IBM AIX 和 Microsoft Active Directory 与 Kerberos 和 LDAP 的集成

使用 KRB5LDAP 复合加载模块

IBM® AIX® 中的 KRB5LDAP 复合加载模块允许使用 Lightweight Directory Access Protocol (LDAP) 从 Microsoft® Active Directory (AD) 中提取用户信息,还允许使用 Kerberos 针对 AD 进行身份验证。本文介绍了配置 KRB5LDAP 的必要步骤。

Jeff Geiger, 系统管理员, Nebraska Book Company and Firespring

http://www.ibm.com/developerworks/i/authors/Jeff_64x80.jpgJeff 作为一名 UNIX/Linux 系统管理员在私立和公立部门工作了 16 年。他喜欢将 UNIX 和 Linux 集成到现有 Microsoft Windows 企业环境中,还喜欢推广开源解决方案。



2013 年 10 月 24 日

为什么是 Kerberos 和 LDAP

LDAP 对于存储和检索 AIX 用户的用户属性非常有效,但使用 LDAP 进行身份验证仍然需要用户提供一个 AIX 密码和一个 AD 密码。Kerberos 支持 AIX 使用本地 AD 协议,参照用户的 Microsoft Windows® 密码进行用户身份验证。


使用的 Active Directory 属性

下列 AD 属性可被 AIX 用于获取用户信息。

表 1. AIX 用户属性
AD 属性在 AIX 中的用法
uid AIX 用户名
uidNumber AIX 用户 ID
gecos 描述字段
unixhomeDirectory AIX 主目录
loginShell 默认 Shell
gidNumber 主要组 ID(必须与一个现有的支持 UNIX 的组相匹配)

下列 AD 属性可被 AIX 用于获取关于组的信息。

表 2. AIX 组属性
AD 属性在 AIX 中的用法
cn AIX 组名
gidNumber AIX 组 ID
memberUID AIX 组成员

开始之前 - 先决条件

开始该流程之前需要对下列各项进行配置。

  • 您的 Windows DNS 服务器中的 AIX 主机的域名系统 (DNS) 记录(A 和 PTR)。
  • Active Directory 中匹配 AIX 主机名的计算机对象。
  • 包含 AIX 对象的组织单元 (OU) 。
  • 目标 OU 中至少包含一个支持 UNIX 的 用户。
  • 可用于将 LDAP 绑定到 AD 的 AD 服务帐户。
    • 服务帐户在任何将会具有支持 UNIX 的用户的 OU 上都应有完整的读权限。
  • 确保 hostname 命令返回 AIX 服务器的完全限定域名(FQDN)。
    • 主机的 /etc/hosts 条目应为 {IP} {FQDN} {Short Name}
  • 确保 AIX 主机将会使用 DNS 域控制器。
  • 在 AIX 服务器上配置 Network Time Protocol (NTP) 。(如果时钟超过 5 分钟,Kerberos 将会失败。)
  • 配置 syslog 或验证它是否按预期运行。

示例环境

示例场景可使用 AIX 6.1 TL 6 和 TL 8 以及 AIX 7.1 TL 1 进行测试,Server 2008 R2 域控制器上的 Active Directory 在 2003 功能级别运行。需要重点强调的是,域控制器必须是 Windows Server 2003 R2 或其更高版本,以便包含开箱即用的 UNIX® LDAP 属性。如果您拥有 Server 2003 域控制器,那么可以使用 Microsoft Windows Services for UNIX 附加组件来扩展 LDAP 模式,以包括 UNIX 属性。(本文并不打算介绍该场景。)

表 3. 服务器
目的名称IP 地址
域控制器 pdc1.test.local 10.0.0.5
AIX 服务器 aix1.test.local 10.20.0.20
表 4. AD 中创建的对象
目的名称可识别名称
OU AIX OU=AIX,DC=TEST,DC=LOCAL
服务帐户 aixservice CN=AIX Service,OU=Service Accounts,DC=TEST,DC=LOCAL
UNIX 用户 aixtest CN=AIX Test,OU=AIX,DC=TEST,DC=LOCAL
AIXUsers CN=AIXUsers,OU=AIX,DC=TEST,DC=LOCAL

安装和配置 LDAP

安装下列 LDAP 客户端文件集:

