Выбор атрибута члена группы активного каталога

Служба Microsoft для UNIX определяет атрибуты члена группы memberUid, msSFU30MemberUid и msSFU30PosixMember.

Атрибуты memberUid и msSFU30MemeberUid в качестве значений принимают имена учетных записей пользователей, а msSFU30PosixMember - только полное DN. Например, для учетной записи пользователя foo (с фамилией bar), определенной в AD:
  • memberUid: foo
  • msSFU30MemberUid: foo
  • msSFU30PosixMember: CN=foo bar,CN=Users,DC=austin,DC=ibm,DC=com

Операционная система AIX поддерживает все эти атрибуты. Чтобы определить, какой атрибут следует использовать, обратитесь к администратору AD. По умолчанию команда mksecldap настраивает операционную систему AIX для использования атрибута msSFU30PosixMember для AD, выполняющегося в Windows 2000 и 2003, а атрибут uidMember - для AD, выполняющегося в Windows 2003 R2. Различие обусловлено тем, что AD выбирает эти атрибуты при добавлении пользователя в группу в системе Windows. Для поддержки различных платформ деловая стратегия может потребовать изменения атрибута члена группы, который установлен по умолчанию.

Если атрибут члена группы должен быть другим, то преобразование можно изменить путем редактирования файла преобразования группы. Файлом преобразования группы для AD является /etc/security/ldap/sfu30group.map, выполняемый в системах Windows 2000 и 2003, и файл /etc/security/ldap/sfur2group.map - в Windows 2003 R2. Найдите строку, которая начинается со слова users, и замените значение в третьем поле именем требуемого атрибута членов группы. Дополнительная информация приведена в разделе Формат файла преобразования атрибута LDAP. Для настройки клиента LDAP в системе AIX после внесения изменений выполните команду mksecldap, а если система AIX уже настроена, то выполните команду restart-secldapclntd для перезапуска демона secldapclntd и применения изменений.