Mc: [اقتراح] دعم الوصول المستند إلى STS إلى MinIO

تم إنشاؤها على ١٤ سبتمبر ٢٠١٩ · 5تعليقات · مصدر: minio/mc

للوصول إلى MinIO عبر STS API ، يمكننا إضافة أمر إلى mc مثل:

mc sts ENDPOINT <sts-type> <sts-specific-args>

لطباعة مفتاح الوصول والمفتاح السري ورمز الجلسة.

على سبيل المثال لـ LDAP ، يمكن أن يكون هذا:

mc sts ENDPOINT ldap ldapuser=myusername ldappasswd=yyy

بالإضافة إلى ذلك ، يمكننا إضافة وضع إلى mc لجلب وتكوين الأسماء المستعارة MinIO / S3 باستخدام واجهات برمجة تطبيقات STS.

على سبيل المثال ، مع mc config sts ldap add ALIAS URL ldapuser=xx ldappasswd=yy ،
يجلب بيانات الاعتماد المؤقتة عبر STS من خادم MinIO ثم يقوم بتكوين الاسم المستعار لاستخدام بيانات اعتماد الوصول التي تم إرجاعها. الآن يمكن للمستخدم الاستفادة من أوامر mc الأخرى للوصول إلى خادم MinIO.

medium stale

مصدر

donatello

👍2

ال 5 كومينتر

ما قررنا تنفيذه هو التوصل إلى هذا الأسلوب

mc sts ldap myminio ldap_url= ldapuser= ldappassword=
mc sts assume-role myminio username= password=
mc sts client-grants myminio client_url= client_id= client_secret=
mc sts web-identity myminio web_identity_url= (this will throw a login page by opening browser)

الآن سيؤدي هذا إلى إخراج "accessKey، secretKey، sessionToken" في شكل json مع علامة --json أو يطبع متغيرات البيئة التي يحتاج المستخدمون إلى تعيينها لبدء استخدام الرموز المميزة للجلسة مثل مع aws sdks

AWS_SECRET_ACCESS_KEY
AWS_SESSION_TOKEN

نفس الرموز التي سيتم استخدامها بواسطة mc لا نحتاج إلى إضافتها في config عن طريق القيام بـ mc config host add ولكن فقط أخبر المستخدمين بالاستفادة من متغير البيئة.

export MC_HOST_mytemp=http://${accessKey}:${secretKey}@${url}/
export MC_HOST_SESSION_TOKEN_mytemp=${sessionToken}
mc ls mytemp

harshavardhana في ١٨ سبتمبر ٢٠١٩

👍1

https://github.com/minio/minio/pull/8501 يتم تحديث مثال هوية الويب balamurugana

harshavardhana في ١٠ نوفمبر ٢٠١٩

إليك تغييرات CLI المقترحة balamurugana

mc sts ldap myminio ldap_username="bala" ldap_password="bala123"
mc sts assume-role myminio username="foo123" password="foo12345"
mc sts client-grants myminio token_endpoint= client_id= client_secret=

كل من هذه الأمثلة موجود بالفعل في

منح العميل https://github.com/minio/minio/blob/master/docs/sts/client-grants.go
LDAP https://github.com/minio/minio/blob/master/docs/sts/ldap.go
https://github.com/minio/minio/blob/master/docs/sts/assume-role.md#testing (ملاحظة: لا يدعم minio-go مزود بيانات اعتماد AssumeRole حتى الآن ولكن يمكن كتابته بسهولة)

تم تأجيل هوية الويب حاليًا إلى المستقبل لأنها تتطلب WebUI تفاعليًا ومتصفحًا ، لذا ربما لا تكون مطلوبة في الوقت الحالي.

واستخدم envs mc لإنجاز هذا العمل

export MC_HOST_mytemp=http://${accessKey}:${secretKey}@${url}/
export MC_HOST_SESSION_TOKEN_mytemp=${sessionToken}
mc ls mytemp

ربما تكون هذه أمثلة يتم توفيرها بواسطة CLI mc

harshavardhana في ١٠ نوفمبر ٢٠١٩

تم وضع علامة على هذه المشكلة تلقائيًا على أنها قديمة نظرًا لعدم وجود نشاط حديث لها. سيتم إغلاقه بعد 21 يومًا إذا لم يحدث أي نشاط آخر. شكرا لمساهماتكم.