JavaScript is required to for searching.
跳过导航链接
退出打印视图
在 Oracle Solaris 11.1 中使用命名和目录服务     Oracle Solaris 11.1 Information Library (简体中文)
为本文档评分
search filter icon
search icon

文档信息

前言

第 1 部分关于命名和目录服务

1.  命名和目录服务(概述)

2.  名称服务转换(概述)

3.  管理 DNS(任务)

4.  设置 Oracle Solaris Active Directory 客户机(任务)

第 2 部分NIS 设置和管理

5.  网络信息服务(概述)

6.  设置和配置 NIS(任务)

7.  管理 NIS(任务)

8.  NIS 故障排除

第 3 部分LDAP 命名服务

9.  LDAP 命名服务介绍(概述)

10.  LDAP 命名服务的规划要求(任务)

11.  为使用 LDAP 客户机设置 Oracle Directory Server Enterprise Edition(任务)

使用 idsconfig 命令配置 Oracle Directory Server Enterprise Edition

基于服务器安装创建核对表

属性索引

架构定义

使用浏览索引

使用服务搜索描述符修改客户机对各个服务的访问

使用 idsconfig 命令设置 SSD

运行 idsconfig 命令

如何使用 idsconfig 命令配置 Oracle Directory Server Enterprise Edition

idsconfig 设置示例

使用 ldapaddent 命令置备目录服务器

如何使用 ldapaddent 命令向 Oracle Directory Server Enterprise Edition 置备用户口令数据

使用 Member 属性指定组成员关系

向目录服务器置备其他配置文件

如何使用 ldapclient 命令向目录服务器置备其他配置文件

配置目录服务器以启用帐户管理

对于使用 pam_ldap 模块的客户机

对于使用 pam_unix_* 模块的客户机

12.  设置 LDAP 客户机(任务)

13.  LDAP 故障排除(参考信息)

14.  LDAP 命名服务(参考信息)

15.  从 NIS 转换为 LDAP(任务)

词汇表

索引

请告诉我们如何提高我们的文档:
过于简略
不易阅读或难以理解
重要信息缺失
错误的内容
需要翻译的版本
其他
Your rating has been updated
感谢您的反馈!

您的反馈将非常有助于我们提供更好的文档。 您是否愿意参与我们的内容改进并提供进一步的意见?

配置目录服务器以启用帐户管理

可以为使用 pam_ldap 的客户机和使用 pam_unix_* 模块的客户机实施帐户管理。


注意

注意 - 不要在同一个 LDAP 命名域中同时使用 pam_ldappam_unix_* 模块。要么所有客户机都使用 pam_ldap 模块,要么所有客户机都使用 pam_unix_* 模块。因为存在这种限制,您可能需要专用的 LDAP 服务器。


对于使用 pam_ldap 模块的客户机

为了让 pam_ldap 能够正常工作,必须在服务器上正确配置口令和帐户锁定策略。您可以使用 Directory Server Console 或 ldapmodify 为 LDAP 目录配置帐户管理策略。有关过程和更多信息,请参见您使用的 Oracle Directory Server Enterprise Edition 版本的管理指南中的 "User Account Management"(用户帐户管理)一章。


注 - 以前,如果启用了 pam_ldap 帐户管理,所有用户在每次登录系统时都必须提供登录口令以进行验证。因此,使用 ssh 等工具的非基于口令的登录将失败。

在用户登录时,在不向目录服务器进行验证的情况下执行帐户管理并检索用户的帐户状态。目录服务器上的新控件是 1.3.6.1.4.1.42.2.27.9.5.8,它在缺省情况下是启用的。

要将此控制从缺省状态修改为其他状态,请在目录服务器上添加访问控制指令 (Access Control Instructions, ACI):

dn: oid=1.3.6.1.4.1.42.2.27.9.5.8,cn=features,cn=config
objectClass: top
objectClass: directoryServerFeature
oid:1.3.6.1.4.1.42.2.27.9.5.8
cn:Password Policy Account Usable Request Control
aci: (targetattr != "aci")(version 3.0; acl "Account Usable"; 
     allow (read, search, compare, proxy)
     (groupdn = "ldap:///cn=Administrators,cn=config");)
creatorsName: cn=server,cn=plugins,cn=config
modifiersName: cn=server,cn=plugins,cn=config

绝不应当允许 proxy 用户的口令过期。如果代理口令过期,使用 proxy 凭证级别的客户机将无法从服务器检索命名服务信息。为了确保代理用户的口令不过期,请使用以下脚本修改代理帐户:

# ldapmodify -h ldapserver -D administrator DN \
-w administrator password <<EOF
dn: proxy user DN
DNchangetype: modify
replace: passwordexpirationtime
passwordexpirationtime: 20380119031407Z
EOF

