设置 LDAP 客户机
要设置客户机以将 LDAP 用于认证以及用户和组信息,请确保每个客户机都安装了 LDAP 客户机软件包。 有关特定于 LDAP 客户机软件包安装的信息,请参阅步骤 3 到 7。 如果需要安全套接字层 (SSL) 或传输层安全性 (TLS) 支持,那么必须安装 GSKit。 必须创建密钥,并且必须将 LDAP 服务器 SSL 密钥证书添加到此密钥。 请参阅步骤 1 到 2。
类似于 LDAP 服务器设置,客户机设置可以使用 mksecldap 命令完成。 要该客户机与 LDAP 安全信息服务器联系,就必须在设置过程中提供服务器名称。 客户端访问服务器上的AIX树也需要服务器的绑定 DN 和密码。 mksecldap 命令将服务器绑定 DN ,密码,服务器名称,服务器上的 AIX 树 DN , SSL 密钥路径和密码以及其他配置属性保存到 /etc/security/ldap/ldap.cfg 文件。
mksecldap 命令将绑定密码和 SSL 密钥密码(如果要配置 SSL)以加密格式保存到 /etc/security/ldap/ldap.cfg 文件中。 加密密码是特定于系统的,只能由生成它们的系统上的 secldapclntd 守护程序使用。 secldapclntd 守护程序可以使用 /etc/security/ldap/ldap.cfg 文件中的明文或加密密码。
在客户机设置过程中可以向 mksecldap 命令提供多个服务器。 在本例中,客户机按照提供的次序联系服务器,并与客户机可以成功绑定的第一个服务器建立连接。 如果在客户机和服务器之间发生连接错误,那么会使用同一逻辑尝试请求重新连接。 安全 LDAP 开发模型不支持参照。 保持复制服务器同步是很重要的。
客户机通过客户机端守护程序 (secldapclntd) 与 LDAP 安全信息服务器通信。 如果在客户机上启用了 LDAP 装入模块,那么将通过 LDAP 中定义的用户的库 API 将高级命令路由到守护程序。 该守护程序维护请求的 LDAP 条目的高速缓存。 如果未从高速缓存满足请求,那么该守护程序查询服务器,更新高速缓存,并将信息返回给调用者。
在客户机设置期间,可以向 mksecldap 命令提供其他微调选项,例如守护程序使用的线程数,高速缓存条目大小和高速缓存到期超时的设置。 这些选项仅供有经验的用户使用。 对于大多数环境而言,缺省值已经足够。
在客户机设置的最终步骤中,mksecldap 命令启动客户端守护程序并在 /etc/inittab 文件中添加条目,这样在每次重新引导时会启动守护程序。 您可以通过 ls-secldapclntd 命令检查 secldapclntd 守护程序进程来检查设置是否成功。 假如设置并运行 LDAP 安全信息服务器,如果设置成功,那么就会运行该守护程序。
- 以 root 用户身份安装与 GSKit 相关的文件集。
- 安装 AIX 7.2 扩展包 DVD。
- 将目录切换到 GSKit 文件集位置。
cd <mount_point>/installp/ppc
- 运行 installp 命令以安装 GSKit 软件包。
- 要安装 GSKit 64 位程序包,请运行以下命令:
installp -acXgYd . GSKit8.gskcrypt64.ppc.rte installp -acXgYd . GSKit8.gskssl64.ppc.rte - 要安装 GSKit 32 位程序包,请运行以下命令:
installp -acXgYd . GSKit8.gskcrypt32.ppc.rte installp -acXgYd . GSKit8.gskssl32.ppc.rte注: 您还可以使用 SMIT 或 SMITTY 从 DVD 安装 GSKit 文件集。
- 要安装 GSKit 64 位程序包,请运行以下命令:
- 以 root 用户身份安装 idsldap 客户机。
- 安装 AIX 7.2 DVD 的第二个卷 (2 的卷 2)。
- 运行 idsLicense 命令。
cd <mount_point>/license ./idsLicense
- 如果您同意接受软件许可协议中的条款,请从以下可用选项列表中输入编号 1:
1: To accept the license agreement. 2: To decline the license agreement and exit the installation. 3: To print the license agreement. 4: To read non-IBM terms in the license agreement. 99: To go back to the previous screen.接受软件许可协议中的条款后,将在 IBM Security Directory Server 安装位置中创建 LAPID 文件和许可证文件夹。 license 文件夹包含所有受支持语言的 IBM Security Directory Server 许可证文件。
- 确定 IBM Security Directory Serveridsldap要安装的客户机软件包。
- 对于非 SSL LDAP 客户机功能,请安装以下文件集:
- idsldap.license64
- idsldap.cltbase64
- idsldap.clt32bit64
- idsldap.clt64bit64
- 对于 SSL LDAP 客户机功能,请安装以下文件集:
- idsldap.license64
- idsldap.cltbase64
- idsldap.clt32bit64
- idsldap.clt64bit64
- idsldap.clt_max_crypto32bit64
- idsldap.clt_max_crypto64bit64
注: SSL 功能需要安装 GSKitv8 文件集。
- 对于非 SSL LDAP 客户机功能,请安装以下文件集:
- 安装 IBM Security Directory Server idsldap 客户机软件包。
- 要安装一个或多个 IBM Security Directory Server idsldap 客户机软件包,请运行以下命令:
cd <mount_point>/installp/ppc/ installp -acXgYd . <package_names>注: 您还可以使用 SMIT 或 SMITTY 从 DVD 安装标识的文件集和软件包。
- 要安装一个或多个 IBM Security Directory Server idsldap 客户机软件包,请运行以下命令:
- 使用系统生成的安装摘要验证 IBM Security Directory Server 安装是否成功。
- 要配置 LDAP 客户机,请通过根据您的环境替换值来运行以下命令:
# mksecldap -c -h server1.ibm.com -a cn=admindn -p adminpwd -d cn=basedn