  • idsldap.clt32bit61.rte.6.1.0.40.bff
  • idsldap.clt64bit61.rte.6.1.0.40.bff
  • idsldap.cltbase61.rte.6.1.0.40.bff
  • idsldap.cltjava61.rte.6.1.0.40.bff
  • idsldap.msg61.en_US.6.1.0.40.bff

使用下列命令验证安装:

lslpp -L | grep ldap

示例输出

    idsldap.clt32bit61.rte 6.1.0.40 C F Directory Server - 32 bit
    idsldap.clt64bit61.rte 6.1.0.40 C F Directory Server - 64 bit
    idsldap.cltbase61.adt 6.1.0.40 C F Directory Server - Base Client
    idsldap.cltbase61.rte 6.1.0.40 C F Directory Server - Base Client
    idsldap.cltjava61.rte 6.1.0.40 C F Directory Server - Java Client
    idsldap.msg61.en_US 6.1.0.40 C F Directory Server - Messages -

检查 LDAP 实用程序是否已安装:

ls -l /opt/IBM/ldap/V6.1/

示例输出

    total 64
    drwxr-xr-x 4 root system 4096 Jan 25 13:26 bin
    drwxr-xr-x 2 root system 8192 Apr 08 2011 codeset
    drwxr-xr-x 2 root system 256 Jan 25 13:26 etc
    drwxr-xr-x 3 root system 4096 Apr 08 2011 examples
    drwxr-xr-x 2 root system 4096 Apr 08 2011 include
    drwxr-xr-x 8 bin bin 4096 Jan 25 13:25 java
    drwxr-xr-x 2 bin bin 256 Apr 08 2011 javalib
    drwxr-xr-x 2 root system 4096 Jan 25 13:26 lib
    drwxr-xr-x 2 root system 4096 Jan 25 13:26 lib64
    drwxr-xr-x 3 root system 256 Apr 08 2011 nls

测试 LDAP 客户端:

/opt/IBM/ldap/V6.1/bin/ldapsearch -h pdc1.test.local -D aixservice@test.local -w \? -b 
      DC=test,DC=local -v sAMAccountName=aixtest

其中:

  • pdc1.test.local 是域控制器的 IP 地址。
  • aixservice@test.local 是您的 AD 服务帐户的名称和领域(域)。
  • -w \? 提示密码。
  • DC=test,DC=local 是 OU(在其中开始搜索)的可识别名称。
  • sAMAccountName=aixtest 是搜索过滤器。为简便起见,这里选中了 sAMAccountName

示例输出

Enter password ==>
ldap_init(pdc1.test.local, 389)
filter pattern: sAMAccountName=aixtest
returning: ALL
filter is: (sAMAccountName=aixtest)
CN=AIX TEST,OU=AIX,DC=test,DC=local
objectClass=top
objectClass=person
objectClass=organizationalPerson
objectClass=usercn=AIX TESTsn=TEST
description=User to Test AIX LDAP Integration
givenName=AIX
distinguishedName=CN=AIX TEST,OU=AIX,DC=test,DC=local
instanceType=4
whenCreated=20130124211358.0Z
whenChanged=20130125174941.0Z
 displayName=AIX TESTuSN
Created=24337388uSN
Changed=24435474
name=AIX TEST
objectGUID=NOT ASCII
userAccountControl=4194816
codePage=0
countryCode=0
lastLogon=130036097814205000pwd
LastSet=130035356383925796
primaryGroupID=513
objectSid=NOT ASCII
acountExpires=130061592000000000
logonCount=1
sAMAccountName=aixtest
sAMAccountType=805306368
userPrincipalName=aixtest@test.localobject
Category=CN=Person,CN=Schema,CN=Configuration,DC=test,DC=localdS
CorePropagationData=16010101000000.0Z
lastLogonTimestamp=130036097814205000
msDS-SupportedEncryptionTypes=0uid=aixtestmanager=CN=Jeff Geiger,OU=IT,DC=test,
DC=local
uidNumber=50001
gidNumber=10001
gecos=AIX Test User
unixHomeDirectory=/home/aixtest
loginShell=/usr/bin/ksh
1 matches

使用 LDAP 服务器测试 LDAP 客户端有几个目的:

  • 通过检查确保正确安装了 LDAP 实用程序和库。
  • 验证您将在配置 LDAP 时使用的选项是正确的。

配置 AIX LDAP 客户端:

mksecldap -c -h pdc1.test.local -a "CN=AIX Service,OU=Service Accounts,DC=TEST,DC=LOCAL" 
-d OU=AIX,DC=test,DC=local -p examplePassword

