Planificación y configuración de la resolución de nombres NIS_LDAP (esquema RFC 2307)

Editar en línea

AIX® 5.2 ofrece un nuevo mecanismo de denominación denominado NIS_LDAP.

La diferencia entre el mecanismo LDAP existente y el nuevo mecanismo NIS_LDAP está en el esquema de LDAP (el conjunto de atributos y clases de objeto que determinan cómo se agrupan los atributos para describir una entidad). El mecanismo LDAP existente funciona con el servidor LDAP compatible con el esquema de directorio IBM® SecureWay y sólo da soporte al servicio de denominación de host. El mecanismo NIS_LDAP funciona con el servidor LDAP que se ajusta a los estándares del esquema RFC 2307 y soporta todos los servicios: usuarios y grupos, sistemas principales, servicios, protocolos, redes y grupo de redes. RFC 2307 define un conjunto de atributos y clases de objetos que se pueden utilizar para describir servicios de información de red, incluidos usuarios y grupos.

  • Para configurar el servidor LDAP, necesitará definir el servidor LDAP y migrar los datos necesarios al servidor.
    1. Utilice el mandato mksecldap para configurar un servidor.
      El mecanismo nis_ldap sólo funciona con el esquema RFC 2307. Al configurar el servidor LDAP, el mandato mksecldap debe invocarse con la opción -S rfc2307 o -S rfc2307aix (no con la opción -S aix , que especifica el esquema de directorio IBM SecureWay ). De forma predeterminada, el mandato mksecldap migra los usuarios y los grupos definidos en el sistema local al servidor LDAP. Si desea inhabilitar esta migración, utilice la opción -u NONE.
      mksecldap -s -a cn=admin -p adminpwd -S rfc2307aix

      Esto configura un servidor LDAP, en el que el DN de administrador es cn=admin y la contraseña es adminpwd. El sufijo predeterminado, cn=aixdata, también se añade al archivo /etc/slapd32.conf, el archivo de configuración de servidor LDAP.

      De forma predeterminada, el mandato mksecldap migra los usuarios y los grupos definidos en el sistema local al servidor LDAP. Si desea inhabilitar esta migración, utilice la opción -u NONE , que impide la migración de usuarios y grupos locales al servidor LDAP, para que solo pueda añadir usuarios y grupos NIS más adelante.
      mksecldap -s -a cn=admin -p adminpwd -u NONE
    2. Migre los datos NIS. Utilice el mandato nistoldif desde el servidor NIS para migrar las correlaciones NIS al servidor LDAP. El mandato nistoldif también se puede utilizar para migrar datos desde archivos sin formato.
      Ejecute el mandato nistoldif en un sistema que contenga los datos NIS que es necesario migrar al servidor LDAP.
      nistoldif -h server1.ibm.com -a cn=admin -p adminpwd -d cn=aixdata

      Esto migra las correlaciones NIS del sistema local al servidor LDAP, server1.ibm.com. Los datos NIS se ponen bajo el DN cn=aixdata. También puede ejecutar el mandato nistoldif para migrar datos de archivos planos de cualquier sistema al servidor LDAP. Los archivos planos se utilizarán para las correlaciones que falten en el servidor NIS.

      Nota: Los nombres se representan mediante el atributo cn del servidor LDAP. El atributo cn definido por RFC 2307 no es sensible a las mayúsculas y minúsculas. Los nombres que sólo difieren por las mayúsculas y minúsculas se fusionarán en el servidor. Las coincidencias tampoco son sensibles a las mayúsculas y minúsculas. Las búsquedas de TCP, tcp o Tcp devolverán todas las entradas de protocolo para TCP.
  • Para configurar el cliente LDAP para acceder a los nombres desde el servidor LDAP, ejecute el mandato mksecldap con las opciones de configuración del cliente.
    1. El mandato mksecldap guarda el nombre del servidor LDAP, el puerto, admindn, la contraseña y basedn en el archivo /etc/security/ldap/ldap.cfg , que lee el daemon secldapclntd en su momento de inicio. El mandato mksecldap inicia automáticamente el daemon secldapclntd , si la configuración es satisfactoria.

      Consulte el archivo /etc/security/ldap/ldap.cfg en Referencia de archivos y el daemon secldapclntd en Consulta de mandatos, Volumen 5 para obtener más información.

    2. El mandato mksecldap añade el mecanismo nis_ldap al archivo /etc/netsvc.conf y al archivo /etc/irs.conf para que la resolución de nombres se pueda dirigir a LDAP. También puede establecer manualmente la variable de entorno NSORDER en nis_ldap para utilizar la resolución de nombres NIS_LDAP.
      mksecldap -c -a cn=admin -p adminpwd -h server1.ibm.com

      Esto configura el sistema local para que utilice el servidor LDAP server1.ibm.com. Se deben proporcionar el DN y la contraseña de administrador de servidor LDAP para que este cliente se autentique en el servidor. Los archivos /etc/netsvc.conf y /etc/irs.conf se actualizan de forma que la resolución de nombres se resuelve mediante NIS_LDAP.

      Consulte el formato de archivo ' /etc/netsvc.conf para TCP/IP o el formato de archivo ' /etc/irs.conf para TCP/IP en la Referencia de archivos para obtener más información.

    3. La resolución de denominación para usuarios y grupos no está controlada por los archivos /etc/netsvc.conf o /etc/irs.conf . En su lugar, se realiza mediante el archivo /etc/security/user. Para permitir que un usuario LDAP inicie sesión en un sistema AIX , establezca las variables SYSTEM y registry del usuario en LDAP en el archivo /etc/security/user de dicho sistema cliente.
      Para ello, puede ejecutar el mandato chuser.
      chuser -R LDAP SYSTEM=LDAP registry=LDAP foo

      Puede configurar el sistema para permitir que todos los usuarios LDAP inicien la sesión en un sistema. Para ello, edite el archivo /etc/security/user. Añada registry = files a la stanza de root. A continuación, añada SYSTEM = LDAP y registry = LDAP a la stanza predeterminada.

      Para obtener más información sobre la autenticación de usuarios, consulte Light Directory Access Protocol en Security.