扩展 secldap 的功能以验证多个数据源

核心提示： ibm-ptaReferral：这个辅助的 objectclass 与一个 Tivoli Directory Server 条目相关联，以定义直通服务器中特定条目的映射，扩展 secldap 的功能以验证多个数据源(5)，它包含 ibm-ptaLinkAttribute 和 ibm-ptaLin

ibm-ptaReferral：这个辅助的 objectclass 与一个 Tivoli Directory Server 条目相关联，以定义直通服务器中特定条目的映射。它包含 ibm-ptaLinkAttribute 和 ibm-ptaLinkValue 属性。

ibm-ptaLinkAttribute：如果此属性的值为 _DN_，那么相应的 ibm-ptaLinkValue 的值将是直通服务器中的条目的区分名，这消除了对查找的需求。如果此属性的值为 _DISABLE_，那么将对此条目禁用直通身份验证。在所有其他情况下，此属性将存储将用于在直通服务器中执行查找的属性名称。这个属性是必需的，因为 ibm-slapdPtaAttrMapping 属性中定义的属性映射适用于所有条目。如果一个条目需要某种特殊的属性映射，那么可以通过此属性获得。

ibm-ptaLinkValue：这个必需属性保存与 ibm-slapdPtaLinkAttribute 相对应的值。

Tivoli Directory Server 和 secldap 的配置步骤

本节将介绍在 Tivoli Directory Server 上配置直通身份验证和在 secldapclntd 后台程序配置中进行修改所需的步骤。在这里我们将那个配置分解为两部分。第一部分包含从头配置全新安装的步骤。第二部分假设已经存在一个 secldap/Tivoli Directory Server 安装，并需要对它进行扩展，将直通身份验证用于现有安装，以验证来自任何其他数据源的用户。

全新安装的配置步骤

我们在本文中演示的示例安装为 Attribute Mapping，其中 Attribute Mapping 在本地配置，它的条目也在本地显示。在这种情景下，该条目在 Tivoli Directory Server 中本地显示，且可以确定 Tivoli Directory Server 中的一个属性拥有与直通服务器中的一个属性的一对一映射。Tivoli Directory Server 和直通服务器中将要映射的属性不必具有相同名称。当对 Tivoli Directory Server 发出绑定请求并定义属性映射之后，将在直通服务器上查找一个条目，该条目在直通服务器中的映射属性的值与在 Tivoli Directory Server 中的映射属性的值相同。如果找到这样的条目，则使用通过 Tivoli Directory Server 客户端应用程序传入的凭据对该条目执行绑定。