多个基本 DN 支持

在线编辑

AIX® 支持多个基本 DN。 可在 /etc/security/ldap/ldap.cfg 文件中为每个实体最多指定 10 个基本 DN。

以基本 DN 在 /etc/security/ldap/ldap.cfg 文件中显示的顺序来对它们划分优先级。 对于多个基本 DN ,由 AIX 命令执行的操作是根据具有以下行为的基本 DN 优先级完成的:
  • 根据基本 DN 的优先级对其执行查询操作(例如,由 lsuser 命令执行),直到找到匹配的帐户为止,如果搜索了所有的基本 DN 都没有找到匹配的帐户,那么将返回故障。 查询所有 DN 将导致从每个基本 DN 返回所有帐户。
  • 对第一个匹配的帐户执行修改操作(例如,由 chuser 命令执行)。
  • 对第一个匹配的帐户执行删除操作(例如,由 rmuser 命令执行)。
  • 仅对第一个基本 DN 执行创建操作(例如,由 mkuser 命令执行)。 AIX 不支持向其他基本 DN 创建帐户。

维护无冲突的帐户数据库是目录服务器管理员的职责。 如果存在同一帐户的多个定义 (每个定义都在不同的子树下) ,那么只有第一个帐户对 AIX可视。 搜索操作仅返回第一个匹配的帐户。 类似地,仅对第一个匹配的帐户执行修改或删除操作。

mksecldap 命令用于配置 LDAP 客户机时,将查找每个实体的基本 DN 并将其保存到 /etc/security/ldap/ldap.cfg 文件中。 当 LDAP 服务器上为实体提供了多个基本 DN 时,mksecldap 命令将随机使用其中的某个 DN。 要让 AIX 使用多个基本 DN ,需要在 mksecldap 命令成功完成后编辑 /etc/security/ldap/ldap.cfg 文件。 查找适当的基本 DN 定义并添加所需的其他基本 DN。 对于每个实体, AIX 最多支持 10 个基本 DN ,将忽略任何其他基本 DN。

AIX 还支持用户定义的过滤器和每个基本 DN 的搜索范围。 一个基本 DN 可具有可能不同于其同级基本 DN 的自身的过滤器和作用域。 过滤器可用于定义对 AIX可视的帐户集。

只有满足过滤器的帐户才对 AIX可视。