��
AIX命令参考大全,卷 3,i - m - mksecldap 命令
[ 页的底部 | 上一页 | 下一页 | 目录 | 索引 |
法律条款
]
AIX命令参考大全,卷 3,i - m
mksecldap 命令
用途
设置一个 AIX 群集,使用 LDAP 来安全认证和数据管理。
语法
安装一个服务器的语法为:
mksecldap -s -a adminDN -p adminpasswd -S schematype [ -d baseDN ] [ -n port ] [ -k SSLkeypath] [ -w SSLkeypasswd ] [ -u NONE ] [ -U ]
安装一个客户机的语法为:
mksecldap -c -h serverlist -a adminDN -p adminpasswd [ -d baseDN ] [ -n serverport ] [ -k SSLkeypath ] [ -w SSLkeypasswd ] [ -t cachetimeout ] [ -C cachesize ] [ -P NumberofThreads ] [ -T heartBeatInt ] [ -u userlist ] [ -U ]
描述
mksecldap 命令可以用来安装 IBM 安全
目录服务器和客户机,做安全认证和数据管理。
这个命令必须运行在服务器和所有客户机上。
注:
- 客户机(-c 标志)和服务器(-s 标志)选项不能同时运行。当安装一台服务器时,
mksecldap 命令在该机必须运行两次。
一次安装该服务器,第二次安装客户机。
- SecureWay Directory 服务器配置文件为 /etc/slapd.conf,适用于 SecureWay Directory 3.1 或更早版本,而 /etc/slapd32.conf 适用于 SecureWay Directory 3.2 或更高版本。AIX 5.2 仅支持 SecureWay Directory 3.2和更高的版本。
对服务器的安装而言,确保安装了 ldap.server 文件集。
当安装 ldap.server 文件集时,
也自动安装了 ldap.client 文件集和后端 DB2 软件。
运行该命令安装 LDAP 服务器时不需要由 DB2 的预配置。
当运行 mksecldap 命令来安装服务器时,该命令将:
- 创建一个初始实例名称为 ldapdb2 的实例。
- 创建一个初始数据库名称为 ldapdb2 的 DB2 数据库。
如果一个数据库已经存在了,mksecldap 将略过前面两个步骤。
(这是当 LDAP 服务器已被安装做其它用途的案例。)
mksecldap 命令将使用现有的数据库来存储
AIX 用户/组数据。
- 创建 AIX 树 DN (后缀)。如果命令行没提供 baseDN,
默认的后缀被置为 cn=aixdata,并且将
用户/组 数据放入 cn=aixsecdb,cn=aixdata DN。
这是推荐案例。否则,mksecldap 命令
采用用户提供 DN 并且在它前面加上 cn=aixdata ,将新构造的 DN 作为后缀。下表显示出该行为。
括弧内的值代表了从命令行的用户提供的可选 DN。
| CMD-line DN: |
[o = ibm] |
| 后缀: |
cn = aixdata[,o = ibm] |
| 安全性 DN: |
cn = aixsecdb,cn = aixdata[,o = ibm] |
| 用户 DN: |
ou = aixuser,cn = aixsecdb,cn = aixdata[,o = ibm] |
| 组 DN: |
ou = aixgroup,cn = aixsecdb,cn = aixdata[,o = ibm] |
若已经在本地系统安装了 LDAP 服务器,
mksecldap 命令从后缀中查询 cn=aixsecdb 关键字,在 slapd32.conf 配置文件和从数据库定义了这些后缀。如果它找到了该
关键字,它假定 mksecldap 已经运行,并且
绕过基础 DN 安装步骤和 用户/组迁移步骤,然后退出。
如果在后缀中没有找到 cn=aixsecdb 和
数据库,mksecldap 命令检查 cn=aixdata 关键字。cn=aixdata 是一个公共基础
DN,它被多个 AIX LDAP 组件共享。如果 mksecldap 命令找到该关键字,它将该关键字同用户提供的 DN 做比较。