其中:

  • pdc1.test.local 是域控制器的主机名。
  • CN=AIX Service,OU=Service Accounts,DC=TEST,DC=LOCAL 是服务帐户的可识别名称。
  • OU=AIX,DC=test,DC=local 是 OU(在此 OU 中,您的 AIX 位于 AD 中)的可识别名称。
  • examplePassword 是服务帐户密码。 mksecldap 可在配置文件中对密码进行加密。

注意:可在 6.1TL8 上进行加密,不能在 6.1TL6 上进行加密

该命令在成功完成时没有产生输出。

通过查找未注释行来验证 ldap.cfg 文件:

grep '^[:a-z:]' /etc/security/ldap/ldap.cfg

示例输出

ldapservers:pdc1.test.local
binddn:CN=AIX Service,OU=Service Accounts,DC=test,DC=local
bindpwd:examplePassword
authtype:unix_auth
useSSL:no
userattrmappath:/etc/security/ldap/sfur2user.map
groupattrmappath:/etc/security/ldap/sfur2group.map
userbasedn:OU=AIX,DC=test,DC=local
groupbasedn:OU=AIX,DC=test,DC=local
userclasses:user,person,organizationalperson
groupclasses:group
ldapport:389
searchmode:ALL
defaultentrylocation:LDAP
serverschematype:sfur2

通过编辑来添加额外的 LDAP 服务器,并检查基本可识别名称 (DN) 和缓存大小。我建议至少提供两个 LDAP 服务器,在地理上,它们位于具有 AIX 主机的局域网中,以避免延迟并提供故障转移。


编辑 :/etc/security/ldap/ldap.cfg 并确保以下设置正确:

  • userattrmappath:/etc/security/ldap/sfur2user.map
  • groupattrmappath:/etc/security/ldap/sfur2group.map
  • serverschematype:sfur2


Windows Server 2008 R2 Active Directory 包含 R2 UNIX 属性,无需安装 Microsoft Windows Services for UNIX 程序包。sfur2 映射最适合此场景。


注意:在 6.1TL8 上,我必须更改从 sfu30sfur2 的映射;在 TL6 上不需要这样做。
查看文本结尾 示例配置文件 中的示例 ldap.cfg。

在某些情况下,用户的 AIX 用户名(AD UID)可能与 AD 中的 sAMAccountName 不匹配。如果是这样的话,请将下列代码行添加到 /etc/security/ldap/sfur2user.map,以支持用户更改其密码 uring Kerberos。

auth_name  SEC_CHAR  sAMAccountName  s  na  yes

启动 LDAP 客户端服务:

restart-secldapclntd

示例输出

The secldapclntd daemon terminated successfully.
Starting the secldapclntd daemon.The secldapclntd daemon started successfully.

验证 LDAP 客户端服务正在运行:

ls-secldapclntd

示例输出

ldapservers=pdc1.test.local 
ldapport=389active connections=1
ldapversion=3
userbasedn=OU=AIX,DC=test,DC=local
groupbasedn=OU=AIX,DC=test,DC=local
idbasedn=
usercachesize=1000
usercacheused=1
groupcachesize=100
groupcacheused=2
usercachetimeout=300
groupcachetimeout=300
heartbeatT=300
numberofthread=10
connectionsperserver=10
alwaysmaster=no
authtype=UNIX_AUTH
searchmode=ALL
defaultentrylocation=LDAP
ldaptimeout=60
serverschematype=SFUR2
userobjectclass=user,person,organizationalperson
groupobjectclass=group

测试 LDAP 分辨率:

lsuser -R LDAP ALL

输出应返回您使用 UNIX 属性创建的用户。

示例输出

aixtest id=50001 pgrp=AIXLDAP groups=AIXLDAP home=/home/aixtest shell=/usr/bin/ksh 
gecos=AIX Test User login=true su=true rlogin=true daemon=true admin=false sugroups=ALL 
admgroups= tpath=nosak ttys=ALL expires=0 auth1=SYSTEM auth2=NONE umask=22 
registry=LDAP SYSTEM=KRB5LDAP or compat logintimes= loginretries=0 pwdwarntime=0 
account_locked=false minage=0 maxage=0 
maxexpired=-1 minalpha=0 minother=0 mindiff=0 maxrepeats=8 minlen=0 histexpire=0 
histsize=0 
pwdchecks= dictionlist= fsize=-1 cpu=-1 data=262144 stack=65536 core=2097151 rss=65536 
nofiles=-1 time_last_login=1359144648 tty_last_login=/dev/pts/1 
host_last_login=pc42.test.local 
unsuccessful_login_count=0 roles=

