2.8. 使用自定义搜索过滤器

您可以使用 rgw_ldap_searchfilter 设置创建自定义搜索过滤器来限制用户访问。在 Ceph 配置文件的 [global] 部分下指定此设置(/etc/ceph/ceph.conf)。使用 rgw_ldap_searchfilter 设置的方法有两种:

  1. 指定部分过滤器

    示例

    "objectclass=inetorgperson"

    Ceph 对象网关将使用来自令牌的用户名和 rgw_ldap_dnattr 值来生成搜索过滤器。构建的过滤器随后与 rgw_ldap_searchfilter 值中的部分过滤器组合。例如,用户名和设置会生成最终搜索过滤器:

    示例

    "(&(uid=joe)(objectclass=inetorgperson))"

    只有 LDAP 目录中找到用户 joe 时,他才会被授予访问权限,他的对象类为 inetorgperson,并且指定了有效的密码。

  2. 指定 Complete Filter

    完整的过滤器必须包含 USERNAME 令牌,在身份验证尝试期间,该令牌将被替换为用户名。本例中不使用 rgw_ldap_dnattr 设置。例如,要将有效用户限制为特定组,请使用以下过滤器:

    示例

    "(&(uid=@USERNAME@)(memberOf=cn=ceph-users,ou=groups,dc=mycompany,dc=com))"