Ir al contenidoIr a la navegación de la página: página anterior [tecla de acceso p]/página siguiente [tecla de acceso n]
documentation.suse.com / Documentación de SUSE Enterprise Storage 7.1 / Guía de administración y operaciones / Ceph Dashboard / Configuración manual
Se aplica a SUSE Enterprise Storage 7.1

10 Configuración manual

En esta sección se presenta información avanzada para los usuarios que prefieren configurar manualmente los valores de la consola en la línea de comandos.

10.1 Configuración de la compatibilidad con TLS/SSL

Todas las conexiones HTTP a la consola están protegidas por defecto con TLS/SSL. Una conexión segura requiere un certificado SSL. Puede usar un certificado autofirmado o generar un certificado y hacer que una entidad de certificación (CA) conocida lo firme.

Sugerencia
Sugerencia: inhabilitación de SSL

A veces puede ser necesario inhabilitar SSL por algún motivo. Por ejemplo, si la consola se ejecuta mediante un proxy que no admite SSL.

Tenga cuidado al inhabilitar SSL, ya que los nombres de usuario y las contraseñas se enviarán a la consola sin cifrar.

Para inhabilitar SSL, ejecute:

cephuser@adm > ceph config set mgr mgr/dashboard/ssl false
Sugerencia
Sugerencia: reinicio de los procesos de Ceph Manager

Debe reiniciar los procesos de Ceph Manager manualmente después de cambiar el certificado SSL y la clave. Puede hacerlo ejecutando:

cephuser@adm > ceph mgr fail ACTIVE-MANAGER-NAME

o inhabilitando y volviendo a habilitar el módulo de consola, lo que también activa que el gestor se vuelva a reproducir a sí mismo:

cephuser@adm > ceph mgr module disable dashboard
cephuser@adm > ceph mgr module enable dashboard

10.1.1 Creación de certificados autofirmados

Crear un certificado autofirmado para establecer comunicaciones seguras es sencillo. Es una manera rápida de conseguir poner en funcionamiento la consola.

Nota
Nota: queja de los navegadores Web

La mayoría de los navegadores Web producen una advertencia sobre los certificados autofirmados y requerirán que se confirmen explícitamente antes de establecer una conexión segura con la consola.

Para generar e instalar un certificado autofirmado, utilice el siguiente comando integrado:

cephuser@adm > ceph dashboard create-self-signed-cert

10.1.2 Uso de certificados firmados por una CA

Para proteger correctamente la conexión a la consola y eliminar las advertencias de los navegadores Web sobre los certificados autofirmados, se recomienda usar un certificado firmado por una CA.

Puede generar un par de claves de certificado con un comando similar al siguiente:

# openssl req -new -nodes -x509 \
  -subj "/O=IT/CN=ceph-mgr-dashboard" -days 3650 \
  -keyout dashboard.key -out dashboard.crt -extensions v3_ca

El comando anterior genera los archivos dashboard.key y dashboard.crt. Después de que una CA haya firmado el archivo dashboard.crt, habilítelo para todas las instancias de Ceph Manager ejecutando los comandos siguientes:

cephuser@adm > ceph dashboard set-ssl-certificate -i dashboard.crt
cephuser@adm > ceph dashboard set-ssl-certificate-key -i dashboard.key
Sugerencia
Sugerencia: certificados diferentes para cada instancia del gestor

Si necesita certificados diferentes para cada instancia de Ceph Manager, modifique los comandos e incluya el nombre de la instancia de la siguiente manera. Sustituya NAME por el nombre de la instancia de Ceph Manager (normalmente es el nombre de host relacionado):

cephuser@adm > ceph dashboard set-ssl-certificate NAME -i dashboard.crt
cephuser@adm > ceph dashboard set-ssl-certificate-key NAME -i dashboard.key

10.2 Cambio del nombre del host y el número del puerto

Ceph Dashboard se asocia con una dirección TCP/IP y un puerto TCP específicos. Por defecto, la instancia de Ceph Manager activa actualmente donde se aloja la consola se vincula al puerto TCP 8443 (o al 8080 si SSL está inhabilitado).

