Externen LDAP-Server für die globale Benutzerauthentifizierung konfigurieren

Mit dem Dienstprogramm ap_external_ldap kann der Systemadministrator im System einen externen LDAP-Server für die Benutzerauthentifizierung konfigurieren. Informationen zu allen Befehlsoptionen finden Sie im Abschnitt Befehl ap_external_ldap.

Vorbereitende Schritte

Anmerkung:
  • Sobald die Authentifizierung mit einem externen Windows AD- oder LDAP-Server aktiviert worden ist, kann derselbe Benutzername nicht gleichzeitig für lokale und externe LDAP-Server verwendet werden.
  • Für jeden Benutzer, den Sie aus dem lokalen Server oder Windows AD entfernt haben, müssen Sie das Verzeichnis /home/<benutzerverzeichnis manuell löschen.
Stellen Sie vor dem Konfigurieren eines externen LDAP-Servers im System die folgenden Informationen zusammen:
Host des LDAP-Servers und Port
Beispiel: myserver.com und 389.
Definierter Name/Domänenname (DN) des LDAP-Verzeichnisses
Beispiel: myldaporg.com,
Informationen zur Benutzerbindung
Die Benutzer-ID und das Kennwort für den LDAP-Domänenbenutzer, der Zugriff zum Abfragen aller Benutzer- und Gruppeninformationen besitzt. Beispiel: myuseradmin und myadminpasswd
Außerdem müssen Sie festlegen, ob für die Verbindung zum LDAP-Server SSL oder TLS verwendet werden soll.

Vorgehensweise

  1. Melden Sie sich beim Systemsteuerknoten als Benutzer apadmin oder als anderes Mitglied der Gruppe ibmapadmins an.
  2. Führen Sie den Befehl ap_external_ldap mit den folgenden Argumenten aus:
    • Ohne Verwendung von SSL: 
      ap_external_ldap enable --server  ldap://ADserverHostnname  --port 389  --search-base-dn "dc=myldaporg,dc=com"  --search_user_dn "cn=usernamwithoutspace, dc=domain,dc=com"  --search_user_password "SearchuserPassword"  --searchfield sAMAccountName
    • Bei Verwendung von SSL:
      Falls Sie das SSL-Verfahren nutzen wollen, geben Sie unbedingt ldaps im Hostnamen bei der Option --server und den SSL-Port des LDAP-Servers in der Option -–port an (siehe folgendes Beispiel): 
      ap_external_ldap enable --server  ldaps://ADserverHostnname  --port 636  --search-base-dn "dc=myldaporg,dc=com"  --search_user_dn "cn=usernamwithoutspace, dc=domain,dc=com"  --search_user_password "SearchuserPassword"  --searchfield sAMAccountName
    Anmerkung:
    • In der Option --server muss der Hostname mit dem folgenden Präfix angegeben werden:
      • ldap:// (wie in ldap://adhostname) für eine Konfiguration ohne SSL
      • ldaps (wie in ldaps://adhostname) für eine Konfiguration mit SSL
    • In der Option --search_user_dn darf der Wert für cn oder uid keine Leerzeichen enthalten und für den Benutzer müssen alle Werte für dn angegeben werden (z. B. "cn=userwithoutspace, dc=domain,dc=com").
    • In der Option --searchfield muss der Wert wie folgt lauten:
      • Für die Integration mit Windows Active Directory: sAMAccountName
      • Für einen OpenLDAP-Server: Entweder uid oder cn
  3. Nachdem der Befehl erfolgreich ausgeführt wurde, prüfen Sie Ihre Einstellung mit dem Befehl id.
    Falls beispielsweise user1 eine Benutzer-ID aus Ihrer LDAP-Datenbank ist, gibt der folgende Befehl erfolgreich die Informationen zur ID und Gruppe für diesen Benutzer zurück: 
    id user1
  4. Fügen Sie Benutzer aus dem externen Verzeichnis zu einer der Betriebssystemgruppen der Plattform hinzu, damit sie sich bei der Plattform anmelden können: 
    ap_external_ldap usermod [-h] -u BENUTZERNAME -g {2001,2002}

platform groupid: 2001 for ibmapadmins, 2002 for
                        ibmapusers
    Um beispielsweise einen Benutzer namens myaduser zur Gruppe ibmapadmins, hinzuzufügen, führen Sie den folgenden Befehl aus: 
    ap_external_ldap  usermod -u myaduser -g 2001
    Alternativ können Sie auch die folgende vereinfachte Syntax verwenden: 
    ap_external_ldap usermod --group 2001 myaduser