设置 IBM Security Directory Server

在线编辑

要将系统设置为通过 LDAP 处理认证、用户和组信息的 LDAP 安全信息服务器,必须先安装 LDAP 服务器和客户机软件包。

如果需要安全套接字层 (SSL) 或传输层安全性 (TLS) 支持,那么还必须为 IBM Security Directory Server V 6.4安装 Global Security Kit V 8 (GSKitV8) 软件包。 系统管理员必须使用 GSKit 密钥管理命令创建密钥数据库。 您可以使用随 GSKitV8 软件包提供的 gsk8capicmdgsk8capicmd_64 命令。 有关配置 LDAP 服务器以使用 SSL 的更多信息,请参阅 使用 SSL 进行安全通信 主题。

必须先设置 LDAP 服务器,然后才能设置客户机。 要安装和设置 LDAP 服务器,请完成以下步骤。
  1. 以 root 用户身份安装与 GSKit 相关的文件集。
    1. 安装 AIX 7.2 扩展包 DVD。
    2. 将目录切换到 GSKit 文件集位置。
      cd <mount_point>/installp/ppc
  2. 运行 installp 命令以安装所有 GSKit 程序包。
    • 要安装 GSKit 64 位程序包,请输入以下命令:
      installp -acXgYd . GSKit8.gskcrypt64.ppc.rte
installp -acXgYd . GSKit8.gskssl64.ppc.rte
    • 要安装 GSKit 32 位程序包,请输入以下命令:
      installp -acXgYd . GSKit8.gskcrypt32.ppc.rte
installp -acXgYd . GSKit8.gskssl32.ppc.rte
      注: 您还可以使用 SMIT 或 SMITTY 从 DVD 安装 GSKit 文件集。
  3. 安装 IBM Db2 Database Version 10.5。
    1. 安装 AIX 7.2 DVD 的第二个卷 (2 的卷 2)。
    2. 将目录切换到 IBM Db2 Database Version 10.5 位置。
      cd <mount_point>/ismp/ppc/db2_10_05*
    3. 打开 setupaix.bin 文件以在 /opt/IBM/db2/V10.5 文件夹上安装 Db2 服务器,并将其添加到重要产品数据库 (VPD)。 将 Db2 服务器添加到 VPD 允许 lslpp 命令列出 Db2 服务器。 如果您没有图形用户界面 (GUI) ,那么可以使用 db2_install 命令来安装 Db2 服务器。
      ./db2_install
选择缺省安装文件夹 /opt/IBM/db2/V10.5。
 或在同一系统上提供定制文件夹。
选择 SERVER 作为需要安装的 Db2 产品。 
对于 Db2 pureScale 功能部件,请选择 NO。
    4. 应用 IBM Db2 Database Version 10.5 许可证。 您必须位于 <mount_point>/ismp/ppc/db2_10_05* 路径中,并执行以下命令:
      db2_installation_folder>/adm/db2licm -a ./db2/license/db2ese_t.lic
  4. 以 root 用户身份安装 idsldap 客户机和服务器文件集。
    1. 安装 AIX 7.2 DVD 的第二个卷 (2 的卷 2)。
    2. 运行 idsLicense 命令。
      cd <mount_point>/license
./idsLicense
  5. 如果您同意接受软件许可协议中的条款,请从以下可用选项列表中输入编号 1:
    1: To accept the license agreement.
2: To decline the license agreement and exit the installation. 
3: To print the license agreement. 
4: To read non-IBM terms in the license agreement. 
99: To go back to the previous screen.

    接受软件许可协议中的条款后,将在 IBM Security Directory Server 安装位置中创建 LAPID 文件和许可证文件夹。 license 文件夹包含所有受支持语言的 IBM Security Directory Server 许可证文件。

  6. 确定 IBM Security Directory Serveridsldap需要安装的客户机软件包。
    • 对于非 SSL LDAP 客户机和服务器功能,请安装以下文件集:
      • idsldap.license64
      • idsldap.cltbase64
      • idsldap.clt32bit64
      • idsldap.clt64bit64
      • idsldap.cltjava64
      • idsldap.msg64.en_US
      • idsldap.srvbase64bit64
      • idsldap.srv64bit64
      • idsldap.srvproxy64bit64
    • 对于 SSL LDAP 客户机和服务器功能,请安装以下文件集:
      • idsldap.license64
      • idsldap.cltbase64
      • idsldap.clt32bit64
      • idsldap.clt64bit64
      • idsldap.clt_max_crypto32bit64
      • idsldap.clt_max_crypto64bit64
      • idsldap.cltjava64
      • idsldap.msg64.en_US
      • idsldap.srvbase64bit64
      • idsldap.srv64bit64
      • idsldap.srvproxy64bit64
      • idsldap.srv_max_cryptobase64bit64
        注: SSL 功能需要安装 GSKitv8 文件集。
    • 要获取 IBM Security Directory Server Web Administration Tool ,请安装以下文件集:
      • idsldap.webadmin64
      • idsldap.webadmin_max_crypto64 (SSL enabled)