Nota
Nota

Si hay un cortafuegos habilitado en los hosts en los que se ejecuta Ceph Manager (y, por lo tanto, Ceph Dashboard), es posible que deba cambiar la configuración para habilitar el acceso a estos puertos. Para obtener más información sobre la configuración del cortafuegos para Ceph, consulte el Section 13.7, “Firewall settings for Ceph”.

Ceph Dashboard se asocia por defecto con "::", que corresponde a todas las direcciones IPv4 e IPv6 disponibles. Es posible cambiar la dirección IP y el número de puerto de la aplicación Web para que se apliquen a todas las instancias de Ceph Manager mediante los siguientes comandos:

cephuser@adm > ceph config set mgr mgr/dashboard/server_addr IP_ADDRESS
cephuser@adm > ceph config set mgr mgr/dashboard/server_port PORT_NUMBER
Sugerencia
Sugerencia: configuración por separado de instancias de Ceph Manager

Dado que cada daemon ceph-mgr aloja su propia instancia de la consola, es posible que deba configurarlos por separado. Cambie la dirección IP y el número de puerto de una instancia específica del gestor mediante los comandos siguientes (sustituya NAME por el ID de la instancia de ceph-mgr):

cephuser@adm > ceph config set mgr mgr/dashboard/NAME/server_addr IP_ADDRESS
cephuser@adm > ceph config set mgr mgr/dashboard/NAME/server_port PORT_NUMBER
Sugerencia
Sugerencia: listado de puestos finales configurados

El comando ceph mgr services muestra todos los puestos finales que están configurados actualmente. Busque la clave dashboard para obtener la dirección URL con la que acceder a la consola.

10.3 Ajuste de nombres de usuario y contraseñas

Si no desea utilizar la cuenta de administrador por defecto, cree una cuenta de usuario diferente y asóciela con al menos una función. Proporcionamos un conjunto de funciones de sistema predefinidos que puede usar. Para obtener más información, consulte el Capítulo 11, Gestión de usuarios y funciones en la línea de comandos.

Para crear un usuario con privilegios de administrador, utilice el comando siguiente:

cephuser@adm > ceph dashboard ac-user-create USER_NAME PASSWORD administrator

10.4 Habilitación del procesador frontal de gestión de Object Gateway

Para utilizar la funcionalidad de gestión de Object Gateway de la consola, debe proporcionar las credenciales de entrada de un usuario con el indicador system habilitado:

  1. Si no tiene ningún usuario con el indicador system, cree uno:

    cephuser@adm > radosgw-admin user create --uid=USER_ID --display-name=DISPLAY_NAME --system

    Tome nota de las claves access_key y secret_key del resultado del comando.

  2. También puede obtener las credenciales de un usuario existente mediante el comando radosgw-admin:

    cephuser@adm > radosgw-admin user info --uid=USER_ID
  3. Proporcione las credenciales que ha recibido a la consola en archivos independientes:

    cephuser@adm > ceph dashboard set-rgw-api-access-key ACCESS_KEY_FILE
    cephuser@adm > ceph dashboard set-rgw-api-secret-key SECRET_KEY_FILE
Nota
Nota

Por defecto, el cortafuegos está habilitado en SUSE Linux Enterprise Server 15 SP3. Para obtener más información acerca de la configuración del cortafuegos, consulte el Section 13.7, “Firewall settings for Ceph”.

Se deben tener en cuenta varios puntos:

  • El nombre de host y el número de puerto de Object Gateway se determinan automáticamente.

  • Si se utilizan varias zonas, el host se determinará automáticamente dentro del grupo de zonas maestras y la zona maestra. Esto es suficiente para la mayoría de configuraciones, pero en algunas circunstancias es posible que sea necesario definir el nombre de host y el puerto manualmente:

    cephuser@adm > ceph dashboard set-rgw-api-host HOST
    cephuser@adm > ceph dashboard set-rgw-api-port PORT
  • Podría necesitar estos ajustes adicionales:

    cephuser@adm > ceph dashboard set-rgw-api-scheme SCHEME  # http or https
    cephuser@adm > ceph dashboard set-rgw-api-admin-resource ADMIN_RESOURCE
    cephuser@adm > ceph dashboard set-rgw-api-user-id USER_ID
  • Si utiliza un certificado autofirmado (Sección 10.1, “Configuración de la compatibilidad con TLS/SSL”) en la configuración de Object Gateway, inhabilite la verificación del certificado en la consola para evitar que se rechacen conexiones debido a que haya certificados firmados por una CA desconocida o a que no coincidan con el nombre de host:

