注意
本文档适用于 Ceph 开发版本。
RGW 对多因素身份验证的支持
Mimic 版本中的新功能。
S3 多因素身份验证(MFA)功能允许用户在删除某些存储桶中的对象时要求使用一次性密码。这些存储桶需要通过 S3 API 配置版本控制和 MFA。
基于时间的一次性密码令牌可以通过 radosgw-admin 分配给用户。每个令牌都有一个秘密种子和一个分配给它的序列 ID。令牌被添加到用户,可以列出、删除,还可以重新同步。
多站点
虽然 MFA ID 设置在用户的元数据上,但实际的 MFA 一次性密码配置位于本地区域的 osds 中。因此,在多站点环境中,建议为不同区域使用不同的令牌。
术语
-TOTP: 基于时间的一次性密码
-token serial: 表示 TOTP 令牌 ID 的字符串
-token seed: 用于计算 TOTP 的秘密种子
-totp seconds: 用于生成 TOTP 的时间分辨率
-totp window: 在验证令牌时,当前令牌之前和之后检查的 TOTP 令牌的数量
-totp pin: 某一时间的 TOTP 令牌的有效值
管理命令
创建一个新的 MFA TOTP 令牌
# radosgw-admin mfa create --uid=<user-id> \
--totp-serial=<serial> \
--totp-seed=<seed> \
[ --totp-seed-type=<hex|base32> ] \
[ --totp-seconds=<num-seconds> ] \
[ --totp-window=<twindow> ]
列出 MFA TOTP 令牌
# radosgw-admin mfa list --uid=<user-id>
显示 MFA TOTP 令牌
# radosgw-admin mfa get --uid=<user-id> --totp-serial=<serial>
删除 MFA TOTP 令牌
# radosgw-admin mfa remove --uid=<user-id> --totp-serial=<serial>
检查 MFA TOTP 令牌
测试 TOTP 令牌 PIN,用于验证 TOTP 功能是否正常。
# radosgw-admin mfa check --uid=<user-id> --totp-serial=<serial> \
--totp-pin=<pin>
重新同步 MFA TOTP 令牌
为了重新同步 TOTP 令牌(在时间偏差的情况下)。这需要提供两个连续的 PIN:上一个 PIN 和当前的 PIN。
# radosgw-admin mfa resync --uid=<user-id> --totp-serial=<serial> \
--totp-pin=<prev-pin> --totp=pin=<current-pin>
由 Ceph 基金会带给您
Ceph 文档是一个社区资源,由非盈利的 Ceph 基金会资助和托管Ceph Foundation. 如果您想支持这一点和我们的其他工作,请考虑加入现在加入.