Настройка сетевых групп IBM LDAP с помощью сервера Windows Active Directory

Сетевые группы предоставляют возможность установить специальные полномочия для своих пользователей Пользователи, которые были сконфигурированы под конкретной сетевой группой, могут иметь различные привилегии по сравнению с пользователями из другой сетевой группы. Эта статья объясняет, как сконфигурировать сетевые группы в облегченном протоколе службы каталогов IBM (LDAP) для клиентской операционной системы AIX® при помощи сервера Microsoft Active Directory.

Ума М. Чандолу, разработчик программного обеспечения, IBM

фотография Ума ЧандолуУма М. Чандолу (Uma M. Chandolu) - разработчик AIX и специалист поддержки подсистемы безопасности AIX из IBM India Systems and Technology Lab. Он два года занимался практическими вопросами безопасности AIX. Ума специализируется на безопасности AIX и является экспертом по администрированию AIX и программированию ее подсистемы безопасности. С ним можно связаться по адресу электронной почты uchandol@in.ibm.com.



15.09.2008

Введение

Сетевые группы очень удобны для системных администраторов, поскольку позволяют им контролировать доступ в систему отдельных людей или вычислительных машин, управлять конфигурацией сети на ролевой основе и предлагают другие возможности. Если ваша система развернута на базе Облегченного Протокола Службы Каталогов (LDAP), вы можете использовать сетевые группы для повышения безопасности и управляемости системы. Эта статья содержит пошаговое руководство для настройки сетевых групп IBM LDAP при помощи сервера Windows® Active Directory.

Вы должны иметь общее представление о централизованном управлении базами данных, протоколе LDAP и принципах его конфигурирования на сервере Windows Active Directory. Системные администраторы AIX® со знаниями среднего или начального уровня, возможно, найдут эту статью чрезвычайно полезной.

Системные требования

Для реализации настройки, описанной в этой статье, потребуется клиент IBM LDAP, AIX и сервер Microsoft® Windows Active Directory 2000/2003, сконфигурированный для работы с протоколом LDAP.

Сетевые группы

Сетевые группы - это удобный способ идентифицировать под определенными именами группу хостов, людей, или доменов с целью обеспечить контроль доступа (см. Сетевые группы). Вы можете использовать сетевые группы для ограничения удаленного входа в систему и удаленной работы с ней. Сетевые группы хранятся на сервере Windows 2000/2003 Microsoft Active Directory. Вы можете сконфигурировать сервер Windows Active Directory в качестве LDAP-сервера для клиентской стороны IBM LDAP. Пользователи, которые включены в эти группы, имеют доступ к клиентской системе IBM LDAP.

Сетевая группа (на основе LDAP или без него) поддерживается только в AIX 5.3 и более поздних версиях.

Например, предположим, что у вас есть LDAP-сервер с большим числом пользователей, который сконфигурирован вместе с несколькими LDAP-клиентами, и вы хотите открыть доступ для LDAP-клиентов с определенными пользователями. Вы должны убедиться, что определили этих пользователей в сетевых группах.

IBM LDAP предоставляет поддержку для сервера Windows 2000/2003 Microsoft Active Directory только в AIX 5.3 TL 05 и более поздних версиях. Также прочтите книгу Integrating AIX 5L into Heterogeneous LDAP Environments из коллекции IBM Redbooks (см. Дополнительные материалы), чтобы ознакомится со всеми деталями настройки IBM LDAP-клиента при помощи сервера Microsoft Active Directory.

Конфигурация

Выполните следующие шаги для настройки сетевых групп на IBM LDAP-клиенте при помощи Microsoft Active Directory:

  1. Определите группы и пользователей, которым нужен доступ к IBM LDAP-клиенту, в файле AIX /etc/netgroup. Файл /etc/netgroup определяет общесетевые группы. Каждая строка в файле определяет группу, и имеет следующий синтаксис:
    Group name (hostname, username, domain name)

    Взгляните на пример:

    testgroup (znim.austin.ibm.com, user1, test)
     testgroup1 (, user2,)

    Обратите внимание, что в этих записях не следует использовать тире (-).

  2. Скопируйте файл распределения /etc/netgroup на сервер Windows 2000/2003 Active Directory.
  3. Используйте утилиту nis2ad, запускаемую из командной строки Windows для переноса записей о группах из копии файла распределения на сервер Active Directory.

    Синтаксис nis2ad следующий:

    nis2ad -y <Unix_NIS_domain> -a <windows_NIS_Domain> \
          -u <username> -p <passwd> -s <server name>
        -m <map file>

    В таблице 1 перечислены команды для переноса записей о группах.


