設定 MinIO 以使用 Active Directory / LDAP 進行身分驗證

概觀

MinIO 支援設定單一 Active Directory / LDAP 連線，用於外部管理使用者身分。

此頁面上的程序提供了以下操作的說明：

設定 MinIO 租戶以使用外部 AD/LDAP 提供者
使用 AD/LDAP 憑證存取租戶主控台。
使用 MinIO AssumeRoleWithLDAPIdentity 安全性權杖服務 (STS) API 產生供應用程式使用的臨時憑證。

此程序適用於 AD/LDAP 服務。請參閱您選擇的 AD/LDAP 提供者的文件，以取得有關設定使用者身分的特定說明或程序。

先決條件

MinIO Kubernetes Operator

確保您的目標 Kubernetes 叢集已安裝有效且可運作的 MinIO Kubernetes Operator。此文件假設使用最新的穩定 Operator 版本 6.0.4。

Active Directory / LDAP 相容身分提供者

此程序假設存在現有的 Active Directory 或 LDAP 服務。有關設定 AD/LDAP 的說明不在此程序的範圍內。

對於在與 MinIO 租戶相同的 Kubernetes 叢集內部的 AD/LDAP 部署，您可以使用 Kubernetes 服務名稱，以允許 MinIO 租戶建立與 AD/LDAP 服務的連線。
對於 Kubernetes 叢集外部的 AD/LDAP 部署，您必須確保叢集支援 Kubernetes 服務和 Pod 與外部網路之間的路由通訊。這可能需要設定或部署額外的 Kubernetes 網路元件，和/或啟用對公用網際網路的存取。

MinIO 需要唯讀的存取金鑰，以便它綁定來執行已驗證的使用者和群組查詢。請確保每個要與 MinIO 一起使用的 AD/LDAP 使用者和群組，在 MinIO 部署上都有對應的政策。沒有被指派政策 *且* 其成員所在的群組也沒有被指派政策的 AD/LDAP 使用者，將沒有權限存取 MinIO 集群上的任何操作或資源。

MinIO 租戶

此程序假設您的 Kubernetes 集群有足夠的資源來部署新的 MinIO 租戶。

您也可以使用此程序作為指南，來修改現有的 MinIO 租戶以啟用 AD/LDAP 身分管理。

使用 Active Directory / LDAP 身分管理部署 MinIO 租戶

1) 存取 Operator Console

暫時轉發本機主機和 MinIO Operator Console 之間的流量，並擷取您 Operator 部署的 JWT 令牌。如需說明，請參閱設定存取 Operator Console 服務。

在您的瀏覽器中開啟臨時 URL，並在登入頁面中輸入 JWT 令牌。您應該會看到租戶頁面。

點擊 + 建立租戶開始建立 MinIO 租戶。

如果您要修改現有的租戶，請從清單中選取該租戶。以下步驟將參考現有租戶所需的區段和設定。

2) 完成身分提供者區段

若要使用 Active Directory / LDAP 提供者啟用外部身分管理，請選取身分提供者區段。然後您可以將單選按鈕變更為Active Directory，以顯示組態設定。

MinIO Operator Console - Create a Tenant - External Identity Provider Section - Active Directory / LDAP

星號 * 表示必填欄位。下表提供這些欄位的一般指引

欄位	描述
LDAP 伺服器位址	Active Directory 或 LDAP 伺服器的主機名稱。
查詢綁定 DN	MinIO 用來驗證和查詢 AD/LDAP 伺服器的辨別名稱。如需更多資訊，請參閱查詢 Active Directory / LDAP 服務。
要成為租戶管理員的使用者 DN (辨別名稱) 清單	指定一個使用者DN，MinIO 會將具有租戶管理權限的政策指派給該使用者。您可以選取加號圖示來指定多個DN。您可以選取垃圾桶圖示來刪除該 DN。

