快捷搜索:  as  2018  FtCWSyGV  С˵  test  xxx  Ψһ  w3viyKQx

澳门新葡亰平台游戏b:使用 Windows Active Directory 服务器对 IBM LDAP netgroups 进行配置



小序

Netgro澳门新葡亰平台游戏bups 对付系统治理员来说是异常有用的,它容许系统治理员节制用户或者机械的登录造访,根据角色来治理收集的设置设置设备摆设摆设,并供给了其他更多的功能。假如您实现了基于 Lightweight Directory Access Protocol (LDAP) 的后端,那么还可以加强安然性和可治理性。本文先容了应用 Windows® Active Directory 办事器设置设置设备摆设摆设 IBM LDAP netgroups 所需的步骤。

您必要基础认识集中式数据库治理、LDAP、以及应用 Windows Active Directory 办事器对其进行设置设置设备摆设摆设。本文分外得当于低级到中级水平的 AIX® 系统治理员。

系统要求

要按本文先容的步骤进行设置设置设备摆设摆设,您必要一个 IBM LDAP 客户端、AIX 和设置设置设备摆设摆设了 LDAP 协议的 Microsoft® Windows Active Directory 2000/2003 办事器。

Netgroups

Netgroups 可以应用颠末组织的名称来方便地标识主机组、人或域,以进行造访节制(请拜见 Netgroups 侧栏)。您可以应用 netgroups 来限定对远程登录和 Shell 的造访。收集组存储于 Windows 2000/2003 Microsoft Active Directory 办事器中。您可以将 Windows Active Directory 办事器设置设置设备摆设摆设为 IBM LDAP 客户真个 LDAP 办事器。这些组中的用户可以造访 IBM LDAP 客户端系统。

例如,假定您有一台拥有大年夜量用户的 LDAP 办事器,此中设置设置设备摆设摆设了几个 LDAP 客户端,并且您盼望容许必然数量用户对这些 LDAP 客户端进行造访。您必须确保在 Netgroups 中定义这些用户。

IBM LDAP 应用 AIX 5.3 TL 05 或更高的版本供给对 Windows 2000/2003 Microsoft Active Directory 办事器的支持。澳门新葡亰平台游戏b请涉猎 IBM 红皮书汇总中的 Integrating AIX 5L into Heterogeneous LDAP Environments(请拜见参考资料),以得到应用 Microsoft Active Directory 办事器设置设置设备摆设摆设 IBM LDAP 客户真个所有设置设置设备摆设摆设细节。

设置设置设备摆设摆设

履行下面的步骤,以便应用 Microsoft Active Directory 办事器在 IBM LDAP 客户端上设置设置设备摆设摆设 Netgroups:

AIX 的 /etc/netgroup 文件中定义了必要对 IBM LDAP 客户端谋略机进行造访的组和用户。/etc/netgroup 文件定义了收集范围内的组。这个文件里的每一行定义了一个组,并按如下所示的款式进行款式化:

Group name (hostname, username, domain name)

请看以下示例:testgroup (znim.austin.ibm.com, user1, test)

testgroup1 (, user2,)

请不要在上面的条款中应用短横线(-)。

将 /etc/netgroup 映射文件复制到 Windows 2000/2003 Active Directory 办事器。

应用 nis2ad Windows 敕令行实用对象,将这组条款从颠末复制的映射文件迁移到 Active Directory 办事器。

nis2ad 的语法是:nis2ad -y-a

-u-p

-s

-m

表 1 列出了用于迁移组条款的敕令。

表 1. 迁移组条款

敕令

描述

Unix_NIS_domain

这个敕令指定了进行映射迁移的 UNIX® NIS 域。

windows_NIS_Domain

这个敕令指定了 Active Directory 办事器中作为映射文件迁移目标的 Windows NIS 域。

username

这个敕令应用治理员权限指定了用户名。

passwd

这个敕令指定了该用户的密码。

mapfile

这个敕令指定要从 IBM LDAP 客户端复制的文件。

在 Active Directory 办事器上添加 Netgroup 条款,如图 1 和 2 所示。

图 1. 敕令提示符

图 2. 活动目录

在 IBM LDAP 客户端谋略机上,验证应用 lsldap 敕令是否能造访新的 Netgroup 条款,如下所示:lsldap –a netgroup

在 IBM LDAP 客户端上,经由过程在 /etc/security/ldap/ldap.cfg 文件中添加 netgroup basedn 以启用 LDAP netgroups,如下所示:netgroupbasedn:CN=netgroup,CN=ztrans,CN=DefaultMigrationContainer30,DC=

ztr澳门新葡亰平台游戏bans,DC=in,DC=ibm,DC=com

重启 IBM LDAP 客户端守护进程 (Secldapclntd),如下所示:/usr/sbin/restart-secldapclntd

在 IBM LDAP 客户端上,在 /usr/lib/security/methods.cfg 文件中的 LDAP 节下方添加 netgroups 选项,如下所示:LDAP:

program = /usr/lib/security/LDAP

program_64 =/usr/lib/security/LDAP64

options = netgroup

在 /etc/irs.conf 文件中添加 netgroup nis_ldap 搜索参数,如下所示:netgroup nis_ldap

要应用 IBM LDAP 客户端谋略机对用户进行身份验证,可以将用户的信息添加到 /etc/security/user 文件中,如下所示:user1:

SYSTEM="compat"

registry=compat

在 IBM LDAP 客户端谋略机上,在 /etc/passwd 文件中为该组添加信息。

在 /etc/passwd 文件的末端添加 netgroup 转义序列,如下所示:

# echo "+@testgroup" >> /etc/passwd

#echo "+@testgroup1" >> /etc/passwd

在 IBM LDAP 客户端谋略机上,编辑 /etc/group 文件。

在 /etc/group 文件的末端添加 netgroup 转义序列,如下所示:

# echo "+:" >> /etc/group

在 IBM LDAP 客户端谋略机上,应用 lsuser 敕令查验是否能精确地检索 netgroup 用户信息、以及是否能够作澳门新葡亰平台游戏b为 netgroup 用户登录,如下所示:

# lsuser -R compat user1

user1 id=1233 pgrp=staff groups=staff home=/home/u澳门新葡亰平台游戏bser1 shell=

/usr/bin/ksh login=true ...

Windows 2000/2003 支持 IBM LDAP netgroups。AIX 5.3 Tl06 和更高的版本支持 Windows 2003 R2。

您可能还会对下面的文章感兴趣: