É possível usar a interface da linha de comandos (CLI) para configurar o
sistema para autenticar usuários com relação a servidores que implementam o Lightweight Directory Access Protocol
(LDAP), incluindo IBM Security Services e Active Directory (AD).
Sobre Esta Tarefa
- Os usuários em servidores LDAP provisionados com permissões de IBMRBS de Acesso de supervisor ou
Função de supervisor podem efetuar login no sistema como Administrador, mas não podem executar o comando
satask.
- Todos os comandos de configurações de autenticação estão desativados.
Todas as opções na página LDAP da GUI do sistema estão desativadas.
Dica: Um superusuário não pode ser autenticado se o superusuário
estiver usando um Lightweight Directory Access Protocol (servidor LDAP) remoto. Entretanto, outros usuários podem se autenticar dessa maneira.
Procedimento
Para ativar a autenticação de usuário com o LDAP, siga essas
etapas:
- Configure o LDAP emitindo o comando chldap.
Esse comando fornece configurações padrão para ambos, o Tivoli Directory Server e o AD. Para configurar
autenticação com padrões do esquema Tivoli Directory Server e Transport Layer Security (TLS), por
exemplo, emita o comando a seguir:
chldap -type itds -security tls
A configuração
LDAP pode ser inspecionada com o comando
lsldap.
Nota: A TLS
é recomendada porque as senhas transmitidas são criptografadas.
- Especifique o comando mkldapserver para definir
até seis servidores LDAP para uso na autenticação.
Diversos servidores podem ser configurados para fornecer acesso a diferentes conjuntos de usuários ou para redundância. Todos os servidores devem compartilhar as definições que são configuradas com o
chldap.
Para configurar um servidor LDAP com um certificado Secure Socket Layer (SSL) e usuários na
subárvore
cn=users,dc=company,dc=com, por exemplo, emita:
mkldapserver -ip 9.71.45.108 -basedn cn=users,dc=company,dc=com -sslcert /tmp/sslcert.pem
Também
é possível configurar quais servidores são preferenciais para autenticação de usuários.
Especifique lsldapserver para
obter informações de configuração do servidor LDAP. Especifique
chldapserver e rmldapserver para mudar os servidores
LDAP configurados.
- Configure os grupos de usuários no sistema, correspondendo aqueles grupos de usuários que são usados pelo
serviço de autenticação.
Para cada grupo de interesse que é conhecido pelo serviço de autenticação, um grupo de usuários do sistema deve
ser criado com o mesmo nome e com a configuração remota ativada. Se membros de um grupo que é
chamado
sysadmins, por exemplo, exigirem a função de administrador do sistema (admin), emita
o comando a seguir:
mkusergrp -name sysadmins -remote -role Administrator
Se nenhum dos grupos de usuários corresponder a um grupo de usuários do sistema, o usuário não poderá acessar o sistema.
- Verifique a configuração de LDAP usando o comando testldapserver.
Para testar
a conexão com os servidores LDAP, emita o comando sem qualquer
opção. Um nome do usuário pode ser fornecido com ou sem uma senha para testar erros de configuração.
Para processar uma tentativa de autenticação integral
com relação a cada servidor, emita os comandos a seguir:
testldapserver -username username -password password
- Emita o seguinte comando para ativar
a autenticação LDAP:
chauthservice -type ldap -enable yes
- Configure usuários que não requeiram acesso de chave de Shell Seguro
(SSH).
Exclua usuários do sistema que devem usar o serviço de autenticação remota e não requerem acesso de
chave SSH.
Lembre-se: Um
superusuário não pode ser excluído ou usar o serviço de autenticação remota.
- Configure os usuários que requeiram o acesso a chave
SSH.
Todos os usuários do sistema que usam o serviço de autenticação remota e requerem acesso de chave SSH devem ter
configurações remotas que estejam ativadas e uma chave SSH válida que esteja configurada no sistema.