rgw认证

最新推荐文章于 2024-08-28 15:42:49 发布
最新推荐文章于 2024-08-28 15:42:49 发布
阅读量1.2k 收藏 1
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/huangaijuan1/article/details/96331727

ceph

local_engine

使用保存在RGWmeta pool中的AccessKeySecretKey对请求中的AccessKeyIdSignature进行验证,可由bool配置项rgw_s3_auth_use_rados控制是否启用。

external_engine

递归地引入外部身份验证Engine的支持

keystone_engine(swift)

类型为EC2Engine,由配置项rgw_s3_auth_use_keystonergw_keystone_url控制是否启用

rgwopenstack keystone集成https://blog.youkuaiyun.com/litianze99/article/details/47780691

ceph 官方文档:http://docs.ceph.com/docs/master/radosgw/keystone/

ldap_engine

LDAP统一认证服务

ceph官方文档:http://docs.ceph.com/docs/master/radosgw/ldap-auth/

anonymous_engine

RADOS网关(RGW)的请求可以进行身份验证,也可以不进行身份验证。RGW假定未经身份验证的请求是由匿名用户发送的。RGW支持 canned acl

rgwopenstack keystone集成后,用户可以使用openstack ec2 credentials create命令生成AWS-style access key and secret key

 

STS LITE

( https://github.com/ceph/ceph/pull/23504 )在上面的提交中,社区为 RGW 实现了对 STS(Secure Token Service) 认证的支持。通过 STS,可以临时为某些用户颁发自定义时效和权限的访问凭证。

RGW STS 认证的相关接口与 Amazon STS API 接口保持兼容,但当前仅支持部分接口。当前 RGW STS 的实现机制是与已有的 Keystone 认证进行集成,通过 Keystone 服务来生成临时访问凭证,并对这些访问凭证进行认证。

看代码,这是14版本才开始合入的功能。

anonymous_engine功能是一样的,也是使用keystoneec2 credentials

腾讯云对象存储

API密钥

APPIDSecretIdSecretKey组成,访问cos时需要使用COS 签名工具生成有时效,指定[GET,POST,PUT]等操作的签名。

https://cloud.tencent.com/document/api/213/30654

 

接口鉴权 v3

腾讯云 API 会对每个访问请求进行身份验证,即每个请求都需要在公共请求参数中包含签名信息(Signature)以验证请求者身份。 签名信息由安全凭证生成,安全凭证包括 SecretId SecretKey

请求API时,需要拼接待签名字符串,计算签名,拼接 Authorization

项目管理密钥

ID,SecretIdSecretKey组成,目前项目密钥仅支持对象存储V4、数据万象(原万象优图)等产品。

使用项目密钥访问上述产品的 API 前, 需要 SecretId SecretKey 获取鉴权签名,否则将无法访问上述产品的 API

访问cos时需要使用COS 签名工具生成有时效,指定[GET,POST,PUT]等操作的签名。

https://cloud.tencent.com/document/product/436/7778

请求签名

适用于 COS XML 版本,不适用于 POST object HTTP 请求。

匿名请求:HTTP 请求不携带任何身份标识和鉴权信息,通过 RESTful API 进行 HTTP 请求操作。

签名请求:HTTP 请求时添加签名,COS 服务器端收到消息后,进行身份验证,验证成功则可接受并执行请求,否则将会返回错误信息并丢弃此请求。

腾讯云对象存储目前提供了 COS 签名工具 供用户生成签名。

 

临时密钥

WebiOSAndroid 使用 COS 的场景时,通过固定密钥计算签名方式不能有效地控制权限,同时把永久密钥放到客户端代码中有极大的泄露风险。如若通过临时密钥方式,则可以方便、有效地解决权限控制问题。

例如,在申请临时密钥过程中,可以通过设置权限策略 policy 字段,限制操作和资源,将权限限制在指定的范围内。

获取临时密钥,可以通过提供的 COS STS SDK 方式获取,也可以直接请求 STS API 的方式获取。

使用cos python sdk时可以使用临时密钥访问资源。

https://cloud.tencent.com/document/product/436/12269

https://cloud.tencent.com/document/product/436/14048

 

 

 

 

 

 

 

