mc idp ldap add
描述
Themc idp ldap add该命令创建 AD/LDAP IDP 服务器配置。
MinIO 支持不超过一(1) 每个部署一个 AD/LDAP 提供程序。
以下示例设置了 AD/LDAP 配置参数:myminio部署。
mc idp ldap add \
myminio \
server_addr=myldapserver:636 \
lookup_bind_dn=cn=admin,dc=min,dc=io \
lookup_bind_password=somesecret \
user_dn_search_base_dn=dc=min,dc=io \
user_dn_search_filter="(uid=%s)" \
group_search_base_dn=ou=swengg,dc=min,dc=io \
group_search_filter="(&(objectclass=groupofnames)(member=%d))"
参数
- ALIAS
- 必需
The别名要在其上添加 AD/LDAP 集成的 MinIO 部署。
例如:
mc idp ldap add myminio \ server_addr=myldapserver:636 \ lookup_bind_dn=cn=admin,dc=min,dc=io \ lookup_bind_password=somesecret \ user_dn_search_base_dn=dc=min,dc=io \ user_dn_search_filter="(uid=%s)" \
- server_addr
- 必需
指定 Active Directory / LDAP 服务器的主机名。例如:
ldapserver.com:636
srv_record_name自动识别端口如果您的 AD/LDAP 服务器使用
DNS SRV Records, 做不将端口号附加到您的server_addr值。 SRV 请求在返回可用服务器列表时会自动包含端口号。此参数对应于
MINIO_IDENTITY_LDAP_SERVER_ADDR环境变量。
- lookup_bind_dn
- 必需
指定 MinIO 在查询 AD/LDAP 服务器时使用的 AD/LDAP 账户的可分辨名称(DN)。启用Lookup-Bind对 AD/LDAP 服务器的身份验证。
DN账户应具有只读访问权限,且拥有足够的权限来支持执行用户和组查询。
此参数对应于
MINIO_IDENTITY_LDAP_LOOKUP_BIND_DN环境变量。
- lookup_bind_password
- 必需
指定密码Lookup-Bind用户账户。
在版本 RELEASE.2023-06-23T20-26-00Z 中的变更:MinIO 在作为部分结果返回时会遮蔽此值
mc admin config get.此参数对应于
MINIO_IDENTITY_LDAP_LOOKUP_BIND_PASSWORD环境变量。
- user_dn_attributes
- 可选
版本 RELEASE.2024-06-06T09-36-42Z 中的新增功能。
用户 DN 属性的逗号分隔列表。
一些有效值包括,
uid,cn,mail,sshPublicKey.要启用LDAP用户的公共认证,请传递
sshPublicKey作为 DN 属性。 用户随后可以使用传递的 SSH 公钥登录 SFTP 服务器。mc idp ldap update ALIAS user_dn_attributes=sshPublicKey
- user_dn_search_base_dn
- 必需
指定 MinIO 在查询与认证客户端提供的凭据匹配的用户凭据时使用的基础识别名称(DN)。
使用分号分隔多个 DN (
;).例如:
cn=miniousers,dc=myldapserver,dc=net;ou=swengg,dc=min,dc=io
支持Lookup-Bindmode.
