擦除码计算器 
参考硬件 mc idp ldap add
描述
该 mc idp ldap add 命令创建一个 AD/LDAP IDP 服务器配置。
MinIO 每个部署最多支持 *一个* (1) AD/LDAP 提供程序。
以下示例为 myminio 部署设置 AD/LDAP 配置设置。
mc idp ldap add \
myminio \
server_addr=myldapserver:636 \
lookup_bind_dn=cn=admin,dc=min,dc=io \
lookup_bind_password=somesecret \
user_dn_search_base_dn=dc=min,dc=io \
user_dn_search_filter="(uid=%s)" \
group_search_base_dn=ou=swengg,dc=min,dc=io \
group_search_filter="(&(objectclass=groupofnames)(member=%d))"
参数
- ALIAS
- 必填
要为其添加 AD/LDAP 集成的 MinIO 部署的别名。
例如
mc idp ldap add myminio \ server_addr=myldapserver:636 \ lookup_bind_dn=cn=admin,dc=min,dc=io \ lookup_bind_password=somesecret \ user_dn_search_base_dn=dc=min,dc=io \ user_dn_search_filter="(uid=%s)" \
- server_addr
- 必填
指定 Active Directory/LDAP 服务器的主机名。例如
ldapserver.com:636
srv_record_name自动识别端口如果您的 AD/LDAP 服务器使用
DNS SRV 记录,请不要将端口号附加到您的server_addr值。SRV 请求在返回可用服务器列表时会自动包含端口号。此参数对应于
MINIO_IDENTITY_LDAP_SERVER_ADDR环境变量。
- lookup_bind_dn
- 必填
指定 MinIO 在查询 AD/LDAP 服务器时使用的 AD/LDAP 帐户的区分名称 (DN)。启用对 AD/LDAP 服务器的查找绑定身份验证。
DN 帐户应该是具有足够权限以支持查询执行用户和组查找的只读访问密钥。
此参数对应于
MINIO_IDENTITY_LDAP_LOOKUP_BIND_DN环境变量。
- lookup_bind_password
- 必填
指定查找绑定用户帐户的密码。
在版本 RELEASE.2023-06-23T20-26-00Z 中更改: MinIO 在作为
mc admin config get的一部分返回时会删除此值。此参数对应于
MINIO_IDENTITY_LDAP_LOOKUP_BIND_PASSWORD环境变量。
- user_dn_attributes
- 可选
在版本 RELEASE.2024-06-06T09-36-42Z 中新增。
用户 DN 属性的逗号分隔列表。
一些有效值包括
uid,cn,mail,sshPublicKey。要为 LDAP 用户启用公共身份验证,请将
sshPublicKey作为 DN 属性传递。然后,用户可以使用传递的 SSH 公钥登录到 SFTP 服务器。mc idp ldap update ALIAS user_dn_attributes=sshPublicKey
- user_dn_search_base_dn
- 必填
指定 MinIO 在查询与认证客户端提供的用户凭据匹配的用户凭据时使用的基本区分名称 (DN)。
用分号 (
;) 分隔多个 DN。例如
cn=miniousers,dc=myldapserver,dc=net;ou=swengg,dc=min,dc=io
支持查找绑定模式。
此参数对应于
MINIO_IDENTITY_LDAP_USER_DN_SEARCH_BASE_DN环境变量。
- user_dn_search_filter
- 必填
指定 MinIO 在查询与认证客户端提供的用户凭据匹配的用户凭据时使用的 AD/LDAP 搜索过滤器。
使用
%s替换字符将客户端指定的用户名插入搜索字符串。例如(userPrincipalName=%s)
此参数对应于
MINIO_IDENTITY_LDAP_USER_DN_SEARCH_FILTER环境变量。
- comment
- 可选
指定要与 AD/LDAP 配置关联的注释。
此参数对应于
MINIO_IDENTITY_LDAP_COMMENT环境变量。
