RGW中的请求的认证过程

最新推荐文章于 2022-04-13 15:33:20 发布
最新推荐文章于 2022-04-13 15:33:20 发布
阅读量2.5k 收藏 3
点赞数
分类专栏: ceph
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/litianze99/article/details/49892813
版权

RGW中的用户认证过程(keystone or rados backend)

用户s3用户请求的合法性验证过程:src/rgw/rgw_rest_s3.cc
Rgw的认证方式有两种一个是使用keystone认证;一个是使用rados自带的认证方式;根据配置判断是否使用keystone认证;如果配置了keystone方式,则keystone方式;(二选一)

int RGW_Auth_S3::authorize(RGWRados *store, struct req_state *s)
{
  bool qsr = false;
  string auth_id;
  string auth_sign;

  time_t now;
  time(&now);

  /* neither keystone and rados enabled; warn and exit! */
  if (!store->ctx()->_conf->rgw_s3_auth_use_rados
      && !store->ctx()->_conf->rgw_s3_auth_use_keystone) {
    dout(0) << "WARNING: no authorization backend enabled! Users will never authenticate." << dendl;
    return -EPERM;
  }

  if (s->op == OP_OPTIONS) {
    init_anon_user(s);
    return 0;
  }
/* initialize auth_id and auth_sign */
  if (!s->http_auth || !(*s->http_auth)) {
    auth_id = s->info.args.get("AWSAccessKeyId");
    if (auth_id.size()) {
      auth_sign = s->info.args.get("Signature");

      string date = s->info.args.get("Expires");
      time_t exp = atoll(date.c_str());
      if (now >= exp)
        return -EPERM;

      qsr = true;
    } else {
      /* anonymous access */
      init_anon_user(s);
      return 0;
    }
  } else {
    if (strncmp(s->http_auth, "AWS ", 4))
      return -EINVAL;
    string auth_str(s->http_auth + 4);
    int pos = auth_str.rfind(':');
    if (pos < 0)
      return -EINVAL;

    auth_id = auth_str.substr(0, pos);
    auth_sign = auth_str.substr(pos + 1);
  }

  /* try keystone auth first */
  int keystone_result = -EINVAL;
  if (store->ctx()->_conf->rgw_s3_auth_use_keystone
      && !store->ctx()->_conf->rgw_keystone_url.empty()) {
    dout(20) << "s3 keystone: trying keystone auth" << dendl;
//构造keystone验证的验证器。
    RGW_Auth_S3_Keystone_ValidateToken keystone_validator(store->ctx());
    string token;
//获取用于计算签名的请求头信息(s3认证)
    if (!rgw_create_s3_canonical_header(s->info, &s->header_time, token, qsr)) {
        dout(10) << "failed to create auth header\n" << token << dendl;
    } else {
      keystone_result = keystone_validator.validate_s3token(auth_id, token, auth_sign);
      if (keystone_result == 0) {
    // Check for time skew first
    time_t req_sec = s->header_time.sec();

    if ((req_sec < now - RGW_AUTH_GRACE_MINS * 60 ||
         req_sec > now + RGW_AUTH_GRACE_MINS * 60) && !qsr) {
      dout(10) << "req_sec=" << req_sec << " now=" << now << "; now - RGW_AUTH_GRACE_MINS=" << now - RGW_AUTH_GRACE_MINS * 60 << "; now + RGW_AUTH_GRACE_MINS=" << now + RGW_AUTH_GRACE_MINS * 60 << dendl;
      dout(0) << "NOTICE: request time skew too big now=" << utime_t(now, 0) << " req_time=" << s->header_time << dendl;
      return -ERR_REQUEST_TIME_SKEWED;
    }


    s->user.user_id = keystone_validator.response.token.tenant.id;
        s->user.display_name = keystone_validator.response.token.tenant.name; // wow.

