您可以使用指令行介面 (CLI) 來配置系統向實作「輕量型目錄存取通訊協定 (LDAP)」的伺服器鑑別使用者,包括Active Directory (AD)。
關於這項作業
- 在供應的 LDAP 伺服器上,如果使用者具有「監督者存取」或「監督者角色」的 IBMRBS 許可權,則可以用「管理者」身分登入系統,但無法執行 satask 指令。
- 所有鑑別指令和設定都已停用。
在 GUI LDAP 系統頁面上的所有選項都已停用。
提示: 如果超級使用者使用遠端「輕量型目錄存取通訊協定(LDAP 伺服器)」,則無法鑑別該超級使用者。但是,其他使用者可以這樣鑑別。
程序
如果要以 LDAP 來鑑別使用者,請遵循下列步驟:
-
輸入 chldap 指令以配置 LDAP。
這個指令提供 Tivoli® Directory Server 和 AD 的預設值。比方說,如果要配置為使用 Tivoli Directory Server 綱目預設值和傳輸層安全 (TLS) 進行鑑別,請輸入下列指令:
chldap -type itds -security tls
您可以使用
lsldap 指令來檢查 LDAP 配置。
註: 使用 TLS 以加密傳輸的密碼。
-
指定 mkldapserver 指令,以定義最多六部的 LDAP 伺服器來進行鑑別。
您可以配置多部伺服器,供不同組使用者進行存取,或作為備援。所有伺服器都必須共用以
chldap 所配置的設定。比方說,如果要以 Secure Sockets Layer (SSL) 和
cn=users,dc=company,dc=com 子樹狀結構中的使用者來配置 LDAP 伺服器,請輸入下列指令:
mkldapserver -ip 9.71.45.108 -basedn cn=users,dc=company,dc=com -sslcert /tmp/sslcert.pem
您也可以配置哪些伺服器是鑑別使用者的偏好伺服器。
指定
lsldapserver,以取得 LDAP 伺服器配置資訊。指定 chldapserver 和 rmldapserver 可變更已配置的 LDAP 伺服器。
-
比對鑑別服務所使用的使用者群組,以配置系統上的使用者群組。
對於鑑別服務已知的每一個重要群組,必須以相同的名稱且啟用遠端設定來建立系統使用者群組。比方說,如果名為
sysadmins 的群組的成員需要系統管理者 (admin) 角色,請輸入下列指令:
mkusergrp -name sysadmins -remote -role Administrator
如果沒有任何使用者群組符合系統使用者群組,該使用者就無法存取系統。
-
使用 testldapserver 指令來驗證 LDAP 配置。
如果要測試 LDAP 伺服器的連線,請輸入此指令但不要指定任何選項。您可以提供使用者名稱(有無密碼皆可),以測試配置是否錯誤。如果要對每部伺服器進行完整的鑑別嘗試,請輸入下列指令:
testldapserver -username username -password 'password'
-
輸入下列指令以啟用 LDAP 鑑別:
chauthservice -type ldap -enable yes
-
配置不需要「安全 Shell (SSH)」金鑰存取權的使用者。
刪除必須使用遠端鑑別服務但不需要 SSH 金鑰存取權的系統使用者。
記住: 超級使用者不能被刪除,也不能使用遠端鑑別服務。
-
配置需要 SSH 金鑰存取權的使用者。
所有使用遠端鑑別服務且需要 SSH 金鑰存取權的系統使用者,都必須有已啟用的遠端設定,以及系統上配置的有效 SSH 金鑰。