如果它们是相同的,将把用户/组放到cn=aixsecdb,cn=aixdata,[userDN]。 如果它们不同,mksecldap 命令打印一个错误消息,警告现有 cn = aixdata,... DN,并且它不会迁移用户提供的 DN 下的用户/组。
通过对现存 DN 运行mksecldap 命令,可以选择使用现存 cn=aixdata,...。
- 将本地主机上的数据库文件数据迁移到
LDAP 数据库。mksecldap 命令使用三种 LDAP 方案中的一种迁移用户/组,这取决于 -S 选项。
- 设置 LDAP 的服务器管理员 DN 和密码。该名称/密码
对也被用来访问控制 AIX 树。
- 为了在该服务器和客户机间进行安全数据传输,设置 SSL (安全 socket 层)。
该安装要求安装了 GSKIT。
注:
如果使用了这个选项,必须在运行
mksecldap 命令前创建 SSL 密钥。否则,
服务器可能不能启动。
- 安装 /usr/ccs/lib/libsecldapaudit.a,一个 LDAP
服务器插件。该插件支持 LDAP 服务器的 AIX 审计。
- 当上面完成后,启动/重启 LDAP 服务器。
- 添加 LDAP 服务器进程(slapd)到 /etc/inittab 以使重新引导后 LDAP 服务器启动。
- 使用 -U 选项,对服务器配置文件撤销先前的设置。
当第一次运行 mksecldap 命令时,它保存了 slapd32.conf 服务器配置文件的两份副本。
一份保存到 /etc/security/ldap/slap32.conf.save.orig,另一个保存到 /etc/ security/ldap/slapd32.conf.save。对于 mksecldap 的每个后继运行,当前 slapd32.conf 仅保存在 /etc/security/ldap/slapd32.conf.save 文件中。撤销选项用 /etc/security/ ldap/slapd32.conf.save 副本恢复了 /etc/slapd32.conf 服务器配置文件。
注:
撤销选项仅应用于服务器配置文件。
对数据库没有影响。
注:
所有的 LDAP 配置保存在 /etc/slapd32.conf LDAP 服务器配置文件中。
对于客户机安装,
确保已经安装了 LDAP 服务器并且正在运行。安装客户机时,mksecldap 命令做了以下工作:
- 保存 LDAP 服务器(组)的主机名。
- 保存服务器的用户库 DN 和组库 DN。如果命令行不提供 -d 选项,mksecldap 命令对 LDAP 服务器查找 LDAP 服务器的 aixaccount,aixaccessgroup,posixaccount,posixgroup 和 aixauxaccount 对象类,
然后相应地设置基础 DN。如果服务器有多个
用户/组基础,必须为 -d 选项
提供一个 RDN 以便 mksecldap 命令能构安装
DN 到 RDN 内的各项。
如果在客户机安装的过程中,发现了 posixaccount 对象类,mksecldap 也将试着从服务器搜索基础 DN 以得到这些实体:主机、网络、
服务、网络组、协议和 rpc,然后保存找到的实体。
- 确定 LDAP 服务器使用的方案类型—— AIX 特定方案,
RFC 2307 方案或完全 AIX 支持的
RFC 2307 方案(请参阅步骤2中列出的对象类)。
在 /etc/security/ldap/ ldap.cfg 文件中相应的设置对象类和属性映射。mksecldap 命令不识别其它方案类型,因此客户机必须
手工安装。
- 在该主机和 LDAP 服务器间设置 SSL 以进行安全数据传输。
这一步要求客户机事先建立了 SSL 键和键密码,
并且必须安装服务器,使用 SSL,以使客户机 SSL 工作。
- 保存 LDAP 的服务器管理员 DN 和密码。DN/密码对
必须同服务器安装过程中指定的对相同。
- 根据客户端守护进程使用的入口数目来设置高速缓存的大小。
有效值为用户使用100-10,000,组使用10-1,000。
缺省值为用户使用1,000,组使用100。
- 设置客户端守护进程的高速缓存的超时时间。有效值为60-3600秒。
缺省值为300秒。把该值设为0将禁用高速缓存。
- 设置客户端守护进程使用的线程数。有效值为
1-1,000。缺省值为10。
- 设置客户机守护进程检查 LDAP 服务器状态的时间间隔,单位为秒。
