总览
在异构环境中,集中用户和组是一项繁琐的任务。 对于管理员而言,将用户和组及其属性部署在同一服务器上并从异构客户端进行管理始终是一项艰巨的任务。 当需要在客户端系统上授予用户访问权限时,可以在服务器级别或客户端级别验证用户凭据。 在异构环境中,所有客户端可能无法理解用于验证用户凭据的服务器密码加密算法。 因此,服务器应验证用户凭据,并根据客户端的功能向客户端授予对用户的访问权限。
IBM AIX LDAP能够处理多种AIX安全性功能。 这些安全功能提供了对客户端系统上访问的精细控制。 但是,这些功能可能不适用于异构环境中的所有客户端。 本文介绍了传递身份验证机制,该机制允许AIX用户使用其Windows登录密码对AIX分区进行身份验证。
图1描述了Windows AD服务器作为IBM Tivoli Directory Server的传递身份验证服务器的集成。
图1. Windows AD Server作为传递身份验证服务器的集成
当AIX LDAP客户机向IBM Tivoli Directory Server发送请求以进行用户验证时,服务器会将用户凭证转发到Windows AD服务器以进行认证。 在Windows AD服务器上对用户进行认证之后,基于Windows AD服务器的响应,Tivoli Directory Server会在AIX LDAP客户机上向用户授予访问权限。
传递身份验证的优点:
- 简化密码管理
- 用户可以在Windows客户端和AIX客户端上使用相同的密码登录。
- 用户认证由Windows服务器处理,而用户标识由IBM Tivoli Directory Server处理。
LDAP直通身份验证服务器的配置
执行以下步骤来配置LDAP传递身份验证服务器。
- 配置AIX LDAP服务器和AIX LDAP客户端。
注意:本文不会显示配置AIX LDAP客户端和服务器的步骤。 请参阅参考资料部分中的LDAP配置。 - 在Windows AD服务器上存储用户,组和密码。
- 在IBM LDAP服务器上启用传递身份验证。
- 在ibmslpad.conf文件中将ibm-slapdPtaEnable设置为true 。 默认情况下,该值将设置为false 。 也可以使用ldapmodify命令设置该值。 请参考下图中的命令以在ldap配置文件中进行更改。
- 修改传递身份验证dn以在Windows AD Server和Tivoli Directory Server之间映射属性。 这些更改将在ibmslapd.conf文件中更新。
- 重新启动IBM Tivoli Directory Server LDAP服务器进程,以使更改生效。 使用下图中指定的命令重新启动LDAP服务器进程
- 在LDAP服务器上创建用户而不定义该用户的密码。 可以从AIX LDAP客户端使用mkuser命令或使用ldapadd命令创建用户。
- 使用密码在Microsoft Windows AD服务器上创建一个用户。
- 将Windows AD服务器上用户的给定名称与AIX LDAP服务器上的用户名进行映射。
- 验证来自AIX LDAP客户端的用户登录名。
注意:确保在LDAP客户端上配置了ldap_auth身份验证类型。 使用unix_auth认证机制,用户无法登录到AIX LDAP客户端。
结论
传递身份验证机制使服务器可以将用户身份验证请求重定向到传递身份验证服务器,以在授予客户端系统访问权限之前验证用户凭据。 这提供了单个密码策略,因此用户无需记住多个密码。
扫一扫
3万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
