启用 IDS 服务器 Kerberos 绑定

以下过程启用 IDS 服务器进行 Kerberos 绑定。

1. 安装 krb5.client 文件集。
2. 请确保 /etc/krb5/krb5.conf 文件存在并且已正确配置。 如果需要对其进行配置，可以运行 /usr/sbin/config.krb5 命令。

   # config.krb5 -r ud3a.austin.ibm.com -d austin.ibm.com -c KDC -s alyssa.austin.ibm.com
   Initializing configuration...
   Creating /etc/krb5/krb5_cfg_type...
   Creating /etc/krb5/krb5.conf...
   The command completed successfully.
   # cat /etc/krb5/krb5.conf
   [libdefaults]
        default_realm = ud3a.austin.ibm.com
        default_keytab_name = FILE:/etc/krb5/krb5.keytab
        default_tkt_enctypes = des3-cbc-sha1 arcfour-hmac aes256-cts des-cbc-md5 des-cbc-crc
        defaut_tgs_enctypes = des3-cbc-shal1 arcfour-hmac aes256-cts des-cbc-md5 des-cbc-crc
   [realms]
     ud3a.austin.ibm.com = {
        kdc = alyssa.austin.ibm.com:88
        admin_server = alyssa.austin.ibm.com:749
        default_domain = austin.ibm.com
     }
   
   [domain_realm]
        .austin.ibm.com = ud3a.austin.ibm.com
        alyssa.austin.ibm.com = ud3a.austin.ibm.com
   
   [logging]
        kdc = FILE:/var/krb5/log/krb5
        admin_server = FILE:/var/krb5/log/kadmin.log
        default = FILE:/var/krb5/log/krb5lib.log

3. 获取ldap://serverhostnameprincipal 的 keytab 文件，并将其放入 "/usr/ldap/etc目录。 例如: /usr/ldap/etc/slapd_krb5.keytab.
4. 设置许可权以允许服务器进程访问该文件。

   # chown ldap:ldap /usr/ldap/etc/slapd_krb5.keytab
   #

5. 要对 IDS 服务器启用 Kerberos 绑定，请编辑 /etc/ibmslapd.conf 文件并附加以下条目:

   dn: cn=Kerberos, cn-Configuration
   cn: Kerberos
   ibm-slapdKrbAdminDN: ldapadmin
   ibm-slapdKrbEnable: true
   ibm-slapdKrbIdentityMap: true
   ibm-slapdKrbKeyTab: /usr/ldap/etc/slapd_krb5.keytab
   ibm-slapdKrbRealm: ud3a.austin.ibm.com
   objectclass: ibm-slapdKerberos
   objectclass: ibm-slapdconfigEntry
   objectclass: top

6. 将 ldapproxy 主体映射到名为 cn-proxyuser,cn=aixdata 的绑定 DN。
   1. 如果绑定 DN 条目存在于 IDS 服务器中，请创建具有以下内容的名为 ldapproxy.ldif 的文件:

      dn: cn=proxyuser,cn=aixdata
      changetype: modify
      add: objectclass
      objectclass: ibm-securityidentities
      -
      add:altsecurityidentities
      altsecurityidentities: Kerberos:ldapproxy@ud3a.austin.ibm.com

      或
   2. 如果尚未将绑定 DN 条目添加到服务器，请创建具有以下内容的名为 proxyuser.ldif 的文件:
   注: 您将需要将 proxyuserpwd 替换为您的密码。

   dn: cn=proxyuser,cn=mytest
   cn: proxyuser
   sn: proxyuser
   userpassword: proxyuserpwd
   objectclass: person
   objectclass: top
   objectclass: ibm-securityidentities
   altsecurityidentities: Kerberos:ldapproxy@ud3a.austin.ibm.com

   使用 ldapmodify 命令将创建的绑定 DN 条目添加到 IDS 服务器。

   # ldapmodify -D cn-admin -w adminPwd -f /tmp/proxyuser.ldif modifying entry cn=proxyuser,cn=mytest
   #

7. 重新启动 IDS 服务器。