有效值为60-3,600秒。缺省值为300。
- 通过修改 /etc/security/user 文件中的用户的 SYSTEM 行选择设置用户列或是全部用户。
请参阅下列注释以得到更多信息。
- 开始客户机守护进程进程(secldapclntd)。
- 添加客户端守护进程到 /etc/inittab 以使
重新引导后该守护进程启动。
- 使用 -U 选项,对 /etc/security/ldap/ldap.cfg 文件撤销先前的设置。
注:
客户机
配置文件保存在 /etc/security/ldap/ldap.cfg 文件中。将系统的 /etc/security/user 缺省节设置为 LDAP 仅允许 LDAP 用户登录该系统,
将系统设置 LDAP 或 compat 允许
LDAP 用户和本地用户都登录本系统。
标志
关于服务器安装
|
-a AdminDN |
指定 LDAP 服务器管理员 DN。 |
|
-d baseDN |
指定 AIX 子树的后缀或基础 DN。
缺省为 cn = aixdata. |
|
-k SSLkeypath |
指定到服务器的 SSL 键服务器的完全路径。 |
|
-n port |
指定 LDAP 服务器侦听的端口号。
缺省为非 SSL 使用389,SSL 使用636。 |
|
-p adminpasswd |
指定管理员 DN 的清除文本密码。 |
|
-S schematype |
指定在 LDAP 服务器上表示用户/组项所使用的 LDAP 方案。
有效值为 AIX,RFC2307 和 RFC2307AIX。 |
|
-s |
表示正在运行该命令来安装服务器。 |
|
-w SSLkeypasswd |
指定 SSL 键的密码。 |
|
-U |
指定撤销先前的服务器安装恢复 LDAP
配置文件。 |
|
-u NONE |
指定不从本地系统迁移用户和组。
唯一的有效值为 NONE。其它的任何值都被忽略。
该选项不需要 -S 选项。 |
关于客户机安装
|
-a AdminDN |
指定 LDAP 服务器管理员 DN。 它必须同
用来安装服务器的 DN 匹配。 |
|
-c |
表示运行命令来安装客户机。 |
|
-C Cachsize |
指定客户端守护进程高速缓存中的用户项的最大数目。
用户高速缓存的有效值为 V100-10,000。
缺省值为1,000。组高速缓存是用户高速缓存的10%。 |
|
-d baseDN |
指定基本 DN 以使 mksecldap 命令去搜索用户基本 DN 和组基本 DN。如果不从命令行指定,
将搜索整个数据库。 |
|
-h serverlist |
指定主机名列表,之间用逗号分隔(服务器
和备份服务器)。 |
|
-k SSLkeypath |
指定到客户机 SSL 键的完全路径。 |
|
-n serverport |
指定 LDAP 服务器正在侦听的端口号。 |
|
-p adminpasswd |
指定 LDAP 服务器管理员 DN 的清除文本密码。
它必须同用来安装服务器的匹配。 |
|
-P NumberofTreads |
指定客户端守护进程使用的线程数目。
有效值为
1-1,000。缺省值为10。 |
|
-t Cachetimeout |
指定高速缓存到期的最大时间长度。
有效值为60-3,600秒。缺省值为300秒。把该值设为0将禁用高速缓存。 |
|
-T heartBeatInt |
指定客户机和 LDAP 服务器间的波动信号的时间间隔。
有效值为60-3,600秒。
缺省值为 300。 |
|
-u userlist |
指定用户名列表,之间用逗号分隔。指定 ALL 启用客户机上的所有用户。 |
|
-w SSLkeyfilepath |
指定客户机 SSL 键的密码。 |
|
-U |
指定撤销先前的客户机安装恢复 LDAP
客户机配置文件。 |
示例
- 为用户和组在 AIX 的 LDAP 服务器上安装特定的方案,
输入:
mksecldap -s -a cn=admin -p adminpwd -S aix
它安装了
LDAP 服务器,LDAP 服务器的管理员 DN 为 cn=admin,密码为 adminpwd。将用户和组数据
从本地文件迁移到缺省的 cn=aixdata 后缀。
- 要安装一台 LDAP 服务器,它使用基本 DN 而不是缺省的并且使用 SSL
安全通信,输入:
mksecldap -s -a cn=admin -p adminpwd -d o=mycompany,c=us -S rfc2307 \ -k /usr/ldap/serverkey.kdb