    安装 IBM Security Directory Server Web Administration Tool 时,仅 /opt/IBM/ldap/V6.4/idstools/ 文件夹中的 IDSWebApp.war 文件。 您必须具有受支持的 WebSphere Application Server 级别,才能在其中部署 WAR 文件。 有关部署 Web 管理工具的更多信息,请参阅 手动部署 Web 管理工具 主题。

  7. 运行以下命令以安装 IBM Directory Server idsldap 客户机软件包。
    • 要安装一个或多个 IBM Security Directory Server idsldap 客户机软件包,请运行以下命令:
      cd <mount_point>/installp/ppc/
installp -acXgYd . <package_names>
    • 要从当前路径安装所有 IBM Security Directory Server 软件包,请运行以下命令:
      installp -acXgYd . idsldap
  8. 使用系统生成的安装摘要验证 IBM Security Directory Server 安装是否成功。
    注: 您还可以使用 SMIT 或 SMITTY 从 DVD 安装标识的文件集和软件包。
  9. 要配置服务器,请通过根据您的环境替换值来运行 mksecldap 命令:
    mksecldap -s -a cn=admin -p adminpwd -S rfc2307aix

mksecldap 命令建立名为 ldapdb2的 LDAP 服务器及其后端数据库,使用来自本地主机的用户和组信息填充 LDAP 服务器。 并设置 LDAP 服务器管理员专有名称 (DN) 和密码。 (可选) 可以为客户机和服务器通信设置 SSL。 mksecldap 命令还会将一个条目添加到 /etc/inittab 文件中,以在每次重新启动时启动 LDAP 服务器。 有关 mksecldap 命令的更多信息,请参阅 mksecldap 主题。

AIX用户和组使用以下模式之一存储在 LDAP 服务器中:
AIX 模式
包含 aixAccountaixAccessGroup 对象类。 此模式为 AIX 用户和组提供完整的属性集。
RFC 2307 模式
包括 posixAccountshadowAccountposixGroup 对象类,由若干供应商的目录产品使用。 RFC 2307 模式仅定义 AIX 使用的一小部分属性。
RFC2307AIX 模式
包括 posixAccountshadowAccountposixGroup 对象类,以及 aixAuxAccountaixAuxGroup 对象类。 aixAuxAccountaixAuxGroup 对象类提供由 AIX 使用但未由 RFC 2307 模式定义的属性。

强烈建议对用户和组使用 RFC2307AIX 模式类型。 RFC2037AIX 模式类型完全符合带有额外属性的 RFC 2307 ,以支持更多 AIX 用户管理功能。 具有RFC2307AIX模式配置的IBM® Tivoli® Directory Server服务器不仅支持AIXLDAP 客户端,还支持其他符合 RFC 2307 标准的 UNIX 和Linux®LDAP 客户端。

所有用户和组信息都存储在公共 AIX 树下 (后缀)。 缺省后缀为“cn=aixdata”。 mksecldap 命令通过 -d 标志来接受用户提供的后缀。 要为用户、组、标识等创建的子树名由 sectoldif.cfg 配置文件控制。 请参阅 sectoldif.cfg 文件以获取更多信息。

AIX 树受 ACL (访问控制表) 保护。 缺省 ACL 使用 -a 命令选项将管理员权限仅授给指定为管理员的实体。 如果使用了 -x-X 命令选项,那么可以将其他权限授予代理标识。 使用这些选项可创建代理身份并配置 /etc/security/ldap/proxy.ldif.template 文件中定义的访问特权。 创建代理身份允许在不使用管理员身份的情况下将 LDAP 客户机绑定至服务器,从而限制 LDAP 服务器上的客户机管理员权限。

可在为其他用途(例如,用于获取用户标识查找信息)而设置的 LDAP 服务器上运行 mksecldap 命令。 在此示例中, mksecldap 将添加 AIX 树,并使用 AIX 安全性信息将其填充到现有 LDAP 服务器。 此树由 ACL 保护,且独立于其他现有树。
注: 您应该先备份现有 LDAP 服务器,然后再运行 mksecldap 命令并将服务器扩展至 AIX 安全信息服务器。

成功设置 LDAP 安全信息服务器后,可将同一主机设置为客户机以管理 LDAP 用户和组并允许 LDAP 用户登录此服务器。

如果 LDAP 安全信息服务器设置不成功,那么可以通过运行带有 -U 标志的 mksecldap 命令来撤销设置。 这会将 ibmslapd.confslapd.confslapd32.conf 文件复原到其预设置状态。 在任何设置尝试失败之后,在再次尝试运行 mksecldap 命令前,运行带有 -U 标志的 mksecldap 命令。 否则,残余的设置信息会保留在配置文件中,并导致后面的设置失败。 作为安全预防措施,撤销选项不会对数据库或其数据执行任何操作,因为在运行 mksecldap 命令之前数据库可能已存在。 如果数据库是通过 mksecldap 命令创建的,那么就手动将其除去。 如果 mksecldap 命令已将数据添加到预先存在的数据库,请决定要执行哪些步骤以从失败的设置尝试中恢复。