chldap

使用 chldap 命令可更改系统范围内的“轻量级目录访问协议”(LDAP) 配置。该命令可用于使用 LDAP 配置远程认证。使用 mkldapserver 命令对任何配置的 LDAP 服务器进行认证时,都会应用这些设置。

语法

 chldap   { [  -type  [ {  ad  |  itds  |  other  } ] ] |  -reset  } [  -username  username  { [ {  -password  [ password ] |  -encpassword  [ password ] } ] } ] [  -security  {  tls  |  ssl  |  none  } ] [  -userattribute  user_attribute  ] [  -groupattribute  group_attribute  ] [  -auditlogattribute  auditlogattribute  ] [  -nestedgroupsearch  {  client  |  server  |  off  } ]

参数

-type ad | itds | other | -reset
(可选)指定 LDAP 服务器类型,或将 LDAP 配置重置为当前服务器类型的缺省值。已配置服务器类型的缺省值:
  • Active Directory (AD)
  • IBM Security Directory Server (ISDS)
  • 其他
-usernameusername
(可选)指定管理绑定的用户名。这可以是:
Note:
  • 专有名称 (DN)
  • Active Directory 的用户主体名称 (UPN) 或 NT 登录名
-password password
(可选)指定管理绑定的密码。您可以选择使用该参数指定密码。 如果未指定密码,系统会在运行该命令之前提示您输入密码,但不会显示您输入的密码。
-encpasswordpassword
(可选)指定机柜的密码。您可以选择使用该参数指定密码。 如果未指定密码,系统会在运行该命令之前提示您输入密码,但不会显示您输入的密码。
-securitytls | ssl | none
(可选)指定与 LDAP 服务器通信时要使用的安全类型。指定 tls 将启用“传输层安全性”(TLS) 安全功能。指定 ssl 将启用“安全套接字层”(SSL) 安全功能。缺省值为 none
-userattributeuser_attribute
(可选)指定用于确定远程用户的用户名的 LDAP 属性。该用户属性必须在 LDAP 模式中存在并且对各用户必须是唯一的。
-groupattributegroup_attribute
(可选)指定用于确定远程用户组成员资格的 LDAP 属性。该属性必须包含组的 DN 或以冒号分隔的组名称列表。
-auditlogattributeauditlogattribute
(可选)指定用于确定远程用户标识的 LDAP 属性。当用户执行审计操作时,该信息将记录在审计中。
-authcacheminutesauth_cache_minutes
(可选)指定认证信息的高速缓存时间长度。
-nestedgroupsearchclient | server | off
(可选)指定是在客户机(集群系统)还是服务器(认证服务)上评估嵌套组,还是完全不评估嵌套组。

描述

必须至少指定一个参数。

无论是否启用 LDAP 认证,都可以运行 chldap 命令。指定 -reset-type 会填充缺省值,除非另行指定值。

如果指定了 -username,您可以仅指定 -password-encpassword

只有当指定类型与现有类型不同时,-type 参数值才会设置为该指定类型的缺省值。

如果类型为 itds,那么无法执行 -nestedgroupsearch(缺省情况下会对嵌套组求值)。如果类型为 ad,那么 -nestedgroupsearch 只能设置为 clientoff,因为没有服务器支持。如果类型为 other,那么 -nestedgroupsearch 参数完全可配置。

您可以使用 -username 来指定专有名称 (DN)、用户主体名称 (UPN) 或 NT 登录名。专有名称 (DN) 必须是以逗号 (,)、分号 (;) 或加号 (+) 分隔的属性=值对序列。 必须使用反斜杠 (\,) 转义特殊字符,也可以使用反斜杠来通过 UTF-8 字符字节编码指定 UTF-8 字符。例如,带重音符号的 c 可以表示为 \C4\87。NT 登录仅对 Active Directory 有效,其格式必须为 DOMAIN\user。这些登录不能以句点 (.) 作为开头或结尾。 DOMAIN 和用户均不能使用以下字符:\/:?"<>| UPN 登录仅对 Active Directory 有效,并且格式必须为 user@suffix。 user 和 suffix 不能使用空格或以下字符:()<>,;:\"[]@

Tip:
  • 请记住,-userattribute-groupattribute-auditlogattribute 接受符合以下条件的值:
    1. 必须以字母开头
    2. 只包含 ASCII 字母、数字字符和连字符。
    3. 不区分大小写
以下 LDAP(首次)配置建议帮助您进行 LDAP 服务器设置:
Important:
  • 确保根据您的 LDAP 模式适当地配置了系统。发出 chldap-type 以使用服务器类型缺省值填充系统的 LDAP 配置。 发出 chldap -reset 以随时恢复这些缺省值。
    • (高级)对于所有服务器类型,用户使用在 LDAP 属性 user_attribute 中配置的用户名进行认证。 该属性必须存在于 LDAP 模式中,并且对于每个用户都必须是唯一的。它可通过发出 chldap -userattribute 进行配置。Active Directory 用户也可以使用其 UPN 或 NT 登录名进行认证。
    • (高级)会根据其 LDAP 组成员资格对已认证的用户指定角色。每个用户的组成员资格必须存储在 LDAP 属性 group_attribute 中。这可以是包含用户 LDAP 组的 DN 的 LDAP 属性,也可以是包含用冒号分隔的用户组名称列表的 LDAP 属性。它可通过发出 chldap -groupattribute 进行配置。
    • (高级)当 LDAP 认证的用户运行经过审计的命令时,该用户的登录名称将放置在审计日志中。从 LDAP 属性 audit_log_attribute(可通过发出 chldap -auditlogattribute 进行配置)抽取名称。
  • 确保能够在 LDAP 服务器上的用户和组树内搜索系统。缺省情况下,系统进行匿名认证。 因此,您必须允许匿名搜索 LDAP 目录,或创建具有适当许可权的 LDAP 用户,并发出 chldap -usernamechldap -password 命令以指示系统作为该用户进行搜索。
  • 确保系统能够采用适当的安全级别渐近性连接。密码会以明文形式发送至 LDAP 服务器,因此推荐使用“传输层安全性”(TLS) 加密。 发出 chldap -security 以更改安全级别。
  • (高级)在 Active Directory 和一些其他 LDAP 服务器上,系统(缺省情况下)会识别用户直接所属的组。 要根据父组分配用户许可权,请通过发出 chldap -nestedgroupsearch 启用客户机上的嵌套组搜索。 该设置会产生其他性能开销,最多支持 8 级嵌套。

调用示例

chldap -type
itds -username uid=joebloggs,cn=admins,dc=company,dc=com -password passw0rd
-auditlogattribute descriptiveName

生成的输出:

No feedback