我们需要使用 LDAP 针对 OID 对 AIX 服务器上的本地用户进行身份验证。我们在 OID 中有一个分支,我们在其中放置和同步了 Active Directory 用户。我们还在 OID 上配置了外部身份验证,以便它针对 AD 验证用户名/密码。
有没有人在这种类型的环境中为 AIX 配置了身份验证?我们认为我们需要在 OID 中的用户目录条目上填充 unix 特定属性,但不确定需要哪些属性。
此外,我们希望根据 OID 对 Oracle 数据库用户进行身份验证,但由于外部身份验证,我们无法在 OID 上的用户目录条目上填充 ORCLPASSWORD 属性(这是 Oracle 在其中查找密码的属性)。
欢迎提供任何一个或两个方面的帮助。
用于操作系统的 Oracle 身份验证服务使这非常容易。它会生成一个脚本,为您完成 AIX 服务器上的大部分配置。
通常,使用 AIX 实现几乎任何 LDAP 都是一项繁琐的任务。看起来这是设计使然。但是,有一本很好的红皮书,名称类似于“Integrating AIX with Heterogenous LDAP servers”。它很大,但这是因为主题很复杂。它没有专门介绍 OID,但它提供了大量有用的信息。
特别是,在 AIX 中,您可以在使用的 LDAP 属性的几种布局之间进行选择。看看 /etc/security/ldap/aixuser.map(传统的专有 AIX 方案)、rfc2307user.map(非常接近 RFC2307)、sfu30user.map(Unix 3 服务 = Windows AD 的附加组件)。您可以自定义自己的 .map 文件。
authtype=ldap_auth 是少数好东西之一。可以通过 LDAP 绑定在 AIX 中进行身份验证(即,如果提供的凭据足以绑定到 LDAP,则认为它们足以登录到 AIX - 在这种简单模式下,AIX 不会读取/比较来自 LDAP 的任何密码字段)。
您可以从这本红皮书开始,但它不会很快或容易...