Решения для образования моста Соляриса/AIX к Active Directory?
У меня должен быть Солярис, и системы AIX получают услуги аутентификации и службы имен к AD. Я имел некоторый успех с использованием Соляриса OpenLDAP как прокси для аутентификации пользователя. Я также успешно настроил AIX для использования AD kerberos аутентификация и AD службы определения имен LDAP. Однако для обеих платформ, у меня есть две серьезных проблемы, на которых я нуждаюсь в помощи:
- AD пользователи/группы могут быть верхними или строчными, или любая комбинация этого, но для последовательного опыта конечного пользователя и утилит, работающих как ожидалось в UNIX, они должны быть нижним регистром. Переименование идентификаторов в массе в AD трудно продать. Linux sssd может сделать печатание строчными литерами, но AIX/Солярис не может.
- AIX и Солярис ожидают атрибут rfc2307 'memberUid' (например, memberUid=user1) для элементов группы, в то время как AD использует rfc2307bis 'членский' атрибут (например, member=cn=user1, dc=foo, dc=com). Существует ли путь с OpenLDAP, или иначе, для перезаписи memberUid от участника для клиентов Соляриса/AIX? slapo-rwm может переписать DNS, но преобразовывающий как это, кажется, не там.
Учитывая мои требования, решение, которое мы в конечном итоге использовали, было модулем adremap Contrib (оверлей) OpenLDAP, который есть в каждом исходном дистрибутиве OpenLDAP, см. Эту ссылку . Мы заключили контракт с Symas, чтобы они разработали его и поместили в апстрим OpenLDAP. Это наложение будет преобразовывать имена пользователей в нижний регистр и динамически преобразовывать атрибуты членов rfc2307bis в memberUid. Если он скомпилирован, справочная страница предоставляет документацию по его использованию: man slapo-adremap .
У меня OpenLDAP настроен как прокси для AD с использованием наложения adremap (строчные буквы, групповое преобразование) и rwm ( man slapo-rwm )для сопоставления атрибутов LDAP старые клиенты LDAP Solaris / AIX хотят сопоставить эквиваленты AD.
Используемая конфигурация adremap:
overlay adremap
adremap-downcase uid
adremap-downcase cn
adremap-downcase memberUid
adremap-downcase member
adremap-downcase samaccountname
adremap-dnmap member cn memberUid group posixGroup person dc=example,dc=com
Частичная конфигурация наложения rwm:
rwm-map attribute gecos displayName
rwm-map attribute uid samAccountName
rwm-map attribute homedirectory unixHomeDirectory
rwm-map objectclass posixGroup group
rwm-map objectclass posixAccount user
Настройка OpenLDAP в качестве прокси описана в man slapd-ldap и выходит за рамки того, что я мог бы здесь предоставить.
Поразмыслив над этой проблемой, я обнаружил, что идеального решения не существует, но это работает для нас. Обратите внимание, что это решение также хорошо работает для старых клиентов LDAP RHEL (pre-EL6), так как они не могут вводить имена пользователей в нижний регистр.
Вы можете использовать Kerberos для сопоставления учетных записей AIX с именами / доменами AD. Эта страница IBM является хорошим справочником по конфигурации AD и сервера. Затем просто выполните:
chuser auth_name = ADUSER auth_domain = example.com registry = KRB5Afiles SYSTEM = KRB5Afiles login
(обратите внимание, что это немного отличается в AIX7.1, но хорошо работает в 6.1 и 5.3.)
Вот как мы аутентифицируемся в AD на моем рабочем месте, и это довольно легко поддерживать, без необходимости подключения LDAP.