중 인증)를 설정하려면 일회성 암호 생성기 및 백엔드 MFA 시스템에서 사용할 시크릿 시드를 생성해야 합니다.
사전 요구 사항
- Linux 시스템.
- 명령줄 쉘에 액세스합니다.
프로세스
urandomLinux 장치 파일에서 30자 시드를 생성하여 쉘 변수SEED에 저장합니다.예제
SEED=$(head -10 /dev/urandom | sha512sum | cut -b 1-30)
[user@host01 ~]$ SEED=$(head -10 /dev/urandom | sha512sum | cut -b 1-30)Copy to Clipboard Copied! Toggle word wrap Toggle overflow SEED변수에서 echo를 실행하여 시드를 출력합니다.예제
echo $SEED
[user@host01 ~]$ echo $SEED 492dedb20cf51d1405ef6a1316017eCopy to Clipboard Copied! Toggle word wrap Toggle overflow 동일한 시드를 사용하도록 일회성 암호 생성기 및 백엔드 MFA 시스템을 구성합니다.
8.5.3. 새 다단계 인증 TOTP 토큰 생성
새 MFA(다중 인증) 시간 기반 TOTP(한 번 암호) 토큰을 만듭니다.
사전 요구 사항
- 실행 중인 Red Hat Ceph Storage 클러스터.
- Ceph Object Gateway가 설치되어 있습니다.
- Ceph 모니터 노드에서 root 액세스 권한이 있습니다.
- 일회성 암호 생성기 및 Ceph Object Gateway MFA의 시크릿 시드가 생성되었습니다.
프로세스
새 MFA TOTP 토큰을 생성합니다.
구문
radosgw-admin mfa create --uid=USERID --totp-serial=SERIAL --totp-seed=SEED --totp-seed-type=SEED_TYPE --totp-seconds=TOTP_SECONDS --totp-window=TOTP_WINDOW
radosgw-admin mfa create --uid=USERID --totp-serial=SERIAL --totp-seed=SEED --totp-seed-type=SEED_TYPE --totp-seconds=TOTP_SECONDS --totp-window=TOTP_WINDOWCopy to Clipboard Copied! Toggle word wrap Toggle overflow USERID 를 사용자 이름으로 설정하여 MFA를 TOTP 토큰의 ID를 나타내는 문자열로 설정하고 SEED 를 TOTP를 계산하는 데 사용되는 16진수 또는 base32 값으로 설정합니다. 다음 설정은 선택 사항입니다. SEED_TYPE 을
16진수또는base32로 설정하고 TOTP_SECONDS 를 시간 초과로 설정하거나 TOTP_ CryostatDOW 를 TOTP 토큰 수로 설정하여 토큰을 검증할 때 현재 토큰을 확인할 수 있습니다.예제
radosgw-admin mfa create --uid=johndoe --totp-serial=MFAtest --totp-seed=492dedb20cf51d1405ef6a1316017e
[root@host01 ~]# radosgw-admin mfa create --uid=johndoe --totp-serial=MFAtest --totp-seed=492dedb20cf51d1405ef6a1316017eCopy to Clipboard Copied! Toggle word wrap Toggle overflow
8.5.4. 다단계 인증 TOTP 토큰 테스트
MFA(다중 인증) 시간 기반 TOTP(한 번 암호) 토큰을 테스트합니다.
사전 요구 사항
- 실행 중인 Red Hat Ceph Storage 클러스터.
- Ceph Object Gateway가 설치되어 있습니다.
- Ceph 모니터 노드에서 root 액세스 권한이 있습니다.
-
MFA TOTP 토큰은
radosgw-admin mfa create를 사용하여 생성되었습니다.
프로세스
TOTP 토큰 PIN을 테스트하여 TOTP가 올바르게 작동하는지 확인합니다.
구문
radosgw-admin mfa check --uid=USERID --totp-serial=SERIAL --totp-pin=PIN
radosgw-admin mfa check --uid=USERID --totp-serial=SERIAL --totp-pin=PINCopy to Clipboard Copied! Toggle word wrap Toggle overflow USERID 를 사용자 이름 MFA로 설정하고, SERIAL 을 TOTP 토큰의 ID를 나타내는 문자열로 설정하고, 일회성 암호 생성기의 최신 PIN 으로 PIN을 설정합니다.
