MinIO服务器文档
客户登录
产品
MinIO企业对象存储
概述 架构
特性
适用于公有云的MinIO
AWS GCS Azure
适用于私有云的MinIO
OpenShift SUSE Rancher Tanzu
适用于裸机的MinIO
Linux和Windows
确定您的原始容量和可用容量 擦除码计算器 MinIO推荐的硬件配置 参考硬件
解决方案
AI存储 对象存储正在推动AI革命。了解MinIO如何通过大规模性能引领AI存储市场。 现代数据湖 现代的多引擎数据湖依赖于能够提供大规模性能的对象存储。详细了解MinIO的核心用例。 混合云 有效的多云存储策略依赖于利用能够在不同环境中无缝运行的架构和工具。 Equinix 将您的数据迁移到您控制的云中,通过在Equinix上使用MinIO来降低成本,同时保持与公有云的邻近性。 Splunk 了解MinIO如何为Splunk SmartStore提供大规模性能。 Snowflake 使用Snowflake Data Cloud查询和分析多个数据源,包括驻留在MinIO上的流数据。无需移动数据,只需使用SnowSQL进行查询。 SQL Server 了解如何将SQL Server 2022与MinIO配对,以在任何云上对您的数据运行查询,而无需移动数据。 HDFS迁移 使用来自MinIO的高性能、Kubernetes原生对象存储,使您的大数据存储基础设施现代化并简化。 VMware 了解MinIO如何在VMware产品组合中与之集成,从持久数据平台到TKG,以及我们如何支持他们的Kubernetes愿景。 Veeam 了解MinIO和Veeam如何合作推动各种备份用例的性能和可扩展性。 Commvault 了解Commvault和MinIO如何合作提供大规模性能,以满足关键任务备份和恢复工作负载的需求。 集成 浏览我们庞大的集成产品组合。
社区
GitHub 加入我们的GitHub开源社区:探索、实验、提问和贡献。 Slack频道 MinIO社区Slack提供了一个开放的论坛,用于讨论与MinIO相关的主题。所有支持均基于尽力而为原则提供。
文档 博客 资源 培训 合作伙伴 定价 下载

文档

MinIO容器对象存储

活动目录/LDAP访问管理

MinIO支持配置单个活动目录或LDAP(AD/LDAP)服务来外部管理用户身份。启用AD/LDAP外部身份管理会禁用MinIO内部IDP

对于由外部AD/LDAP提供程序管理的身份,MinIO使用用户的可分辨名称并尝试将其与现有的策略进行映射。

如果AD/LDAP配置包含查询用户AD/LDAP组成员资格的必要设置,则MinIO还会使用这些组可分辨名称,并尝试将每个名称与现有的策略进行映射。

默认情况下,MinIO拒绝访问用户分配或继承的策略未明确允许的所有操作或资源。由AD/LDAP提供程序管理的用户必须将必要的策略指定为用户配置文件数据的一部分。如果没有任何策略与用户DN或组DN匹配,则MinIO会阻止对部署上的所有操作和资源的访问。

MinIO发布以对用户进行身份验证并检索其组成员资格的特定AD/LDAP查询配置为使用活动目录/LDAP身份管理部署集群的一部分。此页面介绍如何创建MinIO策略以匹配可能返回的可分辨名称。

身份验证和授权流程

使用活动目录/LDAP凭据的应用程序的登录流程如下

  1. 将AD/LDAP凭据指定给MinIO安全令牌服务(STS)AssumeRoleWithLDAPIdentityAPI端点。

  2. MinIO会针对AD/LDAP服务器验证提供的凭据。

  3. MinIO会检查任何策略,其名称与用户可分辨名称(DN)匹配,并将该策略分配给经过身份验证的用户。

    如果配置为执行组查询,MinIO还会查询用户所属的AD/LDAP组列表。MinIO会检查任何策略,其名称与返回的组DN匹配,并将该策略分配给经过身份验证的用户。

  4. MinIO以访问密钥、密钥和会话令牌的形式在STS API响应中返回临时凭据。凭据的权限与名称与经过身份验证的用户DN组DN匹配的策略的权限相匹配。

MinIO提供了一个Go应用程序示例ldap.go,该示例处理完整的登录流程。

AD/LDAP用户可以为其AD/LDAP用户可分辨名称关联访问密钥。访问密钥是长期有效的凭据,继承其父用户的权限。父用户可以在创建访问密钥时进一步限制这些权限。使用以下任一方法创建新的访问密钥

  • 使用AD/LDAP管理的用户凭据登录MinIO控制台

    用户部分,选择访问密钥,然后选择创建访问密钥+

  • 使用mc admin user svcacct add命令创建访问密钥。将用户可分辨名称指定为要与其关联访问密钥的用户名。

将策略映射到用户DN

以下命令使用mc idp ldap policy attach将现有的 MinIO 策略与 AD/LDAP 用户 DN 关联。

mc idp ldap policy attach myminio consoleAdmin \
  --user='cn=sisko,cn=users,dc=example,dc=com'

mc idp ldap policy attach myminio readwrite,diagnostics \
  --user='cn=dax,cn=users,dc=example,dc=com'

  • MinIO 会将 DN 匹配 cn=sisko,cn=users,dc=example,dc=com 的已认证用户分配 consoleAdmin 策略,授予对 MinIO 服务器的完全访问权限。

  • MinIO 会将 DN 匹配 cn=dax,cn=users,dc=example,dc=com 的已认证用户分配 readwritediagnostics 策略,授予对 MinIO 服务器的一般读写访问权限 *以及* 访问诊断管理操作的权限。

  • MinIO 不会将任何策略分配给 DN 匹配 cn=quark,cn=users,dc=example,dc=com 的已认证用户,并拒绝其对所有 API 操作的访问。

将策略映射到组 DN

以下命令使用mc idp ldap policy attach将现有的 MinIO 策略与 AD/LDAP 组 DN 关联。

mc idp ldap policy attach myminio consoleAdmin \
  --group='cn=ops,cn=groups,dc=example,dc=com'

mc idp ldap policy attach myminio diagnostics \
  --group='cn=engineering,cn=groups,dc=example,dc=com'

  • MinIO 会将任何属于 cn=ops,cn=groups,dc=example,dc=com AD/LDAP 组的已认证用户分配 consoleAdmin 策略,授予对 MinIO 服务器的完全访问权限。

  • MinIO 会将任何属于 cn=engineering,cn=groups,dc=example,dc=com AD/LDAP 组的已认证用户分配 diagnostics 策略,授予访问诊断管理操作的权限。

此作品根据知识共享署名4.0国际许可协议授权。2020 年至今,MinIO, Inc. 知识共享许可证