LDAP 主机访问控制

AIX®为系统提供用户级主机访问（登录）控制。 管理员可以通过将 LDAP 用户的 SYSTEM 属性设置为 LDAP ，配置 LDAP 用户以登录到 AIX 系统。

SYSTEM 属性在 /etc/security/user 文件中。 chuser 命令 可用于设置它的值，与以下内容相似：

# chuser -R LDAP SYSTEM=LDAP registry=LDAP foo 

这会将 LDAP 属性设置成允许用户 foo 登录到该系统。 它还将注册表设置为 LDAP，这允许登录进程记录 foo 登录 LDAP 的尝试，并允许在 LDAP 上完成任何用户管理任务。

管理员需要在每个客户机系统上运行这样的设置，以使某些用户能够登录。

AIX有一项功能可以限制 LDAP 用户只能登录某些 LDAP 客户系统。 此功能允许集中式主机访问控制管理。 管理员能够对一个用户帐户指定两个主机访问控制表：一个允许列表和一个拒绝列表。 通过用户帐户这两个用户属性存储在 LDAP 服务器中。 用户可以对允许列表中指定的系统或网络进行访问，但不能对拒绝列表中的系统或网络进行访问。 如果同时在允许列表和拒绝列表中指定了一个系统，那么用户不能对该系统进行访问。 有两种方法指定用户的访问列表：当创建用户时可以使用 mkuser 命令，或者对于现有的用户可以使用 chuser 命令。 为向后兼容，如果 用户的允许列表和拒绝列表不存在，那么缺省情况下，允许用户登录到任何 LDAP 客户机系统。

设置用户的允许和拒绝许可权列表的示例如下：

# mkuser -R LDAP hostsallowedlogin=host1,host2 foo 

这将创建用户 foo，只允许用户 foo 登录到 host1 和 host2。

# mkuser -R LDAP hostsdeniedlogin=host2 foo

这将创建用户 foo，并且用户 foo 可以登录到除 host2 之外的任何 LDAP 客户机系统。

# chuser -R LDAP hostsallowedlogin=192.9.200.1 foo 

这会将用户 foo 设置成具有登录到地址为 192.9.200.1 的客户机系统的许可权。

# chuser -R LDAP hostsallowedlogin=192.9.200/24 hostsdeniedlogin=192.9.200.1 foo

这会将用户 foo 设置成具有登录到 192.9.200/24 子网中任何客户机系统的许可权，除了地址为 192.9.200.1 的客户机系统之外。

有关更多信息，请参阅 chuser 命令。