CEPH配置——4.认证配置

为了识别用户,并防止人在中间攻击, Ceph提供cephx的认证系统进行身份验证和守护。 可以看一下“Ceph介绍到cephx认证的身份验证和授权”。启用/禁用,创建用户并设置用户功能的细节上见Cephx指南。

ENABLE/DISABLE AUTHENTICATION

根据版本的不同, Ceph的启用或禁用身份验证默认情况下。使用以下设置明确启用或禁用Ceph 。更多详细信息,请参阅Ceph的认证。

验证启用默认

Ceph的0.54版本及更早版本默认情况下禁用身份验证。如果你想使用Ceph的验证,你必须特别启用版本0.54及更早版本。

Ceph的版本0.55和更高版本默认情况下启用身份验证。如果你不想使用Ceph的认证,你必须明确禁用版本0.55及更高版本。

验证粒度

Ceph的0.50版本和早期版本使用支持的身份验证来启用或禁用的的CEPH客户和Ceph的存储集群之间的身份验证。在较早版本的Ceph的身份验证对用户进行身份验证和客户端之间的集群发送消息流量,所以它不具备细粒度的控制。

Ceph的0.51版及更高版本中使用细粒度的控制,它允许您需要的客户端的身份验证集群(需要身份验证服务) ,由客户端的集群(授权客户要求)的认证,以及一个守护进程的集群认证。

auth supported

废弃了,因为0.51版本。

说明:表示是否使用验证。如果没有指定,则默认为无,这意味着它被禁用。
类型:字符串
要求:无
默认值:无

auth cluster required

新版本0.51 。

说明:如果启用, Ceph的存储集群守护程序(CEPH-OSD,CEPH-MON和CEPH-MDS )必须相互进行身份验证。有效设置是cephx或none。
类型:字符串
要求:无
默认值: 0.54版和早期没有。版本0.55和最新的cephx 。
授权服务要求

新版本0.51 。

说明:如果启用, Ceph的存储集群守护程序要求Ceph的存储集群Ceph的客户端进行身份验证才能访问Ceph的服务。有效设置是cephx或没有。
类型:字符串
要求:无
默认值: 0.54版和早期没有。版本0.55和后cephx 。
需要验证客户端

新版本0.51 。

说明:如果启用, Ceph的客户端需要Ceph的存储集群对Ceph的客户端进行身份验证。有效设置是cephx或没有。
类型:字符串
要求:无
默认值: 0.54版和早期没有。版本0.55和后cephx 。

KEYS

当你启用身份验证,Ceph Admin和Ceph的客户端运行的Ceph需要认证密钥访问Ceph的存储集群。

向Ceph Admin和客户提供这些键的最常见的方式是在/ etc/ceph 目录下包括Ceph的钥匙圈。墨鱼及更高版本中使用Ceph-deploy,文件名通常被ceph.client.admin.keyring (或$ cluster.client.admin.keyring 。 ) 。如果包括钥匙圈在/etc/ceph目录下,你不需要在你的Ceph的配置文件指定一个钥匙圈条目。

我们建议Ceph的存储集群的节点,在那里你会运行管理命令钥匙和文件,因为它包含了client.admin的钥匙。

您可以使用ceph-deploy管理执行此任务。有关详细信息,请参阅创建管理主机。要手动执行此步骤,执行以下命令:

sudo scp {user}@{ceph-cluster-host}:/etc/ceph/ceph.client.admin.keyring /etc/ceph/ceph.client.admin.keyring

提示:确保的ceph.keyring文件有适当的权限设置(例如,属性644 )客户机上。
您可以指定密钥本身的的CEPH配置文件使用键设置(不推荐),或者使用密钥文件设置密钥文件的路径。

keyring

说明:钥匙圈文件的路径。
类型:字符串
要求:无
默认的:/etc/ceph/$cluster.$name.keyring,/etc/ceph/$cluster.keyring,/etc/ceph/keyring,/etc/ceph/keyring.bin

keyfile

说明:密钥文件的路径(即一个文件只包含的关键) 。
类型:字符串
要求:无
默认值:无
关键

说明:密钥(即密钥本身的文本字符串) 。不推荐使用。
类型:字符串
要求:无
默认值:无
key

 

SIGNATURES

Ceph的短尾及以后的版本中,我们宁愿Ceph的验证所有正在进行的设立,最初的身份验证使用会话密钥的实体之间的消息。但是,淘金者和早期Ceph的守护不知道如何执行正在进行的消息认证。为了保持向后兼容性(例如,在同一个集群,同时运行Botbail和淘金者的守护进程) ,默认情况下是关闭的消息签名。如果您运行的是短尾猫或以后的守护,专门配置的Ceph要求签名。

