ldap.cfg 文件格式
用途
secldapclntd LDAP 客户机端守护程序配置文件。
描述
/etc/security/ldap/ldap.cfg 文件包含用于 secldapclntd 守护程序正常启动和运行的信息以及用于微调守护程序性能的信息。 客户机设置时的 mksecldap 命令将更新 /etc/security/ldap/ldap.cfg 文件。
/etc/security/ldap/ldap.cfg 文件可能包含以下字段:
| 项 | 描述 |
|---|---|
| ldapservers | 指定以逗号分隔的轻量级目录访问协议 (LDAP) 安全性信息服务器列表。 这些服务器可以是主服务器,也可以是主服务器的副本。 列表中的第一个服务器具有最高优先级。 |
| binddn | 指定用于绑定到一个或多个 LDAP 安全信息服务器的专有名称 (DN) LDAP。 |
| bindpwd | 指定 binddn的密码。 |
| authtype | 指定要使用的认证机制。 有效值为 unix_auth 和
ldap_auth。 缺省值为 unix_auth。
|
| useSSL | 指定是否要使用 SSL 通信。 有效值为 yes, SSL, TLS, NONE 和 no。 缺省值为 no。 注: 您需要该密钥的 SSL 密钥和密码才能启用此功能。
|
| ldapsslkeyf | 指定 SSL 密钥或 TLS 密钥的完整路径。 |
| ldapsslkeypwd | 指定 SSL 密钥或 TLS 密钥的密码。 注: 注释掉此行以使用隐藏的密码。 密码隐藏文件必须与 SSL 或 TLS 密钥位于同一目录中。 密码隐藏文件必须与密钥文件同名,但扩展名为 .sth 而不是 .kdb。
|
| useKRB5 | 指定是否将 Kerberos 用于与服务器的初始绑定。 有效值为 是 或 不。 缺省值为 no。 注: 要启用此功能,需要 Kerberos 主体,密钥路径和 kinit 命令目录。 如果启用了 Kerberos 绑定,那么不需要 binddn 和 bindpwd 。
|
| krbprincipal | 指定用于绑定到服务器的 Kerberos 主体。 |
| krbkeypath | 指定 Kerberos 密钥表的路径。 缺省值为 /etc/security/ldap/krb5.keytab。 |
| krbcmddir | 指定包含 Kerberos kinit 命令的目录。 缺省值为 /usr/krb5/bin/。 |
| pwdalgorithm | 指定用于 unix_auth 方式的密码加密算法。 ldap_auth 方式将忽略此属性。 有效值为 crypt 或 system。 缺省值为 克里普特。
|
| userattrmappath | 指定用户的 AIX®-LDAP 属性映射的完整路径。 |
| groupattrmappath | 指定到组的 AIX-LDAP 属性映射的完整路径。 |
| idattrmappath | 指定到标识的 AIX-LDAP 属性映射的完整路径。 这些标识由 mkuser 命令用于创建 LDAP 用户。 |
| userbasedn | 指定用户基本 DN。 有关更多信息,请参阅 详细信息。 |
| groupbasedn | 指定组基本 DN。 有关更多信息,请参阅 详细信息。 |
| idbasedn | 指定标识基本 DN。 有关更多信息,请参阅 详细信息。 |
| hostbasedn | 指定主机基本 DN。 有关更多信息,请参阅 详细信息。 |
| servicebasedn | 指定服务基本 DN。 有关更多信息,请参阅 详细信息。 |
| protocolbasedn | 指定协议基本 DN。 有关更多信息,请参阅 详细信息。 |
| networkbasedn | 指定网络基本 DN。 有关更多信息,请参阅 详细信息。 |
| netgroupbasedn | 指定网络组基本 DN。 有关更多信息,请参阅 详细信息。 |
| rpcbasedn | 指定 RPC 基本 DN。 有关更多信息,请参阅 详细信息。 |
| aliasbasedn | 指定别名基本 DN。 有关更多信息,请参阅 详细信息。 |
| automountbasedn | 指定自动安装的基本 DN。 有关更多信息,请参阅 详细信息。 |
| bootparambasedn | 指定 bootparams 基本 DN。 有关更多信息,请参阅 详细信息。 |
| etherbasedn | 指定以太网基本 DN。 有关更多信息,请参阅 详细信息。 |
