2.8. カスタム検索フィルターの使用
rgw_ldap_searchfilter
設定を使用すると、ユーザーアクセスを制限するカスタム検索フィルターを作成できます。この設定は、Ceph 設定ファイル (/etc/ceph/ceph.conf
) の [global]
セクションに指定します。rgw_ldap_searchfilter
設定には、2 つの方法があります。
部分フィルターの指定
例
"objectclass=inetorgperson"
Ceph Object Gateway は、トークンのユーザー名および
rgw_ldap_dnattr
の値を使用して検索フィルターを生成します。構築されたフィルターは、rgw_ldap_searchfilter
の値の一部フィルターと組み合わされます。たとえば、ユーザー名と設定により、最終的な検索フィルターが生成されます。例
"(&(uid=joe)(objectclass=inetorgperson))"
ユーザー
joe
は、LDAP ディレクトリーで見つかった場合にのみアクセスが許可され、inetorgperson
のオブジェクトクラスがあり、有効なパスワードを指定します。Complete フィルターの指定
完全なフィルターには、認証の試行中にユーザー名に置き換えられる
USERNAME
トークンが含まれている必要があります。この場合、rgw_ldap_dnattr
設定は使用されません。たとえば、有効なユーザーを特定のグループに制限するには、以下のフィルターを使用します。例
"(&(uid=@USERNAME@)(memberOf=cn=ceph-users,ou=groups,dc=mycompany,dc=com))"