• Оптимизация
  • Социальные сети
  • Sitemap
  • Drupal
  • Usability
  • Юзабилити
  • B2b
  • Антивирус
  • Семантическое ядро
  • Новости
    • <

    Налаштування мережевих груп IBM LDAP за допомогою сервера Windows Active Directory

    1. Вступ Мережеві групи дуже зручні для системних адміністраторів, оскільки дозволяють їм контролювати...
    2. Мережеві групи
    3. конфігурація
    4. Малюнок 1. Командний рядок
    5. Ресурси для скачування

    Вступ

    Мережеві групи дуже зручні для системних адміністраторів, оскільки дозволяють їм контролювати доступ в систему окремих людей або обчислювальних машин, керувати конфігурацією мережі на рольової основі і пропонують інші можливості. Якщо ваша система розгорнута на базі Спрощений протокол Служби Каталогів (LDAP), ви можете використовувати мережеві групи для підвищення безпеки і керованості системи. Ця стаття містить покрокові інструкції для налаштування мережевих груп IBM LDAP за допомогою сервера Windows® Active Directory.

    Ви повинні мати загальне уявлення про централізованому управлінні базами даних, протоколі LDAP і принципах його конфігурації на сервері Windows Active Directory. Системні адміністратори AIX® зі знаннями середнього або початкового рівня, можливо, знайдуть цю статтю надзвичайно корисною.

    Системні вимоги

    Для реалізації настройки, описаної в цій статті, буде потрібно клієнт IBM LDAP, AIX і сервер Microsoft® Windows Active Directory 2000/2003, конфігурований для роботи з протоколом LDAP.

    Мережеві групи

    Мережеві групи - це зручний спосіб ідентифікувати під певними іменами групу хостів, людей, або доменів з метою забезпечити контроль доступу (див. Мережеві групи ). Ви можете використовувати мережеві групи для обмеження віддаленого входу в систему і віддаленої роботи з нею. Мережеві групи зберігаються на сервері Windows 2000/2003 Microsoft Active Directory. Ви можете настроїти сервер Windows Active Directory в якості LDAP-сервера для клієнтської сторони IBM LDAP. Користувачі, які включені в ці групи, мають доступ до клієнтської системі IBM LDAP.

    Мережева група (на основі LDAP або без нього) підтримується тільки в AIX 5.3 і пізніших версіях.

    Наприклад, припустимо, що у вас є LDAP-сервер з великим числом користувачів, який налаштований разом з декількома LDAP-клієнтами, і ви хочете відкрити доступ для LDAP-клієнтів з певними користувачами. Ви повинні переконатися, що визначили цих користувачів в мережевих групах.

    IBM LDAP надає підтримку для сервера Windows 2000/2003 Microsoft Active Directory тільки в AIX 5.3 TL 05 і пізніших версіях. Також прочитайте книгу Integrating AIX 5L into Heterogeneous LDAP Environments з колекції IBM Redbooks (див. Додаткові матеріали ), Щоб ознайомитись з усіма деталями настройки IBM LDAP-клієнта за допомогою сервера Microsoft Active Directory.

    конфігурація

    Виконайте наступні кроки для настройки мережевих груп на IBM LDAP-клієнта за допомогою Microsoft Active Directory:

    1. Визначте групи і користувачів, яким потрібен доступ до IBM LDAP-клієнта, в файлі AIX / etc / netgroup. Файл / etc / netgroup визначає загальномережеві групи. Кожен рядок у файлі визначає групу, і має наступний синтаксис: Group name (hostname, username, domain name)

      Погляньте на приклад:

      testgroup (znim.austin.ibm.com, user1, test) testgroup1 (, user2,)

      Зверніть увагу, що в цих записах не слід використовувати тире (-).

    2. Скопіюйте файл розподілу / etc / netgroup на сервер Windows 2000/2003 Active Directory.
    3. Використовуйте утиліту nis2ad, що запускається з командного рядка Windows для перенесення записів про групи з копії файлу розподілу на сервер Active Directory.