| authbasedn | 指定授权基本 DN。 有关更多信息,请参阅 详细信息。 |
| rolebasedn | 指定角色基本 DN。 有关更多信息,请参阅 详细信息 |
| privcmdbasedn | 指定特权命令基本 DN。 有关更多信息,请参阅 详细信息 |
| privdevbasedn | 指定特权设备基本 DN。 有关更多信息,请参阅 详细信息 |
| privfilebasedn | 指定特权文件基本 DN。 有关更多信息,请参阅 详细信息 |
| domainbasedn | 指定域基本 DN。 有关更多信息,请参阅 详细信息 |
| domobjbasedn | 指定域对象基本 DN。 有关更多信息,请参阅 详细信息 |
| tsddatbasedn | 指定文件的可信签名数据库基本 DN。 有关更多信息,请参阅 详细信息。 |
| tepoliciesbasedn | 指定机器的可信执行策略基本 DN。 有关更多信息,请参阅 详细信息。 |
| userclasses | 指定用于用户条目的对象类的列表 (以逗号分隔)。 有关更多信息,请参阅 详细信息。 |
| groupclasses | 指定用于组条目的对象类的列表 (以逗号分隔)。 有关更多信息,请参阅 详细信息。 |
| ldapversion | 指定 LDAP 服务器协议版本。 缺省值是 3。 |
| ldapport | 指定 LDAP 服务器进行侦听时所使用的端口。 缺省值为 389。 此外, TLS 使用此端口作为缺省端口。 |
| ldapsslport | 指定 LDAP 服务器侦听所使用的 SSL 端口。 缺省值是 636。 |
| followaliase | 指定是否遵循别名。 有效值为 从不, 正在搜索, 发现和 始终。 缺省值为 NEVER。 |
| usercachesize | 指定用户高速缓存大小。 有效值为 100 到 65536 个条目。 缺省值为 1000。 |
| groupcachesize | 指定组高速缓存大小。 有效值为 10-65536 个条目。 缺省值为 100。 |
| cachetimeout | 指定用于用户和组的高速缓存 TTL (生存时间)。 该值必须大于或等于 0 秒。 缺省值为 300。 设置为 0 以禁用高速缓存。 注: cachetimeout 字段是不推荐使用的属性。 您可以改为使用 usercachetimeout 和 groupcachetimeout 属性。
|
| usercachetimeout | 指定用于用户的高速缓存 TTL (生存时间)。 该值必须大于或等于 0 秒。 缺省值为 300。 设置为 0 以禁用用户高速缓存。 指定时,此值将覆盖 cachetimeout 设置。 |
| groupcachetimeout | 为组指定高速缓存 TTL (生存时间)。 该值必须大于或等于 0 秒。 缺省值为 300。 设置为 0 以禁用组高速缓存。 指定时,此值将覆盖 cachetimeout 设置。 |
| ldapsizelimit | 指定要在 ALL 查询中向 LDAP 服务器请求的最大条目数。 缺省值为 0 (无限制)。 如果 ldapsizelimit 大于服务器大小限制,那么服务器大小会限制返回的条目数。 将 ldapsizelimit 设置为较小的数字会提高某些命令的性能。 例如, lsuser -R LDAP ALL 命令。 |
| heartbeatinterval | 指定客户机联系服务器以获取服务器状态的时间间隔 (以秒计)。 有效值为 5-3,600 秒。 缺省值为 300。 |
| numberofthread | 指定 secldapclntd 守护程序的线程数。 有效值为 1-256。 缺省值为 10。 |
| nsorder | 指定 secldapclntd 守护程序解析主机名的顺序。 缺省顺序为 dns, nis和 local。 有关有效解析器的更多信息,请参阅 TCP/IP 名称解析。 注: 请勿使用 nis_ldap ,因为它可能导致 secldapclntd 守护程序挂起。
|
| searchmode | 指定要检索的用户和组属性集合。 此属性旨在用于性能方面的原因。 可能未启用 AIX 命令以支持所有非操作系统属性。 有效值为 ALL 和 OS。 缺省值为 ALL。
|
| defaultentrylocation | 指定代理条目的位置。 有效值是 ldap 和 local。 缺省值为 ldap。
|
| ldaptimeout | 指定对服务器的 LDAP 客户机请求的超时时间段 (以秒计)。 此值确定客户机等待来自 LDAP 服务器的响应的时间长度。 有效范围为 0-3600 (1 小时)。 缺省值为 60 秒。 将此值设置为 0 以禁用超时。 |
