Konfigurowanie serwera IBM Security Directory Server

Aby skonfigurować system jako serwer informacji o bezpieczeństwie LDAP udostępniający informacje o uwierzytelnianiu, użytkownikach i grupach za pomocą LDAP, należy najpierw zainstalować pakiety serwera i klienta LDAP.

Jeśli wymagana jest obsługa protokołu SSL (Secure Sockets Layer) lub TLS (Transport Layer Security), należy również zainstalować pakiet Global Security Kit w wersji 8 (GSKitV8) dla serwera IBM Security Directory Server w wersji 6.4. Administrator systemu musi utworzyć bazę danych kluczy, korzystając z komendy zarządzania kluczami GSKit. Można użyć komendy gsk8capicmd lub gsk8capicmd_64, która jest dostępna w pakiecie GSKitV8. Więcej informacji na temat konfigurowania obsługi protokołu SSL dla serwera LDAP zawiera sekcja Bezpieczna komunikacja przy użyciu SSL.

Przed skonfigurowaniem klienta należy skonfigurować serwer LDAP. Aby zainstalować i skonfigurować serwer LDAP, wykonaj poniższe działania.
  1. Zainstaluj zestawy plików powiązane z pakietem GSKit jako użytkownik root.
    1. Podłącz dysk DVD z pakietem rozszerzeń systemu AIX 7.2.
    2. Zmień katalog na położenie zestawu plików GSKit.
      cd <punkt_podłączenia>/installp/ppc
  2. Uruchom komendę installp, aby zainstalować wszystkie pakiety GSKit.
    • Aby zainstalować 64-bitowe pakiety GSKit, wprowadź następujące komendy: 
      installp -acXgYd . GSKit8.gskcrypt64.ppc.rte
installp -acXgYd . GSKit8.gskssl64.ppc.rte
    • Aby zainstalować 32-bitowe pakiety GSKit, wprowadź następujące komendy:
      installp -acXgYd . GSKit8.gskcrypt32.ppc.rte
installp -acXgYd . GSKit8.gskssl32.ppc.rte
      Uwaga: W celu zainstalowania zestawów plików GSKit z dysku DVD można także użyć programu SMIT lub SMITTY.
  3. Zainstaluj bazę danych IBM Db2 w wersji 10.5.
    1. Podłącz drugi wolumin (wolumin 2 z 2) dysku DVD systemu AIX 7.2.
    2. Przejdź do katalogu bazy danych IBM Db2 w wersji 10.5.
      cd <punkt_podłączenia>/ismp/ppc/db2_10_05*
    3. Otwórz plik setupaix.bin, aby zainstalować serwer Db2 w folderze /opt/IBM/db2/V10.5 i dodać go do bazy danych VPD (Vital Product Database). Dodanie serwera Db2 do bazy VPD umożliwia komendzie lslpp wyświetlenie serwera Db2 na liście. Jeśli nie jest dostępny graficzny interfejs użytkownika (GUI), można użyć komendy db2_install w celu zainstalowania serwera Db2. 
      ./db2_install
Wybierz domyślny folder instalacyjny: /opt/IBM/db2/V10.5
 lub podaj folder niestandardowy w tym samym systemie.
Wybierz opcję SERVER jako produkt Db2, który ma zostać zainstalowany. 
Wybierz wartość NIE dla opcji Db2 pureScale Feature.
    4. Zastosuj licencję dla bazy danych IBM Db2 w wersji 10.5. Użytkownik musi znajdować się w ścieżce <punkt_podłączenia>/ismp/ppc/db2_10_05* i wykonać następującą komendę:
      <folder_instalacyjny_db2>/adm/db2licm -a ./db2/license/db2ese_t.lic
  4. Zainstaluj klienta idsldap i zestawy plików serwera jako użytkownik root.
    1. Podłącz drugi wolumin (wolumin 2 z 2) dysku DVD systemu AIX 7.2.
    2. Uruchom komendę idsLicense.
      cd <punkt_podłączenia>/license
./idsLicense
  5. Jeśli zgadzasz się na warunki umowy licencyjnej na oprogramowanie, wprowadź cyfrę 1 z poniższej listy dostępnych opcji:
    1: zaakceptowanie umowy licencyjnej.
2: odrzucenie umowy licencyjnej i zakończenie instalacji. 
3: wydrukowanie umowy licencyjnej. 
4: wyświetlenie warunków firm innych niż IBM znajdujących się w umowie licencyjnej. 
99: powrót do poprzedniego ekranu.

