Ich muss dafür sorgen, dass Solaris- und AIX-Systeme Authentifizierungs- und Namensdienste für AD erhalten. Ich hatte einige Erfolge mit SolarisOpenLDAP als Proxy verwendenzur Benutzerauthentifizierung. Ich habe AIX auch erfolgreich so konfiguriert, dass es AD Kerberos-Authentifizierung und AD LDAP-Namensdienste verwendet. Allerdings habe ich für beide Plattformen zwei schwerwiegende Probleme, bei denen ich Hilfe brauche:
- AD-Benutzer/-Gruppen können Groß- oder Kleinbuchstaben oder eine beliebige Kombination davon enthalten, aber für ein einheitliches Endbenutzererlebnis und die erwartungsgemäße Funktion von Dienstprogrammen unter UNIX sollten sie klein geschrieben sein. Das massenhafte Umbenennen von IDs in AD ist schwer zu verkaufen. Linux-Sssd kann Kleinbuchstaben verwenden, AIX/Solaris jedoch nicht.
- AIX und Solaris erwarten ein rfc2307-Attribut „memberUid“ (z. B. memberUid=user1) für Gruppenmitglieder, während AD das rfc2307bis-Attribut „member“ verwendet (z. B. member=cn=user1,dc=foo,dc=com). Gibt es eine Möglichkeit mit OpenLDAP oder auf andere Weise, memberUid von member für Solaris/AIX-Clients umzuschreiben? slapo-rwm kann DNs umschreiben, aber eine solche Umwandlung scheint nicht möglich zu sein.
Antwort1
Sie können Kerberos verwenden, um AIX-Anmeldungen AD-Namen/Domänen zuzuordnen.Diese IBM-Seiteist eine gute Referenz für die AD- und Serverkonfiguration. Dann machen Sie einfach:
chuser auth_name=ADUSER auth_domain=example.com registry=KRB5Afiles SYSTEM=KRB5Afiles anmelden
(Beachten Sie, dass dies unter AIX7.1 etwas anders ist, unter 6.1 und 5.3 jedoch gut funktioniert.)
So authentifizieren wir uns an meinem Arbeitsplatz bei AD. Es ist ziemlich einfach zu pflegen, keine LDAP-Anbindung erforderlich.
Antwort2
Aufgrund meiner Anforderungen haben wir uns letztendlich für das OpenLDAP Contrib-Modul (Overlay) adremap entschieden, das in jeder Quelldistribution von OpenLDAP enthalten ist.siehe diesen Link. Wir haben Symas beauftragt, es zu entwickeln und in Upstream OpenLDAP zu integrieren. Dieses Overlay wird Benutzernamen in Kleinbuchstaben schreiben und rfc2307bis-Mitgliedsattribute dynamisch in MemberUid umwandeln. Wenn es kompiliert wurde, bietet eine Manpage die Dokumentation zur Verwendung: man slapo-adremap.
Ich habe OpenLDAP als Proxy für AD konfiguriert und verwende dabei Adremap-Overlay (Kleinbuchstaben, Gruppenkonvertierung) und rwm ( man slapo-rwm), um LDAP-Attribute, die alte Solaris/AIX-LDAP-Clients verwenden, den AD-Äquivalenten zuzuordnen.
Verwendete Adremap-Konfiguration:
overlay adremap
adremap-downcase uid
adremap-downcase cn
adremap-downcase memberUid
adremap-downcase member
adremap-downcase samaccountname
adremap-dnmap member cn memberUid group posixGroup person dc=example,dc=com
Teilweise RWM-Overlay-Konfiguration:
rwm-map attribute gecos displayName
rwm-map attribute uid samAccountName
rwm-map attribute homedirectory unixHomeDirectory
rwm-map objectclass posixGroup group
rwm-map objectclass posixAccount user
Die Konfiguration von OpenLDAP als Proxy wird in behandelt man slapd-ldapund geht über das hinaus, was ich hier sinnvoll bereitstellen kann.
Nachdem ich eine Weile über dieses Problem nachgedacht habe, bin ich zu dem Schluss gekommen, dass es keine perfekte Lösung gibt, aber diese hier funktioniert für uns. Beachten Sie, dass diese Lösung auch für ältere RHEL-LDAP-Clients (vor EL6) gut funktioniert, da diese Benutzernamen nicht in Kleinbuchstaben schreiben können.