chldap

Use o comando chldap para alterar a configuração do protocolo LDAP. Esse comando pode ser usado para configurar autenticação remota com o LDAP. Estas configurações se aplicam durante a autenticação em qualquer um dos servidores LDAP configurados usando o comando mkldapserver.

Sintaxe

Ler diagrama de sintaxeManter visual do diagrama de sintaxe chldap -typeaditdsother-reset-usernameusername-password'password'-encpassword'password'-securitytlssslnone-userattributeuser_attribute-groupattributegroup_attribute-auditlogattributeauditlogattribute-authcacheminutesauth_cache_minutes-nestedgroupsearchclientserveroff

Parâmetros

-type ad |itds|other | -reset
(Opcional) Especifique o tipo de servidor LDAP ou reconfigure a configuração de LDAP como os padrões para o tipo de servidor atual. Padrões para o tipo de servidor configurado:
  • Active Directory (AD)
  • IBM Security Directory Server (ISDS)
  • Outro
-username username
(Opcional) Especifica um nome de usuário para ligação administrativa. Isso pode ser:
Nota:
  • Um nome distinto (DN)
  • Um nome do principal do usuário (UPN) ou nome de login NT para o Active Directory
-password password
(Opcional) Especifica a senha para a ligação administrativa. Opcionalmente, é possível especificar a senha com este parâmetro. Deve-se colocar a senha entre aspas simples. Se você não especificar a senha, o sistema a solicita antes da execução do comando e não exibe a senha que você digitar. Não coloque a senha entre aspas simples se você usar o prompt.
-encpassword password
(Opcional) Especifica a senha do gabinete. Opcionalmente, é possível especificar a senha com este parâmetro. Deve-se colocar a senha entre aspas simples. Se você não especificar a senha, o sistema a solicita antes da execução do comando e não exibe a senha que você digitar. Não coloque a senha entre aspas simples se você usar o prompt.
-security tls | ssl | none
(Opcional) Especifica o tipo de segurança a ser usado na comunicação com os servidores LDAP. Especificar tls ativa a segurança Segurança da Camada de Transporte (TLS). Especificar ssl ativa a segurança Secure Socket Layer (SSL). O valor padrão é none.
-userattribute user_attribute
(Opcional) Especifica o atributo LDAP usado para determinar o nome de usuário de usuários remotos. O atributo do usuário deve existir no esquema LDAP e deve ser exclusivo para cada um dos usuários.
-groupattribute group_attribute
(Opcional) Especifica o atributo LDAP usado para determinar as associações ao grupo de usuários remotos. O atributo deve conter o DN de um grupo ou uma lista de nomes de grupos separada por dois pontos.
-auditlogattribute auditlogattribute
(Opcional) Especifica o atributo LDAP usado para determinar a identidade de usuários remotos. Quando um usuário executa uma ação auditorada, estas informações são registradas na auditoria.
-authcacheminutes auth_cache_minutes
(Opcional) Especifica o período no qual armazenar em cache os detalhes de autenticação.
-nestedgroupsearch client | server | off
(Opcional) Especifica se os grupos aninhados são avaliados no cliente (sistema em cluster), no servidor (serviço de autenticação) ou não são avaliados.

Descrição

Pelo menos um parâmetro deve ser especificado.

O comando chldap pode ser executado se a autenticação LDAP estiver ou não ativada. Especificar -reset ou -type preenche os valores padrão, a menos que especificado de outra forma.

Será possível especificar -password ou -encpassword apenas se -username for especificado.

Os valores de parâmetro -type serão configurados como padrões para o tipo especificado apenas se o tipo for diferente do tipo existente.

Se o tipo for itds, -nestedgroupsearch não poderá ser executado (grupos aninhados são avaliados por padrão). Se o tipo for ad, -nestedgroupsearch pode ser configurado apenas como client ou off porque não há nenhum suporte de servidor. Se o tipo for other, o parâmetro -nestedgroupsearch será completamente configurável.

