您可以配置AIX®LDAP 客户端系统,使其在初始绑定到 LDAP 服务器时使用Kerberos。
必须以此方法为要作为自身的客户机的服务器主机配置 IDS 服务器。
已使用 IDS v5.1 对该示例进行了测试:
- 安装 krb5.client 文件集。
- 请确保 /etc/krb.conf 文件存在并且已正确配置。 如果未正确配置,那么可以运行 /usr/sbin/config.krb5 命令对其进行配置。
- 获取绑定主体的密钥表文件,并将其放在 /etc/security/ldap 目录中。
- 设置许可权为 600。
- 使用使用绑定 DN 和绑定密码的 mksecldap 命令配置客户机。 确保 AIX 命令对 LDAP 用户有效。
- 编辑 /etc/security/ldap/ldap.cfg 文件以设置 Kerberos 相关属性。 在以下示例中,绑定主体为 ldapproxy ,密钥表文件为 ldapproxy.keytab。 如果您希望有 IDS 服务器管理员特权,请使用 ldapadmin
替换 ldapproxy,并用 ldapadmin.keytab
替换 ldapproxy.keytab。
useKRB5:yes
krbprincipal:ldapproxy
krbkeypath:/etc/security/ldap/ldapproxy.keytab
krbcmddir:/usr/krb5/bin/
现在可以从 ldap.cfg 文件除去或注释掉绑定 DN 和绑定密码了,因为 secldapclntd
守护程序现在使用 Kerberos 绑定。
- 重新启动 secldapclntd 守护程序。
- 现在可以将 /etc/security/ldap/ldap.cfg 文件传播到其他客户机系统。