    Po zaakceptowaniu warunków umowy licencyjnej na oprogramowanie w katalogu instalacyjnym serwera IBM Security Directory Server tworzony jest plik LAPID i folder licencji. W folderze licencji znajdują się pliki licencji serwera IBM Security Directory Server we wszystkich obsługiwanych językach.

  6. Określ pakiety klienta serwera IBM Security Directory Server idsldap, które należy zainstalować.
    • Dla działania klienta i serwera LDAP bez obsługi SSL należy zainstalować następujące zestawy plików:
      • idsldap.license64
      • idsldap.cltbase64
      • idsldap.clt32bit64
      • idsldap.clt64bit64
      • idsldap.cltjava64
      • idsldap.msg64.en_US
      • idsldap.srvbase64bit64
      • idsldap.srv64bit64
      • idsldap.srvproxy64bit64
    • Dla działania klienta i serwera LDAP z obsługą SSL należy zainstalować następujące zestawy plików:
      • idsldap.license64
      • idsldap.cltbase64
      • idsldap.clt32bit64
      • idsldap.clt64bit64
      • idsldap.clt_max_crypto32bit64
      • idsldap.clt_max_crypto64bit64
      • idsldap.cltjava64
      • idsldap.msg64.en_US
      • idsldap.srvbase64bit64
      • idsldap.srv64bit64
      • idsldap.srvproxy64bit64
      • idsldap.srv_max_cryptobase64bit64
        Uwaga: Funkcjonalność SSL wymaga zainstalowania zestawów plików GSKitv8.
    • Aby uzyskać narzędzie Web Administration Tool serwera IBM Security Directory Server, należy zainstalować następujące zestawy plików:
      • idsldap.webadmin64
      • idsldap.webadmin_max_crypto64 (włączona obsługa SSL)

    Podczas instalacji programu IBM Security Directory Server Web Administration Tool w folderze /opt/IBM/ldap/V6.4/idstools/ znajduje się tylko plik IDSWebApp.war. Niezbędne jest posiadanie obsługiwanej wersji serwera WebSphere Application Server, w którym można wdrożyć plik WAR. Więcej informacji na temat wdrażania programu Web Administration Tool można znaleźć w sekcji Ręczne wdrażanie programu Web Administration Tool.

  7. Uruchom następujące komendy, aby zainstalować pakiety klienta serwera IBM Directory Server idsldap.
    • Aby zainstalować jeden lub więcej pakietów klienta IBM Security Directory Server idsldap, uruchom następujące komendy:
      cd <punkt_podłączenia>/installp/ppc/
installp -acXgYd . <nazwy_pakietów>
    • Aby zainstalować wszystkie pakiety produktu IBM Security Directory Server z bieżącej ścieżki, uruchom następującą komendę:
      installp -acXgYd . idsldap
  8. Sprawdź, czy instalacja serwera IBM Security Directory Server zakończyła się pomyślnie, korzystając z podsumowania instalacji wygenerowanej przez system.
    Uwaga: Do zainstalowania zidentyfikowanych zestawów plików i pakietów z dysku DVD można także użyć programu SMIT lub SMITTY.
  9. Aby skonfigurować serwer, należy uruchomić komendę mksecldap, zastępując wartości odpowiednio do używanego środowiska:
    mksecldap -s -a cn=admin -p hasloadmin -S rfc2307aix

Komenda mksecldap tworzy serwer LDAP i jego bazę danych zaplecza o nazwie ldapdb2, zapełnia ten serwer informacjami o użytkownikach i grupach z hosta lokalnego, a także ustawia nazwę wyróżniającą (DN) i hasło administratora serwera LDAP. Opcjonalnie za pomocą tej komendy można także skonfigurować warstwę SSL dla komunikacji klient/serwer. Komenda mksecldap dodaje także pozycję do pliku /etc/inittab, służącą do uruchamiania serwera LDAP podczas każdego restartu. Więcej informacji na temat komendy mksecldap zawiera temat mksecldap.

Użytkownicy i grupy systemu AIX są zapisywani na serwerze LDAP za pomocą jednego z następujących schematów:
Schemat AIX
Zawiera klasy obiektów aixAccount i aixAccessGroup. Ten schemat udostępnia pełny zestaw atrybutów dla użytkowników i grup systemu AIX.
Schemat RFC 2307
Zawiera klasy obiektów posixAccount, shadowAccount i posixGroup i jest używany w produktach katalogowych wielu dostawców. Schemat RFC 2307 definiuje tylko niewielki podzestaw atrybutów używanych w systemie AIX.
Schemat RFC2307AIX
Zawiera klasy obiektów posixAccount, shadowAccount i posixGroup oraz dodatkowo aixAuxAccount i aixAuxGroup. Klasy obiektów aixAuxAccount i aixAuxGroup udostępniają atrybuty używane przez system AIX, które nie są zdefiniowane w schemacie RFC 2307.