    Таблица 1. Перенос записей о группах
    КомандаОписание
    Unix_NIS_domainЭта команда задает UNIX® NIS-область, откуда был скопирован файл распределения.
    windows_NIS_DomainЭта команда задает область Windows NIS на сервере Active Directory, куда будет перенесен файл распределения.
    usernameЭта команда задает имя пользователя, обладающего привилегиями администратора.
    passwdЭта команда задает пароль пользователя.
    mapfileЭта команда задает файл, который надо скопировать из IBM LDAP-клиента.
  4. Записи из файла Netgroup будут добавлены, как показано на рисунке 1 и рисунке 2, на сервер Active Directory.
    Рисунок 1. Командная строка
    Командная строка
    Рисунок 2. Active Directory
    Active Directory
  5. На клиентском компьютере IBM LDAP проверка новых записей файла netgroup может быть выполнена командой lsldap:
    lsldap -a netgroup
  6. На IBM LDAP-клиенте, активируйте сетевые группы LDAP добавляя сетевую группу в файл /etc/security/ldap/ldap.cfg:
    netgroupbasedn:CN=netgroup,CN=ztrans,CN=DefaultMigrationContainer30,DC=
         ztrans,DC=in,DC=ibm,DC=com
  7. Перезапустите демона IBM LDAP-клиента (Secldapclntd):
    /usr/sbin/restart-secldapclntd
  8. На IBM LDAP-клиенте добавьте netgroup-опцию в раздел LDAP файла /usr/lib/security/methods.cfg:
    LDAP:
    program = /usr/lib/security/LDAP
    program_64 =/usr/lib/security/LDAP64
    options = netgroup
  9. Добавьте поисковый параметр netgroup nis_ldap в файл /etc/irs.conf:
    netgroup nis_ldap
  10. Для аутотентификации пользователя на клиентском компьютере с IBM LDAP, добавьте информацию о пользователе в файл /etc/security/user:
    user1:
    	SYSTEM="compat"
    	registry=compat
  11. На клиентском компьютере с IBM LDAP, добавьте информацию о группе в файл /etc/passwd.

    Добавьте escape-последовательность сетевой группы в конец файла /etc/passwd:

    # echo "+@testgroup" >> /etc/passwd
    #echo "+@testgroup1" >> /etc/passwd
  12. На компьютере с IBM LDAP-клиентом откройте файл /etc/group для редактирования.

    Добавьте escape-последовательность сетевой группы в файл /etc/group:

    # echo "+:" >> /etc/group
  13. 13. На компьютере с IBM LDAP-клиентом, проверьте, может ли быть найдена информация о пользователях сетевой группы при помощи команды lsuser, и войдите в систему, как пользователь сетевой группы:
    # lsuser -R compat user1
    user1 id=1233 pgrp=staff groups=staff home=/home/user1 shell=
         /usr/bin/ksh login=true ...

Сетевые группы IBM LDAP поддерживаются только в Windows 2000/2003. Windows 2003 R2 поддерживается в AIX 5.3 Tl06 и более поздних версиях.

Ресурсы

Научиться

Получить продукты и технологии

  • IBM trial software: создайте ваше следующее приложение при помощи программного обеспечения, загруженного со страницы сообщества developerWorks.(EN)

Обсудить

Комментарии

developerWorks: Войти

Обязательные поля отмечены звездочкой (*).


Нужен IBM ID?
Забыли Ваш IBM ID?


Забыли Ваш пароль?
Изменить пароль

Нажимая Отправить, Вы принимаете Условия использования developerWorks.

 


Профиль создается, когда вы первый раз заходите в developerWorks. Информация в вашем профиле (имя, страна / регион, название компании) отображается для всех пользователей и будет сопровождать любой опубликованный вами контент пока вы специально не укажите скрыть название вашей компании. Вы можете обновить ваш IBM аккаунт в любое время.

Вся введенная информация защищена.

Выберите имя, которое будет отображаться на экране



При первом входе в developerWorks для Вас будет создан профиль и Вам нужно будет выбрать Отображаемое имя. Оно будет выводиться рядом с контентом, опубликованным Вами в developerWorks.

Отображаемое имя должно иметь длину от 3 символов до 31 символа. Ваше Имя в системе должно быть уникальным. В качестве имени по соображениям приватности нельзя использовать контактный e-mail.

Обязательные поля отмечены звездочкой (*).

(Отображаемое имя должно иметь длину от 3 символов до 31 символа.)

Нажимая Отправить, Вы принимаете Условия использования developerWorks.

 


Вся введенная информация защищена.


static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=40
Zone=AIX и UNIX
ArticleID=338080
ArticleTitle=Настройка сетевых групп IBM LDAP с помощью сервера Windows Active Directory
publish-date=09152008