注 - pam_ldap 帐户管理依赖 Oracle Directory Server Enterprise Edition 为用户维护和提供口令生命期和帐户过期信息。目录服务器不对来自影子条目的对应数据进行解释以验证用户帐户。不过,pam_unix_* 模块会检查影子数据以确定帐户是否被锁定或口令是否已老化。因为影子数据未由 LDAP 命名服务或目录服务器保持为最新状态,所以这些模块不应当基于影子数据授予访问权限。影子数据是使用 proxy 标识检索的。因此,请不要允许 proxy 用户对 userPassword 属性具有读取访问权限。拒绝 proxy 用户对 userPassword 的读取访问权限可防止 PAM 服务进行无效的帐户验证。


对于使用 pam_unix_* 模块的客户机

要使 LDAP 客户机能够使用 pam_unix_* 模块进行帐户管理,必须对服务器进行设置以启用影子数据的更新。与 pam_ldap 帐户管理不同,pam_unix_* 模块不要求执行额外的配置步骤。所有配置都可以通过运行 idsconfig 实用程序来执行。对于基本的 idsconfig 运行,请参见示例 11-1

下面显示了两个 idsconfig 运行的输出。

第一个 idsconfig 运行使用现有的客户机配置文件。

# /usr/lib/ldap/idsconfig

It is strongly recommended that you BACKUP the directory server
before running idsconfig.

Hit Ctrl-C at any time before the final confirmation to exit.

Do you wish to continue with server setup (y/n/h)? [n] y
Enter the JES Directory Server's  hostname to setup: myserver
Enter the port number for DSEE (h=help): [389]
Enter the directory manager DN: [cn=Directory Manager]
Enter passwd for cn=Directory Manager :
Enter the domainname to be served (h=help): [west.example.com]
Enter LDAP Base DN (h=help): [dc=west,dc=example,dc=com]
  Checking LDAP Base DN ...
  Validating LDAP Base DN and Suffix ...
  sasl/GSSAPI is not supported by this LDAP server

Enter the profile name (h=help): [default] WestUserProfile

Profile 'WestUserProfile' already exists, it is possible to enable
shadow update now. idsconfig will exit after shadow update
is enabled. You can also continue to overwrite the profile
or create a new one and be given the chance to enable
shadow update later.
Just enable shadow update (y/n/h)? [n] y
Add the administrator identity (y/n/h)? [y]
Enter DN for the administrator: [cn=admin,ou=profile,dc=west,dc=example,dc=com]
Enter passwd for the administrator: 
Re-enter passwd: 
  ADDED: Administrator identity cn=admin,ou=profile,dc=west,dc=example,dc=com.
         Proxy ACI LDAP_Naming_Services_proxy_password_read does not 
         exist for dc=west,dc=example,dc=com.
  ACI SET: Give cn=admin,ou=profile,dc=west,dc=example,dc=com read/write access 
           to shadow data.
  ACI SET: Non-Admin access to shadow data denied.

  Shadow update has been enabled.

第二个 idsconfig 运行创建了新的配置文件供以后使用。这里显示的只是部分输出。

# /usr/lib/ldap/idsconfig

It is strongly recommended that you BACKUP the directory server
before running idsconfig.

Hit Ctrl-C at any time before the final confirmation to exit.

Do you wish to continue with server setup (y/n/h)? [n] y
Enter the JES Directory Server's  hostname to setup: myserver
Enter the port number for DSEE (h=help): [389]
Enter the directory manager DN: [cn=Directory Manager]
Enter passwd for cn=Directory Manager :
Enter the domainname to be served (h=help): [west.example.com]
Enter LDAP Base DN (h=help): [dc=west,dc=example,dc=com]
  Checking LDAP Base DN ...
  Validating LDAP Base DN and Suffix ...
  sasl/GSSAPI is not supported by this LDAP server

Enter the profile name (h=help): [default] WestUserProfile-new
Default server list (h=help): [192.168.0.1]
.
.
.
Do you want to enable shadow update (y/n/h)? [n] y
              Summary of Configuration

  1  Domain to serve               : west.example.com
  2  Base DN to setup              : dc=west,dc=example,dc=com
         Suffix to create          : dc=west,dc=example,dc=com
  3  Profile name to create        : WestUserProfile-new
.
.
.
 19  Enable shadow update          : TRUE
.
.
.
Enter DN for the administrator: [cn=admin,ou=profile,dc=west,dc=example,dc=com]
Enter passwd for the administrator:
Re-enter passwd:


WARNING: About to start committing changes. (y=continue, n=EXIT) y

  1. Changed timelimit to -1 in cn=config.
  2. Changed sizelimit to -1 in cn=config.
.
.
.
  11. ACI for dc=test1,dc=mpklab,dc=sfbay,dc=sun,dc=com modified to 
      disable self modify.
.
.
.
  15. Give cn=admin,ou=profile,dc=west,dc=example,dc=com write permission for shadow.
...