ceph用户管理

导读：
1.从零部署一个ceph集群
2.ceph block device与cephfs快速入门
3.ceph 对象存储快速入门
4.Ceph存储集群&配置
5.centos7 通过cephadm部署ceph octopus版本
6.ceph集群状态检查常用命令
7.ceph osd pg 状态介绍

用户管理

当Ceph在启用身份验证和授权的情况下运行（默认情况下启用）时，必须指定用户名和包含指定用户的私钥的keyring。 如果您未指定用户名，则Ceph将使用client.admin作为默认用户名。 如果您未指定keyring，则Ceph将通过Ceph配置中的keyring设置来寻找keyring。 例如，如果执行ceph health命令而不指定用户或密钥环：

ceph health
实际上执行了
ceph -n client.admin --keyring=/etc/ceph/ceph.client.admin.keyring health

cephx介绍

为了识别用户并防止中间人攻击，Ceph提供了其cephx身份验证系统来对用户和守护程序进行身份验证。

Cephx使用共享密钥进行身份验证，客户端和mon群集都具有客户端密钥的副本。身份验证协议使得双方都可以彼此证明自己拥有密钥的副本，而无需实际透露它。这提供了相互认证，群集确保用户拥有密钥，用户确定群集具有密钥的副本。

Ceph客户端必须能够直接与OSD进行交互。为了保护数据，Ceph提供了其cephx身份验证系统，该系统对操作Ceph客户端的用户进行身份验证。 cephx协议以类似于Kerberos的方式运行。

user/actor调用Ceph客户端来与mon通信。每个mon都可以对用户进行身份验证并分发密钥，因此多个mon的情况下，在使用cephx时不会出现单点故障。mon返回身份验证数据，其中包含用于获取Ceph服务的会话密钥。会话密钥本身已使用用户的永久秘密密钥加密，因此只有用户可以从Ceph监视器请求服务。

然后，客户端使用会话密钥从mon请求其所需的服务，并且mon向客户端提供ticket，该ticket际处理数据的OSD认证客户端。

Ceph监视器和OSD共享一个secret 。因此客户端可以将mon提供的ticket与群集中的任何OSD或元数据服务器一起使用。

要使用cephx，管理员必须首先设置用户。下图中，client.admin用户从命令行调用ceph auth get-or-create-key来生成用户名和密钥。 Ceph的auth子系统生成用户名和密钥，将其副本与mon一起存储，并将用户的secret发送回client.admin用户。这意味着客户端和mon共享一个密钥。

为了向mon进行身份验证，客户端将用户名传递给mon，mon生成一个会话密钥，并使用与该用户名关联的secret密钥对其进行加密。 然后，mon将加密的ticket发送回客户端。 然后，客户端使用共享密钥解密有效负载以检索会话密钥，会话密钥标识当前会话的用户。 然后，客户端代表会话密钥签名的用户请求ticket。 mon生成ticket，使用用户的密钥对其进行加密，然后将其发送回客户端。 客户端解密