LDAP 网组的客户机启用

您可以使用网组作为 NIS-LDAP 的一部分（名称解析方法）。

1. 安装和设置基于 LDAP 的用户组管理，如 ldap_client_setup.html中所述。

   如果没有完成网组设置，那么系统将列出所有 LDAP 定义的用户。 例如，如果 nguser 是属于 LDAP 服务器中已定义的网组 mygroup 的网组用户，lsuser -R LDAP nguser 将列出该用户。

2. 要启用网组功能， /usr/lib/security/methods.cfg 文件中 LDAP 的模块定义需要包含具有网组值的选项属性。 编辑 /usr/lib/security/methods.cfg 文件并将 options = netgroup 行添加到 LDAP 节。 这将把 LDAP 装入模块标记为具有网组能力的装入模块。 例如：

   LDAP:
         program = /usr/lib/security/LDAP
         program_64 =/usr/lib/security/LDAP64
         options = netgroup

   现在，命令 lsuser -R LDAP nguser， lsuser nguser 或 lsuser -R LDAP -a ALL 不会列出任何用户。 现在认为 LDAP 是此客户机中仅用于网组的数据库，并且还没有为访问此客户机启用网组。
3. 编辑 /etc/passwd 文件，并为应该有权访问系统的网组附加一行。 例如，如果 mygroup 是 LDAP 服务器上包含期望用户的网组，那么追加以下行：

   +@mygroup

4. 编辑 /etc/group 文件并附加 +: 行以对组启用 NIS 查找:

   +:

   运行命令 lsuser nguser 现在将返回该用户（因为 nguser 在网组 mygroup 中）。

   lsuser -R LDAP nguser 命令找不到该用户，但命令 lsuser -R compat nguser 找到该用户是因为该用户现在被视为 compat 用户。

5. 为了让 netgroup 用户通过身份验证进入系统，AIX身份验证机制必须知道要使用的方法。 如果 /etc/security/user 文件中的 default 节包含 SYSTEM = compat，那么添加到 /etc/passwd 文件中的网组的所有网组用户都可得到认证。 另一种选择是通过为期望用户手动向 /etc/security/user 文件添加节，来单独地配置用户。 nguser 节的示例如下：

   nguser: 
           SYSTEM = compat
           registry = compat

   所允许的网组中的网组用户现在可以认证到系统。

   启用网组功能还激活了以下条件：

   • /etc/security/user 文件中定义为 LDAP 注册表成员的用户（registry=LDAP 且 SYSTEM="LDAP"）无法作为 LDAP 用户认证。 这些用户现在是 nis_ldap 用户并需要本机 NIS 网组成员资格。
   • 注册表 compat 的含义已扩展为包含使用网组的模块。 例如，如果 LDAP 模块启用了网组，那么 compat 包含文件、NIS 和 LDAP 注册表。 从这些模块检索到的用户的注册表值为 compat。