我需要让Solaris和AIX系统为AD获取身份validation和名称服务。 在使用OpenLDAP作为用户authentication代理的 Solaris上,我取得了一些成功。 我也成功地configuration了AIX使用AD kerberosauthentication和AD LDAP命名服务。 但是,对于这两个平台,我有两个严重的问题需要帮助:
您可以使用Kerberos将AIXlogin映射到AD名称/域。 这个IBM页面是AD和服务器configuration的一个很好的参考。 那么你只是做:
chuser auth_name = ADUSER auth_domain = example.com registry = KRB5Afiles SYSTEM = KRB5Afiles login
(请注意,这在AIX7.1上稍有不同,但在6.1和5.3上运行良好。)
这就是我们在工作场所对AD进行身份validation的方式,维护起来非常简单,不需要LDAP绑定。
根据我的要求,我们最终使用的解决scheme是OpenLDAP contrib模块(overlay)adremap,它位于OpenLDAP的每个源代码发行版中, 请参阅此链接 。 我们与Symas签订协议,将其开发并放入上游OpenLDAP。 这个覆盖将小写用户名,并dynamic地将rfc2307bis成员属性转换为memberUid。 如果编译,手册页提供了使用它的文档: man slapo-adremap 。
我使用adremap overlay(小写,组转换)和rwm( man slapo-rwm )将OpenLDAPconfiguration为AD的代理,以映射旧的Solaris / AIX LDAP客户机希望与AD等效的LDAP属性。
使用adremapconfiguration:
overlay adremap adremap-downcase uid adremap-downcase cn adremap-downcase memberUid adremap-downcase member adremap-downcase samaccountname adremap-dnmap member cn memberUid group posixGroup person dc=example,dc=com
部分rwm覆盖configuration:
rwm-map attribute gecos displayName rwm-map attribute uid samAccountName rwm-map attribute homedirectory unixHomeDirectory rwm-map objectclass posixGroup group rwm-map objectclass posixAccount user
configurationOpenLDAP作为代理在man slapd-ldap ,超出了我在这里提供的有用信息。
在咀嚼这个问题之后,我发现那里没有完美的解决scheme,但是这个对我们来说是有效的。 请注意,此解决scheme对于较旧的RHEL(pre-EL6)LDAP客户端也适用,因为它们无法小写用户名。