![nixsky[www.nixsky.com]](/templets/images/toplogo.gif)
AIX 5L 客户端对这类服务器的操作不支持用户或组管理的完整功能。因为这些服务器通常不支持 AIX 5L 特定的用户或组属性,所以 AIX 5L 操作系统中一些很好的用户控制功能将无法使用。。
有关模式文件格式和模式文件使用的更详细信息,请参见 AIX 5L 安全指南中的“LDAP Attribute Mapping File Format”(参考资料)。
Microsoft Active Directory
可以对 AIX 5L LDAP 客户端进行配置以使用 Active Directory 服务。对于不同的 Microsoft® Windows® 发行版,基于 Active Directory 的用户和组信息也不相同。正因为这样,所以管理员应该完整地阅读本部分内容,并在 AIX 5L LDAP 客户端上建立所需的配置。
在 Windows 2000 和 Windows 2003 发行版中,Active Directory 可以通过 Windows Service For UNIX 包将用户和组信息映射为 UNIX 模式类型。要使得 AIX 5L 客户端能够通过基于 Active Directory 的信息进行身份验证,客户必须在基于 Active Directory 服务的系统中安装“Windows Services for UNIX”,然后配置 AIX 5L 客户端。稍后将提供有关这一配置的更详细信息。
AIX 5L 操作系统支持运行于 Windows 2000 和 2003 之上的安装了 Services for UNIX 模式版本 3.0 和 3.5 的 Active Directory 服务。
对于基于 Windows 2003 R2 的 Active Directory,不需要附加的 Windows Services for UNIX (SFU) 层。Windows 2003 R2 UNIX 支持模式与 Services for UNIX 3.0 和 3.5 中定义的模式不同。AIX 5L 操作系统需要 APAR IY91514 以支持 Windows 2003 R2 模式的 Active Directory。要检查是否安装了这个 APAR,可以运行下面的命令:
# instfix -ik APAR IY91514 |
由于 AIX 5L 操作系统和 Windows 系统在用户和组管理上存在差别,所以当使用 Active Directory 作为中央 LDAP 服务器时,并非所有的 AIX 5L 命令都能够正常使用。无法使用的命令包括 mkuser 和 mkgroup。其他大多数用户和组管理命令可以正常使用,这取决于对 AIX 5L 操作系统绑定到 Active Directory 的标识所赋予的访问权限。这些命令包括:
lsuserchuserrmuserlsgroupchgrouprmgroupidgroupspasswdchpasswd(仅适用于unix_auth模式)
对 AIX 5L 客户端进行配置以使用 Windows 服务器
对于 Windows 服务器,AIX 5L 操作系统支持两种用户身份验证机制:LDAP 身份验证和 Kerberos 身份验证。使用其中任何一种机制时,AIX 5L 操作系统支持针对 Active Directory 通过 LDAP 协议进行用户标识,而不需要在 AIX 5L 操作系统中存在对应的用户帐户。
在配置 AIX 5L 操作系统之前,必须在 Windows 服务器端完成下列操作步骤:
- Active Directory 必须安装了 UNIX 支持模式。
- Active Directory 必须包含支持 UNIX 的用户。
- 对于 Kerberos 身份验证,必须在 Windows 服务器上创建主机主体。
有关在 Active Directory 中安装这些模式,并为 Active Directory 用户提供 UNIX 支持,请参考相关的 Microsoft 文档。
对于 LDAP 身份验证,管理员可以使用 mksecldap 命令将 AIX 5L LDAP 客户端配置为使用 Active Directory 服务器,在使用 IBM Tivoli Directory Server 时也要进行这样的配置。mksecldap 命令查询服务器,发现远程服务器是基于 Active Directory 的,然后对 AIX 5L 操作系统进行相应的配置。
对于 Kerberos 身份验证,除了 LDAP 之外还必须配置 Kerberos。
下面的部分详细描述了使用 Windows 服务器进行 LDAP 身份验证和 Kerberos 身份验证的配置步骤。
配置 AIX 5L 以使用 unix_auth 模式与 Active Directory 协同工作
# mksecldap -c -h <Active Directory hostname> -a <cn=binduser,cn=users,dc=ADdomain,dc=abc,dc=com> -p <password> |
其中:
- Active Directory hostname 是您的 Windows Active Directory 服务器。
- cn=binduser,cn=users,dc=ADdomain,dc=abc,dc=com 是一个示例绑定凭据。它可以是 Active Directory 中定义的一个用户帐户。要成功地进行身份验证,该用户必须拥有对 Active Directory 用户的 UNIX 密码的读权限,要让用户更改他们的密码,还必须拥有对 Active Directory 用户的 UNIX 密码的写权限。
- 密码 指的是上面的 binduser 帐户的密码。
这将对 AIX 5L 操作系统进行配置以使用所指定的 Active Directory 服务器。身份验证模式将设置为 unix_auth。secldapclntd 守护进程将使用 cn=binduser,cn=users,dc=ADdomain,dc=abc,dc=comcn 标识绑定到 Active Directory。您可以使用 Active Directory 中定义的另一个有效的用户来替换 cn=binduser,cn=users,dc=ADdomain,dc=abc,dc=comcn。这个 Windows 用户帐户应该仅由 UNIX 客户端系统使用,以绑定到 Active Directory 服务器。
在 mksecldap 命令成功返回之后,检查 /etc/security/ldap/ldap.cfg 文件以确保 userbasedn 和 groupbasedn 指向所需的基本专有名称 (DN)。在缺省情况下,mksecldap 保存从 Active Directory 中找到的具有有效用户和组的第一个基本 DN,并且将这个基本 DN 保存到 /etc/security/ldap/ldap.cfg 文件。
例如,如果您的大部分用户和组位于 cn=users 容器中,并且 userbasedn 和 groupbasedn 指向其他地方,那么可以手动更正 userbasedn 和 groupbasedn。在将该更改保存到 /etc/security/ldap/ldap.cfg 文件之后,重新启动 secldapclntd 守护进程以使得该更改生效,如下所示。
# restart-secldapclntd |
AIX 5L 操作系统还支持多个基本 DN。支持多个基本 DN 部分中提供了更详细的信息。
要验证是否正确配置了 AIX 5L LDAP 客户端,可以运行 lsuser 命令以列出 Active Directory 中定义的用户:
# lsuser –R LDAP <username> |
,其中 username 应该是 Active Directory 中定义的有效用户。
要允许 Windows 用户登录到 AIX 5L 操作系统,管理员需要通过在 AIX 5L 操作系统中运行下列命令,对用户的 SYSTEM 和 registry 属性进行正确设置:
# chuser -R LDAP SYSTEM=LDAP registry=LDAP foo |
Power by nixsky Copyright 2004-2008