Конфигурация сервера LDAP RADIUS

После настройки идентификации пользователей LDAP следует обновить схему сервера LDAP. Администратор сервера LDAP должен добавить соответствующие атрибуты AIX RADIUS, а также классы объектов до того, как определять пользователей LDAP RADIUS.

Для сервера LDAP необходимо указать суффикс. Для RADIUS применяется суффикс cn=aixradius. Суффикс - это отличительное имя, указывающее на корневую запись в структуре каталогов.

При добавлении суффикса на сервере LDAP создается пустой контейнер. Контейнер - это пустая запись, применяемая для разделения пространства имен. Контейнер, в котором можно создавать дочерние записи, аналогичен каталогу файловой системы. Информация из пользовательского профайла добавляется в каталог LDAP с помощью программы SMIT. ИД пользователя и пароль администратора LDAP хранятся в файле /etc/radius/radiusd.conf. При необходимости вы можете изменить их с помощью программы SMIT сервера RADIUS.

Для организации информации, хранящейся в каталоге LDAP, в схеме определяются классы объектов. Класс объектов состоит из набора обязательных и необязательных атрибутов. Атрибуты представлены в виде пар тип=значение, в которых тип определяется уникальным идентификатором объекта (OID), а значение должно соответствовать заданному формату. Каждая запись каталога LDAP представляет собой экземпляр объекта.
Прим.: Класс объектов сам по себе не описывает структуру каталогов или пространство имен. Для этого требуется дополнительно создать записи и присвоить конкретным экземплярам классов объектов уникальные отличительные имена. Например, классу объектов контейнера присвоено уникальное отличительное имя, его можно связать с двумя другими записями, которые представляют собой экземпляры структурных единиц класса объектов. В результате создается древовидная структура или пространство имен.

Классы объектов могут быть связаны не только с сервером RADIUS. Они загружаются из файла ldif. Некоторые атрибуты - это атрибуты существующей схемы LDAP, другие атрибуты характеры только для RADIUS. Новые классы объектов RADIUS являются структурными и абстрактными.

По причинам, связанным с защитой, для связывания с сервером LDAP применяется вызов API SASL ldap_bind_s, который включает в себя DN, способ идентификации CRAM-MD5, а также пароль администратора LDAP. Такой подход предусматривает передачу по сети описателей сообщений вместо паролей. CRAM-MD5 - это механизм защиты, для работы которого не требуется дополнительная настройка взаимодействующих сторон (клиента или сервера).

Прим.: Для всех атрибутов классов объектов допустимо только одно значение.