擦除码计算器 
参考硬件 mc idp ldap update
描述
该 mc idp ldap update 命令修改 AD/LDAP 提供程序的现有配置集。
以下示例更改了 myminio 部署的两个 AD/LDAP 配置设置。
mc idp ldap update \
myminio \
lookup_bind_dn=cn=admin,dc=min,dc=io \
lookup_bind_password=somesecret
参数
- ALIAS
- 必填
要修改 AD/LDAP 集成的 MinIO 部署的 别名。
例如
mc idp ldap update myminio \ lookup_bind_dn=cn=admin,dc=min,dc=io \
- server_addr
- 必填
指定 Active Directory/LDAP 服务器的主机名。例如
ldapserver.com:636
srv_record_name自动识别端口如果您的 AD/LDAP 服务器使用
DNS SRV 记录,请不要将端口号追加到您的server_addr值中。SRV 请求在返回可用服务器列表时会自动包含端口号。此参数对应于
MINIO_IDENTITY_LDAP_SERVER_ADDR环境变量。
- lookup_bind_dn
- 必填
指定 MinIO 在查询 AD/LDAP 服务器时使用的 AD/LDAP 帐户的区分名称 (DN)。启用对 AD/LDAP 服务器的 查找绑定 身份验证。
DN 帐户应该是具有足够权限的只读访问密钥,以支持执行用户和组查找的查询。
此参数对应于
MINIO_IDENTITY_LDAP_LOOKUP_BIND_DN环境变量。
- lookup_bind_password
- 必填
指定 查找绑定 用户帐户的密码。
版本 RELEASE.2023-06-23T20-26-00Z 中已更改: MinIO 在作为
mc admin config get的一部分返回时会屏蔽此值。此参数对应于
MINIO_IDENTITY_LDAP_LOOKUP_BIND_PASSWORD环境变量。
- user_dn_attributes
- 可选
版本 RELEASE.2024-06-06T09-36-42Z 中新增。
用户 DN 属性的逗号分隔列表。
一些有效值包括
uid,cn,mail,sshPublicKey。要为 LDAP 用户启用公共身份验证,请将
sshPublicKey作为 DN 属性传递。然后,用户可以使用传递的 SSH 公钥登录到 SFTP 服务器。mc idp ldap update ALIAS user_dn_attributes=sshPublicKey
- user_dn_search_base_dn
- 必填
指定 MinIO 在查询与认证客户端提供的用户凭据匹配的用户凭据时使用的基本区分名称 (DN)。
使用分号 (
;) 分隔多个 DN。例如
cn=miniousers,dc=myldapserver,dc=net;ou=swengg,dc=min,dc=io
支持 查找绑定 模式。
此参数对应于
MINIO_IDENTITY_LDAP_USER_DN_SEARCH_BASE_DN环境变量。
- user_dn_search_filter
- 必填
指定 MinIO 在查询与认证客户端提供的用户凭据匹配的用户凭据时使用的 AD/LDAP 搜索过滤器。
使用
%s替换字符将客户端指定的用户名插入搜索字符串中。例如(userPrincipalName=%s)
此参数对应于
MINIO_IDENTITY_LDAP_USER_DN_SEARCH_FILTER环境变量。
- comment
- 可选
指定要与 AD/LDAP 配置关联的注释。
此参数对应于
MINIO_IDENTITY_LDAP_COMMENT环境变量。
- enabled
- 可选
设置为
false以禁用 AD/LDAP 配置。如果为
false,则应用程序无法使用配置的提供程序生成 STS 凭据或以其他方式对 MinIO 进行身份验证。默认为
true或“已启用”。
- group_search_base_dn
- 可选
指定 MinIO 在执行组查找时使用的组搜索基本 区分名称 的分号分隔 (
