secldifconv 命令

用途

将 LDIF 的用户和组条目从一种模式类型转换为另一种模式类型。

语法

secldifconv [-R load_module ] -S schematype -iinputFile [ -r ]

描述

secldifconv 命令读取 -i 选项指定的 ldif 格式化输入文件，使用 -S 选项指定的模式类型转换用户和组数据，并将结果显示到标准输出。如果将结果重定向至文件，那么可以使用 ldapadd 命令或 ldif2db 命令将结果添加至 LDAP 服务器。

-S 选项指定用于 ldif 输出的转换模式类型。 secldifconv 命令接受以下模式类型：

AIX-AIX模式（aixaccount 和 aixaccessgroup 对象类）
RFC2307 － RFC 2307 模式（posixaccount、shadowaccount 和 posixgroup 对象类）
RFC2307AIX -具有完整 AIX 支持的 RFC 2307 模式 (posixaccount ， shadowaccount ，和 posixgroup 对象类，以及 aixauxaccount 和 aixauxgroup 对象类)。

用 -i 选项指定的输入文件可以包括以上任何受支持模式中的条目。 secldifconv 命令将根据 /etc/security/ldap/*.map 文件中定义的属性映射转换相应模式类型的用户和组条目。将只转换用户和组条目，其他条目输出时未经更改。

使用 -r 选项允许除去未包括在指定输出模式中的用户和组条目中的属性。如果未指定该选项，那么假定无法识别的属性有效并且在输出时未经更改。请注意，如果在 secldifconv 从其转换的模式（而不是请求转换到其中的模式）中定义了用户或组属性，那么将不输出属性。此行为允许在 AIX 和 RFC2307AIX 模式之间转换为包含部分属性的 RFC2307 模式。

如果 db2ldif 命令用来生成 secldifconv 的输入文件，不带加密前缀的密码以 {IMASK} 格式输出。为了将{imask}格式转换为正确的{crypt}格式，应使用 -R选项指定可加载 I&A 模块，以便从AIX模式类型转换时读取密码，前提是系统先前已配置为 LDAP 客户端。

使用 secldifconv 命令输出将用户和组从其他系统添加到 LDAP 服务器时，应当小心。 ldapadd 和 ldif2db 命令在添加条目时只检查条目名称（用户名或组名），而不检查数字标识。使用 secldifconv 输出以合并多台服务器的用户和组可能导致多个帐户共享一个数字标识，这是安全性违规。请注意，IBMDirectory Server5.2及更高版本支持唯一属性功能，可用于避免此问题。

标志

项	描述
-R 加载模块	指定用来在需要时检索用户密码的可装入的 I&A 模块。
-S 示意图	指定输出 LDAP 模式类型。有效值为 AIX， RFC2307，和 RFC2307AIX。
-i inputFile	指定包含要转换的用户和组数据的 ldif 格式的输入文件。
-r	指定除去未在指定模式类型中定义的任何属性。

退出状态

本命令返回以下退出值：

项	描述
重大安全事件数量	命令成功完成。
> 0	发生错误。
-1	内存故障（即，内存分配故障）。

示例

要将 ldif 格式文件中的条目转换为 rfc2307 模式，请输入以下内容：
```
secldifconv -S rfc2307 -i input.ldif
```
它使转换的文件显示为 ldif 格式的标准输出。用户条目和组条目转换为 rfc2307 模式类型。
要将 ldif 格式文件中的条目转换为 rfc2307aix 模式并除去无法识别的属性，请输入以下内容：
```
secldifconv -R LDAP -S rfc2307aix -i input.ldif -r > convert.ldif
```
它会将命令的输出内容发送到 ldif 格式的 convert.ldif 文件。在转换过程中除去了无法识别的属性，如果需要，将从 LDAP 模块请求用户密码。

位置

/usr/sbin/secldifconv

文件

方式	文件
R	/etc/security/ldap/2307aixgroup.map
R	/etc/security/ldap/2307aixuser.map
R	/etc/security/ldap/2307group.map
R	/etc/security/ldap/2307user.map
R	/etc/security/ldap/aixgroup.map
R	/etc/security/ldap/aixuser.map