Работа с пользователями LDAP

Пользователями и группами на сервере идентификационной информации LDAP можно управлять с любого клиента LDAP с помощью команд высокого уровня.

Для управления пользователями и группами на сервере идентификационной информации LDAP можно использовать LDAP или другие загрузочные модули идентификации, в том числе DCE, NIS и KRB5, используя флаг -R в командах высокого уровня. Более подробная информация об использовании флага -R приведена в описании соответствующих команд управления пользователями и группами.

Для того чтобы разрешить пользователю идентификацию через сервер LDAP, присвойте атрибуту SYSTEM этого пользователя значение LDAP с помощью команды chuser. Атрибуту SYSTEM можно присвоить несколько значений, и тогда пользователь сможет проходить идентификацию через разные загрузочные модули, такие как compat и LDAP. Дополнительная информация о методах идентификации пользователей приведена в разделе Идентификация пользователей и в описании формата атрибута SYSTEM, определяемого в файле /etc/security/user.

Пользователей можно перевести на идентификацию через LDAP при настройке клиента, если указать в команде mksecldap флаг -u:

• mksecldap -c -u пользователь1,пользователь2,...

  Где параметр пользователь1, пользователь2,... задает список пользователей. В этом списке можно указывать как локальных пользователей системы, так и удаленных пользователей LDAP. Атрибуту SYSTEM указанных пользователей в файле /etc/security/user будет присвоено значение LDAP. После этого данные пользователи смогут входить в систему только через LDAP. Указанные пользователи должны быть определены на сервере идентификационной информации LDAP, так как в противном случае они не смогут входить в систему с данного хоста. С помощью команды chuser можно присвоить атрибуту SYSTEM комбинированное значение, чтобы пользователь мог пользоваться разными методами идентификации, например local и LDAP.

• mksecldap -c -u ALL

  Эта команда присваивает атрибуту SYSTEM всех локальных пользователей в файле /etc/security/user значение LDAP. Все эти пользователи смогут входить в систему только через LDAP. Локальные пользователи должны быть определены на сервере идентификационной информации LDAP, так как в противном случае они не смогут входить в систему с данного хоста. Пользователи, определенные на сервере LDAP, но не определенные в локальной системе, также не смогут входить в систему с данного хоста. Для того чтобы разрешить удаленным пользователям LDAP входить в систему с данного хоста, присвойте атрибуту SYSTEM этих пользователей значение LDAP с помощью команды chuser.

Кроме того, можно разрешить вход в систему любым пользователям LDAP, независимо от того, определены ли они в локальной системе. Для этого нужно указать в разделе "default" файла /etc/security/user значение "LDAP" для атрибута SYSTEM. Для всех пользователей, для которых атрибут SYSTEM не задан явно, применяется значение из раздела "default". Например, если в разделе default указан атрибут "SYSTEM = "compat"", то, изменив его на "SYSTEM = "compat OR LDAP"", вы разрешите идентификацию всех пользователей LDAP как средствами AIX, так и через LDAP. Если в разделе default будет указан атрибут"SYSTEM = "LDAP"", то такие пользователи смогут входить в систему только через LDAP. На пользователей, для которых явно задан атрибут SYSTEM, значение этого атрибута из раздела default не распространяется.