此参数对应于
MINIO_IDENTITY_LDAP_USER_DN_SEARCH_BASE_DN环境变量。
- user_dn_search_filter
- 必需
指定 MinIO 在查询与认证客户端提供的凭据匹配的用户凭据时使用的 AD/LDAP 搜索过滤器。
使用
%s替换字符以将客户端指定的用户名插入搜索字符串中。例如:(userPrincipalName=%s)
此参数对应于
MINIO_IDENTITY_LDAP_USER_DN_SEARCH_FILTER环境变量。
- 评论
- 可选
指定要与 AD/LDAP 配置关联的注释。
此参数对应于
MINIO_IDENTITY_LDAP_COMMENT环境变量。
- group_search_base_dn
- 可选
指定一个分号分隔的(
;) 组搜索基础列表Distinguished NamesMinIO 在执行组查找时使用。例如:
cn=miniogroups,dc=myldapserver,dc=net;ou=swengg,dc=min,dc=io
此参数对应于
MINIO_IDENTITY_LDAP_GROUP_SEARCH_BASE_DN环境变量。
- group_search_filter
- 可选
为经过身份验证的用户指定用于执行组查找的 AD/LDAP 搜索过滤器
使用
%s替换字符将客户端指定的用户名插入到搜索字符串中。使用%d将替换字符插入到搜索字符串中,以包含客户端指定用户名的识别名。例如:
(&(objectclass=groupOfNames)(memberUid=%s))
在配置AD/LDAP组搜索过滤器时,请设置能够返回最少数量相关组的过滤器,以支持身份验证。 返回大量组分配的过滤器会增加相关调用和资源的大小。 对大型请求或响应体敏感的功能可能会因此表现出意外行为。
此参数对应于
MINIO_IDENTITY_LDAP_GROUP_SEARCH_FILTER环境变量。
- server_insecure
- 可选
指定
on允许与 AD/LDAP 服务器建立不安全(非 TLS 加密)连接。MinIO 以明文形式将 AD/LDAP 用户凭据发送到 AD/LDAP 服务器,因此启用 TLS 是必需为了防止通过网络传输读取凭据。 使用此选项会带来安全风险,任何能够访问网络流量的用户都可以观察到未加密的明文凭据。
默认值为
off.此参数对应于
MINIO_IDENTITY_LDAP_SERVER_INSECURE环境变量。
- server_starttls
- 可选
指定
on启用StartTLS连接到 AD/LDAP 服务器。默认值为
off如需了解更多关于
StartTLS请参考第4.14节LDAP RFC 4511 规范.此参数对应于
MINIO_IDENTITY_LDAP_SERVER_STARTTLS环境变量。
- srv_record_name
- 可选
版本 RELEASE.2022-12-12T19-27-27Z 中的新增功能。
指定适当的值以使 MinIO 能够使用 AD/LDAP 服务器进行选择DNS SRV记录request.
启用后,MinIO 通过以下方式选择 AD/LDAP 服务器:
按照标准命名规范构建目标SRV记录名称。
正在请求可用的 AD/LDAP 服务器列表。
根据优先级和权重选择合适的目标。
以下配置示例假定 AD/LDAP 服务器地址设置为
example.comSRV记录协议是_tcp.对于以以下内容开头的 SRV 记录名称
_ldap指定ldap构造的 DNS SRV 记录名称如下所示:_ldap._tcp.example.com
对于以以下内容开头的SRV记录名称
_ldaps指定ldaps构造的 DNS SRV 记录名称如下所示:_ldaps._tcp.example.com
如果您的 DNS SRV 记录名称使用备用服务或协议名称,请指定
on并提供完整的记录名称作为您的 LDAP 服务器地址。 示例:_ldapserver._specialtcp.example.com有关 DNS SRV 记录的更多信息,请参阅LDAP 的 DNS SRV 记录.
DNS SRV记录配置的服务器地址
指定的服务器名称不得包含端口号。 这与标准的 AD/LDAP 配置不同,后者需要端口号。
看
server_addrorMINIO_IDENTITY_LDAP_SERVER_ADDR有关配置 AD/LDAP 服务器地址的更多信息。此参数对应于
MINIO_IDENTITY_LDAP_SRV_RECORD_NAME环境变量。
- tls_skip_verify
- 可选
指定
on信任 AD/LDAP 服务器的 TLS 证书而不进行验证。如果 AD/LDAP 服务器的 TLS 证书是由不受信任的证书颁发机构(例如自签名证书)签发的,则可能需要此选项。默认值为
off此参数对应于
MINIO_IDENTITY_LDAP_TLS_SKIP_VERIFY环境变量。
全局标志
此命令支持任何全局标志.
行为
S3 Compatibility
Themc命令行工具专为兼容 AWS S3 API 而构建,并已通过 MinIO 和 AWS S3 测试,确保功能与行为符合预期。
MinIO 不提供对其他 S3 兼容服务的保证,因为它们的 S3 API 实现方式未知,因此不受支持。尽管mc命令可能按文档所述工作,任何此类使用风险自负。
