使用轻量级目录访问协议配置远程认证

远程认证允许用户使用存储在外部认证服务上的凭证向系统认证。配置远程认证时,您不需要在系统上配置用户或指定其他密码。相反,您可以使用远程服务上的现有密码和用户组来简化用户管理和访问,更有效地实施密码策略并将用户管理和存储器管理分隔。

远程用户在具有轻量级目录访问协议 (LDAPv3) 支持的远程服务上进行认证。远程用户无需本地认证方法。 若使用 LDAP,需要密码,但 SSH 密钥不是必需的,仅作为可选项来配置。当远程服务停止时,需要进行访问的远程用户也需要配置本地凭证。 远程用户的组由远程认证服务定义。

使用管理 GUI

要使用 LDAP 配置远程认证,请完成以下步骤:
  1. 在管理 GUI 中,选择设置 > 安全性 > 远程认证
  2. 选择配置远程认证
  3. 选择 LDAP
  4. 选择用于认证的 LDAP 服务器类型。
  5. 选择下列其中一个安全性选项:
    传输层安全性 (TLS)
    选择该选项以配置扩展,用于将标准 LDAP 端口 (389) 升级到使用 TLS 或 SSL 的加密端口。 到目录服务器的初始连接未加密,但可以在端口 636 不可用的系统上使用。
    安全套接字层 (Secure Sockets Layer, SSL)
    选择该选项以使用缺省安全端口 (636) 保护 LDAP 通信。与目录服务器的所有事务的连接都会加密。
    None
    选择该选项以不加密的明文形式传输数据。
  6. 指定可选的服务凭证或修改高级 LDAP 设置。可以配置以下 LDAP 属性:
    用户属性
    对于所有服务器类型,用户使用通过 LDAP 用户属性定义的用户名进行认证。该属性必须在 LDAP 模式中存在并且对每个用户必须是唯一的。Active Directory 用户还可使用其用户主体名称 (UPN) 或 NT 登录名进行认证。
    组属性
    将会根据已认证的用户的 LDAP 组成员资格向其指定角色。用户所属的组存储在 LDAP 组属性中。该属性值可以是每个组的专有名称或者以冒号分隔的用户组名称列表。
    审计日志属性
    如果 LDAP 用户执行审计操作,将在审计日志中记录审计日志属性的内容。
  7. 定义最多 6 台 LDAP 服务器用于认证。可以配置多台服务器来提供对不同用户组的访问,或用于冗余。此外,还可以配置哪些服务器首选用于认证用户。
  8. 验证 LDAP 配置。要测试到 LDAP 服务器的连接,请选择全局操作 > 测试 LDAP 连接。要测试向 LDAP 服务器的认证,请选择全局操作 > 测试 LDAP 认证并输入相应的用户凭证。
  9. 需要在不提供密码的情况下即可访问的远程用户必须在系统上配置 Secure Shell (SSH) 密钥。要配置远程用户使用 SSH 密钥进行访问,请完成以下步骤:
    1. 选择访问 > 用户
    2. 选择新建用户或通过选择操作 > 属性来更改现有用户。
    3. 选择远程认证方式并提供 SSH 公用密钥,如果需要在不输入密码的情况下访问命令行,请使用 SSH 公用密钥。

    要从系统删除用户,请完成以下步骤:

    1. 选择访问 > 用户
    2. 右键单击该用户并选择操作 > 删除

使用命令行界面

要通过使用命令行界面来启用使用 LDAP 进行用户认证,请遵循以下步骤:
  1. 通过输入 chldap 命令以配置 LDAP。
    该命令将提供 IBM Security Directory Server 和 AD 的缺省设置。例如,要配置为使用 IBM Security Directory Server 模式缺省值和传输层安全性 (TLS) 进行认证,请输入以下命令:
    chldap -type itds -security tls
    LDAP 配置可以使用 lsldap 命令进行检查。
    Note: 使用 TLS 以加密所传送的密码。
  2. 指定 mkldapserver 命令,以最多定义六台 LDAP 服务器用于认证。
    可以配置多台服务器来提供对不同用户组的访问,或用于冗余。所有服务器都必须共享使用 chldap 配置的设置。 例如,要为 LDAP 服务器配置 SSL 证书以及位于 cn=users,dc=company,dc=com 子树中的用户,请输入以下命令: 
    mkldapserver -ip 9.71.45.108 -basedn cn=users,dc=company,dc=com -sslcert /tmp/sslcert.pem

    此外,还可以配置哪些服务器首选用于认证用户。

    指定 lsldapserver 以获取 LDAP 服务器配置信息。指定 chldapserverrmldapserver 可更改已配置的 LDAP 服务器。

  3. 通过匹配由认证服务使用的用户组来配置系统上的用户组。

    对于认证服务已知的每个期望的组,必须用相同的名称创建系统用户组,并且必须已启用远程设置。例如,如果名为 sysadmins 的组的成员需要系统管理员 (admin) 角色,请输入以下命令: 

    mkusergrp -name sysadmins -remote -role Administrator

    如果没有任何用户组与系统用户组匹配,那么该用户无法访问系统。

  4. 使用 testldapserver 命令验证 LDAP 配置。
    要测试与 LDAP 服务器的连接,请输入不带任何选项的命令。可以为用户名提供或不提供密码,以测试是否有配置错误。 要针对每台服务器尝试处理完全认证,请输入以下命令: 
    testldapserver -username username -password password
  5. 输入以下命令以启用 LDAP 认证:
    chauthservice -type ldap -enable yes
  6. 配置不需要 Secure Shell (SSH) 密钥访问的用户。
    删除必须使用远程认证服务并且不需要 SSH 密钥访问的系统用户。
    Remember: superuser 无法被删除,也不能使用远程认证服务。
  7. 配置需要 SSH 密钥访问的用户。

    所有使用远程认证服务并需要 SSH 密钥访问的系统用户都必须已启用远程设置,并且已在系统上配置了有效的 SSH 密钥。

  8. 指定与 LDAP 服务器通信时要使用的安全类型。

    指定 tls 以启用 TLS。选择该选项以配置扩展,用于将标准 LDAP 端口 (389) 升级到使用 TLS 的加密端口。到目录服务器的初始连接未加密,但可以在端口 636 不可用的系统上使用。

    指定 ssl 以启用 SSL 安全性。该选项通过使用缺省安全端口 (636) 保护 LDAP 通信。与目录服务器的所有事务的连接都会加密。缺省值为 none。

Parent topic: 配置用户认证