예제
radosgw-admin mfa check --uid=johndoe --totp-serial=MFAtest --totp-pin=870305
[root@host01 ~]# radosgw-admin mfa check --uid=johndoe --totp-serial=MFAtest --totp-pin=870305 okCopy to Clipboard Copied! Toggle word wrap Toggle overflow PIN을 처음 테스트한 경우 실패할 수 있습니다. 실패하는 경우 토큰을 다시 동기화합니다. Red Hat Ceph Storage Object Gateway 구성 및 관리 가이드에서 다단계 인증 토큰 다시 동기화 를 참조하십시오.
8.5.5. 다단계 인증 TOTP 토큰 재동기화
MFA(다중 인증) 시간 기반 암호 토큰을 다시 동기화합니다.
사전 요구 사항
- 실행 중인 Red Hat Ceph Storage 클러스터.
- Ceph Object Gateway가 설치되어 있습니다.
- Ceph 모니터 노드에서 root 액세스 권한이 있습니다.
-
MFA TOTP 토큰은
radosgw-admin mfa create를 사용하여 생성되었습니다.
프로세스
시간 차이 또는 실패한 검사의 경우 다단계 인증 TOTP 토큰을 다시 동기화합니다.
이를 위해서는 두 개의 연속 핀, 즉 이전 핀과 현재 핀을 전달해야합니다.
구문
radosgw-admin mfa resync --uid=USERID --totp-serial=SERIAL --totp-pin=PREVIOUS_PIN --totp=pin=CURRENT_PIN
radosgw-admin mfa resync --uid=USERID --totp-serial=SERIAL --totp-pin=PREVIOUS_PIN --totp=pin=CURRENT_PINCopy to Clipboard Copied! Toggle word wrap Toggle overflow USERID 를 사용자 이름 MFA로 설정하고, TOTP 토큰의 ID를 나타내는 문자열로 SERIAL 을 설정하고, PREVIOUS_PIN 을 사용자의 이전 PIN으로 설정하고, CURRENT_PIN 을 사용자의 현재 PIN으로 설정합니다.
예제
radosgw-admin mfa resync --uid=johndoe --totp-serial=MFAtest --totp-pin=802021 --totp-pin=439996
[root@host01 ~]# radosgw-admin mfa resync --uid=johndoe --totp-serial=MFAtest --totp-pin=802021 --totp-pin=439996Copy to Clipboard Copied! Toggle word wrap Toggle overflow 새 PIN을 테스트하여 토큰이 다시 동기화되었는지 확인합니다.
구문
radosgw-admin mfa check --uid=USERID --totp-serial=SERIAL --totp-pin=PIN
radosgw-admin mfa check --uid=USERID --totp-serial=SERIAL --totp-pin=PINCopy to Clipboard Copied! Toggle word wrap Toggle overflow USERID 를 사용자 이름 MFA로 설정하고, SERIAL 을 TOTP 토큰의 ID를 나타내는 문자열로 설정하고, PIN 을 사용자의 PIN으로 설정합니다.
예제
radosgw-admin mfa check --uid=johndoe --totp-serial=MFAtest --totp-pin=870305
[root@host01 ~]# radosgw-admin mfa check --uid=johndoe --totp-serial=MFAtest --totp-pin=870305 okCopy to Clipboard Copied! Toggle word wrap Toggle overflow
8.5.6. 다단계 인증 TOTP 토큰 나열
특정 사용자가 보유한 모든 MFA(다중 인증) 시간 기반 TOTP(한 번 암호) 토큰을 나열합니다.
사전 요구 사항
- 실행 중인 Red Hat Ceph Storage 클러스터.
- Ceph Object Gateway가 설치되어 있습니다.
- Ceph 모니터 노드에서 root 액세스 권한이 있습니다.
-
MFA TOTP 토큰은
radosgw-admin mfa create를 사용하여 생성되었습니다.
프로세스
MFA TOTP 토큰 나열:
구문
radosgw-admin mfa list --uid=USERID
radosgw-admin mfa list --uid=USERIDCopy to Clipboard Copied! Toggle word wrap Toggle overflow USERID 를 사용자 이름 MFA가 설정되도록 설정합니다.
예제
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
8.5.7. 다단계 인증 TOTP 토큰 표시
serial을 지정하여 특정 MFA(다중 인증) 시간 기반 TOTP(한 번 암호) 토큰을 표시합니다.
사전 요구 사항
- 실행 중인 Red Hat Ceph Storage 클러스터.
- Ceph Object Gateway가 설치되어 있습니다.
- Ceph 모니터 노드에서 root 액세스 권한이 있습니다.
