Erasure Code 計算器 
參考硬體 mc idp ldap add
描述
mc idp ldap add 命令會建立 AD/LDAP IDP 伺服器組態。
每個部署 MinIO 最多支援一 (1) 個 AD/LDAP 提供者。
以下範例設定 myminio 部署的 AD/LDAP 組態設定。
mc idp ldap add \
myminio \
server_addr=myldapserver:636 \
lookup_bind_dn=cn=admin,dc=min,dc=io \
lookup_bind_password=somesecret \
user_dn_search_base_dn=dc=min,dc=io \
user_dn_search_filter="(uid=%s)" \
group_search_base_dn=ou=swengg,dc=min,dc=io \
group_search_filter="(&(objectclass=groupofnames)(member=%d))"
參數
- ALIAS
- 必填
要在其上新增 AD/LDAP 整合的 MinIO 部署的別名。
例如
mc idp ldap add myminio \ server_addr=myldapserver:636 \ lookup_bind_dn=cn=admin,dc=min,dc=io \ lookup_bind_password=somesecret \ user_dn_search_base_dn=dc=min,dc=io \ user_dn_search_filter="(uid=%s)" \
- server_addr
- 必填
指定 Active Directory / LDAP 伺服器的主機名稱。例如
ldapserver.com:636
srv_record_name會自動識別連接埠如果您的 AD/LDAP 伺服器使用
DNS SRV 記錄,請勿在您的server_addr值中附加連接埠號碼。SRV 請求會在傳回可用伺服器清單時自動包含連接埠號碼。此參數對應於
MINIO_IDENTITY_LDAP_SERVER_ADDR環境變數。
- lookup_bind_dn
- 必填
指定當 MinIO 查詢 AD/LDAP 伺服器時所使用的 AD/LDAP 帳戶的辨別名稱 (DN)。啟用 AD/LDAP 伺服器的查詢繫結驗證。
DN 帳戶應為唯讀存取金鑰,且具有足夠的權限來支援查詢執行使用者和群組查詢。
此參數對應於
MINIO_IDENTITY_LDAP_LOOKUP_BIND_DN環境變數。
- lookup_bind_password
- 必填
指定查詢繫結使用者帳戶的密碼。
在版本 RELEASE.2023-06-23T20-26-00Z 中變更:當作為
mc admin config get的一部分傳回時,MinIO 會編輯此值。此參數對應於
MINIO_IDENTITY_LDAP_LOOKUP_BIND_PASSWORD環境變數。
- user_dn_attributes
- 選用
版本 RELEASE.2024-06-06T09-36-42Z 的新功能。
以逗號分隔的使用者 DN 屬性清單。
一些有效值包括
uid,cn,mail,sshPublicKey。若要為 LDAP 使用者啟用公開驗證,請傳遞
sshPublicKey作為 DN 屬性。然後,使用者可以使用傳遞的 SSH 公開金鑰登入 SFTP 伺服器。mc idp ldap update ALIAS user_dn_attributes=sshPublicKey
- user_dn_search_base_dn
- 必填
指定當 MinIO 查詢與已驗證用戶端提供的使用者憑證相符的使用者憑證時所使用的基本辨別名稱 (DN)。
以分號 (
;) 分隔多個 DN。例如
cn=miniousers,dc=myldapserver,dc=net;ou=swengg,dc=min,dc=io
支援查詢繫結模式。
此參數對應於
MINIO_IDENTITY_LDAP_USER_DN_SEARCH_BASE_DN環境變數。
- user_dn_search_filter
- 必填
指定當 MinIO 查詢與已驗證用戶端提供的使用者憑證相符的使用者憑證時所使用的 AD/LDAP 搜尋篩選器。
使用
%s取代字元,將用戶端指定的使用者名稱插入搜尋字串中。例如(userPrincipalName=%s)
此參數對應於
MINIO_IDENTITY_LDAP_USER_DN_SEARCH_FILTER環境變數。
- comment
- 選用
指定要與 AD/LDAP 組態關聯的註解。
此參數對應於