Use -username para especificar um nome distinto (DN), nome do principal do usuário (UPN) ou nome de login NT. Os nomes distintos (DN) devem ser uma sequência de pares de atributo=valor separados por vírgula (,), ponto e vírgula (;) ou sinal de mais (+). Deve-se usar uma barra invertida (\) para escapar caracteres especiais e também é possível utilizá-la para especificar caracteres UTF-8 usando sua codificação de byte. Por exemplo, c agudo pode ser representado como \C4\87. Logins NT são válidos somente para o Active Directory e devem estar no formato DOMAIN\user. Esses logins não devem começar ou terminar com um ponto final (.) e DOMAIN e o usuário não devem usar os caracteres a seguir: \/:?"<>| Logins UPN são válidos apenas para Active Directory e devem estar no formato user@suffix. O usuário e o sufixo não podem usar espaços ou os seguintes caracteres: ()<>,;:\"[]@

Dica:
  • Lembre-se de que -userattribute, -groupattribute e -auditlogattribute aceitam valores que:
    1. Devem iniciar com uma letra
    2. Apenas contêm letras ASCII, caracteres numéricos e hífens
    3. Sem distinção entre maiúsculas e minúsculas
As seguintes sugestões de configuração LDAP (primeira vez) ajudam na configuração do servidor LDAP:
Importante:
  • Certifique-se de que o sistema esteja configurado apropriadamente de acordo com o seu esquema LDAP. Emita chldap -type para preencher a configuração LDAP do sistema com os padrões de tipo do servidor. Emita chldap -reset para retornar para esses padrões em qualquer momento.
    • (Avançado) Para todos os tipos de servidores, os usuários são autenticados com um nome de usuário configurado no atributo LDAP user_attribute. Este atributo deve existir no esquema LDAP e deve ser exclusivo para cada usuário. Ele é configurável emitindo chldap -userattribute. Os usuários do Active Directory também podem ser autenticados usando seu UPN ou nomes de logins NT.
    • (Avançado) Os usuários autenticados são funções designadas de acordo com suas associações de grupo LDAP. Cada associação de grupo do usuário deve ser armazenada no atributo LDAP group_attribute. Este pode ser um atributo LDAP contendo o DN do grupo LDAP do usuário ou um atributo LDAP contendo uma lista de nomes de grupos de usuários separada por dois pontos. Ele é configurável emitindo chldap -groupattribute.
    • (Avançado) Quando um usuário autenticado LDAP executa um comando que é auditorado, o nome de login do usuário é colocado no log de auditoria. O nome é extraído do atributo LDAP audit_log_attribute, que é configurável emitindo chldap -auditlogattribute.
  • Certifique-se de que o sistema seja capaz de procurar dentro das árvores de usuários e grupos nos servidores LDAP. Por padrão, o sistema autentica de forma anônima. Consequentemente, você deve permitir procuras anônimas do diretório LDAP, ou criar um usuário LDAP com as permissões apropriadas e emitir os comandos chldap -username e chldap -password para instruir o sistema para procurar como este usuário.
  • Certifique-se de que o sistema seja capaz de estabelecer conexão com o nível de segurança apropriado. As senhas são enviadas para o servidor LDAP como texto não criptografado, portanto a criptografia de Segurança da Camada de Transporte (TLS) é recomendada. Emita chldap -security para alterar o nível de segurança.
  • (Avançado): No Active Directory e alguns outros servidores LDAP, o sistema (por padrão) identifica grupos aos quais os usuários pertencem diretamente. Para designar permissões de usuários de acordo com um grupo-pai, ative a procura de grupo aninhado no cliente emitindo chldap -nestedgroupsearch. Esta configuração possui uma sobrecarga de desempenho adicional e suporta até 8 níveis de aninhamento.

Um Exemplo de Chamada

chldap -type
itds -username uid=joebloggs,cn=admins,dc=company,dc=com -password 'passw0rd'
-auditlogattribute descriptiveName

A saída do resultado:

Sem feedback