2.14. 为 Ceph 仪表板启用单点登录
Ceph 控制面板支持使用安全断言标记语言(SAML)2.0 协议进行外部身份验证。在将单点登录(SSO)与 Ceph 控制面板搭配使用之前,请创建控制面板用户帐户并分配所需的角色。Ceph 控制面板对用户执行授权,身份验证过程由现有的身份提供程序(IdP)执行。您可以使用 SAML 协议启用单点登录。
先决条件
- 一个正在运行的 Red Hat Ceph Storage 集群。
- 安装 Ceph 控制面板.
- 对 Ceph Manager 主机的 root 级别访问权限。
流程
要在 Ceph Dashboard 中配置 SSO,请运行以下命令:
语法
podman exec CEPH_MGR_HOST ceph dashboard sso setup saml2 CEPH_DASHBOARD_BASE_URL IDP_METADATA IDP_USERNAME_ATTRIBUTE IDP_ENTITY_ID SP_X_509_CERT SP_PRIVATE_KEY
示例
[root@host01 ~]# podman exec host01 ceph dashboard sso setup saml2 https://dashboard_hostname.ceph.redhat.com:8443 idp-metadata.xml username https://10.70.59.125:8080/auth/realms/realm_name /home/certificate.txt /home/private-key.txt
替换
-
CEPH_MGR_HOST 与 Ceph
mgr主机。例如,host01 - CEPH_DASHBOARD_BASE_URL 带有可以访问 Ceph 仪表板的基本 URL。
- IDP_METADATA,包含到远程或本地路径的 URL,或 IdP 元数据 XML 的内容。支持的 URL 类型包括 http、https 和 文件。
- 可选:IDP_USERNAME_ATTRIBUTE,包含用于从身份验证响应中获取用户名的属性。默认为 uid。
- 可选 :当 IdP 元数据中存在多个实体 ID 时,使用 IdP 实体 ID 的 IDP_ENTITY_ID。
- 可选:SP_X_509_CERT,包含 Ceph Dashboard 用来签名和加密的证书文件路径。
- 可选 :SP_PRIVATE_KEY 以及 Ceph Dashboard 用来签名和加密的私钥的文件路径。
-
CEPH_MGR_HOST 与 Ceph
验证当前的 SAML 2.0 配置:
语法
podman exec CEPH_MGR_HOST ceph dashboard sso show saml2示例
[root@host01 ~]# podman exec host01 ceph dashboard sso show saml2
要启用 SSO,运行以下命令:
语法
podman exec CEPH_MGR_HOST ceph dashboard sso enable saml2 SSO is "enabled" with "SAML2" protocol.示例
[root@host01 ~]# podman exec host01 ceph dashboard sso enable saml2
打开您的仪表板 URL。
示例
https://dashboard_hostname.ceph.redhat.com:8443
- 在 SSO 页面上,输入登录凭据。SSO 会重定向到仪表板 Web 界面。
其它资源
- 要禁用单点登录,请参阅 Red Hat Ceph Storage 仪表板指南中的 Ceph 仪表板禁用单点登录。