        /* try to store user if it not already exists */
        if (rgw_get_user_info_by_uid(store, keystone_validator.response.token.tenant.id, s->user) < 0) {
          int ret = rgw_store_user_info(store, s->user, NULL, NULL, 0, true);
          if (ret < 0)
            dout(10) << "NOTICE: failed to store new user's info: ret=" << ret << dendl;
        }

        s->perm_mask = RGW_PERM_FULL_CONTROL;
      }
    }
  }

  /* keystone failed (or not enabled); check if we want to use rados backend */
  if (!store->ctx()->_conf->rgw_s3_auth_use_rados
      && keystone_result < 0)
    return keystone_result;

  /* now try rados backend, but only if keystone did not succeed */
  if (keystone_result < 0) {
    /* get the user info */
    if (rgw_get_user_info_by_access_key(store, auth_id, s->user) < 0) {
      dout(5) << "error reading user info, uid=" << auth_id << " can't authenticate" << dendl;
      return -ERR_INVALID_ACCESS_KEY;
    }

    /* now verify signature */

string auth_hdr;
//生成s3token
    if (!rgw_create_s3_canonical_header(s->info, &s->header_time, auth_hdr, qsr)) {
      dout(10) << "failed to create auth header\n" << auth_hdr << dendl;
      return -EPERM;
    }
    dout(10) << "auth_hdr:\n" << auth_hdr << dendl;

    time_t req_sec = s->header_time.sec();
    if ((req_sec < now - RGW_AUTH_GRACE_MINS * 60 ||
        req_sec > now + RGW_AUTH_GRACE_MINS * 60) && !qsr) {
      dout(10) << "req_sec=" << req_sec << " now=" << now << "; now - RGW_AUTH_GRACE_MINS=" << now - RGW_AUTH_GRACE_MINS * 60 << "; now + RGW_AUTH_GRACE_MINS=" << now + RGW_AUTH_GRACE_MINS * 60 << dendl;
      dout(0) << "NOTICE: request time skew too big now=" << utime_t(now, 0) << " req_time=" << s->header_time << dendl;
      return -ERR_REQUEST_TIME_SKEWED;
    }

    map<string, RGWAccessKey>::iterator iter = s->user.access_keys.find(auth_id);
    if (iter == s->user.access_keys.end()) {
      dout(0) << "ERROR: access key not encoded in user info" << dendl;
      return -EPERM;
    }
    RGWAccessKey& k = iter->second;

    if (!k.subuser.empty()) {
      map<string, RGWSubUser>::iterator uiter = s->user.subusers.find(k.subuser);
      if (uiter == s->user.subusers.end()) {
        dout(0) << "NOTICE: could not find subuser: " << k.subuser << dendl;
        return -EPERM;
      }
      RGWSubUser& subuser = uiter->second;
      s->perm_mask = subuser.perm_mask;
    } else
      s->perm_mask = RGW_PERM_FULL_CONTROL;

string digest;
//生成s3 token
    int ret = rgw_get_s3_header_digest(auth_hdr, k.key, digest);
    if (ret < 0) {
      return -EPERM;
    }

    dout(15) << "calculated digest=" << digest << dendl;
    dout(15) << "auth_sign=" << auth_sign << dendl;
    dout(15) << "compare=" << auth_sign.compare(digest) << dendl;

    if (auth_sign != digest) {
      return -ERR_SIGNATURE_NO_MATCH;
    }

    if (s->user.system) {
      s->system_request = true;
      dout(20) << "system request" << dendl;
      s->info.args.set_system();
      string effective_uid = s->info.args.get(RGW_SYS_PARAM_PREFIX "uid");
      RGWUserInfo effective_user;
      if (!effective_uid.empty()) {
        ret = rgw_get_user_info_by_uid(store, effective_uid, effective_user);
        if (ret < 0) {
          ldout(s->cct, 0) << "User lookup failed!" << dendl;
          return -ENOENT;
        }
        s->user = effective_user;
      }
    }

