Управление доступом к хосту с помощью LDAP

В AIX управление доступом к системе организовано на уровне пользователей. Конфигурацию пользователей LDAP можно задать таким образом, что они смогут входить в систему AIX только через LDAP. Для этого атрибуту SYSTEM этих пользователей присваивается значение.

Атрибут SYSTEM находится в файле /etc/security/user. Для изменения его значения можно воспользоваться командой chuser:

# chuser -R LDAP SYSTEM=LDAP registry=LDAP foo

Прим.: Не следует указывать значение LDAP для атрибута SYSTEM в разделе default, если только вы не хотите разрешить всем пользователям LDAP входить в систему.

Эта команда разрешает пользователю foo вход в данную систему. Кроме того, она присваивает атрибуту registry значение LDAP, что позволяет вести протокол попыток пользователя foo войти в систему и выполнять иные операции над пользователем на сервере LDAP.

Если администратору требуется разрешить пользователю LDAP вход в систему на различных клиентах, эту операцию нужно выполнить на каждом из этих клиентов.

Пользователям LDAP можно разрешить вход в систему AIX только с конкретных систем-клиентов LDAP. Эта возможность позволяет осуществлять централизованное управление доступом к хостам. Администратор может создать два списка управления доступом для каждого пользователя: список разрешений и список запретов. Оба списка будут храниться в учетной записи пользователя на сервере LDAP. Пользователю будет разрешен доступ к системам и сетям, указанным в списке разрешений, и запрещен доступ к системам и сетям, указанным в списке запретов. Если система указана и в списке разрешений, и в списке запретов, доступ к ней будет запрещен. Предусмотрено два способа создания списков управления доступом: при создании пользователя (команда mkuser) и при его изменении (с помощью команды chuser). В целях обратной совместимости в случае, если для пользователя не задан ни список разрешений, ни список запретов, ему будет разрешен вход во все системы-клиенты LDAP.

Ниже приведено несколько примеров работы со списками управления доступом:

# mkuser -R LDAP hostsallowedlogin=host1,host2 foo

Эта команда создает пользователя foo, при этом foo может входить в систему только на хостах host1 и host2.

# mkuser -R LDAP hostsdeniedlogin=host2 foo

Эта команда создает пользователя foo, при этом пользователю foo разрешен вход в систему на любых хостах, за исключением host2.

# chuser -R LDAP hostsallowedlogin=192.9.200.1 foo

Эта команда изменяет пользователя foo таким образом, что он может входить в систему только с клиента с адресом 192.9.200.1.

# chuser -R LDAP hostsallowedlogin=192.9.200/24 hostsdeniedlogin=192.9.200.1 foo

Эта команда изменяет пользователя foo таким образом, что ему разрешено входить в систему с любых хостов из подсети 192.9.200/24, за исключением хоста 192.9.200.1.

Дополнительная информация приведена в описании команды chuser.