AIX中的LDAP配置管理和故障诊断

发布时间：2016-08-04 21:13:35 所属栏目：Unix 来源：站长网

导读：引言用户管理是分布式计算环境中一个重要的部分。它为通用访问提供了所需的一致的身份验证和授权服务。许多客户使用 IBM Directory Server 以实现集中的安全

先决条件

该系统应该运行于 64位内核模式。使用 bootinfo –K 命令以确定内核模式。

AIX 需要 64 位硬件。使用 bootinfo –y 命令以确定硬件。

需要最少 512MB 内存。（要得到更好的性能，请使用 1GB 或者更大的内存。）

IBM Directory Server 需要文件系统中具有 80MB 空闲空间，该空间用以创建 DB2 数据库。

如果您计划使用 InstallShield GUI 来进行安装，请确保在 /var 目录中至少有 100MB 的空闲空间，在 /tmp 目录中至少有 400MB 的空闲空间。

AIX 提供了 mksecldap 命令以设置 IBM Directory 服务器和客户端，以便充分利用这些服务器。

mksecldap 命令将为新服务器的设置执行下面的任务：

创建 ldapdb2 缺省 DB2 实例。

创建 ldapdb2 缺省 DB2 数据库。

创建 AIX 树 DN（后缀），AIX 用户和组存储于其中。

从本地主机的安全数据库文件中将用户和组导出到 LDAP 数据库。

设置 LDAP 服务器管理员 DN 和密码。

另外，可以将服务器设置为使用安全套接字层 (SSL) 通信。

安装 /usr/ccs/lib/libsecldapaudit，这是用于 LDAP 服务器的 AIX 审核插件。

在完成上述的工作后，启动 LDAP 服务器。

将 LDAP 服务器条目（slapd）添加到 /etc/inittab，以便在系统重新启动后自动重新启动该服务器。

mksecldap –s –a cn=admin –p 

passwd –S rfc2307aix

所有的设置信息都存储在 /etc/ibmslapd.conf 文件中。

为 IBM Directory Server 配置 AIX 客户端系统。

ldap.client 文件集中包含了 IBM Directory 客户端库文件、头文件和实用工具。您可以使用 mksecldap 命令针对 IBM Directory Server 配置 AIX 客户端，如下所示：

mksecldap -c 

-h <LDAP Server name> -a cn=admin -p adminpwd -S rfc2307aix

要配置 AIX 客户端，您必须拥有 IBM Directory Server 管理员 DN 和密码。在配置了 AIX 客户端之后， secldapclntd 守护进程开始运行。在针对 IBM Directory Server 配置了 AIX 客户端之后，将 /etc/security/user 文件中的 SYSTEM 属性更改为 LDAP OR compat 或者 compat or LDAP，以便对 AIX 客户端系统进行身份验证。

/usr/lib/security/methods.cfg 文件包含加载模块的定义。 mksecldap 命令将添加下面的内容，以便在客户端设置的过程中启用 LDAP 加载模块。

LDAP:
　　program = /usr/lib/security/LDAP
　　program_64 = /usr/lib/security/LDAP64

客户端计算机上的 /etc/security/ldap/ldap.cfg 文件中包含了用于 secldapclntd 客户端守护进程的配置信息。这个配置文件包含 IBM Directory Server 的名称、binddn 和密码信息。在设置 AIX 客户端的过程中，通过 mksecldap 命令可以自动地更新该文件。

/etc/security/ldap/ldap.cfg 文件中的 auth_type 属性指定了需要在何处对用户进行身份验证。如果 auth_type 属性是 UNIX_AUTH，那么在客户端系统对用户进行身份验证。如果该属性为 ldap_auth，那么在 IBM Directory Server 上对用户进行身份验证。

使用 SSL 配置 IBM Directory Server

可以使用 SSL 对 IBM Directory Server 和客户端进行配置。这样可以避免以明文的形式在网络中传输数据。它对信息进行加密，然后通过网络发送。IBM Directory Server 对用户的密码信息加密，然后在配置了 SSL 的情况下通过网络进行发送。

要启用服务器和客户端的加密支持，需要以下文件集：

ldap.max_crypto_server

ldap.max_crypto_client

对于初始服务器设置，可以运行下面的命令：

mksecldap –s –a cn=admin –p pwd –S rfc2307aix 

–k usr/ldap/etc/mykey.kdb –w keypwd

其中 mykey.kdb 是密钥数据库，并且 keypwd 是这个密钥数据库的密码。

（编辑：源码网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!

2/4

首页

尾页