LDAP 用户管理

可使用高级命令从任何 LDAP 客户机管理 LDAP 安全信息服务器上的用户和组。

通过使用高级命令和-R 标志，可以使用 LDAP 和其他认证装入模块 (例如 DCE ， NIS 和 KRB5 ) 来管理 LDAP 安全信息服务器上的用户和组。有关 -R 标志的更多信息，请参阅每个用户或组管理命令。

要使用户能够通过 LDAP 认证，请运行 chuser 命令将用户的 SYSTEM 属性值更改为 LDAP。通过根据定义的语法设置 SYSTEM 属性值，可以通过多个装入模块 (例如 compat 和 LDAP) 对用户进行认证。有关设置用户认证方法的更多信息，请参阅用户认证主题以及 /etc/security/user 文件中定义的 SYSTEM 属性语法。

通过运行带有 -u 标志的 mksecldap 命令，用户可以在客户机设置时成为 LDAP 用户，如下列其中一种格式所示:

```
mksecldap -c -u user1,user2,...
```
其中 user1， user2， ... 参数是用户列表。该列表中的用户可以是本地定义的或远程 LDAP 定义的用户。 SYSTEM 属性在 /etc/security/user 文件中的每个用户节中都设置为 LDAP。此类用户只能通过 LDAP 进行认证。此列表中的用户必须存在于 LDAP 安全信息服务器上; 否则，他们无法从此主机登录。运行 chuser 命令以修改 SYSTEM 属性，并允许通过多种方法 (例如本地和 LDAP) 进行认证。
```
mksecldap -c -u ALL
```
对于所有本地定义的用户，此命令在 /etc/security/user 文件的每个用户节中将 SYSTEM 属性设置为 LDAP。所有这样的用户都只能通过 LDAP 来认证。本地定义的用户必须在 LDAP 安全信息服务器上存在；否则它们不能从该主机上登录。在 LDAP 服务器上定义的而没有在本地定义的用户不能从该主机登录。要允许远程 LDAP 定义的用户从此主机登录，请运行 chuser 命令以将该用户的 SYSTEM 属性设置为 LDAP。

另外，您也可以通过将 /etc/security/user 文件中“缺省”节的值修改为“LDAP”，从而使所有的 LDAP 用户（不管它们是否是本地定义的）都能够通过本地主机上的 LDAP 来认证。所有没有为其 SYSTEM 属性定义值的用户都必须使用缺省节中定义的值。例如，如果默认字段为 ""SYSTEM = "compat""，将其更改为 ""SYSTEM = "compat OR LDAP""后，就可以通过AIX或 LDAP 对所有 LDAP 用户进行身份验证。将 default 节更改为 "SYSTEM = "LDAP"" 使这些用户只能通过 LDAP 认证。定义了 SYSTEM 属性值的用户不受缺省节影响。