Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

使用身份联合

PDF

使用身份联合可以更快地设置组和用户,并允许用户使用熟悉的凭据登录StorageGRID 。

为网格管理器配置身份联合

如果您希望在另一个系统(例如 Active Directory、Azure Active Directory(Azure AD)、OpenLDAP 或 Oracle Directory Server)中管理管理员组和用户,则可以在网格管理器中配置身份联合。

开始之前
关于此任务

如果您想从其他系统(例如 Active Directory、Azure AD、OpenLDAP 或 Oracle Directory Server)导入组,则可以为网格管理器配置身份源。您可以导入以下类型的组:

  • 管理组。管理组中的用户可以登录网格管理器并根据分配给该组的管理权限执行任务。

  • 不使用自己的身份源的租户的租户用户组。租户组中的用户可以登录租户管理器并根据租户管理器中分配给该组的权限执行任务。看"创建租户帐户""使用租户帐户"了解详情。

输入配置

步骤

  1. 选择*配置* > 访问控制 > 身份联合

  2. 选择*启用身份联合*。

  3. 在 LDAP 服务类型部分中,选择要配置的 LDAP 服务类型。

    显示 LDAP 服务类型选项的身份联合页面

    选择“其他”来配置使用 Oracle Directory Server 的 LDAP 服务器的值。

  4. 如果您选择了“其他”,请填写 LDAP 属性部分中的字段。否则,转到下一步。

    • 用户唯一名称:包含 LDAP 用户唯一标识符的属性名称。此属性相当于 sAMAccountName`对于 Active Directory 和 `uid`对于 OpenLDAP。如果您正在配置 Oracle Directory Server,请输入 `uid

    • 用户 UUID:包含 LDAP 用户的永久唯一标识符的属性名称。此属性相当于 objectGUID`对于 Active Directory 和 `entryUUID`对于 OpenLDAP。如果您正在配置 Oracle Directory Server,请输入 `nsuniqueid。每个用户的指定属性值必须是 16 字节或字符串格式的 32 位十六进制数,其中连字符将被忽略。

    • 组唯一名称:包含 LDAP 组唯一标识符的属性的名称。此属性相当于 sAMAccountName`对于 Active Directory 和 `cn`对于 OpenLDAP。如果您正在配置 Oracle Directory Server,请输入 `cn

    • 组 UUID:包含 LDAP 组的永久唯一标识符的属性的名称。此属性相当于 objectGUID`对于 Active Directory 和 `entryUUID`对于 OpenLDAP。如果您正在配置 Oracle Directory Server,请输入 `nsuniqueid。每个组的指定属性的值必须是 16 字节或字符串格式的 32 位十六进制数,其中连字符将被忽略。

  5. 对于所有 LDAP 服务类型,请在配置 LDAP 服务器部分输入所需的 LDAP 服务器和网络连接信息。

    • 主机名:LDAP 服务器的完全限定域名 (FQDN) 或 IP 地址。

    • 端口:用于连接 LDAP 服务器的端口。

      备注 STARTTLS 的默认端口是 389,LDAPS 的默认端口是 636。但是,只要您的防火墙配置正确,您就可以使用任何端口。

    • 用户名:将连接到 LDAP 服务器的用户的专有名称 (DN) 的完整路径。

      对于 Active Directory,您还可以指定下级登录名或用户主体名称。

      指定的用户必须具有列出组和用户以及访问以下属性的权限:

      • sAMAccountName`或者 `uid

      • objectGUIDentryUUID , 或者 nsuniqueid

      • cn

      • memberOf`或者 `isMemberOf

      • 活动目录objectSidprimaryGroupIDuserAccountControl , 和 userPrincipalName

      • 蔚蓝accountEnabled`和 `userPrincipalName

    • 密码:与用户名关联的密码。

      备注 如果您将来更改密码,则必须在此页面上更新。

    • 组基础 DN:您要搜索组的 LDAP 子树的可分辨名称 (DN) 的完整路径。在 Active Directory 示例(如下)中,所有可分辨名称相对于基本 DN(DC=storagegrid、DC=example、DC=com)的组都可以用作联合组。

      备注 *组唯一名称*值在其所属的*组基本 DN*内必须是唯一的。

    • 用户基础 DN:您要搜索用户的 LDAP 子树的可分辨名称 (DN) 的完整路径。

      备注 *用户唯一名称*值在其所属的*用户基本 DN*内必须是唯一的。

    • 绑定用户名格式(可选):如果无法自动确定模式, StorageGRID应使用默认用户名模式。

      建议提供*绑定用户名格式*,因为如果StorageGRID无法与服务帐户绑定,它可以允许用户登录。

      输入以下模式之一:

      • UserPrincipalName 模式(Active Directory 和 Azure)[USERNAME]@example.com

      • 下级登录名称模式(Active Directory 和 Azure)example\[USERNAME]

