Commande mksecldap

Objectif

Configure un système AIX en tant que serveur ou client LDAP (Lightweight Directory Access Protocol) pour l'authentification de sécurité et la gestion des données.

Syntaxe

Pour configurer un serveur

mksecldap -s -a adminDN -p adminpasswd -S schematype [ -d baseDN ] [ -n port ] [ -k SSLkeypath ] [ -w SSLkeypasswd ] [ -x proxyDN -X proxypasswd ] [ -u NONE ] [ -v LDAPVersion ] [ -U ] [ -j <ssl|tls|ssltls|none|sslonly> ]

Pour configurer un client

mksecldap -c -h serverlist -a bindDN -p bindpwd [ -d baseDN ] [ -n serverport ] [ -k SSLkeypath ] [ -w SSLkeypasswd ] [ -t cachetimeout ] [ -C cachesize ] [ -P NumberofThreads ] [ -T heartBeatInt ] [ -M searchMode ] [ -D defaultEntry ] [ -A authType ] [ -i databaseModule ] [ -u userlist ] [ -U ] [ -j <ssl|tls> ] [ -g [ -I domainID ]]

Descriptif

Configuration du serveur

Assurez-vous que le serveur LDAP et le logiciel backend IBM® DB2® sont installés. Il n'est pas nécessaire de préconfigurer IBM DB2 pour qu'il exécute la commande " mksecldap pour l'installation du serveur LDAP. Les opérations suivantes sont effectuées lorsque vous exécutez la commande 'mksecldap pour configurer le serveur :

1. Créez une instance DB2 avec ldapdb2 comme nom d'instance par défaut.
2. Si le serveur d'annuaire IBM Directory Server 6.0 ou plus récent est configuré, une instance de serveur LDAP portant le nom par défaut de ldapdb2 est créée. Une invite s'affiche pour que la valeur de départ de chiffrement soit utilisée pour créer les fichiers de dissimulation de clés. Le code de cryptage d'entrée doit comporter au moins 12 caractères.
3. Créez une base de données DB2 avec ldapdb2 comme nom de base de données par défaut. Si une base de données existe, la commande mksecldap contourne les étapes 1 et 2. Une base de données existe lorsque le serveur LDAP est configuré pour une autre utilisation. La commande mksecldap utilise la base de données existante pour stocker les données de l'utilisateur ou du groupe AIX données relatives à l'utilisateur ou au groupe.
4. Créer le nom distinctif de base (DN (suffixe)) de l'arborescence des informations de répertoire (DIT). Le DN de base doit commencer par l'un de ces attributs, par exemple dc, o, ou, c, ou cn. Si le DN de base n'est pas fourni par la ligne de commande, le suffixe par défaut est défini sur cn=aixdata et les données de l'utilisateur ou du groupe sont placées sous le DN cn=aixdata . Dans le cas contraire, la commande " mksecldap utilise le DN fourni par l'utilisateur et spécifié avec l'option " -d Les utilisateurs et les groupes sont exportés vers LDAP à l'aide de la commande sectoldif . La DIT suivante est créée par défaut :

                   <user supplied suffix>
                             |
                 --------------------------
                 |                        |
               ou=People                ou=Groups

5. Si vous n'indiquez pas l'indicateur -u NONE , les données des fichiers de la base de données de sécurité de l'hôte local sont exportées dans la base de données LDAP. Si vous spécifiez -u NONE, la commande mksecldap ne crée pas les conteneurs ou=People et ou=Group comme elle le fait normalement. Il n'exporte pas les utilisateurs et les groupes. En fonction de l'option -S , la commande mksecldap exporte les utilisateurs ou les groupes en utilisant l'un des schémas LDAP suivants :

   AIX

   AIX schéma (classes d'objetsaixaccount et aixaccessgroup )

   RFC2307

   Schéma RFC 2307 (posixaccount, shadowaccount, et posixgroup classes d'objets)

   RFC2307AIX

   Schéma RFC 2307 avec prise en charge complète AIX (posixaccount, shadowaccount, posixgroup, aixauxaccount, et aixauxgroup classes d'objets).

