LDAP 属性映射文件格式
用途
定义 AIX® 到 LDAP 属性名称的映射,以支持可配置的 LDAP 服务器模式。
描述
这些映射文件由 /usr/lib/security/LDAP 模块和 secldapclntd 守护程序用于将 AIX 属性名称转换为 LDAP 属性名称。 映射文件的每个条目代表一个属性的转换。 一个条目具有五个以空格分隔的字段:
AIX_Attribute_Name AIX_Attribute_Type LDAP_Attribute_Name LDAP_Value_Type LDAP_Value_Unit| 项 | 描述 |
|---|---|
| AIX属性名称 | 指定 AIX 属性名称。 |
| AIX属性类型 | 指定 AIX 属性类型。 值为 SEC_HAR、SEC_INT、SEC_LIST 和 SEC_BOOL。 |
| LDAP 属性名称 | 指定 LDAP 属性名称。 |
| LDAP 值类型 | 指定 LDAP 值类型。 为 s 的值表示单值,m 表示多值。 |
| LDAP 值单元 | 指定某些属性的 LDAP 值单元。 以下值可用于 maxage, minage, max到期和 pwdwarntime 属性:
以下值可用于 cpu, cpu_hard, fsize, fsize_hard, rss, rss_hard, stack和 stack_hard 属性:
以下值可用于 lastupdate 属性:
注: Microsoft Active Directory Server 的属性 (例如
pwdLastSet) 仅在 UTC 单元中存储值,即 Microsoft Active Directory Server 的这些属性值不支持任何其他单元。对于所有其他属性,该值为 N/A。 如果不需要单元映射,那么值也为 N/A。 |
| TO_BE_高速缓存 | 指定是否高速缓存此属性。 有效值为 yes 和 no。 缺省值为 yes。 |
文件
AIX 在 /etc/security/ldap 目录中包含以下属性映射文件集:
针对特定于 AIX 的模式定义了以下属性映射:
| 项 | 描述 |
|---|---|
| aixuser.map | 指定 aixAccount 对象类的映射。 |
| aixgroup.map | 指定对象 aixAccessGroup 类的映射关系。 |
| aixid.map | 指定 aixAdmin 对象类的映射。 |
为 nisSchema (RFC 2307) 定义了下列属性映射:
| 项 | 描述 |
|---|---|
| 2307user.map | 指定 posixAccount 对象类的映射。 |
| 2307group.map | 指定 posixGroup 对象类的映射。 |
为具有 AIX 扩展的 nisSchema 定义了以下属性映射:
| 项 | 描述 |
|---|---|
| 2307aixuser.map | 指定对象 posixAccount 类和对象 aixAuxAccount 类的映射关系。 |
| 2307aixgroup.map | 指定对象 posixGroup 类和对象 aixAuxGroup 类的映射关系。 |
针对 Active Directory with service for UNIX定义了以下属性映射:
| 项 | 描述 |
|---|---|
| sfu30user.map | 指定用户对象类的映射。 |
| sfu30group.map | 指定组对象类的映射。 |
为具有 Windows 2003 R2 模式的 Active Directory 定义了以下属性映射:
| 项 | 描述 |
|---|---|
| sfur2user.map | 指定用户对象类的映射。 |
| sfur2group.map | 指定组对象类的映射。 |
在 LDAP 客户机配置时, mksecldap 命令将自动找出服务器类型并选择要使用的相应映射文件。 如果 LDAP 服务器使用 /etc/security/ldap 目录下的这些映射文件中未包含的模式, 您必须通过创建自己的映射集并编辑 /etc/security/ldap.cfg 文件以使用映射文件来手动配置 LDAP 客户机。
用户和组映射 可能 包含一个用于指定每个用户或组必须具有的必需对象类的条目。 此对象类将在过滤器中用于对用户或组条目执行的搜索。 例如,下面列出了 aix2307user.map 和 aix2307group.map 文件中 keyobjectclass 的缺省条目。
aix2307user.map:
keyobjectclass SEC_CHAR posixgroup s na yes
aix2307group.map:
keyobjectclass SEC_CHAR posixaccount s na yesaixid.map 包含用户和组标识的属性映射。 使用 mkuser 或 mkgroup 命令创建新的 LDAP 用户/组时,将使用这些标识。