配置遠端鑑別

遠端鑑別可讓使用者利用儲存在外部鑑別服務上的認證,來向系統鑑別。配置遠端鑑別時,您不需要在系統上配置使用者,或指派額外的密碼。相反地,您可以利用遠端服務上所定義的現有密碼和使用者群組,來簡化使用者管理和存取權,更有效地施行密碼原則,以及將使用者管理和儲存體管理分開。

遠端使用者是在遠端服務上,利用「輕量型目錄存取通訊協定 (LDAPv3)」支援來進行鑑別。遠端使用者不需要本端鑑別方法。使用 LDAP 時,則不需要密碼和 SSH 金鑰,不過,您也可以選擇性地配置 SSH 金鑰。當遠端服務關閉時,如果遠端使用者需要存取系統,也必須配置本端認證。遠端鑑別服務會定義遠端使用者群組。

使用管理 GUI

如果要利用 LDAP 來配置遠端鑑別,請完成下列步驟:
  1. 在管理 GUI 中,選取設定 > 安全性 > 遠端鑑別
  2. 選取配置遠端鑑別
  3. 選取 LDAP
  4. 選取鑑別所用的 LDAP 伺服器類型。
  5. 選取下列其中一個安全選項:
    傳輸層安全 (TLS)
    選取這個選項可配置延伸,將標準 LDAP 埠 (389) 升級為使用 TLS 或 SSL 的加密埠。目錄伺服器的起始連線不會加密,但可用於沒有埠 636 可用的系統上。
    Secure Sockets Layer (SSL)
    選取這個選項可使用預設安全埠 (636) 來保護 LDAP 通訊。在與目錄伺服器之間進行的所有交易上,連線都會加密。
    選取這個選項可用明碼格式傳輸資料,而不加密。
  6. 指定選用的服務認證,或修改進階 LDAP 設定。您可以配置下列 LDAP 屬性:
    使用者屬性
    不論任何伺服器類型,使用者都是利用 LDAP 使用者屬性所定義的使用者名稱來接受鑑別。這個屬性必須存在於您的 LDAP 綱目中,且每一位使用者的這個屬性都必須是唯一的。Active Directory 使用者也可以利用他們的使用者主體名稱 (UPN) 或 NT 登入名稱來進行鑑別。
    群組屬性
    已鑑別的使用者是依照他們的 LDAP 群組成員資格來指派角色。使用者所屬的群組儲存在 LDAP 群組屬性中。這個屬性值可以是每個群組的識別名稱,或是以冒號區隔的使用者群組名稱清單。
    審核日誌屬性
    如果 LDAP 使用者執行已審核的動作,審核日誌屬性的內容會記錄在審核日誌中。
  7. 定義最多六部 LDAP 伺服器,用來進行鑑別。您可以配置多部伺服器,供不同組使用者進行存取,或作為備援。您也可以配置哪些伺服器是鑑別使用者的偏好伺服器。
  8. 驗證您的 LDAP 配置。如果要測試 LDAP 伺服器連線,請選取廣域動作 > 測試 LDAP 連線。如果要測試 LDAP 伺服器鑑別,請選取廣域動作 > 測試 LDAP 鑑別,並輸入使用者的對應認證。
  9. 如果遠端使用者需要在沒有密碼的情況下進行存取,就必須在系統上配置「安全 Shell」(SSH) 金鑰。如果要配置遠端使用者的 SSH 金鑰存取權,請完成下列步驟:
    1. 選取存取 > 使用者
    2. 選取新增使用者,或是選取動作 > 內容,來變更現有的使用者。
    3. 選取遠端鑑別模式,然後提供 SSH 公開金鑰。如果您需要在不輸入密碼的情況下存取指令行,請使用 SSH 公開金鑰。

    如果要從系統中刪除使用者,請完成下列步驟:

    1. 選取存取 > 使用者
    2. 用滑鼠右鍵按一下該使用者,並選取動作 > 刪除

使用指令行介面

如果要使用指令行介面,以便能夠使用 LDAP 來鑑別使用者,請遵循下列步驟:
  1. 輸入 chldap 指令來配置 LDAP。
    這個指令提供 IBM Security Directory Server 和 AD 兩者的預設值。比方說,如果要使用 IBM Security Directory Server 綱目預設值和「傳輸層安全 (TLS)」來配置鑑別,請輸入下列指令:
    chldap -type itds -security tls
    LDAP 配置可以使用 lsldap 指令來檢查。
    註: 請使用 TLS,以便將所傳輸的密碼加密。
  2. 指定 mkldapserver 指令,以定義最多六部的 LDAP 伺服器來進行鑑別。
    您可以配置多部伺服器,供不同組使用者進行存取,或作為備援。所有伺服器都必須共用以 chldap 配置的設定。如果要為 LDAP 伺服器配置 SSL 憑證以及 cn=users,dc=company,dc=com 子樹狀結構中的使用者,請輸入下列指令: 
    mkldapserver -ip 9.71.45.108 -basedn cn=users,dc=company,dc=com -sslcert /tmp/sslcert.pem

    您也可以配置哪些伺服器是鑑別使用者的偏好伺服器。

    指定 lsldapserver,以取得 LDAP 伺服器配置資訊。指定 chldapserverrmldapserver,來變更所配置的 LDAP 伺服器。

  3. 藉由比對鑑別服務所使用的那些使用者群組,來配置系統上的使用者群組。

    對於鑑別服務已知的每一個屬意的群組,必須使用相同名稱來建立系統使用者群組,並啟用遠端設定。比方說,如果名為 sysadmins 之群組的成員需要系統管理者 (admin) 角色,請輸入下列指令:

    mkusergrp -name sysadmins -remote -role Administrator

    如果沒有任何使用者群組符合系統使用者群組,該使用者就無法存取系統。

  4. 使用 testldapserver 指令,來驗證您的 LDAP 配置。
    如果要測試連至 LDAP 伺服器的連線,請輸入不帶任何選項的指令。可以為使用者名稱提供或不提供密碼,以測試是否有配置錯誤。 如果要針對每一部伺服器,嘗試處理完整的鑑別,請輸入下列指令: 
    testldapserver -username username -password password
  5. 輸入下列指令,啟用 LDAP 鑑別: 
    chauthservice -type ldap -enable yes
  6. 配置不需要「安全 Shell (SSH)」金鑰存取權的使用者。
    刪除必須使用遠端鑑別服務但不需要 SSH 金鑰存取權的系統使用者。
    記住: 超級使用者無法被刪除,或者無法使用遠端鑑別服務。
  7. 配置需要 SSH 金鑰存取權的使用者。

    所有使用遠端鑑別服務且需要 SSH 金鑰存取權的系統使用者,都必須有已啟用的遠端設定,以及系統上配置的有效 SSH 金鑰。

  8. 指定當與 LDAP 伺服器通訊時,要使用的安全類型。

    指定 tls,則會啟用 TLS。選取這個選項時,可配置延伸,將標準 LDAP 埠 (389) 升級為使用 TLS 的加密埠。目錄伺服器的起始連線不會加密,但可用於沒有埠 636 可用的系統上。

    指定 ssl,則會啟用 SSL 安全。這個選項會使用預設安全埠 (636),來維護 LDAP 通訊的安全。在與目錄伺服器之間進行的所有交易上,連線都會加密。預設值是「無」。

上層主題: 配置使用者鑑別
相關參考:
chldap
mkldapserver
mkusergrp