Configurando o Serviço de Autenticação Remota com Lightweight Directory Access Protocol (LDAP) usando CLI

É possível usar a interface da linha de comandos (CLI) para configurar o sistema para autenticar usuários com relação a servidores que implementam o Lightweight Directory Access Protocol (LDAP), incluindo IBM Security Services e Active Directory (AD).

Sobre Esta Tarefa

  • Os usuários em servidores LDAP provisionados com permissões de IBMRBS de Acesso de supervisor ou Função de supervisor podem efetuar login no sistema como Administrador, mas não podem executar o comando satask.
  • Todos os comandos de configurações de autenticação estão desativados.
Todas as opções na página LDAP da GUI do sistema estão desativadas.
Dica: Um superusuário não pode ser autenticado se o superusuário estiver usando um Lightweight Directory Access Protocol (servidor LDAP) remoto. Entretanto, outros usuários podem se autenticar dessa maneira.

Procedimento

Para ativar a autenticação de usuário com o LDAP, siga essas etapas:

  1. Configure o LDAP emitindo o comando chldap.
    Esse comando fornece configurações padrão para ambos, o Tivoli Directory Server e o AD. Para configurar autenticação com padrões do esquema Tivoli Directory Server e Transport Layer Security (TLS), por exemplo, emita o comando a seguir:
    chldap -type itds -security tls
    A configuração LDAP pode ser inspecionada com o comando lsldap.
    Nota: A TLS é recomendada porque as senhas transmitidas são criptografadas.
  2. Especifique o comando mkldapserver para definir até seis servidores LDAP para uso na autenticação.
    Diversos servidores podem ser configurados para fornecer acesso a diferentes conjuntos de usuários ou para redundância. Todos os servidores devem compartilhar as definições que são configuradas com o chldap. Para configurar um servidor LDAP com um certificado Secure Socket Layer (SSL) e usuários na subárvore cn=users,dc=company,dc=com, por exemplo, emita:
    mkldapserver -ip 9.71.45.108 -basedn cn=users,dc=company,dc=com -sslcert /tmp/sslcert.pem

    Também é possível configurar quais servidores são preferenciais para autenticação de usuários.

    Especifique lsldapserver para obter informações de configuração do servidor LDAP. Especifique chldapserver e rmldapserver para mudar os servidores LDAP configurados.

  3. Configure os grupos de usuários no sistema, correspondendo aqueles grupos de usuários que são usados pelo serviço de autenticação.
    Para cada grupo de interesse que é conhecido pelo serviço de autenticação, um grupo de usuários do sistema deve ser criado com o mesmo nome e com a configuração remota ativada. Se membros de um grupo que é chamado sysadmins, por exemplo, exigirem a função de administrador do sistema (admin), emita o comando a seguir:
    mkusergrp -name sysadmins -remote -role Administrator

    Se nenhum dos grupos de usuários corresponder a um grupo de usuários do sistema, o usuário não poderá acessar o sistema.

  4. Verifique a configuração de LDAP usando o comando testldapserver.
    Para testar a conexão com os servidores LDAP, emita o comando sem qualquer opção. Um nome do usuário pode ser fornecido com ou sem uma senha para testar erros de configuração. Para processar uma tentativa de autenticação integral com relação a cada servidor, emita os comandos a seguir:
    testldapserver -username username -password password
  5. Emita o seguinte comando para ativar a autenticação LDAP:
    chauthservice -type ldap -enable yes
  6. Configure usuários que não requeiram acesso de chave de Shell Seguro (SSH).
    Exclua usuários do sistema que devem usar o serviço de autenticação remota e não requerem acesso de chave SSH.
    Lembre-se: Um superusuário não pode ser excluído ou usar o serviço de autenticação remota.
  7. Configure os usuários que requeiram o acesso a chave SSH.

    Todos os usuários do sistema que usam o serviço de autenticação remota e requerem acesso de chave SSH devem ter configurações remotas que estejam ativadas e uma chave SSH válida que esteja configurada no sistema.