AIX 5L LDAP 用户管理

概括了解 AIX 5L? 操作系统 V5.3 TL5 更新中轻量级目录访问协议（Lightweight Directory Access Protocol，LDAP）的相关增强功能。这些增强功能包括对 Active Directory 的支持、多个基本专有名称 (DN) 支持，以及扩展的基本 DN 格式。

引言

对于 AIX 5L? 操作系统，基于轻量级目录访问协议 (LDAP) 的用户管理越来越受到广泛的关注。通常，客户端可以使用 LDAP 或带 Kerberos 的 LDAP 来实现他们的身份验证和用户管理需求。LDAP 为维护系统配置和策略信息提供了一种集中的机制。这使得客户端可以仅使用一组用户标识配置信息来配置和管理多个系统，并且可以简化系统管理工作。AIX 5L LDAP 客户端支持对各种系统的用户、组和网络信息的管理数据库进行集中式管理。

术语

在本文中，我们将使用到下列术语和定义：

表 1. 术语术语 描述
Active Directory 服务 Microsoft? Active Directory Server 提供的目录服务
AIX 5L V5.3 TL 05 AIX 5L Service Release Technology Level 05
LDAP 轻量级目录访问协议，一种用于用户安全存储库和身份验证机制的开放标准
SFU Microsoft's Services For UNIX? 软件模块，它以接近于符合 RFC 2307 的 LDAP 服务器的方式提供 Active Directory 配置

AIX 5L LDAP 用户管理概述

本部分描述了 AIX 5L 操作系统 V5.3 在 TL5 更新之前的 LDAP 用户管理特性。在下面的文档中对所有的特性进行了详细的描述：AIX? 文档“Configuring an AIX Client System for User Authentication and Management through LDAP”白皮书、以及 Integrating AIX 5L into Heterogeneous LDAP Environments IBM 红皮书（请参见参考资料部分）。

AIX 操作系统是 20 世纪 90 年代首批引入基于 LDAP 的用户管理的操作系统之一。在 Request for Comment (RFC) 2307 成为维护用户或组信息的标准方法后，各种操作系统都需要为目录支持提供更标准化的方法。为了符合 RFC 2307 标准，对 AIX 5L 基于 LDAP 的用户管理进行了相应的改造，允许客户端管理 AIX 5L 系统以及符合 RFC 2307 的其他平台类型的系统。

AIX 5L 基于 LDAP 的用户管理中一些重要的部分包括：
支持 AIX 5L 用户和组属性全集
当选择 AIX 5L 操作系统平台作为 LDAP 服务器（以及 AIX 5L 媒体中包含的 LDAP 软件）时，AIX 5L 操作系统比 RFC 2307 支持更多的属性，并且对用户登录提供了附加的控制功能。AIX 5L 操作系统提供了完整的密码和登录控制。（有些属性是 AIX 5L 中所特有的，在 AIX 5L Version 5.3 安全指南中对其进行了说明。请参见参考资料部分。）

AIX 5L 操作系统在其 LDAP 实现中支持下列数据库：
RFC 2307 指定的信息和其他用户或组信息
高级统计配置表
与 AIX 5L 用户管理命令和工具的无缝集成
可以使用客户所熟悉的一组相同的命令和系统管理工具 (SMIT) 接口来完成 LDAP 相关的管理工作。AIX 5L 操作系统提供了相应的接口以包括 LDAP，从而为 LDAP 客户端和服务器提供简单的配置。

AIX 5L 操作系统还提供了一些工具，用于将配置信息从本地文件迁移到 LDAP 数据库。
支持自动加载
AIX 5L 操作系统为用户提供了自动加载功能，使得用户可以使用网络文件系统 (NFS) 建立自己的 home 目录。

多服务器配置和故障转移功能
可以对 AIX 5L 操作系统进行配置以使用多个 LDAP 服务器来检索配置信息，并且可以确定这些服务器的优先级，这样一来，为 LDAP 服务器信息提供了冗余保护。如果主 LDAP 服务器出现了故障，那么 AIX 5L 操作系统将自动故障转移到另一台服务器。

受支持的 LDAP 服务器

可以通过将 AIX 5L 服务器配置为 LDAP 服务器的客户端，从而实现 AIX 5L LDAP 用户管理。AIX 5L 基于 LDAP 的用户和组管理支持下列类型的目录服务器：
IBM Tivoli? Directory Server，推荐的 LDAP 服务器