Назад | Перейти на главную страницу

Аутентификация пользователей AIX по OID (Oracle Internet Directory)

Нам необходимо аутентифицировать локальных пользователей на сервере AIX по OID с помощью LDAP. У нас есть филиал в OID, где мы разместили и синхронизировали пользователей Active Directory. Мы также настроили внешнюю аутентификацию для OID, чтобы он проверял имя пользователя и пароли по AD.

Кто-нибудь настраивал аутентификацию для AIX в среде такого типа? Мы полагаем, что нам нужно заполнить специфические для Unix атрибуты записи каталога пользователя в OID, но не уверены, какие атрибуты необходимы.

Кроме того, мы хотим аутентифицировать пользователей базы данных Oracle по OID, но из-за внешней аутентификации мы не можем заполнить атрибут ORCLPASSWORD для записи каталога пользователя на OID (который является атрибутом, в котором Oracle ищет пароль).

Помощь с одним или обоими приветствуется.

Oracle Authentication Services для операционных систем делает это довольно просто. Он генерирует сценарий, который выполняет большую часть настройки сервера AIX за вас.

Вы можете начать с эта красная книга но это не будет быстро и легко ...

Как правило, реализация практически любого LDAP с AIX - непростая задача. Похоже, это задумано. Тем не менее, есть хорошая книга с названием вроде «Интеграция AIX с гетерогенными серверами LDAP». Он огромный, но это потому, что тема сложная. Он не касается OID, но дает много полезной информации.

В частности, в AIX вы можете выбирать между несколькими схемами используемых атрибутов LDAP. Взгляните на /etc/security/ldap/aixuser.map (традиционная проприетарная схема AIX), rfc2307user.map (очень близко к RFC2307), sfu30user.map (Services For Unix 3 = add-on to Windows AD). Вы можете настроить свой собственный файл .map.

Одна из приятных вещей - authtype = ldap_auth. Это возможность аутентификации в AIX через привязки LDAP (т.е. если предоставленных учетных данных достаточно для привязки к LDAP, они считаются достаточными для входа в AIX - в этом простом режиме AIX не считывает и не сравнивает поля пароля из LDAP).