| connectionsperserver | 指定与 LDAP 服务器的连接的最大数目。 如果指定的值大于 numberofthread 字段中的值,那么 secldapclntd 字段将改为使用 numberofthread 字段的值。 secldapclntd 守护程序从一个连接开始,并在高 LDAP 请求需求时动态地将新连接添加到 connectionsperserver 字段中,并在低需求时关闭空闲连接。 此字段的有效值范围 1 从 1 到 100。 缺省值为 10。 |
| connectionmissratio | 指定第一次尝试时可能不命中 LDAP 句柄的 LDAP 操作的百分比 (handle-miss)。 如果错过的尝试次数达到此值,那么 secldapclntd 守护程序将添加新的连接。 连接总数不超过 connectionsperserver 字段的值。 此字段的有效值范围是从 10 到 90。 缺省值为 50。 |
| newconnT | 指定要检查连接不命中比率 (connectionmissratio) 以确定是否需要创建新连接的时间间隔。 |
| connectiontimeout | 指定在 secldapclntd 守护程序关闭与服务器的 LDAP 连接之前,该连接可以处于空闲状态的时间 (以秒计)。 有效值为 5 秒或 5 的值。 缺省值为 300 秒。 |
| serverschematype | 指定该 LDAP 服务器的模式类型。 mksecldap 命令在 LDAP 客户机配置时设置 serverschematype 字段。 请不要修改此属性。 有效值为 rfc2307aix, rfc2307, aix, sfu30和 sfur2。 |
| enableutf8_xlation | 此字段支持以 UTF-8 格式将数据保存到 LDAP 服务器。 有效的值是 yes 和 no。 缺省值为 no。 |
| rbacinterval | 指定 secldapclntd 守护程序调用 setkst 命令以更新内核 RBAC 表的时间间隔 (以秒计)。 此值必须大于 60 秒。 将值设置为 0 以禁用 setkst 命令。 缺省值为 3600。 |
| useprivport | 指定是否使用本地特权端口来连接到 LDAP 服务器。 有效值为: 是 和 不。 缺省值为 no。 useprivport 属性仅与较早版本兼容。 |
| memberfulldn | 指定是否使用组成员的 DN 或帐户名称。 有效值为: 是 和 不。 缺省值为 no。 通常在使用帐户名称时,请勿更改 memberfulldn 属性的值。 如果需要 DN 格式的组成员,请将值设置为 yes。 为了与较早版本兼容,如果 LDAP 服务器为 Active Directory,那么组成员属性将映射到 msSFU30PosixMember 成员。 无论此设置如何, secldapclntd 守护程序始终使用 DN 格式。 |
| pwdpolicydn | 指定 LDAP 服务器的全局密码策略的 DN。 secldapclntd 守护程序使用此策略条目来通知用户使用不合规密码时的错误。 如果指定了密码策略,那么将使用指定的策略来代替全局策略。 |
| usrkeystorebasedn | 指定用户的 EFS PKCS#12 密钥库基本 DN。 有关更多信息,请参阅 详细信息。 |
| grpkeystorebasedn | 指定组的 EFS PKCS#12 密钥库基本 DN。 有关更多信息,请参阅 详细信息。 |
| efscookiesbasedn | 指定 EFS Cookie 基本 DN。 有关更多信息,请参阅 详细信息。 |
| admkeystorebasedn | 指定 EFS 管理员的 PKCS#12 密钥库基本 DN。 有关更多信息,请参阅 详细信息。 |
| followreferrals | 指定 AIX LDAP 客户机是否必须跟踪从 LDAP 服务器接收的引荐。 有效值为 在 和 关,缺省值为 "跟踪引荐"。 |
| caseExactAccountName | 指定是将帐户名称匹配为区分大小写还是不区分大小写。 大多数 LDAP 服务器将帐户名称视为不区分大小写。 因此, foo, Foo, FOo和 FOO 之类的帐户名称将被视为同一用户,并且这些服务器仅允许其中一个在 LDAP 中定义。 有效值为:
|
| auditpolicy | 指定在 LDAP 上的审计配置中发生任何更改时需要执行的操作。 仅当设置了属性 auditrefreshed 时才有效。 它采用以下两个值:
