文档基于2025-10-10日社区最终版构建     
切换到英文版    进入演示系统    进入交流社区

MinIO Documentation

MinIO 对象存储

Active Directory / LDAP Settings

This page documents settings for enabling external identity management using an Active Directory or LDAP service. See配置 MinIO 使用 Active Directory / LDAP 进行身份验证有关使用这些设置的教程。

重要

版本新增功能RELEASE.2023-05-26T23-31-54Z:

mc idp ldap建议使用命令而非配置设置来配置 MinIO 以使用 Active Directory 或 LDAP 进行身份管理。

MinIO recommends using themc idp ldapLDAP 管理操作命令。 这些命令提供更好的验证和附加功能,同时保持与原有设置相同的配置选项。identity_ldap配置键。 请参阅配置 MinIO 使用 Active Directory / LDAP 进行身份验证关于使用教程mc idp ldap.

Theidentity_ldap配置设置对现有脚本和其他工具仍然可用。

您可以通过定义以下内容来建立或修改设置:

  • an 环境变量在启动或重启 MinIO 服务器之前,请在主机系统上设置此环境变量。 有关如何定义环境变量,请参阅操作系统的文档。

  • a 配置设置使用mc admin config set.

如果您同时定义了环境变量和类似的配置设置,MinIO 将使用环境变量的值。

某些设置只有环境变量或配置设置,但没有两者都提供。

重要

每个配置设置控制着 MinIO 的基本行为和功能。 MinIO强烈建议在应用到生产环境之前,先在较低环境(如开发环境或测试环境)中测试配置变更。

示例

MINIO_IDENTITY_LDAP_SERVER_ADDR="ldapserver.com:636"

Note

srv_record_name自动识别端口。

如果您的 AD/LDAP 服务器使用DNS SRV Records, 做将端口号附加到您的server_addr值。 SRV 请求在返回可用服务器列表时会自动包含端口号。

identity_ldap

以下是在使用LDAP定义时需要配置的设置mc admin config set:

  • enabled

  • server_addr

  • lookup_bind_dn

  • lookup_bind_dn_password

  • user_dn_search_base_dn

  • user_dn_search_filter

mc admin config set identity_ldap                        \
   enabled="true"                                        \
   server_addr="ad-ldap.example.net/"                    \
   lookup_bind_dn="cn=miniolookupuser,dc=example,dc=net" \
   lookup_bind_dn_password="userpassword"                \
   user_dn_search_base_dn="dc=example,dc=net"            \
   user_dn_search_filter="(&(objectCategory=user)(sAMAccountName=%s))"

设置

服务器地址

必需

MINIO_IDENTITY_LDAP_SERVER_ADDR

指定 Active Directory / LDAP 服务器的主机名。例如:

ldapserver.com:636

srv_record_name自动识别端口

如果您的 AD/LDAP 服务器使用DNS SRV Records, 做将端口号附加到您的server_addr值。 SRV 请求在返回可用服务器列表时会自动包含端口号。

identity_ldap server_addr

指定 Active Directory / LDAP 服务器的主机名。例如:

ldapserver.com:636

srv_record_name自动识别端口

如果您的 AD/LDAP 服务器使用DNS SRV Records, 做将端口号附加到您的server_addr值。 SRV 请求在返回可用服务器列表时会自动包含端口号。

查找绑定专有名称

必需

MINIO_IDENTITY_LDAP_LOOKUP_BIND_DN
identity_ldap lookup_bind_dn

指定 MinIO 在查询 AD/LDAP 服务器时使用的 AD/LDAP 账户的可分辨名称(DN)。启用Lookup-Bind对 AD/LDAP 服务器的身份验证。

DN账户应具有只读访问权限,且拥有足够的权限来支持执行用户和组查询。

查找绑定密码

必需

MINIO_IDENTITY_LDAP_LOOKUP_BIND_PASSWORD
identity_ldap lookup_bind_password

指定密码Lookup-Bind用户账户。

在版本 RELEASE.2023-06-23T20-26-00Z 中的变更:MinIO 在作为部分结果返回时会遮蔽此值mc admin config get.

用户 DN 搜索基础 DN

必需

MINIO_IDENTITY_LDAP_USER_DN_SEARCH_BASE_DN
identity_ldap user_dn_search_base_dn

指定 MinIO 在查询与认证客户端提供的凭据匹配的用户凭据时使用的基础识别名(DN)。

使用分号分隔多个 DN (;).

例如:

cn=miniousers,dc=myldapserver,dc=net;ou=swengg,dc=min,dc=io

支持Lookup-Bindmode.

用户 DN 搜索过滤器

必需

MINIO_IDENTITY_LDAP_USER_DN_SEARCH_FILTER
identity_ldap user_dn_search_filter

指定 MinIO 在查询与认证客户端提供的凭据匹配的用户凭据时使用的 AD/LDAP 搜索过滤器。

使用%s替换字符以将客户端指定的用户名插入搜索字符串中。例如:

(userPrincipalName=%s)

用户 DN 属性

可选

MINIO_IDENTITY_LDAP_USER_DN_ATTRIBUTES
identity_ldap user_dn_attributes

版本 RELEASE.2024-06-06T09-36-42Z 中的新增功能。

用户 DN 属性的逗号分隔列表。

一些有效值包括,uid,cn,mail,sshPublicKey.

