Выбор атрибута пароля активного каталога

AIX поддерживает два механизма идентификации: unix_auth и ldap_auth.

Для использования механизма unix_auth необходимо, чтобы пароль активного каталога Microsoft Active Directory (AD) был в зашифрованном формате. При идентификации зашифрованный пароль будет получен из AD и сравнен с зашифрованным представлением пароля, введенного пользователем. Если они совпадают, то идентификация успешна. В режиме ldap_auth AIX идентифицирует пользователя с помощью операции связывания с сервером LDAP, передавая пользовательский профайл и пароль. Пользователь идентифицирован, если операция связывания завершена успешно. AD поддерживает множественные атрибуты пароля пользователя. Различные режимы идентификации AIX требуют указания различных атрибутов пароля пользователя AD.

режим unix_auth

В режиме unix_auth можно использовать следующие атрибуты пароля AD:
  • userPassword
  • unixUserPassword
  • msSFU30Password

Управление паролями в AIX может быть затруднено из-за множественности атрибутов пароля AD. Запоминая, какие атрибуты управления паролями будут использоваться клиентами UNIX, можно запутаться. Возможность преобразования атрибутов LDAP в системе AIX позволяет настроить управление паролями требуемым образом.

По умолчанию при работе AD в Windows 2000 и 2003 AIX использует атрибут msSFU30Password, а в Windows 2003 R2 - userPassword. Для использования другого пароля потребуется изменить файл /etc/security/ldap/sfu30user.map (или файл /etc/security/ldap/sfur2user.map при работе AD в Windows 2003 R2). Найдите строку, которая начинается со слова spassword, и замените значение в третьем поле строки на имя требуемого атрибута пароля AD. Дополнительная информация приведена в разделе Формат файла преобразования атрибута LDAP. Для настройки клиента LDAP AIX после изменения выполните команду mksecldap. Если клиент LDAP AIX уже настроен, то выполните команду restart-secldapclntd для перезапуска демона secldapclntd и применения изменений.

В режиме unix_auth пароль может быть не синхронизирован между Windows и UNIX, что приведет к наличию различных паролей в разных системах. Это происходит при смене пароля с AIX на Windows, поскольку Windows использует атрибут пароля uncodepwd. Команда AIX passwd может сбросить пароль UNIX, в результате чего он станет тем же, что и в Windows, но AIX не поддерживает автоматической смены пароля Windows при изменении пароля UNIX из AIX.

режим ldap_auth

В Active Directory также существует атрибут пароля unicodepwd. Этот атрибут пароля используется системами Windows для идентификации пользователей Windows. В операции связывания с AD следует указывать пароль unicodePwd. Ни один пароль, указанный в режиме unix_auth, не сработает при операции связывания. Если в командной строке указать опцию ldap_auth, то команда mksecldap преобразует атрибут пароля в атрибут AD unicodePwd в настройках клиента без необходимости во внесении изменений вручную.

Преобразуя пароли AIX с атрибутом unicodePwd, пользователи, определенные в AD, могут входить в системы Windows и AIX с одним и тем же паролем. Пароль, сброшенный из системы AIX или Windows, остается действительным как для AIX, так и для Windows.