      Синтаксис nis2ad наступний:

      nis2ad -y <Unix_NIS_domain> -a <windows_NIS_Domain> \ -u <username> -p <passwd> -s <server name> -m <map file>

      В таблиці 1 перераховані команди для перенесення записів про групах.


      Таблиця 1. Перенесення записів про групи Команда Опис Unix_NIS_domain Ця команда задає UNIX® NIS-область, звідки був скопійований файл розподілу. windows_NIS_Domain Ця команда задає область Windows NIS на сервері Active Directory, куди буде перенесений файл розподілу. username Ця команда задає ім'я користувача, що володіє привілеями адміністратора. passwd Ця команда задає пароль користувача. mapfile Ця команда задає файл, який треба скопіювати з IBM LDAP-клієнта.

    4. Записи з файлу Netgroup будуть додані, як показано на малюнку 1 і малюнку 2 , На сервер Active Directory.
      Малюнок 1. Командний рядок
      Малюнок 2. Active Directory
    5. На клієнтському комп'ютері IBM LDAP перевірка нових записів файлу netgroup може бути виконана командою lsldap: lsldap -a netgroup
    6. На IBM LDAP-клієнта, активуйте мережеві групи LDAP додаючи мережеву групу в файл /etc/security/ldap/ldap.cfg: netgroupbasedn: CN = netgroup, CN = ztrans, CN = DefaultMigrationContainer30, DC = ztrans, DC = in, DC = ibm, DC = com
    7. Перезапустіть демона IBM LDAP-клієнта (Secldapclntd): / usr / sbin / restart-secldapclntd
    8. На IBM LDAP-клієнта додайте netgroup-опцію в розділ LDAP файлу /usr/lib/security/methods.cfg: LDAP: program = / usr / lib / security / LDAP program_64 = / usr / lib / security / LDAP64 options = netgroup
    9. Додайте пошуковий параметр netgroup nis_ldap в файл /etc/irs.conf: netgroup nis_ldap
    10. Для аутотентіфікаціі користувача на клієнтському комп'ютері з IBM LDAP, додайте інформацію про користувача в файл / etc / security / user: user1: SYSTEM = "compat" registry = compat
    11. На клієнтському комп'ютері з IBM LDAP, додайте інформацію про групу в файл / etc / passwd.

      Додайте escape-послідовність мережевий групи в кінець файлу / etc / passwd:

      # Echo "+ @ testgroup" >> / etc / passwd #echo "+ @ testgroup1" >> / etc / passwd

    12. На комп'ютері з IBM LDAP-клієнтом відкрийте файл / etc / group для редагування.

      Додайте escape-послідовність мережевий групи в файл / etc / group:

      # Echo "+:" >> / etc / group

    13. 13. На комп'ютері з IBM LDAP-клієнтом, перевірте, чи може бути знайдена інформація про користувачів мережевої групи за допомогою команди lsuser, і увійдіть в систему, як користувач мережевий групи: # lsuser -R compat user1 user1 id = 1233 pgrp = staff groups = staff home = / home / user1 shell = / usr / bin / ksh login = true ...

    Мережеві групи IBM LDAP підтримуються тільки в Windows 2000/2003. Windows 2003 R2 підтримується в AIX 5.3 Tl06 і пізніших версіях.

    Ресурси для скачування

    Схожі теми

    • Configure IBM LDAP netgroups with Windows Active Directory server (EN): ознайомтеся з оригіналом статті.
    • Integrating AIX 5L into Heterogeneous LDAP Environments : Дізнайтеся як додати AIX 5L-клієнтів до вже існуючої середовищі аутотентіфікаціі і управління користувачами LDAP з книги серії IBM Redbooks. (EN)
    • " AIX 5L LDAP user management "(EN) (developerWorks, грудень 2006): ця стаття надає огляд нових можливостей, пов'язаних з LDAP, в оновленій версії операційної системи AIX 5L V5.3 - TL5. (EN)
    • Розділи бібліотеки інформації по AIX і UNIX: (EN)

    Підпишіть мене на повідомлення до коментарів

    IRC (Internet Relay Chat)

    Все права защищены © 2013 IRC-сервер — Irc.Online.com.ua