使用 chauthservice 命令来配置集群系统(系统)的远程认证服务。
语法
chauthservice [ -enable { yes | no } ] [ -type ldap ] [ -url url ] [ -username user_name ] [ -password [ password ] ] [ -sslcert file_name ] [ -refresh ]
参数
- -enable yes|no
- (可选)启用或禁用系统的远程认证服务器的使用。当 enable 参数设置为 no 时,系统会使远程认证失败,但本地认证继续正常运行。
- -type ldap
- (可选)指定认证服务类型(必须为 LDAP)。必须配置 LDAP 服务器。
Remember: 要使此设置生效,必须启用远程认证服务 (-enable
yes)。
- -url url
- (可选 - 仅限 IBM Security Services)指定 Security Services(在 CLI 中称为 TIP)的 Web 站点地址 (URL)。URL 的主机部分必须是有效数字 IPv4 或 IPv6 网络地址。
您可以在 URL 中使用以下字符:
- a - z
- A - Z
- 0 - 9
- _
- ~
- :
- [
- ]
- %
- /
URL 的最大长度为 100 个字符。
- 此选项不再使用。
- -username user_name
- (可选)指定 HTTP 基本认证用户名。
用户名不能以空白开头或结尾。用户名可以包含 1 到 64 个 ASCII 字符组成的字符串,但不得包含以下字符:
- -passwordpassword
- (可选)指定 HTTP 基本认证用户密码。
密码不能以空白开头或结尾。它必须是 6-64 个可打印 ASCII 字符构成的字符串。password 变量是可选的。如果未提供密码,那么系统会提示您输入密码,但不会显示您输入的密码。
- -sslcertfile_name
- (可选)指定文件的名称,该文件包含远程认证服务器的 SSL 证书 - 采用隐私增强型邮件 (PEM) 格式。该证书文件必须为有效的 PEM 格式,且最大长度为 12 KB。
- -refresh
- (可选)导致系统使系统上高速缓存的任何远程用户授权无效。当您在修改认证服务上的用户组并且要使更改在系统上立即生效时使用此选项。
Note: 如果清空高速缓存,那么使用该系统的任何人必须再次登录(例如,如果将凭证提供给某个已定义的 LDAP 服务器)。
描述
系统使用轻量级目录访问协议 (LDAP) 对远程用户进行认证。
启用远程认证之前,请确保正确配置系统上的服务属性。没必要禁用远程认证服务以更改其属性。
可以使用
chldap 命令配置 LDAP 认证,并且可以使用
mkldapserver 命令将 LDAP 服务器添加到系统中。
Remember: 要将认证类型设置为已启用授权 (true) 的 LDAP,必须配置 LDAP 服务器。
启用认证服务时,系统不会测试远程认证系统是否正常运行。
- 要确定系统是否正常运行,请针对远程认证的用户输入 lscurrentuser 命令。如果输出列出了从远程认证服务器获取的用户角色,说明远程认证在成功运行。如果输出是错误消息,那么表明远程认证未正常工作,错误消息会描述问题。
- 要确定 LDAP 是否正常运行,除了 lscurrentuser 命令,还需要输入 testldapserver 命令。无论是否启用远程认证,都可以输入 testldapserver 命令,并且可以使用该命令测试与 LDAP 服务器的连接,以及用户授权和认证。
当远程认证服务不可用时,要以受控方式将其禁用,请使用不带任何选项的 enable 参数。
调用示例
要禁用远程认证,请输入以下命令:
chauthservice -enable no
在运行命令时显示以下文本:
No feedback
调用示例
要刷新系统远程授权高速缓存,请输入以下命令:
chauthservice -refresh
在运行命令时显示以下文本:
No feedback