所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

FusionCloud 6.3.0 安全管理指南 09

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
修改token有效期及安全参数

修改token有效期及安全参数

背景信息

FusionSphere OpenStack安装完成后,用户申请token有效期默认为1天。同时使用用户名密码获取token,允许的连续错误次数为5次。当超过连续错误次数时,禁止用户获取token一段时间,默认为5分钟。

本任务指导管理员根据业务需要修改以上三个默认值,从而提升系统运维安全性。

前提条件

  • 已准备跨平台远程访问工具,如“PuTTY”。
  • 已获取cloud_admin帐户信息。
  • 已获取keystone服务的publicURL。
  • 已获取region name信息。
  • 已获取第一台主机的反向代理IP地址、“fsp”及“root”帐户的登录密码。

操作步骤

  1. 使用PuTTY,通过External OM平面IP地址登录OpenStack首节点。

    默认帐号:fsp,默认密码:Huawei@CLOUD8。

    说明:
    • 系统同时支持密码和公私钥对身份进行认证,如果使用公私钥对进行登录认证请参见使用PuTTY通过公私钥对认证方式登录节点
    • External OM平面IP地址请参考软件安装阶段FusionCloud Deploy导出的参数信息汇总文件《xxx_export_all.xlsm》的“FCD生成的LLD”页签搜索对应参数名称获取。不同场景参数名称如下所示:
      • Region Type I场景级联层:Cascading-ExternalOM-Reverse-Proxy,被级联层:Cascaded-ExternalOM-Reverse-Proxy。
      • Region Type II和Type II场景:ExternalOM-Reverse-Proxy。

  2. 执行以下命令,并输入“root”帐户的密码切换到“root”帐户。

    su - root

    root用户默认密码为“Huawei@CLOUD8!”。

  3. 执行以下命令,导入环境变量。

    source set_env

    回显如下类似信息:

    please choose environment variable which you want to import: 
    (1) openstack environment variable (keystone v3) 
    (2) cps environment variable 
    (3) openstack environment variable legacy (keystone v2) 
    (4) openstack environment variable of cloud_admin (keystone v3) 
    please choose:[1|2|3|4]      

  4. 输入“1”,选择使用keystone鉴权,按照提示输入帐号“OS_USERNAME”的密码(默认密码为“FusionSphere123”)。
  5. 执行以下操作,修改token有效期、使用用户名密码获取token允许的连续错误次数、连续错误次数达到配置值时禁止用户获取token的时长。

    cps template-params-update --service keystone keystone --parameter expiration=86400 forbidden_times=5 forbidden_delay=300

    命令中参数含义如表5-2

    表5-2 参数含义

    参数

    含义

    expiration

    token有效时长,单位秒。

    forbidden_times

    使用用户名密码获取token,允许的连续错误次数。当超过连续错误次数时,禁止用户获取token一段时间。

    说明:

    当该值设置为0时,表示没有连续错误次数的限制,用户可以无限制尝试,此时将存在被暴力破解的风险。

    forbidden_delay

    当获取token的连续错误次数达到配置值时,禁止用户获取token的时长(单位:秒)

    说明:

    当该值设置为0时,表示不会禁止用户获取token,用户可以无限制尝试,此时将存在被暴力破解的风险。

  6. 执行以下命令,提交配置。

    cps commit

翻译
下载文档
更新时间:2019-01-25

文档编号:EDOC1100015665

浏览量:28369

下载量:788

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页