Der ILOM unterstützt LDAP-Authentifizierung (Lightweight Directory Access Protocol) für Benutzer auf der Basis der OpenLDAP-Software. LDAP ist ein allgemeiner Verzeichnisdienst. Ein Verzeichnisdienst (directory service) ist eine zentrale Datenbank für verteilte Anwendungen zur Verwaltung der Einträge in einem Verzeichnis. Auf diese Weise können mehrere Anwendungen sich eine einzige Benutzerdatenbank teilen. Weitere Informationen zu LDAP finden Sie unter http://www.openldap.org/.
LDAP basiert auf einem Client-Server-Modell. LDAP stellt das Verzeichnis zur Verfügung; die Clients nutzen den Verzeichnisdienst für den Zugriff auf die Einträge. Die in einem Verzeichnis gespeicherten Daten können über mehrere LDAP-Server verteilt sein.
Die Daten in LDAP sind hierarchisch organisiert: Sie beginnen beim Stammverzeichnis (root) und verzweigen auf die verschiedenen Einträge. Die Einträge auf der obersten Hierarchieebene sind die großen Organisationen, darunter befinden sich die Einträge der kleineren. Auf der untersten Ebene sind Einträge für Einzelpersonen oder Ressourcen.
Jeder Eintrag wird eindeutig über einen definierten Namen (dn
, Distinguished Name) identifiziert. Ein DN besteht aus einem Namen, der den Eintrag auf der betreffenden Ebene unverwechselbar macht, und aus einem Pfad, der den Eintrag zum Stammverzeichnis des Baums zurückverfolgt.
So ist beispielsweise der DN für jsmith:
dn: uid=jsmith, ou=people, dc=sun.com
In diesem Fall ist uid
die Benutzer-ID des Eintrags, ou
die organisatorische Einheit und dc
die übergreifende Organisation. Das folgende Diagramm veranschaulicht, wie definierte Namen verwendet werden, um Einträge innerhalb der Hierarchie eindeutig zu identifizieren.
Innerhalb des LDAP-Client-Server-Modells stellen die LDAP-Server den LDAP-Clients Informationen zu Einzelpersonen, Organisationen und Ressourcen bereit. Clients nehmen mithilfe einer Client-Utility, die meist mit dem LDAP-Server gebündelt ist, Änderungen an der LDAP-Datenbank vor. Änderungen an der LDAP-Datenbank sind sofort für alle Client-Anwendungen sichtbar; es besteht also keine Notwendigkeit, jede verteilte Anwendung zu aktualisieren. Ein LDAP-Client kann u.a. die folgenden Aufgaben erfüllen:
Suchen und Abrufen von Einträgen aus dem Verzeichnis
Hinzufügen neuer Einträge in das Verzeichnis
Aktualisieren von Einträgen im Verzeichnis
Löschen von Einträgen aus dem Verzeichnis
Umbenennen von Einträgen im Verzeichnis
Um beispielsweise einen Eintrag im Verzeichnis zu aktualisieren, übergibt der LDAP-Client den definierten Namen des Eintrags zusammen mit der aktualisierten Attributinformation an den LDAP-Server. Der LDAP-Server findet den Eintrag anhand des definierten Namens und führt die Änderung aus. Die aktualisierten Informationen sind sofort für alle verteilten Anwendungen, die diesen LDAP-Server nutzen, verfügbar.
Zur Durchführung solcher LDAP-Vorgänge muss der LDAP-Client eine Verbindung mit dem LDAP-Server herstellen. LDAP verlangt die Verwendung der TCP/IP Port-Nummer 389, auch wenn die Server u.U. auch über andere Ports funktionieren.
Der ILOM kann ein Client eines LDAP-Servers sein. Zur Nutzung der LDAP-Authentifizierung müssen Sie auf Ihrem LDAP-Server einen Benutzer erstellen, den der ILOM authentifizieren oder "binden" kann; der Client muss berechtigt sein, das entsprechende Verzeichnis auf dem LDAP-Server zu durchsuchen.
Weitere Informationen finden Sie unter Konfigurieren der LDAP-Einstellungen.