chldap

Use o comando chldap para alterar configuração Lightweight Directory Access Protocol (LDAP). Esse comando pode ser usado para configurar autenticação remota com o LDAP. Estas configurações se aplicam durante a autenticação em qualquer um dos servidores LDAP configurados usando o comando mkldapserver .

Sintaxe

Ler diagrama de sintaxeManter visual do diagrama de sintaxe
>>- chldap-- -+----------------------+-------------------------->
              +- -type --+---------+-+   
              |          +- ad ----+ |   
              |          +- itds --+ |   
              |          '- other -' |   
              '- -reset -------------'   

>--+-----------------------------------------------------------------+-->
   '- -username -- username ----+--------------------------------+---'   
                                +- -password --+------------+----+       
                                |              '- password -'    |       
                                '- -encpassword --+------------+-'       
                                                  '- password -'         

>--+-------------------------+---------------------------------->
   '- -security --+- tls --+-'   
                  '- none -'     

>--+------------------------------------+----------------------->
   '- -userattribute -- user_attribute -'   

>--+--------------------------------------+--------------------->
   '- -groupattribute -- group_attribute -'   

>--+-------------------------------------------+---------------->
   '- -auditlogattribute -- auditlogattribute -'   

>--+------------------------------------+----------------------><
   '- -nestedgroupsearch --+- client -+-'   
                           +- server -+     
                           '- off ----'     

Parâmetros

-type ad |itds|outro | -reset
(Opcional) Especifique o tipo de servidor LDAP ou reconfigure a configuração de LDAP como os padrões para o tipo de servidor atual. Padrões para o tipo de servidor configurado:
  • Active Directory (AD)
  • IBM Tivoli Directory Server (ITDS)
  • Outras
-username username
(Opcional) Especifica um nome de usuário para ligação administrativa. Isso pode ser:
Nota:
  • Um nome distinto (DN)
  • Um user principal name (UPN) ou nome de login do NT para o Active Directory
-password senha
(Opcional) Especifica a senha para a ligação administrativa. Você pode, opcionalmente, especificar a senha com este parâmetro. Se você não especificar a senha, o sistema solicitará que ele antes de executar o comando e não exibirá a senha que você digitar.
-encpassword senha
(Opcional) Especifica a senha para o gabinete. Você pode, opcionalmente, especificar a senha com este parâmetro. Se você não especificar a senha, o sistema o solicitará antes de executar o comando e não exibirá a senha que você digitar.
-security tls | none
(Opcional) Especifica o tipo de segurança a utilizar ao se comunicar com servidores LDAP.
-userattribute user_attribute
(Opcional) Especifica o atributo LDAP usado para determinar o nome de usuário de usuários remotos. O atributo do usuário deve existir no esquema LDAP e deve ser exclusivo para cada um dos seus usuários.
-groupattribute group_attribute
(Opcional) Especifica o atributo LDAP usado para determinar as associações ao grupo de usuários remotos. O atributo deve conter o DN de um grupo ou uma lista separada por dois-pontos de nomes de grupos.
-auditlogattribute auditlogattribute
(Opcional) Especifica o atributo LDAP usado para determinar a identidade de usuários remotos. Quando um usuário executa uma ação auditorada, estas informações são registradas na auditoria.
-authcacheminutes auth_cache_minutes
(Opcional) Especifica o período no qual em cache os detalhes de autenticação.
-nestedgroupsearch client | server | off
(Opcional) Especifica se grupos aninhados são avaliados no cliente (sistema em cluster), servidor (serviço de autenticação) ou se não são avaliados de modo algum.

Descrição

Pelo menos um parâmetro deve ser especificado.

O comando chldap pode ser executado se a autenticação LDAP estiver ou não ativada. Especificar -reset ou -type preenche os valores padrão, a menos que especificado de outra forma.

Você só pode especificar -password ou -encpassword se -username for especificado.

Os valores de parâmetro -type serão configurados como padrões para o tipo especificado apenas se o tipo for diferente do tipo existente.

