JavaScript is required to for searching.
跳过导航链接
退出打印视图
系统管理指南:命名和目录服务(DNS、NIS 和 LDAP)     Oracle Solaris 10 8/11 Information Library (简体中文)
Oracle 技术网
文档库
PDF
打印视图
反馈
search filter icon
search icon

文档信息

前言

第 1 部分关于命名和目录服务

1.  命名和目录服务(概述)

2.  名称服务转换器(概述)

第 2 部分DNS 设置和管理

3.  DNS 设置和管理(参考)

第 3 部分NIS 设置和管理

4.  网络信息服务 (Network Information Service, NIS)(概述)

5.  设置和配置 NIS 服务

6.  管理 NIS(任务)

7.  NIS 疑难解答

第 4 部分LDAP 命名服务的设置和管理

8.  LDAP 命名服务介绍(概述/参考)

9.  LDAP 基本组件和概念(概述)

LDAP 数据交换格式 (LDAP Data Interchange Format, LDIF)

随 LDAP 使用全限定域名

缺省目录信息树 (Directory Information Tree, DIT)

缺省的 LDAP 架构

服务搜索描述符 (Service Search Descriptor, SSD) 和架构映射

SSD 说明

属性映射

objectClass 映射

LDAP 客户机配置文件

客户机的配置文件属性

本地客户机属性

ldap_cachemgr 守护进程

LDAP 命名服务安全模型

介绍

传输层安全性 (Transport Layer Security, TLS)

指定客户机凭证级别

enableShadowUpdate 开关

凭证存储

选择验证方法

验证和服务

可插拔验证方法

pam_unix 服务模块

pam_krb5 服务模块

pam_ldap 服务模块

PAM 和更改口令

帐户管理

使用 pam_unix 管理帐户

10.  LDAP 命名服务的规划要求(任务)

11.  为使用 LDAP 客户机设置 Sun Java System Directory Server(任务)

12.  设置 LDAP 客户机(任务)

13.  LDAP 疑难解答(参考)

14.  LDAP 一般参考(参考)

15.  从 NIS 转换为 LDAP(概述/任务)

16.  从 NIS+ 转换为 LDAP

A.  Solaris 10 软件中对 DNS、NIS 和 LDAP 的更新

服务管理工具的更改

DNS BIND

pam_ldap 更改

文档错误

词汇表

索引

服务搜索描述符 (Service Search Descriptor, SSD) 和架构映射

注 - 如果您使用架构映射,请务必谨慎并采用一致的方式。应确保被映射的属性的语法与其映射到的属性的语法一致。换言之,应确保单值属性映射到单值属性,属性的语法保持一致,并且被映射的对象类应该具有正确的强制性属性(可能是映射的属性)。

如上所述,缺省情况下,LDAP 命名服务要求 DIT 以确定方式进行构造。如果需要,您可以指示 Solaris LDAP 命名服务在 DIT 中的非缺省位置进行搜索。另外,您可以指定使用不同的属性和对象类替代缺省架构所指定的属性和对象类。有关缺省过滤器的列表,请参见LDAP 命名服务使用的缺省过滤器

SSD 说明

serviceSearchDescriptor 属性定义 LDAP 命名服务客户机应如何以及应在何处搜索特定服务的信息。serviceSearchDescriptor 包含一个服务名称,其后跟一个或多个用分号分隔的 base-scope-filter(基-范围-过滤器)三元参数。使用这些 base-scope-filter(基-范围-过滤器)三元参数,可以定义仅搜索特定服务并按顺序进行搜索。如果为某个给定服务指定了多个 base-scope-filter(基-范围-过滤器),则该服务在查找特定条目时,将使用指定的范围和过滤器在每个基容器中进行搜索。

注 - 使用 SSD 时,不会在缺省位置中搜索服务(数据库),除非该 SSD 中包括缺省位置。如果为某个服务指定了多个 SSD,将会产生不可预测的行为。

在以下示例中,Solaris LDAP 命名服务客户机会依次在 ou=west,dc=example,dc=comou=east,dc=example,dc=com 中执行单级搜索,以查找 passwd 服务。为了查找用户的 usernamepasswd 数据,将为每个 BaseDN 使用缺省的 LDAP 过滤器 (&(objectClass=posixAccount)(uid=username))

serviceSearchDescriptor: passwd:ou=west,dc=example,dc=com;ou=east,
dc=example,dc=com

在以下示例中,Solaris LDAP 命名服务客户机将在 ou=west,dc=example,dc=com 中执行子树搜索以查找 passwd 服务。为了查找用户 usernamepasswd 数据,将使用 LDAP 过滤器 (&(fulltimeEmployee=TRUE)(uid=username)) 搜索 ou=west,dc=example,dc=com 子树。

serviceSearchDescriptor: passwd:ou=west,dc=example,
dc=com?sub?fulltimeEmployee=TRUE

还可以将多个容器与一个特定的服务类型相关联。在以下示例中,服务搜索描述符指定在三个容器中搜索口令条目。

ou=myuser,dc=example,dc=com
ou=newuser,dc=example,dc=com
ou=extuser,dc=example,dc=com

请注意,在下面的示例中,SSD 中的结尾 ',' 表示 defaultSearchBase 将附加到相对基容器之后。

defaultSearchBase: dc=example,dc=com
serviceSearchDescriptor: \
passwd:ou=myuser,;ou=newuser,;ou=extuser,dc=example,dc=com

属性映射

使用 Solaris LDAP 命名服务时,可以重新映射其任何服务的一个或多个属性名。(Solaris LDAP 客户机使用第 14 章中列出的已知属性。)如果您映射某个属性,必须确保该属性与初始属性具有相同的含义和语法。请注意,映射 userPassword 属性可能会产生问题。

出于多种原因,您可能需要使用架构映射。

此属性的格式为 service:attribute-name=mapped-attribute-name

如果要为给定服务映射多个属性,则可以定义多个 attributeMap 属性。

在以下示例中,只要将 uidhomeDirectory 属性用于 passwd 服务时,便会使用 employeeNamehome 属性。

attributeMap: passwd:uid=employeeName
attributeMap: passwd:homeDirectory=home

但也存在可以将 passwd 服务的 gecos 属性映射到多个属性的特殊情况。下面是一个示例:

attributemap: gecos=cn sn title

以上示例将 gecos 值映射到一个以空格分隔的包含 cnsntitle 属性值的列表。

objectClass 映射

使用 Solaris LDAP 命名服务时,可以重新映射其任何服务的对象类。如果要为给定服务映射多个对象类,则可以定义多个 objectclassMap 属性。在以下示例中,只要使用 posixAccount 对象类时,便会使用 myUnixAccount 对象类。

objectclassMap: passwd:posixAccount=myUnixAccount
版权所有 © 2002, 2010, Oracle 和/或其附属公司。 保留所有权利。 法律声明
上一页 下一页