Configuration du service de transition de NIS à LDAP

Vous pouvez configurer le service N2L à l'aide de mappages standard ou personnalisés, comme décrit dans les deux procédures suivantes.

Au cours de la conversion de NIS à LDAP, vous devez exécuter la commande inityp2l. Cette commande exécute un script interactif pour lequel vous devez fournir des données de configuration. La liste suivante indique le type d'informations à fournir. Reportez-vous à la page de manuel ypserv(1M) pour obtenir des explications sur ces attributs.

Nom du fichier de configuration en cours de création (valeur par défaut = /etc/default/ypserv)
DN (nom distinctif) qui stocke les données de configuration dans LDAP (valeur par défaut = ypserv)
Liste des serveurs préférés pour le mappage des données vers/à partir de LDAP
Méthode d'authentification pour le mappage des données vers/à partir de LDAP
Méthode TLS (Transport Layer Security) pour le mappage des données vers/à partir de LDAP
DN de liaison pour l'utilisateur proxy pour la lecture/l'écriture des données vers/à partir de LDAP
Mot de passe de l'utilisateur proxy pour la lecture/l'écriture des données vers/à partir de LDAP
Valeur de temporisation (en secondes) pour la liaison LDAP
Valeur de temporisation (en secondes) pour la recherche LDAP
Valeur de temporisation (en secondes) pour la modification LDAP
Valeur de temporisation (en secondes) pour l'ajout LDAP
Valeur de temporisation (en secondes) pour la suppression LDAP
Limite de temps (en secondes) pour la recherche sur le serveur LDAP
Limite de taille (en octets) pour la recherche sur le serveur LDAP
Si N2L doit suivre les références LDAP
Action d'erreur d'extraction LDAP, nombre de tentatives de récupération et délai d'attente (en secondes) entre chaque tentative
Action d'erreur de stockage, nombre de tentatives et délai d'attente (en secondes) entre chaque tentative
Nom du fichier de mappage
Si vous voulez générer des informations de mappage pour la carte auto_direct

Le script place les informations pertinentes concernant les cartes personnalisées aux emplacements appropriés dans le fichier de mappage.
Contexte d'affectation de noms
S'il est nécessaire d'activer les modifications de mot de passe
Si vous voulez modifier les valeurs TTL par défaut pour toutes les cartes

Remarque - La plupart des serveurs LDAP (y compris Oracle Directory Server Enterprise Edition) ne prennent pas en charge l'authentification sasl/cram-md5.

Configuration du service N2L avec les mappages standard

Suivez cette procédure si vous effectuez la transition des cartes répertoriées dans Mappages standard pris en charge. Si vous utilisez des cartes personnalisées ou non standard, reportez-vous à la section Configuration du service N2L à l'aide de mappages personnalisés ou non standard.

Une fois le serveur LDAP configuré, exécutez le script inityp2l et fournissez les données de configuration lorsque vous y êtes invité. inityp2l définit les fichiers de configuration et de mappage pour les cartes standard et auto.*.

Effectuez les étapes prérequises qui sont répertoriées à la section Prérequis pour la transition de NIS à LDAP.
Connectez-vous en tant qu'administrateur au serveur NIS maître.
Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
Convertissez le serveur NIS maître en serveur N2L.
```
# inityp2l
```
Exécutez le script inityp2l sur le serveur NIS maître et suivez les invites à l'écran. Pour obtenir la liste des informations que vous devez fournir, reportez-vous à la section Configuration du service de transition de NIS à LDAP
Pour plus d'informations, reportez-vous à la page de manuel inityp2l(1M).
Déterminez si l'arborescence DIT LDAP est complètement initialisée.
L'arborescence DIT est complètement initialisé lorsqu'elle contient déjà les informations nécessaires au remplissage de toutes les cartes répertoriées dans le fichier NISLDAPmapping.
- Si ce n'est pas le cas, passez à l'Étape 5et ignorez l'étape 6.
- Si c'est le cas, ignorez l'étape 5 et passez à l'Étape 6.
Initialisez l'arborescence DIT pour la transition à partir des fichiers source NIS.
Suivez ces étapes uniquement si l'arborescence DIT n'a pas été entièrement initialisée.
1. Assurez-vous que les cartes NIS anciennes sont à jour.
```
# cd /var/yp
# make
```
  Pour plus d'informations, reportez-vous à la page de manuel ypmake(1M).
2. Arrêtez le service NIS.
```
# svcadm disable network/nis/server:default
```
3. Copiez les cartes anciennes dans l'arborescence DIT, puis initialisez la prise en charge N2L pour les cartes.
```
# ypserv -IR
```
  Patientez pendant la fermeture de ypserv.
  
