使用 chauthservice 命令可配置系统的远程认证服务。
语法
chauthservice [ -enable { yes | no } ] [ -type ldap ] [ -url url ] [ -username user_name ] [ -password [ password ] ] [ -sslcert file_name ] [ -refresh ]
参数
- -enable yes|no
- (可选)启用或禁用系统的远程认证服务器的使用。 当 enable 参数设置为 no 时,系统会使远程认证失败,但本地认证继续正常运行。
- -type ldap
- (可选)指定认证服务类型(必须为 LDAP)。 必须配置 LDAP 服务器。
Remember: 要使此设置生效,必须启用远程认证服务 (-enable
yes)。
- -url url
- (可选 - 仅限 IBM Security Services)指定 Security Services(在 CLI 中称为 TIP)的 Web 站点地址 (URL)。 URL 的主机部分必须是有效数字 IPv4 或 IPv6 网络地址。 您可以在 URL 中使用以下字符:
- a - z
- A - Z
- 0 - 9
- _
- ~
- :
- [
- ]
- %
- /
URL 的最大长度为 100 个字符。
- 此选项不再使用。
- -username user_name
- (可选)指定 HTTP 基本认证用户名。 用户名不能以空白开头或结尾。 用户名可以包含 1 到 64 个 ASCII 字符组成的字符串,但不得包含以下字符:
- -passwordpassword
- (可选)指定 HTTP 基本认证用户密码。 密码不能以空白开头或结尾。 它必须是 6-64 个可打印 ASCII 字符构成的字符串。 password 变量是可选的。 如果未提供密码,那么系统会提示您输入密码,但不会显示您输入的密码。
- -sslcertfile_name
- (可选)指定文件的名称,该文件包含远程认证服务器的 SSL 证书 - 采用隐私增强型邮件 (PEM) 格式。 该证书文件必须为有效的 PEM 格式,且最大长度为 12 KB。
- -refresh
- (可选)让系统使系统中高速缓存的任何远程用户授权都无效。 当修改认证服务上的用户组并希望这一更改在系统上立即生效时,请使用此选项。
Note: 如果清空高速缓存,那么使用该系统的任何人必须再次登录(例如,如果将凭证提供给某个已定义的 LDAP 服务器)。
描述
系统使用轻量级目录访问协议 (LDAP) 对远程用户进行认证。
启用远程认证之前,请确保正确配置系统上的服务属性。 没必要禁用远程认证服务以更改其属性。
可以使用
chldap 命令配置 LDAP 认证,并且可以使用
mkldapserver 命令将 LDAP 服务器添加到系统中。
Remember: 要将认证类型设置为已启用授权 (true) 的 LDAP,必须配置 LDAP 服务器。
启用认证服务时,系统不会测试远程认证系统是否正常运行。
- 要确定系统是否正常运行,请针对远程认证的用户输入 lscurrentuser 命令。 如果输出列出了从远程认证服务器获取的用户角色,说明远程认证在成功运行。 如果输出是错误消息,那么表明远程认证未正常工作,错误消息会描述问题。
- 要确定 LDAP 是否正常运行,除了 lscurrentuser 命令,还需要输入 testldapserver 命令。 无论是否启用远程认证,都可以输入 testldapserver 命令,并且可以使用该命令测试与 LDAP 服务器的连接,以及用户授权和认证。
当远程认证服务不可用时,要以受控方式将其禁用,请使用不带任何选项的 enable 参数。
调用示例
要禁用远程认证,请输入以下命令:
chauthservice -enable no
在运行命令时显示以下文本:
No feedback
调用示例
要刷新系统远程授权高速缓存,请输入以下命令:
chauthservice -refresh
在运行命令时显示以下文本:
No feedback