![Закрыть [x]](http://dw1.s81c.com/i/c.gif){kind=small}
Сетевые группы очень удобны для системных администраторов, поскольку позволяют им контролировать доступ в систему отдельных людей или вычислительных машин, управлять конфигурацией сети на ролевой основе и предлагают другие возможности. Если ваша система развернута на базе Облегченного Протокола Службы Каталогов (LDAP), вы можете использовать сетевые группы для повышения безопасности и управляемости системы. Эта статья содержит пошаговое руководство для настройки сетевых групп IBM LDAP при помощи сервера Windows® Active Directory.
Вы должны иметь общее представление о централизованном управлении базами данных, протоколе LDAP и принципах его конфигурирования на сервере Windows Active Directory. Системные администраторы AIX® со знаниями среднего или начального уровня, возможно, найдут эту статью чрезвычайно полезной.
Для реализации настройки, описанной в этой статье, потребуется клиент IBM LDAP, AIX и сервер Microsoft® Windows Active Directory 2000/2003, сконфигурированный для работы с протоколом LDAP.
Сетевые группы - это удобный способ идентифицировать под определенными именами группу хостов, людей, или доменов с целью обеспечить контроль доступа (см. Сетевые группы). Вы можете использовать сетевые группы для ограничения удаленного входа в систему и удаленной работы с ней. Сетевые группы хранятся на сервере Windows 2000/2003 Microsoft Active Directory. Вы можете сконфигурировать сервер Windows Active Directory в качестве LDAP-сервера для клиентской стороны IBM LDAP. Пользователи, которые включены в эти группы, имеют доступ к клиентской системе IBM LDAP.
Например, предположим, что у вас есть LDAP-сервер с большим числом пользователей, который сконфигурирован вместе с несколькими LDAP-клиентами, и вы хотите открыть доступ для LDAP-клиентов с определенными пользователями. Вы должны убедиться, что определили этих пользователей в сетевых группах.
IBM LDAP предоставляет поддержку для сервера Windows 2000/2003 Microsoft Active Directory только в AIX 5.3 TL 05 и более поздних версиях. Также прочтите книгу Integrating AIX 5L into Heterogeneous LDAP Environments из коллекции IBM Redbooks (см. Дополнительные материалы), чтобы ознакомится со всеми деталями настройки IBM LDAP-клиента при помощи сервера Microsoft Active Directory.
Выполните следующие шаги для настройки сетевых групп на IBM LDAP-клиенте при помощи Microsoft Active Directory:
- Определите группы и пользователей, которым нужен доступ к IBM LDAP-клиенту, в файле AIX /etc/netgroup. Файл /etc/netgroup определяет общесетевые группы. Каждая строка в файле определяет группу, и имеет следующий синтаксис:
Group name (hostname, username, domain name)
Взгляните на пример:
testgroup (znim.austin.ibm.com, user1, test) testgroup1 (, user2,)
Обратите внимание, что в этих записях не следует использовать тире (-).
- Скопируйте файл распределения /etc/netgroup на сервер Windows 2000/2003 Active Directory.
- Используйте утилиту
nis2ad, запускаемую из командной строки Windows для переноса записей о группах из копии файла распределения на сервер Active Directory.Синтаксис
nis2adследующий:nis2ad -y <Unix_NIS_domain> -a <windows_NIS_Domain> \ -u <username> -p <passwd> -s <server name> -m <map file>
В таблице 1 перечислены команды для переноса записей о группах.
Таблица 1. Перенос записей о группахКоманда Описание Unix_NIS_domainЭта команда задает UNIX® NIS-область, откуда был скопирован файл распределения. windows_NIS_DomainЭта команда задает область Windows NIS на сервере Active Directory, куда будет перенесен файл распределения. usernameЭта команда задает имя пользователя, обладающего привилегиями администратора. passwdЭта команда задает пароль пользователя. mapfileЭта команда задает файл, который надо скопировать из IBM LDAP-клиента.
- Записи из файла Netgroup будут добавлены, как показано на рисунке 1 и рисунке 2, на сервер Active Directory.
