AIX 中的 LDAP 配置管理和故障诊断.doc

　　AIX 中的 LDAP 配置管理和故障诊断 　　引言 　　用户管理是分布式计算环境中一个重要的部分。它为通用访问提供了所需的一致的身份验证和授权服务。许多客户使用 IBM Directory Server 以实现集中的安全管理，IBM Directory Server 是 AIXreg; 所支持的一种集中式安全机制。要对 IBM Directory Server 进行有效的配置并为使用做好准备，您需要深入了解轻量级目录访问协议 (LDAP) 的概念和配置管理。 　　本文对 LDAP 及其体系结构提供了概述。本文还介绍了 AIX 中的 LDAP 配置和管理。本文重点关注在配置 LDAP 服务器和客户端的过程中，如何对不同类型问题进行故障排除。对于 AIX 管理员、技术支持人员和开发团体，本文在故障排除部分中所提供的建议是很有帮助的。 　　LDAP 概述和体系结构 　　LDAP 是一种用于访问目录服务器的行业标准协议。需要对 IBM Directory Server 进行配置，以支持在 AIX 中使用 AIX 特定的模式和 RFC 2307 模式通过 LDAP 进行用户身份验证。 　　LDAP 在读取、浏览、搜索目录和专门存储有序信息的数据库等方面进行了优化。许多计算环境的目标是使得来自任何位置（如工作站、公共工作站和 Directory Server 进行用户管理，以实现这一目标。 　　图 1 显示了 LDAP 配置的概述。 　　图 1. LDAP 配置 　　LDAP 是一种标准化的协议，也是一种用于存储有序信息的专门数据库。当用户登录时，LDAP 客户端向 LDAP 服务器发送一个查询，以便从集中式的数据库中获取这个用户和组的信息。DB2reg; 是用于存储用户和组信息的数据库。LDAP 数据库以具有层次结构的条目为基础，存储和检索信息，其中每个条目都具有区别于其他条目的名称、类型和属性。属性用于为条目定义可接受的取值。LDAP 数据库能够为许多用户存储和维护他们的条目。 　　AIX Version 4.3 中创建了 LDAP 安全加载模块。通过 IBM Secure Directory Server 　　可以使用以下三种方式中的一种来配置 AIX 上的 IBM Directory Server： 　　ldapcfg 命令行工具 　　ldapcfg 工具的图形化版本，称为 ldapxcfg 　　mksecldap 命令 　　以下是配置 IBM Directory Server 所需的文件集： 　　ldap.server 文件集 　　DB2 是 IBM Directory Server 所需的后端数据库软件 　　先决条件 　　该系统应该运行于 64位内核模式。使用 bootinfo ndash;K 命令以确定内核模式。 　　AIX 需要 64 位硬件。使用 bootinfo ndash;y 命令以确定硬件。 　　需要最少 512MB 内存。（要得到更好的性能，请使用 1GB 或者更大的内存。） 　　IBM Directory Server 需要文件系统中具有 80MB 空闲空间，该空间用以创建 DB2 数据库。 　　如果您计划使用 InstallShield GUI 来进行安装，请确保在 /var 目录中至少有 100MB 的空闲空间，在 /tmp 目录中至少有 400MB 的空闲空间。 　　AIX 提供了 mksecldap 命令以设置 IBM Directory 服务器和客户端，以便充分利用这些服务器。 　　mksecldap 命令将为新服务器的设置执行下面的任务： 　　创建 ldapdb2 缺省 DB2 实例。 　　创建 ldapdb2 缺省 DB2 数据库。 　　创建 AIX 树 DN（后缀），AIX 用户和组存储于其中。 　　从本地主机的安全数据库文件中将用户和组导出到 LDAP 数据库。 　　设置 LDAP 服务器管理员 DN 和密码。 　　另外，可以将服务器设置为使用安全套接字层 (SSL) 通信。 　　安装 /usr/ccs/lib/libsecldapaudit，这是用于 LDAP 服务器的 AIX 审核插件。 　　在完成上述的工作后，启动 LDAP 服务器。 　　将 LDAP 服务器条目（slapd）添加到 /etc/inittab，以便在系统重新启动后自动重新启动该服务器。 mksecldap ndash;s ndash;a =admin ndash;p passslapd.conf 文件中。 　　为 IBM Directory Server 配置 AIX 客户端系统。 　　ldap.client 文件集中包含了 IBM Directory 客户端库文