Konfiguracja serwera LDAP RADIUS

Po skonfigurowaniu opcji uwierzytelniania użytkowników LDAP należy zaktualizować schemat serwera LDAP. Administrator systemu LDAP musi, przed zdefiniowaniem użytkowników LDAP RADIUS, dodać zdefiniowane atrybuty i klasy obiektów RADIUS systemu AIX oraz obiekty klas.

Do serwera LDAP trzeba dodać przyrostek. Przyrostek dla serwera RADIUS to cn=aixradius. Przyrostek jest nazwą wyróżniającą, która identyfikuje pierwszą pozycję w hierarchii katalogów.

Po dodaniu przyrostka katalog LDAP ma pusty kontener. Kontener jest pustą pozycją, która może zostać użyta do partycjonowania przestrzeni nazw. Kontener jest podobny do katalogu systemu plików, w którym mogą znajdować się pozycje katalogu. Następnie, za pomocą programu SMIT, do katalogu LDAP można dodać informacje o profilu użytkownika. Za pomocą programu SMIT na serwerze RADIUS można skonfigurować identyfikator i hasło administratora serwera LDAP, które przechowywane są w pliku /etc/radius/radiusd.conf.

Aby zorganizować informacje przechowywane w pozycjach katalogu LDAP, w schemacie definiuje się klasy obiektów. Klasa obiektu składa się z zestawu wymaganych i opcjonalnych atrybutów. Atrybuty mają postać par typ=wartość, w których typ jest definiowany przez unikalny identyfikator obiektu (OID) a wartość ma zdefiniowaną składnię. Każda pozycja w katalogu LDAP jest instancją obiektu.
Uwaga: Sama klasa obiektu nie definiuje drzewa informacji katalogu ani przestrzeni nazw. Ma to miejsce tylko podczas tworzenia pozycji, gdy specyficzne instancje klas obiektu otrzymują unikalne nazwy wyróżniające. Na przykład, gdy klasa obiektu kontenera otrzymuje unikalną nazwę wyróżniającą, może zostać powiązana z dwoma innymi pozycjami, które są instancjami jednostki organizacyjnej klasy obiektu. Wynikiem tego jest struktura drzewiasta lub przestrzeń nazw.

Klasy obiektu są specyficzne dla serwera RADIUS i pobierane są z pliku ldif. Niektóre atrybuty są istniejącymi atrybutami schematu LDAP, a niektóre są specyficzne dla serwera RADIUS. Nowe klasy obiektów RADIUS są strukturalne i abstrakcyjne.

W celu zapewnienia bezpieczeństwa, połączenia z serwerem LDAP wywołują funkcję API SASL ldap_bind_s, która zawiera nazwę wyróżniającą, algorytm CRAM-MD5 jako metodę uwierzytelniania oraz hasło administratora serwera LDAP. Powoduje to przesłanie przez sieć streszczenia komunikatu, a nie samego hasła. Algorytm CRAM-MD5 jest mechanizmem bezpieczeństwa, dla którego po żadnej ze stron (klienta lub serwera) nie jest wymagana żadna specjalna konfiguracja.

Uwaga: Wszystkie atrybuty w klasach obiektów są pojedynczymi wartościami.