CEPH配置——4.认证配置

为了识别用户,并防止人在中间攻击, Ceph提供cephx的认证系统进行身份验证和守护。 可以看一下“Ceph介绍到cephx认证的身份验证和授权”。启用/禁用,创建用户并设置用户功能的细节上见Cephx指南。

ENABLE/DISABLE AUTHENTICATION

根据版本的不同, Ceph的启用或禁用身份验证默认情况下。使用以下设置明确启用或禁用Ceph 。更多详细信息,请参阅Ceph的认证。

验证启用默认

Ceph的0.54版本及更早版本默认情况下禁用身份验证。如果你想使用Ceph的验证,你必须特别启用版本0.54及更早版本。

Ceph的版本0.55和更高版本默认情况下启用身份验证。如果你不想使用Ceph的认证,你必须明确禁用版本0.55及更高版本。

验证粒度

Ceph的0.50版本和早期版本使用支持的身份验证来启用或禁用的的CEPH客户和Ceph的存储集群之间的身份验证。在较早版本的Ceph的身份验证对用户进行身份验证和客户端之间的集群发送消息流量,所以它不具备细粒度的控制。

Ceph的0.51版及更高版本中使用细粒度的控制,它允许您需要的客户端的身份验证集群(需要身份验证服务) ,由客户端的集群(授权客户要求)的认证,以及一个守护进程的集群认证。

auth supported

废弃了,因为0.51版本。

说明:表示是否使用验证。如果没有指定,则默认为无,这意味着它被禁用。
类型:字符串
要求:无
默认值:无

auth cluster required

新版本0.51 。

说明:如果启用, Ceph的存储集群守护程序(CEPH-OSD,CEPH-MON和CEPH-MDS )必须相互进行身份验证。有效设置是cephx或none。
类型:字符串
要求:无
默认值: 0.54版和早期没有。版本0.55和最新的cephx 。
授权服务要求

新版本0.51 。

说明:如果启用, Ceph的存储集群守护程序要求Ceph的存储集群Ceph的客户端进行身份验证才能访问Ceph的服务。有效设置是cephx或没有。
类型:字符串
要求:无
默认值: 0.54版和早期没有。版本0.55和后cephx 。
需要验证客户端

新版本0.51 。

说明:如果启用, Ceph的客户端需要Ceph的存储集群对Ceph的客户端进行身份验证。有效设置是cephx或没有。
类型:字符串
要求:无
默认值: 0.54版和早期没有。版本0.55和后cephx 。

KEYS

当你启用身份验证,Ceph Admin和Ceph的客户端运行的Ceph需要认证密钥访问Ceph的存储集群。

向Ceph Admin和客户提供这些键的最常见的方式是在/ etc/ceph 目录下包括Ceph的钥匙圈。墨鱼及更高版本中使用Ceph-deploy,文件名通常被ceph.client.admin.keyring (或$ cluster.client.admin.keyring 。 ) 。如果包括钥匙圈在/etc/ceph目录下,你不需要在你的Ceph的配置文件指定一个钥匙圈条目。

我们建议Ceph的存储集群的节点,在那里你会运行管理命令钥匙和文件,因为它包含了client.admin的钥匙。

您可以使用ceph-deploy管理执行此任务。有关详细信息,请参阅创建管理主机。要手动执行此步骤,执行以下命令:

sudo scp {user}@{ceph-cluster-host}:/etc/ceph/ceph.client.admin.keyring /etc/ceph/ceph.client.admin.keyring

提示:确保的ceph.keyring文件有适当的权限设置(例如,属性644 )客户机上。
您可以指定密钥本身的的CEPH配置文件使用键设置(不推荐),或者使用密钥文件设置密钥文件的路径。

keyring

说明:钥匙圈文件的路径。
类型:字符串
要求:无
默认的:/etc/ceph/$cluster.$name.keyring,/etc/ceph/$cluster.keyring,/etc/ceph/keyring,/etc/ceph/keyring.bin

keyfile

说明:密钥文件的路径(即一个文件只包含的关键) 。
类型:字符串
要求:无
默认值:无
关键

说明:密钥(即密钥本身的文本字符串) 。不推荐使用。
类型:字符串
要求:无
默认值:无
key

 

SIGNATURES

Ceph的短尾及以后的版本中,我们宁愿Ceph的验证所有正在进行的设立,最初的身份验证使用会话密钥的实体之间的消息。但是,淘金者和早期Ceph的守护不知道如何执行正在进行的消息认证。为了保持向后兼容性(例如,在同一个集群,同时运行Botbail和淘金者的守护进程) ,默认情况下是关闭的消息签名。如果您运行的是短尾猫或以后的守护,专门配置的Ceph要求签名。

Ceph的Ceph的身份验证的其他部分一样,提供细粒度的控制,所以你可以启用/禁用的服务信息和客户端之间的Ceph的签名,您可以启用/禁用Ceph的守护进程之间的消息的签名。

cephx require signatures

说明:如果设置为true , Ceph的要求签名的所有消息Ceph的客户端之间的通信和Ceph的存储集群,包括Ceph的存储集群守护之间。
类型:布尔
要求:无
默认值:false
cephx cluster require signatures