安装和配置 Kerberos

验证 Kerberos 客户端尚未安装:

lslpp -l | grep krb

如果未安装 Kerberos,则不会产生输出。

从 IBM AIX Web Download Pack Programs 网站下载 AIX Network Authentication Service (NAS) 程序包。

注意:我对 AIX 6.1 TL8 和 AIX 7.1 使用了 NAS 版本 1.5.0.4,对 AIX 6.1 TL6 使用了版本 1.5.0.2 。

提取和安装 NAS 程序包:

#list contents to verify a good download:
     
tar tf NAS_1.5.0.x_aix_image.tar
#untar
tar xf NAS_1.5.0.x_aix_image.tar
#rename folder tosomething more descriptive
mv images AIX_NAS

安装下列程序包:

  • krb5.client.rte
  • krb5.client.samples
  • krb5.doc.en_US.html
  • krb5.doc.en_US.pdf
  • krb5.lic
  • krb5.client.rte

注意:在 smit 中选择 client、doc 和 lic 程序包将向您提供要安装的程序包。

配置 Kerberos:

mkkrb5clnt -c pdc1.test.local -r TEST.LOCAL -s pdc1.test.local -d TEST.LOCAL -i LDAP -D

其中:

  • pdc1.test.local 是域控制器的 FQDN(在两个交换机中)。
  • TEST.LOCAL 是域名、域的 FQDN,全部大写(在两个交换机中)。
  • LDAP 是用户注册信息的来源。这将触发 /etc/methods.cfg 中 KRB5LDAP stanza 的创建。

示例输出

Initializing configuration...
Creating /etc/krb5/krb5_cfg_typeCreating /etc/krb5/krb5.confThe command mkkrb5clnt completed successfully.

编辑 Kerberos 配置文件:
打开生成的 Kerberos 配置文件 (/etc/krb5/krb5.conf) 并进行如下修改。在示例配置文件(本文结尾处)中,可以使用 krb5.conf 作为模板。

要点:

  • 将两个 enctypes 都设置成 arcfour-hmac
  • 添加 dns_lookup_kdcdns_lookup_realm,并将它们设置成 true
  • 将本地域控制器的其他 kdc 条目添加到 AIX 框中。(避免 WAN 遍历。)
  • 添加 master_kdc 条目,并让它们指向您的主要本地域控制器。
  • 确保具有适用于大写域、小写域和点分域 (dotted domain) 的解析器。


使用 /usr/krb5/bin/kinit 测试 Kerberos:

/usr/krb5/bin/kinit jgeiger@TEST.LOCAL

这应该提示输入密码,并且不会没有输出返回。(使用任何有效的 AD 帐户。)

示例输出

Password for jgeiger@TEST.LOCAL:

验证是否发布了 Kerberos 票据:

/usr/krb5/bin/klist

这应该返回一个都带有截止日期和更新截止日期的有效票据。

示例输出

Default principal: jgeiger@TEST.LOCAL

Valid starting Expires Service principal
01/25/13 13:56:23 01/25/13 23:56:20 krbtgt/TEST.LOCAL@TEST.LOCAL
Renew until 01/26/13 13:56:23

清除票据缓存(没有输出)。

/usr/krb5/bin/kdestroy

为了支持在 AIX 服务器和 Active Directory 之间进行无密码 Kerberos 通信,需要在域控制器上生成一个主机主体 keytab。这可以通过域控制器中的 ktpass 命令完成,而且必须使用一个具有域管理权限的帐户运行此命令。

生成主机主体密钥表:

ktpass /princ host/aix1.test.local@TEST.LOCAL /ptype KRB5_NT_PRINCIPAL /out aix1.keytab 
/pass examplePassword /crypto RC4-HMAC-NT /mapuser TEST\aix1 /kvno 2

其中:

