Erasure Code 計算器 
參考硬體 設定 MinIO 以使用 Active Directory / LDAP 進行驗證
總覽
MinIO 支援設定單一 Active Directory / LDAP 連線,以進行外部使用者身分管理。
本頁的程序提供以下指示:
設定 MinIO 租戶以使用外部 AD/LDAP 提供者
使用 AD/LDAP 認證存取租戶主控台。
使用 MinIO
AssumeRoleWithLDAPIdentity安全性權杖服務 (STS) API 來產生應用程式使用的臨時認證。
此程序適用於 AD/LDAP 服務。請參閱您選擇的 AD/LDAP 提供者的文件,以取得有關設定使用者身分的特定指示或程序。
先決條件
MinIO Kubernetes Operator
確保您的目標 Kubernetes 叢集已安裝有效且可運作的 MinIO Kubernetes Operator。本文件假設使用最新的穩定版 Operator,版本 6.0.4。
Active Directory / LDAP 相容身分提供者
此程序假設存在現有的 Active Directory 或 LDAP 服務。設定 AD/LDAP 的指示不在本程序的範圍內。
對於與 MinIO 租戶位於同一 Kubernetes 叢集內的 AD/LDAP 部署,您可以使用 Kubernetes 服務名稱,以允許 MinIO 租戶建立與 AD/LDAP 服務的連線。
對於 Kubernetes 叢集外部的 AD/LDAP 部署,您必須確保叢集支援 Kubernetes 服務和 Pod 與外部網路之間的路由通訊。這可能需要設定或部署其他 Kubernetes 網路元件,和/或啟用對公共網際網路的存取。
MinIO 需要唯讀的存取金鑰,以便 綁定 來執行已驗證的使用者和群組查詢。請確保每個打算與 MinIO 搭配使用的 AD/LDAP 使用者和群組在 MinIO 部署上都有對應的 原則。沒有指定原則且為沒有指定原則的群組成員的 AD/LDAP 使用者,沒有權限存取 MinIO 集群上的任何動作或資源。
MinIO 租戶
此程序假設您的 Kubernetes 集群有足夠的資源來 部署新的 MinIO 租戶。
您也可以使用此程序作為修改現有 MinIO 租戶以啟用 AD/LDAP 身分管理功能的指南。
使用 Active Directory / LDAP 身分管理部署 MinIO 租戶
1) 存取 Operator 主控台
暫時轉送本機主機和 MinIO Operator 主控台之間的流量,並擷取您 Operator 部署的 JWT 權杖。如需指示,請參閱 設定存取 Operator 主控台服務。
在您的瀏覽器中開啟臨時 URL,並在登入頁面輸入 JWT 權杖。您應該會看到租戶頁面
點擊+ 建立租戶以開始建立 MinIO 租戶。
如果您要修改現有的租戶,請從清單中選取該租戶。以下步驟會參考現有租戶的必要區段和設定。
2) 完成身分提供者區段
若要使用 Active Directory / LDAP 提供者啟用外部身分管理,請選取身分提供者區段。然後,您可以將單選按鈕變更為Active Directory以顯示設定。
星號 * 標記為必填欄位。下表提供這些欄位的一般指南
欄位 |
描述 |
|---|---|
LDAP 伺服器位址 |
Active Directory 或 LDAP 伺服器的主機名稱。 |
查詢繫結 DN |
MinIO 用於驗證和查詢 AD/LDAP 伺服器的辨別名稱。 如需詳細資訊,請參閱 查詢 Active Directory / LDAP 服務。 |
要成為租戶管理員的使用者 DN (辨別名稱) 清單 |
指定一個使用者 DN,MinIO 會將其 原則 指定為租戶的管理權限。您可以透過選取加號來指定多個 DN圖示。您可以透過選取垃圾桶來刪除 DN該 DN 的圖示。 |
完成此區段後,您可以完成 租戶部署 的任何其他必要區段。
3) 將原則指派給 AD/LDAP 使用者
MinIO 預設不會將任何 原則 指派給 AD/LDAP 使用者或群組。您必須明確將 MinIO 原則指派給指定的使用者或群組辨別名稱 (DN),以授予該使用者或群組存取 MinIO 部署的權限。
以下範例假設已為 MinIO 租戶設定現有的 別名。
使用 mc idp ldap policy attach 命令將使用者或群組 DN 指派給現有的 MinIO 原則
mc idp ldap policy attach minio-tenant POLICY --user='uid=primary,cn=applications,dc=domain,dc=com'
mc idp ldap policy attach minio-tenant POLICY --group='cn=applications,ou=groups,dc=domain,dc=com'
將 POLICY 取代為要指派給使用者或群組 DN 的 MinIO 原則名稱。
如需有關 AD/LDAP 使用者和群組的存取控制的詳細資訊,請參閱 AD/LDAP 管理的身分存取控制。
4) 使用 MinIO 租戶主控台以 AD/LDAP 認證登入
MinIO 主控台支援驗證 AD/LDAP 提供者的完整工作流程,使用 MinIO AssumeRoleWithLDAPIdentity 安全性權杖服務 (STS) 端點產生臨時認證,並讓使用者登入 MinIO 部署。
如需有關存取租戶主控台的其他資訊,請參閱 部署 MinIO 租戶:連線至租戶。
如果 AD/LDAP 設定成功,主控台會顯示一個按鈕,以使用 AD/LDAP 認證登入。
輸入使用者的 AD/LDAP 認證並登入以存取主控台。
登入後,您可以執行已驗證使用者授權的任何動作。
您也可以建立 存取金鑰,以支援必須在 MinIO 上執行操作的應用程式。存取金鑰是長期有效的認證,其權限繼承自父使用者。父使用者可以在建立存取金鑰時進一步限制這些權限。
5) 使用 AD/LDAP 認證產生與 S3 相容的臨時認證
應用程式可以使用 AD/LDAP 使用者認證,使用 AssumeRoleWithLDAPIdentity 安全性權杖服務 (STS) API 端點,根據需要產生臨時的與 S3 相容的認證。MinIO 提供範例 Go 應用程式 ldap.go,其中包含管理此工作流程的範例。
POST https://minio.example.net?Action=AssumeRoleWithLDAPIdentity
&LDAPUsername=USERNAME
&LDAPPassword=PASSWORD
&Version=2011-06-15
&Policy={}
將
minio.example.net取代為 MinIO 租戶服務的主機名稱或 URL。將
LDAPUsername取代為 AD/LDAP 使用者的使用者名稱。將
LDAPPassword取代為 AD/LDAP 使用者的密碼。將
Policy取代為內嵌的 URL 編碼 JSON 原則,以進一步限制與臨時認證相關聯的權限。省略以使用 其名稱與 AD/LDAP 使用者的辨別名稱 (DN) 相符的原則。
API 回應包含一個 XML 文件,其中包含存取金鑰、秘密金鑰、會話權杖和到期日期。應用程式可以使用存取金鑰和秘密金鑰來存取 MinIO 並執行操作。
如需參考文件,請參閱 AssumeRoleWithLDAPIdentity。
停用已設定的 Active Directory / LDAP 連線
RELEASE.2023-03-20T20-16-18Z 版本的新功能。
您可以根據需要啟用和停用已設定的 AD/LDAP 連線。
使用 mc idp ldap disable 來停用已設定的連線。使用 mc idp ldap enable 來啟用先前設定的連線。
您也可以從 MinIO 主控台 啟用或停用 AD/LDAP。
