MinIO 伺服器文件
客戶登入
產品
MinIO 企業物件儲存
概觀 架構
功能
適用於公有雲的 MinIO
AWS GCS Azure
適用於私有雲的 MinIO
OpenShift SUSE Rancher Tanzu
適用於裸機的 MinIO
Linux 和 Windows
判斷您的原始和可用容量 Erasure Code 計算器 MinIO 的建議硬體組態 參考硬體
解決方案
AI 儲存 物件儲存正在推動 AI 革命。了解 MinIO 如何透過大規模效能引領 AI 儲存市場。 現代資料湖 現代化、多引擎的資料湖依賴於能提供大規模效能的物件儲存。進一步了解這個核心 MinIO 使用案例。 混合雲 有效的多雲儲存策略依賴於利用可以在不同環境中無縫運作的架構和工具。 Equinix 將您的資料遷回您控制的雲端,搭配在 Equinix 上運行的 MinIO,以降低成本,同時保持與公有雲的鄰近性。 Splunk 了解 MinIO 如何為 Splunk SmartStore 提供大規模效能。 Snowflake 使用 Snowflake Data Cloud 查詢和分析多個資料來源,包括駐留在 MinIO 上的串流資料。無需移動資料,只需使用 SnowSQL 查詢即可。 SQL Server 探索如何將 SQL Server 2022 與 MinIO 配對,以便在任何雲端上對您的資料執行查詢,而無需移動它。 HDFS 遷移 使用 MinIO 的高效能、Kubernetes 原生物件儲存,實現您的大數據儲存基礎架構的現代化和簡化。 VMware 了解 MinIO 如何與 VMware 從持久數據平台到 TKG 的整個產品組合整合,以及我們如何支援其 Kubernetes 目標。 Veeam 了解 MinIO 和 Veeam 如何合作,為各種備份使用案例推動效能和可擴展性。 Commvault 了解 Commvault 和 MinIO 如何合作,為任務關鍵型備份和還原工作負載提供大規模效能。 整合 瀏覽我們廣泛的整合組合。
社群
GitHub 加入我們的 GitHub 開源社群:探索、實驗、提問和貢獻。 Slack 頻道 MinIO 社群 Slack 提供了一個開放論壇,用於討論與 MinIO 相關的主題。所有支援都是在盡力而為的基礎上提供。
文件 部落格 資源 培訓 合作夥伴 定價 下載

文件

適用於 OpenShift 的 MinIO 物件儲存

Active Directory / LDAP 存取管理

MinIO 支援設定單個 Active Directory 或 LDAP (AD/LDAP) 服務,用於外部管理使用者身分。啟用 AD/LDAP 外部身分管理會停用MinIO 內部 IDP

對於由外部 AD/LDAP 提供者管理的身分,MinIO 會使用使用者的辨別名稱,並嘗試將其對應到現有的原則

如果 AD/LDAP 組態包含查詢使用者 AD/LDAP 群組成員資格的必要設定,MinIO也會使用這些群組辨別名稱,並嘗試將每個群組辨別名稱對應到現有的原則

MinIO 預設會拒絕所有未由使用者指定或繼承的原則明確允許的所有動作或資源的存取權。由 AD/LDAP 提供者管理的使用者必須指定必要的原則作為使用者設定檔資料的一部分。如果沒有任何原則符合使用者 DN 或群組 DN,MinIO 會封鎖對部署中所有動作和資源的所有存取權。

MinIO 發出以驗證使用者身分並檢索其群組成員資格的特定 AD/LDAP 查詢,會設定為使用 Active Directory / LDAP 身分管理部署叢集的一部分。此頁面涵蓋建立 MinIO 原則,以符合可能傳回的辨別名稱。

驗證和授權流程

使用 Active Directory / LDAP 憑證的應用程式的登入流程如下:

  1. 將 AD/LDAP 憑證指定到 MinIO 安全性權杖服務 (STS) AssumeRoleWithLDAPIdentity API 端點。

  2. MinIO 會針對 AD/LDAP 伺服器驗證提供的憑證。

  3. MinIO 會檢查是否有任何名稱與使用者辨別名稱 (DN) 相符的原則,並將該原則指派給經過驗證的使用者。

    如果設定為執行群組查詢,MinIO 也會查詢使用者具有成員資格的 AD/LDAP 群組清單。MinIO 會檢查是否有任何名稱與傳回的群組 DN 相符的原則,並將該原則指派給經過驗證的使用者。

  4. MinIO 會在 STS API 回應中以存取金鑰、秘密金鑰和會話權杖的形式傳回暫時憑證。憑證具有與名稱與經過驗證的使用者 DN群組 DN 相符的原則相同的權限。

MinIO 提供了一個範例 Go 應用程式 ldap.go,它處理完整的登入流程。

AD/LDAP 使用者也可以選擇建立與其 AD/LDAP 使用者辨別名稱相關聯的存取金鑰。存取金鑰是長期有效的憑證,繼承其父使用者的權限。父使用者可以在建立存取金鑰時進一步限制這些權限。請使用以下任一方法來建立新的存取金鑰

  • 使用 AD/LDAP 管理的使用者憑證登入 MinIO 控制台

    使用者 區段中,選取 存取金鑰,然後選取 建立存取金鑰 +

  • 使用 mc admin user svcacct add 命令建立存取金鑰。將使用者辨別名稱指定為要與存取金鑰關聯的使用者名稱。

將政策對應到使用者 DN

以下命令使用 mc idp ldap policy attach 將現有的 MinIO 政策 與 AD/LDAP 使用者 DN 關聯。

mc idp ldap policy attach myminio consoleAdmin \
  --user='cn=sisko,cn=users,dc=example,dc=com'

mc idp ldap policy attach myminio readwrite,diagnostics \
  --user='cn=dax,cn=users,dc=example,dc=com'

  • MinIO 會將驗證的使用者,其 DN 符合 cn=sisko,cn=users,dc=example,dc=com,指派 consoleAdmin 政策,授予對 MinIO 伺服器的完全存取權。

  • MinIO 會將驗證的使用者,其 DN 符合 cn=dax,cn=users,dc=example,dc=com,同時指派 readwritediagnostics 政策,授予對 MinIO 伺服器的一般讀/寫存取權以及對診斷管理操作的存取權。

  • MinIO 不會對驗證的使用者,其 DN 符合 cn=quark,cn=users,dc=example,dc=com,指派任何政策,並拒絕對 API 操作的所有存取權。

將政策對應到群組 DN

以下命令使用 mc idp ldap policy attach 將現有的 MinIO 政策 與 AD/LDAP 群組 DN 關聯。

mc idp ldap policy attach myminio consoleAdmin \
  --group='cn=ops,cn=groups,dc=example,dc=com'

mc idp ldap policy attach myminio diagnostics \
  --group='cn=engineering,cn=groups,dc=example,dc=com'

  • MinIO 會將任何在 cn=ops,cn=groups,dc=example,dc=com AD/LDAP 群組中具有成員資格的驗證使用者,指派 consoleAdmin 政策,授予對 MinIO 伺服器的完全存取權。

  • MinIO 會將任何在 cn=engineering,cn=groups,dc=example,dc=com AD/LDAP 群組中具有成員資格的驗證使用者,指派 diagnostics 政策,授予對診斷管理操作的存取權。

本作品以 創用 CC 姓名標示 4.0 國際授權條款授權。 2020-至今,MinIO, Inc. 創用 CC 授權