Обзор удаленного доступа к хранилищам ключей Зашифрованной файловой системы

В этом разделе описываются базы данных Зашифрованной файловой системы (EFS), включение LDAP для команд EFS и доступ к уникальному хранилищу ключей.

Все базы данных хранилища ключей AIX EFS можно хранить в LDAP, включающем следующие базы данных EFS:

  • Хранилище ключей пользователя
  • Хранилище ключей группы
  • Хранилище ключей администратора
  • Cookie

Операционная система AIX предоставляет утилиты для помощи в выполнении следующих задач управления:

  • Экспорт данных локального хранилища ключей на сервер LDAP
  • Настройка клиента для использования данных хранилища ключей EFS и LDAP
  • Управление доступом к данным хранилища ключей EFS
  • Управление данными LDAP из системы клиента

Все команды управления базой данных хранилища ключей EFS могут использовать базу данных хранилища ключей LDAP. Если порядок поиска по всей системе не задан в файле /etc/nscontrol.conf, то операции хранилища ключей зависят от пользователя и атрибута efs_keystore_access группы. Если атрибут efs_keystore_access установлен как ldap, то команды EFS выполняют операции хранилища ключей в хранилище ключей LDAP.

В следующей таблице описаны изменения команд EFS для LDAP.

Табл. 1. Включение команд EFS для LDAP
Команда Информация LDAP
Все команды EFS Когда атрибут efs_keystore_access установлен как ldap, не обязательно использовать специальную опцию -L домен в любой команде для выполнения операций хранилища ключей в LDAP.
efskeymgr Включает в себя опцию -L load_module, так что можно выполнять явно операции хранилища ключей в LDAP.
efsenable Включает в себя опцию -d Basedn, так что можно выполнять начальную установку в LDAP для настройки хранилища ключей EFS. Начальная установка включает в себя добавление базовых отличительных имен (DN) для хранилища ключей EFS и создание локальной структуры каталогов (/var/efs/).
efskstoldif Генерирует данные хранилища ключей EFS для LDAP из следующих баз данных в локальной системе:
  • /var/efs/users/имя_пользователя/keystore
  • /var/efs/groups/имя_группы/keystore
  • /var/efs/efs_admin/keystore
  • Cookies, если они существуют, для всех хранилищ ключей

Все записи хранилища ключей должны быть уникальны. Каждая запись хранилища ключей соответствует DN записи, которая содержит имя группы и пользователя. Система запрашивает ИД пользователей (uidNumber), ИД групп (gidNumber) и DN. Запрос выполняется успешно, когда имена пользователя и группы совпадают с соответствующими DN. Перед созданием или миграцией записей хранилища ключей EFS в LDAP, убедитесь в том, что имена группы и пользователя и ИД в системе уникальны.