扩展 secldap 的功能以验证多个数据源

核心提示：后台程序 secldapclntd 连接一个 LDAP 服务器和 AIX® 安全 LDAP 模块，使用 LDAP 服务器配置 secldapclntd 后台程序的常见步骤会在配置期间多次重复提供 LDAP 服务器的详细信息，扩展 secldap 的功能以验证多个数据源，但是，有时候所有用户的信息无法通过一个 L

后台程序 secldapclntd 连接一个 LDAP 服务器和 AIX® 安全 LDAP 模块。使用 LDAP 服务器配置 secldapclntd 后台程序的常见步骤会在配置期间多次重复提供 LDAP 服务器的详细信息。但是，有时候所有用户的信息无法通过一个 LDAP 服务器获得。在这种情况下，仅配置一个活动 LDAP 服务器详细信息可能不够。为了解决此限制，本文演示了 IBM Tivoli Directory Server 中直通身份验证功能的用法。可以按照本文列出的步骤来配置安装，使 AIX 安全模块能够从多个数据源搜索身份验证信息，对客户隐藏后端服务器详细信息，从而实现抽象化和安全性。

引言 - secldap (mksecldap) 实用程序的限制

LDAP 服务器是任何安全安装的一个重要部分。对于 AIX，secldapclntd 后台程序管理着一个 LDAP 服务器与内部 AIX 安全 LDAP 模块之间的连接。AIX 中的安全子系统的 LDAP 实现可以当作 LDAP 身份验证负载模块。这个模块是一个支持用户身份验证的完整的包。开发人员已经提供了一个 mksecldap 实用程序来简化 secldapclntd 后台程序配置。mksecldap 命令可用于设置 LDAP 安全信息服务器。

最常用的，也是推荐为 AIX 安全基础设施使用的 LDAP 服务器是 IBM Tivoli Directory Server。强烈推荐使用 IBM Tivoli Directory Server 服务器配置 AIX 用户/组管理。但是，在配置 secldapclntd 后台程序时，实用程序 mksecldap 支持在配置过程中仅提供典型的 LDAP 服务器详细信息。不能提供辅助身份验证数据源，以供在无法在主要 LDAP 服务器上找到数据时在其上查找。但是，可以使用 secldapclntd 后台程序配置多个包含重复数据的 LDAP 服务器。当对默认服务器的请求遇到来自该服务器的 rc = 81（无法联系 LDAP 服务器）时，将激活重复的服务器。有了这一限制，就需要单一 LDAP 服务器存储所有用户身份验证信息。