8.5. Ceph Object Gateway 및 다단계 인증
스토리지 관리자는 Ceph Object Gateway 사용자의 시간 기반 TOTP(한 번 암호) 토큰을 관리할 수 있습니다.
8.5.1. 다단계 인증
버킷이 오브젝트 버전 지정에 대해 구성되면 개발자가 삭제 요청에 대해 MFA(다중 인증)를 요구하도록 버킷을 선택적으로 구성할 수 있습니다. MFA를 사용하면 시간 기반 TOTP(한 번 암호) 토큰이 x-amz-mfa 헤더에 키로 전달됩니다. 토큰은 Google Authenticator와 같은 가상 MFA 장치 또는 Gemalto에서 제공하는 것과 같은 하드웨어 MFA 장치로 생성됩니다.
radosgw-admin 을 사용하여 시간 기반 암호 토큰을 사용자에게 할당합니다. 시크릿 시드와 직렬 ID를 설정해야 합니다. radosgw-admin 을 사용하여 토큰을 나열, 제거 및 재동기화할 수도 있습니다.
MFA ID는 사용자 메타데이터에 설정되어 있지만 실제 MFA 암호 구성은 로컬 영역의 OSD에 있으므로 다중 사이트 환경에서는 다른 영역에 다른 토큰을 사용하는 것이 좋습니다.
| 용어 | 설명 |
|---|---|
| TOTP | 시간 기반 일회성 암호. |
| 토큰 직렬 | TOTP 토큰의 ID를 나타내는 문자열입니다. |
| 토큰 시드 | TOTP를 계산하는 데 사용되는 시크릿 시드입니다. 16진수 또는 base32일 수 있습니다. |
| TOTP 초 | TOTP 생성에 사용되는 시간 해상도입니다. |
| TOTP 창 | 토큰을 검증할 때 현재 토큰 전후에 확인되는 TOTP 토큰 수입니다. |
| TOTP 핀 | 특정 시간에 TOTP 토큰의 유효한 값입니다. |
8.5.2. 다단계 인증을 위한 시드 생성
MFA(다중 인증)를 설정하려면 일회성 암호 생성기 및 백엔드 MFA 시스템에서 사용할 시크릿 시드를 생성해야 합니다.
사전 요구 사항
- Linux 시스템.
- 명령줄 쉘에 액세스합니다.
프로세스
urandomLinux 장치 파일에서 30자 시드를 생성하여 쉘 변수SEED에 저장합니다.예
[user@host01 ~]$ SEED=$(head -10 /dev/urandom | sha512sum | cut -b 1-30)
SEED변수에서 echo를 실행하여 시드를 출력합니다.예
[user@host01 ~]$ echo $SEED 492dedb20cf51d1405ef6a1316017e
동일한 시드를 사용하도록 일회성 암호 생성기 및 백엔드 MFA 시스템을 구성합니다.
추가 리소스
- 자세한 내용은 버킷에 대한 RGW MFA 토큰을 생성할 수 없음 솔루션을 참조하십시오.
- 자세한 내용은 Ceph Object Gateway 및 다단계 인증을 참조하십시오.
8.5.3. 새 다단계 인증 TOTP 토큰 생성
새 MFA(다중 인증) 시간 기반 TOTP(한 번 암호) 토큰을 만듭니다.
사전 요구 사항
- 실행 중인 Red Hat Ceph Storage 클러스터.
- Ceph Object Gateway가 설치되어 있습니다.
- Ceph 모니터 노드에서 root 액세스 권한이 있습니다.
- 일회성 암호 생성기 및 Ceph Object Gateway MFA의 시크릿 시드가 생성되었습니다.
프로세스
새 MFA TOTP 토큰을 생성합니다.