6. Définissez le nom distinctif et le mot de passe de l'administrateur du serveur LDAP.
7. Configure le serveur pour qu'il écoute sur le port spécifié si l'option '-n est utilisée. Le port par défaut est 389. De plus, Transport Layer Security (TLS) utilise ce port comme port par défaut (636 pour Secure Socket Layer (SSL)).
8. Met à jour le fichier /usr/lib/security/methods.cfg avec la configuration du module LDAP. Si l'option -i est saisie à partir de la ligne de commande, elle définit un module d'authentification LDAPA uniquement et un module de chargement composé (par exemple, des fichiers LDAPA lorsque l'option -i files est spécifiée), LDAPA servant à l'authentification et le module de base de données servant à l'identification.
9. Crée l'entrée proxy si les options '-x et '-X sont spécifiées. Créez une ACL pour le DN de base en utilisant l'entrée proxy. L'ACL par défaut se trouve dans le fichier /etc/security/ldap/proxyuser.ldif.template . Le système client utilise l'entrée du proxy pour se lier au serveur. Pour plus d'informations, voir la section Configuration du client.
10. Configure le serveur pour qu'il utilise SSL ou TLS si l'option -k est spécifiée pour sécuriser le transfert de données entre ce serveur et les clients. Installez le jeu de fichiers GSKitv8 et créez une clé SSL ou TLS pour cette configuration. Vous pouvez installer le jeu de fichiers 'GSKitv8 après avoir monté le DVD du pack d'extension AIX® 7.3
11. Installe le plug-in du serveur LDAP /usr/ccs/lib/libsecldapaudit.a . Ce plug-in prend en charge AIX l'audit du serveur LDAP.
12. Démarrez ou redémarrez le serveur LDAP une fois que toutes les étapes précédentes sont terminées.
13. Ajoutez le processus du serveur LDAP (slapd) au fichier /etc/inittab pour que le serveur LDAP démarre après le redémarrage.

Note : L'option '-U réinitialise une configuration précédente du fichier de configuration du serveur. Elle n'a aucun effet sur la base de données. La première fois que la commande " mksecldap est exécutée, elle enregistre deux copies du fichier de configuration du serveur dans le répertoire " /etc/security/ldap. Le nom d'une copie du fichier de configuration du serveur est précédé de .save.orig et celui de l'autre copie est précédé de .save. Lors de chaque exécution ultérieure de la commande " mksecldap, seule la configuration actuelle du serveur est enregistrée dans un fichier " .save. L'option undo permet de restaurer le fichier de configuration du serveur avec la copie '.save En AIX 5.3 il est possible de lancer mksecldap -s successivement pour créer et remplir plusieurs suffixes. Si plusieurs suffixes sont créés et remplis, le fichier .save.orig doit être restauré manuellement pour revenir au fichier de configuration initial.

Configuration du client

Assurez-vous que le jeu de fichiers du client LDAP est installé et que le serveur LDAP est configuré et fonctionne. La commande mksecldap exécute les étapes suivantes lors de l'installation du client :

1. Enregistre le nom d'hôte d'un ou de plusieurs serveurs LDAP.
2. Sauvegarde le nom distinctif de base de l'utilisateur et le nom distinctif de base du groupe du serveur. Si l'option -d n'est pas fournie dans la ligne de commande, la commande mksecldap recherche les classes d'objets aixaccount, aixaccessgroup, posixaccount, posixgroup, et aixauxaccount dans le serveur LDAP et configure les DN de base. Si le serveur possède plusieurs bases d'utilisateurs ou de groupes, vous devez fournir à l'option -d un nom distinctif relatif (RDN). La commande mksecldap peut configurer les DN de base en fonction de ceux qui se trouvent dans ce RDN.
   Si la classe d'objets posixaccount est trouvée lors de l'installation du client, la commande mksecldap recherche et enregistre les DN de base pour les entités suivantes du serveur :