说明:如果设置为true, Ceph的要求所有Ceph的守护进程,包括CEPH存储集群之间的邮件通信的签名。
类型:布尔
要求:无
默认值:false
cephx service require signatures

说明:如果设置为true, Ceph的需要Ceph的客户端之间的所有消息流量和Ceph的存储集群的签名。
类型:布尔
要求:无
默认值:false

cephx sign messages

说明:如果Ceph的版本支持消息的签名, Ceph的将签署的所有消息,所以他们不能被欺骗。
类型:布尔
默认:true

TIME TO LIVE

auth service ticket ttl

说明:当Ceph的存储集群发送Ceph的客户端进行身份验证的车票, Ceph的存储集群分配的票证生存时间。
类型:双
默认值:60 * 60

更多相关文章
  • 易网科技讯 11月6日消息,携程(Nasdaq:CTRP)今日公布未经审计的2012年第三季度财报.财报数据显示,携程第三季度净营收人民币11.7亿元(约合1.87亿美元),同比增20%:净利润人民币1.94亿元(约合3100万美元),同比降40%.2012年第三季度业绩概要:2012年第三季度的净 ...
  • 在这篇之前,我又专门翻译过官方python3.3的可哈希对象文档,大家可以先参考一下: 实习小记-python中可哈希对象是个啥?what is hashable object in python?   预备知识: 在定义一个类时,如果我们需要改写该类的__eq__函数,特别要注意的是它将会变为不可 ...
  • 我一直想试着在飞机上用一用互联网,倒不是因为果真需要它,而是就是想体验一下.不过,即便有几回这样的机会确实摆在面前,我也不相信这种系统会安全地处理我的信用卡资料.这只是一种直觉. 几天前,我搭乘维珍美国航空公司配备Gogo服务的航班时,决定探究一下安全性.现在回想起来,我之前的犹豫似乎有其道理. 我 ...
  • 1. Introduction We now turn to the process control provided by the UNIX System. This includes the creation of new processes, program execution, and pr ...
  • 在这个你追我赶的浮躁世界,还有谁愿意放慢脚步,认真走属于自己的路?2014年,无线市场以“一窝蜂”的趋势进入双频时代,在硬件还未成熟.软件准备不足的情况下,各种打着双频旗号的产品如雨后春笋般涌现,可是真正能为用户所用的好产品又有几个呢? 在看似大家都已经走在前面的时候,飞鱼星沉静下来,放慢脚步,认真 ...
  • 近期,Google开源了强大的自动化构建工具Bazel.正好博主近期在使用china版的Bazel--腾讯自主开发的Blade,所以准备跟大家分享一下Google Bazel这个分布式构建系统的原理和使用方法.以下是分享的目录: Google Bazel原理篇:Google分布式构建软件之第一部分: ...
一周排行
  • 将日期时间字符字符串转成日期插入到oracle的date型的字段里, String datestring="1 1"; SimpleDateFormat sdf=n ...
  • 错误提示:安全性异常 说明: 应用程序试图执行安全策略不允许的操作.要授予此应用程序所需的权限,请与系统管理员联系,或在配置文件中更改该应用程序的信任级别. 异常详细信息: System.Security.Secur ...
  •   比较了几种阈值确定方法   imggray = imread('finger.bmp'); subplot(221); imshow(imggray); title('原始图像'); imgbw = im2bw( ...
  •   排序相关的算法复杂度分析 下边分别实现下各个算法 简单选择排序 1 //简单选择排序 2 void Select_Sort(int a[], int n) 3 { 4 int min; 5 for(int i = ...
  • 虎嗅注:小米雷军当选福布斯亚洲2014年度商业人物.在小米的北京总部,福布斯杂志资深编辑范鲁贤 (Russell Flannery)与雷军,就小米未来在国内外市场的增长展开了一场深度对话.以下为采访摘录(F为福布斯) ...
  • 易网科技讯 8月29日消息,据外媒AllThingsD报道,微软现任CEO斯蒂夫·鲍尔默(Steve Ballmer)在上周表示自己将在12个月内卸任的消息,瞬间引爆了科技界的各种猜测.人们都在为谁能成为下一任微软领 ...
  •  最近做一个项目,其中用到封装的一个动态库(lib+dll),其头文件定义导出类型为 : #ifdef NetLink#define NETDIR __declspec(dllexport)#else#define ...
  • 文件上传是很常用的一个功能,今天说一下struts2的文件上传,使用的是fileupload组件. 首先要有两个jar包,如下图所示: 如果没有这两个jar包的话上传肯定不会成功的,控制台会报错的.   然后再页面上 ...
  • //译题 ★Milking Cows 挤牛奶 三个农民每天清晨5 点起床,然后去牛棚给3 头牛挤奶.第一个农民在300 时刻(从5 点开始计时, 秒为单位)给他的牛挤奶,一直到1 时刻.第二个农民在700 时刻开始, ...