Configurando um cliente LDAP

Editar online

Para configurar um cliente para utilizar LDAP para autenticação e para obter informações sobre usuários e grupos, certifique-se de que o pacote de cliente LDAP esteja instalado em cada cliente. Para informações específicas para instalação do pacote de clientes LDAP, consulte as etapas 3 através de 7. Se o suporte Secure Sockets Layer (SSL) ou Transport Layer Security (TLS) for necessário, o GSKit deverá ser instalado. uma chave deve ser criada, e o certificado de chave SSL do servidor LDAP deve ser adicionado a esta chave. Veja etapas 1 através de 2.

Assim como a configuração do servidor LDAP, a configuração do cliente pode ser feita usando o comando mksecldap. Para que esse cliente entre em contato com o servidor de informações de segurança LDAP, deve-se fornecer o nome do servidor durante a configuração. O bind DN e a senha do servidor também são necessários para o acesso do cliente à árvore AIX no servidor. O comando mksecldap salva o DN de ligação do servidor, senha, nome do servidor, AIX árvore DN no servidor, o caminho e a senha da chave SSL e outros atributos de configuração para o arquivo /etc/security/ldap/ldap.cfg .

O comando mksecldap salva a senha de ligação e a senha da chave SSL (caso o SSL esteja sendo configurado) no arquivo /etc/security/ldap/ldap.cfg em formato criptografado. As senhas criptografadas são específicas de cada sistema e só podem ser usadas pelo daemon secldapclntd no sistema em que são geradas. O daemon secldapclntd pode fazer uso de texto claro ou senha criptografada a partir do arquivo /etc/security/ldap/ldap.cfg .

Durante a configuração do cliente, vários servidores podem ser fornecidos para o comando mksecldap. Nesse caso, o cliente entra em contato com os servidores na ordem definida e estabelece uma conexão com o primeiro servidor com o qual for possível fazer uma ligação bem-sucedida. Em caso de erro de conexão entre o cliente e o servidor, a mesma lógica será utilizada para uma tentativa de solicitação de reconexão. O modelo de exploração LDAP de Segurança não suporta indicações. É importante que os servidores replicados sejam mantidos sincronizados.

O cliente se comunica ao servidor de informações de segurança LDAP por meio de um daemon do lado do cliente (secldapclntd). Se o módulo de carregamento LDAP estiver ativado no cliente, comandos de alto nível são roteados para o daemon através das APIs da biblioteca para usuários definidos no LDAP. O daemon mantém um cache das entradas LDAP solicitadas. Se uma solicitação não for satisfeita a partir do cache, o daemon consulta o servidor, atualiza o cache e retorna as informações para o responsável pela chamada.

Há outras opções de ajuste preciso que podem ser fornecidas ao comando mksecldap durante a configuração do cliente, como configurações em relação ao número de encadeamentos usados pelo daemon, o tamanho de entrada do cache e o tempo limite de expiração do cache. Essas opções devem ser usadas apenas por usuários experientes. Para a maioria dos ambientes, os valores padrão são suficientes.

Nas etapas finais da configuração do cliente, o comando mksecldap inicia o daemon do lado do cliente e inclui uma entrada no arquivo /etc/inittab, para que o daemon seja iniciado a cada reinicialização. Você pode verificar se a configuração é bem-sucedida, verificando o processo do daemon secldapclntd através do comando ls-secldapclntd . Desde que o servidor de informações de segurança LDAP esteja configurado e em execução, este daemon estará em execução se a configuração tiver sido bem-sucedida.

Antes de configurar o cliente, deve-se configurar o servidor de informações de segurança LDAP. Para que seja possível configurar o cliente, os dados migrados devem estar no servidor. Siga estas etapas para instalar e configurar o cliente:
  1. Como usuário raiz, instale os conjuntos de arquivos relacionados ao GSKit.
    1. Monte o DVD do pacote de expansão do AIX 7.2.
    2. Altere o diretório para o local do conjunto de arquivos do GSKit.
      cd <mount_point>/installp/ppc
  2. Execute o comando installp para instalar os pacotes do GSKit.
    • Para instalar os pacotes de 64 bits do GSKit, execute os seguintes comandos:
      installp -acXgYd . GSKit8.gskcrypt64.ppc.rte
installp -acXgYd . GSKit8.gskssl64.ppc.rte
    • Para instalar os pacotes de 32 bits do GSKit, execute os seguintes comandos:
      installp -acXgYd . GSKit8.gskcrypt32.ppc.rte
installp -acXgYd . GSKit8.gskssl32.ppc.rte
      Nota: Você também pode usar SMIT ou SMITTY para instalar os filesets do GSKit do DVD.
  3. Como usuário raiz, instale os clientes idsldap.
    1. Monte o segundo volume (volume 2 de 2) do DVD do AIX 7.2.
    2. Execute o comando idsLicense .
      cd <mount_point>/license
./idsLicense
  4. Caso concorde em aceitar os termos do contrato de licença de software, insira o número 1 da lista de opções disponíveis mostrada a seguir:
    1: To accept the license agreement.
2: To decline the license agreement and exit the installation. 
3: To print the license agreement. 
4: To read non-IBM terms in the license agreement. 
99: To go back to the previous screen.

    Ao aceitar os termos do contrato de licença de software, um arquivo LAPID e uma pasta de licença são criados no local de instalação do IBM Security Directory Server. A pasta de licença contém os arquivos de licença do IBM Security Directory Server em todos os idiomas suportados.

  5. Determine o IBM Security Directory Serveridsldappacotes clientes que você deseja instalar.
    • Para a funcionalidade de cliente LDAP não SSL, instale os seguintes conjuntos de arquivos:
      • idsldap.license64
      • idsldap.cltbase64
      • idsldap.clt32bit64
      • idsldap.clt64bit64
    • Para a funcionalidade de cliente LDAP SSL, instale os seguintes conjuntos de arquivos:
      • idsldap.license64
      • idsldap.cltbase64
      • idsldap.clt32bit64
      • idsldap.clt64bit64
      • idsldap.clt_max_crypto32bit64
      • idsldap.clt_max_crypto64bit64
      Nota: A funcionalidade SSL requer a instalação de filesetas GSKitv8 .
  6. Instale os pacotes de cliente idsldap do IBM Security Directory Server .
    • Para instalar um ou mais dos pacotes de clientes idsldap do IBM Security Directory Server, execute os seguintes comandos:
      cd <mount_point>/installp/ppc/
installp -acXgYd . <package_names>
      Nota: Você também pode usar SMIT ou SMITTY para instalar os arquivos e pacotes identificados a partir do DVD.
  7. Use o resumo de instalação gerado pelo sistema para verificar se a instalação do IBM Security Directory Server foi bem-sucedida.
  8. Para configurar o cliente LDAP, execute o comando a seguir, substituindo os valores de acordo com o ambiente:
    # mksecldap -c -h server1.ibm.com -a cn=admindn -p adminpwd -d cn=basedn