扩展非 IBM LDAP 服务器以支持全部的 AIX 管理功能.doc

　　扩展非 IBM LDAP 服务器以支持全部的 AIX 管理功能 　　本文示例源代码或素材下载 　　在集中式 LDAP 环境中管理用户并控制他们的访问权限，是异类环境中一项具有挑战性的任务。由于缺乏 LDAP 服务器的模式支持，所以某些平台可能失去它们的 OS 特定功能。本文为一些非 IBM reg; LDAP 服务器提供了相应的解决方案，以便通过为这些服务器类型提供 AIX 模式，以及使用该模式提供用于更新这些 LDAP 服务器类型的步骤，从而支持全部的 AIX reg; 用户管理功能。 　　范围、假设和环境 　　本文的内容包括使用 AIX LDAP 模式扩展某些非 IBM LDAP 服务器，以及对 AIX 进行配置以便能够与这些服务器一同工作。本文假设读者在目录服务概念和管理经验方面具有中级到高级的知识水平。 　　本文中所描述的解决方案已经经过了测试，并且经过证实可以在我们的测试环境中正常使用。对于那些需要使用非 IBM LDAP 服务器支持 AIX 系统的组织来说，本文提出的工作示例是非常有价值的。我们建议，在生产环境中实现该解决方案之前，应该先在测试环境中进行试验，以确保它能够正常地工作、并且能够满足您的需要。请注意，本文所描述的解决方案和步骤是按原样提供的，如果需要，可以对它们进行更新，并且它们没有正式获得 IBM 的支持。 　　引言 　　使用目录存储用户和组信息的优点是，可以将多个数据库集中于单个位置，以便降低用户和组的管理复杂性。许多供应商都推出了他们自己的 LDAP 解决方案，以便充分地支持目录服务（这项技术在过去十多年中已经非常成熟）。目录中的对象由对象类和它们的相关属性来进行定义。术语LDAP 模式通常指的是 LDAP 属性和对象类的集合。 　　RFC 2307 定义了网络信息服务 (NIS) 模式的标准集合，其中包括用户、组和其他的 NIS 对象。AIX 支持 RFC 2307，并且因此与 RFC 2307 LDAP 环境完全兼容。除了在 RFC 2307 中定义的属性之外，AIX 还提供了一些附加的属性以支持扩展的 AIX 用户功能。第三方 LDAP 服务器可能没有提供这些附加的 AIX 属性，并且如果将 AIX 配置为这种服务器的客户端，那么 AIX 将无法在该环境中设置扩展的用户特定属性。导致这个问题的原因是，这些服务器中缺乏 AIX LDAP 模式的支持。通过使用 AIX LDAP 模式扩展这些 LDAP 服务器可以实现 AIX 用户管理的支持，本文说明了如何让非 IBM LDAP 服务器以类似于 AIX LDAP 服务器的方式工作。 　　术语 IBM LDAP 模式IBM 定义的完整的模式集AIX LDAP 模式支持 AIX LDAP 功能的 IBM 模式子集SFU 模式_LDAP.zip 的组成部分。 　　使用 AIX LDAP 模式足以支持 AIX LDAP 用户管理功能，并且就本文而言，它是建议使用的模式。如果您还需要更多 IBM LDAP 模式以支持其他的应用程序，那么您可以从 servers/eserver/iseries/ldap/schema/ 下载全部的 IBM LDAP 模式。 　　使用 AIX LDAP 模式扩展 SunOne LDAP 服务器 　　将 AIX 模式文件 aixSchemaForNS5.ldif 复制到 Solaris LDAP 服务器。确保已经启动了 LDAP 服务器，并运行 ldapmodify命令以加载该模式： # ldapmodify -h (LDAPserver name) -D (Binddn) -a file) 　　例如： #ldapmodify -h myServer.mypany. -D =directory manager -inpaForNS5.ldif 　　使用 AIX LDAP 模式启用 SunOne 用户和组 　　AIX LDAP 模式包括用户的 aixAuxAccount 对象类和组的 aixAuxGroup 对象类。将 AIX LDAP 模式添加到 SunOne LDAP 服务器，以使该模式可供使用，但这并不意味着管理员可以将 AIX 属性设置为现有的 SunOne 用户和组。还必须完成一个额外的步骤，即必须使用 AIX 扩展的对象类对用户和组进行更新。 　　在 SunOne LDAP 服务器中定义的每个用户或者组对象都具有一个列表，其中列出了描述该对象的对象类。您可以运行 ldapsearch 命令，以列出特定用户的对象类。下面是一个示例输出，显示了用户 foo 的对象类： #ldapsearch -h (server) -D (binddn) -ydomain,dc= uid=foo obj