Erasure Code 計算器 
參考硬體 Active Directory / LDAP 設定
此頁面記錄使用 Active Directory 或 LDAP 服務啟用外部身分管理的設定。請參閱 使用 Active Directory / LDAP 設定 MinIO 進行驗證,以取得如何使用這些設定的教學。
重要
版本 RELEASE.2023-05-26T23-31-54Z 的新增功能
建議使用 mc idp ldap 命令,而非使用組態設定來設定 MinIO 使用 Active Directory 或 LDAP 進行身分管理。
MinIO 建議使用 mc idp ldap 命令進行 LDAP 管理操作。這些命令提供更好的驗證和額外功能,同時提供與 identity_ldap 設定索引鍵相同的設定。請參閱 使用 Active Directory / LDAP 設定 MinIO 進行驗證,以取得如何使用 mc idp ldap 的教學。
identity_ldap 組態設定仍可供現有腳本和其他工具使用。
您可以使用以下方式建立或修改設定
在啟動或重新啟動 MinIO 伺服器之前,在主機系統上定義一個環境變數。請參閱您作業系統的文件,以了解如何定義環境變數。
使用
mc admin config set使用組態設定。使用 MinIO 主控台 的 管理員 > 設定 頁面使用組態設定。
如果您定義環境變數和類似的組態設定,MinIO 會使用環境變數的值。
某些設定只有環境變數或組態設定,而不是兩者都有。
重要
每個組態設定都會控制 MinIO 的基本行為和功能。MinIO 強烈建議在應用於生產環境之前,先在較低的環境(例如 DEV 或 QA)中測試組態變更。
範例
MINIO_IDENTITY_LDAP_SERVER_ADDR="ldapserver.com:636"
注意
srv_record_name 會自動識別埠。
如果您的 AD/LDAP 伺服器使用 DNS SRV 記錄,請勿將埠號附加到您的 server_addr 值。SRV 請求會在傳回可用伺服器清單時自動包含埠號。
使用 mc admin config set 定義 LDAP 時,需要以下設定:
啟用伺服器位址查詢綁定 DN查詢綁定 DN 密碼使用者 DN 搜尋基準 DN使用者 DN 搜尋篩選器
mc admin config set identity_ldap \
enabled="true" \
server_addr="ad-ldap.example.net/" \
lookup_bind_dn="cn=miniolookupuser,dc=example,dc=net" \
lookup_bind_dn_password="userpassword" \
user_dn_search_base_dn="dc=example,dc=net" \
user_dn_search_filter="(&(objectCategory=user)(sAMAccountName=%s))"
設定
伺服器位址
必要
- MINIO_IDENTITY_LDAP_SERVER_ADDR
指定 Active Directory / LDAP 伺服器的主機名稱。例如:
ldapserver.com:636
srv_record_name會自動識別連接埠如果您的 AD/LDAP 伺服器使用
DNS SRV 記錄,請勿將連接埠號碼附加到您的server_addr值。 SRV 請求在傳回可用伺服器列表時會自動包含連接埠號碼。
指定 Active Directory / LDAP 伺服器的主機名稱。例如:
ldapserver.com:636
srv_record_name 會自動識別連接埠
如果您的 AD/LDAP 伺服器使用 DNS SRV 記錄,請勿將連接埠號碼附加到您的 server_addr 值。 SRV 請求在傳回可用伺服器列表時會自動包含連接埠號碼。
查詢綁定 DN
必要
指定 MinIO 在查詢 AD/LDAP 伺服器時使用的 AD/LDAP 帳戶的識別名稱 (DN)。啟用 Lookup-Bind 驗證到 AD/LDAP 伺服器。
DN 帳戶應為唯讀存取金鑰,並具有足夠的權限來支援查詢執行使用者和群組查找。
查詢綁定密碼
必要
指定 Lookup-Bind 使用者帳戶的密碼。
變更版本 RELEASE.2023-06-23T20-26-00Z:當作為 mc admin config get 的一部分傳回時,MinIO 會編輯此值。
使用者 DN 搜尋基準 DN
必要
指定 MinIO 在查詢與驗證用戶端提供的使用者憑證相符時所使用的基本識別名稱 (DN)。