Ceph:关于 Ceph 用户认证授权管理的一些笔记(10)
山河已无恙
06-27 1014
准备考试,整理 Ceph 相关笔记博文内容涉及, Ceph 用户管理,认证管理,权限管理 以及相关 Demo理解不足小伙伴帮忙指正对每个人而言,真正的职责只有一个:找到自我。然后在心中坚守其一生,全心全意,永不停息。所有其它的路都是不完整的,是人的逃避方式,是对大众理想的懦弱回归,是随波逐流,是对内心的恐惧 ——赫尔曼·黑塞《德米安》Ceph使用cephx协议对集群中客户端、应用程序和守护进程之间的通信进行授权。cephx协议基于共享密钥在 Ceph 的安装过程默认启用cephx。
RGW及多重认证(MFA)
HHFQ的博客
12-07 1121
当为桶启用对象版本控制时,开发人员可以选择将桶配置为要求对删除请求进行多重身份验证 (MFA)。 使用 MFA,基于时间的一次性密码 (TOTP) 令牌作为密钥传递到 x-amz-mfa 标头。 令牌是使用虚拟 MFA 设备(如 Google Authenticator)或硬件 MFA 设备(如 Gemalto 提供的设备)生成的。 S3 多重身份验证(MFA) 功能允许用户在删除某些桶上的对象时要求使用一次性密码。 桶需要配置版本控制和 MFA,这可以通过 S3 api 完成。 可以通过 radosgw-
RGW S3 Authorize解析
weixin_34266504的博客
04-18 331
2019独角兽企业重金招聘Python工程师标准>>> ...
RGW中的请求的认证过程
litianze99的专栏
11-17 2621
RGW中的用户认证过程(keystone or rados backend)用户s3用户请求的合法性验证过程:src/rgw/rgw_rest_s3.cc Rgw认证方式有两种一个是使用keystone认证;一个是使用rados自带的认证方式;根据配置判断是否使用keystone认证;如果配置了keystone方式,则keystone方式;(二选一)int RGW_Auth_S3::author
Ceph RGW配置SSL
小白自述
02-07 1624
前期准备 已经成功部署了一套ceph集群,包括rgw对象存储,可以参考ceph官网的ceph-deploy进行部署。 开始配置SSL 生成证书 >> openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout ceph-rgw-cert.key -out ceph-rgw.crt >> cat ceph-rgw...
Ceph分布式存储系列(七):对象存储RGW和S3cmd的安装配置及常用命令
97运维的博客
11-01 3499
ceph-deploy部署的集群中RGW的安装使用及常用命令 对象存储管理工具S3cmd的安装使用及常用命令
【ceph学习】S3权限认证部分
陶二先生的专栏
08-28 920
认证的过程是一个对用户信息进行解析并且判断前后得到的秘钥是否一致的过程。auth_regitry的创建在rgw_main.cc:main()中进行初始化auth_registry对象very_request()进行认证当请求来临的时候,对用户信息进行分析和认证。首选利用用户的req_state进行申请秘钥如下述代码中:auth_data = ver_abstractor.get_auth_data(s);通过具体的策略进行秘钥()的计算。然后将秘钥和一些其他参数传递到下一个函数。
ceph dashboard配置rgw监控(解决报错No RGW credentials found)
system_zhazha的博客
03-30 717
本文主要介绍一下如何是dashboard监控对象存储集群数据。
Ceph RGW 设计与实现
redenval的专栏
03-08 7991
1.总体架构       rgw 作为对象存储网关系统, 一方面扮演RADOS集群客户端角色, 为对象存储应用提供数据存储; 另一方面扮演HTTP 服务端角色, 接受并解析互联网传送的数据。       通过 HTTP 协议与 Swift 和 S3 应用通讯, 后端与 librados 结合, 通过socket 与 RADOS 集群通讯。 RGW 支持目前主流的WEB服务器, 包括 Civetwe...
一文读懂CEPH RGW基本原理
shichungang的博客
06-07 8294
一文读懂CEPH RGW基本原理。本文从RGW的基本原理出发,从整体上描述RGW的框架结构,突出关键结构之间的关联关系,从基础代码分析关键环节的实现细节,以达到清晰说明RGW模块“骨架”的效果。
第四课 ceph基础学习-RGW高可用集群和集群测试
QnHyn
10-19 1354
