Solaris 및 AIX 시스템이 AD에 대한 인증 및 이름 서비스를 얻도록 해야 합니다. 나는 솔라리스로 어느 정도 성공을 거두었습니다.OpenLDAP를 프록시로 사용사용자 인증을 위해. 또한 AD kerberos 인증 및 AD LDAP 이름 지정 서비스를 사용하도록 AIX를 성공적으로 구성했습니다. 그러나 두 플랫폼 모두에 대해 도움이 필요한 두 가지 심각한 문제가 있습니다.
- AD 사용자/그룹은 대문자나 소문자 또는 이들의 조합일 수 있지만 UNIX에서 예상대로 작동하는 일관된 최종 사용자 경험과 유틸리티를 위해서는 소문자여야 합니다. AD에서 한꺼번에 ID 이름을 바꾸는 것은 판매하기 어렵습니다. Linux sssd는 소문자화를 수행할 수 있지만 AIX/Solaris는 그렇지 않습니다.
- AIX 및 Solaris는 그룹 구성원에 대해 rfc2307 'memberUid' 속성(예: memberUid=user1)을 예상하는 반면, AD는 rfc2307bis 'member' 속성(예: member=cn=user1,dc=foo,dc=com)을 사용합니다. OpenLDAP를 사용하거나 다른 방법으로 Solaris/AIX 클라이언트용 멤버에서 memberUid를 다시 작성할 수 있는 방법이 있습니까? slapo-rwm은 DN을 다시 작성할 수 있지만 이와 같이 변환하는 것은 없는 것 같습니다.
답변1
Kerberos를 사용하여 AIX 로그인을 AD 이름/도메인에 매핑할 수 있습니다.이 IBM 페이지AD 및 서버 구성에 대한 좋은 참고 자료입니다. 그런 다음 다음을 수행하십시오.
chuser auth_name=ADUSER auth_domain=example.com 레지스트리=KRB5Afiles SYSTEM=KRB5Afiles 로그인
(AIX7.1에서는 약간 다르지만 6.1과 5.3에서는 잘 작동합니다.)
이것이 우리 직장에서 AD에 인증하는 방법이며 유지 관리가 매우 쉽고 LDAP 연결이 필요하지 않습니다.
답변2
내 요구 사항을 고려하여 결국 우리가 사용하게 된 솔루션은 OpenLDAP의 모든 소스 배포판에 있는 OpenLDAP contrib 모듈(오버레이) adremap이었습니다.이 링크를 참조하세요. 우리는 이를 개발하고 업스트림 OpenLDAP에 넣기 위해 Symas와 계약을 맺었습니다. 이 오버레이는 사용자 이름을 소문자로 바꾸고 rfc2307bis 구성원 속성을 memberUid로 동적으로 변환합니다. 컴파일된 경우 매뉴얼 페이지는 이를 사용하기 위한 문서를 제공합니다 man slapo-adremap.
나는 adremap 오버레이(소문자, 그룹 변환) 및 rwm()을 사용하여 OpenLDAP를 AD에 대한 프록시로 구성하여 man slapo-rwm이전 Solaris/AIX LDAP 클라이언트가 원하는 LDAP 속성을 AD 등가물에 매핑했습니다.
사용 중인 adremap 구성:
overlay adremap
adremap-downcase uid
adremap-downcase cn
adremap-downcase memberUid
adremap-downcase member
adremap-downcase samaccountname
adremap-dnmap member cn memberUid group posixGroup person dc=example,dc=com
부분 rwm 오버레이 구성:
rwm-map attribute gecos displayName
rwm-map attribute uid samAccountName
rwm-map attribute homedirectory unixHomeDirectory
rwm-map objectclass posixGroup group
rwm-map objectclass posixAccount user
OpenLDAP를 프록시로 구성하는 방법은 에서 다루며 man slapd-ldap여기서 유용하게 제공할 수 있는 내용 이상입니다.
이 문제를 잠시 검토한 결과 완벽한 해결책이 없다는 것을 알게 되었지만 이것이 우리에게 효과적이었습니다. 이 솔루션은 사용자 이름을 소문자로 지정할 수 없기 때문에 이전 RHEL(EL6 이전) LDAP 클라이언트에서도 잘 작동합니다.