Anno egy fontos lépés volt, amikor a Solaris gépek adminisztrációját egységesíteni tudtam egy LDAP struktúrában. Így a felhasználók kezelése végtelenül egyszerűvé vált. A központosított felhasználókhoz, centralizált HOME könyvtár kezelést is implementáltam. A kérdéses persze, hogy a Solaris-on jól működő LDAP integrációból származó lehetőségeket, hogyan lehetne felhasználni AIX rendszereken?

Ami eddig volt

Solaris alatt a következő struktúrát alakítottam ki:

Szerepeljenek itt azok az írások, amik a meglévő LDAP struktúra kialakításért felelősek:

Solaris 10 centralizált authentikáció OpenLDAP által
Solaris 10 – Centrailizált LDAP automount
Solaris 10 – LDAP profile használata

A fenti struktúrát minden féle hack nélkül sikerült AIX alatt is működőképessé tennem. Nézzük, hogyan.

Szükséges csomagok telepítése

Én AIX 7.1 alatt próbáltam ki az LDAP inicializációt. Alap installálásnál nem került fel viszont az LDAP kliens. Amennyiben ti is a következő hibaüzenetet kapjátok, akkor nektek is hiányzik a csomag:

mksecldap: ldap.client.rte version 3.2 or higher is not installed.
client presetup check failed.

Az alap telepítő médián rajta van a szükséges csomag. Mountoljuk valahova fel (én az /mnt-be tettem), és adjuk ki a következő parancsot:

# geninstall -L -d /mnt/|grep ldap

A következő három csomagot elegendő telepíteni a klienshez:

# geninstall -Yd /mnt/ idsldap.clt64bit62 idsldap.cltbase62 idsldap.clt32bit62

LDAP kliens inicializálása AIX alatt

AIX alatt kicsit egyszerűbb az LDAP kliens inicializálása. Egyetlen parancsra lesz szükségünk, azt viszont gazdagon fel kell paramétereznünk.

# mksecldap -c -h 192.168.132.1 -S RFC2307AIX -d dc=test,dc=oss -x cn=proxyagent,ou=profile,dc=test,dc=oss -X osssecret -A ldap_auth

Akkor nézzük a kapcsolókat. A -c jelenti, hogy klienst akarunk incializálni, és nem servert. A -h után meg kell adnunk az LDAP server IP címét vagy hostnevét. A -s kapcsoló után kell megadnunk a séma típusát. Van AIX, amelyik kifejezetten AIX specifikus LDAP struktúrát tartalmazza, van a RFC2307 ami az RFC-ben meghatározott standard sémákat foglalja magába. Illetve a RFC2307AIX, ami az előző kettő keveréke. A -d után kell definiálni a BaseDN-t, majd -x és -X után a proxy user DN-jét és jelszavát. A -A kapcsoló után használhatjuk a unix_auth illetve a ldap_auth opciókat. Az én struktúrámban az ldap_auth működött.

Amennyiben csak a promptot kapjuk vissza, abban az esetben sikeresen megtörtént a kliens inicializálása. Ellenőrizzük le, hogy az ldap MPALUSKA felhasználót látja-e a rendszer.

# lsuser -R LDAP mpaluska

A fenti képen látszik, hogy minden rendben van. Viszont most még a felhasználó nem tud belépni.

Minden centralizált LDAP felhasználóhoz hozzá kell adnunk egy lokális beállítást az adott gépen. Majd újraindítani az LDAP klienst az AIX-on.

# chuser SYSTEM=LDAP registry=LDAP mpaluska
# /usr/sbin/restart-secldapclntd

Ezek után az LDAP-os felhasználóval és jelszóval be tudunk lépni az AIX rendszerünkbe.

Automount Home könyvtárak

Bár _ELMÉLETILEG_ az AIX is támogatja az automount beállítások LDAP-ból való betöltését. Sajnos nekem nem sikerült működésre bírnom. Lokálisan viszont nagyon könnyű életre kelteni. A Solaris rendszeremen adott volt a konfiguráció.

Létre kellett hozni a két szükséges állományt:

# vi /etc/auto_home
+auto_master
/home /etc/auto_home -nobrowse

# vi /etc/auto_home
+auto_home
* 192.168.132.1:/store/home/&

A két file megléte után megbizonyosodni arról, hogy a /home filesystem nem egy külön mount. Ha igen akkor le kell mountolnunk!

# df /home
# umount /home

Amennyiben nem tároltunk rajta adatokat, akkor jobb, ha meg is semmisítjük:
# rmfs /home

Majd a következő paranccsal elindítani az automount service-t.

# automount -D COMPAT_AUTOMOUNT=true

Amennyiben fut:

# lssrc -s automountd

Akkor működnie is kell ezek után.

# df -g /home/mpaluska/

Tipikus hibák

Egyik hiba amibe én belefutottam az ez volt:

Failed setting terminal ownership and mode

Az AIX akkor produkál ilyen hibát, ha Primary GROUP ID nincs beállítva. Ilyenkor ellenőriznünk kell, hogy az LDAP-os felhasználó rendelkezik-e valós Primary Group ID-val.

Összegzés

Nagyon örültem, mikor realizálni tudtam a Solaris-hoz összetákolt LDAP struktúra használatát AIX alá is. Amennyiben az ember ismeri a buktatókat, illetve, hogy mit, hol, hogyan kell beállítani pillanatok alatt elérhetővé válik az LDAP account számára a hozzáférés az AIX rendszerekhez is. Illetve könnyedén integrálható a közös és megosztott NFS share koncepciója is. Csak ajánlani tudom a használatát!