/var/nis/NIS+LDAPmapping 文件

提供的缺省 NIS+LDAPmapping 文件可充当 NIS+/LDAP 映射的主转换器。

如果使用非缺省映射文件，则必须编辑 /lib/svc/method/nisplus 脚本，以在 rpc.nisd 行中使用 -m mappingfile 选项指定映射文件的名称。有关更多信息，请参见NIS+ 到 LDAP 转换工具和服务管理工具。

对于应当映射到 LDAP 或从 LDAP 映射的每个 NIS+ 对象，NIS+LDAPmapping 文件将指定两到五个属性，具体取决于该对象以及缺省值是否满足需要。

nisplusLDAPdatabaseIdMapping 属性

必须设置一个要在其他映射属性中使用的别名。如果 NIS+ 对象名不是全限定名（不以点结尾），则将附加 nisplusLDAPbaseDomain 值。

例如，

nisplusLDAPdatabaseIdMapping	rpc:rpc.org_dir

将数据库 ID rpc 定义为 NIS+ rpc.org_dir 表的别名。

请注意，NIS+ 表对象可能会针对表对象（如果该对象应当映射到 LDAP）和表项分别出现一次，只是两种情况下的数据库 ID 不同。例如，

nisplusLDAPdatabaseIdMapping	rpc_table:rpc.org_dir

nisplusLDAPdatabaseIdMapping	rpc:rpc.org_dir

将数据库 ID rpc_table 和 rpc 定义为 rpc.org_dir 表的别名。后面的定义清楚表明将 rpc_table 用于 rpc.org_dir 表对象，将 rpc 用于该表中的各项。

nisplusLDAPentryTtl 属性

由于 rpc.nisd 守护进程的本地数据库（位于内存中和磁盘上）充当 LDAP 数据的高速缓存，因此可使用 nisplusLDAPentryTtl 属性来设置该高速缓存中各项的生存时间 (time-to-live, TTL) 值。每个数据库 ID 都有三个 TTL。前两个 TTL 用于控制当 rpc.nisd 首次从磁盘中装入对应的 NIS+ 对象数据时的初始 TTL，第三个 TTL 将在从 LDAP 中读取或刷新对象时指定给该对象。

例如，通过以下语句，rpc.org_dir 表对象可获取在 21600 秒到 43200 秒的范围内随机选择的初始 TTL。

nisplusLDAPentryTtl	rpc_table:21600:43200:43200

如果初始 TTL 过期并从 LDAP 中刷新了表对象，则该 TTL 将设置为 43200 秒。

同样，使用以下语句，可在首次装入 rpc.org_dir 表时向该表中的各项指定介于 1800 秒和 3600 秒之间的初始 TTL。

nisplusLDAPentryTtl	rpc:1800:3600:3600

每项都会获取各自在指定范围内随机选择的 TTL。如果某个表项过期并已刷新，则该 TTL 将设置为 3600 秒。

选择 TTL 值时，需要综合考虑性能和一致性。如果由 rpc.nisd 高速缓存的 LDAP 数据所使用的 TTL 非常长，则性能与 rpc.nisd 根本未从 LDAP 映射数据时一样。但是，如果 LDAP 数据被 rpc.nisd 以外的某个实体更改，则所做的更改也可能会在很长时间之后才显示在 NIS+ 中。

相反，如果选择非常短（或者甚至为零）的 TTL，则意味着对 LDAP 数据进行的更改会迅速显示在 NIS+ 中，但这也可能会大大降低性能。通常，对于会同时从 LDAP 中读取数据或向 LDAP 中写入数据的 NIS+ 操作而言，所需的时间将至少为没有 LDAP 通信时执行同一操作所需时间的两到三倍（而且还会带来额外的 LDAP 查找开销）。尽管性能会因为硬件资源而大不相同，但是，扫描大型 LDAP 容器（具有几万或几十万个项）以确定应当刷新的 NIS+ 项可能会需要很长时间。rpc.nisd 守护进程在后台执行扫描操作，从而可在运行时继续为可能过时的数据提供服务，但是后台扫描仍然会占用 NIS+ 服务器中的 CPU 和内存。

