IBM Security Directory Server beállítása

Egy rendszernek LDAP biztonsági információs szerverként való beállításához, amely a hitelesítést, felhasználói- és csoportinformációkat LDAP-on szolgálja ki, először telepítenie kell az LDAP szerver- és kliens csomagokat.

Ha Védett socket réteg (SSL) vagy Szállítási réteg biztonság (TLS) támogatás szükséges, akkor telepítenie kell a Global Security Kit Version 8 (GSKitV8) csomagot is az IBM Security Directory Server 6.4 változatához. A rendszeradminisztrátornak létre kell hoznia egy kulcsadatbázist a GSKit kulcskezelési parancsával. A GSKitV8 csomaghoz elérhető gsk8capicmd vagy gsk8capicmd_64 parancsot használhatja. Ha további információkra van szüksége arról, hogy hogyan kell az LDAP szervert SSL használatára beállítani, akkor olvassa el a Biztonságos kommunikáció SSL-lel című témakört.

Az ügyfél beállítása előtt be kell állítania az LDAP szervert. Az LDAP szerver telepítéséhez és beállításához tegye a következőket:
  1. Telepítse a GSKit-hez kapcsolódó fájlkészleteket root felhasználóként.
    1. Építse fel az AIX 7.2 bővítőcsomag DVD lemezét.
    2. Váltson a GSKit fájlkészletet tartalmazó könyvtárba.
      cd <mount_point>/installp/ppc
  2. Az összes GSKit csomag telepítéséhez futtassa az installp parancsot.
    • A 64 bites GSKit csomagok telepítéséhez hajtsa végre az alábbi parancsokat: 
      installp -acXgYd . GSKit8.gskcrypt64.ppc.rte
installp -acXgYd . GSKit8.gskssl64.ppc.rte
    • A 32 bites GSKit csomagok telepítéséhez hajtsa végre az alábbi parancsokat:
      installp -acXgYd . GSKit8.gskcrypt32.ppc.rte
installp -acXgYd . GSKit8.gskssl32.ppc.rte
      Megjegyzés: Telepítheti a GSKit fájlkészleteket a SMIT vagy a SMITTY segítségével is a DVD lemezről.
  3. Telepítse az IBM Db2 adatbázis 10.5 változatát.
    1. Építse fel az AIX 7.2 DVD második kötetét 2/2. kötet).
    2. Váltson az IBM Db2 adatbázis 10.5 változatát tartalmazó könyvtárba.
      cd <mount_point>/ismp/ppc/db2_10_05*
    3. Nyissa meg a setupaix.bin fájlt a Db2 szerver telepítéséhez az /opt/IBM/db2/V10.5 mappába és adja azt hozzá a Vital Product Database (VPD) adatbázishoz. A Db2 szerver hozzáadása a VPD adatbázisoz lehetővé teszi az lslpp parancs számára a Db2 szerver listázását. Ha nincs grafikus felhasználói felülete (GUI), akkor a db2_install parancs segítségével telepítheti a Db2 szervert. 
      ./db2_install
Válassza az alapértelmezett telepítési mappát (/opt/IBM/db2/V10.5),
 vagy adjon meg egy egyéni mappát ugyanazon a rendszeren.
Telepítendő Db2 termékként válassza a SERVER elemet.
A Db2 pureScale összetevő esetében válassza a NEM lehetőséget.
    4. Alkalmazz az IBM Db2 Database 10.5 verziószámú licencet. A <mount_point>/ismp/ppc/db2_10_05* útvonalról kell a következő parancsot futtatnia:
      db2_installation_folder>/adm/db2licm -a ./db2/license/db2ese_t.lic
  4. Telepítse az idsldap kliens és a szerver fájlkészleteit root felhasználóként.
    1. Építse fel az AIX 7.2 DVD második kötetét 2/2. kötet).
    2. Futtassa az idsLicense parancsot.
      cd <mount_point>/license
./idsLicense
  5. Ha elfogadja a szoftverlicenc-szerződés feltételeit, akkor válassza az 1-es számot az elérhető opciók alábbi listájából:
    1: A licencszerződés elfogadása.
2: A licencszerződés visszautasítása és kilépés a telepítőből.
3: A licencszerződés nyomtatása.
4: A licencszerződés nem az IBM-hez kapcsolódó feltételeinek elolvasása.
99: Visszatérés az előző képernyőre.