      • 可分辨名称模式CN=[USERNAME],CN=Users,DC=example,DC=com

        完全按照书写方式包含 [USERNAME]

  6. 在传输层安全性 (TLS) 部分中,选择一个安全设置。

    • 使用 STARTTLS:使用 STARTTLS 确保与 LDAP 服务器的通信安全。这是 Active Directory、OpenLDAP 或其他的推荐选项,但 Azure 不支持此选项。

    • 使用 LDAPS:LDAPS(通过 SSL 的 LDAP)选项使用 TLS 建立与 LDAP 服务器的连接。您必须为 Azure 选择此选项。

    • 不要使用 TLS: StorageGRID系统和 LDAP 服务器之间的网络流量将不安全。 Azure 不支持此选项。

      备注 如果您的 Active Directory 服务器强制执行 LDAP 签名,则不支持使用 不使用 TLS 选项。您必须使用 STARTTLS 或 LDAPS。

  7. 如果您选择了 STARTTLS 或 LDAPS,请选择用于保护连接的证书。

    • 使用操作系统 CA 证书:使用操作系统上安装的默认 Grid CA 证书来保护连接。

    • 使用自定义 CA 证书:使用自定义安全证书。

      如果选择此设置,请将自定义安全证书复制并粘贴到 CA 证书文本框中。

测试连接并保存配置

输入所有值后,必须先测试连接,然后才能保存配置。如果您提供了 LDAP 服务器的连接设置和绑定用户名格式, StorageGRID会验证该设置。

步骤

  1. 选择*测试连接*。

  2. 如果您没有提供绑定用户名格式:

    • 如果连接设置有效,则会出现“测试连接成功”消息。选择*保存*以保存配置。

    • 如果连接设置无效,则会出现“无法建立测试连接”消息。选择*关闭*。然后,解决所有问题并再次测试连接。

  3. 如果您提供了绑定用户名格式,请输入有效联合用户的用户名和密码。

    例如,输入您自己的用户名和密码。用户名中不要包含任何特殊字符,例如 @ 或 /。

    身份联合提示验证绑定用户名格式

    • 如果连接设置有效,则会出现“测试连接成功”消息。选择*保存*以保存配置。

    • 如果连接设置、绑定用户名格式或测试用户名和密码无效,则会出现错误消息。解决任何问题并再次测试连接。

强制与身份源同步

StorageGRID系统定期从身份源同步联合组和用户。如果您想尽快启用或限制用户权限,您可以强制启动同步。

步骤

  1. 转到身份联合页面。

  2. 选择页面顶部的*同步服务器*。

    同步过程可能需要一些时间,具体取决于您的环境。

    备注 如果从身份源同步联合组和用户时出现问题,则会触发*身份联合同步失败*警报。

禁用身份联合

您可以暂时或永久禁用群组和用户的身份联合。当身份联合被禁用时, StorageGRID和身份源之间就没有通信。但是,您配置的任何设置都会保留,以便您将来可以轻松地重新启用身份联合。

关于此任务

在禁用身份联合之前,您应该注意以下事项:

  • 联合用户将无法登录。

  • 当前已登录的联合用户将保留对StorageGRID系统的访问权限,直到其会话过期,但会话过期后他们将无法登录。

  • StorageGRID系统和身份源之间不会发生同步,并且不会针对未同步的帐户发出警报。

  • 如果单点登录 (SSO) 设置为 已启用沙盒模式,则 启用身份联合 复选框将被禁用。在禁用身份联合之前,单点登录页面上的 SSO 状态必须为 已禁用。看"禁用单点登录"

步骤

  1. 转到身份联合页面。

  2. 取消选中“启用身份联合”复选框。

配置 OpenLDAP 服务器的指南

如果您想使用 OpenLDAP 服务器进行身份联合,则必须在 OpenLDAP 服务器上配置特定设置。

注意 对于非 ActiveDirectory 或 Azure 的身份源, StorageGRID不会自动阻止外部禁用的用户访问 S3。要阻止 S3 访问,请删除用户的所有 S3 密钥或从所有组中删除该用户。

Memberof 和 refint 覆盖

应该启用 memberof 和 refint 覆盖。有关详细信息,请参阅http://www.openldap.org/doc/admin24/index.html["OpenLDAP 文档:版本 2.4 管理员指南"^]。

索引

您必须使用指定的索引关键字配置以下 OpenLDAP 属性:

  • olcDbIndex: objectClass eq

  • olcDbIndex: uid eq,pres,sub

  • olcDbIndex: cn eq,pres,sub

  • olcDbIndex: entryUUID eq

此外,请确保帮助中提到的用户名字段已被索引,以获得最佳性能。

请参阅有关反向组成员身份维护的信息http://www.openldap.org/doc/admin24/index.html["OpenLDAP 文档:版本 2.4 管理员指南"^]。