AIX 5L LDAP 用户管理

11/27/06 15:33:55 11/28/06 01:33:28 krbtgt/ADDOMAIN.ABC.COM@ADDOMAIN.ABC.COM
Renew until 11/28/06 15:33:55
#

配置 AIX 5L LDAP 以使用 Active Directory。

要使用 mksecldap 命令对 AIX 5L LDAP 进行配置以使用 Active Directory，请按照前面的“配置 AIX 5L 以使用 unix_auth 模式与 Active Directory 协同工作”部分中的说明进行操作。不要为用户设置 SYSTEM 和 registry 属性，不要修改 /etc/security/user 文件的 default 节。
创建 KRB5ALDAP 复合加载模块。

向 /usr/lib/security/methods.cfg 文件中手动追加下列内容。 KRB5A:
             program = /usr/lib/security/KRB5A
             options = authonly

KRB5ALDAP:
             options = db=LDAP,auth=KRB5A

或者，如果不需要 TGT 验证，可以按照如下所示设置复合加载模块。在这些情况下，您可以省略步骤 5 和 6，直接转到步骤 7。
KRB5A:
              program = /usr/lib/security/KRB5A
              options = tgt_verify=no

KRB5ALDAP:
              options = db=LDAP,auth=KRB5A

在 Windows 服务器上创建 AIX 5L 主体。
在 Windows 服务器上创建一个用户帐户。使用 AIX 5L 主机名作为用户名，例如 aixhost。
通过在 Windows 服务器上运行 ktpass 命令，将该帐户映射为 AIX 5L 主机主体，并将 ktpass 命令的 keytab 输出到一个文件。
ktpass – princ host/aixhost.ibmabc.com@ADDOMAIN.ABC.COM –mapuser
aixhost –pass password –out aixhost.keytab

将 aixhost.keytab 文件复制到 AIX 系统，并使用 ktutil 工具将密钥添加到 AIX keytab。
# /usr/krb5/sbin/ktutil
ktutil: rkt aixhost.keytab
ktutil: wkt /etc/krb5/krb5.keytab
ktutil: q

允许 Windows 用户登录到 AIX 5L 操作系统。

要允许 Windows 用户使用 KRB5ALDAP 机制登录到 AIX 5L 操作系统，管理员需要在 AIX 5L 操作系统中运行下面的命令： # chuser -R KRB5ALDAP SYSTEM=KRB5ALDAP registry=KRB5ALDAP foo

其中，foo 是一个示例用户。

在进行了更改之后，Windows 用户可以使用他们的 Windows 密码登录到 AIX 5L 操作系统。不需要在 AIX 5L 操作系统中创建相应的用户。用户的标识信息来自于 Windows Active Directory。

如果要让所有的 Windows 用户都能够登录到 AIX 5L 操作系统，为每个用户进行上述的操作可能非常麻烦。在这些情况下，管理员可以手动编辑 /etc/security/user 文件，并将 default 节的 SYSTEM 和 registry 属性设置为 KRB5ALDAP。如果 default 节中不包含这些属性，那么需要添加它们。default 节应该与下面所示类似： default:
...
SYSTEM = KRB5ALDAP
registry = KRB5ALDAP
...

如果已将 default 节更改为 KRB5ALDAP，这些本地定义的用户可能无法登录到 AIX 5L 操作系统，除非将他们的 SYSTEM 设置为 compat，registry 设置为 files。管理员需要找出这些帐户，并为每个用户运行下面的命令以进行相应的更改。 # chuser SYSTEM=compat registry=files <local user>

本新闻共10页,当前在第06页 01 02 03 04 05 06 07 08 09 10

上一篇：使用SUMA 更新AIX系统

下一篇：怎样在AIX 防火墙上追踪IP通信的状况

�"mbP r