chldap
使用 chldap 指令,來變更系統層面的「輕量型目錄存取通訊協定 (LDAP)」配置。這個指令 可以用來配置利用 LDAP 進行遠端鑑別。當對使用 mkldapserver 指令所配置的任何 LDAP 伺服器進行鑑別時,便適用這些設定。
語法
>>-chldap--+-------------------+--------------------------------> +- -type--+-------+-+ | +-ad----+ | | +-itds--+ | | '-other-' | '- -reset-----------' >--+-----------------------------------------------------------+--> '- -username--username----+-----------------------------+---' +- -password--+-----------+---+ | '- password-' | '- -encpassword--+----------+-' '-password-' >--+----------------------+-------------------------------------> '- -security--+-tls--+-' +-ssl--+ '-none-' >--+---------------------------------+--------------------------> '- -userattribute--user_attribute-' >--+-----------------------------------+------------------------> '- -groupattribute--group_attribute-' >--+----------------------------------------+-------------------> '- -auditlogattribute--auditlogattribute-' >--+---------------------------------+------------------------->< '- -nestedgroupsearch--+-client-+-' +-server-+ '-off----'
參數
- -type ad |itds|other | -reset
- (選用)指定 LDAP 伺服器類型,或將 LDAP 配置重設為現行伺服器類型的預設值。已配置伺服器類型的預設值:
- Active Directory (AD)
- IBM Security Directory Server (ISDS)
- 其他
- -username username
- (選用)指定用於管理連結的使用者名稱。可以是下列項目:註:
- 識別名稱 (DN)
- Active Directory 的使用者主體名稱 (UPN) 或 NT 登入名稱
- -password password
- (選用)指定用於管理連結的密碼。您可以選擇性以此參數來指定密碼。如果未指定密碼,在執行指令之前,系統會發出密碼提示,且不會顯示您輸入的密碼。
- -encpassword password
- (選用)指定機箱的密碼。您可以選擇性以此參數來指定密碼。如果未指定密碼,在執行指令之前,系統會發出密碼提示,且不會顯示您輸入的密碼。
- -security tls | ssl | none
- (選用)指定與 LDAP 伺服器通訊時,所使用的安全類型。指定 tls 時,會啟用「傳輸層安全 (TLS)」安全。指定 ssl 時,會啟用 Secure Socket Layer (SSL) 安全。預設值為 none。
- -userattribute user_attribute
- (選用)指定用來決定遠端使用者之使用者名稱的 LDAP 屬性。這個使用者屬性必須存在於您的 LDAP 綱目中,而且對於您的每一位使用者而言都必須是唯一的。
- -groupattribute group_attribute
- (選用)指定用來決定遠端使用者之群組成員資格的 LDAP 屬性。這個屬性必須包含群組的 DN 或是以冒號區隔的群組名稱清單。
- -auditlogattribute auditlogattribute
- (選用)指定用來決定遠端使用者身分的 LDAP 屬性。當使用者執行審核的動作時,就會將這項資訊記錄在審核中。
- -authcacheminutes auth_cache_minutes
- (選用)指定要快取鑑別詳細資料的一段時間。
- -nestedgroupsearch client | server | off
- (選用)指定會在用戶端(叢集系統)或伺服器(鑑別服務)上評估巢狀群組,或是完全不評估。
說明
必須至少指定一個參數。
不論是否已啟用 LDAP 鑑別,都可以執行 chldap 指令。指定 -reset 或 -type 時,會移入預設值,除非另有指定。
只有在指定 -username 時,才能指定 -password 或 -encpassword。
只有在指定的類型與現有的類型不同時,才會將 -type 參數值設成該指定類型的預設值。
如果類型為 itds,則無法執行 -nestedgroupsearch(依預設,會評估巢狀群組)。如果類型為 ad,則只會將 -nestedgroupsearch 設為 client 或 off,因為沒有伺服器支援。如果類型為 other,則 -nestedgroupsearch 參數可完全配置。
您可以使用 -username 來指定識別名稱 (DN)、使用者主體名稱 (UPN) 或 NT 登入名稱。識別名稱 (DN) 必須是一連串的 attribute=value 配對,並以逗點 (,)、分號 (;) 或加號 (+) 來區隔。必須使用反斜線 (\,) 來跳出特殊字元,也可用來指定 UTF-8 字元(使用其位元組編碼)。例如 c 重音節符號可以用 \C4\87 表示。NT 登入只適用於 Active Directory,而且必須使用 DOMAIN\user 格式。這些登入不能以句點 (.) 開始或結束,DOMAIN 和 user 不能使用下列字元:\/:?"<>| UPN 登入只適用於 Active Directory,且必須使用 user@suffix 格式。user 和 suffix 都不能使用空格或下列字元:()<>,;:\"[]@
- 請謹記,-userattribute、-groupattribute 和 -auditlogattribute 接受符合以下條件的值:
- 必須以字母開頭
- 只能包含 ASCII 字母、數字及連字號
- 不區分大小寫
- 確定已按照您的 LDAP 綱目適當地配置系統。發出
chldap -type,在系統的 LDAP 配置中移入伺服器類型的預設值。發出 chldap -reset,以隨時回到這些預設值。
- (進階)對於所有伺服器類型,會使用 LDAP 屬性 user_attribute 中所配置的使用者名稱來鑑別使用者。這個屬性必須存在於 LDAP 綱目中,而且對每一位使用者而言都必須是唯一的。可發出 chldap -userattribute 來配置它。Active Directory 使用者也可以使用其 UPN 或 NT 登入名稱來進行鑑別。
- (進階)會按照已鑑別使用者的 LDAP 群組成員資格來對其指派角色。每一位使用者的群組成員資格必須儲存在 LDAP 屬性 group_attribute 中。這可以是包含使用者 LDAP 群組之 DN 的 LDAP 屬性,或是包含以冒號區隔之使用者群組名稱清單的 LDAP 屬性。可發出 chldap -groupattribute 來配置它。
- (進階)當 LDAP 已鑑別使用者執行已審核的指令時,使用者的登入名稱會放置於審核日誌中。此名稱是從 LDAP 屬性 audit_log_attribute 擷取而來,可發出 chldap -auditlogattribute 來配置它。
- 請確定系統能夠在 LDAP 伺服器上的使用者和群組樹狀結構中搜尋。依預設,系統會以匿名方式進行鑑別。因此,您必須允許 LDAP 目錄的匿名搜尋,或是建立具有適當權限的 LDAP 使用者,並發出 chldap -username 和 chldap -password 指令,指示系統以此使用者身分來進行搜尋。
- 請確定系統能夠以適當的安全層次來連接。密碼會以明碼的方式傳送至 LDAP 伺服器,所以建議使用「傳輸層安全 (TLS)」加密。發出 chldap -security,以變更安全層次。
- (進階):在 Active Directory 和一些其他的 LDAP 伺服器上,系統(依預設)會識別使用者直接隸屬的群組。如果要按照上層群組來指派使用者權限,請發出 chldap -nestedgroupsearch,以便在用戶端上啟用巢狀群組搜尋。這項設定具有其他的效能額外負擔,且最高能支援 8 個層次的巢狀。
呼叫範例
chldap -type
itds -username uid=joebloggs,cn=admins,dc=company,dc=com -password passw0rd
-auditlogattribute descriptiveName結果輸出:
No feedback