LDAP 属性映射文件格式

在线编辑

用途

LDAP 属性映射文件定义了 AIX 如何映射到 LDAP 目录属性。 这样,系统就能在本地命名约定和 LDAP 模式属性之间进行转换。

描述

地图文件由 /usr/lib/security/LDAP 模块和 secldapclntd 守护进程使用。 映射文件将 AIX 属性名称转换为 LDAP 属性名称。 映射文件中的每个条目代表一个属性的转换。 一个条目有五个以空格分隔的字段。
AIX_Attribute_Name AIX_Attribute_Type LDAP_Attribute_Name LDAP_Value_Type LDAP_Value_Unit
表 1. 属性
描述
AIX_Attribute_Name 的属性名称。 AIX.
AIX_Attribute_Type 的属性类型。 AIX. 属性值为 SEC_CHAR, SEC_INT, SEC_LIST, 和 SEC_BOOL
LDAP_Attribute_Name 指定 LDAP 的属性名称。
LDAP_Value_Type 指定 LDAP 的值类型。 单值属性值为 s ,多值属性值为 m
LDAP_Value_Unit 为某些属性指定 LDAP 值的单位。
  • maxage, minage, maxexpires, 和 pwdwarntime 属性可使用以下值:
    • 秒数
    • 分钟
    • 小时
    • 月份
  • cpu, cpu_hard, fsize, fsize_hard, rss, rss_hard, stack, 和 stack_hard 属性可使用以下值:
    • 字节
    • 512 字节块
    • KB
    • 兆字节
    • 千兆字节
  • lastupdate 属性可使用以下值:
    • 自 1601 年 1 月 1 日起,以 100 纳秒为单位记录的协调世界时(UTC)。
      注: Microsoft Active Directory Server 的属性(如 pwdLastSet )仅以协调世界时单位存储值。 Microsoft Active Directory 服务器的这些属性值不支持其他单位。
    • 开始更改
      通用时间语法 (GTS) 以 YYYYMMDDHHMMSSZ 格式记录,以祖鲁格式 (Z) 结尾。
      注: FreeIPA 服务器中的 krbLastPwdChange 属性使用 GTS YYYYMMDDHHMMSSZ

      其他属性的值为不适用。 如果不需要单位映射,数值为不适用。

      结束更改
TO_BE_CACHED 指定是否高速缓存此属性。 有效值为 "是 " 和 " "。 缺省值为 yes

文件

AIX/etc/security/ldap 目录中包含以下几组属性映射文件:

针对特定于 AIX 的模式定义了以下属性映射:
表 2. 属性映射
描述
aixuser.map 指定 aixAccount 对象类的映射。
aixgroup.map 指定 aixAccessGroup 对象类的映射。
aixid.map 指定 aixAdmin 对象类的映射。
nisSchema (RFC 2307) 定义了以下属性映射:
表 3. 属性映射 nisSchema
描述
2307user.map 指定 posixAccount 对象类的映射。
2307group.map 指定 posixGroup 对象类的映射。
nisSchema 定义了以下属性映射。 AIX 扩展名:
表 4. 属性映射
描述
2307aixuser.map 指定 posixAccount 对象类和 aixAuxAccount 对象类的映射。
2307aixgroup.map 指定 posixGroup 对象类和 aixAuxGroup 对象类的映射。
针对 Active Directory with service for UNIX定义了以下属性映射:
表 5. 属性映射
描述
sfu30user.map 指定用户对象类的映射。
sfu30group.map 指定组对象类的映射。
为具有 Windows 2003 R2 模式的 Active Directory 定义了以下属性映射:
表 6. 属性映射
描述
sfur2user.map 指定用户对象类的映射。
sfur2group.map 指定组对象类的映射。
开始更改以下是为 Active Directory (不含 SFU 插件)定义的属性映射:
表 7. 属性映射
描述
msadnosfuuser.map 指定用户对象类的映射。
msadnosfugroup.map 指定组对象类的映射。
结束更改

LDAP 客户端配置中的 mksecldap 命令会自动查找服务器类型,并选择必须使用的相应映射文件。 如果 /etc/security/ldap 目录中的映射文件中没有 LDAP 服务器使用的模式,请通过创建自己的映射集手动配置 LDAP 客户端。 编辑 /etc/security/ldap.cfg 文件,以使用您的映射文件。

用户和组映射可能包含一个条目,用于指定每个用户或组必须拥有的对象类别。 该对象类用于过滤对用户或组条目进行的搜索。 例如,以下是 keyobjectclassaix2307user.mapaix2307group.map 文件中的默认条目。

aix2307user.map:
        keyobjectclass  SEC_CHAR        posixgroup      s  na   yes
aix2307group.map:
        keyobjectclass  SEC_CHAR        posixaccount    s  na   yes

aixid.map 包含用户和组 ID 的属性映射。 当您使用 mkusermkgroup 命令创建新的 LDAP 用户或组时,就会用到这些 ID。