2.8. 使用自定义搜索过滤器

您可以使用 rgw_ldap_searchfilter 设置创建自定义搜索过滤器来限制用户访问。在 Ceph 配置文件(/etc/ceph/ceph.conf)的 [global] 部分下指定此设置。使用 rgw_ldap_searchfilter 设置的方法有两种:

  1. 指定部分过滤器

    示例

    "objectclass=inetorgperson"

    Ceph 对象网关将生成搜索过滤器,其用户名为来自令牌,值为 rgw_ldap_dnattr。然后,构建的过滤器与 rgw_ldap_searchfilter 值中的部分过滤器合并。例如,用户名和设置会生成最终搜索过滤器:

    示例

    "(&(uid=joe)(objectclass=inetorgperson))"

    只有在 LDAP 目录中找到用户 joe 时,用户 inetorgperson 才会被授予访问权限,他的对象类为,并且指定了有效的密码。

  2. 指定 Complete Filter

    完整的过滤器必须包含 USERNAME 令牌,在身份验证尝试过程中,该令牌将被替换为用户名。在这种情况下不使用 rgw_ldap_dnattr 设置。例如,要将有效用户限制为特定组,请使用以下过滤器:

    示例

    "(&(uid=@USERNAME@)(memberOf=cn=ceph-users,ou=groups,dc=mycompany,dc=com))"