SolarisとAIXシステムでADへの認証と名前サービスを取得する必要があります。Solarisではある程度成功しています。OpenLDAP をプロキシとして使用するユーザー認証用です。また、AD Kerberos 認証と AD LDAP ネーミング サービスを使用するように AIX を構成することにも成功しました。ただし、両方のプラットフォームで、助けが必要な深刻な問題が 2 つあります。
- AD ユーザー/グループは大文字でも小文字でも、あるいはその組み合わせでも構いませんが、エンドユーザーのエクスペリエンスを一貫して維持し、UNIX でユーティリティが期待どおりに動作するためには、小文字にする必要があります。AD で ID の名前を一括変更することは、あまり受け入れられません。Linux sssd は小文字化を実行できますが、AIX/Solaris では実行できません。
- AIX と Solaris はグループ メンバーに rfc2307 の「memberUid」属性 (例: memberUid=user1) を期待しますが、AD は rfc2307bis の「member」属性 (例: member=cn=user1,dc=foo,dc=com) を使用します。OpenLDAP またはその他の方法で、Solaris/AIX クライアントの memberUid を member から書き換える方法はありますか? slapo-rwm は DN を書き換えることができますが、このように変換することはできないようです。
答え1
Kerberos を使用して、AIX ログインを AD 名/ドメインにマップできます。このIBMページAD とサーバーの構成については、こちらが参考になります。その後、次のようにします。
chuser auth_name=ADUSER auth_domain=example.com registry=KRB5Afiles SYSTEM=KRB5Afiles ログイン
(これは AIX7.1 では少し異なりますが、6.1 および 5.3 では正常に動作します。)
これは私の職場で AD に認証する方法であり、LDAP との連携が不要で、メンテナンスが非常に簡単です。
答え2
私の要件を考慮して、最終的に使用したソリューションは、OpenLDAPのすべてのソースディストリビューションに含まれるOpenLDAPコントリビュートモジュール(オーバーレイ)adremapでした。このリンクを参照してください. 私たちは Symas と契約して、これを開発し、アップストリームの OpenLDAP に組み込むようにしました。このオーバーレイはユーザー名を小文字にし、rfc2307bis メンバー属性を memberUid に動的に変換します。コンパイルすると、マニュアル ページに使用方法のドキュメントが提供されますman slapo-adremap。
私は、adremap オーバーレイ (小文字、グループ変換) と rwm ( ) を使用して、古い Solaris/AIX LDAP クライアントが希望する LDAP 属性を AD の同等のものにマップする AD へのプロキシとして OpenLDAP を設定しましman slapo-rwmた。
使用中のadremap設定:
overlay adremap
adremap-downcase uid
adremap-downcase cn
adremap-downcase memberUid
adremap-downcase member
adremap-downcase samaccountname
adremap-dnmap member cn memberUid group posixGroup person dc=example,dc=com
部分的な rwm オーバーレイ構成:
rwm-map attribute gecos displayName
rwm-map attribute uid samAccountName
rwm-map attribute homedirectory unixHomeDirectory
rwm-map objectclass posixGroup group
rwm-map objectclass posixAccount user
OpenLDAP をプロキシとして構成する方法については で説明されておりman slapd-ldap、ここで役立つ情報を提供していません。
この問題についてしばらく考えた結果、完璧な解決策はないが、この解決策は私たちにとっては有効であることがわかりました。なお、この解決策は、ユーザー名を小文字にできない古い RHEL (EL6 以前) LDAP クライアントでも有効です。