Настройка сетевых групп IBM LDAP с помощью сервера Windows Active Directory

Comments

Введение

Сетевые группы очень удобны для системных администраторов, поскольку позволяют им контролировать доступ в систему отдельных людей или вычислительных машин, управлять конфигурацией сети на ролевой основе и предлагают другие возможности. Если ваша система развернута на базе Облегченного Протокола Службы Каталогов (LDAP), вы можете использовать сетевые группы для повышения безопасности и управляемости системы. Эта статья содержит пошаговое руководство для настройки сетевых групп IBM LDAP при помощи сервера Windows® Active Directory.

Вы должны иметь общее представление о централизованном управлении базами данных, протоколе LDAP и принципах его конфигурирования на сервере Windows Active Directory. Системные администраторы AIX® со знаниями среднего или начального уровня, возможно, найдут эту статью чрезвычайно полезной.

Системные требования

Для реализации настройки, описанной в этой статье, потребуется клиент IBM LDAP, AIX и сервер Microsoft® Windows Active Directory 2000/2003, сконфигурированный для работы с протоколом LDAP.

Сетевые группы

Сетевые группы - это удобный способ идентифицировать под определенными именами группу хостов, людей, или доменов с целью обеспечить контроль доступа (см. Сетевые группы). Вы можете использовать сетевые группы для ограничения удаленного входа в систему и удаленной работы с ней. Сетевые группы хранятся на сервере Windows 2000/2003 Microsoft Active Directory. Вы можете сконфигурировать сервер Windows Active Directory в качестве LDAP-сервера для клиентской стороны IBM LDAP. Пользователи, которые включены в эти группы, имеют доступ к клиентской системе IBM LDAP.

Например, предположим, что у вас есть LDAP-сервер с большим числом пользователей, который сконфигурирован вместе с несколькими LDAP-клиентами, и вы хотите открыть доступ для LDAP-клиентов с определенными пользователями. Вы должны убедиться, что определили этих пользователей в сетевых группах.

IBM LDAP предоставляет поддержку для сервера Windows 2000/2003 Microsoft Active Directory только в AIX 5.3 TL 05 и более поздних версиях. Также прочтите книгу Integrating AIX 5L into Heterogeneous LDAP Environments из коллекции IBM Redbooks (см. Дополнительные материалы), чтобы ознакомится со всеми деталями настройки IBM LDAP-клиента при помощи сервера Microsoft Active Directory.

Конфигурация

Выполните следующие шаги для настройки сетевых групп на IBM LDAP-клиенте при помощи Microsoft Active Directory:

  1. Определите группы и пользователей, которым нужен доступ к IBM LDAP-клиенту, в файле AIX /etc/netgroup. Файл /etc/netgroup определяет общесетевые группы. Каждая строка в файле определяет группу, и имеет следующий синтаксис:
    Group name (hostname, username, domain name)

    Взгляните на пример:

    testgroup (znim.austin.ibm.com, user1, test)
     testgroup1 (, user2,)

    Обратите внимание, что в этих записях не следует использовать тире (-).

  2. Скопируйте файл распределения /etc/netgroup на сервер Windows 2000/2003 Active Directory.
  3. Используйте утилиту nis2ad, запускаемую из командной строки Windows для переноса записей о группах из копии файла распределения на сервер Active Directory.

    Синтаксис nis2ad следующий:

    nis2ad -y <Unix_NIS_domain> -a <windows_NIS_Domain> \
          -u <username> -p <passwd> -s <server name>
        -m <map file>

    В таблице 1 перечислены команды для переноса записей о группах.


    Таблица 1. Перенос записей о группах
    КомандаОписание
    Unix_NIS_domainЭта команда задает UNIX® NIS-область, откуда был скопирован файл распределения.
    windows_NIS_DomainЭта команда задает область Windows NIS на сервере Active Directory, куда будет перенесен файл распределения.
    usernameЭта команда задает имя пользователя, обладающего привилегиями администратора.
    passwdЭта команда задает пароль пользователя.
    mapfileЭта команда задает файл, который надо скопировать из IBM LDAP-клиента.
  4. Записи из файла Netgroup будут добавлены, как показано на рисунке 1 и рисунке 2, на сервер Active Directory.
    Рисунок 1. Командная строка
    Командная строка
    Командная строка
    Рисунок 2. Active Directory
    Active Directory
    Active Directory
  5. На клиентском компьютере IBM LDAP проверка новых записей файла netgroup может быть выполнена командой lsldap:
    lsldap -a netgroup
  6. На IBM LDAP-клиенте, активируйте сетевые группы LDAP добавляя сетевую группу в файл /etc/security/ldap/ldap.cfg:
    netgroupbasedn:CN=netgroup,CN=ztrans,CN=DefaultMigrationContainer30,DC=
         ztrans,DC=in,DC=ibm,DC=com
  7. Перезапустите демона IBM LDAP-клиента (Secldapclntd):
    /usr/sbin/restart-secldapclntd
  8. На IBM LDAP-клиенте добавьте netgroup-опцию в раздел LDAP файла /usr/lib/security/methods.cfg:
    LDAP:
    program = /usr/lib/security/LDAP
    program_64 =/usr/lib/security/LDAP64
    options = netgroup
  9. Добавьте поисковый параметр netgroup nis_ldap в файл /etc/irs.conf:
    netgroup nis_ldap
  10. Для аутотентификации пользователя на клиентском компьютере с IBM LDAP, добавьте информацию о пользователе в файл /etc/security/user:
    user1:
    	SYSTEM="compat"
    	registry=compat
  11. На клиентском компьютере с IBM LDAP, добавьте информацию о группе в файл /etc/passwd.

    Добавьте escape-последовательность сетевой группы в конец файла /etc/passwd:

    # echo "+@testgroup" >> /etc/passwd
    #echo "+@testgroup1" >> /etc/passwd
  12. На компьютере с IBM LDAP-клиентом откройте файл /etc/group для редактирования.

    Добавьте escape-последовательность сетевой группы в файл /etc/group:

    # echo "+:" >> /etc/group
  13. 13. На компьютере с IBM LDAP-клиентом, проверьте, может ли быть найдена информация о пользователях сетевой группы при помощи команды lsuser, и войдите в систему, как пользователь сетевой группы:
    # lsuser -R compat user1
    user1 id=1233 pgrp=staff groups=staff home=/home/user1 shell=
         /usr/bin/ksh login=true ...

Сетевые группы IBM LDAP поддерживаются только в Windows 2000/2003. Windows 2003 R2 поддерживается в AIX 5.3 Tl06 и более поздних версиях.


Ресурсы для скачивания


Похожие темы


Комментарии

Войдите или зарегистрируйтесь для того чтобы оставлять комментарии или подписаться на них.

static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=40
Zone=AIX и UNIX
ArticleID=338080
ArticleTitle=Настройка сетевых групп IBM LDAP с помощью сервера Windows Active Directory
publish-date=09152008