  } /* if keystone_result < 0 */

  // populate the owner info
  s->owner.set_id(s->user.user_id);
  s->owner.set_name(s->user.display_name);

  return  0;
}
李艳坤
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ceph rgw应用手册
03-14
ceph rgw应用部署手册,红帽官方出品,上手必备。
python-rgw-14.2.1-0.el7.x86_64.rpm
01-05
官方离线安装包,测试可用。使用rpm -ivh [rpm完整包名] 进行安装
CEPH的对象存储RGW更新配额的源码跟踪
06-29
利用visio软件编写的CEPH的对象存储RGW更新配额的源码跟踪,从删除和上传的动作一直跟踪到具体更新配的代码位置
rgw nfs基于nfs-ganesha的实现
10-17
rgw nfs基于nfs-ganesha的实现总结
RGW 的GC深入解析与调优
06-20
RGW 的GC深入解析与调优
Ceph分布式存储系列(七):对象存储RGWS3cmd的安装配置及常用命令
97运维的博客
11-01 2798
ceph-deploy部署的集群RGW的安装使用及常用命令 对象存储管理工具S3cmd的安装使用及常用命令
rgw认证
huangaijuan1的博客
07-17 1032
ceph local_engine 使用保存在RGW的meta pool的AccessKey和SecretKey对请求的AccessKeyId和Signature进行验证,可由bool配置项rgw_s3_auth_use_rados控制是否启用。 external_engine 递归地引入外部身份验证Engine的支持 keystone_engine(swift) 类型为EC2En...
对象网关服务器端加密
QTM_Gitee的博客
06-19 732
对象网关支持上传对象的服务器端加密,有 3 个管理加密密钥的选项。 服务器端加密意味着数据以未加密的形式通过 HTTP 发送,对象网关以加密形式将该数据存储在 Ceph 存储集群。 注 服务器端加密请求必须通过安全的 HTTPS 连接发送,以避免以明文形式发送机密。 如果代理用于 SSL 终止,则必须启用rgw trust forwarded https,然后转发的请求才会被信任为安全。 要点 要使用加密,客户端请求必须通过 SSL 连接发送请求RGW 不支持来自客户端的 S3 加密,除非 Ce
RGW S3 Authorize解析
weixin_34266504的博客
04-18 259
2019独角兽企业重金招聘Python工程师标准>>> ...
rgw s3与keystone集成简要文档
chiyan0865的博客
01-24 503
虽然ceph官网有对rgw与keystone集成的描述。但是描述确实不够详细,尤其对keystone v2及v3的配置容易让使用者混淆。导致在部署过程会遇到很多问题,下面具体描述一下L版openstack与J版ceph的keystone v2配置过程。 一、 背景介绍 ...
RGWRados initialize.pdf
09-17
RGWRados::initialize 框架 待完善 代码流程,需要进一步的梳理流程
rgw object read and write
weixin_33701294的博客
04-12 454
2019独角兽企业重金招聘Python工程师标准>>> ...
三 Ceph集群搭建
weixin_44767040的博客
04-13 3494
Ceph集群   集群组件   Ceph集群包括Ceph OSD,Ceph Monitor两种守护进程。   Ceph OSD(Object Storage Device): 功能是存储数据,处理数据的复制、恢复、回填、再均衡,并通过检查其他OSD守护进程的心跳来向Ceph Monitors提供一些监控信息。   Ceph Monitor: 是一个监视器,监视Ceph集群状态和维护集群的各种关系。   Ceph存储集群至少需要一个Ceph Monitor和两个 OSD 守护进程。   集群环境准备
Ceph分布式存储(架构 配置与使用 原理 性能调优)
m0_46690280的博客
08-18 3324
