%20%E5%AF%B9%20AIX%20%E7%94%A8%E6%88%B7%E8%BF%9B%E8%A1%8C%E8%BA%AB%E4%BB%BD%E9%AA%8C%E8%AF%81.png)
我们需要使用 LDAP 根据 OID 对 AIX 服务器上的本地用户进行身份验证。我们在 OID 内有一个分支,我们已将 Active Directory 用户放置并同步到该分支。我们还在 OID 上配置了外部身份验证,以便它根据 AD 验证用户名/密码。
有人在这种环境中为 AIX 配置过身份验证吗?我们认为我们需要在 OID 中的用户目录条目上填充特定于 unix 的属性,但不确定需要哪些属性。
此外,我们希望根据 OID 对 Oracle 数据库用户进行身份验证,但由于外部身份验证,我们无法在 OID 上的用户目录条目中填充 ORCLPASSWORD 属性(这是 Oracle 在其中寻找密码的属性)。
欢迎提供其中一项或两项帮助。
答案1
适用于操作系统的 Oracle 身份验证服务使这变得非常简单。它会生成一个脚本,为您完成 AIX 服务器上的大部分配置。
答案2
一般来说,使用 AIX 实现任何 LDAP 都是一项繁琐的任务。这似乎是设计使然。但是,有一本很好的红皮书,名字类似于“将 AIX 与异构 LDAP 服务器集成”。它很长,但这是因为这个主题很复杂。它没有专门介绍 OID,但它提供了大量有用的信息。
具体来说,在 AIX 中,您可以选择几种使用的 LDAP 属性布局。查看 /etc/security/ldap/aixuser.map(传统专有 AIX 方案)、rfc2307user.map(非常接近 RFC2307)、sfu30user.map(Services For Unix 3 = Windows AD 的附加组件)。您可以自定义自己的 .map 文件。
一些不错的功能之一是 authtype=ldap_auth。它可以通过 LDAP 绑定在 AIX 中进行身份验证(即,如果提供的凭据足以绑定到 LDAP,则它们被认为足以登录到 AIX - 在这种简单模式下,AIX 不会从 LDAP 读取/比较任何密码字段)。
答案3
你可以从这本红皮书但这不会很快也不容易......