使用 AIX 上的 LDAP 发现 IBM Network Authentication Service KDC 和管理服务器

核心提示： 在添加 LDIF 文件的模式定义时，您可能会接收到一些错误信息，使用 AIX 上的 LDAP 发现 IBM Network Authentication Service KDC 和管理服务器(8)，这些错误信息告诉您该属性和 OID 已经存在，可以忽略这些错误信息，要完成这项任务，请修改

在添加 LDIF 文件的模式定义时，您可能会接收到一些错误信息，这些错误信息告诉您该属性和 OID 已经存在。可以忽略这些错误信息，这不会出现任何危险。您不需要对 /usr/krb5/ldif/IBM.service.schema.ldif LDIF 文件进行任何更改。

有关 ldapmodify 命令及其使用的更详细的信息，请参考 IBM Tivoli Directory Server V5.2 文档。

在加载了所需的模式之后，您需要在 LDAP 目录中为您的根域名添加一个后缀。在这个示例中，您使用 ISL.IN.IBM.COM 作为 Kerberos 领域；因此，您需要添加一个后缀 "COM" 作为域的一部分。要完成这项任务，请登录到 TDS 计算机（在这个示例中，它是 fsaix11.in.ibm.com），停止 TDS 服务器，添加后缀，并重新启动 TDS 服务器，如下所示：[root@fsaix11 ldif ]# hostname
fsaix11.in.ibm.com
[root@fsaix11 ldif ]# ibmdirctl -D cn=root -w secret stop
Stop operation succeeded
[root@fsaix11 ldif ]# ldapcfg -s dc=COM -n
You have chosen the following actions:
Suffix 'dc=COM' will be added to the configuration file.
Adding suffix: 'dc=COM'.
Added suffix: 'dc=COM'.
IBM Tivoli Directory Server Configuration complete.
[root@fsaix11 ldif ]# ibmdirctl -D cn=root -w secret start
Start operation succeeded

接下来，将 Kerberos 领域信息添加到 LDAP 目录。Kerberos 领域的每个部分分别对应于 LDAP 目录中的一个域组件条目。因此，让我们为 "ISL.IN.IBM.COM" Kerberos 领域定义域组件。要完成这项任务，请修改 /usr/krb5/ldif/service_add.ldif 文件，该文件由 IBM NAS 服务器计算机（在我们的示例中为 huntcup.in.ibm.com）中的 IBM NAS 文件集提供，并且进行下面的更改：dn: dc=COM
dc: COM
objectClass: top
objectClass: domain
description: Domain realm COM
dn: dc=IBM, dc=COM
dc: IBM
objectClass: domain
description: Domain realm IBM.COM
dn: dc=IN, dc=IBM, dc=COM
dc: IN
objectClass: domain
description: Domain realm IN.IBM.COM
dn: dc=ISL, dc=IN, dc=IBM, dc=COM
dc: ISL
objectClass: domain
description: Domain realm ISL.IN.IBM.COM