Настройка клиента LDAP
Для того чтобы настроить клиент таким образом, чтобы он применял протокол LDAP для идентификации и получения информации о пользователях и группах, убедитесь, что на клиенте установлен пакет клиента LDAP. Информацию об установке пакета клиента LDAP см. в описании шагов 3-7. Если необходима поддержка SSL или TLS, то нужно установить GSKit. Необходимо создать ключ и добавить в него сертификат ключа сервера LDAP. См. описание шагов 1-2.
Настройка клиента с помощью команды mksecldap выполняется так же, как и настройка сервера LDAP. Для того чтобы клиент мог обращаться к серверу идентификационной информации LDAP, при настройке нужно указать имя сервера. Кроме того, необходимо задать DN и пароль для связывания с сервером, чтобы клиент мог получить доступ к дереву AIX на сервере. Команда mksecldap сохраняет DN и пароль для связывания с сервером, имя сервера, DN дерева AIX на сервере, путь к ключу SSL, пароль SSL и другие атрибуты конфигурации в файле /etc/security/ldap/ldap.cfg.
Команда mksecldap сохраняет пароль для связывания и пароль SSL (если настроен SSL) в файле /etc/security/ldap/ldap.cfg в зашифрованном виде. Зашифрованные пароли зависимы от системы, т.е. могут применяться только демоном secldapclntd той системы, в которой они создавались. Демон secldapcIntd может применять пароль из файла /etc/security/ldap/ldap.cfg как в виде чистого текста, так и зашифрованный.
Команда mksecldap может настроить клиент для работы с несколькими серверами. В этом случае клиент будет обращаться к серверам в том порядке, в котором они указаны, и будет работать с первым сервером, в которым удастся установить соединение. При сбое соединения между клиентом и сервером оно будет восстанавливаться по той же схеме. Сервер идентификационной информации LDAP не поддерживает переадресацию. Следует помнить о том, что серверы-копии должны быть синхронизированы с главным сервером.
Клиент подключается к серверу идентификационной информации LDAP с помощью демона клиента (secldapcIntd). Если на клиенте задействован загрузочный модуль LDAP, команды высокого уровня смогут обращаться к демону через библиотечные API для пользователей, определенных в LDAP. Этот демон управляет кэшем запрошенных записей LDAP. Если запрошенные данные отсутствуют в кэше, демон запрашивает сервер, обновляет кэш и возвращает информацию инициатору запроса.
В команде mksecldap предусмотрен ряд опций по тонкой настройке клиента - например, число нитей демона клиента, размер записи кэша и срок хранения данных в кэше. Эти опции рассчитаны на опытных пользователей. В большинстве случаев вполне удовлетворительны значения, предусмотренные по умолчанию.
На заключительном этапе настройки клиента команда mksecldap запускает клиентский демон и добавляет команду его запуска в файл /etc/inittab. Критерием успешной настройки является наличие процесса демона secldapcIntd в выводе команды ls-secldapclntd. Если сервер идентификационной информации LDAP настроен и работает, то наличие этого демона будет свидетельствовать об успешной настройке клиента.
- Установите наборы файлов GSKit от имени пользователя root.
- Смонтируйте DVD-диск пакета расширения AIX 7.2.
- Перейдите в каталог, содержащий набор файлов GSKit.
cd <точка-монтирования>/installp/ppc
- Установите пакеты GSKit с помощью команды installp.
- Для установки 64-разрядных пакетов GSKit выполните следующие команды:
installp -acXgYd . GSKit8.gskcrypt64.ppc.rte installp -acXgYd . GSKit8.gskssl64.ppc.rte - Для установки 32-разрядных пакетов GSKit выполните следующие команды:
installp -acXgYd . GSKit8.gskcrypt32.ppc.rte installp -acXgYd . GSKit8.gskssl32.ppc.rteПрим.: Наборы файлов GSKit также можно установить с диска DVD с помощью инструментов SMIT и SMITTY.
- Для установки 64-разрядных пакетов GSKit выполните следующие команды:
- Установите клиенты idsldap от имени пользователя root.
- Смонтируйте второй том (том 2 из 2) диска DVD с AIX 7.2.
- Вызовите команду idsLicense.
cd <точка-монтирования>/license ./idsLicense
- Для того чтобы принять условия лицензионного соглашения о программном обеспечении, выберите 1 в следующем списке вариантов:
1: Принять лицензионное соглашение. 2: Отклонить лицензионное соглашение и выйти из процесса установки. 3: Печать лицензионного соглашения. 4: Прочитать условия сторонних компаний из лицензионного соглашения. 99: Вернуться к предыдущему окну.После принятия условий лицензионного соглашения в каталоге установки IBM Security Directory Server создается папка лицензии и файл LAPID. Папка лицензии содержит файлы лицензии на продукт IBM Security Directory Server на всех поддерживаемых языках.
- Составьте список пакетов клиента idsldap IBM Security Directory Server, которые необходимо установить
- Для использования клиента LDAP без поддержки SSL установите следующие наборы файлов:
- idsldap.license64
- idsldap.cltbase64
- idsldap.clt32bit64
- idsldap.clt64bit64
- Для использования клиента LDAP с поддержкой SSL установите следующие наборы файлов:
- idsldap.license64
- idsldap.cltbase64
- idsldap.clt32bit64
- idsldap.clt64bit64
- idsldap.clt_max_crypto32bit64
- idsldap.clt_max_crypto64bit64
Прим.: Для поддержки SSL необходимо установить наборы файлов GSKitv8.
- Для использования клиента LDAP без поддержки SSL установите следующие наборы файлов:
- Установите пакеты клиента idsldap IBM Security Directory Server.
- Для того чтобы установить один или несколько пакетов клиента
idsldap IBM Security Directory Server, выполните
следующие команды:
cd <точка-монтирования>/installp/ppc/ installp -acXgYd . <имена-пакетов>Прим.: Указанные наборы файлов и пакеты также можно установить с диска DVD, используя инструмент SMIT или SMITTY.
- Для того чтобы установить один или несколько пакетов клиента
idsldap IBM Security Directory Server, выполните
следующие команды:
- Убедитесь в том, что IBM Security Directory Server был успешно установлен, просмотрев созданную системой сводку установки.
- Для настройки клиента LDAP вызовите следующую команду, указав необходимые значения для своей среды:
# mksecldap -c -h server1.ibm.com -a cn=DN-администратора -p пароль-администратора -d cn=базовое-DN