LDAP-Client konfigurieren

Online bearbeiten

Wenn Sie einen Client für die Verwendung von LDAP für die Authentifizierung und für Benutzer-und Gruppeninformationen einrichten möchten, stellen Sie sicher, dass für jeden Client das LDAP-Clientpaket installiert ist. Informationen zur Installation des LDAP-Clientpakets finden Sie in den Schritten 3 bis 7. Wenn die Unterstützung für Secure Sockets Layer (SSL) oder Transport Layer Security (TLS) erforderlich ist, muss GSKit installiert werden. Es muss ein Schlüssel erstellt und das SSL-Schlüsselzertifikat des LDAP-Servers diesem Schlüssel hinzugefügt werden. Siehe Schritte 1 bis 2.

Ähnlich wie bei der Konfiguration des LDAP-Servers kann die Clientkonfiguration mit dem Befehl mksecldap ausgeführt werden. Damit dieser Client den LDAP-Sicherheitsinformationsserver kontaktieren kann, muss der Servername während der Konfiguration angegeben werden. Der Bind-DN und das Passwort des Servers werden auch für den Client-Zugriff auf den AIX® auf dem Server benötigt. Der Befehl mksecldap speichert den DN für Bindung, das Kennwort, den Servernamen, den AIX -Baumstruktur-DN für den Server, den SSL-Schlüsselpfad und das Kennwort sowie weitere Konfigurationsattribute in der Datei /etc/security/ldap/ldap.cfg .

Der Befehl mksecldap speichert das Kennwort für die Bindung und das SSL-Schlüsselkennwort (sofern Sie SSL konfigurieren) in der Datei /etc/security/ldap/ldap.cfg im verschlüsselten Format. Die verschlüsselten Kennwörter sind systemspezifisch und können nur vom secldapclntd -Dämon auf dem System verwendet werden, auf dem sie generiert werden. Der secldapclntd -Dämon kann Klartext oder verschlüsseltes Kennwort aus der Datei /etc/security/ldap/ldap.cfg verwenden.

Während der Clientkonfiguration können mehrere Server dem Befehl mksecldap zur Verfügung gestellt werden. In diesem Fall kontaktiert der Client die Server in der angegebenen Reihenfolge und stellt die Verbindung zu dem ersten Server her, an den der Client erfolgreich binden kann. Wenn zwischen dem Client und dem Server ein Verbindungsfehler auftritt, wird versucht, eine Verbindungsanforderung mit derselben Logik auszuführen. Das Sicherheits-LDAP-Nutzungsmodell unterstützt keine Überweisung. Es ist wichtig, dass die Replikationsserver synchron gehalten werden.

Der Client kommuniziert über einen clientseitigen Dämon (secldapclntd) mit dem LDAP-Sicherheitsinformationsserver. Wenn das LDAP-Lademodul auf dem Client aktiviert ist, werden übergeordnete Befehle über die Bibliotheks-APIs für Benutzer, die in LDAP definiert sind, an den Dämon weitergeleitet. Der Dämon verwaltet einen Cache mit angeforderten LDAP-Einträgen. Wenn eine Anforderung nicht aus dem Cache erfüllt wird, fragt der Dämon den Server ab, aktualisiert den Cache und gibt die Informationen an den Aufrufenden zurück.

Andere Optionen zur Feinabstimmung können dem Befehl mksecldap während der Clientkonfiguration bereitgestellt werden, z. B. Einstellungen für die Anzahl der Threads, die vom Dämon verwendet werden, die Cacheeintragsgröße und das Zeitlimit für den Cacheablauf. Diese Optionen sind nur für erfahrene Benutzer verfügbar. Für die meisten Umgebungen sind die Standardwerte ausreichend.

In den letzten Schritten der Clientkonfiguration startet der Befehl mksecldap den clientseitigen Dämon und fügt einen Eintrag in der /etc/inittab -Datei hinzu, so dass der Dämon bei jedem Warmstart gestartet wird. Sie können überprüfen, ob die Konfiguration erfolgreich ist, indem Sie den Dämonprozess secldapclntd mit dem Befehl ls-secldapclntd überprüfen. Vorausgesetzt, dass der LDAP-Sicherheitsinformationsserver konfiguriert und aktiv ist, wird dieser Dämon ausgeführt, wenn die Konfiguration erfolgreich war.

