混合云对象存储
裸机
纠删码计算器
参考硬件
活动目录(AD) / LDAP 设置
本页面文档化了使用活动目录或LDAP服务启用外部身份管理的设置。 有关使用这些设置的教程,请参阅 配置MinIO以使用Active Directory / LDAP进行身份验证。
重要
新版本 RELEASE.2023-05-26T23-31-54Z :
mc idp ldap 命令优于使用配置设置来配置MinIO以使用活动目录或LDAP进行身份管理。
MinIO 建议使用 mc idp ldap 命令进行 LDAP 管理操作。
这些命令提供了更好的验证和额外功能,同时提供了与 identity_ldap 配置键相同的设置。
有关使用 mc idp ldap 的教程,请参阅 配置MinIO以使用Active Directory / LDAP进行身份验证。
identity_ldap 配置设置仍然对现有的脚本和其他工具可用。
您可以通过定义以下内容来建立或修改设置:
在启动或重新启动 MinIO 服务器之前,在宿主系统上定义一个 环境变量。 请参阅您的操作系统的文档,了解如何定义环境变量。
使用
mc admin config set命令来设置一个 配置项。使用 MinIO控制台 的 管理员 > 设置 页面来设置一个 配置项。
如果您同时定义了环境变量和类似的配置设置,MinIO 将使用环境变量的值。
有些设置只有环境变量或配置设置,而不是两者都有。
重要
每个配置设置都控制着MinIO的基本行为和功能。 MinIO 强烈建议 在较低的环境中,如DEV或QA,测试配置更改,然后再将其应用到生产环境中。
示例
MINIO_IDENTITY_LDAP_SERVER_ADDR="ldapserver.com:636"
备注
srv_record_name automatically identifies the port.
如果您的 AD/LDAP 服务器使用 DNS SRV 记录,请不要将端口号附加到您的 server_addr 值后面。
SRV 请求在返回可用服务器的列表时会自动包含端口号。
在使用 mc admin config set 定义 LDAP 时,需要以下设置:
enabledserver_addrlookup_bind_dnlookup_bind_dn_passworduser_dn_search_base_dnuser_dn_search_filter
mc admin config set identity_ldap \
enabled="true" \
server_addr="ad-ldap.example.net/" \
lookup_bind_dn="cn=miniolookupuser,dc=example,dc=net" \
lookup_bind_dn_password="userpassword" \
user_dn_search_base_dn="dc=example,dc=net" \
user_dn_search_filter="(&(objectCategory=user)(sAMAccountName=%s))"
设置
服务器地址
必需的
- MINIO_IDENTITY_LDAP_SERVER_ADDR
指定Active Directory/LDAP服务器的主机名。例如:
ldapserver.com:636
srv_record_nameautomatically identifies the port如果您的AD/LDAP服务器使用
DNS SRV记录,则 不要 将端口号附加到server_addr值。 SRV请求在返回可用服务器列表时自动包括端口号。
指定Active Directory/LDAP服务器的主机名。例如:
ldapserver.com:636
srv_record_name automatically identifies the port
如果您的AD/LDAP服务器使用 DNS SRV记录,则 不要 将端口号附加到 server_addr 值。
SRV请求在返回可用服务器列表时自动包括端口号。
查找绑定 DN
必需的
指定MinIO在查询AD/LDAP服务器时使用的AD/LDAP帐户的可分辨名称(DN)。 启用对AD/LDAP服务器的 Lookup-Bind 身份验证。
DN帐户应该是只读访问密钥, 具有足够的特权支持查询执行用户和组查找。
查找绑定密码
必需的
指定 Lookup-Bind 用户帐户的密码。.
在 RELEASE.2023-06-23T20-26-00Z 版本发生变更: 当作为 mc admin config get 的一部分返回时,MinIO会消除该值。
用户 DN 搜索基础 DN
必需的
指定MinIO在查询与身份验证客户端提供的用户凭据 相匹配的凭据时使用的基本可分辨名称(DN)。
用分号( ; )分隔多个 DN。
例如:
cn=miniousers,dc=myldapserver,dc=net;ou=swengg,dc=min,dc=io
支持 Lookup-Bind 模式.
