![nixsky[www.nixsky.com]](/templets/images/toplogo.gif)
其中,foo 是 Active Directory 中定义的一个示例用户。 在完成该更改之后,用户 foo 就可以登录到 AIX 5L 操作系统。
请注意,当用户的 Windows 密码更改时,Windows 2000 和 2003 服务器会为这些支持 UNIX 的用户设置 UNIX 密码。该用户可以使用这个密码登录到 AIX 5L 操作系统,直到 AIX 5L 操作系统对这个密码进行了更改。在撰写本文时,当用户的 Windows 密码更改时,Window 2003 R2 不会设置 UNIX 密码。在这些情况下,root 用户必须在 AIX 5L 操作系统中运行 passwd 命令,以便为 Windows 用户设置 UNIX 密码,从而使他们能够登录到 AIX。
如果要让所有的 Windows 用户都能够登录到 AIX 5L 操作系统,对每个用户进行这样的操作可能非常麻烦。在这些情况下,管理员可以手动编辑 /etc/security/user 文件,并将 default 节的 SYSTEM 和 registry 属性设置为 LDAP。如果 default 节中不包含这些属性,那么需要添加它们。修改后的 default 节应该与下面所示类似:
default: ... SYSTEM = "LDAP" registry = LDAP ... |
如果已将 default 节更改为 LDAP,这些本地定义的用户可能无法登录到 AIX 5L 操作系统,除非将他们的 SYSTEM 设置为 compat,registry 设置为 files。管理员必须找出这些帐户,并为每个用户运行下面的命令以进行相应的更改。
# chuser SYSTEM=compat registry=files <local user> |
配置 AIX 5L 以使用 ldap_auth 身份验证模式与 Active Directory 协同工作
# mksecldap -c -h <Active Directory hostname> -a <cn=binduser,cn=users,dc=ADdomain,dc=abc,dc=com> -p <password> -A ldap_auth |
其中:
- Active Directory hostname 是您的 Windows Active Directory 服务器。
- cn=binduser,cn=users,dc=ADdomain,dc=abc,dc=com 是一个示例绑定凭据。它可以是 Active Directory 中定义的一个用户帐户。
- 密码 指的是上面的 binduser 帐户的密码。
要验证是否正确配置了 AIX 5L 操作系统,可以运行 lsuser 命令以列出 Active Directory 中定义的用户:
# lsuser -R LDAP <username> |
其中 username 应该是 Active Directory 中定义的有效用户。
注意:如果您尚未安装 APAR IY91514(请参见 Microsoft Active Directory 部分,以了解如何查看是否安装了该 APAR),那么可能无法 将 AIX 5L spassword 属性映射为正确的 Active Directory 密码属性。这可能导致身份验证失败,即使您使用了正确的密码。请按照下面的步骤对映射进行更正:
- 编辑 /etc/security/ldap/sfu30user.map 文件,找到以单词 spassword 开头的行,例如
spassword SEC_CHAR msSFU30Password s
,将msSFU30Password替换为unicodePwd。虽然上面的示例中显示的是msSFU30Password,但也可能是其他的内容。这一行变成了:
spassword SEC_CHAR unicodePwd s
保存该文件。 - 重新启动
secldapclntd守护进程以使上面的更改生效:# restart-secldapclntd
Power by nixsky Copyright 2004-2008