![nixsky[www.nixsky.com]](/templets/images/toplogo.gif)
使用 Active Directory 组属性进行组管理
与密码问题类似,Microsoft Services for UNIX 定义了与多个组成员相关的属性:
- memberUid
- msSFU30MemberUid
- msSFU30PosixMember
memberUid 和 msSFU30MemeberUid 属性接受用户帐户名,而 msSFU30PosixMember 仅接受完整的 DN。例如,对于用户帐户 foo(其名字为 bar),它在 Active Directory 中的定义如下:
- memberUid:foo
- msSFU30MemberUid:foo
- msSFU30PosixMember:cn=foo bar,cn=users,dc=ADdomain,dc=abc,dc=com
可以对 AIX 5L LDAP 客户端进行配置,以使用这些属性。您可以与 Active Directory 管理员讨论,以确定使用哪些属性。建议使用 memberUid 或 msSFU30MemberUid 代替 msSFU30PosixMember,因为前者将节省存储空间和网络流量,并具有更好的性能。在缺省情况下,mksecldap 对 AIX 5L LDAP 客户端进行配置以便对运行于 Windows 2000 和 2003 的 Active Directory 使用 msSFU30PosixMember 属性,对运行于 Windows 2003 R2 的 Active Directory 使用 memberUid 属性。这种选择是因为 Active Directory 的行为,当在 Windows 中将用户添加到组中时,它会选择相应的属性。您的组织策略可能需要使用非缺省的组成员属性以支持多种平台。
与密码中的情况一样,AIX 5L 管理员可以对 LDAP 客户端进行配置,以使用不同的组成员属性。通过手动编辑组映射文件,您可以更改映射。对于运行于 Windows 2000 和 2003 的 Active Directory,组映射文件为 /etc/security/ldap/sfu30group.map;对于运行于 Windows 2003 R2 的 Active Directory,组映射文件为 /etc/security/ldap/sfur2group.map。查找以单词“users”开头的行,并使用组成员所需的属性名称替换其中的第三个字段。有关更详细的信息,请参见 AIX 5L 安全指南中的“LDAP Attribute Mapping File Format”。
在完成更改后,执行 mksecldap 命令对 AIX 5L LDAP 客户端进行配置。如果已经配置了 AIX 5L 客户端,可以运行 restart-secldapclntd 命令以重新启动 secldapclntd 守护进程使得更改生效。
多个组织单元
Active Directory 支持分布于不同子树的用户信息。大多数 Active Directory 用户定义于 cn=users,... 子树,但有一些可能定义在其他位置。Active Directory 服务器还可以定义多个组织单元,其中每一个组织单元包含一组用户。AIX 5L 操作系统的多个基本 DN 的支持特性可用于针对这种 Active Directory 服务器进行配置。有关该特性更详细的信息,请继续阅读接下来的部分。
支持多个基本 DN
在 AIX 5L TL5 更新之前,LDAP 用户管理仅支持一个基本 DN。例如,您可以在 /etc/security/ldap/ldap.cfg 文件中仅指定一个用户基本 DN。在存在多个子树的情况下,userbasedn 属性必须指向 AIX 5L 操作系统中所有可见用户的子树的公共父节点。这需要所有的子树都位于相同的后缀中,因为后缀之间不存在公共父节点。
AIX 5L Version 5.3 TL 5 更新实现支持多个基本 DN。在 /etc/security/ldap/ldap.cfg 文件中,可以为每个实体最多指定 10 个基本 DN。根据其在 /etc/security/ldap/ldap.cfg 文件中出现的顺序确定这些基本 DN 的优先级。根据这些基本 DN 的优先级执行 AIX 5L 命令的操作。
- 将根据其优先级对基本 DN 执行查询操作,如
lsuser命令,直到找到了匹配的帐户。如果搜索了所有的基本 DN 而没有找到匹配项,将返回一个错误。如果查询所有的基本 DN,那么将返回每个基本 DN 的所有帐户。
- 将仅对第一个匹配的帐户执行修改操作,如
chuser命令。 - 将仅对第一个匹配的帐户执行删除操作,如
rmuser命令。 - 将仅对第一个基本 DN 执行创建操作,如
mkuser命令。AIX 5L 操作系统不支持为其他基本 DN 创建帐户。AIX 5L LDAP 客户端不支持在 Active Directory 中创建用户和组。
目录服务器管理员的职责是维护没有冲突的帐户数据库。如果相同的帐户存在多个定义,分别位于不同的子树中,那么对于 AIX 5L 操作系统来说,只有第一个帐户是可见的。搜索操作仅返回第一个匹配的帐户。与之类似,将仅对第一个匹配的帐户执行修改或删除操作。
当使用 mksecldap 命令配置 LDAP 客户端时,将查找基本 DN 并将其保存到 /etc/security/ldap/ldap.cfg 文件。如果对于一个实体,LDAP 服务器中存在多个可用的基本 DN,那么 mksecldap 可随机使用任何一个。如果 AIX 5L LDAP 客户端要使用多个基本 DN,在成功地执行 mksecldap 对 AIX 5L LDAP 客户端进行配置之后,您需要手动编辑 /etc/security/ldap/ldap.cfg 文件。在文件中找到合适的基本 DN 定义,并添加所需的附加基本 DN。对于每个实体,AIX 5L LDAP 客户端最多支持 10 个基本 DN,任何附加的基本 DN 将会被忽略。
下面的示例显示了 /etc/security/ldap/ldap.cfg 中的两个用户基本 DN。
userbasedn: CN=Users,DC=ADdomain,DC=abc,DC=com userbasedn: OU=sales,OU=DomainControllers,DC=ADdomain,DC=abc,DC=com |
AIX 5L 客户端还为每个基本 DN 支持用户定义的筛选器和搜索范围。基本 DN 可以具有自己的筛选器和范围,并且可以与其同等的基本 DN 有所不同。筛选器可用于定义一组对 AIX 5L 操作系统可见的帐户。对 AIX 5L 操作系统来说,只有那些满足筛选器的帐户才是可见的。
接下来的部分将提供更多有关多个基本 DN 格式和筛选器格式的信息。
扩展的基本 DN 格式
在 TL5 更新级别和更新的版本中,AIX 5L 操作系统 V5.3 还支持使用扩展的基本 DN 格式将自定义的 filter 和 scope 字段与每个基本 DN 关联起来,字段之间使用“?”字符分隔。scope 和 filter 属性是可选的。在 AIX 5L 中,支持下列基本 DN 格式:
- userbasedn:ou=people, cn=aixdata
- userbasedn:ou=people, cn=aixdata?scope
- userbasedn:ou=people, cn=aixdata??filter
- userbasedn:ou=people, cn=aixdata?scope?filter
第一种格式代表了 secldapclntd 守护进程所使用的缺省格式。分别通过使用 scope 属性或 filter 属性,第二种和第三种格式允许对搜索进行限定。第四种格式允许同时使用范围和筛选器。
scope 属性接受下列取值:
- sub
- one
- base
如果没有指定 scope 字段,其缺省值为 sub。
filter 属性允许进一步对 LDAP 服务器中定义的条目进行限定。您可以使用该筛选器仅使得那些具有某种特性的用户对系统来说是可见的。下面介绍了一些有效的筛选器格式,其中 attribute 是一个 LDAP 属性的名称,而 value 指定了搜索条件。value 可以为通配符“*”。
(attribute=value)(&(attribute=value)(attribute=value))(|(attribute=value)(attribute=value))
附录 A. Service for UNIX 3.0 和 3.5 模式映射
Power by nixsky Copyright 2004-2008