   • hosts
   • networks
   • services
   • netgroups
   • protocols
   • rpc
   • authorizations
   • roles
   • privcmds
   • privdevs
   • privfiles
   • usrkeystore
   • grpkeystore
   • efscookies
   • admkeystore
   • domains
   • domobjs
3. Détermine le type de schéma utilisé par le serveur LDAP. Les types de schéma sont les suivants : schéma spécifique à AIX, schéma " RFC 2307, schéma " RFC 2307 avec prise en charge complète d'AIX, ou schéma Microsoft Services for UNIX 3.0 Il définit donc les classes d'objets et les cartes d'attributs dans le fichier /etc/security/ldap/ldap.cfg . La commande mksecldap ne reconnaît pas les autres types de schémas. Vous devez configurer les clients manuellement.

   Si le schéma Microsoft™ services for UNIX® 3.0 est obsolète sur le serveur Active Directory (AD), le schéma Unix est toujours pris en charge si vous spécifiez l'indicateur -g . Les drapeaux -g et -I sont ajoutés pour prendre en charge le client LDAP AIX pour la gestion des utilisateurs et des groupes sur Microsoft Active Directory (MSAD) sans Identity Management for Unix (IDMU Unix attributes plug-in), qui est obsolète à partir de Windows Server 2012R2.

4. Définit le protocole SSL ou TLS pour le transfert sécurisé des données entre cet hôte et le serveur LDAP. Créez à l'avance la clé SSL ou TLS du client et le mot de passe de la clé. Le serveur doit être configuré pour utiliser le SSL ou le TLS pour que le SSL ou le TLS du client fonctionne. Les fonctions SSL ou TLS nécessitent l'installation du jeu de fichiers GSKitv8 . Vous pouvez installer le jeu de fichiers 'GSKitv8 après avoir monté le DVD AIX 7.3 Expansion pack.
5. Chiffre le mot de passe de liaison.
6. Sauvegarde le nom distinctif et le mot de passe de liaison du serveur LDAP. Les paires DN et mot de passe doivent exister sur le serveur LDAP. Si le DN et le mot de passe de liaison ne sont pas indiqués, la commande mksecldap utilise la liaison anonyme. Certaines des données peuvent ne pas être renvoyées par le serveur LDAP avec une liaison anonyme. Avant de choisir un lien anonyme, contactez votre administrateur LDAP.
7. Définit les valeurs de configuration éventuellement spécifiées, comme défini dans la section des indicateurs de configuration du client.
8. Il est possible de définir la liste des utilisateurs ou tous les utilisateurs pour qu'ils utilisent LDAP en modifiant leur ligne système dans le fichier /etc/security/user . Pour plus d'informations sur l'activation de la connexion LDAP, voir Note.
9. Démarre le processus du démon client (secldapclntd ).
10. Ajoute le processus du démon côté client au fichier /etc/inittab pour que ce démon démarre après un redémarrage.

Remarque: toutes les données de configuration du client sont sauvegardées dans le fichier de configuration /etc/security/ldap/ldap.cfg . L'option -U réinitialise une configuration antérieure au fichier /etc/security/ldap/ldap.cfg en remplaçant le fichier par la configuration stockée dans le fichier /etc/security/ldap/ldap.cfg.save . La définition de SYSTEM sur LDAP pour la strophe par défaut de /etc/security/user permet uniquement aux utilisateurs LDAP de se connecter au système. La définition de SYSTEM sur LDAP ou compat permet aux utilisateurs LDAP et aux utilisateurs locaux de se connecter au système.

