Format du fichier de correspondance des attributs LDAP

Editer en ligne

Objectif

Un fichier de correspondance d'attributs LDAP définit la correspondance entre AIX et les attributs de l'annuaire LDAP. Cela permet au système de traduire les conventions d'appellation locales et les attributs du schéma LDAP.

Descriptif

Les fichiers de cartes sont utilisés par le module /usr/lib/security/LDAP et le démon secldapclntd . Les fichiers map convertissent les noms d'attributs AIX en noms d'attributs LDAP. Chaque entrée d'un fichier de correspondance représente une conversion pour un attribut. Une entrée comporte cinq champs séparés par des espaces.
AIX_Attribute_Name AIX_Attribute_Type LDAP_Attribute_Name LDAP_Value_Type LDAP_Value_Unit
Tableau 1. attributs
Article Descriptif
AIX_Attribute_Name Spécifie le nom de l'attribut AIX.
AIX_Attribute_Type Spécifie le type d'attribut de l'élément AIX. Les valeurs des attributs sont SEC_CHAR, SEC_INT, SEC_LIST, et SEC_BOOL.
LDAP_Attribute_Name Spécifie le nom de l'attribut du LDAP.
LDAP_Value_Type Spécifie le type de valeur du LDAP. Les valeurs des attributs sont s pour une valeur unique et m pour une valeur multiple.
LDAP_Value_Unit Spécifie l'unité de la valeur LDAP pour certains attributs.
  • Les valeurs suivantes sont disponibles pour les attributs maxage, minage, maxexpires et pwdwarntime :
    • Secondes
    • Minutes
    • Heures
    • Jours
    • Semaines
    • Mois
    • Années
  • Les valeurs suivantes sont disponibles pour les attributs cpu, cpu_hard, fsize, fsize_hard, rss, rss_hard, stack, et stack_hard :
    • octets
    • Blocs de 512 octets
    • kilobit
    • mégaoctets
    • Gigaoctets
  • Les valeurs suivantes sont disponibles pour l'attribut lastupdate :
    • Temps universel coordonné (UTC) enregistré en 100 nanosecondes, depuis le 1er janvier 1601.
      Remarque : les attributs du serveur Microsoft Active Directory, tels que pwdLastSet, ne stockent les valeurs que dans l'unité de temps universel coordonné. Ces valeurs d'attribut du serveur Microsoft Active Directory ne prennent pas en charge d'autres unités.
    • début de la modification
      Syntaxe temporelle généralisée (SGT) enregistrée au format YYYYMMDDHHMMSSZ , qui se termine par le format Zulu (Z).
      Note : L'attribut krbLastPwdChange du serveur FreeIPA utilise le SMT YYYYMMDDHHMMSSZ.

      Pour les autres attributs, la valeur est N/A. Si la mise en correspondance des unités n'est pas nécessaire, les valeurs sont N/A.

      fin de la modification
TO_BE_CACHED Indique si cet attribut doit être mis en cache. Les valeurs valables sont oui et non. La valeur par défaut est yes.

Fichiers

AIX comprend les ensembles suivants de fichiers de mise en correspondance d'attributs dans le répertoire /etc/security/ldap :

Les mappages d'attributs suivants sont définis pour le schéma spécifique à AIX :
Tableau 2. Mappage d'attributs
Article Descriptif
aixuser.map Spécifie le mappage de la classe d'objets aixAccount .
aixgroup.map Spécifie le mappage de la classe d'objets aixAccessGroup .
aixid.map Spécifie le mappage de la classe d'objets aixAdmin .
Les correspondances d'attributs suivantes sont définies pour nisSchema (RFC 2307) :
Tableau 3. Mappage d'attributs - nisSchema
Article Descriptif
2307user.map Spécifie le mappage de la classe d'objets posixAccount .
2307group.map Spécifie le mappage de la classe d'objets posixGroup .
Les correspondances d'attributs suivantes sont définies pour nisSchema avec des AIX les extensions :
Tableau 4. Mappage d'attributs
Article Descriptif
2307aixuser.map Spécifie la correspondance entre la classe d'objets posixAccount et la classe d'objets aixAuxAccount .
2307aixgroup.map Spécifie la correspondance entre la classe d'objets posixGroup et la classe d'objets aixAuxGroup .
Les mappages d'attributs suivants sont définis pour Active Directory avec le service UNIX:
Tableau 5. Mappage d'attributs
Article Descriptif
sfu30user.map Indique le mappage de la classe d'objets utilisateur.
sfu30group.map Indique le mappage de la classe d'objets de groupe.
Les mappages d'attributs suivants sont définis pour Active Directory avec le schéma Windows 2003 R2 :
Tableau 6. Mappage d'attributs
Article Descriptif
sfur2user.map Indique le mappage de la classe d'objets utilisateur.
sfur2group.map Indique le mappage de la classe d'objets de groupe.
début de la modificationLes mappages d'attributs suivants sont définis pour Active Directory sans le plug-in SFU :
Tableau 7. Mappage d'attributs
Article Descriptif
msadnosfuuser.map Indique le mappage de la classe d'objets utilisateur.
msadnosfugroup.map Indique le mappage de la classe d'objets de groupe.
fin de la modification

La commande mksecldap lors de la configuration du client LDAP trouve automatiquement le type de serveur et sélectionne les fichiers de mappage correspondants qui doivent être utilisés. Si un schéma utilisé par le serveur LDAP ne figure pas dans les fichiers de mappage du répertoire /etc/security/ldap , configurez manuellement le client LDAP en créant vos propres jeux de mappage. Modifiez le fichier /etc/security/ldap.cfg pour utiliser vos fichiers de cartographie.

Les plans d'utilisateurs et de groupes peuvent contenir une entrée utilisée pour désigner la classe d'objets que chaque utilisateur ou groupe doit posséder. Cette classe d'objets est utilisée dans le filtre pour les recherches effectuées sur les entrées d'utilisateurs ou de groupes. Par exemple, voici les entrées par défaut de keyobjectclass dans les fichiers aix2307user.map et aix2307group.map .

aix2307user.map:
        keyobjectclass  SEC_CHAR        posixgroup      s  na   yes
aix2307group.map:
        keyobjectclass  SEC_CHAR        posixaccount    s  na   yes

Le site aixid.map contient les correspondances d'attributs pour les ID d'utilisateurs et de groupes. Les ID sont utilisés lorsque vous créez un nouvel utilisateur ou groupe LDAP à l'aide de la commande mkuser ou mkgroup .