Configuration d'un client LDAP

Editer en ligne

Pour configurer un client afin qu'il utilise LDAP pour l'authentification et les informations sur les utilisateurs et les groupes, assurez-vous que le paquetage client LDAP est installé sur chaque client. Pour des informations spécifiques à l'installation du package client LDAP, reportez-vous aux étapes 3 à 7. Si la prise en charge de SSL (Secure Sockets Layer) ou TLS (Transport Layer Security) est requise, GSKit doit être installé. une clé doit être créée et le certificat de clé SSL du serveur LDAP doit être ajouté à cette clé. Voir les étapes 1 à 2.

Comme pour la configuration du serveur LDAP, la configuration du client peut être effectuée à l'aide de la commande mksecldap. Pour que ce client puisse contacter le serveur d'informations de sécurité LDAP, le nom du serveur doit être fourni lors de la configuration. Le DN de liaison et le mot de passe du serveur sont également nécessaires pour l'accès du client à l'arborescence AIX® du serveur. La commande mksecldap sauvegarde le nom distinctif de liaison du serveur, le mot de passe, le nom du serveur, le nom distinctif de l'arborescence AIX sur le serveur, le chemin de clé SSL et le mot de passe, ainsi que d'autres attributs de configuration, dans le fichier /etc/security/ldap/ldap.cfg .

La commande mksecldap enregistre le mot de passe de liaison et le mot de passe de la clé SSL (si vous configurez SSL) dans le fichier /etc/security/ldap/ldap.cfg au format crypté. Les mots de passe chiffrés sont spécifiques au système, et ne peuvent être utilisés que par le daemon secldapclntd sur le système où ils sont générés. Le démon secldapclntd peut utiliser du texte en clair ou un mot de passe chiffré à partir du fichier /etc/security/ldap/ldap.cfg .

Plusieurs serveurs peuvent être fournis à la commande mksecldap lors de la configuration du client. Dans ce cas, le client contacse les serveurs dans l'ordre indiqué et établit une connexion avec le premier serveur auquel le client peut se connecter. Si une erreur de connexion se produit entre le client et le serveur, une demande de reconnexion est effectuée à l'aide de la même logique. Le modèle d'exploitation LDAP de sécurité ne prend pas en charge le renvoi. Il est important que les serveurs de réplication soient synchronisés.

Le client communique avec le serveur d'informations de sécurité LDAP via un démon côté client (secldapclntd). Si le module de chargement LDAP est activé sur le client, les commandes de haut niveau sont acheminées vers le démon via les API de bibliothèque pour les utilisateurs définis dans LDAP. Le daemon gère une mémoire cache des entrées LDAP demandées. Si une demande n'est pas satisfaite par le cache, le démon interroge le serveur, met à jour le cache et renvoie les informations à l'appelant.

D'autres options de réglage fin peuvent être fournies à la commande mksecldaplors de la configuration du client, telles que les paramètres pour le nombre de threads utilisés par le daemon, la taille de l'entrée du cache et le délai d'expiration du cache. Ces options s'offrent uniquement aux utilisateurs expérimentés. Pour la plupart des environnements, les valeurs par défaut sont suffisantes.

Dans les dernières étapes de la configuration du client, la commande mksecldap démarre le démon côté client et ajoute une entrée dans le fichier /etc/inittab pour que le daemon démarre à chaque redémarrage. Vous pouvez vérifier si la configuration a abouti en vérifiant le processus démon secldapclntd à l'aide de la commande ls-secldapclntd . Si le serveur d'informations de sécurité LDAP est configuré et en cours d'exécution, ce daemon sera en cours d'exécution si la configuration a abouti.

Le serveur d'informations de sécurité LDAP doit être configuré avant de configurer le client. La configuration du client dépend des données migrées sur le serveur. Pour installer et configurer le client, procédez comme suit :
  1. Installez les ensembles de fichiers associés à GSKit en tant qu'utilisateur root.
    1. Montez le DVD du module d'extension AIX 7.2.
    2. Remplacez le répertoire par l'emplacement de l'ensemble de fichiers GSKit.
      cd <mount_point>/installp/ppc
  2. Exécutez la commande installp pour installer les modules GSKit.
    • Pour installer les modules GSKit 64 bits, entrez les commandes suivantes :
      installp -acXgYd . GSKit8.gskcrypt64.ppc.rte
installp -acXgYd . GSKit8.gskssl64.ppc.rte
    • Pour installer les modules GSKit 32 bits, entrez les commandes suivantes :
      installp -acXgYd . GSKit8.gskcrypt32.ppc.rte
installp -acXgYd . GSKit8.gskssl32.ppc.rte
      Remarque: Vous pouvez également utiliser SMIT ou SMITTY pour installer les ensembles de fichiers GSKit à partir du DVD.
  3. Installez les clients idsldap en tant qu'utilisateur root.
    1. Montez le deuxième volume (volume 2 de 2) du DVD AIX 7.2.
    2. Exécutez la commande idsLicense .
      cd <mount_point>/license
./idsLicense
  4. Si vous acceptez d'accepter les termes du contrat de licence logicielle, entrez le numéro 1 dans la liste suivante des options disponibles :
    1: To accept the license agreement.
2: To decline the license agreement and exit the installation. 
3: To print the license agreement. 
4: To read non-IBM terms in the license agreement. 
99: To go back to the previous screen.

    En acceptant les termes du contrat de licence logicielle, un fichier LAPID et un dossier de licence sont créés dans l'emplacement d'installation d' IBM Security Directory Server. Le dossier de licence contient les fichiers de licence IBM Security Directory Server dans toutes les langues prises en charge.

  5. Détermination du serveur IBM Security Directory Serveridsldaples packages client que vous souhaitez installer.
    • Pour les fonctionnalités du client et du serveur LDAP non SSL, installez les ensembles de fichiers suivants :
      • idsldap.license64
      • idsldap.cltbase64
      • idsldap.clt32bit64
      • idsldap.clt64bit64
    • Pour les fonctionnalités du client et du serveur LDAP SSL, installez les ensembles de fichiers suivants :
      • idsldap.license64
      • idsldap.cltbase64
      • idsldap.clt32bit64
      • idsldap.clt64bit64
      • idsldap.clt_max_crypto32bit64
      • idsldap.clt_max_crypto64bit64
      Remarque: La fonctionnalité SSL requiert l'installation des ensembles de fichiers GSKitv8 .
  6. Installez les paquets client IBM Security Directory Server idsldap.
    • Exécutez les commandes suivantes pour installer les paquets client IBM Directory Server idsldap.
      cd <mount_point>/installp/ppc/
installp -acXgYd . <package_names>
      Remarque: Vous pouvez également utiliser SMIT ou SMITTY pour installer les ensembles de fichiers et les packages identifiés à partir du DVD.
  7. Vérifiez si l'installation d' IBM Security Directory Server a réussi à l'aide du récapitulatif d'installation généré par le système.
  8. Pour configurer le client LDAP, exécutez la commande suivante en remplaçant les valeurs en fonction de votre environnement :
    # mksecldap -c -h server1.ibm.com -a cn=admindn -p adminpwd -d cn=basedn