Ceph认证机制

Ceph认证机制

​​创建用户​​

用户通过ceph客户端向ceph认证系统请求生成一个用户
ceph认证系统会生成一个用户名和密钥
ceph认证系统会把用户名和密钥在监视器保存一份副本
ceph认证系统会把用户名和密钥通过客户端给到用户
所以用户和监视器都共享着同一份密钥

​​Ceph用共享密钥认证​​

客户端有一份密钥
监视器集群有一份密钥
客户端和监视器之间交互不需要用密钥认证（不需要对暗号）

​​监视器给用户共享密钥​​

用户通过ceph客户端向监视器请求获取会话密钥
监视器用用户的私钥加密得到会话密钥给到用户

客户端拿着会话密钥向监视器获取服务
监视器给客户端一个凭证

ceph客户端拿着凭证向OSD发起数据请求

​​这个凭证是集群内部的通行证​​

小结

​​认证的整体流程​​

​​提醒​​

认证提供的保护位于 Ceph 客户端和服务器间
没有扩展到 Ceph 客户端之外
如果用户从远程主机访问 Ceph 客户端
Ceph 认证就不管用了
它不会影响到用户主机和客户端主机间的通讯