Indicateurs

Pour la configuration du serveur

Article	Descriptif
-a AdminDN	Indique le nom distinctif de l'administrateur du serveur LDAP.
-d baseDN	Indique le suffixe ou le nom distinctif de base de la sous-arborescence AIX . La valeur par défaut est " cn=aixdata.
-j < ssl | tls | ssltls | none | sslonly > ]	Indique le type de connexion de chiffrement utilisé lors de la communication avec les clients LDAP. Les valeurs valides sont SSL, TLS, SSLTLS et SSL uniquement. Si vous spécifiez les drapeaux -k et -w sans le drapeau -j , le type de connexion par défaut est SSL.
-k Chemin d'accès SSL	Indique le chemin d'accès complet à la base de données de clés SSL ou TLS du serveur.
port-n	Indique le numéro de port que le serveur LDAP écoute. Le numéro de port par défaut est 389 pour les ports non-SSL et 636 pour les ports SSL.
-p adminpasswd	Indique le mot de passe en texte clair pour le nom distinctif de l'administrateur.
schematype-S	Spécifie le schéma LDAP utilisé pour représenter les entrées d'utilisateurs et de groupes dans le serveur LDAP. Les valeurs valables sont AIX, RFC2307, et RFC2307AIX.
-s	Spécifie que la commande est exécutée pour configurer le serveur.
-w SSLkeypasswd	Indique le mot de passe de la base de données de clés SSL ou TLS.
-U	Indique que la configuration précédente du serveur doit être annulée dans le fichier de configuration LDAP. La base de données n'est pas affectée.
-u NONE	Indique de ne pas migrer les utilisateurs et les groupes à partir du système local. La valeur valide est NONE. Toutes les autres valeurs sont ignorées. Lorsque vous spécifiez l'option -u , la commande mksecldap ne crée pas les conteneurs ou=People et ou=Group et n'exporte pas les utilisateurs et les groupes. L'option -S n'est pas nécessaire avec cette option.
-v LDAPVersion	Indique une version spécifique de l'ensemble de fichiers du serveur LDAP à configurer. La valeur doit être au format #.#, où # est un nombre. Par exemple, 6.0. Si vous ne spécifiez pas l'indicateur -v , la commande mksecldap configure la version récente du jeu de fichiers du serveur LDAP qui est installé.
-X proxypasswd	Indique le mot de passe pour le nom distinctif du proxy.
-x proxyDN	Indique le nom distinctif de l'entrée de proxy. Les systèmes clients utilisent l'entrée du proxy pour se lier à ce serveur.

