Конфигурирование внешнего сервера LDAP для глобальной аутентификации пользователей

Администратор системы конфигурирует внешний сервер LDAP для аутентификации пользователей при помощи утилиты ap_external_ldap. Информацию обо всех опциях команды смотрите в разделе Команда ap_external_ldap.

Прежде чем начать

Прим.:
  • Если включена аутентификация с использованием внешнего каталога Windows AD или LDAP, одно и то же имя пользователя нельзя использовать на локальном и внешнем серверах LDAP.
  • Необходимо вручную удалить /home/<каталог_пользователя> для всех пользователей, удаленных с локального сервера или Windows AD.
Перед тем, как конфигурировать внешний LDAP в системе, соберите следующую информацию:
Хост сервера LDAP и порт
Например: myserver.com и 389
Отличительное имя/Имя домена (DN) каталога LDAP
Например: myldaporg.com
Информация о пользователе привязки
ID пользователя и пароль для пользователя домена LDAP, у которого есть доступ для запроса информации обо всех пользователях и группах. Например: myuseradmin и myadminpasswd
Кроме того, надо решить, использовать ли для соединения с сервером LDAP SSL или TLS.

Процедура

  1. Войдите на узел управления системой как apadmin или как другой участник группы ibmapadmins.
  2. Введите команду ap_external_ldap со следующими аргументами:
    • Если не используется SSL: 
      ap_external_ldap enable --server  ldap://имя_хоста_сервера_AD  --port 389  --search-base-dn "dc=myldaporg,dc=com"  --search_user_dn "cn=usernamwithoutspace, dc=domain,dc=com"  --search_user_password "SearchuserPassword"  --searchfield sAMAccountName
    • Если используется SSL:
      Если вы хотите использовать метод SSL, убедитесь, что в имени хоста в опции --server вы указали ldaps, а в опции --port - порт SSL сервера LDAP, как в следующем примере: 
      ap_external_ldap enable --server  ldaps://имя_хоста_сервера_AD  --port 636  --search-base-dn "dc=myldaporg,dc=com"  --search_user_dn "cn=usernamwithoutspace, dc=domain,dc=com"  --search_user_password "SearchuserPassword"  --searchfield sAMAccountName
    Прим.:
    • В опции --server перед именем хоста должен быть префикс
      • ldap:// (как в ldap://имя_хоста_ad) для конфигурации без SSL
      • ldaps (как в ldaps://имя_хоста_ad) для конфигурации с SSL.
    • В опции --search_user_dn значение в cn или uid не может содержать пробел, а все значения dn должны быть заданы для пользователя (пример - "cn=userwithoutspace, dc=domain,dc=com").
    • В опции --searchfield значение должно быть:
      • для Windows Active Directory Integration: sAMAccountName
      • для сервера OpenLDAP: uid или cn
  3. После успешного выполнения команды проверьте параметры при помощи команды id.
    Например, если user1 - это ID пользователя из базы данных LDAP, следующая команда возвратит ID и информацию о группе этого пользователя:
    id user1
  4. Добавьте пользователей из внешнего каталога в одну из групп ОС платформы, чтобы они могли авторизоваться на платформе: 
    ap_external_ldap usermod [-h] -u имя_пользователя -g {2001,2002}

platform groupid: 2001 для ibmapadmins, 2002 для ibmapusers
    Например, чтобы добавить пользователя с именем myaduser в группу ibmapadmins, введите следующую команду:
    ap_external_ldap  usermod -u myaduser -g 2001
    или в упрощенном синтаксисе:
    ap_external_ldap usermod --group 2001 myaduser