LDAP是輕量級(jí)目錄訪問(wèn)協(xié)議。 LDAP是一個(gè)全球性的目錄服務(wù)�����,工業(yè)標(biāo)準(zhǔn)協(xié)議���,該協(xié)議是基于客戶端 - 服務(wù)器模型���,運(yùn)行在一個(gè)層中TCP/IP棧的上方����。LDAP提供了一個(gè)工具來(lái)連接,訪問(wèn)�,修改和搜索互聯(lián)網(wǎng)目錄。
在LDAP服務(wù)器包含該組織在一個(gè)目錄樹的形式信息����。在客戶端請(qǐng)求的服務(wù)器,以提供信息或在一個(gè)特定的信息執(zhí)行一些操作���。服務(wù)器對(duì)客戶機(jī)提供所需的信息��,如果它有一個(gè)�,或者它是指客戶到另一臺(tái)服務(wù)器上所需的信息操作���。然后�����,客戶端獲取從另一個(gè)服務(wù)器所需的信息��。
目錄樹結(jié)構(gòu)保持在所有參與的服務(wù)器相同���。這是LDAP目錄服務(wù)的一個(gè)突出特點(diǎn)。因此����,無(wú)論哪個(gè)的服務(wù)器是由客戶端的簡(jiǎn)稱����,在客戶端總是得到在無(wú)差錯(cuò)的方式所需的信息�。在這里,我們使用LDAP驗(yàn)證IBM DB2作為替代操作系統(tǒng)認(rèn)證�����。
有兩種類型的LDAP:
-
透明度
-
插件
讓我們來(lái)看看如何配置透明LDAP�。
配置LDAP
要開始使用LDAP配置,需要配置LDAP服務(wù)器��。
LDAP服務(wù)器配置
創(chuàng)建一個(gè)slapd.conf的文件����,它包含所有有關(guān)LDAP用戶和組對(duì)象的信息����。當(dāng)安裝LDAP服務(wù)器,默認(rèn)情況下它被配置在機(jī)器上的基本LDAP目錄樹�。
下面所示的表表示修改后的文件配置。
文本高亮度顯示黃代碼框表示為以下幾點(diǎn):
DBA user-id = “db2my1”, group = “db1my1adm”, password= “db2my1” ���;管理員 user-id = “my1adm”, group = “dbmy1ctl”.
# base dn: example.com
dn: dc=example,dc=com
dc: example
o: example
objectClass: organization
objectClass: dcObject
# pc box db
dn: dc=db697,dc=example,dc=com
dc: db697
o: db697
objectClass: organization
objectClass: dcObject
#
# Group: dbadm
#
dn: cn=dbmy1adm,dc=db697,dc=example,dc=com
cn: dbmy1adm
objectClass: top
objectClass: posixGroup
gidNumber: 400
objectClass: groupOfNames
member: uid=db2my1,cn=dbmy1adm,dc=db697,dc=example,dc=com
memberUid: db2my1
#
# User: db2
#
dn: uid=db2my1,cn=dbmy1adm,dc=db697,dc=example,dc=com
cn: db2my1
sn: db2my1
uid: db2my1
objectClass: top
objectClass: inetOrgPerson
objectClass: posixAccount
uidNumber: 400
gidNumber: 400
loginShell: /bin/csh
homeDirectory: /db2/db2my1
#
# Group: dbctl
#
dn: cn=dbmy1ctl,dc=db697,dc=example,dc=com
cn: dbmy1ctl
objectClass: top
objectClass: posixGroup
gidNumber: 404
objectClass: groupOfNames
member: uid=my1adm,cn=dbmy1adm,dc=db697,dc=example,dc=com
memberUid: my1adm
#
# User: adm
#
dn: uid=my1adm,cn=dbmy1ctl,dc=db697,dc=example,dc=com
cn: my1adm
sn: my1adm
uid: my1adm
objectClass: top
objectClass: inetOrgPerson
objectClass: posixAccount
uidNumber: 404
gidNumber: 404
loginShell: /bin/csh
homeDirectory: /home/my1adm
保存上面的文件為“/var/lib/slapd.conf'��,然后通過(guò)以下命令將這些值添加到LDAP服務(wù)器執(zhí)行此文件�。這是一個(gè)linux命令;不是DB2命令。
ldapadd r- -D ‘cn=Manager,dc=example,dc=com” –W –f
/var/lib/slapd.conf
注冊(cè)DB2用戶和DB2組的LDAP服務(wù)器后�,登錄到已安裝的實(shí)例和數(shù)據(jù)庫(kù)的特定用戶。需要配置LDAP客戶端�,以確認(rèn)客戶端在服務(wù)器的位置,無(wú)論是遠(yuǎn)程或本地��。
LDAP客戶端配置
LDAP客戶端的配置保存在文件'ldap.conf'�。可用于配置參數(shù)兩個(gè)文件����,一個(gè)是常見的,另一種是指定的��。第一個(gè)在“/etc/ldap.conf”����,而后者位于“/etc/openldap/ldap.conf”。
下面的數(shù)據(jù)是常見的LDAP客戶端提供的配置文件
# File: /etc/ldap.conf
# The file contains lots of more entries and many of them
# are comments. You show only the interesting values for now
host localhost
base dc=example,dc=com
ldap_version 3
pam_password crypt
pam_filter objectclass=posixAccount
nss_map_attribute uniqueMember member
nss_base_passwd dc=example,dc=com
nss_base_shadow dc=example,dc=com
nss_base_group dc=example,dc=com
需要根據(jù)DB2配置改變服務(wù)器和域信息的位置����。如果使用相同的系統(tǒng)服務(wù)器���,提到它作為'localhost'為'host'和'基本',可以配置中提到“slapd.conf”文件LDAP服務(wù)器���。
插入式驗(yàn)證模式(PAM)是用于身份驗(yàn)證服務(wù)的API���。這是具有加密的密碼和類型的posixAccount特殊LDAP對(duì)象LDAP身份驗(yàn)證的通用接口。這種類型的所有LDAP對(duì)象表示便攜式操作系統(tǒng)界面(POSIX)帳戶的屬性��。
網(wǎng)絡(luò)安全服務(wù)(NSS)是一組庫(kù)��,以支持安全功能的客戶端和服務(wù)器應(yīng)用程序的跨平臺(tái)開發(fā)��。這包括像SSL����,TLS,PKCS S/MIME等安全標(biāo)準(zhǔn)庫(kù)��。
需要指定基本DN這個(gè)接口和兩個(gè)附加屬性映射���。 OpenLDAP客戶端配置文件中包含如下條目:
host localhost
base dc=example,dc=com
直到這一點(diǎn),剛才定義的主機(jī)LDAP的服務(wù)和基礎(chǔ)DN。
OpenLDAP驗(yàn)證環(huán)境
當(dāng)配置LDAP服務(wù)器和LDAP客戶端�,通信同時(shí)驗(yàn)證。
第一步:檢查本地LDAP服務(wù)器正在運(yùn)行����。使用下面的命令:
上一篇:DB2實(shí)例下一篇:DB2備份和恢復(fù)
