3.3　Ceph認證

為了識別用戶并防止系統被攻擊，Ceph提供了Cephx身份驗證系統。該系統對用戶和守護進程進行身份驗證。Cephx不解決通過網絡傳輸或在OSD中存儲的數據加密問題，解決的是系統認證問題。

簡單來說，Cephx認證的不僅有客戶端用戶（比如某客戶端要想執行命令來操作集群，就要有登錄Ceph的密鑰），也有Ceph集群的服務器，這是一種特殊的用戶類型MON/OSD/MDS。也就是說，Monitor、OSD、MDS都需要賬號和密碼來登錄Ceph系統。

Cephx使用共享密鑰進行身份驗證，這意味著客戶端和Monitor都具有客戶端密鑰的副本。身份驗證協議使雙方可以相互證明自己擁有密鑰的副本，而無須透露密鑰。也就是說，集群確定用戶擁有密鑰，并且用戶確定集群有密鑰的副本。

用戶通過Ceph客戶端訪問Monitor。每個Monitor都可以對用戶進行身份驗證并分配密鑰，因此使用Cephx時不會出現單點故障。Monitor返回身份驗證數據，其中包含用于獲取Ceph服務的會話密鑰。該會話密鑰本身已使用用戶的永久密鑰加密，因此用戶只能向Monitor請求服務，然后客戶端使用會話密鑰從Monitor請求其所需的服務，并且由Monitor向客戶端提供密鑰，客戶端拿到該密鑰即可向實際處理數據的OSD發起認證。Monitor和OSD共享一個密鑰，因此Monitor提供的密鑰可以被集群中的任何OSD或元數據服務器共用。這種身份驗證形式可防止有權訪問通信介質的攻擊者創建虛假消息或更改其他用戶的合法消息，但只要該用戶的密鑰在到期前不被泄露就不會有威脅。要使用Cephx，管理員必須首先設置用戶，具體設置方法本章不介紹。