使用分號 (;) 分隔多個 DN。
例如
cn=miniousers,dc=myldapserver,dc=net;ou=swengg,dc=min,dc=io
支援 Lookup-Bind 模式。
使用者 DN 搜尋篩選器
必要
指定 MinIO 在查詢與驗證用戶端提供的使用者憑證相符時所使用的 AD/LDAP 搜尋篩選器。
使用 %s 取代字元將用戶端指定的使用者名稱插入搜尋字串中。例如:
(userPrincipalName=%s)
使用者 DN 屬性
選用
新版本為 RELEASE.2024-06-06T09-36-42Z。
以逗號分隔的使用者 DN 屬性列表。
一些有效值包括 uid,cn,mail,sshPublicKey。
若要為 LDAP 使用者啟用公開驗證,請將 sshPublicKey 作為 DN 屬性傳遞。然後使用者可以使用傳遞的 SSH 公開金鑰登入 SFTP 伺服器。
mc idp ldap update ALIAS user_dn_attributes=sshPublicKey
啟用
選用
設定為 false 以停用 AD/LDAP 設定。
如果 false,應用程式無法使用已設定的提供者產生 STS 憑證或以其他方式驗證 MinIO。
預設為 true 或「啟用」。
群組搜尋篩選器
選用
指定一個 AD/LDAP 搜尋篩選器,用於對已驗證的使用者執行群組查找
使用 %s 取代字元將用戶端指定的使用者名稱插入搜尋字串中。使用 %d 取代字元將用戶端指定的使用者名稱的識別名稱插入搜尋字串中。
例如
(&(objectclass=groupOfNames)(memberUid=%s))
群組搜尋基準 DN
選用
指定以分號分隔 (;) 的群組搜尋基準 識別名稱 列表,MinIO 在執行群組查找時使用。
例如
cn=miniogroups,dc=myldapserver,dc=net;ou=swengg,dc=min,dc=io
TLS 跳過驗證
選用
指定 on 以信任 AD/LDAP 伺服器 TLS 憑證,而不進行驗證。如果 AD/LDAP 伺服器 TLS 憑證由不受信任的憑證授權單位簽署(例如,自我簽署),則可能需要此選項。
預設為 off
伺服器不安全
選用
指定 on 以允許與 AD/LDAP 伺服器建立不安全(未經過 TLS 加密)的連線。
MinIO 以純文字形式將 AD/LDAP 使用者憑證傳送到 AD/LDAP 伺服器,因此必須啟用 TLS 才能防止透過網路讀取憑證。 使用此選項會帶來安全風險,任何有權存取網路流量的使用者都可以觀察到未加密的純文字憑證。
預設為 off。
伺服器啟動 TLS
選用
指定 on 以啟用與 AD/LDAP 伺服器的 StartTLS 連線。
預設為 off
有關 StartTLS 的更多資訊,請參閱 LDAP RFC 4511 規範的 4.14 節。
SRV 記錄名稱
選用
新版本為 RELEASE.2022-12-12T19-27-27Z。
指定適當的值,以啟用 MinIO 使用 DNS SRV 記錄請求來選擇 AD/LDAP 伺服器。
啟用後,MinIO 會透過以下方式選擇 AD/LDAP 伺服器:
依照標準命名慣例建構目標 SRV 記錄名稱。
請求可用的 AD/LDAP 伺服器清單。
根據優先順序和權重選擇適當的目標。
以下配置範例假設 AD/LDAP 伺服器位址設定為 example.com,且 SRV 記錄協定為 _tcp。
對於開頭為 _ldap 的 SRV 記錄名稱,請指定 ldap。建構的 DNS SRV 記錄名稱類似如下:
_ldap._tcp.example.com
對於開頭為 _ldaps 的 SRV 記錄名稱,請指定 ldaps。建構的 DNS SRV 記錄名稱類似如下:
_ldaps._tcp.example.com
如果您的 DNS SRV 記錄名稱使用替代服務或協定名稱,請指定 on 並提供完整記錄名稱作為您的 LDAP 伺服器位址。範例:_ldapserver._specialtcp.example.com
有關 DNS SRV 記錄的更多資訊,請參閱 適用於 LDAP 的 DNS SRV 記錄。
用於 DNS SRV 記錄配置的伺服器位址
指定的伺服器名稱不得包含連接埠號碼。這與標準的 AD/LDAP 配置不同,標準配置需要連接埠號碼。
請參閱 server_addr 或 MINIO_IDENTITY_LDAP_SERVER_ADDR 以了解有關配置 AD/LDAP 伺服器位址的更多資訊。
註解
選用
指定要與 AD/LDAP 配置關聯的註解。