    A szoftverlicenc-szerződés feltételeinek elfogadásakor létrejön a LAPID fájl és egy licencmappa az IBM Security Directory Server telepítési helyén. A licenc mappa az IBM Security Directory Server licencfájlokat az összes támogatott nyelven tartalmazza.

  6. Határozza meg az IBM Security Directory Server idsldap klienscsomagokat, amelyeket telepítenie kell.
    • Nem-SSL LDAP kliens és szerver funkcionalitás esetén a következő fájlkészleteket telepítse:
      • idsldap.license64
      • idsldap.cltbase64
      • idsldap.clt32bit64
      • idsldap.clt64bit64
      • idsldap.cltjava64
      • idsldap.msg64.en_US
      • idsldap.srvbase64bit64
      • idsldap.srv64bit64
      • idsldap.srvproxy64bit64
    • SSL LDAP kliens és szerver funkcionalitás esetén a következő fájlkészleteket telepítse:
      • idsldap.license64
      • idsldap.cltbase64
      • idsldap.clt32bit64
      • idsldap.clt64bit64
      • idsldap.clt_max_crypto32bit64
      • idsldap.clt_max_crypto64bit64
      • idsldap.cltjava64
      • idsldap.msg64.en_US
      • idsldap.srvbase64bit64
      • idsldap.srv64bit64
      • idsldap.srvproxy64bit64
      • idsldap.srv_max_cryptobase64bit64
        Megjegyzés: Az SSL funkcionalitás megköveteli a GSKitv8 fájlkészletek telepítését.
    • Az IBM Security Directory Server Webes adminisztrációs eszközének beszerzéséhez telepítse a következő fájlkészleteket:
      • idsldap.webadmin64
      • idsldap.webadmin_max_crypto64 (SSL támogatással rendelkező)

    Az IBM Security Directory Server Webes adminisztrációs eszközének telepítésekor csak az IDSWebApp.war fájl van az /opt/IBM/ldap/V6.4/idstools/ mappában. Rendelkeznie kell támogatott szintű WebSphere Application Serverrel, ahová telepítheti a WAR fájlt. A Webes adminisztrációs eszköz telepítésével kapcsolatos további információkért olvassa el a Webes adminisztrációs eszköz kézi telepítése című témakört.

  7. Az alábbi parancsok futtatásával telepítse az IBM Directory Server idsldap klienscsomagokat.
    • Ha telepíteni kíván legalább egy IBM Security Directory Server idsldap klienscsomagot, akkor futtassa a következő parancsokat:
      cd <mount_point>/installp/ppc/
installp -acXgYd . <package_names>
    • Ha az IBM Security Directory Server csomagokat az aktuális útvonalról kívánja telepíteni, akkor futtassa a következő parancsot:
      installp -acXgYd . idsldap
  8. Ellenőrizze az IBM Security Directory Server telepítés sikeresességét a rendszer által előállított telepítési összegzés segítségével.
    Megjegyzés: Telepítheti az azonosított fájlkészleteket és csomagokat a SMIT vagy a SMITTY segítségével is a DVD lemezről.
  9. A szerver beállításához futtassa az mksecldap parancsot (az értékeket környezetének megfelelő értékekre cserélve):
    mksecldap -s -a cn=admin -p adminpwd -S rfc2307aix

Az mksecldap parancs kialakítja az LDAP szervert és annak ldapdb2 nevű háttér adatbázisát, feltölti az LDAP szervert a felhasználó és csoport információkkal a helyi hosztról, valamint beállítja az LDAP szerver adminisztrátor megkülönböztetett nevét (DN) és jelszavát. Nem kötelezően beállítja az SSL-t a kliens és szerver kommunikációhoz. Továbbá az mksecldap parancs hozzáad egy bejegyzést az /etc/inittab fájlhoz, hogy az LDAP szerver minden rendszerindításkor elinduljon. Az mksecldap paranccsal kapcsolatos információkért lásd a mksecldap témakört.