    cephuser@adm > ceph dashboard set-rgw-api-ssl-verify False
  • Si Object Gateway tarda demasiado en procesar las peticiones y se agota el tiempo de espera en la consola, el valor del tiempo de espera se puede ajustar (por defecto es de 45 segundos):

    cephuser@adm > ceph dashboard set-rest-requests-timeout SECONDS

10.5 Habilitación de la gestión de iSCSI

Ceph Dashboard gestiona los destinos iSCSI mediante la API REST proporcionada por el servicio rbd-target-api de Ceph iSCSI Gateway. Asegúrese de que está instalado y habilitado en las pasarelas iSCSI.

Nota
Nota

La funcionalidad de gestión de iSCSI de Ceph Dashboard depende de la última versión 3 del proyecto ceph-iscsi. Asegúrese de que el sistema operativo proporciona la versión correcta; de lo contrario, Ceph Dashboard no habilitará las funciones de gestión.

Si la API REST ceph-iscsi está configurada en modo HTTPS y utiliza un certificado autofirmado, configure la consola para evitar la verificación del certificado SSL al acceder a la API ceph-iscsi.

Inhabilite la verificación SSL de la API:

cephuser@adm > ceph dashboard set-iscsi-api-ssl-verification false

Defina las pasarelas iSCSI disponibles:

cephuser@adm > ceph dashboard iscsi-gateway-list
cephuser@adm > ceph dashboard iscsi-gateway-add scheme://username:password@host[:port]
cephuser@adm > ceph dashboard iscsi-gateway-rm gateway_name

10.6 Habilitación de Single Sign-On

Single Sign-On (SSO) es un método de control de acceso que permite a los usuarios entrar a la sesión mediante un único identificador y una contraseña en varias aplicaciones simultáneamente.

Ceph Dashboard admite la autenticación externa de usuarios a través del protocolo SAML 2.0. Dado que la autorización la sigue realizando la consola, primero debe crear cuentas de usuario y asociarlas a las funciones deseadas. Sin embargo, el proceso de autenticación lo puede realizar un proveedor de identidades (IdP) existente.

Para configurar Single Sign-On, utilice el siguiente comando:

cephuser@adm > ceph dashboard sso setup saml2 CEPH_DASHBOARD_BASE_URL \
 IDP_METADATA IDP_USERNAME_ATTRIBUTE \
 IDP_ENTITY_ID SP_X_509_CERT \
 SP_PRIVATE_KEY

Parámetros:

CEPH_DASHBOARD_BASE_URL

La URL base desde la que se puede acceder a la Ceph Dashboard (por ejemplo, "https://consolaceph.local").

IDP_METADATA

La URL, la vía o el contenido del XML de metadatos del IdP (por ejemplo, "https://miidp/metadatos").

IDP_USERNAME_ATTRIBUTE

Opcional. El atributo que se usará para obtener el nombre de usuario de la respuesta de autenticación. El valor por defecto es "uid".

IDP_ENTITY_ID

Opcional. Se usa cuando existe más de un ID de entidad en los metadatos del IdP.

SP_X_509_CERT / SP_PRIVATE_KEY

Opcional. Vía o contenido del certificado que usará la Ceph Dashboard (el proveedor de servicios) para la firma y el cifrado. Es necesario que se pueda acceder a estas vías de archivo desde la instancia activa de Ceph Manager.

Nota
Nota: peticiones SAML

Este patrón irá seguido del valor del emisor de las peticiones SAML:

CEPH_DASHBOARD_BASE_URL/auth/saml2/metadata

Para mostrar la configuración actual de SAML 2.0, ejecute:

cephuser@adm > ceph dashboard sso show saml2

Para inhabilitar Single Sign-On, ejecute:

cephuser@adm > ceph dashboard sso disable

Para comprobar si SSO está habilitado, ejecute:

cephuser@adm > ceph dashboard sso status

Para habilitar SSO, ejecute:

cephuser@adm > ceph dashboard sso enable saml2