구문
radosgw-admin mfa create --uid=USERID --totp-serial=SERIAL --totp-seed=SEED --totp-seed-type=SEED_TYPE --totp-seconds=TOTP_SECONDS --totp-window=TOTP_WINDOW
USERID 를 사용자 이름으로 설정하여 MFA를 TOTP 토큰의 ID를 나타내는 문자열로 설정하고 SEED 를 TOTP를 계산하는 데 사용되는 16진수 또는 base32 값으로 설정합니다. 다음 설정은 선택 사항입니다. SEED_TYPE 을
16진수또는base32로 설정하고 TOTP_SECONDS 를 시간 초과로 설정하거나 TOTP_ CryostatDOW 를 TOTP 토큰 수로 설정하여 토큰을 검증할 때 현재 토큰을 확인할 수 있습니다.예
[root@host01 ~]# radosgw-admin mfa create --uid=johndoe --totp-serial=MFAtest --totp-seed=492dedb20cf51d1405ef6a1316017e
추가 리소스
- 자세한 내용은 다단계 인증을 위한 시드 생성 을 참조하십시오.
- 자세한 내용은 다단계 인증 토큰 다시 동기화를 참조하십시오.
8.5.4. 다단계 인증 TOTP 토큰 테스트
MFA(다중 인증) 시간 기반 TOTP(한 번 암호) 토큰을 테스트합니다.
사전 요구 사항
- 실행 중인 Red Hat Ceph Storage 클러스터.
- Ceph Object Gateway가 설치되어 있습니다.
- Ceph 모니터 노드에서 root 액세스 권한이 있습니다.
-
MFA TOTP 토큰은
radosgw-admin mfa create를 사용하여 생성되었습니다.
프로세스
TOTP 토큰 PIN을 테스트하여 TOTP가 올바르게 작동하는지 확인합니다.
구문
radosgw-admin mfa check --uid=USERID --totp-serial=SERIAL --totp-pin=PIN
USERID 를 사용자 이름 MFA로 설정하고, SERIAL 을 TOTP 토큰의 ID를 나타내는 문자열로 설정하고, 일회성 암호 생성기의 최신 PIN 으로 PIN을 설정합니다.
예
[root@host01 ~]# radosgw-admin mfa check --uid=johndoe --totp-serial=MFAtest --totp-pin=870305 ok
PIN을 처음 테스트한 경우 실패할 수 있습니다. 실패하는 경우 토큰을 다시 동기화합니다. Red Hat Ceph Storage Object Gateway 구성 및 관리 가이드에서 다단계 인증 토큰 다시 동기화 를 참조하십시오.
추가 리소스
- 자세한 내용은 다단계 인증을 위한 시드 생성 을 참조하십시오.
- 자세한 내용은 다단계 인증 토큰 다시 동기화를 참조하십시오.
8.5.5. 다단계 인증 TOTP 토큰 재동기화
MFA(다중 인증) 시간 기반 암호 토큰을 다시 동기화합니다.
사전 요구 사항
- 실행 중인 Red Hat Ceph Storage 클러스터.
- Ceph Object Gateway가 설치되어 있습니다.
- Ceph 모니터 노드에서 root 액세스 권한이 있습니다.
-
MFA TOTP 토큰은
radosgw-admin mfa create를 사용하여 생성되었습니다.
프로세스
시간 차이 또는 실패한 검사의 경우 다단계 인증 TOTP 토큰을 다시 동기화합니다.
이를 위해서는 두 개의 연속 핀, 즉 이전 핀과 현재 핀을 전달해야합니다.
구문
radosgw-admin mfa resync --uid=USERID --totp-serial=SERIAL --totp-pin=PREVIOUS_PIN --totp=pin=CURRENT_PIN
USERID 를 사용자 이름 MFA로 설정하고, TOTP 토큰의 ID를 나타내는 문자열로 SERIAL 을 설정하고, PREVIOUS_PIN 을 사용자의 이전 PIN으로 설정하고, CURRENT_PIN 을 사용자의 현재 PIN으로 설정합니다.
예
[root@host01 ~]# radosgw-admin mfa resync --uid=johndoe --totp-serial=MFAtest --totp-pin=802021 --totp-pin=439996
새 PIN을 테스트하여 토큰이 다시 동기화되었는지 확인합니다.
