2.8. 使用自定义搜索过滤器
您可以使用 rgw_ldap_searchfilter 设置创建自定义搜索过滤器来限制用户访问。在 Ceph 配置文件的 [global] 部分下指定此设置(/etc/ceph/ceph.conf)。使用 rgw_ldap_searchfilter 设置的方法有两种:
指定部分过滤器
示例
"objectclass=inetorgperson"
Ceph 对象网关将使用来自令牌的用户名和
rgw_ldap_dnattr值来生成搜索过滤器。构建的过滤器随后与rgw_ldap_searchfilter值中的部分过滤器组合。例如,用户名和设置会生成最终搜索过滤器:示例
"(&(uid=joe)(objectclass=inetorgperson))"
只有 LDAP 目录中找到用户
joe时,他才会被授予访问权限,他的对象类为inetorgperson,并且指定了有效的密码。指定 Complete Filter
完整的过滤器必须包含
USERNAME令牌,在身份验证尝试期间,该令牌将被替换为用户名。本例中不使用rgw_ldap_dnattr设置。例如,要将有效用户限制为特定组,请使用以下过滤器:示例
"(&(uid=@USERNAME@)(memberOf=cn=ceph-users,ou=groups,dc=mycompany,dc=com))"