Controle de acesso ao host LDAP

Editar online

AIX fornece controle de acesso ao host (login) em nível de usuário para um sistema. Os administradores podem configurar usuários do LDAP para fazer login em um sistema AIX , configurando seu atributo SYSTEM para o LDAP.

O atributo SYSTEM está no arquivo /etc/security/user. O comando chuser pode ser usado para configurar seu valor, semelhante ao seguinte:

# chuser -R LDAP SYSTEM=LDAP registry=LDAP foo

Nota: Com este tipo de controle, não configure o atributo padrão SYSTEM para o LDAP, o que permite que todos os usuários do LDAP façam login no sistema.

Isso configura o atributo LDAP para permitir que o usuário foo efetue login neste sistema. Ele também configura o registro como LDAP, o que permite que o processo de login registre as tentativas de login do foo no LDAP e também permite que qualquer tarefa de gerenciamento de usuários seja feita no LDAP.

O administrador precisa executar essa configuração em cada um dos sistemas do cliente para ativar o login de determinados usuários.

AIX® tem um recurso para limitar um usuário LDAP a fazer login somente em determinados sistemas clientes LDAP. Esse recurso permite o gerenciamento de controle de acesso ao host centralizado. Os administradores podem especificar duas listas de controle de acesso ao host para uma conta do usuário: uma lista de permissões e uma lista de negações. Esses dois atributos do usuário são armazenados no servidor LDAP com a conta do usuário. Um usuário tem o acesso permitido a sistemas ou redes que estão especificados na lista de permissões, enquanto ele tem o acesso negado a sistemas ou redes na lista de negações. Se um sistema for especificado na lista de permissões e na lista de negações, o usuário terá o acesso negado ao sistema. Há duas maneiras de especificar as listas de acesso para um usuário: com o comando mkuser quando o usuário é criado ou com o comando chuser para um usuário existente. Para compatibilidade com versões anteriores, se tanto a lista de permissões quanto a lista de negações não existirem para um usuário, ele terá permissão para efetuar login em qualquer sistema do cliente LDAP por padrão.

Os exemplos de configuração de listas de permissões e negações para usuários são os seguintes:

# mkuser -R LDAP hostsallowedlogin=host1,host2 foo

Isso cria um usuário foo. O usuário foo tem permissão para efetuar login somente no host1 e host2.

# mkuser -R LDAP hostsdeniedlogin=host2 foo

Isso cria o usuário foo. O usuário foo pode efetuar login em qualquer sistema do cliente LDAP, exceto host2.

# chuser -R LDAP hostsallowedlogin=192.9.200.1 foo

Isso configura o usuário foo com permissão para efetuar login no sistema do cliente no endereço 192.9.200.1.

# chuser -R LDAP hostsallowedlogin=192.9.200/24 hostsdeniedlogin=192.9.200.1 foo

Isso configura o usuário foo com permissão para efetuar login em qualquer sistema do cliente na sub-rede 192.9.200/24, exceto o sistema do cliente no endereço 192.9.200.1.

Para obter mais informações, consulte o comando chuser .