Gestione utenti LDAP
È possibile gestire utenti e gruppi su un server di informazioni di sicurezza LDAP da qualsiasi client LDAP utilizzando comandi di alto livello.
È possibile gestire utenti e gruppi su un server di informazioni di sicurezza LDAP utilizzando LDAP e altri moduli di carico di autenticazione come DCE, NIS e KRB5 utilizzando comandi di alto livello e la bandiera-R . Per ulteriori informazioni sul flag -R , fare riferimento a ciascuno dei comandi di gestione dell'utente o del gruppo.
Per abilitare un utente all'autenticazione tramite LDAP, eseguire il comando chuser per modificare il valore dell'attributo dell'utente SYSTEM in LDAP. Impostando il valore dell'attributo SYSTEM in base alla sintassi definita, un utente può essere autenticato tramite più di un modulo di caricamento come compat e LDAP. Per ulteriori informazioni sull'impostazione dei metodi di autenticazione degli utenti, consultare l'argomento Autenticazione utente e la sintassi dell'attributo SYSTEM definita nel file /etc/security/user .
Un utente può diventare un utente LDAP al momento dell'impostazione del client eseguendo il comando mksecldap con l'indicatore -u come mostrato in una delle seguenti forme:
mksecldap -c -u user1,user2,...Dove il user1, user2, ... il parametro è un elenco di utenti. Gli utenti in questo elenco possono essere utenti definiti o remoti LDAP. L'attributo SYSTEM è impostato su LDAP in ciascuna stanza degli utenti nel file /etc/security/user . Tali utenti possono essere autenticati solo tramite LDAP. Gli utenti in questo elenco devono esistere sul server delle informazioni di sicurezza LDAP; altrimenti non possono accedere da questo host. Eseguire il comando chuser per modificare l'attributo SYSTEM e consentire l'autenticazione mediante più metodi, ad esempio locale e LDAP.
mksecldap -c -u ALLQuesto comando imposta l'attributo SYSTEM su LDAP in ogni sezione dell'utente nel file /etc/security/user per tutti gli utenti definiti localmente. Tutti questi utenti autenticano solo tramite LDAP. Gli utenti definiti localmente devono esistere sul server delle informazioni di sicurezza LDAP; altrimenti non possono accedere da questo host. Un utente definito sul server LDAP ma non definito localmente non può accedere da questo host. Per consentire a un utente definito da LDAP remoto di accedere da questo host, eseguire il comando chuser per impostare l'attributo SYSTEM su LDAP per tale utente.
In alternativa, è possibile consentire a tutti gli utenti LDAP, definiti localmente o meno, di autenticarsi tramite LDAP su un host locale modificando la stanza "default" del file /etc/security/user per utilizzare "LDAP" come valore. Tutti gli utenti che non dispongono di un valore definito per l'attributo SYSTEM devono utilizzare il valore definito nella stanza predefinita. Ad esempio, se la stanza predefinita ha '"SYSTEM = "compat"", cambiarla con '"SYSTEM = "compat OR LDAP"" consente l'autenticazione di tutti gli utenti LDAP tramite AIX® o LDAP. La modifica della stanza predefinita in "SYSTEM = "LDAP"" consente a questi utenti di autenticarsi esclusivamente tramite LDAP. Gli utenti che hanno un valore di attributo SYSTEM definito non sono interessati dalla stanza predefinita.