-
MFA TOTP 토큰은
radosgw-admin mfa create를 사용하여 생성되었습니다.
프로세스
MFA TOTP 토큰을 표시합니다.
구문
radosgw-admin mfa get --uid=USERID --totp-serial=SERIAL
radosgw-admin mfa get --uid=USERID --totp-serial=SERIALCopy to Clipboard Copied! Toggle word wrap Toggle overflow USERID 를 사용자 이름 MFA로 설정하고 TOTP 토큰의 ID를 나타내는 문자열로 SERIAL 을 설정합니다.
8.5.8. 다단계 인증 TOTP 토큰 삭제
MFA(다중 인증) 시간 기반 TOTP(한 번 암호) 토큰을 삭제합니다.
사전 요구 사항
- 실행 중인 Red Hat Ceph Storage 클러스터.
- Ceph Object Gateway가 설치되어 있습니다.
- Ceph 모니터 노드에서 root 액세스 권한이 있습니다.
-
MFA TOTP 토큰은
radosgw-admin mfa create를 사용하여 생성되었습니다.
프로세스
MFA TOTP 토큰 삭제:
구문
radosgw-admin mfa remove --uid=USERID --totp-serial=SERIAL
radosgw-admin mfa remove --uid=USERID --totp-serial=SERIALCopy to Clipboard Copied! Toggle word wrap Toggle overflow USERID 를 사용자 이름 MFA로 설정하고 TOTP 토큰의 ID를 나타내는 문자열로 SERIAL 을 설정합니다.
예제
radosgw-admin mfa remove --uid=johndoe --totp-serial=MFAtest
[root@host01 ~]# radosgw-admin mfa remove --uid=johndoe --totp-serial=MFAtestCopy to Clipboard Copied! Toggle word wrap Toggle overflow MFA TOTP 토큰이 삭제되었는지 확인합니다.
구문
radosgw-admin mfa get --uid=USERID --totp-serial=SERIAL
radosgw-admin mfa get --uid=USERID --totp-serial=SERIALCopy to Clipboard Copied! Toggle word wrap Toggle overflow USERID 를 사용자 이름 MFA로 설정하고 TOTP 토큰의 ID를 나타내는 문자열로 SERIAL 을 설정합니다.
예제
radosgw-admin mfa get --uid=johndoe --totp-serial=MFAtest
[root@host01 ~]# radosgw-admin mfa get --uid=johndoe --totp-serial=MFAtest MFA serial id not foundCopy to Clipboard Copied! Toggle word wrap Toggle overflow
8.5.9. MFA 지원 버전이 지정된 오브젝트 삭제
MFA 지원 버전이 지정된 오브젝트를 삭제합니다.
사전 요구 사항
- 실행 중인 Red Hat Ceph Storage 클러스터.
- Ceph Object Gateway가 설치되어 있습니다.
- Ceph Monitor 노드에서 root 액세스 권한이 있습니다.
-
MFA TOTP 토큰은
radosgw-admin mfa create를 사용하여 생성되었습니다. - 버전 관리가 활성화된 버킷을 삭제하려면 root 사용자가 MFA-Object로 인증되어야 합니다.
- 삭제하려는 MFA-Object는 버전 관리가 활성화된 버킷에 있습니다.
프로세스
MFA 지원 버전이 지정된 오브젝트를 삭제합니다.
구문
radosgw-admin object rm --bucket <bucket_name> --object <object_name> --object-version <object_version> --totp-pin <totp_token>
radosgw-admin object rm --bucket <bucket_name> --object <object_name> --object-version <object_version> --totp-pin <totp_token>Copy to Clipboard Copied! Toggle word wrap Toggle overflow USERID 를 사용자 이름 MFA로 설정하고 TOTP 토큰의 ID를 나타내는 문자열로 SERIAL 을 설정합니다.
예제
[radosgw-admin object rm --bucket test-mfa --object obj1 --object-version 4SdKdSmpVAarLLdsFukjUVEwr-2oWfC --totp-pin 562813
[radosgw-admin object rm --bucket test-mfa --object obj1 --object-version 4SdKdSmpVAarLLdsFukjUVEwr-2oWfC --totp-pin 562813Copy to Clipboard Copied! Toggle word wrap Toggle overflow MFA 지원 버전이 지정된 오브젝트가 삭제되었는지 확인합니다.
구문
radosgw-admin bucket list --bucket <bucket_name>
radosgw-admin bucket list --bucket <bucket_name>Copy to Clipboard Copied! Toggle word wrap Toggle overflow
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}