Ceph认证机制

Ceph认证机制

创建用户

用户通过ceph客户端向ceph认证系统请求生成一个用户
ceph认证系统会生成一个用户名和密钥
ceph认证系统会把用户名和密钥在监视器保存一份副本
ceph认证系统会把用户名和密钥通过客户端给到用户
所以用户和监视器都共享着同一份密钥

复制

Ceph用共享密钥认证

客户端有一份密钥
监视器集群有一份密钥
客户端和监视器之间交互不需要用密钥认证（不需要对暗号）

复制

监视器给用户共享密钥

用户通过ceph客户端向监视器请求获取会话密钥
监视器用用户的私钥加密得到会话密钥给到用户

复制

客户端拿着会话密钥向监视器获取服务
监视器给客户端一个凭证

复制

ceph客户端拿着凭证向OSD发起数据请求

复制

这个凭证是集群内部的通行证

小结

认证的整体流程

提醒

认证提供的保护位于 Ceph 客户端和服务器间
没有扩展到 Ceph 客户端之外
如果用户从远程主机访问 Ceph 客户端
Ceph 认证就不管用了
它不会影响到用户主机和客户端主机间的通讯

复制