  • host/aix1.test.local@TEST.LOCAL 是 AIX 主机的 FQDN。请将 host/ 后缀记录下来。
  • KRB5_NT_PRINCIPAL 是 Kerberos 主体类型。该类型不会发生改变。
    aix1.keytab 是将要创建的 keytab 文件。该文件将被转移到 AIX 主机,为了清楚起见,该文件被命名为 {hostname}.keytab
  • examplePassword 是将为主机主体设置的密码。该密码应该比较复杂,但您可能永远不会用到它。
  • RC4-HMAC-NT 是已使用的加密类型。RC4 是 2008 R2 上的 Kerberos 的默认值 。
  • TEST\aix1 是 AD 中的计算机对象的 {domain}\{hostname} 。
  • /kvno 2 是密钥版本号。

想提示改变对象密码时回答 yes。请记录所用的密码。

示例输出

C:\Windows\system32>ktpass /princ host/aix1.test.local@TEST.LOCAL /ptype KRB
5_NT_PRINCIPAL /out aix1.keytab /pass examplePassword /crypto RC4-HMAC-NT /mapu
ser TEST\aix1 /kvno 2
Targeting domain controller: PDC1.test.local
Successfully mapped host/aix1.test.local to AIX1$.
WARNING: Account AIX1$ is not a user account (uacflags=0x1021).
WARNING: Resetting AIX1$'s password may cause authentication problems if AIX1$ is 
being used as a server.
Reset AIX1$'s password [y/n]? y
Password succesfully set!
WARNING: pType and account type do not match. This might cause problems.
Key created.
Output keytab to st1iaxnb07.keytab:
Keytab version: 0x502
keysize 70 host/aix1.test.local@TEST.LOCAL ptype 1 (KRB5_NT_PRINCIPAL) vno 2
etype 0x17 (RC4-HMAC) keylength 16 (0xb19656597cd0e7cec30561afaa7e09d4)

注意:/kvno 2 值是通过试验、错误和程序包捕获发现的。在没有将该参数传递给 ktpass 命令的情况下,我没有进行此设置工作。


在 AIX 中复制并导入 keytab 文件:
将您的 keytab 文件通过 SFTP 协议传递到 AIX 服务器。(本例中,该文件是 /tmp/aix1.keytab。)

首先,删除所有现有 keytab。打开 ktutil 并读取 keytab 文件 (rkt),列出密钥 (l),然后将 keytab (wkt) 写入默认 Kerberos keytab 文件 (/etc/krb5/krb5.keytab)。

示例输出

rm /etc/krb5/krb5.keytab
/usr/krb5/sbin/ktutil
ktutil: rkt /tmp/aix1.keytab
ktutil: l
slot KVNO Principal------ ------ ------------------------------------------------------>
 1    2           host/aix1.test.local@TEST.LOCALktutil: wkt /etc/krb5/krb5.keytab
ktutil: q

验证 keytab:

/usr/krb5/bin/klist –ke

这应该在域控制器上提供 ktpass 生成的密钥。

示例输出

Keytab name: FILE:/etc/krb5/krb5.keytab
KVNO Principal
---- ---------
2 host/aix1.test.local@TEST.LOCAL (ArcFour with HMAC/md5)

测试 keytab:

/usr/krb5/bin/kinit -k 

注意:这里应该没有输出。如果您得到错误消息,很可能存在 DNS 问题。我花了大量时间在这一步进行 KVNO、加密类型和 DNS 错误的故障排除。我使用 tcpdump (tcpdump -i en0 -s 65535 -w krb5ldap_ts.pcap host 10.10.0.5) 命令捕获传入或传出域控制器的程序包,并加载 Wireshark 中的 pcap 文件,查看发生了什么。

使用 klist 实用程序查看已发布的票据:

/usr/krb5/bin/klist

这应该显示主机主体的票据。

示例输出

Ticket cache: FILE:/var/krb5/security/creds/krb5cc_0
Default principal: host/aix1.test.local@TEST.LOCAL

Valid starting Expires Service principal
01/25/13 13:59:10 01/25/13 23:59:03 krbtgt/TEST.LOCAL@TEST.LOCAL
Renew until 01/26/13 13:59:10

配置 AIX 以使用 KRB5LDAP

编辑 /etc/methods.cfg:
关键点:

  • 确保 KRB5 选项包括:authonly,is_kadmind_compat=no,tgt_verify=no,allow_expired_pwd=yes
  • 确保 KRB5LDAP stanza 包括 authdb 选项。


