Настройка сервера Microsoft Windows Active Directory в качестве сервера сквозной аутентификации для IBM Tivoli Directory Server

Comments

Краткий обзор

Централизованное хранение учетных записей пользователей и групп в разнородных средах является трудоемкой задачей. Развертывание учетных записей и атрибутов пользователей и групп на едином сервере и управление ими с разнородных клиентских компьютеров всегда создает сложности для системных администраторов. При входе пользователя на клиентский компьютер его учетные данные могут проверяться либо на уровне сервера, либо на уровне клиента. Может оказаться, что при проверке учетных данных в разнородной среде не все клиентские компьютеры смогут использовать серверный алгоритм шифрования паролей, поэтому проверкой учетных данных и предоставлением доступа к клиентским компьютерам должен заниматься сервер.

Протокол IBM AIX LDAP поддерживает некоторые из возможностей системы безопасности AIX для гибкого управления доступом к клиентским компьютерам. Однако в смешанной среде эти возможности могут поддерживаться не всеми клиентскими компьютерами. В этой статье мы покажем, как настроить механизм сквозной аутентификации, позволяющий пользователям AIX подключаться к разделам AIX с помощью паролей учетных записей Windows.

На рисунке 1 изображена схема работы сервера Windows AD в качестве сервера сквозной аутентификации для IBM Tivoli Directory Server.

Рисунок 1. Сервер Windows AD, выступающий в роли сервера сквозной аутентификации
Сервер Windows AD, выступающий в роли сервера сквозной аутентификации
Сервер Windows AD, выступающий в роли сервера сквозной аутентификации

Когда компьютер, являющийся клиентом AIX LDAP, запрашивает учетные данные пользователя у сервера IBM Tivoli DS, запрос перенаправляется на сервер Windows AD. После того, как пользователь пройдет аутентификацию на сервере Windows AD, сервер Tivoli DS предоставляет ему соответствующий доступ к клиентскому компьютеру AIX LDAP.

Преимущества сквозной аутентификации:

  • Упрощается управление учетными записями пользователей.
  • Пользователи используют единый пароль для подключения как к Windows-, так и к AIX-компьютерам.
  • Аутентификация пользователей выполняется на сервере Windows AD, а их идентификация – на сервере IBM Tivoli Directory Server.

Настройка сервера сквозной LDAP-аутентификации
Для настройки сервера сквозной LDAP-аутентификации выполните следующие действия.

  1. Сконфигурируйте сервер и клиент AIX LDAP.
    Примечание. Настройка сервера и клиента AIX LDAP выходит за рамки этой статьи. За информацией о конфигурировании LDAP обратитесь к разделу "Ресурсы".
  2. Создайте на сервере Windows AD все необходимые группы, учетные записи и пароли пользователей.
  3. Включите сквозную аутентификацию на LDAP-сервере IBM.
  4. Задайте для переменной ibm-slapdPtaEnable значение true в файле ibmslpad.conf (по умолчанию оно установлено в false). Значение переменной ibm-slapdPtaEnable можно также изменить при помощи команды ldapmodify, как показано на следующем рисунке.
  1. Измените атрибут dn сквозной аутентификации для сопоставления атрибутов Windows AD Server и Tivoli Directory Server. Эти изменения будут отражены в файле ibmslapd.conf.
  1. Чтобы изменения вступили в силу, перезапустите LDAP-сервер IBM Tivoli Directory Server. Используйте команды, показанные на следующем рисунке.
  1. Создайте на LDAP-сервере учетную запись пользователя без пароля. Для этого можно воспользоваться командой mkuser на клиентском компьютере AIX LDAP или командой ldapadd.
  1. Создайте на сервере Microsoft Windows Active Directory учетную запись пользователя и задайте для нее пароль.
  1. Выполните сопоставление имени пользователя в Windows AD и имени пользователя на LDAP-сервере AIX.
  1. Проверьте возможность входа пользователя в систему на LDAP-клиенте AIX.

Примечание. Убедитесь, что на LDAP-клиенте используется тип аутентификации ldap_auth, поскольку механизм аутентификации unix_auth не позволяет выполнять вход в систему на LDAP-клиентах AIX.

Заключение

Механизм сквозной аутентификации позволяет перенаправлять запросы на аутентификацию пользователей на другой сервер. Этот сервер выполняет проверку учетных данных и возвращает результаты при входе пользователей на клиентские компьютеры. Такой механизм позволяет использовать политику единых паролей, избавляющую от необходимости запоминать несколько разных паролей.

Ресурсы


Ресурсы для скачивания


Комментарии

Войдите или зарегистрируйтесь для того чтобы оставлять комментарии или подписаться на них.

static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=40
Zone=AIX и UNIX
ArticleID=1022992
ArticleTitle=Настройка сервера Microsoft Windows Active Directory в качестве сервера сквозной аутентификации для IBM Tivoli Directory Server
publish-date=12022015