;) 列表。例如
cn=miniogroups,dc=myldapserver,dc=net;ou=swengg,dc=min,dc=io
此参数对应于
MINIO_IDENTITY_LDAP_GROUP_SEARCH_BASE_DN环境变量。
- group_search_filter
- 可选
为已认证用户指定执行组查找的 AD/LDAP 搜索过滤器
使用
%s替换字符将客户端指定的用户名插入搜索字符串中。使用%d替换字符将客户端指定的用户的区分名称插入搜索字符串中。例如
(&(objectclass=groupOfNames)(memberUid=%s))
此参数对应于
MINIO_IDENTITY_LDAP_GROUP_SEARCH_FILTER环境变量。
- server_insecure
- 可选
指定
on以允许与 AD/LDAP 服务器建立不安全的(非 TLS 加密的)连接。MinIO 会将 AD/LDAP 用户凭据以纯文本形式发送到 AD/LDAP 服务器,因此必须启用 TLS 以防止在网络上读取凭据。使用此选项存在安全风险,任何有权访问网络流量的用户都可以观察到未加密的纯文本凭据。
默认为
off。此参数对应于
MINIO_IDENTITY_LDAP_SERVER_INSECURE环境变量。
- server_starttls
- 可选
指定
on以启用与 AD/LDAP 服务器的StartTLS连接。默认为
off有关
StartTLS的更多信息,请参阅 LDAP RFC 4511 规范 的第 4.14 节。此参数对应于
MINIO_IDENTITY_LDAP_SERVER_STARTTLS环境变量。
- srv_record_name
- 可选
版本 RELEASE.2022-12-12T19-27-27Z 中新增。
指定适当的值以启用 MinIO 使用 DNS SRV 记录 请求选择 AD/LDAP 服务器。
启用后,MinIO 通过以下方式选择 AD/LDAP 服务器:
按照标准命名约定构建目标 SRV 记录名称。
请求可用 AD/LDAP 服务器列表。
根据优先级和权重选择合适的目标。
以下配置示例假设 AD/LDAP 服务器地址设置为
example.com且 SRV 记录协议为_tcp。对于以
_ldap开头的 SRV 记录名称,请指定ldap。构建的 DNS SRV 记录名称类似于以下内容_ldap._tcp.example.com
对于以
_ldaps开头的 SRV 记录名称,请指定ldaps。构建的 DNS SRV 记录名称类似于以下内容_ldaps._tcp.example.com
如果您的 DNS SRV 记录名称使用备用服务或协议名称,请指定
on并将完整记录名称作为您的 LDAP 服务器地址提供。例如:_ldapserver._specialtcp.example.com有关 DNS SRV 记录的更多信息,请参阅LDAP 的 DNS SRV 记录。
DNS SRV 记录配置的服务器地址
指定的服务器名称**不能**包含端口号。这与标准 AD/LDAP 配置不同,在标准 AD/LDAP 配置中,需要端口号。
有关配置 AD/LDAP 服务器地址的更多信息,请参阅
server_addr或MINIO_IDENTITY_LDAP_SERVER_ADDR。此参数对应于
MINIO_IDENTITY_LDAP_SRV_RECORD_NAME环境变量。
- tls_skip_verify
- 可选
指定
on以在未经验证的情况下信任 AD/LDAP 服务器 TLS 证书。如果 AD/LDAP 服务器 TLS 证书由不受信任的证书颁发机构(例如自签名证书)签名,则可能需要此选项。默认为
off此参数对应于
MINIO_IDENTITY_LDAP_TLS_SKIP_VERIFY环境变量。
全局标志
此命令支持任何全局标志。
行为
S3 兼容性
mc 命令行工具构建为与 AWS S3 API 兼容,并已在 MinIO 和 AWS S3 上针对预期功能和行为进行了测试。
MinIO 不对其他与 S3 兼容的服务提供任何保证,因为它们的 S3 API 实现未知,因此不受支持。虽然mc 命令可能按文档记录的方式工作,但任何此类用法均须自行承担风险。
