使用 chldap 命令可更改系统范围内的“轻量级目录访问协议”(LDAP) 配置。该命令可用于使用 LDAP 配置远程认证。使用 mkldapserver 命令对任何配置的 LDAP 服务器进行认证时,都会应用这些设置。
语法
chldap { [ -type [ { ad | itds | other } ] ] | -reset } [ -username username { [ { -password [ password ] | -encpassword [ password ] } ] } ] [ -security { tls | ssl | none } ] [ -userattribute user_attribute ] [ -groupattribute group_attribute ] [ -auditlogattribute auditlogattribute ] [ -nestedgroupsearch { client | server | off } ]
参数
- -type ad | itds | other | -reset
- (可选)指定 LDAP 服务器类型,或将 LDAP 配置重置为当前服务器类型的缺省值。已配置服务器类型的缺省值:
- Active Directory (AD)
- IBM Security Directory Server (ISDS)
- 其他
- -usernameusername
- (可选)指定管理绑定的用户名。这可以是:
Note: - 专有名称 (DN)
- Active Directory 的用户主体名称 (UPN) 或 NT 登录名
- -password password
- (可选)指定管理绑定的密码。您可以选择使用该参数指定密码。
如果未指定密码,系统会在运行该命令之前提示您输入密码,但不会显示您输入的密码。
- -encpasswordpassword
- (可选)指定机柜的密码。您可以选择使用该参数指定密码。
如果未指定密码,系统会在运行该命令之前提示您输入密码,但不会显示您输入的密码。
- -securitytls | ssl | none
- (可选)指定与 LDAP 服务器通信时要使用的安全类型。指定 tls 将启用“传输层安全性”(TLS) 安全功能。指定 ssl 将启用“安全套接字层”(SSL) 安全功能。缺省值为 none。
- -userattributeuser_attribute
- (可选)指定用于确定远程用户的用户名的 LDAP 属性。该用户属性必须在 LDAP 模式中存在并且对各用户必须是唯一的。
- -groupattributegroup_attribute
- (可选)指定用于确定远程用户组成员资格的 LDAP 属性。该属性必须包含组的 DN 或以冒号分隔的组名称列表。
- -auditlogattributeauditlogattribute
- (可选)指定用于确定远程用户标识的 LDAP 属性。当用户执行审计操作时,该信息将记录在审计中。
- -authcacheminutesauth_cache_minutes
- (可选)指定认证信息的高速缓存时间长度。
- -nestedgroupsearchclient
| server | off
- (可选)指定是在客户机(集群系统)还是服务器(认证服务)上评估嵌套组,还是完全不评估嵌套组。
描述
必须至少指定一个参数。
无论是否启用 LDAP 认证,都可以运行 chldap 命令。指定 -reset 或 -type 会填充缺省值,除非另行指定值。
如果指定了 -username,您可以仅指定 -password 或 -encpassword。
只有当指定类型与现有类型不同时,-type 参数值才会设置为该指定类型的缺省值。
如果类型为 itds,那么无法执行 -nestedgroupsearch(缺省情况下会对嵌套组求值)。如果类型为 ad,那么 -nestedgroupsearch 只能设置为 client 或 off,因为没有服务器支持。如果类型为 other,那么 -nestedgroupsearch 参数完全可配置。
您可以使用 -username 来指定专有名称 (DN)、用户主体名称 (UPN) 或 NT 登录名。专有名称 (DN) 必须是以逗号 (,)、分号 (;) 或加号 (+) 分隔的属性=值对序列。
必须使用反斜杠 (\,) 转义特殊字符,也可以使用反斜杠来通过 UTF-8 字符字节编码指定 UTF-8 字符。例如,带重音符号的 c 可以表示为 \C4\87。NT 登录仅对 Active Directory 有效,其格式必须为 DOMAIN\user。这些登录不能以句点 (.) 作为开头或结尾。
DOMAIN 和用户均不能使用以下字符:\/:?"<>| UPN
登录仅对 Active Directory 有效,并且格式必须为 user@suffix。 user 和 suffix 不能使用空格或以下字符:()<>,;:\"[]@
Tip: - 请记住,-userattribute、-groupattribute 和 -auditlogattribute 接受符合以下条件的值:
- 必须以字母开头
- 只包含 ASCII 字母、数字字符和连字符。
- 不区分大小写
以下 LDAP(首次)配置建议帮助您进行 LDAP 服务器设置:
Important: - 确保根据您的 LDAP 模式适当地配置了系统。发出 chldap-type 以使用服务器类型缺省值填充系统的 LDAP 配置。
发出 chldap -reset 以随时恢复这些缺省值。
- (高级)对于所有服务器类型,用户使用在 LDAP 属性 user_attribute 中配置的用户名进行认证。
该属性必须存在于 LDAP 模式中,并且对于每个用户都必须是唯一的。它可通过发出 chldap -userattribute 进行配置。Active Directory 用户也可以使用其 UPN 或 NT 登录名进行认证。
- (高级)会根据其 LDAP 组成员资格对已认证的用户指定角色。每个用户的组成员资格必须存储在 LDAP 属性 group_attribute 中。这可以是包含用户 LDAP 组的 DN 的 LDAP 属性,也可以是包含用冒号分隔的用户组名称列表的 LDAP 属性。它可通过发出 chldap -groupattribute 进行配置。
- (高级)当 LDAP 认证的用户运行经过审计的命令时,该用户的登录名称将放置在审计日志中。从 LDAP 属性 audit_log_attribute(可通过发出 chldap -auditlogattribute 进行配置)抽取名称。
- 确保能够在 LDAP 服务器上的用户和组树内搜索系统。缺省情况下,系统进行匿名认证。
因此,您必须允许匿名搜索 LDAP 目录,或创建具有适当许可权的 LDAP 用户,并发出 chldap -username 和 chldap -password 命令以指示系统作为该用户进行搜索。
- 确保系统能够采用适当的安全级别渐近性连接。密码会以明文形式发送至 LDAP 服务器,因此推荐使用“传输层安全性”(TLS) 加密。
发出 chldap -security 以更改安全级别。
- (高级)在 Active Directory 和一些其他 LDAP 服务器上,系统(缺省情况下)会识别用户直接所属的组。
要根据父组分配用户许可权,请通过发出 chldap -nestedgroupsearch 启用客户机上的嵌套组搜索。
该设置会产生其他性能开销,最多支持 8 级嵌套。
调用示例
chldap -type
itds -username uid=joebloggs,cn=admins,dc=company,dc=com -password passw0rd
-auditlogattribute descriptiveName
生成的输出:
No feedback