LDAP 使用者管理

您可以使用高階指令，從任何 LDAP 用戶端管理 LDAP 安全資訊伺服器上的使用者與群組。

您可以透過使用高階指令及 -R 旗標來使用 LDAP 和其他鑑別載入模組（如 DCE、NIS 和 KRB5），以管理 LDAP 安全資訊伺服器上的使用者與群組。如需 -R 旗標的相關資訊，請參閱每一個使用者或群組管理指令。

如果要讓使用者透過 LDAP 進行鑑別，請執行 chuser 指令， 將使用者的 SYSTEM 屬性值改為 LDAP。根據定義的語法來設定 SYSTEM 屬性值，可透過多個載入模組（例如 compat 及 LDAP）來對使用者進行鑑別。如需設定使用者鑑別方法的相關資訊，請參閱「使用者鑑別」主題及 /etc/security/user 檔中定義的 SYSTEM 屬性語法。

使用者可以在用戶端設定時成為 LDAP 使用者，方式是以下列其中一種格式來執行 mksecldap 指令及 -u 旗標：

• mksecldap -c -u user1,user2,...

  其中 user1, user2,... 參數是使用者清單。此清單中的使用者可以是本端定義使用者或遠端 LDAP 定義的使用者。SYSTEM 屬性會在 /etc/security/user 檔中的每一個使用者段落中設為 LDAP。此類的使用者只能透過 LDAP 來進行鑑別。在此清單中的使用者必須位於 LDAP 安全資訊伺服器；否則，他們無法從此主機登入。請執行 chuser 指令，以修改 SYSTEM 屬性，並容許透過多種方法（例如，本端及 LDAP）來進行鑑別。

• mksecldap -c -u ALL

  這個指令會針對所有本端定義的使用者，在每一位使用者於 /etc/security/user 檔的相關段落中，將 SYSTEM 屬性設為 LDAP。所有這類使用者僅能透過 LDAP 進行鑑別。本端定義的使用者必須位於 LDAP 安全資訊伺服器；否則，他們無法從此主機登入。在 LDAP 伺服器上定義但未在本端定義的使用者，無法從此主機登入。若要讓遠端 LDAP 定義的使用者從這台主機登入，請執行 chuser 指令，針對該使用者將 SYSTEM 屬性設為 LDAP。

另外，您可以讓所有 LDAP 使用者 (無論其是否為本端定義的) 在本端主機上透過 LDAP 進行鑑別，方法是修改 /etc/security/user 檔案的「預設」段落，將 "LDAP" 用作其值。所有未定義其 SYSTEM 屬性值的使用者，都必須使用定義於預設段落的值。例如，如果預設段落有 "SYSTEM = "compat""，那麼將其變更為 "SYSTEM = "compat OR LDAP"" 時，就可以透過 AIX® 或 LDAP 來對所有 LDAP 使用者進行鑑別。但如果將預設段落變更為 "SYSTEM = "LDAP""，就只能透過 LDAP 鑑別這些使用者。已定義 SYSTEM 屬性值的使用者不會受到預設段落的影響。