Se o tipo for itds, -nestedgroupsearch não poderá ser executado (grupos aninhados são avaliados por padrão). Se o tipo for ad, -nestedgroupsearch pode ser configurado apenas como client ou off porque não há nenhum suporte de servidor. Se o tipo for other, o parâmetro -nestedgroupsearch será completamente configurável.

Use -username para especificar um nome distinto (DN), nome do principal do usuário (UPN) ou nome de login NT. nomes distintos (DN) devem ser uma sequência de pares de atributo=valor separados por vírgula (,), ponto e vírgula(;) ou sinal de mais (+). Uma barra invertida (\,) deve ser usada para escapar os caracteres especiais e também pode ser usada para especificar os caracteres UTF-8 usando sua codificação de bytes. Por exemplo, c agudo pode ser representado como \C4\87. Logins NT são válidos apenas para o Active Directory e devem estar no formato DOMÍNIO\usuário. Esses logins não devem iniciar ou terminar com um ponto (.) e tanto o DOMÍNIO como o usuário não devem usar os seguintes caracteres: \/:?"<>| Logins UPN são válidos apenas para Active Directory e devem estar no formato usuário@sufixo. O usuário e o sufixo não usam espaços ou os seguintes caracteres: ()<>,;:\"[]@

Dica:
  • Lembre-se de que -userattribute, -groupattributee -auditlogattribute aceitam valores que:
    1. Deve começar com uma letra
    2. Apenas contêm letras ASCII, caracteres de dígito e hífens
    3. Tem maiúsculas e minúsculas
As seguintes sugestões de configuração LDAP (primeira vez) ajudam na configuração do servidor LDAP:
Importante:
  • Certifique-se de que o sistema esteja configurado apropriadamente de acordo com o seu esquema LDAP. Emita chldap -type para preencher a configuração LDAP do sistema com os padrões de tipo do servidor. Emita chldap -reset para retornar para esses padrões em qualquer momento.
    • (Avançado) Para todos os tipos de servidores, os usuários são autenticados com um nome de usuário configurado no atributo LDAP user_attribute. Este atributo deve existir no esquema LDAP e deve ser exclusivo para cada usuário. Ele é configurável emitindo chldap -userattribute. usuários do Active Directory também podem ser autenticados usando seu UPN ou nomes de logins NT.
    • (Avançado) usuários autenticados são designadas funções de acordo com suas associações ao grupo LDAP. Cada associação de grupo do usuário deve ser armazenada no atributo LDAP group_attribute. Este pode ser um atributo LDAP contendo o DN do grupo LDAP do usuário ou um atributo LDAP contendo uma lista separada por vírgulas de nomes de grupo de usuários. Ele é configurável emitindo chldap -groupattribute.
    • (Avançado) Quando um usuário autenticado LDAP executa um comando que é auditorado, o nome de login do usuário é colocado no log de auditoria. O nome é extraído do atributo LDAP audit_log_attribute, que é configurável emitindo chldap -auditlogattribute.
  • Certifique-se de que o sistema seja capaz de procurar nas árvores de usuários e de grupos em servidores LDAP. Por padrão, o sistema autentica de forma anônima. Consequentemente, você deve ser permitir procuras anônimas do diretório LDAP, ou criar um usuário LDAP com as permissões apropriadas e emitir os comandos chldap -username e chldap-password para instruir o sistema para procurar como este usuário.
  • Certifique-se de que o sistema seja capaz de conectar-se com o nível de segurança apropriado. senhas são enviadas para o servidor LDAP como texto criptografado, portanto a criptografia de Segurança da Camada de Transporte (TLS) é recomendada. Emita chldap -security para alterar o nível de segurança.
  • (Avançado): No Active Directory e em alguns outros servidores LDAP, o sistema (por padrão) identifica grupos aos quais os usuários pertencem diretamente. Para designar permissões de usuários de acordo com um grupo-pai, ative a procura de grupo aninhado no cliente emitindo chldap -nestedgroupsearch. Esta configuração possui uma sobrecarga de desempenho adicional e suporta até 8 níveis de aninhamento.

Um exemplo de chamada

chldap -type
itds -username uid=joebloggs,cn=admins,dc=company,dc=com-password passw0rd
descriptiveName -auditlogattribute

A saída resultante:

No feedback