mc idp ldap add

参数

ALIAS

Required

要添加AD/LDAP集成的MinIO部署的 alias。

例如：

mc idp ldap add myminio                               \
                server_addr=myldapserver:636          \
                lookup_bind_dn=cn=admin,dc=min,dc=io  \
                lookup_bind_password=somesecret       \
                user_dn_search_base_dn=dc=min,dc=io   \
                user_dn_search_filter="(uid=%s)"      \

server_addr

Required

指定Active Directory/LDAP服务器的主机名。例如：

ldapserver.com:636

srv_record_name automatically identifies the port

如果您的AD/LDAP服务器使用 DNS SRV记录，则 不要 将端口号附加到 server_addr 值。 SRV请求在返回可用服务器列表时自动包括端口号。

此参数对应于 MINIO_IDENTITY_LDAP_SERVER_ADDR 环境变量。

lookup_bind_dn

Required

指定MinIO在查询AD/LDAP服务器时使用的AD/LDAP帐户的可分辨名称（DN）。 启用对AD/LDAP服务器的 Lookup-Bind 身份验证。

DN帐户应该是只读访问密钥， 具有足够的特权支持查询执行用户和组查找。

此参数对应于 MINIO_IDENTITY_LDAP_LOOKUP_BIND_DN 环境变量。

lookup_bind_password

Required

指定 Lookup-Bind 用户帐户的密码。.

在 RELEASE.2023-06-23T20-26-00Z 版本发生变更: 当作为 mc admin config get 的一部分返回时，MinIO会消除该值。

此参数对应于 MINIO_IDENTITY_LDAP_LOOKUP_BIND_PASSWORD 环境变量。

user_dn_attributes

Optional

在 RELEASE.2024-06-06T09-36-42Z 版本加入.

以逗号分隔的用户 DN 属性列表.

一些有效值包括, uid,cn,mail,sshPublicKey .

为 LDAP 用户启用公共身份验证, 将 sshPublicKey 作为 DN 属性传递. 然后,用户可以使用通过的 SSH 公钥登录 SFTP 服务器.

mc idp ldap update ALIAS user_dn_attributes=sshPublicKey

user_dn_search_base_dn

Required

指定MinIO在查询与身份验证客户端提供的用户凭据 相匹配的凭据时使用的基本可分辨名称（DN）。

用分号（ ; ）分隔多个 DN。

例如:

cn=miniousers,dc=myldapserver,dc=net;ou=swengg,dc=min,dc=io

支持 Lookup-Bind 模式.

该参数对应于 MINIO_IDENTITY_LDAP_USER_DN_SEARCH_BASE_DN 环境变量。

user_dn_search_filter

Required

指定MinIO在查询与身份验证客户端提供的用户凭据 相匹配的凭据时使用的AD / LDAP搜索过滤器。

使用 %s 替换字符将客户端指定的用户名插入到 搜索字符串中。例如：

(userPrincipalName=%s)

该参数对应于 MINIO_IDENTITY_LDAP_USER_DN_SEARCH_FILTER 环境变量。

comment

Optional

指定要关联到AD/LDAP配置的注释。

该参数对应于 MINIO_IDENTITY_LDAP_COMMENT 环境变量。

enabled

Optional

设置为 false 以禁用 AD/LDAP 配置。

如果设置为 false ，应用程序将无法生成STS凭证或以其他方式使用配置的提供者对MinIO进行身份验证。

默认设置为 true 或 “enabled”。

group_search_base_dn

Optional

指定以分号分隔（ ; ）的组搜索基础列表 Distinguished Names MinIO 在执行组查找时使用。

例如:

cn=miniogroups,dc=myldapserver,dc=net;ou=swengg,dc=min,dc=io

该参数对应于 MINIO_IDENTITY_LDAP_GROUP_SEARCH_BASE_DN 环境变量。

group_search_filter

Optional

指定用于执行经过身份验证的用户组查找的AD / LDAP 搜索过滤器。

使用 %s 替换字符将客户端指定的用户名插入到搜索字符串中。 使用 %d 替换字符将客户端指定的用户名的可分辨名称 插入到搜索字符串中。

例如:

(&(objectclass=groupOfNames)(memberUid=%s))

该参数对应于 MINIO_IDENTITY_LDAP_GROUP_SEARCH_FILTER 环境变量。

server_insecure

Optional

指定 on 以允许到AD / LDAP服务器的未安全（非TLS加密） 连接。

MinIO以明文形式将AD / LDAP用户凭据发送到AD / LDAP服务器， 因此启用TLS是 必需 的，以防止通过网络读取凭据。 使用此选项存在安全风险， 任何可以访问网络流量的用户都可以观察未加密的明文凭据。

默认为 off .

该参数对应于 MINIO_IDENTITY_LDAP_SERVER_INSECURE 环境变量。

server_starttls

Optional

将 on 指定为启用对AD/LDAP服务器的 StartTLS 连接。

默认为 off .

有关 StartTLS 的更多信息，请参考 LDAP RFC 4511规范 的第4.14节。

该参数对应于 MINIO_IDENTITY_LDAP_SERVER_STARTTLS 环境变量。

srv_record_name

Optional

在 RELEASE.2022-12-12T19-27-27Z 版本加入.

指定适当的值，以使MinIO能够使用 DNS SRV记录 请求选择AD / LDAP服务器。

启用此功能后，MinIO将通过以下方式选择AD / LDAP服务器：

• 按照标准命名约定构建目标SRV记录名。

• 请求可用的AD / LDAP服务器列表。

• 根据优先级和权重选择适当的目标。

下面的配置示例假定AD / LDAP服务器地址设置为 example.com， SRV记录协议为 _tcp 。

对于以 _ldap 开头的SRV记录名称，请指定 ldap 。 构建的DNS SRV记录名称类似于以下内容：

_ldap._tcp.example.com

对于以 _ldaps 开头的SRV记录名称，请指定 ldaps 。 构建的DNS SRV记录名称类似于以下内容：

_ldaps._tcp.example.com

如果您的DNS SRV记录名称使用替代服务或协议名称，请指定 on 并将完整的记录名称提供为LDAP服务器地址。 例: _ldapserver._specialtcp.example.com

要了解有关DNS SRV记录的更多信息，请参阅 LDAP的DNS SRV记录。

Server address for DNS SRV record configurations

指定的服务器名称 不得 包括端口号。 这与标准的AD/LDAP配置不同，后者需要端口号。

有关配置AD/LDAP服务器地址的更多信息，请参见 server_addr 或 MINIO_IDENTITY_LDAP_SERVER_ADDR。

该参数对应于 MINIO_IDENTITY_LDAP_SRV_RECORD_NAME 环境变量。

tls_skip_verify

Optional

指定 on 以信任AD / LDAP服务器TLS证书而无需验证。 如果AD / LDAP服务器TLS证书由不受信任的证书颁发机构（例如自签名）签署， 则可能需要使用此选项。

默认为 off

该参数对应于 MINIO_IDENTITY_LDAP_TLS_SKIP_VERIFY 环境变量。

全局标记

此命令支持任何 全局标志。

S3兼容性

mc 命令行工具是为了与 AWS S3 API 兼容而构建的，并且已经过测试， 以确保在与 MinIO 和 AWS S3 配合使用时，功能和行为符合预期。

MinIO 不对其他 S3 兼容服务提供任何保证，因为它们的 S3 API 实现是 未知的，因此不受支持。尽管 mc 命令 可能 如文档中所 述工作，但任何此类使用都是您自己的风险。