红帽全球峰会第 4 章 身份和访问权限管理
Red Hat Ceph Storage 提供身份和访问管理:
- Ceph Storage 集群用户访问
- Ceph 对象网关用户访问
- Ceph 对象网关 LDAP/AD 身份验证
- Ceph 对象网关 OpenStack Keystone 身份验证
4.1. Ceph Storage 集群用户访问
为了识别用户和防止中间人攻击,Ceph 提供其 cephx 身份验证系统来验证用户和守护进程。有关 cephx 的更多详细信息,请参阅 Ceph 用户管理。
重要
cephx 协议不会考虑传输中加密或静止加密。
cephx 使用共享密钥来进行身份验证,这意味着客户端和服务器均有客户端的机密密钥的副本。身份验证协议使得双方能够为每个方证明其各自具有密钥副本,而无需实际发现。这提供了 mutual 身份验证,这意味着集群是确保用户具有 secret 密钥,用户则确保集群具有 secret 密钥的副本。
用户是个人或系统参与者,如使用 Ceph 客户端与红帽 Ceph Storage 集群守护进程交互的应用程序。
Ceph 使用默认启用的身份验证和授权运行。Ceph 客户端可以指定用户名和包含指定用户密钥的密钥环,通常是使用命令行。如果未提供用户和密钥环作为参数,Ceph 将使用 client.admin 管理用户作为默认值。如果未指定密钥环,Ceph 将使用 Ceph 配置中的 keyring 设置查找密钥环。
重要
要强化 Ceph 集群,密钥环只应该使当前用户和 root 具有读写权限。包含 client.admin 管理用户的密钥环必须仅限于 root 用户。
有关配置 Red Hat Ceph Storage 集群以使用身份验证的详情,请参阅 Red Hat Ceph Storage 7 的 配置指南。更具体地说,请参阅 Ceph 身份验证配置。