请仔细考虑保持 NIS+ 数据与 LDAP 密切同步的重要性，并选择每个 NIS+ 对象都可接受的最长 TTL。缺省值（未指定 nisplusLDAPentryTtl 时的值）是 1 小时。对于表项以外的对象，模板映射文件 /var/nis/NIS+LDAPmapping.template 会将该值更改为 12 小时。但是，系统无法自动识别非项对象，因此，如果要为非项对象添加映射，TTL 的缺省值将为 1 小时。

不存在的对象没有 TTL。因此，无论哪些 TTL 对于 NIS+ 表中的 LDAP 映射项有效，对于 NIS+ 中不存在的项发出请求时都将在 LDAP 中查询该项。

nisplusLDAPobjectDN 属性

对于每个映射的 NIS+ 对象，nisplusLDAPobjectDN 都会设置对象数据在 LDAP DIT 中所处的位置。它还允许指定在删除 LDAP 项之后要执行的操作。每个 nisplusLDAPobjectDN 值都有三部分。第一部分指定从何处读取 LDAP 数据，第二部分指定将 LDAP 数据写入何处，第三部分指定在删除 LDAP 数据时应当发生的情况。请参阅以下示例：

nisplusLDAPobjectDN	rpc_table:\

										cn=rpc,ou=nisPlus,?base?\

													objectClass=nisplusObjectContainer:\

										cn=rpc,ou=nisPlus,?base?\

													objectClass=nisplusObjectContainer,\

														objectClass=top

以上示例说明应当从 DN cn=rpc,ou=nisPlus 读取 rpc.org_dir 表对象（由于该值以逗号结尾，并附加了 defaultSearchBase 属性的值），搜索范围为 base，ObjectClass 属性的值为 nisplusObjectContainer 的项处于选中状态。

将该表对象写入同一个位置中。缺少删除规范，这表示执行缺省操作，如下所示。如果该 NIS+ 表对象被删除，则整个 LDAP 项也应当被删除。

如果应当从 LDAP 读取数据，而不应当向其中写入数据，请忽略写入部分（以及用于将写入部分与读取部分分开的冒号）。

nisplusLDAPobjectDN	rpc_table:\

										cn=rpc,ou=nisPlus,?base?\

										objectClass=nisplusObjectContainer

请注意，nisplusObjectContainer 对象类不属于 RFC 2307。为了使用它，必须按照映射表项以外的 NIS+ 对象中的详细说明来配置 LDAP 服务器。

对于 rpc.org_dir 表项，可以使用以下示例：

nisplusLDAPobjectDN rpc:ou=Rpc,?one?objectClass=oncRpc:\

											ou=Rpc,?one?objectClass=onRpc,objectClass=top

以上示例说明如何从基 ou=Rpc 读取和向其中写入表项。而且，结尾的逗号还会附加 defaultSearchBase 值。选择 objectClass 属性的值为 oncRpc 的项。当在 LDAP 中的 ou=Rpc 容器中创建项时，还必须将 top 指定为 objectClass 值。

请考虑以下示例中说明的非缺省删除规范：

nisplusLDAPobjectDN	user_attr:\

										ou=People,?one?objectClass=SolarisUserAttr,\

											solarisAttrKeyValue=*:\

										ou=People,?one?objectClass=SolarisUserAttr:\

											dbid=user_attr_del

user_attr.org_dir 数据驻留在 ou=People LDAP 容器中，该容器由这些数据和来自其他源（如 passwd.org_dir NIS+ 表）的帐户信息共享。