구문
radosgw-admin mfa check --uid=USERID --totp-serial=SERIAL --totp-pin=PIN
USERID 를 사용자 이름 MFA로 설정하고, SERIAL 을 TOTP 토큰의 ID를 나타내는 문자열로 설정하고, PIN 을 사용자의 PIN으로 설정합니다.
예
[root@host01 ~]# radosgw-admin mfa check --uid=johndoe --totp-serial=MFAtest --totp-pin=870305 ok
추가 리소스
- 자세한 내용은 새 다단계 인증 TOTP 토큰 생성 을 참조하십시오.
8.5.6. 다단계 인증 TOTP 토큰 나열
특정 사용자가 보유한 모든 MFA(다중 인증) 시간 기반 TOTP(한 번 암호) 토큰을 나열합니다.
사전 요구 사항
- 실행 중인 Red Hat Ceph Storage 클러스터.
- Ceph Object Gateway가 설치되어 있습니다.
- Ceph 모니터 노드에서 root 액세스 권한이 있습니다.
-
MFA TOTP 토큰은
radosgw-admin mfa create를 사용하여 생성되었습니다.
프로세스
MFA TOTP 토큰 나열:
구문
radosgw-admin mfa list --uid=USERIDUSERID 를 사용자 이름 MFA가 설정되도록 설정합니다.
예
[root@host01 ~]# radosgw-admin mfa list --uid=johndoe { "entries": [ { "type": 2, "id": "MFAtest", "seed": "492dedb20cf51d1405ef6a1316017e", "seed_type": "hex", "time_ofs": 0, "step_size": 30, "window": 2 } ] }
추가 리소스
- 자세한 내용은 새 다단계 인증 TOTP 토큰 생성 을 참조하십시오.
8.5.7. 다단계 인증 TOTP 토큰 표시
serial을 지정하여 특정 MFA(다중 인증) 시간 기반 TOTP(한 번 암호) 토큰을 표시합니다.
사전 요구 사항
- 실행 중인 Red Hat Ceph Storage 클러스터.
- Ceph Object Gateway가 설치되어 있습니다.
- Ceph 모니터 노드에서 root 액세스 권한이 있습니다.
-
MFA TOTP 토큰은
radosgw-admin mfa create를 사용하여 생성되었습니다.
프로세스
MFA TOTP 토큰을 표시합니다.
구문
radosgw-admin mfa get --uid=USERID --totp-serial=SERIAL
USERID 를 사용자 이름 MFA로 설정하고 TOTP 토큰의 ID를 나타내는 문자열로 SERIAL 을 설정합니다.
추가 리소스
- 자세한 내용은 새 다단계 인증 TOTP 토큰 생성 을 참조하십시오.
8.5.8. 다단계 인증 TOTP 토큰 삭제
MFA(다중 인증) 시간 기반 TOTP(한 번 암호) 토큰을 삭제합니다.
사전 요구 사항
- 실행 중인 Red Hat Ceph Storage 클러스터.
- Ceph Object Gateway가 설치되어 있습니다.
- Ceph 모니터 노드에서 root 액세스 권한이 있습니다.
-
MFA TOTP 토큰은
radosgw-admin mfa create를 사용하여 생성되었습니다.
프로세스
MFA TOTP 토큰 삭제:
구문
radosgw-admin mfa remove --uid=USERID --totp-serial=SERIAL
USERID 를 사용자 이름 MFA로 설정하고 TOTP 토큰의 ID를 나타내는 문자열로 SERIAL 을 설정합니다.
예
[root@host01 ~]# radosgw-admin mfa remove --uid=johndoe --totp-serial=MFAtest
MFA TOTP 토큰이 삭제되었는지 확인합니다.
구문
radosgw-admin mfa get --uid=USERID --totp-serial=SERIAL
USERID 를 사용자 이름 MFA로 설정하고 TOTP 토큰의 ID를 나타내는 문자열로 SERIAL 을 설정합니다.
예
[root@host01 ~]# radosgw-admin mfa get --uid=johndoe --totp-serial=MFAtest MFA serial id not found
추가 리소스
- 자세한 내용은 Ceph Object Gateway 및 다단계 인증을 참조하십시오.
