CEPH配置——4.认证配置

为了识别用户，并防止人在中间攻击， Ceph提供cephx的认证系统进行身份验证和守护。 可以看一下“Ceph介绍到cephx认证的身份验证和授权”。启用/禁用，创建用户并设置用户功能的细节上见Cephx指南。

ENABLE/DISABLE AUTHENTICATION

根据版本的不同， Ceph的启用或禁用身份验证默认情况下。使用以下设置明确启用或禁用Ceph 。更多详细信息，请参阅Ceph的认证。

验证启用默认

Ceph的0.54版本及更早版本默认情况下禁用身份验证。如果你想使用Ceph的验证，你必须特别启用版本0.54及更早版本。

Ceph的版本0.55和更高版本默认情况下启用身份验证。如果你不想使用Ceph的认证，你必须明确禁用版本0.55及更高版本。

验证粒度

Ceph的0.50版本和早期版本使用支持的身份验证来启用或禁用的的CEPH客户和Ceph的存储集群之间的身份验证。在较早版本的Ceph的身份验证对用户进行身份验证和客户端之间的集群发送消息流量，所以它不具备细粒度的控制。

Ceph的0.51版及更高版本中使用细粒度的控制，它允许您需要的客户端的身份验证集群（需要身份验证服务） ，由客户端的集群（授权客户要求）的认证，以及一个守护进程的集群认证。

auth supported

废弃了，因为0.51版本。

说明：表示是否使用验证。如果没有指定，则默认为无，这意味着它被禁用。
类型：字符串
要求：无
默认值：无

auth cluster required

新版本0.51 。

说明：如果启用， Ceph的存储集群守护程序（CEPH-OSD，CEPH-MON和CEPH-MDS ）必须相互进行身份验证。有效设置是cephx或none。
类型：字符串
要求：无
默认值： 0.54版和早期没有。版本0.55和最新的cephx 。
授权服务要求

新版本0.51 。

说明：如果启用， Ceph的存储集群守护程序要求Ceph的存储集群Ceph的客户端进行身份验证才能访问Ceph的服务。有效设置是cephx或没有。
类型：字符串
要求：无
默认值： 0.54版和早期没有。版本0.55和后cephx 。
需要验证客户端

新版本0.51 。

说明：如果启用， Ceph的客户端需要Ceph的存储集群对Ceph的客户端进行身份验证。有效设置是cephx或没有。
类型：字符串
要求：无
默认值： 0.54版和早期没有。版本0.55和后cephx 。

KEYS

当你启用身份验证，Ceph Admin和Ceph的客户端运行的Ceph需要认证密钥访问Ceph的存储集群。

向Ceph Admin和客户提供这些键的最常见的方式是在/ etc/ceph 目录下包括Ceph的钥匙圈。墨鱼及更高版本中使用Ceph-deploy，文件名通常被ceph.client.admin.keyring （或$ cluster.client.admin.keyring 。 ） 。如果包括钥匙圈在/etc/ceph目录下，你不需要在你的Ceph的配置文件指定一个钥匙圈条目。

我们建议复制Ceph的存储集群的节点，在那里你会运行管理命令钥匙和文件，因为它包含了client.admin的钥匙。

您可以使用ceph-deploy管理执行此任务。有关详细信息，请参阅创建管理主机。要手动执行此步骤，执行以下命令：

sudo scp {user}@{ceph-cluster-host}:/etc/ceph/ceph.client.admin.keyring /etc/ceph/ceph.client.admin.keyring

提示：确保的ceph.keyring文件有适当的权限设置（例如，属性644 ）客户机上。
您可以指定密钥本身的的CEPH配置文件使用键设置（不推荐），或者使用密钥文件设置密钥文件的路径。

keyring

说明：钥匙圈文件的路径。
类型：字符串
要求：无
默认的：/etc/ceph/$cluster.$name.keyring,/etc/ceph/$cluster.keyring,/etc/ceph/keyring,/etc/ceph/keyring.bin

keyfile

说明：密钥文件的路径（即一个文件只包含的关键） 。
类型：字符串
要求：无
默认值：无
关键

说明：密钥（即密钥本身的文本字符串） 。不推荐使用。
类型：字符串
要求：无
默认值：无
key

 

SIGNATURES

Ceph的短尾及以后的版本中，我们宁愿Ceph的验证所有正在进行的设立，最初的身份验证使用会话密钥的实体之间的消息。但是，淘金者和早期Ceph的守护不知道如何执行正在进行的消息认证。为了保持向后兼容性（例如，在同一个集群，同时运行Botbail和淘金者的守护进程） ，默认情况下是关闭的消息签名。如果您运行的是短尾猫或以后的守护，专门配置的Ceph要求签名。

Ceph的Ceph的身份验证的其他部分一样，提供细粒度的控制，所以你可以启用/禁用的服务信息和客户端之间的Ceph的签名，您可以启用/禁用Ceph的守护进程之间的消息的签名。

cephx require signatures

说明：如果设置为true ， Ceph的要求签名的所有消息Ceph的客户端之间的通信和Ceph的存储集群，包括Ceph的存储集群守护之间。
类型：布尔
要求：无
默认值：false
cephx cluster require signatures

说明：如果设置为true， Ceph的要求所有Ceph的守护进程，包括CEPH存储集群之间的邮件通信的签名。
类型：布尔
要求：无
默认值：false
cephx service require signatures

说明：如果设置为true， Ceph的需要Ceph的客户端之间的所有消息流量和Ceph的存储集群的签名。
类型：布尔
要求：无
默认值：false

cephx sign messages

说明：如果Ceph的版本支持消息的签名， Ceph的将签署的所有消息，所以他们不能被欺骗。
类型：布尔
默认：true

TIME TO LIVE

auth service ticket ttl

说明：当Ceph的存储集群发送Ceph的客户端进行身份验证的车票， Ceph的存储集群分配的票证生存时间。
类型：双
默认值：60 * 60