Az AIX felhasználók és csoportok az LDAP szerveren az alábbi sémák valamelyikével van tárolva:
AIX séma
Az aixAccount és aixAccessGroup objektumosztályokat tartalmazza. Ez a séma az AIX felhasználók és csoportok teljes attribútumkészletét tartalmazza.
RFC 2307 séma
A posixAccount, shadowAccount és posixGroup objektumosztályt tartalmazza; számos szállító címtár-terméke használja. Az RFC 2307 séma csak az AIX által használt attribútumok egy kis részét definiálja.
RFC2307AIX séma
A posixAccount, a shadowAccount és posixGroup, valamint az aixAuxAccount és aixAuxGroup objektumosztályokat tartalmazza. Az aixAuxAccount és aixAuxGroup objektumosztály azokat az attribútumokat biztosítja, amelyeket az AIX használ, de amelyek nincsenek definiálva az RFC 2307 sémában.

Az RFC2307AIX sématípus használata felhasználók és csoportok esetén nagyon ajánlott. Az RFC2037AIX sématípus az RFC 2307 szabványnak teljesen megfelelő, további attribútumokkal, hogy még több AIX felhasználókezelési funkcionalitást támogasson. Az IBM® Tivoli Directory Server szerver RFC2307AIX séma konfigurációval nem csupán AIX LDAP klienseket, hanem más, RFC 2307 szabványnak megfelelő UNIX és Linux LDAP klienseket is támogat.

A felhasználói- és csoportinformációk teljes köre egy közösAIX fa alatt van tárolva (utótag). Az alapértelmezett utótag a "cn=aixdata". Az mksecldap parancs a -d kapcsolóval fogadja a felhasználó által megadott utótagot. A felhasználó, csoport, azonosító stb. számára létrehozásra kerülő al-fákat a sectoldif.cfg konfigurációs fájl határozza meg. További információkat a sectoldif.cfg fájlban talál.

Az AIX fa ACL (hozzáférés-felügyeleti lista) által védett. Az alapértelmezett ACL csak annak a felhasználónak ad adminisztrátori jogosultságot, aki adminisztrátorként került megadásra az -a parancs kapcsolóval. További jogosultságokat lehet adni egy proxy azonosságnak az -x és -X parancs kapcsoló használatával. A kapcsolók létrehozzák a proxy azonosságot és az /etc/security/ldap/proxy.ldif.template fájl alapján beállítják az azonosság hozzáférési jogosultságait. A proxy azonosság létrehozása lehetővé teszi az LDAP kliensek számára a szerver hozzárendelését az adminisztrátori azonosság használata nélkül, ami korlátozza a kliens adminisztrátor felhatalmazásokat az LDAP szerveren.

Az mksecldap parancsot futtathatja olyan LDAP szerveren, amely más célokra, például felhasználói azonosító kikereséséhez lett beállítva. Ebben a példában az mksecldap hozzáadja az AIX fát feltölti azt az AIX biztonsági információkkal a meglévő LDAP szerverre. Ez a fa ACL által védett, más meglévő fáktól függetlenül.
Megjegyzés: Végezzen biztonsági mentést a meglévő LDAP szerverről, mielőtt futtatná az mksecldap parancsot és kibontaná a szervert egy AIX biztonsági információs szerverre.

Az LDAP biztonsági információs szerver sikeres beállítása után ugyanezt a hosztot beállíthatja kliensként az LDAP felhasználók és csoportok kezeléséhez, és engedélyezheti LDAP felhasználók számára a bejelentkezést erre a szerverre.

Ha az LDAP biztonsági információs szerver beállítása nem sikerül, akkor az mksecldap parancs -U kapcsolóval futtatásával visszavonhatja a beállítást. A parancs visszaállítja az ibmslapd.conf, a slapd.conf vagy a slapd32.conf fájlt a beállítás előtti állapotra. A sikertelen beállítási kísérlet után még az mksecldap parancs ismételt futtatása előtt futtassa az mksecldap parancsot az -U kapcsolóval. Ellenkező esetben beállítási információk maradhatnak a konfigurációs fájlokban, amelyek további sikertelenségeket okozhatnak. A biztonság kedvéért a visszavonás kapcsoló nem csinál semmit az adatbázissal és az adatbázis adataival, mivel az adatbázis már az mksecldap parancs futtatása előtt is létezhetett. Ha az adatbázist az mksecldap parancs hozta létre, akkor távolítsa el manuálisan. Ha az mksecldap parancs egy meglévő adatbázishoz adott hozzá adatokat, akkor döntse el, hogy milyen lépésekkel állítja helyre a sikertelen beállítást.