用户 DN 搜索过滤器
必需的
指定MinIO在查询与身份验证客户端提供的用户凭据 相匹配的凭据时使用的AD / LDAP搜索过滤器。
使用 %s 替换字符将客户端指定的用户名插入到
搜索字符串中。例如:
(userPrincipalName=%s)
用户 DN 属性
可选项
在 RELEASE.2024-06-06T09-36-42Z 版本加入.
以逗号分隔的用户 DN 属性列表.
一些有效值包括, uid,cn,mail,sshPublicKey .
为 LDAP 用户启用公共身份验证, 将 sshPublicKey 作为 DN 属性传递.
然后,用户可以使用通过的 SSH 公钥登录 SFTP 服务器.
mc idp ldap update ALIAS user_dn_attributes=sshPublicKey
Enabled
可选
将此设置为 false 以禁用 AD/LDAP 配置。
如果为 false ,应用程序将无法生成 STS 凭据或使用配置的提供者以其他方式对 MinIO 进行身份验证。
默认设置为 true 或 enabled 。
群组搜索过滤器
可选
指定用于执行经过身份验证的用户组查找的AD / LDAP 搜索过滤器。
使用 %s 替换字符将客户端指定的用户名插入到搜索字符串中。
使用 %d 替换字符将客户端指定的用户名的可分辨名称
插入到搜索字符串中。
例如:
(&(objectclass=groupOfNames)(memberUid=%s))
组搜索基础 DN
可选
指定以分号分隔( ; )的组搜索基础列表 Distinguished Names
MinIO 在执行组查找时使用。
例如:
cn=miniogroups,dc=myldapserver,dc=net;ou=swengg,dc=min,dc=io
TLS 跳过验证
可选
指定 on 以信任AD / LDAP服务器TLS证书而无需验证。
如果AD / LDAP服务器TLS证书由不受信任的证书颁发机构(例如自签名)签署,
则可能需要使用此选项。
默认为 off
Server Insecure
可选
指定 on 以允许到AD / LDAP服务器的未安全(非TLS加密)
连接。
MinIO以明文形式将AD / LDAP用户凭据发送到AD / LDAP服务器, 因此启用TLS是 必需 的,以防止通过网络读取凭据。 使用此选项存在安全风险, 任何可以访问网络流量的用户都可以观察未加密的明文凭据。
默认为 off .
服务器启动 TLS
可选
将 on 指定为启用对AD/LDAP服务器的 StartTLS 连接。
默认为 off .
有关 StartTLS 的更多信息,请参考 LDAP RFC 4511规范 的第4.14节。
SRV 记录名称
可选
在 RELEASE.2022-12-12T19-27-27Z 版本加入.
指定适当的值,以使MinIO能够使用 DNS SRV记录 请求选择AD / LDAP服务器。
启用此功能后,MinIO将通过以下方式选择AD / LDAP服务器:
按照标准命名约定构建目标SRV记录名。
请求可用的AD / LDAP服务器列表。
根据优先级和权重选择适当的目标。
下面的配置示例假定AD / LDAP服务器地址设置为 example.com, SRV记录协议为 _tcp 。
对于以 _ldap 开头的SRV记录名称,请指定 ldap 。
构建的DNS SRV记录名称类似于以下内容:
_ldap._tcp.example.com
对于以 _ldaps 开头的SRV记录名称,请指定 ldaps 。
构建的DNS SRV记录名称类似于以下内容:
_ldaps._tcp.example.com
如果您的DNS SRV记录名称使用替代服务或协议名称,请指定 on 并将完整的记录名称提供为LDAP服务器地址。
例: _ldapserver._specialtcp.example.com
要了解有关DNS SRV记录的更多信息,请参阅 LDAP的DNS SRV记录。
Server address for DNS SRV record configurations
指定的服务器名称 不得 包括端口号。 这与标准的AD/LDAP配置不同,后者需要端口号。
有关配置AD/LDAP服务器地址的更多信息,请参见 server_addr 或 MINIO_IDENTITY_LDAP_SERVER_ADDR。
Comment
可选
指定要关联到AD/LDAP配置的注释。
商业支持购买咨询