Поддержка множественных базовых DN

AIX поддерживает несколько базовых DN. В файле /etc/security/ldap/ldap.cfg можно указать до 10 базовых DN для каждого элемента.

Приоритет базовых DN соответствует порядку их следования в файле /etc/security/ldap/ldap.cfg. В случае со множественными базовыми DN команды AIX выполняют операции в соответствии с приоритетом базовых DN таким образом:
  • Операция запроса (например, в случае вызова команды lsuser) выполняется над базовыми DN в соответствии с их приоритетом, пока не будет найдена совпадающая учетная запись. Если же не совпало ни одно базовое DN, будет возвращено сообщение об ошибке. При запросе ALL будут возвращены все учетные записи каждого базового DN.
  • Операция изменения (например, в случае вызова команды chuser), производится с первой совпадающей учетной записью.
  • Операция удаления (например, в случае вызова команды rmuser), производится с первой совпадающей учетной записью.
  • Операция создания (например, в случае вызова команды mkuser), производится только с первым базовым DN. AIX не поддерживает создание учетных записей для других базовых DN.

Администратор сервера несет ответственность за то, чтобы в базе данных учетных записей отсутствовали конфликты. Если для одной и той же учетной записи существует несколько определений в различных поддеревьях, то видимым для AIX будет только первый из них. Операция поиска возвращает только первую совпадающую учетную запись. Подобным образом операции изменения и удаления производятся только с первой совпавшей учетной записью.

При использовании для настройки клиента LDAP команда mksecldap найдет базовые DN для каждого элемента и сохранит их в файле /etc/security/ldap/ldap.cfg. Когда на сервере для одного элемента существует несколько базовых DN, команда mksecldap случайным образом выбирает одно из них. Для работы AIX с несколькими базовыми DN необходимо изменить файл /etc/security/ldap/ldap.cfg после успешного выполнения команды mksecldap. Найдите соответствующее базовое DN и добавьте требуемое дополнительное базовое DN. AIX поддерживает до 10 базовых DN для каждого элемента. Остальные базовые DN игнорируются.

AIX поддерживает также пользовательские фильтры и область поиска для каждого базового DN. Базовое DN может иметь собственный фильтр и собственную область поиска, которые у других DN могут быть иными. Фильтры можно использовать для определения набора учетных записей, которые видны AIX.

AIX видны только те учетные записи, которые удовлетворяют условиям фильтра.