Настройка сетевых групп IBM LDAP с помощью сервера Windows Active Directory


Сетевые группы предоставляют возможность установить специальные полномочия для своих пользователей Пользователи, которые были сконфигурированы под конкретной сетевой группой, могут иметь различные привилегии по сравнению с пользователями из другой сетевой группы. Эта статья объясняет, как сконфигурировать сетевые группы в облегченном протоколе службы каталогов IBM (LDAP) для клиентской операционной системы AIX® при помощи сервера Microsoft Active Directory.

Введение

Сетевые группы очень удобны для системных администраторов, поскольку позволяют им контролировать доступ в систему отдельных людей или вычислительных машин, управлять конфигурацией сети на ролевой основе и предлагают другие возможности. Если ваша система развернута на базе Облегченного Протокола Службы Каталогов (LDAP), вы можете использовать сетевые группы для повышения безопасности и управляемости системы. Эта статья содержит пошаговое руководство для настройки сетевых групп IBM LDAP при помощи сервера Windows® Active Directory.

Вы должны иметь общее представление о централизованном управлении базами данных, протоколе LDAP и принципах его конфигурирования на сервере Windows Active Directory. Системные администраторы AIX® со знаниями среднего или начального уровня, возможно, найдут эту статью чрезвычайно полезной.

Системные требования

Для реализации настройки, описанной в этой статье, потребуется клиент IBM LDAP, AIX и сервер Microsoft® Windows Active Directory 2000/2003, сконфигурированный для работы с протоколом LDAP.

Сетевые группы

Сетевые группы – это удобный способ идентифицировать под определенными именами группу хостов, людей, или доменов с целью обеспечить контроль доступа (см. Сетевые группы). Вы можете использовать сетевые группы для ограничения удаленного входа в систему и удаленной работы с ней. Сетевые группы хранятся на сервере Windows 2000/2003 Microsoft Active Directory. Вы можете сконфигурировать сервер Windows Active Directory в качестве LDAP-сервера для клиентской стороны IBM LDAP. Пользователи, которые включены в эти группы, имеют доступ к клиентской системе IBM LDAP.

Сетевые группы
Сетевая группа (на основе LDAP или без него) поддерживается только в AIX 5.3 и более поздних версиях.

Например, предположим, что у вас есть LDAP-сервер с большим числом пользователей, который сконфигурирован вместе с несколькими LDAP-клиентами, и вы хотите открыть доступ для LDAP-клиентов с определенными пользователями. Вы должны убедиться, что определили этих пользователей в сетевых группах.

IBM LDAP предоставляет поддержку для сервера Windows 2000/2003 Microsoft Active Directory только в AIX 5.3 TL 05 и более поздних версиях. Также прочтите книгу Integrating AIX 5L into Heterogeneous LDAP Environments из коллекции IBM Redbooks , чтобы ознакомится со всеми деталями настройки IBM LDAP-клиента при помощи сервера Microsoft Active Directory.

Конфигурация

Выполните следующие шаги для настройки сетевых групп на IBM LDAP-клиенте при помощи Microsoft Active Directory:

  1. Определите группы и пользователей, которым нужен доступ к IBM LDAP-клиенту, в файле AIX /etc/netgroup. Файл /etc/netgroup определяет общесетевые группы. Каждая строка в файле определяет группу, и имеет следующий синтаксис:

     

     								Group name (hostname, username, domain name)												 				

    Взгляните на пример:

     								testgroup (znim.austin.ibm.com, user1, test)testgroup1 (, user2,)												 				

    Обратите внимание, что в этих записях не следует использовать тире (-).

  2. Скопируйте файл распределения /etc/netgroup на сервер Windows 2000/2003 Active Directory.
  3. Используйте утилиту nis2ad, запускаемую из командной строки Windows для переноса записей о группах из копии файла распределения на сервер Active Directory.

    Синтаксис nis2ad следующий:

     								nis2ad -y <Unix_NIS_domain> -a <windows_NIS_Domain> -u <username> -p <passwd> -s <server name>-m <map file>												 				

    В таблице 1 перечислены команды для переноса записей о группах.

    Таблица 1. Перенос записей о группах

    Команда Описание
    Unix_NIS_domain Эта команда задает UNIX® NIS-область, откуда был скопирован файл распределения.
    windows_NIS_Domain Эта команда задает область Windows NIS на сервере Active Directory, куда будет перенесен файл распределения.
    username Эта команда задает имя пользователя, обладающего привилегиями администратора.
    passwd Эта команда задает пароль пользователя.
    mapfile Эта команда задает файл, который надо скопировать из IBM LDAP-клиента.
  4. Записи из файла Netgroup будут добавлены, как показано на рисунке 1 и рисунке 2, на сервер Active Directory.

    Рисунок 1. Командная строка
    Командная строка

    Рисунок 2. Active Directory
    Active Directory

  5. На клиентском компьютере IBM LDAP проверка новых записей файла netgroup может быть выполнена командой lsldap:
     								lsldap -a netgroup												 				
  6. На IBM LDAP-клиенте, активируйте сетевые группы LDAP добавляя сетевую группу в файл /etc/security/ldap/ldap.cfg:
     								netgroupbasedn:CN=netgroup,CN=ztrans,CN=DefaultMigrationContainer30,DC=ztrans,DC=in,DC=ibm,DC=com												 				
  7. Перезапустите демона IBM LDAP-клиента (Secldapclntd):
     								/usr/sbin/restart-secldapclntd												 				
  8. На IBM LDAP-клиенте добавьте netgroup-опцию в раздел LDAP файла /usr/lib/security/methods.cfg:
     								LDAP:program = /usr/lib/security/LDAPprogram_64 =/usr/lib/security/LDAP64options = netgroup												 				
  9. Добавьте поисковый параметр netgroup nis_ldap в файл /etc/irs.conf:
     								netgroup nis_ldap												 				
  10. Для аутотентификации пользователя на клиентском компьютере с IBM LDAP, добавьте информацию о пользователе в файл /etc/security/user:
     								user1:SYSTEM="compat"registry=compat												 				
  11. На клиентском компьютере с IBM LDAP, добавьте информацию о группе в файл /etc/passwd.

    Добавьте escape-последовательность сетевой группы в конец файла /etc/passwd:

     								# echo "+@testgroup" >> /etc/passwd				#echo "+@testgroup1" >> /etc/passwd												 				
  12. На компьютере с IBM LDAP-клиентом откройте файл /etc/group для редактирования.

    Добавьте escape-последовательность сетевой группы в файл /etc/group:

     

     								# echo "+:" >> /etc/group												 				
  13. 13. На компьютере с IBM LDAP-клиентом, проверьте, может ли быть найдена информация о пользователях сетевой группы при помощи команды lsuser, и войдите в систему, как пользователь сетевой группы:

     

     								# lsuser -R compat user1user1 id=1233 pgrp=staff groups=staff home=/home/user1 				shell=/usr/bin/ksh login=true ...												 				

Сетевые группы IBM LDAP поддерживаются только в Windows 2000/2003. Windows 2003 R2 поддерживается в AIX 5.3 Tl06 и более поздних версиях.

по материалам www.ibm.com/developerworks

Оставьте комментарий