RGW高可用和集群测试
ceph rgw:bucket policy实现
会哭的雨@的博客
08-31 2368
ceph rgw:bucket policy实现 相比于aws,rgw的bucket policy实现的还不是很完善,有很多细节都不支持,并且已支持的特性也在很多细节方面与s3不同,尤其是因为rgw不支持类似s3的account user结构,而使用tenant作为替代而导致的一些不同。 并且在文档中还提及,为了修正这种不同,以及支持更多特性,在不久后会重写rgw的 Authentication/Authorization subsystem。到时候可能导致一些兼容问题? 差异性,主要有以下几点:
【Ceph】Ceph-RGW基本原理
bandaoyu的note
06-10 3715
原文:https://www.sohu.com/a/120065877_468741 背景 Ceph提供了三种存储类型:块存储、文件存储和对象存储,本文主要介绍对象存储的RGW基本原理和应用场景。 RGW 1 什么是对象存储? 对象存储(云存储)是面向对象/文件的、海量的互联网存储。对象存储里的对象是经过封装了的文件,在对象存储系统里, 不能直接打开/修改文件,但可以像ftp一样上传文件,下载文件等。另外,对象存储没有像文件系统那样有一个很多层级 的文件结构,而是只有一个“桶”的概念(也就是存储
Ceph 用户管理
热门推荐
litianze99的专栏
03-25 1万+
Ceph 用户管理用户管理Ceph storage cluster的认证和授权默认是启用的。Ceph的客户端用户要么是独立的个体用户,要么是系统中的一个应用,他们都使用ceph的客户端与ceph存储集群交互。 当ceph启用认证和授权时,你必须要指定用户名和包含秘钥的钥匙环才可以使用客户端与集群进行交互。如果不指定如:ceph heath,它会使用默认用户client.admin并自动通过ke
ceph user
bingzhilingyi的博客
06-04 1233
这个文档描述了ceph client user,以及user在ceph集群里的授权情况。 当ceph集群启用了权限验证(默认开启),你一定要指定一个user name和一个keyring(含有指定user的密钥)。如果你不指定一个user name,ceph会使用client.admin作为默认user name。如果你不指定一个keyring,ceph会在ceph配置文件夹(/etc/ceph...
Ceph认证机制
孟凡霄
11-18 840
Ceph认证机制 创建用户 用户通过ceph客户端向ceph认证系统请求生成一个用户ceph认证系统会生成一个用户名和密钥ceph认证系统会把用户名和密钥在监视器保存一份副本ceph认证系统会把用户名和密钥通过客户端给到用户所以用户和监视器都共享着同一份密钥 Ceph用共享密钥认证 客户端有一份密钥监视器集群有一份密钥客户端和监视器之间交互不需要用密钥认证(不需要对暗号) 监视器给用户共享密钥 用户通过ceph客户端向监视器请求获取会话密钥监视器用用户的私钥加密得到会话密钥给到用户 客户端拿着会话密
5 使用 cephx 进行身份验证
allway2的博客
09-30 1338
5 使用 cephx 进行身份验证 为了识别客户端并防范中间人攻击,Ceph 提供了 cephx 身份验证系统。在此环境中,客户端表示人类用户(例如 admin 用户)或 Ceph 相关的服务/守护进程(例如 OSD、监视器或对象网关)。 注意 cephx 协议不会处理 TLS/SSL 之类的传输中数据加密。 5.1 身份验证体系结构 cephx 使用共享机密密钥进行身份验证,...
Ceph 的用户管理与认证
烟云的计算
04-29 4932
目录 文章目录目录前言Ceph 的用户管理用户管理常规操作CephX 认证系统身份认证原理使用 ceph-authtool 进行密钥环管理 前言 常规的身份认证系统无非三点: 账户 角色权限 认证鉴权 本篇也从这三个角度来解析 Ceph 的用户管理与认证。 Ceph 的用户管理 Ceph 的用户可以是一个具体的人或系统角色(e.g. 应用程序),Ceph 管理员通过创建用户并设置权限来控制谁...
ceph17 rgw
最新发布
01-25
- `rgw_keystone_url`:如果启用了OpenStack Keystone认证的话则需指明URL; - `rgw_swift_token_expiration`:Swift API token的有效期长度等。 这些选项可以在`/etc/ceph/ceph.conf`文件内找到并按需调整。 #### ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值