Pour l'installation du client

Article	Descriptif
-a bindDN	Indique le nom distinctif à lier au serveur LDAP. Le nom distinctif doit exister sur le serveur LDAP. Si l'adresse authtype est unix_auth, la variable bindDN doit avoir un accès en lecture au champ mot de passe de l'utilisateur sur le serveur LDAP. Sans l'option -a , la commande mksecldap configure la liaison anonyme. Remarque: certaines données peuvent ne pas être extraites du serveur LDAP avec une liaison anonyme. Pour plus d'informations sur l'utilisation de la liaison anonyme, contactez l'administrateur de votre serveur LDAP.
-A authType	Spécifie le mécanisme d'authentification utilisé pour authentifier les utilisateurs. Les valeurs valides sont unix_auth et ldap_auth. La valeur par défaut est unix_auth. Les définitions des valeurs sont les suivantes : unix_auth Récupère le mot de passe de l'utilisateur sur le serveur LDAP et effectue l'authentification localement. ldap_auth Se lie à un serveur LDAP. Envoi d'un mot de passe en clair pour l'authentification. Remarque : utilisez SSL ou TLS lorsque vous utilisez l'authentification de type ldap_auth, car lors de l'authentification, les mots de passe sont envoyés en texte clair au serveur LDAP.
-c	Indique que la commande est exécutée pour configurer le client.
-C Taille du cache	Indique le nombre maximal d'entrées utilisateur pouvant être utilisées dans le cache du démon côté client. La valeur valide est comprise entre 100 et 65536 pour le cache utilisateur. La valeur par défaut est 1000. Pour le cache de groupe, la plage de validité est comprise entre 100 et 65536. La valeur par défaut est 1000. Si vous définissez l'entrée du cache utilisateur dans la commande start-secldapclntd en utilisant l'option -C , le cache de groupe est défini à 10 % du cache utilisateur.
-D defaultEntryLocation	Indique l'emplacement de l'entrée par défaut. Les valeurs valables sont ldap et local. La valeur par défaut est ldap. Les définitions des valeurs sont les suivantes : ldap Utiliser l'entrée par défaut dans LDAP pour toutes les valeurs par défaut des attributs. locale Utiliser la strophe par défaut du fichier local /etc/security/user pour toutes les valeurs par défaut des attributs.
-d baseDN	Spécifie le DN de base pour que la commande " mksecldap recherche le DN de base de l'utilisateur et le DN de base du groupe. Si vous ne le précisez pas dans la ligne de commande, la recherche porte sur l'ensemble de la base de données.
-g	Spécifie l'activation de la fonction de génération d' identifiants qui génère l'identifiant de l'utilisateur (UID) ou l'identifiant du groupe (GID) lorsque l'annuaire Microsoft Active Directory est utilisé comme serveur LDAP.
liste des serveurs-h	Spécifie une liste de noms d'hôtes (serveurs et serveurs de sauvegarde) séparés par des virgules.
-I domainID	Spécifie l'identifiant de domaine que vous devez utiliser pour générer l'UID ou le GID, lorsque l'indicateur -g est activé. La plage de la valeur domainID est comprise entre 1 et 99. La valeur par défaut de l'option domainID est de 1. Cela permet d'avoir des identifiants uniques dans tous les domaines. Remarque : Lors de la configuration du client, si vous ne définissez pas l'indicateur -I avec l'indicateur -g , la valeur par défaut de 1 est utilisée pour l'indicateur domainID. Une valeur domainID doit être attribuée à chaque domaine AD configuré. L'identifiant unique domainID d'un domaine AD doit être identique dans la configuration du client pour garantir l'unicité de l'UID ou du GID généré dans les domaines AD.
-i databaseModule	Spécifie la configuration de LDAP en tant que module d'authentification seule (LDAPA) d'un module de chargement composé. L'option databaseModule spécifie le module de base de données du module de chargement composé.
-j < ssl | tls >	Indique le type de connexion de chiffrement utilisé lors de la communication avec le serveur LDAP. Les valeurs admises sont SSL et TLS. Si les drapeaux '-k et '-w sont spécifiés sans le drapeau '-j, le type de connexion par défaut est SSL.
-k Chemin d'accès SSL	Indique le chemin d'accès complet à la base de données de clés SSL ou TLS du client.
-M searchMode	Indique l'ensemble des attributs d'utilisateur et de groupe à extraire. Les valeurs valides sont ALL et OS. La valeur par défaut est TOUS. Les définitions des valeurs sont les suivantes : all Récupère tous les attributs d'une entrée. SE Récupère uniquement les attributs d'une entrée requis par le système d'exploitation. Un attribut non-OS comme le numéro de téléphone, les images binaires ne sont pas renvoyées. Note : N'utiliser OS que lorsque les entrées comportent de nombreux attributs non requis par OS ou des attributs de grande valeur. Par exemple, les données binaires, afin de réduire l'effort de tri du serveur LDAP.
-n port serveur	Indique le numéro de port écouté par le serveur LDAP.
-p bindpasswd	Spécifie le mot de passe en texte clair de l'adresse bindDN utilisée pour se connecter au serveur LDAP.
-P NumberofThreads	Spécifie le nombre de threads utilisés par le démon côté client. Les valeurs valables sont comprises entre 1 et 256. La valeur par défaut est 10.
-t cachetimeout	Indique la durée maximale avant l'expiration d'une entrée de cache. Les valeurs valables sont comprises entre 60 et 3600 secondes. La valeur par défaut est de 300 secondes. Réglez cette valeur à 0 pour désactiver la mise en cache. Remarque: L'attribut cachetimeout permet de définir des valeurs pour les attributs usercachetimeout et groupcachetimeout . À partir d'AIX 7.3, l'attribut cachetimeout est obsolète. Vous pouvez utiliser les attributs usercachetimeout et groupcachetimeout à la place.
-T heartBeatInt	Indique l'intervalle de temps du signal de présence entre ce client et le serveur LDAP. Les valeurs valables sont comprises entre 60 et 3600 secondes. La valeur par défaut est 300.
-u liste des utilisateurs	Spécifie la liste des noms d'utilisateur, séparés par des virgules, à activer pour l'authentification LDAP. Les attributs de registre et de système de cette liste d'utilisateurs sont définis pour utiliser le serveur LDAP. Spécifiez ALL pour activer les utilisateurs sur le client. Note : L'attribut système dans la strophe par défaut du fichier /etc/security/user peut être défini comme serveur LDAP pour permettre aux seuls utilisateurs LDAP de se connecter. Si l'attribut du système est défini sur LDAP ou compat, il permet aux utilisateurs LDAP et aux utilisateurs locaux de se connecter au système.
-U	Indique que la configuration précédente du client doit être annulée dans le fichier de configuration du client LDAP.
-w Chemin d'accès au fichier SSLkey	Indique le mot de passe de la base de données de clés SSL ou TLS du client.