-w keypwd
它安装了 LDAP 服务器,其中 LDAP 服务器的管理员
DN 为 cn=admin,密码为 adminpwd。将用户和组数据从本地文件迁移到 cn=aix-data,o=mycompany,c=us 后缀。通过使用保存在 /usr/ldap/serverkey.kdb 中的键,LDAP 服务器使用 SSL 通信。
也必须提供键的密码,keypwd。
用 RFC 2307 方案迁移用户和组。
- 要撤销先前的服务器安装:
mksecldap -s -U
它撤销
了先前的安装,恢复为 /etc/slapd32.conf 服务器配置
文件。注释,出于安全原因,它不移除由先前安装创建的任何数据库项或数据库。
如果不再需要数据库项/数据库,不得不手工移除它们。
- 要建立一个客户机,它使用 server1.ibm.com 和 server2.ibm.com LDAP 服务器,输入:
mksecldap -c -a cn=admin -p adminpwd -h server1.ibm.com,server2.ibm.com
必须为该客户机提供 LDAP 服务器管理员 DN 和密码以认证服务器。
由于使用的方案类型,mksecldap 命令
联系 LDAP 服务器,并且相应地安装服务器。
不用从命令行的 -d 选项,将搜索整个
服务器 DIT 以得到用户基本 DN 和组基本 DN。
- 要安装客户机同使用 SSL 的 server3.ibm.com LDAP
服务器交谈,输入:
mksecldap -c -a cn=admin -p adminpwd -h server3.ibm.com -d o=mycompany,c=us -k /usr/ldap/clientkey.kdb -w keypwd -u user1,user2
它安装了类似案例3的 LDAP 客户机,然而使用 SSL 通信。
mksecldap 命令搜索 o=mycompany,c=us RDN 得到用户基本 DN 和组基本 DN。配置 user1 帐户
和 user2 帐户以在整个 LDAP 中认证。
注:
-u ALL 选项启用所有的 LDAP 用户来登录到该客户机。
- 要撤销先前的客户机安装,输入:
mksecldap -c -U
它撤销了
先前的安装,恢复为 /etc/security/ldap/ldap.cfg 文件。它不会将 SYSTEM=LDAP 和 registry=LDAP 从 /etc/security/user 文件。
访问的文件:
| 方式 |
文件 |
| r |
/etc/passwd |
| r |
/etc/group |
| r |
/etc/security/passwd |
| r |
/etc/security/limits |
| r |
/etc/security/user(服务器上) |
| rw |
/etc/security/user(客户机上) |
| r |
/etc/security/environ |
| r |
/etc/security/user.roles |
| r |
/etc/security/lastlog |
| r |
/etc/security/smitacl.user |
| r |
/etc/security/mac_user |
| r |
/etc/security/group |
| r |
/etc/security/smitacl.group |
| r |
/etc/security/roles |
| rw |
/etc/security/login.cfg(服务器上) |
| rw |
/etc/slapd32.conf(服务器上) |
| rw |
/etc/security/ldap/ldap.cfg(客户机上) |
相关信息
secldapclntd 守护进程。
start-secldapclntd、stop-secldapclntd、restart-secldapclntd、ls-secldapclntd、flush-secldapclntd、sectoldif 和 nistoldif 命令。
/etc/security/ldap/ldap.cfg文件。
《AIX 5L V5.2 安全指南》 中安全子系统的 LDAP 开发。。
[ 页的顶部 | 上一页 | 下一页 | 目录 | 索引 |
法律条款
]