  Astuce - Les fichiers dbm NIS d'origine ne sont pas écrasés. Vous pouvez les restaurer au besoin.
4. Démarrez les services DNS et NIS afin de vérifier qu'ils utilisent les nouvelles cartes.
```
# svcadm enable network/dns/client:default
# svcadm enable network/nis/server:default
```
  Cette étape conclut la configuration du service N2L à l'aide des cartes standard. Il n'est pas nécessaire d'effectuer l'étape 6.
Initialisez les cartes NIS.
Suivez ces étapes uniquement si l'arborescence DIT est complètement initialisée et que vous avez ignoré l'étape 5.
1. Arrêtez le service NIS.
```
# svcadm disable network/nis/server:default
```
2. Initialisez les cartes NIS à partir des informations de l'arborescence DIT.
```
# ypserv -r
```
  Patientez pendant la fermeture de ypserv.
  
  Astuce - Les fichiers dbm NIS d'origine ne sont pas écrasés. Vous pouvez les restaurer au besoin.
3. Démarrez les services DNS et NIS afin de vérifier qu'ils utilisent les nouvelles cartes.
```
# svcadm enable network/dns/client:default
# svcadm enable network/nis/server:default
```

Configuration du service N2L à l'aide de mappages personnalisés ou non standard

Suivez cette procédure si les circonstances suivantes sont vérifiées :

Vos cartes ne sont pas répertoriées dans Mappages standard pris en charge.
Vous souhaitez associer des cartes NIS standard à des mappages LDAP non-RFC 2307.

Effectuez les étapes prérequises qui sont répertoriées à la section Prérequis pour la transition de NIS à LDAP.
Connectez-vous en tant qu'administrateur au serveur NIS maître.
Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
Les rôles contiennent des autorisations et des commandes privilégiées. Pour plus d'informations sur les rôles, reportez-vous au Chapitre 9, Utilisation du contrôle d’accès basé sur les rôles (tâches) du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
Configurez le serveur NIS maître en tant que serveur N2L.
```
# inityp2l
```
Exécutez le script inityp2l sur le serveur NIS maître et suivez les invites à l'écran. Pour obtenir la liste des informations que vous devez fournir, reportez-vous à la section Configuration du service de transition de NIS à LDAP
Pour plus d'informations, reportez-vous à la page de manuel inityp2l(1M).
Modifiez le fichier /var/yp/NISLDAPmapping.
Pour obtenir des exemples de modification du fichier de mappage, reportez-vous à la section Exemples de cartes personnalisées.
Déterminez si l'arborescence DIT LDAP est complètement initialisée.
L'arborescence DIT est complètement initialisé lorsqu'elle contient déjà les informations nécessaires au remplissage de toutes les cartes répertoriées dans le fichier NISLDAPmapping.
- Si ce n'est pas le cas, exécutez les étapes 6, 8 et 9.
- Si c'est le cas, ignorez l'étape 6 et effectuez l'Étape 7, l'étape 8 et l'étape 9.
Initialisez l'arborescence DIT pour la transition à partir des fichiers source NIS.
1. Assurez-vous que les cartes NIS anciennes sont à jour.
```
# cd /var/yp
# make
```
  Pour plus d'informations, reportez-vous à la page de manuel ypmake(1M).
2. Arrêtez les démons NIS.
```
# svcadm disable network/nis/server:default
```
3. Copiez les cartes anciennes dans l'arborescence DIT, puis initialisez la prise en charge N2L pour les cartes.
```
# ypserv -Ir
```
  Patientez pendant la fermeture de ypserv.
  
  Astuce - Les fichiers dbm NIS d'origine ne sont pas écrasés. Vous pouvez les restaurer au besoin.
4. Démarrez les services DNS et NIS afin de vérifier qu'ils utilisent les nouvelles cartes.
```
# svcadm enable network/dns/client:default
# svcadm enable network/nis/server:default
```
5. Ignorez l'étape 7 et passez à l'Étape 8.
Initialisez les cartes NIS.
Effectuez cette étape uniquement si l'arborescence DIT est entièrement initialisée.
1. Arrêtez les démons NIS.
```
# svcadm disable network/nis/server:default
```
2. Initialisez les cartes NIS à partir des informations de l'arborescence DIT.
```
# ypserv -r
```
  Patientez pendant la fermeture de ypserv.
  
