Configuración de un cliente LDAP

Editar en línea

Para configurar un cliente para que utilice LDAP para la autenticación y la información de usuarios y grupos, asegúrese de que cada cliente tiene instalado el paquete de cliente LDAP. Para obtener información específica de la instalación del paquete de cliente LDAP, consulte los pasos 3 a 7. Si se necesita el soporte SSL (Secure Sockets Layer) o TLS (Transport Layer Security), se debe instalar GSKit. debe crearse una clave y el certificado de clave SSL del servidor LDAP debe añadirse a esta clave. Consulte los pasos del 1 al 2.

De forma similar a la configuración del servidor LDAP, la configuración del cliente se puede realizar utilizando el mandato mksecldap. Para que este cliente se ponga en contacto con el servidor de información de seguridad de LDAP, el nombre del servidor se debe proporcionar durante la configuración. El DN bind y la contraseña del servidor también son necesarios para el acceso del cliente al árbol AIX® en el servidor. El mandato mksecldap guarda el DN de enlace de servidor, la contraseña, el nombre de servidor, el DN de árbol de AIX en el servidor, la vía de acceso y la contraseña de clave SSL y otros atributos de configuración en el archivo /etc/security/ldap/ldap.cfg .

El mandato mksecldap guarda la contraseña de enlace y la contraseña de clave SSL (si está configurando SSL) en el archivo /etc/security/ldap/ldap.cfg en formato cifrado. Las contraseñas cifradas son específicas del sistema y sólo pueden ser utilizadas por el daemon de secldapclntd en el sistema en el que se generan. El daemon secldapclntd puede utilizar texto simple o contraseña cifrada del archivo /etc/security/ldap/ldap.cfg .

Se pueden proporcionar varios servidores al mandato mksecldap durante la configuración del cliente. En este caso, el cliente se pone en contacto con los servidores en el orden proporcionado y establece la conexión con el primer servidor al que el cliente puede enlazarse satisfactoriamente. Si se produce un error de conexión entre el cliente y el servidor, se intenta una solicitud de reconexión utilizando la misma lógica. El modelo de explotación de LDAP de seguridad no da soporte a la derivación. Es importante que los servidores de réplica se mantengan sincronizados.

El cliente se comunica con el servidor de información de seguridad LDAP a través de un daemon del lado del cliente (secldapclntd). Si el módulo de carga LDAP está habilitado en el cliente, los mandatos de alto nivel se direccionan al daemon a través de las API de biblioteca para los usuarios definidos en LDAP. El daemon mantiene una memoria caché de entradas LDAP solicitadas. Si no se satisface una solicitud de la memoria caché, el daemon consulta el servidor, actualiza la memoria caché y devuelve la información al interlocutor.

Se pueden proporcionar otras opciones de ajuste al mandato mksecldap durante la configuración del cliente, como los valores para el número de hebras utilizadas por el daemon, el tamaño de la entrada de memoria caché y el tiempo de espera de caducidad de la memoria caché. Estas opciones son sólo para usuarios experimentados. Para la mayoría de entornos, los valores predeterminados son suficientes.

En los pasos finales de la configuración del cliente, el mandato mksecldap inicia el daemon del lado del cliente y añade una entrada en el archivo /etc/inittab para que el daemon se inicie en cada rearranque. Puede comprobar si la configuración se ha realizado correctamente comprobando el proceso del daemon secldapclntd mediante el mandato ls-secldapclntd . Siempre que el servidor de información de seguridad LDAP esté configurado y en ejecución, este daemon se ejecutará si la configuración ha sido satisfactoria.

El servidor de información de seguridad LDAP se debe configurar antes de configurar el cliente. La configuración del cliente depende de los datos migrados que se encuentran en el servidor. Siga estos pasos para instalar y configurar el cliente:
  1. Instale los conjuntos de archivos relacionados con GSKit como usuario root.
    1. Monte el DVD del paquete de expansión AIX 7.2.
    2. Cambie el directorio a la ubicación del conjunto de archivos GSKit.
      cd <mount_point>/installp/ppc
  2. Ejecute el mandato installp para instalar los paquetes de GSKit.
    • Para instalar los paquetes de GSKit de 64 bits, ejecute los mandatos siguientes:
      installp -acXgYd . GSKit8.gskcrypt64.ppc.rte
installp -acXgYd . GSKit8.gskssl64.ppc.rte
    • Para instalar los paquetes de GSKit de 32 bits, ejecute los mandatos siguientes:
      installp -acXgYd . GSKit8.gskcrypt32.ppc.rte
installp -acXgYd . GSKit8.gskssl32.ppc.rte
      Nota: También puede utilizar SMIT o SMITTY para instalar los conjuntos de archivos GSKit desde el DVD.
  3. Instale los clientes idsldap como usuario root.
    1. Monte el segundo volumen (volumen 2 de 2) del DVD de AIX 7.2.
    2. Ejecute el mandato idsLicense.
      cd <mount_point>/license
./idsLicense
  4. Si consiente en aceptar los términos del acuerdo de licencia de software, especifique el número 1 en la lista siguiente de opciones disponibles:
    1: To accept the license agreement.
2: To decline the license agreement and exit the installation. 
3: To print the license agreement. 
4: To read non-IBM terms in the license agreement. 
99: To go back to the previous screen.

    Al aceptar los términos del acuerdo de licencia de software, se crea un archivo LAPID y una carpeta de licencias en la ubicación de instalación de IBM Security Directory Server. La carpeta de licencias contiene los archivos de licencia de IBM Security Directory Server en todos los idiomas soportados.

  5. Determine IBM Security Directory Serveridsldappaquetes de cliente que desea instalar.
    • Para la funcionalidad de cliente LDAP no SSL, instale los siguientes conjuntos de archivos:
      • idsldap.license64
      • idsldap.cltbase64
      • idsldap.clt32bit64
      • idsldap.clt64bit64
    • Para la funcionalidad de cliente LDAP SSL, instale los siguientes conjuntos de archivos:
      • idsldap.license64
      • idsldap.cltbase64
      • idsldap.clt32bit64
      • idsldap.clt64bit64
      • idsldap.clt_max_crypto32bit64
      • idsldap.clt_max_crypto64bit64
      Nota: La funcionalidad SSL requiere la instalación de conjuntos de archivos GSKitv8 .
  6. Instale los paquetes de cliente de IBM Security Directory Server idsldap.
    • Para instalar uno o más de los paquetes de cliente de IBM Security Directory Server idsldap, ejecute los mandatos siguientes:
      cd <mount_point>/installp/ppc/
installp -acXgYd . <package_names>
      Nota: También puede utilizar SMIT o SMITTY para instalar los conjuntos de archivos y paquetes identificados desde el DVD.
  7. Verifique si la instalación de IBM Security Directory Server se ha realizado correctamente utilizando el resumen de instalación generado por el sistema.
  8. Para configurar el cliente LDAP, ejecute el mandato siguiente sustituyendo los valores según el entorno:
    # mksecldap -c -h server1.ibm.com -a cn=admindn -p adminpwd -d cn=basedn