Рисунок 1. Командная строка
Рисунок 2. Active Directory
- На клиентском компьютере IBM LDAP проверка новых записей файла netgroup может быть выполнена командой
lsldap:lsldap -a netgroup
- На IBM LDAP-клиенте, активируйте сетевые группы LDAP добавляя сетевую группу в файл /etc/security/ldap/ldap.cfg:
netgroupbasedn:CN=netgroup,CN=ztrans,CN=DefaultMigrationContainer30,DC= ztrans,DC=in,DC=ibm,DC=com
- Перезапустите демона IBM LDAP-клиента (
Secldapclntd):/usr/sbin/restart-secldapclntd
- На IBM LDAP-клиенте добавьте netgroup-опцию в раздел LDAP файла /usr/lib/security/methods.cfg:
LDAP: program = /usr/lib/security/LDAP program_64 =/usr/lib/security/LDAP64 options = netgroup
- Добавьте поисковый параметр
netgroup nis_ldapв файл /etc/irs.conf:netgroup nis_ldap
- Для аутотентификации пользователя на клиентском компьютере с IBM LDAP, добавьте информацию о пользователе в файл /etc/security/user:
user1: SYSTEM="compat" registry=compat
- На клиентском компьютере с IBM LDAP, добавьте информацию о группе в файл /etc/passwd.
Добавьте escape-последовательность сетевой группы в конец файла /etc/passwd:
# echo "+@testgroup" >> /etc/passwd #echo "+@testgroup1" >> /etc/passwd
- На компьютере с IBM LDAP-клиентом откройте файл /etc/group для редактирования.
Добавьте escape-последовательность сетевой группы в файл /etc/group:
# echo "+:" >> /etc/group
- 13. На компьютере с IBM LDAP-клиентом, проверьте, может ли быть найдена информация о пользователях сетевой группы при помощи команды
lsuser, и войдите в систему, как пользователь сетевой группы:# lsuser -R compat user1 user1 id=1233 pgrp=staff groups=staff home=/home/user1 shell= /usr/bin/ksh login=true ...
Сетевые группы IBM LDAP поддерживаются только в Windows 2000/2003. Windows 2003 R2 поддерживается в AIX 5.3 Tl06 и более поздних версиях.
Научиться
-
Configure IBM LDAP netgroups with Windows Active Directory server (EN): ознакомьтесь с оригиналом статьи.
- Integrating AIX 5L into Heterogeneous LDAP Environments: узнайте как добавить AIX 5L-клиентов к уже существующей среде аутотентификации и управления пользователями LDAP из книги серии IBM Redbooks.(EN)
-
"AIX 5L LDAP user management" (EN) (developerWorks, декабрь 2006): эта статья предоставляет обзор новых возможностей, связанных с LDAP, в обновленной версии операционной системы AIX 5L V5.3 - TL5.(EN)
-
AIX и UNIX: сообщество developerWorks предоставляет много информации, относящейся ко всем аспектам системного администрирования AIX и расширения ваших навыков работы с UNIX.(EN)
-
Новичок в AIX и UNIX?: посетите страницу AIX и UNIX для начинающих, чтобы узнать больше о AIX и UNIX.(EN)
-
AIX 5L Wiki: среда для коллективного накопления технической информации, связанной с AIX.(EN)
-
Разделы библиотеки информации по AIX и UNIX:(EN)
- Системное администрирование
- Разработка приложений
- Производительность
- Переносимость
- Безопасность
- Подсказки
- Инструментальные средства и утилиты
- Java ™-технологии
- Linux®
- Open source
-
Safari bookstore: посетите эту интернет-библиотеку на предмет технической информации.(EN)
Получить продукты и технологии
-
IBM trial software: создайте ваше следующее приложение при помощи программного обеспечения, загруженного со страницы сообщества developerWorks.(EN)
Обсудить
- Примите участие в обсуждении материала на форуме.
-
Примите участие в в блогах developerWorks и вступайте в сообщество developerWorks.(EN)
- Примите участие в форумах AIX и UNIX:(EN)
- Управление кластерными системами
- Поддержка IBM
- Средства оптимизации производительности - технический форум
- Виртуализация — технический форум
Ума М. Чандолу (Uma M. Chandolu) - разработчик AIX и специалист поддержки подсистемы безопасности AIX из IBM India Systems and Technology Lab. Он два года занимался практическими вопросами безопасности AIX. Ума специализируется на безопасности AIX и является экспертом по администрированию AIX и программированию ее подсистемы безопасности. С ним можно связаться по адресу электронной почты uchandol@in.ibm.com.
