配置 LDAP

语言：

系统管理员可以将 Oracle ILOM 配置为使用轻量目录访问协议 (Lightweight Directory Access Protocol, LDAP) 服务来验证用户。此服务基于客户机/服务器查询模型，该模型使用只读代理用户帐户查询 LDAP 服务器来进行用户验证。

默认情况下，LDAP 服务状态属性在 Oracle ILOM 中为禁用。要启用 LDAP 服务状态并配置属性以将 LDAP 目录服务用于用户验证，请参见以下各表：

表 31 允许 Oracle ILOM 作为 LDAP 客户机的要求
表 32 允许 Oracle ILOM 使用 LDAP 验证

表 31 允许 Oracle ILOM 作为 LDAP 客户机的要求

将 Oracle ILOM 配置为 LDAP 客户机之前，必须正确配置 LDAP 服务器。在配置 LDAP 服务器以将 Oracle ILOM 识别为 LDAP 客户机时，请参阅以下准则和“相关信息”部分。

确保将 LDAP 服务器设置为使用默认密码 {crypt} 格式。要进行 Oracle ILOM 验证的所有 LDAP 用户的密码都必须采用以下两种 {crypt} 格式之一存储：

userPassword: {CRYPT}ajCa2He4PJhNo

userPassword: {CRYPT}$1$pzKng1$du1Bf0NWBjh9t3FbUgf46
请参阅 Internet Engineering Task Force Schema (RFC 2307)（Internet 工程任务组架构 (RFC 2307)）以添加 posixAccount 和 shadowAccount 的对象类，然后填充以下项的所需属性值：

- uidnumber

- gidnumber

- uid（Oracle ILOM 用户名）
使 LDAP 服务器能够接受匿名绑定，或在 LDAP 服务器上创建一个代理用户，该代理用户对将进行 Oracle ILOM 验证的所有用户帐户具有只读访问权限。

相关信息：

Internet Engineering Task Force Schema (RC2307)（Internet 工程任务组架构 (RC2307)）(http://www.ietf.org/rfc/rfc2307.txt)

表 32 允许 Oracle ILOM 使用 LDAP 验证

用户界面可配置目标： CLI：`/SP\|CMM/clients/ldap` Web："ILOM Administration" > "User Management" > "LDAP Settings" 用户角色：User Management (`u`)（进行任何属性修改时均必需）
属性	默认值	说明
State (`state=`)	Disabled	`Disabled` \|`Enabled` 要使 Oracle ILOM 能够使用 LDAP 目录服务来验证用户，请将 State 属性设置为 enabled。 State 属性为 enabled 后，Oracle ILOM 将查询 LDAP 服务器来验证 LDAP 用户。 State 对应的 CLI 语法： `set /SP\|CMM/clients/ldap/ state=disabled\|enabled`
Roles (`defaultrole=`)	Operator	`Administrator` \|`Operator` \|`Advanced` 要定义 Oracle ILOM 中哪些功能可由已验证身份的 LDAP 用户访问，请将默认 Roles 属性设置为以下三个 Oracle ILOM 用户角色之一：Administrator (a\|u\|c\|r\|o)、Operator (c\|r\|o) 或 Advanced (`a\|u\|c\|r\|o\|s`) 用于使用 Oracle ILOM 中功能的授权级别由配置的 Oracle ILOM 用户角色授予的用户特权指定。有关分配的特权的说明，请参见下面的“相关信息”部分中列出的用户角色和用户配置文件主题。 Roles 对应的 CLI 语法： `set /SP\|CMM/clients/ldap/ defaultrole=administrator\|operator\|a\|u\|c\|r\|o\|s` 相关信息：表 10 表 11
Address (`address=`)	0.0.0.0	`IP address`\| `DNS host name`（LDAP 服务器）要配置 LDAP 服务器网络地址，请使用 LDAP 服务器 IP 地址或 DNS 主机名填充 "Address" 属性。如果使用 DNS 主机名，则 Oracle ILOM 中的 DNS 配置属性必须配置正确且可运行。 Address 对应的 CLI 语法： `set /SP\|CMM/clients/ldap/ address=ldap_server ip_address\|ldap_server_dns_host_name` 相关信息：表 47
Port (`port=`)	389	`389` \| `User-specified TCP port` Oracle ILOM 使用 TCP 端口 389 与 OpenLDAP 服务器进行通信。如有必要，可通过修改默认端口号 389 将 Oracle ILOM 配置为使用其他端口。 Port 对应的 CLI 语法： `set /SP\|CMM/clients/ldap/ port=number`
Searchbase (`searchbase=`)		`ou=organization_unit` \|`dn`=`domain_name`\|`dc`=`domain`\| Searchbase 是 LDAP 树中 Oracle ILOM 要从中进行搜索以验证用户凭证的位置。使用搜索基对象的标识名或 Oracle ILOM 应从中搜索 LDAP 用户帐户的 LDAP 树分支通过接受的输入格式填充 "Searchbase" 属性。例如，要在 MyCompany.com 域中搜索 IT 容器，应指定以下搜索基： ou=IT, dc=mycompany, dc=.com Searchbase 对应的 CLI 语法： `set /SP\|CMM/clients/ldap/ searchbase= ou=organization_name, dn=domain_name`, `dc`=`domain`
Bind DN (`binddn=`)		`ou`=`organization_unit` \|`dn`=`domain_name`\|`dc`=`domain`\|`cn`=`common_name` 要为 Oracle ILOM 提供对 LDAP 服务器的只读访问权限，请使用只读代理用户的标识名 (Distinguished Name, DN) 填充 "Bind DN" 属性。注：Oracle ILOM 必须对 LDAP 服务器具有只读访问权限，才能搜索和验证 LDAP 用户。 Bind DN 对应的 CLI 语法： `set /SP\|CMM/clients/ldap/ binddn=cn=proxyuser, ou=organization _name, dc=domain`
Bind Password (`bindpw=`)		要为 Oracle ILOM 提供只读代理用户的密码，请使用密码填充 "Bind Password" 属性。 Bind Password 对应的 CLI 语法： `set /SP\|CMM/clients/ldap/ bindpw=password`
Save		Web 界面－要应用在 "LDAP Settings" 页面中对属性所做的更改，必须单击 "Save"。