Security

Vous devez avoir l'autorisation aix.security.ldap pour utiliser cette commande.

Exemples

1. Pour configurer un serveur LDAP de RFC2307 AIX pour les utilisateurs et les groupes, entrez la commande suivante :

   mksecldap -s -a cn=admin -p adminpwd -S rfc2307aix

   Cette commande configure un serveur LDAP dont le DN de l'administrateur du serveur LDAP est cn=admin et le mot de passe adminpwd. Les données relatives aux utilisateurs et aux groupes sont exportées des fichiers locaux vers le suffixe par défaut cn=aixdata en utilisant le schéma RFC2307AIX.
2. Pour configurer un serveur LDAP avec un DN de base autre que celui par défaut et avec une communication sécurisée SSL, entrez la commande suivante :

   mksecldap -s -a cn=admin -p adminpwd -d o=mycompany,c=us -S rfc2307 -k /usr/ldap/serverkey.kdb
    -w keypwd 

   Cette commande configure un serveur LDAP dont le DN de l'administrateur du serveur LDAP est cn=admin et le mot de passe adminpwd. Les données relatives aux utilisateurs et aux groupes sont exportées des fichiers locaux vers le suffixe o=mycompany, c=us en utilisant le schéma RFC2307. Le serveur LDAP utilise les communications SSL en utilisant la clé qui est stockée dans le fichier /usr/ldap/serverkey.kdb . Fournir le mot de passe de la clé, keypwd.

3. Pour configurer un serveur LDAP de type schéma RFC2307AIX et créer un compte proxy, entrez la commande suivante :

   mksecldap -s -a cn=admin -p adminpwd -d c=us -S rfc2307aix -x cn=proxy,c=us -X proxypwd

   Cette commande configure un serveur LDAP dont le DN de l'administrateur du serveur LDAP est cn=admin et le mot de passe adminpwd. Les données relatives aux utilisateurs et aux groupes sont exportées des fichiers locaux vers le suffixe c=us en utilisant le schéma RFC2307AIX. Une identité proxy est mise en place avec les DN 'cn=proxy, 'c=us et le mot de passe proxypwd. L'ACL spécifiée dans le fichier /etc/security/ldap/proxy.ldif.template est appliquée sur le serveur pour les DN cn=proxy et c=us .

4. Pour annuler une configuration antérieure du serveur, entrez la commande suivante :

   mksecldap -s -U 

   Cette commande annule la configuration précédente du fichier de configuration du serveur.