使用示例 methods.cfg 文件(在本文结尾处提供)作为一个示例。

修改 /etc/security/user:

chsec -f /etc/security/user -s default -a SYSTEM="KRB5LDAP OR compat"

示例输出

# lssec -f /etc/security/user -s default -a SYSTEM
default SYSTEM="compat"
# chsec -f /etc/security/user -s default -a SYSTEM="KRB5LDAP or compat"
# lssec -f /etc/security/user -s default -a SYSTEM
default SYSTEM="KRB5LDAP or compat"

将 Kerberos 添加到授权的身份认证实体并验证:

chauthent -k5 –std
#Verify
lsauthent

这应该返回 Kerberos 5Standard AIX

示例输出

Kerberos 5
Standard Aix

测试 KRB5LDAP

通过查询您使用 AIX 属性(本例中是 aixtest)在 AD 中创建的用户来测试 KRB5LDAP:

lsuser –R KRB5LDAP aixtest

这应该从 AIX 上下文中返回有关 AD 用户的细节。

示例输出

aixtest id=50001 pgrp=AIXLDAP groups=AIXLDAP home=/home/aixtest shell=/usr/bin/ksh 
gecos=AIX Test User login=true su=true rlogin=true daemon=true admin=false sugroups=ALL 
admgroups= tpath=nosak ttys=ALL expires=0 auth1=SYSTEM auth2=NONE umask=22 
registry=KRB5LDAP SYSTEM=KRB5LDAP or compat logintimes= loginretries=0 
pwdwarntime=0 account_locked=false minage=0 maxage=0 maxexpired=-1 minalpha=0 
minother=0 mindiff=0 maxrepeats=8 minlen=0
histexpire=0 histsize=0 pwdchecks= dictionlist= fsize=-1 cpu=-1 
data=262144 stack=65536 core=2097151 rss=65536 nofiles=-1 roles=

试着将用户转换成 AD 定义的用户:

su – aixtest

这应该可以正常运行。如果用户主目录不存在的话,您可能看到无法将目录更改为用户主目录的错误。(这可以通过将该选项设置成自动创建主目录来修复。)如果没有对用户的主要组进行设置,或者如果没有将该组定义成一个 AD 对象,那么有可能也会出现错误。

尝试以 AD 定义的用户的身份使用 Secure Shell (SSH) 连接到主机:

ssh aixtest@localhost

您应该能够进行登录。登录之后,检查 AUTHSTATE 环境变量和 klist 输出(类似下列示例),以确保 Kerberos 被用于身份验证。

示例输出

aixtest@localhost's password:
*******************************************************************************
* *
* *
* Welcome to AIX Version 6.1! *
* *
* *
* Please see the README file in /usr/lpp/bos for information pertinent to *
* this release of the AIX Operating System. *
* *
* *
*******************************************************************************
Could not chdir to home directory /home/aixtest: The file access permissions do not allow
the specified action.
$ pwd
/
$ echo $AUTHSTATE
KRB5LDAP
$ /usr/krb5/bin/klist
Ticket cache: FILE:/var/krb5/security/creds/krb5cc_x0000000000000001
Default principal: aixtest@TEST.LOCAL

Valid starting Expires Service principal
01/25/13 14:02:59 01/26/13 00:02:52 krbtgt/TEST.LOCAL@TEST.LOCAL
Renew until 01/26/13 14:02:59
$ exit
Connection to localhost closed.

注意:AUTHSTATE 变量应包含 KRB5LDAP,而且运行 klist 应该返回一个有效的 Kerberos 票据。


示例配置文件

/etc/krb5/krb5.conf

[libdefaults]
default_realm = TEST.LOCAL
default_keytab_name = FILE:/etc/krb5/krb5.keytab
default_tkt_enctypes = arcfour-hmac
default_tgs_enctypes = arcfour-hmac
dns_lookup_kdc = true
dns_lookup_realm = true

[realms]
TEST.LOCAL = {
kdc = PDC1.TEST.LOCAL:88
kdc = PDC2.TEST.LOCAL:88
admin_server = PDC1.TEST.LOCAL:749
master_kdc = PDC1.TEST.LOCAL
default_domain = TEST.LOCAL
}

[domain_realm]
.TEST.LOCAL = TEST.LOCAL
TEST.LOCAL = TEST.LOCAL
PDC1.TEST.LOCAL = TEST.LOCAL
PDC2.TEST.LOCAL = TEST.LOCAL
test.local = TEST.LOCAL
.test.local = TEST.LOCAL

