Usando o modo somente de autenticação LDAPA

Editar online

O módulo LDAP é um módulo de função completo que suporta a autenticação de usuários e a identificação de usuários. O módulo LDAPA oferece o modo somente autenticação. O módulo LDAPA é semelhante ao módulo LDAP, mas é possível optar pelo uso do modo somente autenticação.

No modo somente autenticação, o módulo LDAPA deve ser combinado a outro módulo de banco de dados, formando um módulo composto, em vez de um módulo independente. O módulo LDAPA executa a autenticação do usuário, enquanto o segundo módulo faz a identificação. Esse módulo combinado é chamado de módulo composto. Para usar o módulo composto, você deve definir usuários no servidor LDAP e no servidor de banco de dados.

Com o módulo LDAPA, as informações de grupo são obtidas a partir do servidor de banco de dados. Por exemplo, no caso dos arquivos LDAPA, as informações de grupo provêm do arquivo /etc/group local. Caso alguns dos usuários LDAP pertençam apenas a grupos LDAP, você deve criar grupos LDAP correspondentes no servidor de banco de dados antes de configurar o módulo de arquivos LDAPA. Ao criar esse grupo correspondente, é possível evitar casos em que um usuário de arquivos arquivos LDAPA não consegue resolver sua configuração de grupo porque ela não existe no banco de dados.

Nota: O módulo LDAPA não suporta a criação e a remoção de usuários. Para criar um usuário de arquivos LDAPA, o administrador do sistema deve criar um usuário LDAP usando o módulo LDAP e, em seguida, criar o mesmo usuário localmente. Em seguida, o usuário deve ser transformado em usuário de arquivos LDAPA, configurando o SYSTEM do usuário e o registro como LDAPAfiles, usando o comando chuser.

Para configurar o LDAP no modo de autenticação usando o módulo LDAPA, use o comando mksecldap com a opção -i <databaseModule> . Esse comando cria um módulo LDAPA com o conjunto ' options = authonly e um módulo de carga composto LDAPA <databaseModule>.

Por exemplo, para configurar o LDAP para o modo somente autenticação e usar arquivos locais para o módulo de banco de dados, use o exemplo a seguir:

mksecldap -c –h <ldap server> -a <binddn> -p <bind password> -i files

O arquivo /usr/lib/security/methods.cfg é atualizado com o seguinte:

LDAPA:
        program = /usr/lib/security/LDAP
        program_64 =/usr/lib/security/LDAP64
        options = authonly

LDAP:
        program = /usr/lib/security/LDAP
        program_64 =/usr/lib/security/LDAP64

LDAPAfiles:
        options = db=BUILTIN,auth=LDAPA

Na sub-rotina LDAPA, a configuração options = authonly indica que o módulo LDAPA deve ser configurado com o modo somente autenticação. A sub-rotina LDAPAfiles define o módulo de carregamento composto.

O módulo LDAP é retido para a resolução de dados de não usuário/grupo, como RBAC. O módulo LDAP ainda pode ser usado como um módulo de autenticação independente separado do módulo LDAPA.