11.5.2.2 Rimozione di utenti S3 e Swift
La procedura di eliminazione degli utenti S3 e Swift è simile. Nel caso degli utenti Swift però potrebbe essere necessario eliminare l'utente e i rispettivi sottoutenti.
Per rimuovere un utente S3 o Swift (inclusi tutti i rispettivi sottoutenti), specificare user rm e l'ID utente nel seguente comando:
sudo radosgw-admin user rm --uid=example_user
Per rimuovere un sottoutente, specificare subuser rm e l'ID sottoutente.
sudo radosgw-admin subuser rm --uid=example_user:swift
È possibile utilizzare una delle seguenti opzioni:
--purge-data
Elimina definitivamente tutti i dati associato all'ID utente.
--purge-keys
Elimina definitivamente tutte le chiavi associate all'ID utente.
Suggerimento: rimozione di un sottoutente
Quando si rimuove un sottoutente, si rimuove l'accesso all'interfaccia Swift. L'utente ri-marrà nel sistema.
11.5.2.3 Modifica delle chiavi di accesso e segrete degli utenti S3 e Swift
I parametri di access_key e secret_key identificano l'utente Object Gateway nel momento in cui accede al gateway. Modificare chiavi utente esistenti è come crearne di nuove, in quanto le chiavi precedenti vengono sovrascritte.
Per gli utenti S3, eseguire quanto riportato di seguito:
sudo radosgw-admin key create --uid=example_user --key-type=s3 access-key --gen-secret
141 Gestione degli account S3 e Swift SES 5
Per gli utenti Swift, eseguire quanto riportato di seguito:
sudo radosgw-admin key create --subuser=example_user:swift --key-type=swift --gen-secret
--key-type=type
Specifica il tipo di chiave. swift o s3. --gen-access-key
Genera una chiave di accesso casuale (di default per l'utente S3).
--gen-secret
Genera una chiave segreta casuale.
--secret=key
Specifica una chiave segreta, ad esempio una chiave generata manualmente.
11.5.2.4 Gestione delle quote utente
Ceph Object Gateway consente di impostare le quote su utenti e compartimenti di proprietà degli utenti. Le quote includono il numero massimo di oggetti in un compartimento e le dimensioni massime di memorizzazione espresse in megabyte.
Prima di abilitare una quota utente, è necessario impostarne i parametri:
sudo radosgw-admin quota set --quota-scope=user --uid=example_user \ --max-objects=1024 --max-size=1024
--max-objects
Specifica il numero massimo di oggetti. Con un numero negativo la verifica viene disabi-litata.
--max-size
Specifica il numero massimo di byte. Con un numero negativo la verifica viene disabilitata.
--quota-scope
Specifica l'ambito della quota. Le opzioni sono bucket e user. Le quote dei comparti-menti si riferiscono ai comparticomparti-menti di proprietà di un utente. Le quote utente si riferi-scono a un utente.
Una volta impostata una quota utente, è possibile abilitarla:
sudo radosgw-admin quota enable --quota-scope=user --uid=example_user
142 Gestione degli account S3 e Swift SES 5
Per disabilitare una quota:
sudo radosgw-admin quota disable --quota-scope=user --uid=example_user
Per elencare le impostazioni della quota:
sudo radosgw-admin user info --uid=example_user
Per aggiornare le statistiche della quota:
sudo radosgw-admin user stats --uid=example_user --sync-stats
11.6 Abilitazione di HTTPS/SSL per gli Object Gateway
Per abilitare il ruolo Object Gateway di default in modo che comunichi in modo sicuro tramite SSL, è necessario disporre di un certificato emesso dalla CA o crearne uno firmato da se stessi.
È possibile configurare Object Gateway con HTTPS in due modi diversi: uno semplice in cui vengono utilizzate le impostazioni di default e un modo avanzato che consente di ottimizzare le impostazioni correlate ad HTTPS.
11.6.1 Creazione di un certificato firmato da se stessi
Suggerimento
Ignorare questa sezione se si dispone già di un certificato valido firmato dalla CA.
Per default, DeepSea si aspetta che il file certificato sia in /srv/salt/ceph/rgw/cert/rgw.pem nel Salt master. Il certificato verrà quindi distribuito a /etc/ceph/rgw.pem nel Salt minion con il ruolo Object Gateway, dove viene letto da Ceph.
Nella procedura seguente è illustrato come generare un certificato SSL firmato da se stessi sul nodo Salt master.
1. Aggiungere l'opzione subjectAltName alla sezione [v3_req] del file /etc/ssl/opens-sl.cnf per tutti i nomi host cui si desidera rendere noto Object Gateway mediante:
[...]
[ v3_req ]
subjectAltName = ${ENV::SAN}
[...]
143 Abilitazione di HTTPS/SSL per gli Object Gateway SES 5
2. Creare la chiave e il certificato utilizzando openssl. Aggiungere a openssl il prefisso env SAN=DNS:fqdn. Immettere tutti i dati che è necessario includere nel certificato. Si consiglia di immettere FQDN come nome comune. Prima di firmare il certificato, verificare che "X509v3 Subject Alternative Name:" sia incluso nelle estensioni richieste e che sia impostato nel certificato che viene generato.
root@master # env SAN=DNS:fqdn openssl req -x509 -nodes -days 1095 \ -newkey rsa:4096 -keyout rgw.key -out /srv/salt/ceph/rgw/cert/rgw.pem
11.6.2 Configurazione HTTPS semplice
Per default, Ceph sul nodo Object Gateway legge il certificato /etc/ceph/rgw.pem e utilizza la porta 443 per la comunicazione SSL sicura. Se non è necessario modificare questi valori, seguire la procedura indicata di seguito:
1. Modificare /srv/pillar/ceph/stack/global.yml e aggiungere la riga seguente:
rgw_configurations: rgw-ssl rgw_init: default-ssl
2. Eseguire le fasi 2, 3 e 4 di DeepSea per applicare le modifiche:
root@master # salt-run state.orch ceph.stage.2 root@master # salt-run state.orch ceph.stage.3 root@master # salt-run state.orch ceph.stage.4
11.6.3 Configurazione HTTPS avanzata
Se è necessario modificare i valori di default per le impostazioni SSL di Object Gateway, seguire la procedura indicata di seguito:
1. Copiare la configurazione SSL di Object Gateway di default nella sottodirectory ce-ph.conf.d:
root@master # cp /srv/salt/ceph/configuration/files/rgw-ssl.conf \ /srv/salt/ceph/configuration/files/ceph.conf.d/rgw.conf
2. Modificare /srv/salt/ceph/configuration/files/ceph.conf.d/rgw.conf e le op-zioni di default, come il numero porta o il percorso del certificato SSL in modo che riflet-tano la configurazione impostata.
144 Configurazione HTTPS semplice SES 5
3. Eseguire le fasi 3 e 4 di DeepSea per applicare le modifiche:
root@master # salt-run state.orch ceph.stage.3 root@master # salt-run state.orch ceph.stage.4