使用 Windows Active Directory 服务器对 IBM LDAP netgroups 进行配置
2008-11-10 08:22:05 来源:WEB开发网引言
Netgroups 对于系统管理员来说是非常有用的,它允许系统管理员控制用户或者机器的登录访问,根据角色来管理网络的配置,并提供了其他更多的功能。如果您实现了基于 Lightweight Directory Access Protocol (LDAP) 的后端,那么还可以加强安全性和可管理性。本文介绍了使用 Windows® Active Directory 服务器配置 IBM LDAP netgroups 所需的步骤。
您需要基本熟悉集中式数据库管理、LDAP、以及使用 Windows Active Directory 服务器对其进行配置。本文特别适合于初级到中级水平的 AIX® 系统管理员。
系统要求
要按本文介绍的步骤进行配置,您需要一个 IBM LDAP 客户端、AIX 和配置了 LDAP 协议的 Microsoft® Windows Active Directory 2000/2003 服务器。
Netgroups
Netgroups 可以使用经过组织的名称来方便地标识主机组、人或域,以进行访问控制(请参见 Netgroups 侧栏)。您可以使用 netgroups 来限制对远程登录和 Shell 的访问。网络组存储于 Windows 2000/2003 Microsoft Active Directory 服务器中。您可以将 Windows Active Directory 服务器配置为 IBM LDAP 客户端的 LDAP 服务器。这些组中的用户可以访问 IBM LDAP 客户端系统。
例如,假定您有一台拥有大量用户的 LDAP 服务器,其中配置了几个 LDAP 客户端,并且您希望允许一定数量用户对这些 LDAP 客户端进行访问。您必须确保在 Netgroups 中定义这些用户。
IBM LDAP 使用 AIX 5.3 TL 05 或更高的版本提供对 Windows 2000/2003 Microsoft Active Directory 服务器的支持。请阅读 IBM 红皮书汇总中的 Integrating AIX 5L into Heterogeneous LDAP Environments(请参见参考资料),以获得使用 Microsoft Active Directory 服务器配置 IBM LDAP 客户端的所有配置细节。
配置
执行下面的步骤,以便使用 Microsoft Active Directory 服务器在 IBM LDAP 客户端上配置 Netgroups:
AIX 的 /etc/netgroup 文件中定义了需要对 IBM LDAP 客户端计算机进行访问的组和用户。/etc/netgroup 文件定义了网络范围内的组。这个文件里的每一行定义了一个组,并按如下所示的格式进行格式化:
Group name (hostname, username, domain name)
请看以下示例:testgroup (znim.austin.ibm.com, user1, test)
testgroup1 (, user2,)
请不要在上面的条目中使用短横线(-)。
将 /etc/netgroup 映射文件复制到 Windows 2000/2003 Active Directory 服务器。
使用 nis2ad Windows 命令行实用工具,将这组条目从经过复制的映射文件迁移到 Active Directory 服务器。
nis2ad 的语法是:nis2ad -y <Unix_NIS_domain> -a <windows_NIS_Domain>
-u <username> -p <passwd> -s <server name>
-m <map file>
表 1 列出了用于迁移组条目的命令。
表 1. 迁移组条目
命令 | 描述 |
Unix_NIS_domain | 这个命令指定了进行映射迁移的 UNIX® NIS 域。 |
windows_NIS_Domain | 这个命令指定了 Active Directory 服务器中作为映射文件迁移目标的 Windows NIS 域。 |
username | 这个命令使用管理员权限指定了用户名。 |
passwd | 这个命令指定了该用户的密码。 |
mapfile | 这个命令指定要从 IBM LDAP 客户端复制的文件。 |
在 Active Directory 服务器上添加 Netgroup 条目,如图 1 和 2 所示。
图 1. 命令提示符
图 2. 活动目录
在 IBM LDAP 客户端计算机上,验证使用 lsldap 命令是否能访问新的 Netgroup 条目,如下所示:lsldap –a netgroup
在 IBM LDAP 客户端上,通过在 /etc/security/ldap/ldap.cfg 文件中添加 netgroup basedn 以启用 LDAP netgroups,如下所示:netgroupbasedn:CN=netgroup,CN=ztrans,CN=DefaultMigrationContainer30,DC=
ztrans,DC=in,DC=ibm,DC=com
重启 IBM LDAP 客户端守护进程 (Secldapclntd),如下所示:/usr/sbin/restart-secldapclntd
在 IBM LDAP 客户端上,在 /usr/lib/security/methods.cfg 文件中的 LDAP 节下方添加 netgroups 选项,如下所示:LDAP:
program = /usr/lib/security/LDAP
program_64 =/usr/lib/security/LDAP64
options = netgroup
在 /etc/irs.conf 文件中添加 netgroup nis_ldap 搜索参数,如下所示:netgroup nis_ldap
要使用 IBM LDAP 客户端计算机对用户进行身份验证,可以将用户的信息添加到 /etc/security/user 文件中,如下所示:user1:
SYSTEM="compat"
registry=compat
在 IBM LDAP 客户端计算机上,在 /etc/passwd 文件中为该组添加信息。
在 /etc/passwd 文件的末尾添加 netgroup 转义序列,如下所示:
# echo "+@testgroup" >> /etc/passwd
#echo "+@testgroup1" >> /etc/passwd
在 IBM LDAP 客户端计算机上,编辑 /etc/group 文件。
在 /etc/group 文件的末尾添加 netgroup 转义序列,如下所示:
# echo "+:" >> /etc/group
在 IBM LDAP 客户端计算机上,使用 lsuser 命令检验是否能正确地检索 netgroup 用户信息、以及是否能够作为 netgroup 用户登录,如下所示:
# lsuser -R compat user1
user1 id=1233 pgrp=staff groups=staff home=/home/user1 shell=
/usr/bin/ksh login=true ...
Windows 2000/2003 支持 IBM LDAP netgroups。AIX 5.3 Tl06 和更高的版本支持 Windows 2003 R2。
更多精彩
赞助商链接