LDAP 伺服器
mksecldap -s 指令會將 AIX® 系統設為適用於安全鑑別及資料管理的 LDAP 伺服器。
請執行下列作業:
- 使用 RFC2307AIX 綱目與 -S 選項搭配。
- 使用 -k 選項,將伺服器設為使用 Secure Sockets Layer (SSL)。此動作需要安裝 GSKit 第 8 版檔案集及 idsldap.clt_max_crypto32bit63.rte 檔案集(針對 32 位元系統),或 idsldap.clt_max_crypto64bit63.rte 檔案集(針對 64 位元系統)。請使用 ikeyman 公用程式,以產生目錄伺服器的金鑰組。
LDAP 使用者選項必須設定為符合評估的需求。RFC2370AIX 綱目定義使用者屬性。請使用 BAS/EAL4+ 系統配置中說明的相同值。系統不會強制 Tivoli® Directory Server 管理者定期變更其密碼(例如,管理密碼沒有 MaxAge 值)。因此,LDAP 管理密碼必須與 AIX 使用者一樣經常變更 (MaxAge = 8 (以週為單位))。
在 Tivoli Directory Server 6.3 中,鑑別失敗處理並不適用於「目錄管理者」或管理群組的成員。密碼組合規則也不適用於管理帳戶。如果使用 Tivoli Directory Server 6.3,則需要強制執行這些規則。
如果管理者沒有使用共同的 LDAP 資料庫後端來進行使用者管理,則管理者必須確定包含使用者認證的資料庫在某個網路的不同 TCP Offload Engine (TOE) 系統部分之間維持一致。範例如下所示:
- /etc/group
- /etc/passwd
- /etc/security/.ids
- /etc/security/.profile
- /etc/security/environ
- /etc/security/group
- /etc/security/limits
- /etc/security/passwd
- /etc/security/user