使用 chldap 命令可更改系统范围内的“轻量级目录访问协议”(LDAP) 配置。 该命令可用于使用 LDAP 配置远程认证。 使用 mkldapserver 命令对任何配置的 LDAP 服务器进行认证时,都会应用这些设置。
语法
chldap { [ -type [ { ad | itds | other } ] ] | -reset } [ -usernameusername { [ { -password [password] | -encpassword [password] } ] } ] [ -security { tls | ssl | none } ] [ -userattributeuser_attribute ] [ -groupattributegroup_attribute ] [ -auditlogattributeauditlogattribute ] [ -nestedgroupsearch { client | server | off } ]
参数
- -type ad | itds | other | -reset
- (可选)指定 LDAP 服务器类型,或将 LDAP 配置重置为当前服务器类型的缺省值。 已配置服务器类型的缺省值:
- Active Directory (AD)
- IBM Security Directory Server (ISDS)
- 其他
- -usernameusername
- (可选)指定管理绑定的用户名。 这可以是:
Note: - 专有名称 (DN)
- Active Directory 的用户主体名称 (UPN) 或 NT 登录名
- -password password
- (可选)指定管理绑定的密码。 您可以选择使用该参数指定密码。 如果未指定密码,系统会在运行该命令之前提示您输入密码,但不会显示您输入的密码。
- -encpasswordpassword
- (可选)指定机柜的密码。 您可以选择使用该参数指定密码。 如果未指定密码,系统会在运行该命令之前提示您输入密码,但不会显示您输入的密码。
- -securitytls | ssl | none
- (可选)指定与 LDAP 服务器通信时要使用的安全类型。 指定 tls 将启用“传输层安全性”(TLS) 安全功能。 指定 ssl 将启用“安全套接字层”(SSL) 安全功能。 缺省值为 none。
- -userattributeuser_attribute
- (可选)指定用于确定远程用户的用户名的 LDAP 属性。
该用户属性必须在 LDAP 模式中存在并且对各用户必须是唯一的。
- -groupattributegroup_attribute
- (可选)指定用于确定远程用户组成员资格的 LDAP 属性。 该属性必须包含组的 DN 或以冒号分隔的组名称列表。
- -auditlogattributeauditlogattribute
- (可选)指定用于确定远程用户标识的 LDAP 属性。
当用户执行审计操作时,该信息将记录在审计中。
- -authcacheminutesauth_cache_minutes
- (可选)指定认证信息的高速缓存时间长度。
- -nestedgroupsearchclient
| server | off
- (可选)指定是在客户机(集群系统)还是服务器(认证服务)上评估嵌套组,还是完全不评估嵌套组。
描述
必须至少指定一个参数。
无论是否启用 LDAP 认证,都可以运行 chldap 命令。 指定 -reset 或 -type 会填充缺省值,除非另行指定值。
如果指定了 -username,您可以仅指定 -password 或 -encpassword。
只有当指定类型与现有类型不同时,-type 参数值才会设置为该指定类型的缺省值。
如果类型为 itds,那么无法执行 -nestedgroupsearch(缺省情况下会对嵌套组求值)。 如果类型为 ad,那么 -nestedgroupsearch 只能设置为 client 或 off,因为没有服务器支持。 如果类型为 other,那么 -nestedgroupsearch 参数完全可配置。
您可以使用 -username 来指定专有名称 (DN)、用户主体名称 (UPN) 或 NT 登录名。 专有名称 (DN) 必须是以逗号 (,)、分号 (;) 或加号 (+) 分隔的属性=值对序列。 必须使用反斜杠 (\,) 转义特殊字符,也可以使用反斜杠来通过 UTF-8 字符字节编码指定 UTF-8 字符。
例如,带重音符号的 c 可以表示为 \C4\87。 NT 登录仅对 Active Directory 有效,其格式必须为 DOMAIN\user。
这些登录不能以句点 (.) 开始或结束,DOMAIN 和 user 不能使用以下字符:\/:?"<>| UPN
登录仅对 Active Directory 有效,并且格式必须为 user@suffix。 user 和 suffix 不能使用空格或以下字符:()<>,;:\"[]@
Tip: - 请记住,-userattribute、-groupattribute 和 -auditlogattribute 接受符合以下条件的值:
- 必须以字母开头
- 只包含 ASCII 字母、数字字符和连字符。
- 不区分大小写
以下 LDAP(首次)配置建议帮助您进行 LDAP 服务器设置:
Important: - 确保根据您的 LDAP 模式适当地配置了系统。 发出 chldap-type 以使用服务器类型缺省值填充系统的 LDAP 配置。 发出 chldap -reset 以随时恢复这些缺省值。
- (高级)对于所有服务器类型,用户使用在 LDAP 属性 user_attribute 中配置的用户名进行认证。 该属性必须存在于 LDAP 模式中,并且对于每个用户都必须是唯一的。 它可通过发出 chldap -userattribute 进行配置。 Active Directory 用户也可以使用其 UPN 或 NT 登录名进行认证。
- (高级)会根据其 LDAP 组成员资格对已认证的用户指定角色。 每个用户的组成员资格必须存储在 LDAP 属性 group_attribute 中。 这可以是包含用户 LDAP 组的 DN 的 LDAP 属性,也可以是包含用冒号分隔的用户组名称列表的 LDAP 属性。 它可通过发出 chldap -groupattribute 进行配置。
- (高级)当 LDAP 认证的用户运行经过审计的命令时,该用户的登录名称将放置在审计日志中。 从 LDAP 属性 audit_log_attribute(可通过发出 chldap -auditlogattribute 进行配置)抽取名称。
- 确保能够在 LDAP 服务器上的用户和组树内搜索系统。
缺省情况下,系统进行匿名认证。 因此,您必须允许匿名搜索 LDAP 目录,或创建具有适当许可权的 LDAP 用户,并发出 chldap -username 和 chldap -password 命令以指示系统作为该用户进行搜索。
- 确保系统能够采用适当的安全级别渐近性连接。
密码会以明文形式发送至 LDAP 服务器,因此推荐使用“传输层安全性”(TLS) 加密。 发出 chldap -security 以更改安全级别。
- (高级)在 Active Directory 和一些其他 LDAP 服务器上,系统(缺省情况下)会识别用户直接所属的组。 要根据父组分配用户许可权,请通过发出 chldap -nestedgroupsearch 启用客户机上的嵌套组搜索。 该设置会产生其他性能开销,最多支持 8 级嵌套。
调用示例
chldap -type
itds -username uid=joebloggs,cn=admins,dc=company,dc=com -password passw0rd
-auditlogattribute descriptiveName
生成的输出:
No feedback