|
| auditrefreshed | 指定 secldapclntd 守护程序根据 auditpolicy 属性执行操作的时间间隔 (以秒为单位) 或 24 小时格式的时间。 如果未设置 auditpolicy 属性,那么将禁用此属性。 以秒为单位提及时间间隔。 此值必须大于 60 秒。 将值设置为 0 以将其禁用。 缺省值为 3,600。 如果以 24 小时格式提及时间,那么必须以字母 T 开头。 |
| DisplayNetgroupUserInfo | 指定非特权用户是否可以运行 lsldap -a passwd 命令以显示属于已启用 Netgroup 的 LDAP 模块的用户。 指定 yes,这是用于显示 Netgroup 已启用的 LDAP 模块中的用户的缺省值。 如果您不希望显示已启用 Netgroup LDAP 模块的用户,请指定 no 。 此选项不会影响 root 用户或具有 aix.security.ldap 权限的用户。 |
| reconnT | 指定 LDAP 连接尝试在超时之前将等待的时间 (以秒计)。 此字段的有效值范围从 5 到 3600 秒。 缺省值为 75 秒。 |
详细信息
- 多个基本 DN
- 所有基本 DN 属性都接受多个值,每个
<basedn>: <value>对都在单独的行上。 例如,要允许ou=dept1users,cn=aixdata基本 DN 和ou=dept2users,cn=aixdata基本 DN 中的用户登录系统,可以按如下所示指定 userbasedn 属性:userbasedn: ou=dept1users,cn=aixdata userbasedn: ou=dept2users,cn=aixdata您最多可以为 /etc/security/ldap/ldap.cfg 文件中的每个实体指定 10 个基本 DN。 将按基本 DN 在 /etc/security/ldap/ldap.cfg 文件中的显示顺序对其进行优先级划分。 以下列表描述了与多个基本 DN 相关的系统行为:- 查询操作 (例如 lsuser 命令) 根据指定的基本 DN 顺序执行,直到找到匹配的帐户为止。 仅当搜索所有基本 DN 而未找到匹配项时,才会返回故障。
- 将对第一个匹配帐户执行修改操作,例如 chuser 命令。
- 删除操作 (例如 rmuser 命令) 将对第一个匹配的帐户执行。
- 创建操作 (例如 mkuser 命令) 仅对第一个基本 DN 执行。
- 域 RBAC 基本 DN
#domainbasedn:ou=domains,cn=aixdata #domobjbasedn:ou=domobjs,cn=aixdata时间间隔 (以分钟为单位) 指定更新内核 RBAC 表和域 RBAC 表的频率。 值为 0 将禁用自动更新。rbacinterval: 0- 扩展基本 DN 格式
- 您可以指定基本 DN 属性的搜索范围和搜索过滤器的可选参数。 您可以使用以问号 (?) 字符分隔的字段将参数附加到基本 DN。 以下列表显示了有效的基本 DN 格式:
- 以下格式表示 secldapclntd 守护程序使用的缺省格式:
userbasedn: ou=people, cn=aixdata - 此格式按 scope 属性限制搜索:
userbasedn: ou=people, cn=aixdata?scope作用域属性的有效值为 sub, one和 base。 如果未指定 scope 属性,那么缺省值为 sub。
- 此格式限制按过滤器属性进行搜索。
userbasedn: ou=people, cn=aixdata??filter过滤器属性对 LDAP 服务器中定义的条目进行限制。 您可以使用此过滤器来仅使具有特定属性的用户对系统可视。 以下列表显示了一些有效的过滤器格式,其中 attribute 是 LDAP 属性的名称, value 指定搜索条件,可以是通配符 (*)。(attribute=value)(&(attribute=value)(attribute=value))(|(attribute=value)(attribute=value))
- 此格式同时使用 scope 属性和 filter 属性。
userbasedn: ou=people, cn=aixdata?scope?filter
- 对象类
列表中的第一个对象类是键对象类,它可以用于搜索操作。 缺省情况下,属性映射文件中的 keyobjectclass 属性用于此目的。 但是,如果映射文件不存在,或者映射文件中不存在 keyobjectclass 属性,那么将使用此列表中的第一个对象类。