[logging]
default = SYSLOG:debug:local1

/etc/security/ldap/ldap.cfg

ldapservers:pdc1.test.local
binddn:CN=AIX Service,OU=AIX,DC=test,DC=local
bindpwd:{DESv2}AAAAAAAAAAAABBBBBBBBBBCCCCCCCCCCCDDDDDDDDDDEEEEEEEEEEEE
authtype:unix_auth
useSSL:no
userattrmappath:/etc/security/ldap/sfur2user.map
groupattrmappath:/etc/security/ldap/sfur2group.map
userbasedn:OU=AIX,DC=test,DC=local
groupbasedn:OU=AIX,DC=test,DC=local
userclasses:user,person,organizationalperson
groupclasses:group
ldapport:389
searchmode:ALL
defaultentrylocation:LDAP
serverschematype:sfur2

/etc/methods.cfg

LDAP:
program = /usr/lib/security/LDAP
program_64 =/usr/lib/security/LDAP64

NIS:
program = /usr/lib/security/NIS
program_64 = /usr/lib/security/NIS_64

DCE:
program = /usr/lib/security/DCE

KRB5:
program = /usr/lib/security/KRB5
program_64 = /usr/lib/security/KRB5_64
options = authonly,is_kadmind_compat=no,tgt_verify=no,allow_expired_pwd=yes

KRB5LDAP:
options = auth=KRB5,db=LDAP

参考资料

学习

  • AIX and UNIX 专区:developerWorks 的“AIX and UNIX 专区”提供了大量与 AIX 系统管理的所有方面相关的信息,您可以利用它们来扩展自己的 UNIX 技能。
  • AIX and UNIX 新手入门:访问“AIX and UNIX 新手入门”页面可了解更多关于 AIX 和 UNIX 的内容。
  • AIX and UNIX 专题汇总:AIX and UNIX 专区已经为您推出了很多的技术专题,为您总结了很多热门的知识点。我们在后面还会继续推出很多相关的热门专题给您,为了方便您的访问,我们在这里为您把本专区的所有专题进行汇总,让您更方便的找到您需要的内容。
  • AIX and UNIX 下载中心:在这里你可以下载到可以运行在 AIX 或者是 UNIX 系统上的 IBM 服务器软件以及工具,让您可以提前免费试用他们的强大功能。
  • IBM Systems Magazine for AIX 中文版:本杂志的内容更加关注于趋势和企业级架构应用方面的内容,同时对于新兴的技术、产品、应用方式等也有很深入的探讨。IBM Systems Magazine 的内容都是由十分资深的业内人士撰写的,包括 IBM 的合作伙伴、IBM 的主机工程师以及高级管理人员。所以,从这些内容中,您可以了解到更高层次的应用理念,让您在选择和应用 IBM 系统时有一个更好的认识。

讨论

  • 加入 developerWorks 中文社区。查看开发人员推动的博客、论坛、组和维基,并与其他 developerWorks 用户交流。

条评论

developerWorks: 登录

标有星(*)号的字段是必填字段。


需要一个 IBM ID?
忘记 IBM ID?


忘记密码?
更改您的密码

单击提交则表示您同意developerWorks 的条款和条件。 查看条款和条件

 


在您首次登录 developerWorks 时,会为您创建一份个人概要。您的个人概要中的信息(您的姓名、国家/地区,以及公司名称)是公开显示的,而且会随着您发布的任何内容一起显示,除非您选择隐藏您的公司名称。您可以随时更新您的 IBM 帐户。

所有提交的信息确保安全。

选择您的昵称



当您初次登录到 developerWorks 时,将会为您创建一份概要信息,您需要指定一个昵称。您的昵称将和您在 developerWorks 发布的内容显示在一起。

昵称长度在 3 至 31 个字符之间。 您的昵称在 developerWorks 社区中必须是唯一的,并且出于隐私保护的原因,不能是您的电子邮件地址。

标有星(*)号的字段是必填字段。

(昵称长度在 3 至 31 个字符之间)

单击提交则表示您同意developerWorks 的条款和条件。 查看条款和条件.

 


所有提交的信息确保安全。


static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=10
Zone=AIX and UNIX
ArticleID=949736
ArticleTitle=IBM AIX 和 Microsoft Active Directory 与 Kerberos 和 LDAP 的集成
publish-date=10242013