   Note : Pour des raisons de sécurité, cette commande ne supprime pas les entrées de la base de données ou les bases de données créées lors d'une configuration précédente. Supprimez les entrées de la base de données ou la base de données manuellement si elles ne sont pas nécessaires.
5. Pour configurer un client afin qu'il utilise les serveurs LDAP 'server1.ibm.com et 'server2.ibm.com, entrez la commande suivante :

   mksecldap -c -a cn=admin -p adminpwd -h server1.ibm.com,server2.ibm.com

   Le nom distinctif et le mot de passe de l'administrateur du serveur LDAP sont fournis pour que ce client s'authentifie auprès du serveur. La commande " mksecldap contacte le serveur LDAP pour connaître le type de schéma utilisé et configure le client. Sans l'option '-d de la ligne de commande, l'ensemble du DIT du serveur est recherché pour le DN de base de l'utilisateur et le DN de base du groupe.

6. Pour configurer le client afin qu'il communique avec le serveur LDAP 'server3.ibm.com en utilisant SSL, entrez la commande suivante :

   mksecldap -c -a cn=admin -p adminpwd -h server3.ibm.com -d o=mycompany,c=us 
   -k /usr/ldap/clientkey.kdb -w keypwd -u user1,user2 

   Cette commande configure un client LDAP similaire à l'exemple 3, mais avec une communication SSL. La commande 'mksecldap recherche dans les RDN 'o=mycompany et 'c=us le DN de base de l'utilisateur et le DN de base du groupe. Les comptes user1 et user2 sont configurés pour s'authentifier via LDAP.

   Remarque : l'option -u ALL permet aux utilisateurs LDAP de se connecter à ce client.
7. Pour configurer un client afin qu'il parle à " server4.ibm.com et utilise l'authentification " ldap_auth avec un proxy bind, entrez la commande suivante :

   mksecldap -c -a cn=proxy,c=us -p proxypwd -h server4.ibm.com -A ldap_auth

   Cette commande configure un client LDAP pour qu'il se lie au serveur LDAP avec les DN 'cn=proxy et 'c=us. Comme le DN administrateur n'est pas utilisé, l'accès accordé au client dépend de la configuration de l'ACL sur le serveur LDAP pour le DN cn=proxy, c=us . Le client est configuré pour utiliser l'authentification de type ldap_auth qui envoie les mots de passe en texte clair au serveur LDAP pour comparaison.

   Remarque : utilisez SSL ou TLS lorsque vous utilisez l'authentification de type ldap_auth. Lors de l'authentification, les mots de passe sont envoyés en clair au serveur LDAP.
8. Pour annuler une configuration précédente du client, entrez la commande suivante :

   mksecldap -c -U

   Cette commande annule la configuration précédente du fichier " /etc/security/ldap/ldap.cfg. Cette commande ne supprime pas les entrées " SYSTEM=LDAP et " registry=LDAP du fichier " /etc/security/user.

9. Pour configurer un client en utilisant LDAP comme module d'authentification uniquement et en utilisant des fichiers pour l'identification de l'utilisateur, entrez la commande suivante :

   mksecldap -c -a cn=admin -p adminpwd -h server1.ibm.com -i files -A ldap_auth

   Cette commande met en place un module LDAPA files compound load, dans lequel le module LDAPA est utilisé pour l'authentification des utilisateurs et les fichiers sont utilisés pour l'identification des utilisateurs. L'authentification est définie sur ldap_auth.

10. Pour configurer un client avec la valeur par défaut domainID 1, entrez la commande suivante :

    mksecldap -c -a cn=admin -p adminpwd -h server1.in.ibm.com -d o=mycompany,c=us -A ldap_auth -g

    
11. Pour configurer un client avec l'option explicite domainID 11, entrez la commande suivante :

    mksecldap -c -a cn=admin -p adminpwd -h server1.in.ibm.com -d o=mycompany,c=us -g -I 11

    

Fichiers accédés