擦除码计算器 
参考硬件 使用 Active Directory/LDAP 配置 MinIO 身份验证
概述
MinIO 支持配置单个 Active Directory/LDAP 连接,以进行外部用户身份管理。
此页面上的过程提供以下方面的说明:
配置 MinIO 租户以使用外部 AD/LDAP 提供者
使用 AD/LDAP 凭据访问租户控制台。
使用 MinIO
AssumeRoleWithLDAPIdentity安全令牌服务 (STS) API 生成供应用程序使用的临时凭据。
此过程适用于 AD/LDAP 服务。有关特定说明或配置用户身份的步骤,请参阅您选择的 AD/LDAP 提供者的文档。
先决条件
MinIO Kubernetes 运算符
确保您的目标 Kubernetes 集群已安装 MinIO Kubernetes 运算符,并且安装有效。此文档假设最新稳定运算符,版本 6.0.4。
与 Active Directory/LDAP 兼容的标识提供者
此过程假设存在 Active Directory 或 LDAP 服务。配置 AD/LDAP 的说明不在此过程的范围之内。
对于与 MinIO 租户相同的 Kubernetes 集群中的 AD/LDAP 部署,您可以使用 Kubernetes 服务名称来允许 MinIO 租户建立与 AD/LDAP 服务的连接。
对于 Kubernetes 集群外部的 AD/LDAP 部署,您必须确保集群支持在 Kubernetes 服务和 Pod 以及外部网络之间路由通信。这可能需要配置或部署其他 Kubernetes 网络组件和/或启用对公共互联网的访问。
MinIO 需要具有只读访问权限的密钥,它绑定用于执行经过身份验证的用户和组查询。确保与 MinIO 一起使用的每个 AD/LDAP 用户和组在 MinIO 部署上都有相应的策略。没有分配策略的 AD/LDAP 用户以及属于没有分配策略的组的 AD/LDAP 用户无权访问 MinIO 集群上的任何操作或资源。
MinIO 租户
此步骤假设您的 Kubernetes 集群具有足够的资源来部署新的 MinIO 租户。
您也可以使用此步骤作为修改现有 MinIO 租户以启用 AD/LDAP 身份管理的指南。
使用 Active Directory / LDAP 身份管理部署 MinIO 租户
1) 访问操作员控制台
临时转发本地主机与 MinIO 操作员控制台之间的流量,并检索操作员部署的 JWT 令牌。有关说明,请参阅配置对操作员控制台服务的访问。
在您的浏览器中打开临时 URL,并将 JWT 令牌输入登录页面。您应该会看到租户页面。
单击+ 创建租户开始创建 MinIO 租户。
如果您要修改现有租户,请从列表中选择该租户。以下步骤将参考现有租户的必要部分和配置设置。
2) 完成身份提供者部分
要使用 Active Directory / LDAP 提供程序启用外部身份管理,请选择身份提供者部分。然后,您可以将单选按钮更改为Active Directory以显示配置设置。
星号 * 表示必填字段。下表提供了这些字段的一般指南
字段 |
描述 |
|---|---|
LDAP 服务器地址 |
Active Directory 或 LDAP 服务器的主机名。 |
查找绑定 DN |
MinIO 用于验证和查询 AD/LDAP 服务器的识别名称。 请参阅查询 Active Directory / LDAP 服务以获取更多信息。 |
要成为租户管理员的用户 DN(识别名称)列表 |
指定用户 DNs,MinIO 将为其分配具有租户管理权限的策略。您可以通过选择加号来指定多个DNs图标。您可以通过选择该 DN 的垃圾桶图标来删除 DN。 |
完成本部分后,您可以完成租户部署的任何其他必填部分。
3) 将策略分配给 AD/LDAP 用户
默认情况下,MinIO 不会将任何策略分配给 AD/LDAP 用户或组。您必须明确将 MinIO 策略分配给给定的用户或组识别名称 (DN),才能授予该用户或组访问 MinIO 部署的权限。
以下示例假设为 MinIO 租户配置了现有的别名。
使用mc idp ldap policy attach命令将用户或组 DN 分配给现有 MinIO 策略
mc idp ldap policy attach minio-tenant POLICY --user='uid=primary,cn=applications,dc=domain,dc=com'
mc idp ldap policy attach minio-tenant POLICY --group='cn=applications,ou=groups,dc=domain,dc=com'
将 POLICY 替换为要分配给用户或组 DN 的 MinIO 策略的名称。
请参阅AD/LDAP 管理的身份的访问控制以获取有关使用 AD/LDAP 用户和组进行访问控制的更多信息。
4) 使用 MinIO 租户控制台使用 AD/LDAP 凭据登录
MinIO 控制台支持使用 AD/LDAP 提供程序进行身份验证的完整工作流程,使用 MinIO AssumeRoleWithLDAPIdentity 安全令牌服务 (STS) 端点生成临时凭据,并将用户登录到 MinIO 部署。
有关访问租户控制台的更多信息,请参阅部署 MinIO 租户:连接到租户。
如果 AD/LDAP 配置成功,控制台将显示一个按钮,用于使用 AD/LDAP 凭据登录。
输入用户的 AD/LDAP 凭据并登录以访问控制台。
登录后,您可以执行经过身份验证的用户获授权执行的任何操作。
您还可以为必须对 MinIO 执行操作的支持应用程序创建访问密钥。访问密钥是长期凭据,其权限继承自父用户。父用户在创建访问密钥时可以进一步限制这些权限。
5) 使用 AD/LDAP 凭据生成与 S3 兼容的临时凭据
应用程序可以使用 AD/LDAP 用户凭据,通过AssumeRoleWithLDAPIdentity 安全令牌服务 (STS) API 端点按需生成与 S3 兼容的临时凭据。MinIO 提供了一个示例 Go 应用程序ldap.go,其中包含管理此工作流程的示例。
POST https://minio.example.net?Action=AssumeRoleWithLDAPIdentity
&LDAPUsername=USERNAME
&LDAPPassword=PASSWORD
&Version=2011-06-15
&Policy={}
将
minio.example.net替换为 MinIO 租户服务的 hostname 或 URL。将
LDAPUsername替换为 AD/LDAP 用户的用户名。将
LDAPPassword替换为 AD/LDAP 用户的密码。将
Policy替换为内联 URL 编码的 JSON 策略,该策略进一步限制了与临时凭据关联的权限。省略以使用其名称与 AD/LDAP 用户的识别名称 (DN) 匹配的策略。
API 响应包含一个 XML 文档,其中包含访问密钥、密钥、会话令牌和过期日期。应用程序可以使用访问密钥和密钥来访问和执行 MinIO 上的操作。
请参阅AssumeRoleWithLDAPIdentity以获取参考文档。
禁用已配置的 Active Directory / LDAP 连接
RELEASE.2023-03-20T20-16-18Z 版本中的新增功能。
您可以根据需要启用和禁用已配置的 AD/LDAP 连接。
使用mc idp ldap disable停用已配置的连接。使用mc idp ldap enable激活先前配置的连接。
您也可以从MinIO 控制台启用或禁用 AD/LDAP。
