chauthservice

使用 chauthservice 命令来配置集群系统(系统)的远程认证服务。

语法

 chauthservice    [  -enable  { yes | no } ]   [  -type  ldap  ]   [  -url  url  ]   [  -username  user_name  ]   [  -password  [ password ] ]   [  -sslcert  file_name  ]   [  -refresh  ]

参数

-enable yes|no
(可选)启用或禁用系统的远程认证服务器的使用。 当 enable 参数设置为 no 时,系统会使远程认证失败,但本地认证继续正常运行。
-type ldap
(可选)指定认证服务类型(必须为 LDAP)。 必须配置 LDAP 服务器。
Remember: 要使此设置生效,必须启用远程认证服务 (-enable yes)。
-url url
(可选 - 仅限 IBM Security Services)指定 Security Services(在 CLI 中称为 TIP)的 Web 站点地址 (URL)。 URL 的主机部分必须是有效数字 IPv4 或 IPv6 网络地址。 您可以在 URL 中使用以下字符:
  • a - z
  • A - Z
  • 0 - 9
  • _
  • ~
  • :
  • [
  • ]
  • %
  • /
URL 的最大长度为 100 个字符。
此选项不再使用。
-username user_name
(可选)指定 HTTP 基本认证用户名。 用户名不能以空白开头或结尾。 用户名可以包含 1 到 64 个 ASCII 字符组成的字符串,但不得包含以下字符:
  • %
  • :
  • "
  • ,
  • *
  • '
-passwordpassword
(可选)指定 HTTP 基本认证用户密码。 密码不能以空白开头或结尾。 它必须是 6-64 个可打印 ASCII 字符构成的字符串。 password 变量是可选的。 如果未提供密码,那么系统会提示您输入密码,但不会显示您输入的密码。
-sslcertfile_name
(可选)指定文件的名称,该文件包含远程认证服务器的 SSL 证书 - 采用隐私增强型邮件 (PEM) 格式。 该证书文件必须为有效的 PEM 格式,且最大长度为 12 KB。
-refresh
(可选)导致系统使系统中高速缓存的任何远程用户权限无效。当修改认证服务上的用户组并希望这一更改在系统上立即生效时,请使用此选项。
Note: 如果清空高速缓存,那么使用该系统的任何人必须再次登录(例如,如果将凭证提供给某个已定义的 LDAP 服务器)。

描述

系统使用轻量级目录访问协议 (LDAP) 对远程用户进行认证。

启用远程认证之前,请确保正确配置系统上的服务属性。 没必要禁用远程认证服务以更改其属性。 可以使用 chldap 命令配置 LDAP 认证,并且可以使用 mkldapserver 命令将 LDAP 服务器添加到系统中。
Remember: 要将认证类型设置为已启用授权 (true) 的 LDAP,必须配置 LDAP 服务器。
启用认证服务时,系统不会测试远程认证系统是否正常运行。
  • 要确定系统是否正常运行,请针对远程认证的用户输入 lscurrentuser 命令。 如果输出列出了从远程认证服务器获取的用户角色,说明远程认证在成功运行。 如果输出是错误消息,那么表明远程认证未正常工作,错误消息会描述问题。
  • 要确定 LDAP 是否正常运行,除了 lscurrentuser 命令,还需要输入 testldapserver 命令。 无论是否启用远程认证,都可以输入 testldapserver 命令,并且可以使用该命令测试与 LDAP 服务器的连接,以及用户授权和认证。

当远程认证服务不可用时,要以受控方式将其禁用,请使用不带任何选项的 enable 参数。

调用示例

要禁用远程认证,请输入以下命令:

chauthservice -enable no

在运行命令时显示以下文本:

No feedback

调用示例

要刷新系统远程授权高速缓存,请输入以下命令:

chauthservice -refresh

在运行命令时显示以下文本:

No feedback