Dla użytkowników i grup zaleca się użycie schematu RFC2307AIX. Schemat RFC2037AIX jest w pełni zgodny ze schematem RFC 2307, a ponadto zawiera atrybuty do obsługi dodatkowej funkcjonalności zarządzania użytkownikami systemu AIX. Serwer IBM® Tivoli Directory Server z konfiguracją schematu RFC2307AIX obsługuje nie tylko klientów LDAP w systemie AIX, ale także innych klientów LDAP w systemach UNIX i Linux zgodnych ze schematem RFC 2307.

Wszystkie informacje o użytkownikach i grupach są zapisywane we wspólnym drzewie w systemie AIX (przyrostek). Domyślnym przyrostkiem jest "cn=aixdata". Komenda mksecldap akceptuje przyrostek dostarczony przez użytkownika podany za pomocą opcji -d. Nazwa poddrzewa tworzonego dla użytkownika, grupy, identyfikatora i tak dalej, znajduje się w pliku konfiguracyjnym sectoldif.cfg. Więcej informacji można znaleźć w pliku sectoldif.cfg.

Drzewo systemu AIX jest chronione przy użyciu listy ACL (Access Control List). Domyślna lista ACL nadaje uprawnienia administratora tylko jednostce określonej w opcji komendy -a jako administrator. Tożsamości serwera proxy można nadać dodatkowe uprawnienia, używając opcji komendy -x i -X. Użycie tej opcji spowoduje utworzenie tożsamości serwera proxy i skonfigurowanie uprawnień dostępu zgodnie z definicją zawartą w pliku /etc/security/ldap/proxy.ldif.template. Utworzenie tożsamości serwera proxy umożliwia klientom LDAP łączenie się z serwerem bez konieczności używania tożsamości administratora i ograniczania uprawnień administratora na serwerze LDAP.

Komendę mksecldap można uruchamiać na serwerze LDAP, który został skonfigurowany do innych celów, na przykład dla informacji o wyszukiwaniu ID użytkownika. W tym przykładzie komenda mksecldap dodaje drzewo systemu AIX i wypełnia istniejący serwer LDAP informacjami o zabezpieczeniach systemu AIX. To drzewo jest chronione listą ACL niezależnie od innych istniejących drzew.
Uwaga: Przed uruchomieniem komendy mksecldap i umieszczeniem tego serwera na serwerze informacji o bezpieczeństwie AIX należy utworzyć kopię zapasową istniejącego serwera informacji o bezpieczeństwie LDAP.

Po pomyślnym skonfigurowaniu serwera informacji o bezpieczeństwie LDAP ten sam host można skonfigurować jako klienta, aby zarządzać użytkownikami i grupami LDAP i umożliwić użytkownikom LDAP logowanie się na tym serwerze.

Jeśli serwer informacji o bezpieczeństwie LDAP nie zostanie pomyślnie skonfigurowany, można wycofać konfigurację, uruchamiając komendę mksecldap z opcją -U. Spowoduje ona odtworzenie pliku ibmslapd.conf lub slapd.conf albo slapd32.conf do stanu sprzed konfiguracji. Po każdej nieudanej próbie wykonania konfiguracji, a przed ponownym uruchomieniem komendy mksecldap, należy uruchomić komendę mksecldap z opcją -U. W przeciwnym razie w pliku konfiguracyjnym mogą pozostać resztki informacji konfiguracyjnych, co może doprowadzić do kolejnej nieudanej próby konfiguracji. Opcja wycofywania, jako środek ostrożności zapewniający bezpieczeństwo, nie wprowadza żadnych zmian w bazie danych (znajdujących się w niej danych), ponieważ baza ta mogła istnieć przed uruchomieniem komendy mksecldap. Jeśli baza danych została utworzona za pomocą komendy mksecldap, należy ją usunąć ręcznie. Jeśli komenda mksecldap dodała dane do wcześniej istniejącej bazy danych, należy zdecydować, jakie kroki należy podjąć w celu przywrócenia normalnego stanu po niepomyślnej próbie konfiguracji.