MINIO_IDENTITY_LDAP_COMMENT環境變數。
- enabled
- 選用
設定為
false以停用 AD/LDAP 組態。如果
false,應用程式無法產生 STS 憑證,或者無法使用已設定的提供者向 MinIO 驗證。預設值為
true或「已啟用」。
- group_search_base_dn
- 選用
指定以分號分隔 (
;) 的群組搜尋基礎辨別名稱清單,當 MinIO 執行群組查詢時會使用這些名稱。例如
cn=miniogroups,dc=myldapserver,dc=net;ou=swengg,dc=min,dc=io
此參數對應於
MINIO_IDENTITY_LDAP_GROUP_SEARCH_BASE_DN環境變數。
- group_search_filter
- 選用
指定 AD/LDAP 搜尋篩選器,以對已驗證的使用者執行群組查詢
使用
%s取代字元,將用戶端指定的使用者名稱插入搜尋字串中。使用%d取代字元,將用戶端指定的使用者名稱的辨別名稱插入搜尋字串中。例如
(&(objectclass=groupOfNames)(memberUid=%s))
此參數對應於
MINIO_IDENTITY_LDAP_GROUP_SEARCH_FILTER環境變數。
- server_insecure
- 選用
指定
on以允許與 AD/LDAP 伺服器之間建立不安全 (非 TLS 加密) 的連線。MinIO 以純文字格式將 AD/LDAP 使用者憑證傳送至 AD/LDAP 伺服器,因此必須啟用 TLS,以防止通過網路讀取憑證。使用此選項會產生安全性風險,任何有權存取網路流量的使用者都可以觀察到未加密的純文字憑證。
預設值為
off。此參數對應於
MINIO_IDENTITY_LDAP_SERVER_INSECURE環境變數。
- server_starttls
- 選用
指定
on以啟用與 AD/LDAP 伺服器的StartTLS連線。預設值為
off如需有關
StartTLS的詳細資訊,請參閱LDAP RFC 4511 規格的第 4.14 節。此參數對應於
MINIO_IDENTITY_LDAP_SERVER_STARTTLS環境變數。
- srv_record_name
- 選用
版本 RELEASE.2022-12-12T19-27-27Z 的新功能。
指定適當的值,以啟用 MinIO 使用 DNS SRV 記錄請求來選取 AD/LDAP 伺服器。
啟用後,MinIO 會依下列方式選取 AD/LDAP 伺服器:
依照標準命名慣例建構目標 SRV 記錄名稱。
請求可用 AD/LDAP 伺服器的清單。
根據優先順序和權重選擇適當的目標。
以下組態範例假設 AD/LDAP 伺服器位址設定為
example.com,且 SRV 記錄通訊協定為_tcp。對於以
_ldap開頭的 SRV 記錄名稱,請指定ldap。建構的 DNS SRV 記錄名稱類似以下:_ldap._tcp.example.com
對於以
_ldaps開頭的 SRV 記錄名稱,請指定ldaps。建構的 DNS SRV 記錄名稱類似如下:_ldaps._tcp.example.com
如果您的 DNS SRV 記錄名稱使用其他服務或協定名稱,請指定
on,並提供完整的記錄名稱作為您的 LDAP 伺服器位址。範例:_ldapserver._specialtcp.example.com關於 DNS SRV 記錄的更多資訊,請參閱 DNS SRV Records for LDAP。
DNS SRV 記錄設定的伺服器位址
指定的伺服器名稱不得包含埠號。這與標準的 AD/LDAP 設定不同,標準設定中需要埠號。
請參閱
server_addr或MINIO_IDENTITY_LDAP_SERVER_ADDR以取得更多關於設定 AD/LDAP 伺服器位址的資訊。此參數對應於
MINIO_IDENTITY_LDAP_SRV_RECORD_NAME環境變數。
- tls_skip_verify
- 選用
指定
on以信任 AD/LDAP 伺服器的 TLS 憑證,而不進行驗證。如果 AD/LDAP 伺服器的 TLS 憑證是由不受信任的憑證授權單位簽署(例如:自簽憑證),則可能需要此選項。預設值為
off此參數對應於
MINIO_IDENTITY_LDAP_TLS_SKIP_VERIFY環境變數。
全域旗標
此命令支援任何的全域旗標。
行為
S3 相容性
mc 命令列工具是為與 AWS S3 API 相容而建構的,並經過 MinIO 和 AWS S3 的測試,以確保其預期的功能和行為。
MinIO 不保證其他與 S3 相容的服務,因為它們的 S3 API 實作是未知的,因此不提供支援。雖然 mc 命令可能會按照文件所述運作,但任何此類使用都由您自行承擔風險。