Ceph的Ceph的身份验证的其他部分一样,提供细粒度的控制,所以你可以启用/禁用的服务信息和客户端之间的Ceph的签名,您可以启用/禁用Ceph的守护进程之间的消息的签名。

cephx require signatures

说明:如果设置为true , Ceph的要求签名的所有消息Ceph的客户端之间的通信和Ceph的存储集群,包括Ceph的存储集群守护之间。
类型:布尔
要求:无
默认值:false
cephx cluster require signatures

说明:如果设置为true, Ceph的要求所有Ceph的守护进程,包括CEPH存储集群之间的邮件通信的签名。
类型:布尔
要求:无
默认值:false
cephx service require signatures

说明:如果设置为true, Ceph的需要Ceph的客户端之间的所有消息流量和Ceph的存储集群的签名。
类型:布尔
要求:无
默认值:false

cephx sign messages

说明:如果Ceph的版本支持消息的签名, Ceph的将签署的所有消息,所以他们不能被欺骗。
类型:布尔
默认:true

TIME TO LIVE

auth service ticket ttl

说明:当Ceph的存储集群发送Ceph的客户端进行身份验证的车票, Ceph的存储集群分配的票证生存时间。
类型:双
默认值:60 * 60

更多相关文章
  • 易网科技讯 11月6日消息,携程(Nasdaq:CTRP)今日公布未经审计的2012年第三季度财报.财报数据显示,携程第三季度净营收人民币11.7亿元(约合1.87亿美元),同比增20%:净利润人民币1.94亿元(约合3100万美元),同比降40%.2012年第三季度业绩概要:2012年第三季度的净 ...
  • 在这篇之前,我又专门翻译过官方python3.3的可哈希对象文档,大家可以先参考一下: 实习小记-python中可哈希对象是个啥?what is hashable object in python?   预备知识: 在定义一个类时,如果我们需要改写该类的__eq__函数,特别要注意的是它将会变为不可 ...
  • 我一直想试着在飞机上用一用互联网,倒不是因为果真需要它,而是就是想体验一下.不过,即便有几回这样的机会确实摆在面前,我也不相信这种系统会安全地处理我的信用卡资料.这只是一种直觉. 几天前,我搭乘维珍美国航空公司配备Gogo服务的航班时,决定探究一下安全性.现在回想起来,我之前的犹豫似乎有其道理. 我 ...
  • 1. Introduction We now turn to the process control provided by the UNIX System. This includes the creation of new processes, program execution, and pr ...
  • 在这个你追我赶的浮躁世界,还有谁愿意放慢脚步,认真走属于自己的路?2014年,无线市场以“一窝蜂”的趋势进入双频时代,在硬件还未成熟.软件准备不足的情况下,各种打着双频旗号的产品如雨后春笋般涌现,可是真正能为用户所用的好产品又有几个呢? 在看似大家都已经走在前面的时候,飞鱼星沉静下来,放慢脚步,认真 ...
  • 近期,Google开源了强大的自动化构建工具Bazel.正好博主近期在使用china版的Bazel--腾讯自主开发的Blade,所以准备跟大家分享一下Google Bazel这个分布式构建系统的原理和使用方法.以下是分享的目录: Google Bazel原理篇:Google分布式构建软件之第一部分: ...
一周排行
  • 原题 You are climbing a stair case. It takes n steps to reach to the top. Each time you can either climb 1 or ...
  • html 代码: <select name="ColumnId" id="columnOrd"> <option value="2"> ...
  • 易网科技讯 11月30日晚间消息,网龙今日公布截至2011年9月30日止未经审核的第三季度财务业绩.财报显示,第三季度净利润为人民币4980万元,较2011年第二季度增长16%,较2010年第三季度增1619.8%. ...
  • JavaFX Script被抛弃以后,很久不关心JavaFX了,偶然发现JavaFX已经发展到2.2,而且已经绑定到JDK7中,看来Oracle对它还是蛮重视的. 看到有人在论坛提问TWaver有没有JavaFX版本 ...
  • UVA 11367 - Full Tank? 题目链接 题意:给定一个无向图,每个点有一个加油站,有一个油价,现在一辆车,每次询问要从起点s走到t,邮箱容量为c,问最小代价 思路:dijkstra算法,d数组多一个状 ...
  • Joel on Software   两个故事   by Joel Spolsky Sunday, March 19, 2000  原文连接 http://www.joelonsoftware.com/article ...
  • 1.导包,我这里导入了这11个有关hibernate操作的包 2.创建一个实体Student @Entity//添加注解 public class Student { private int id; private ...
  • #include<stdio.h> typedef int ElemType; typedef int STATUS; #define MAXSIZE 5 #define OK 1 #define ERR ...
  • 利用SEH进行反跟踪;我这里不想对 SEH 进行扫盲;当一个程序被调试时,遇到了int 3,那么调试器会中断.;当一个程序正常执行时,遇到了int 3,就产生了异常.系统会报错.如果我们设置了SEH,那么系统就;暂时 ...