Применение связывания Kerberos для клиента LDAP AIX

Клиент LDAP AIX можно настроить для применения исходного связывания Kerberos с сервером LDAP.

Сервер IDS должен быть настроен таким образом, чтобы хост сервера был своим же клиентом.

Тестирование этого примера было выполнено с помощью IDS v 5.1:

  1. Установите набор файлов krb5.client.
  2. Убедитесь, что файл /etc/krb.conf существует и настроен правильным образом. При необходимости вы можете настроить этот файл с помощью команды /usr/sbin/config.krb5.
  3. Найдите файл keytab субъекта связывания и скопируйте его в каталог /etc/security/ldap.
  4. Укажите права доступа 600.
  5. Настройте клиента с помощью команды mksecldap, в которой должны быть указаны DN и пароль связывания. Убедитесь, что команды AIX применимы к пользователям LDAP.
  6. Откройте файл /etc/security/ldap/ldap.cfg и укажите в нем связанные атрибуты Kerberos. В следующем примере применяются субъект связывания ldapproxy и файл keytab ldapproxy.keytab. Для получения прав доступа администратора IDS замените ldapproxy на ldapadmin, а также ldapproxy.keytab на ldapadmin.keytab. 
    useKRB5:yes
krbprincipal:ldapproxy
krbkeypath:/etc/security/ldap/ldapproxy.keytab
krbcmddir:/usr/krb5/bin/
    Теперь DN и пароль связывания можно удалить из файла ldap.cfg или выделить их комментариями, поскольку демон secldapclntd настроен для работы со связыванием Kerberos.
  7. Перезапустите демона secldapclntd.
  8. Теперь файл /etc/security/ldap/ldap.cfg можно распространить на другие клиенты.