Omitir Vínculos de navegación | |
Salir de la Vista de impresión | |
Trabajo con servicios de nombres y directorios en Oracle Solaris 11.1 Oracle Solaris 11.1 Information Library (Español) |
Parte I Acerca de los servicios de nombres y directorios
1. Servicios de nombres y directorios (descripción general)
2. Conmutador de servicio de nombres (descripción general)
4. Configuración de clientes de Active Directory de Oracle Solaris (tareas)
Parte II Configuración y administración de NIS
5. Servicio de información de red (descripción general)
6. Instalación y configuración del servicio NIS (tareas)
7. Administración de NIS (tareas)
8. Resolución de problemas de NIS
Parte III Servicios de nombres LDAP
9. Introducción a los servicios de nombres LDAP (descripción general)
Lectura en segundo plano sugerida
Requisitos previos adicionales
Servicios de nombres LDAP comparados con otros servicios de nombres
Ventajas de servicios de nombres LDAP
Restricciones de servicios de nombres LDAP
Configuración de servicios de nombres LDAP (mapa de tareas)
Formato de intercambio de datos LDAP
Uso de nombres de dominio completo con LDAP
Árbol de información de directorios predeterminado
Atributos de perfil de cliente LDAP
Atributos locales del cliente LDAP
Modelo de seguridad de servicios de nombres LDAP
Seguridad de la capa de transporte
Asignación de niveles de credencial de cliente
Nivel de credencial anonymous de LDAP
Nivel de credencial proxy de LDAP
Nivel de credencial proxy anonymous de LDAP
Autenticación per-user de LDAP
Almacenamiento de credenciales de clientes LDAP
Selección de métodos de autenticación para el servicio de nombres LDAP
Especificación de métodos de autenticación para servicios específicos en LDAP
Métodos de autenticación conectables
Módulos de servicio pam_unix_*
Gestión de cuentas de LDAP con los módulos pam_unix_*
10. Requisitos de planificación para servicios de nombres LDAP (tareas)
11. Configuración de Oracle Directory Server Enterprise Edition con clientes LDAP (tareas)
12. Configuración de clientes LDAP (tareas)
13. Resolución de problemas de LDAP (referencia)
14. Servicio de nombres LDAP (Referencia)
Nota - Si utiliza asignación de esquemas, debe hacerlo con un mucho cuidado y de forma coherente. Asegúrese de que la sintaxis del atributo asignado sea coherente con el atributo al que está asignado. En otras palabras, asegúrese de que los atributos de un solo valor se asignen a atributos de un solo valor, que las sintaxis del atributo estén en el acuerdo, y que las clases de objeto asignado tengan los atributos obligatorios correctos (posiblemente asignados).
Como se indicó anteriormente, los servicios de nombres LDAP esperan, de manera predeterminada, que la estructura del DIT tenga una cierta forma. Si lo desea, puede indicar al servicio de nombres LDAP que busque en ubicaciones que no sean las ubicaciones predeterminadas en el DIT mediante descriptores de búsqueda de servicios (SSD). Además, puede especificar que se utilicen diferentes atributos y clases de objeto en lugar de los especificados por el esquema predeterminado. Para obtener una lista de los filtros predeterminados, consulte Filtros predeterminados utilizados por los servicios de nombres LDAP.
El atributo serviceSearchDescriptor define de qué manera y en qué lugar el cliente del servicio de nombres LDAP debe buscar información para un servicio concreto. El atributo serviceSearchDescriptor contiene un nombre de servicio, seguido por uno o más triples de filtro, alcance, base separados por punto y coma. Estos triples se utilizan para definir búsquedas sólo para el servicio específico y se buscan en orden. Si hay varios triples de filtros, alcance, base definidos para un servicio determinado, cuando ese servicio busque una entrada en particular, buscará en cada base con el alcance y el filtro especificado.
Nota - La ubicación predeterminada no se busca para un servicio (base de datos) con el SSD, a menos que se incluya en el SSD. Habrá un comportamiento imprevisible si se determinan varios SSD para un servicio.
En el ejemplo siguiente, el cliente del servicio de nombres LDAP realiza una búsqueda de un nivel en ou=west,dc=example,dc=com seguida de una búsqueda de un nivel en ou=east,dc=example,dc=com para el servicio passwd. Si desea buscar los datos de passwd para el username de un usuario, el filtro LDAP predeterminado (&(objectClass=posixAccount)(uid=username)) se utiliza para cada BaseDN.
serviceSearchDescriptor: passwd:ou=west,dc=example,dc=com;ou=east, dc=example,dc=com
En el ejemplo siguiente, el cliente del servicio de nombres LDAP realiza una búsqueda de subárbol en ou=west,dc=example,dc=com para el servicio passwd. Si desea buscar los datos de passwd para el username de un usuario, el subárbol ou=west,dc=example,dc=com se busca con el filtro LDAP (&(fulltimeEmployee=TRUE)(uid=username)).
serviceSearchDescriptor: passwd:ou=west,dc=example, dc=com?sub?fulltimeEmployee=TRUE
También es posible asociar varios contenedores con un tipo de servicio determinado. En el siguiente ejemplo, el descriptor de búsqueda de servicio especifica la búsqueda para las entradas de contraseña en tres contenedores.
|
Tenga en cuenta que un carácter ' ,' en el ejemplo implica que el defaultSearchBase está agregado en la base relativa de SSD.
defaultSearchBase: dc=example,dc=com serviceSearchDescriptor: \ passwd:ou=myuser,;ou=newuser,;ou=extuser,dc=example,dc=com
El servicio de nombres LDAP permite que uno o más nombres de atributo se vuelvan a asignar para cualquiera de sus servicios. El cliente LDAP utiliza los atributos conocidos que se describen en el Capítulo 14, Servicio de nombres LDAP (Referencia). Si asigna un atributo, debe asegurarse de que tenga el mismo significado y sintaxis que el atributo original. Tenga en cuenta que la asignación del atributo userPassword puede causar problemas.
Hay un par de motivos por los que puede que desee utilizar asignaciones de esquemas.
Desea asignar atributos en un servidor de directorios existente.
Si tiene nombres de usuario que sólo difieren en las mayúsculas y minúsculas, debe asignar el atributo uid, que no tiene en cuenta las mayúsculas y las minúsculas, en lugar de un atributo que distingue entre mayúsculas y minúsculas.
El formato para este atributo es service:attribute-name=mapped-attribute-name .
Si desea asignar más de un atributo para un servicio determinado, puede definir varios atributos attributeMap.
En el siguiente ejemplo, los atributos employeeName y home se utilizarán siempre que los atributos uid y homeDirectory se utilicen para el servicio passwd.
attributeMap: passwd:uid=employeeName attributeMap: passwd:homeDirectory=home
Existe un caso especial donde puede asignar el atributo gecos del servicio passwd a varios atributos. A continuación, se muestra un ejemplo.
attributeMap: gecos=cn sn title
Esto asigna los valores de gecos a una lista separada por espacios de los valores de los atributos cn, sn y title.
El servicio de nombres LDAP permite que las clases de objetos se vuelvan a asignar para cualquiera de sus servicios. Si desea asignar más de una clase de objeto a un servicio determinado, puede definir varios atributos objectclassMap. En el siguiente ejemplo, la clase de objeto myUnixAccount se utiliza cuando se usa la clase de objeto posixAccount.
objectclassMap: passwd:posixAccount=myUnixAccount