欄位

描述

LDAP 伺服器位址

Active Directory 或 LDAP 伺服器的主機名稱。

查詢綁定 DN

MinIO 用來驗證和查詢 AD/LDAP 伺服器的辨別名稱。

如需更多資訊，請參閱查詢 Active Directory / LDAP 服務。

要成為租戶管理員的使用者 DN (辨別名稱) 清單

指定一個使用者DN，MinIO 會將具有租戶管理權限的政策指派給該使用者。您可以選取加號圖示來指定多個DN。您可以選取垃圾桶圖示來刪除該 DN。

完成此區段後，您可以完成租戶部署的其他任何必要區段。

3) 將政策指派給 AD/LDAP 使用者

預設情況下，MinIO 不會將任何政策指派給 AD/LDAP 使用者或群組。您必須明確地將 MinIO 政策指派給指定的使用者或群組辨別名稱 (DN)，以授予該使用者或群組存取 MinIO 部署的權限。

以下範例假設已為 MinIO 租戶設定現有的別名。

使用mc idp ldap policy attach命令，將使用者或群組 DN 指派給現有的 MinIO 政策

mc idp ldap policy attach minio-tenant POLICY --user='uid=primary,cn=applications,dc=domain,dc=com'
mc idp ldap policy attach minio-tenant POLICY --group='cn=applications,ou=groups,dc=domain,dc=com'

將 POLICY 替換為要指派給使用者或群組 DN 的 MinIO 政策名稱。

如需更多關於 AD/LDAP 使用者和群組存取控制的資訊，請參閱AD/LDAP 管理的身分存取控制。

4) 使用 MinIO 租戶主控台以 AD/LDAP 憑證登入

MinIO 主控台支援對 AD/LDAP 提供者進行驗證、使用 MinIO AssumeRoleWithLDAPIdentity 安全性權杖服務 (STS) 端點產生臨時憑證，以及讓使用者登入 MinIO 部署的完整工作流程。

如需更多關於存取租戶主控台的資訊，請參閱部署 MinIO 租戶：連線至租戶。

如果 AD/LDAP 設定成功，主控台會顯示一個按鈕，可使用 AD/LDAP 憑證登入。

輸入使用者的 AD/LDAP 憑證並登入以存取主控台。

登入後，您可以執行已驗證使用者授權的任何操作。

您也可以建立存取金鑰，以支援必須在 MinIO 上執行操作的應用程式。存取金鑰是長期有效的憑證，會從父使用者繼承其權限。父使用者可以在建立存取金鑰時進一步限制這些權限。

5) 使用 AD/LDAP 憑證產生與 S3 相容的臨時憑證

應用程式可以使用 AD/LDAP 使用者憑證，使用 AssumeRoleWithLDAPIdentity 安全性權杖服務 (STS) API 端點，依需求產生與 S3 相容的臨時憑證。MinIO 提供了一個範例 Go 應用程式 ldap.go，其中包含管理此工作流程的範例。

POST https://minio.example.net?Action=AssumeRoleWithLDAPIdentity
&LDAPUsername=USERNAME
&LDAPPassword=PASSWORD
&Version=2011-06-15
&Policy={}

將 minio.example.net 替換為 MinIO 租戶服務的主機名稱或 URL。
將 LDAPUsername 替換為 AD/LDAP 使用者的使用者名稱。
將 LDAPPassword 替換為 AD/LDAP 使用者的密碼。
將 Policy 替換為內嵌的 URL 編碼 JSON 政策，以進一步限制與臨時憑證相關聯的權限。

省略以使用名稱與 AD/LDAP 使用者的辨別名稱 (DN) 相符的政策。

API 回應由 XML 文件組成，其中包含存取金鑰、秘密金鑰、工作階段權杖和到期日期。應用程式可以使用存取金鑰和秘密金鑰來存取 MinIO 並執行操作。

如需參考文件，請參閱AssumeRoleWithLDAPIdentity。

停用已設定的 Active Directory / LDAP 連線

RELEASE.2023-03-20T20-16-18Z 版本的新功能。

您可以根據需要啟用和停用已設定的 AD/LDAP 連線。

使用mc idp ldap disable停用已設定的連線。使用mc idp ldap enable啟用先前設定的連線。

您也可以從MinIO 主控台啟用或停用 AD/LDAP。