  Astuce - Les fichiers dbm NIS d'origine ne sont pas écrasés. Vous pouvez les restaurer au besoin.
3. Démarrez les services DNS et NIS afin de vérifier qu'ils utilisent les nouvelles cartes.
```
# svcadm enable network/dns/client:default
# svcadm enable network/nis/server:default
```
Vérifiez l'exactitude des entrées LDAP.
Si les entrées ne sont pas correctes, les clients de services de noms ne peuvent pas les trouver.
```
# ldapsearch -h server -s sub -b "ou=servdates, dc=..." \ "objectclass=servDates"
```
Vérifiez le contenu des cartes LDAP_ .
L'exemple de sortie suivant illustre l'exécution de la commande makedm pour vérifier le contenu de la carte hosts.byaddr.
```
# makedbm -u LDAP_servdate.bynumber 
plato: 1/3/2001
johnson: 2/4/2003,1/3/2001
yeats: 4/4/2002
poe: 3/3/2002,3/4/2000
```
Si le contenu est comme prévu, la transition de NIS à LDAP a été appliquée.
Notez que les fichiers dbm NIS d'origine ne sont pas écrasés, de sorte que vous pouvez toujours les récupérer. Pour plus d'informations, reportez-vous à la section Rétablissement de NIS.

Exemples de cartes personnalisées

Les deux exemples suivants montrent comment vous pouvez personnaliser les cartes. Le cas échéant, modifiez le fichier /var/yp/NISLDAPmapping dans l'éditeur de texte de votre choix. Pour plus d'informations sur la syntaxe et les attributs de fichier, reportez-vous à la page de manuel NISLDAPmapping(4) et aux informations de services de noms LDAP du Chapitre 9, Introduction aux services de noms LDAP (présentation).

Exemple 15-1 Déplacement des entrées d'hôte

Cet exemple montre comment déplacer les entrées d'hôte de l'emplacement par défaut à un autre emplacement (non standard) dans l'arborescence DIT.

Remplacez l'attribut nisLDAPobjectDN dans le fichier NISLDAPmapping par le nouveau DN (nom distinctif) LDAP de base. Pour cet exemple, la structure interne des objets LDAP n'est pas modifiée, de sorte que les entrées objectClass restent inchangées.

Remplacez :

nisLDAPobjectDN hosts: \
                        ou=hosts,?one?, \
                        objectClass=device, \
                        objectClass=ipHost

Par :

nisLDAPobjectDN hosts: \
                        ou=newHosts,?one?, \
                        objectClass=device, \
                        objectClass=ipHost

Suite à cette modification, les entrées sont mappées sous

dn: ou=newHosts, dom=domain1, dc=sun, dc=com

et non sous

dn: ou=hosts, dom=domain1, dc=sun, dc=com.

Exemple 15-2 Implémentation d'une carte personnalisée

Cet exemple montre comment implémenter une carte personnalisée.

Une carte hypothétique, servdate.bynumber, contient des informations sur les dates de service pour les systèmes. Cette carte est indexée par le numéro de série de la machine qui, dans cet exemple, est 123. Chaque entrée se compose du nom du propriétaire de la machine, d'un signe deux-points et d'une liste de dates de service séparées par des virgules, par exemple, John Smith:1/3/2001,4/5/2003.

L'ancienne structure de la carte doit être mappée sur les entrées LDAP de la forme suivante :

dn: number=123,ou=servdates,dc=... \
                 number: 123 \
                 userName: John Smith \
                 date: 1/3/2001 \
                 date: 4/5/2003 \
                  .
                  .
                  .
                 objectClass: servDates

L'examen du fichier NISLDAPmapping permet de voir que le mappage le plus proche du modèle requis est group. Les mappages personnalisés peuvent être modélisés sur le mappage group. Etant donné qu'il n'existe qu'une seule carte, aucun attribut nisLDAPdatabaseIdMapping n'est requis. Les attributs à ajouter à NISLDAPmapping sont les suivants :

nisLDAPentryTtl servdate.bynumber:1800:5400:3600

nisLDAPnameFields servdate.bynumber: \
                        ("%s:%s", uname, dates)

nisLDAPobjectDN servdate.bynumber: \
                        ou=servdates, ?one? \
                        objectClass=servDates:

nisLDAPattributeFromField servdate.bynumber: \
                        dn=("number=%s,", rf_key), \
                        number=rf_key, \
                        userName=uname, \
                        (date)=(dates, ",")

nisLDAPfieldFromAttribute servdate.bynumber: \
                        rf_key=number, \
                        uname=userName, \
                        dates=("%s,", (date), ",")

Ignorer les liens de navigation
Quitter l'aperu
	Utilisation des services de noms et d'annuaire dans Oracle Solaris 11.1 Oracle Solaris 11.1 Information Library (Français)