Utilisation de LDAP sous AIX

Mise à jour: 22 septembre 2010
Version: 1.0
Author: Jean-Louis Bicquelet-Salaün
Location: http://jlbicquelet.free.fr
Copyright: (c) 2010 Jean-Louis BICQUELET-SALAÜN

ntroduction

Cette fiche, correspond aux notes que j'ai pu prendre concernant les serveurs AIX qui utilisent LDAP pour l'autentification des comptes unix.

Ajout d'un serveur comme client LDAP

  1. Installez le package ldap.client.rte. Celui-ci doit pouvoir trouver les filesets:
    • ldap.client
    • ldap.msg.en_US
    • ldap.html.en_US
  2. Créez votre client LDAP avec la commande mksecldap

    I vous faut:

    • L'adrese IP ou le nom de votre serveur LDAP
    • Le Distinguished Name
    • Le mot de passe (Bind Password).
    • le suffixe DN

    #/usr/sbin/mksecldap -c  -h '176.232.5.4' -a 'cn=adm4aix' -p 'n0aix'
     -A 'ldap_auth' -d 'cn=aixsecdb,cn=aixdata,o=systunix'
    

    Il est bien sur possible de réaliser cette opération par @(smit). Les raccourcis sont smitty ldap et on recherche la configuration client ou smitty ldapClient.

     LDAP Server List              [170.232.5.4]
    * Bind Distinguished Name      [cn=adm4aix]
    * Bind Password                [n0aix]
      Authentication Type          [ldap_auth]             +
      Suffix / Base DN             [cn=aixsecdb,cn=aixdata,o=systunix]
      Server Port Number           []                       #
      SSL
         Key Path                  []                       /
         Key Password              []
      Cache Size                   [1000]                   #
      Cache Timeout (seconds)      [300]                    #
      Number of Threads            [10]                     #
      Heartbeat Interval (seconds) [300]                    #
    [MORE...4]
    

  3. Vous êtes maintenant lié au serveur LDAP que vous avez défini.

    Le fichier de configuration se trouve dans le répertoire /etc/security/ldap et se nomme ldap.cfg et on y retrouve les informations fournies:

    # Comma separated list of ldap servers this client talks to
    #ldapservers:myldapserver.ibm.com
    ldapservers:176.232.5.4
    
    # LDAP server bind distinguished name (DN)
    #binddn:cn=admin
    binddn:cn=adm4aix
    
    # LDAP server bind DN password
    #bindpwd:secret
    bindpwd:{DESv2}433C 789AC9F9A9D642E886C591E44BA
    
    # Authentication type. Valid values are unix_auth and ldap_auth.
    # Default is unix_auth.
    # unix_auth - Retrieve user password and authenticate user locally.
    # ldap_auth - Bind to LDAP server to authenticate user remotely through LDAP.
    #authtype:ldap_auth
    ....
    

  4. On peut vérifier un compte en spécifiant par l'option -R LDAP que l'on désire une autentification LDAP.
    #lsuser -R LDAP bic
    wbic id=1013 pgrp=wbic groups=wbic home=/home/wbic 
    shell=/usr/bin/ksh gecos=Jean-Louis BICQUELET login=true
    su=true rlogin=true telnet=true daemon=true admin=false 
    sugroups=ALL admgroups= tpath=nosak ttys=ALL
    expires=0 auth1=SYSTEM auth2=NONE umask=22 registry=LDAP
    SYSTEM=compat logintimes= loginretries=0
    pwdwarntime=0 account_locked=false minage=0 maxage=0
    maxexpired=0 minalpha=0 minother=0 mindiff=0
    maxrepeats=0 minlen=0 histexpire=0 histsize=0
    pwdchecks= dictionlist= fsize=-1 cpu=-1 data=-1 stack=-1
    core=-1 rss=-1 nofiles=2000 time_last_login=1275655273
    time_last_unsuccessful_login=1285185625
    tty_last_login=/dev/pts/7 tty_last_unsuccessful_login=ssh
    host_last_login=170.249.103.26
    host_last_unsuccessful_login=170.249.103.26
    unsuccessful_login_count=1 roles=
    

    On voit que l'entrée SYSTEM est à compat. Il va falloir la modifier pour que ce compte passe sous LDAP.

    #chuser SYSTEM=LDAP wbic
    

  5. Le home directory n'existe probablement pas, il faut le créer:

    création du home directory et ajout d'un fichier .profile:

    #mkdir /home/wbic
    #chown wbic:wbic /home/wbic
    #chmod 750 /home/wbic
    #cp .profile /home/wbic
    #chown wbic:wbic /home/wbic/.profile
    #chmod 740 /home/wbic/.profile
    

    Vous êtes près à vous connecter.

Documentation associée

man mksecldap.