- enabled
- 可选
设置为
false以禁用 AD/LDAP 配置。如果为
false,则应用程序无法使用配置的提供程序生成 STS 凭据或以其他方式对 MinIO 进行身份验证。默认为
true或“已启用”。
- group_search_base_dn
- 可选
指定 MinIO 在执行组查找时使用的组搜索基本区分名称的分号分隔 (
;) 列表。例如
cn=miniogroups,dc=myldapserver,dc=net;ou=swengg,dc=min,dc=io
此参数对应于
MINIO_IDENTITY_LDAP_GROUP_SEARCH_BASE_DN环境变量。
- group_search_filter
- 可选
指定用于对已认证用户执行组查找的 AD/LDAP 搜索过滤器
使用
%s替换字符将客户端指定的用户名插入搜索字符串。使用%d替换字符将客户端指定的用户名区分名称插入搜索字符串。例如
(&(objectclass=groupOfNames)(memberUid=%s))
此参数对应于
MINIO_IDENTITY_LDAP_GROUP_SEARCH_FILTER环境变量。
- server_insecure
- 可选
指定
on以允许与 AD/LDAP 服务器建立不安全(非 TLS 加密)连接。MinIO 会以纯文本形式将 AD/LDAP 用户凭据发送到 AD/LDAP 服务器,因此启用 TLS 是必需的,以防止通过网络读取凭据。使用此选项存在安全风险,任何有权访问网络流量的用户都可以观察到未加密的纯文本凭据。
默认为
off。此参数对应于
MINIO_IDENTITY_LDAP_SERVER_INSECURE环境变量。
- server_starttls
- 可选
指定
on以启用与 AD/LDAP 服务器的StartTLS连接。默认为
off有关
StartTLS的更多信息,请参阅LDAP RFC 4511 规范的第 4.14 节。此参数对应于
MINIO_IDENTITY_LDAP_SERVER_STARTTLS环境变量。
- srv_record_name
- 可选
在版本 RELEASE.2022-12-12T19-27-27Z 中新增。
指定适当的值以使 MinIO 能够使用DNS SRV 记录请求选择 AD/LDAP 服务器。
启用后,MinIO 会通过以下方式选择 AD/LDAP 服务器:
按照标准命名约定构造目标 SRV 记录名称。
请求可用 AD/LDAP 服务器的列表。
根据优先级和权重选择合适的目标。
以下配置示例假设 AD/LDAP 服务器地址设置为
example.com,并且 SRV 记录协议为_tcp。对于以
_ldap开头的 SRV 记录名称,请指定ldap。构造的 DNS SRV 记录名称类似于以下内容_ldap._tcp.example.com
对于以
_ldaps开头的 SRV 记录名称,请指定ldaps。构造的 DNS SRV 记录名称类似于以下内容_ldaps._tcp.example.com
如果您的 DNS SRV 记录名称使用备用服务或协议名称,请指定
on并将完整记录名称作为您的 LDAP 服务器地址提供。示例:_ldapserver._specialtcp.example.com有关 DNS SRV 记录的更多信息,请参阅LDAP 的 DNS SRV 记录。
DNS SRV 记录配置的服务器地址
指定的服务器名称不得包含端口号。这与标准 AD/LDAP 配置不同,在标准 AD/LDAP 配置中,需要端口号。
有关配置 AD/LDAP 服务器地址的更多信息,请参阅
server_addr或MINIO_IDENTITY_LDAP_SERVER_ADDR。此参数对应于
MINIO_IDENTITY_LDAP_SRV_RECORD_NAME环境变量。
- tls_skip_verify
- 可选
指定
on以在不进行验证的情况下信任 AD/LDAP 服务器 TLS 证书。如果 AD/LDAP 服务器 TLS 证书由不受信任的证书颁发机构(例如自签名证书)签署,则可能需要此选项。默认为
off此参数对应于
MINIO_IDENTITY_LDAP_TLS_SKIP_VERIFY环境变量。
全局标志
此命令支持任何 全局标志。
行为
S3 兼容性
mc 命令行工具构建为与 AWS S3 API 兼容,并已在 MinIO 和 AWS S3 上针对预期功能和行为进行了测试。
对于其他兼容 S3 的服务,MinIO 不提供任何保证,因为其 S3 API 实现未知,因此不受支持。虽然 mc 命令可能按文档记录的方式工作,但任何此类使用均需自行承担风险。
