У меня должен быть Солярис, и системы AIX получают услуги аутентификации и службы имен к AD. Я имел некоторый успех с использованием Соляриса OpenLDAP как прокси для аутентификации пользователя. Я также успешно настроил AIX для использования AD kerberos аутентификация и AD службы определения имен LDAP. Однако для обеих платформ, у меня есть две серьезных проблемы, на которых я нуждаюсь в помощи:
Учитывая мои требования, решение, которое мы в конечном итоге использовали, было модулем adremap Contrib (оверлей) OpenLDAP, который есть в каждом исходном дистрибутиве OpenLDAP, см. Эту ссылку . Мы заключили контракт с Symas, чтобы они разработали его и поместили в апстрим OpenLDAP. Это наложение будет преобразовывать имена пользователей в нижний регистр и динамически преобразовывать атрибуты членов rfc2307bis в memberUid. Если он скомпилирован, справочная страница предоставляет документацию по его использованию: man slapo-adremap
.
У меня OpenLDAP настроен как прокси для AD с использованием наложения adremap (строчные буквы, групповое преобразование) и rwm ( man slapo-rwm
)для сопоставления атрибутов LDAP старые клиенты LDAP Solaris / AIX хотят сопоставить эквиваленты AD.
Используемая конфигурация adremap:
overlay adremap
adremap-downcase uid
adremap-downcase cn
adremap-downcase memberUid
adremap-downcase member
adremap-downcase samaccountname
adremap-dnmap member cn memberUid group posixGroup person dc=example,dc=com
Частичная конфигурация наложения rwm:
rwm-map attribute gecos displayName
rwm-map attribute uid samAccountName
rwm-map attribute homedirectory unixHomeDirectory
rwm-map objectclass posixGroup group
rwm-map objectclass posixAccount user
Настройка OpenLDAP в качестве прокси описана в man slapd-ldap
и выходит за рамки того, что я мог бы здесь предоставить.
Поразмыслив над этой проблемой, я обнаружил, что идеального решения не существует, но это работает для нас. Обратите внимание, что это решение также хорошо работает для старых клиентов LDAP RHEL (pre-EL6), так как они не могут вводить имена пользователей в нижний регистр.
Вы можете использовать Kerberos для сопоставления учетных записей AIX с именами / доменами AD. Эта страница IBM является хорошим справочником по конфигурации AD и сервера. Затем просто выполните:
chuser auth_name = ADUSER auth_domain = example.com registry = KRB5Afiles SYSTEM = KRB5Afiles login
(обратите внимание, что это немного отличается в AIX7.1, но хорошо работает в 6.1 и 5.3.)
Вот как мы аутентифицируемся в AD на моем рабочем месте, и это довольно легко поддерживать, без необходимости подключения LDAP.