在该容器中选择具有 solarisAttrKeyValue 属性的项，因为只有这些项才包含 user_attr.org_dir 数据。nisplusLDAPobjectDN 的 dbid=user_attr_del 部分说明在删除 user_attr.org_dir NIS+ 表中的某个项时，应当按照 user_attr_del 数据库 ID 所标识的规则集内的规则删除相应的 LDAP 项（如果有的话）。有关更多信息，请参见nisplusLDAPcolumnFromAttribute 属性。

nisplusLDAPattributeFromColumn 属性

nisplusLDAPattributeFromColumn 指定用于将 NIS+ 数据映射到 LDAP 的规则。其他方向的映射规则由 nisplusLDAPcolumnFromAttribute 控制。

nisplusLDAPcolumnFromAttribute 属性

nisplusLDAPcolumnFromAttribute 指定用于将 LDAP 数据映射到 NIS+ 的规则。

完整的项映射语法可以在 NIS+LDAPmapping(4) 中找到。但是，使用几个示例可以更清楚地解释映射语法。

NIS+ rpc.org_dir 表中包含四个名为 cname、name、numbe 和 comment 的列。因此，NIS+ RPC 程序号 (100300) 的标准名称为 nisd、别名为 rpc.nisd 和 nisplusd 的项可以由 rpc.org_dir 中的下列 NIS+ 项表示：

nisd nisd 100300	NIS+ server

nisd rpc.nisd 100300	NIS+ server

nisd nisplusd 100300	NIS+ server

假定 defaultSearchBase 值为 dc=some,dc=domain，相应的 LDAP 项（列在 ldapsearch(1) 中）将如下所示：

dn: cn=nisd,ou=Ppc,dc=some,dc=domain

cn: nisd

cn: rpc.nsid

cn: nisplusd

oncRpcNumber: 100300

description: NIS+ server

objectClass: oncRpc

这有助于在 NIS+ 数据和 LDAP 数据之间建立简单的一一映射的关系，而且从 NIS+ 到 LDAP 的相应映射属性值如下所示：

nisplusLDAPattributeFromColumn \

rpc:		dn=("cn=%s,", name), \

				cn=cname, \

				cn=name, \

				oncRpcNumber=number, \

				description=comment

这会使该项的 DN 为 cn=%s，并用 cname 列的值替换 %s。

cn=nisd,

由于该值以逗号结尾，因此将附加从 nisplusObjectDN 读取的基值，结果如下所示：

cn=nisd,ou=Rpc,dc=some,dc=domain

oncRpcNumber 和 description 属性值只是相应 NIS+ 列的简单赋值。rpc.nisd 会将多个 NIS+ 项收集到一个 LDAP 项中，并用多个 cn 值来表示不同的 name 列值。

同样，从 LDAP 到 NIS+ 的映射将如下所示：

nisplusLDAPcolumnFromAttribute \

 					rpc:		cname=cn, \

			 						(name)=(cn), \

									number=oncRpcNumber, \

									comment=description

以上示例会将 oncRpcNumber 和 description 值赋予相应的 NIS+ 列。多值 cn（由 (cn) 表示）映射到多个 name 列值（由 (name) 表示）。由于 name 列不能具有多值，因此 rpc.nisd 会为每个 cn 值创建一个 NIS+ 项。

最后，nisplusLDAPattributeFromColumn 值是用于删除操作的规则集的示例。

nisplusLDAPattributeFromColumn \

user_attr_del:	dn=("uid=%s,", name), \

						SolarisUserQualifier=, \

						SolarisAttrReserved1=, \

 						SolarisAttrReserved2=, \

						SolarisAttrKeyValue= 

而且，user_attr.org_dir 数据与其他帐户信息（来自 passwd.org_dir 和其他表）共享 ou=People 容器。如果 user_attr.org_dir 表中的一项被删除，您可能不希望整个 ou=People 项被删除。相反，以上删除项假设当 user_attr.org_dir 项被删除时，SolarisUserQualifier、SolarisAttrReserved1、SolarisAttrReserved2 和 SolarisAttrKeyValue 属性（如果有的话）会从以下规则所指定的 ou=People 项中删除：

dn=("uid=%s,", name)

LDAP 项的其余部分保持不变。