Ceph分布式存储Ceph分布式存储1. Ceph概述1.1 背景1.2 介绍1.3 特点1.4 分布式存储系统横纵对比2. Ceph架构设计2.1 Ceph整体设计2.2 逻辑架构2.3 Ceph 专业术语3. Ceph集群部署配置3.1 部署结构3.2 系统配置3.3 免密码SSH登陆3.4 集群搭建配置 Ceph分布式存储 1. Ceph概述 1.1 背景 Ceph是一个去心化的分布式存储系统, 提供较好的性能、可靠性和可扩展性。Ceph项目最早起源于Sage就读博士期间的工作(最早的成果于2004
rgw对接keystone keystone
huangaijuan1的博客
11-18 596
版本 ceph版本:12.2.10 openstack版本:n版本 barbican版本:3.0.0 rgw对接keystone http://docs.ceph.com/docs/master/radosgw/keystone/ http://docs.ceph.com/docs/master/radosgw/s3/authentication/ 1.A user that Keystone authorizes to access the gateway will also be auto
RGW及多重认证(MFA)
QTM_Gitee的博客
12-07 835
当为桶启用对象版本控制时,开发人员可以选择将桶配置为要求对删除请求进行多重身份验证 (MFA)。 使用 MFA,基于时间的一次性密码 (TOTP) 令牌作为密钥传递到 x-amz-mfa 标头。 令牌是使用虚拟 MFA 设备(如 Google Authenticator)或硬件 MFA 设备(如 Gemalto 提供的设备)生成的。 S3 多重身份验证(MFA) 功能允许用户在删除某些桶上的对象时要求使用一次性密码。 桶需要配置版本控制和 MFA,这可以通过 S3 api 完成。 可以通过 radosgw-
Ceph 用户管理
热门推荐
litianze99的专栏
03-25 1万+
Ceph 用户管理用户管理Ceph storage cluster的认证和授权默认是启用的。Ceph的客户端用户要么是独立的个体用户,要么是系统的一个应用,他们都使用ceph的客户端与ceph存储集群交互。 当ceph启用认证和授权时,你必须要指定用户名和包含秘钥的钥匙环才可以使用客户端与集群进行交互。如果不指定如:ceph heath,它会使用默认用户client.admin并自动通过ke
s3cmd 操作手册
litianze99的专栏
05-24 8920
s3cmd(1) s3cmd(1)NAME s3cmd - tool for managing Amazon S3 storage space and Amazon CloudFront content delivery networkSYNO
S3 client 访问ceph rgw
litianze99的专栏
09-14 8837
S3 client 访问ceph rgw安装配置S3 client:安装,s3cmd是使用python编写的客户端:$pip install s3cmd 也可以使用yum 安装$yum install s3cmd验证安装是否成功:$s3cmd --version s3cmd version 1.5.2 #表示安装成功为S3的访问创建账号:sudo radosgw-admin user create
ceph rgw对象存储
最新发布
09-19
Ceph RGW(Rados Gateway)是Ceph存储系统提供对象存储服务的组件。它允许用户通过HTTP协议以对象的形式存储和检索数据。 Ceph RGW是一个分布式的、高可用的存储解决方案,它将数据分散保存在多个物理节点上,提供了可靠的数据冗余和容错能力。通过数据的分散,RGW能够实现高并发的访问和高吞吐量的数据传输,从而满足大规模的存储需求。 在Ceph RGW,数据以对象的形式存储,每个对象都有一个唯一的标识符和元数据信息,可以通过它们进行快速的检索和访问。对象可以以任意格式存储,如文本、图片、视频等。通过提供RESTful风格的API,RGW使得开发者能够方便地访问和操作存储在其的对象。 RGW支持多租户的机制,可以为不同的用户或应用程序提供独立的存储空间和访问权限。它还提供了访问控制机制,可以通过身份验证、访问策略等方式,限制对象的访问权限,并保证数据的安全性。 另外,Ceph RGW还具有自动化的数据迁移和负载均衡功能,可以根据数据的访问模式和负载情况,自动调整数据的存储位置和副本数量,以实现最佳的性能和可用性。 综上所述,Ceph RGW是一款功能强大、可靠性高的对象存储服务,适用于大规模存储和分发数据的场景。它提供了高并发、高吞吐量的数据访问和传输能力,以及安全性、可扩展性等方面的优势,成为当今对象存储领域的一种重要解决方案。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值