Der LDAP-Sicherheitsinformationsserver muss eingerichtet werden, bevor der Client eingerichtet wird. Die Clientkonfiguration hängt von den migrierten Daten auf dem Server ab. Führen Sie die folgenden Schritte aus, um den Client zu installieren und zu konfigurieren:
  1. Installieren Sie GSKit-bezogene Dateigruppen als Rootbenutzer.
    1. Hängen Sie die DVD mit dem Erweiterungspack AIX 7.2 an.
    2. Wechseln Sie in das Verzeichnis mit der Position der GSKit-Dateigruppe.
      cd <mount_point>/installp/ppc
  2. Führen Sie den Befehl installp aus, um die GSKit-Pakete zu installieren.
    • Führen Sie die folgenden Befehle aus, um GSKit-64-Bit-Pakete zu installieren:
      installp -acXgYd . GSKit8.gskcrypt64.ppc.rte
installp -acXgYd . GSKit8.gskssl64.ppc.rte
    • Führen Sie die folgenden Befehle aus, um GSKit-32-Bit-Pakete zu installieren:
      installp -acXgYd . GSKit8.gskcrypt32.ppc.rte
installp -acXgYd . GSKit8.gskssl32.ppc.rte
      Anmerkung: Sie können auch SMIT oder SMITTY verwenden, um die GSKit-Dateigruppen von der DVD zu installieren.
  3. Installieren Sie die idsldap -Clients als Rootbenutzer.
    1. Hängen Sie den zweiten Datenträger (Datenträger 2 von 2) der DVD AIX 7.2 an.
    2. Führen Sie den Befehl idsLicense aus.
      cd <mount_point>/license
./idsLicense
  4. Wenn Sie mit den Bedingungen in der Softwarelizenzvereinbarung einverstanden sind, geben Sie die Nummer 1 in der folgenden Liste der verfügbaren Optionen ein:
    1: To accept the license agreement.
2: To decline the license agreement and exit the installation. 
3: To print the license agreement. 
4: To read non-IBM terms in the license agreement. 
99: To go back to the previous screen.

    Wenn Sie die Bedingungen in der Softwarelizenzvereinbarung akzeptieren, werden in der Installationsposition von IBM Security Directory Server eine LAPID-Datei und ein Lizenzordner erstellt. Der Lizenzordner enthält die Lizenzdateien von IBM Security Directory Server in allen unterstützten Sprachen.

  5. IBM Security Directory Server ermittelnidsldapClientpakete, die Sie installieren wollen.
    • Installieren Sie für die Funktionalität des LDAP-Clients, die nicht SSL ist, die folgenden Dateigruppen:
      • idsldap.license64
      • idsldap.cltbase64
      • idsldap.clt32bit64
      • idsldap.clt64bit64
    • Für die SSL-LDAP-Clientfunktionalität müssen Sie die folgenden Dateigruppen installieren:
      • idsldap.license64
      • idsldap.cltbase64
      • idsldap.clt32bit64
      • idsldap.clt64bit64
      • idsldap.clt_max_crypto32bit64
      • idsldap.clt_max_crypto64bit64
      Hinweis: Für die SSL-Funktion ist die Installation von GSKitv8 -Dateigruppen erforderlich.
  6. Installieren Sie die IBM Security Directory Server idsldap Cient - Pakete
    • Führen Sie die folgenden Befehle aus, um eines oder mehrere der idsldap-Clientpakete für IBM Security Directory Server zu installieren:
      cd <mount_point>/installp/ppc/
installp -acXgYd . <package_names>
      Anmerkung: Sie können auch SMIT oder SMITTY verwenden, um die angegebenen Dateigruppen und Pakete von der DVD zu installieren.
  7. Überprüfen Sie, ob die Installation von IBM Security Directory Server erfolgreich war, indem Sie vom System generierte Installationszusammenfassung anzeigen.
  8. Führen Sie zum Konfigurieren des Servers den Befehl mksecldap aus, indem Sie die Werte entsprechend Ihrer Umgebung ersetzen:
    # mksecldap -c -h server1.ibm.com -a cn=admindn -p adminpwd -d cn=basedn