要启用LDAP用户的公共认证,请传递sshPublicKey作为 DN 属性。 用户随后可以使用传递的 SSH 公钥登录 SFTP 服务器。

mc idp ldap update ALIAS user_dn_attributes=sshPublicKey

已启用

可选

此设置没有环境变量选项。 请改用配置设置。

identity_ldap 已启用

设置为false禁用 AD/LDAP 配置。

If false应用程序无法生成STS凭据,也无法使用配置的提供程序对MinIO进行身份验证。

默认值为true或“enabled”。

群组搜索过滤器

可选

MINIO_IDENTITY_LDAP_GROUP_SEARCH_FILTER
identity_ldap group_search_filter

为经过身份验证的用户指定用于执行组查找的 AD/LDAP 搜索过滤器

使用%s替换字符将客户端指定的用户名插入到搜索字符串中。使用%d将替换字符插入到搜索字符串中,以包含客户端指定用户名的专有名称。

例如:

(&(objectclass=groupOfNames)(memberUid=%s))

在配置AD/LDAP组搜索过滤器时,请设置能够返回最少数量相关组的过滤器,以支持身份验证。 返回大量组分配的过滤器会增加相关调用和资源的大小。 对大型请求或响应体敏感的功能可能会因此表现出意外行为。

在配置AD/LDAP组搜索过滤器时,请设置能够返回最少数量相关组的过滤器,以支持身份验证。 返回大量组分配的过滤器会增加相关调用和资源的大小。 对大型请求或响应体敏感的功能可能会因此表现出意外行为。

Group Search Base DN

可选

MINIO_IDENTITY_LDAP_GROUP_SEARCH_BASE_DN
identity_ldap group_search_base_dn

指定一个分号分隔的(;) 组搜索基础列表Distinguished NamesMinIO 在执行组查找时使用。

例如:

cn=miniogroups,dc=myldapserver,dc=net;ou=swengg,dc=min,dc=io

TLS 跳过验证

可选

MINIO_IDENTITY_LDAP_TLS_SKIP_VERIFY
identity_ldap tls_skip_verify

指定on信任 AD/LDAP 服务器的 TLS 证书而不进行验证。如果 AD/LDAP 服务器的 TLS 证书是由不受信任的证书颁发机构(例如自签名证书)签发的,则可能需要此选项。

默认值为off

服务器不安全

可选

MINIO_IDENTITY_LDAP_SERVER_INSECURE
identity_ldap server_insecure

指定on允许与 AD/LDAP 服务器建立不安全(非 TLS 加密)连接。

MinIO 以明文形式将 AD/LDAP 用户凭据发送到 AD/LDAP 服务器,因此启用 TLS 是必需为了防止通过网络传输读取凭据。 使用此选项会带来安全风险,任何能够访问网络流量的用户都可以观察到未加密的明文凭据。

默认值为off.

服务器启动 TLS

可选

MINIO_IDENTITY_LDAP_SERVER_STARTTLS
identity_ldap server_starttls

指定on启用StartTLS连接到 AD/LDAP 服务器。

默认值为off

如需了解更多关于StartTLS请参考第4.14节LDAP RFC 4511 规范.

SRV Record Name

可选

版本 RELEASE.2022-12-12T19-27-27Z 中的新增功能。

MINIO_IDENTITY_LDAP_SRV_RECORD_NAME
identity_ldap srv_record_name

指定适当的值以使 MinIO 能够使用 AD/LDAP 服务器进行选择DNS SRV记录request.

启用后,MinIO 通过以下方式选择 AD/LDAP 服务器:

  • 按照标准命名规范构建目标SRV记录名称。

  • 正在请求可用的 AD/LDAP 服务器列表。

  • 根据优先级和权重选择合适的目标。

以下配置示例假定 AD/LDAP 服务器地址设置为example.comSRV记录协议是_tcp.

对于以以下内容开头的 SRV 记录名称_ldap指定ldap构造的 DNS SRV 记录名称如下所示:

_ldap._tcp.example.com

对于以以下内容开头的SRV记录名称_ldaps指定ldaps构造的 DNS SRV 记录名称如下所示:

_ldaps._tcp.example.com

如果您的 DNS SRV 记录名称使用备用服务或协议名称,请指定on并提供完整的记录名称作为您的 LDAP 服务器地址。 示例:_ldapserver._specialtcp.example.com

有关 DNS SRV 记录的更多信息,请参阅LDAP 的 DNS SRV 记录.

DNS SRV记录配置的服务器地址

指定的服务器名称不得包含端口号。 这与标准的 AD/LDAP 配置不同,后者需要端口号。

server_addr or MINIO_IDENTITY_LDAP_SERVER_ADDR有关配置 AD/LDAP 服务器地址的更多信息。

评论

可选

MINIO_IDENTITY_LDAP_COMMENT
identity_ldap identity_ldap 评论

指定要与 AD/LDAP 配置关联的注释。

本作品采用知识共享 署名 4.0 国际许可协议2020年至今,MinIO公司 Creative Commons License