IBM AIX和Microsoft Active Directory与Kerberos和LDAP的集成

为什么是 Kerberos 和 LDAP

LDAP 对于存储和检索 AIX 用户的用户属性非常有效，但使用 LDAP 进行身份验证仍然需要用户提供一个 AIX 密码和一个 AD 密码。Kerberos 支持 AIX 使用本地 AD 协议，参照用户的 Microsoft Windows 密码进行用户身份验证。

使用的 Active Directory 属性

下列 AD 属性可被 AIX 用于获取用户信息。

开始之前 - 先决条件

开始该流程之前需要对下列各项进行配置。

您的 Windows DNS 服务器中的 AIX 主机的域名系统 (DNS) 记录（A 和 PTR）。

Active Directory 中匹配 AIX 主机名的计算机对象。

包含 AIX 对象的组织单元 (OU) 。

目标 OU 中至少包含一个支持 UNIX 的 用户。

可用于将 LDAP 绑定到 AD 的 AD 服务帐户。服务帐户在任何将会具有支持 UNIX 的用户的 OU 上都应有完整的读权限。

确保 hostname 命令返回 AIX 服务器的完全限定域名（FQDN）。主机的 /etc/hosts 条目应为 {IP} {FQDN} {Short Name}

确保 AIX 主机将会使用 DNS 域控制器。

在 AIX 服务器上配置 Network Time Protocol (NTP) 。（如果时钟超过 5 分钟，Kerberos 将会失败。）

配置 syslog 或验证它是否按预期运行。

示例环境

示例场景可使用 AIX 6.1 TL 6 和 TL 8 以及 AIX 7.1 TL 1 进行测试，Server 2008 R2 域控制器上的 Active Directory 在 2003 功能级别运行。需要重点强调的是，域控制器必须是 Windows Server 2003 R2 或其更高版本，以便包含开箱即用的 UNIX LDAP 属性。如果您拥有 Server 2003  域控制器，那么可以使用 Microsoft Windows Services for UNIX 附加组件来扩展 LDAP 模式，以包括 UNIX 属性。（本文并不打算介绍该场景。）

（编辑：淮北站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!