Descripción general del módulo de servicio de nombres nss_ad

El cliente de Oracle Solaris se debe unir a un dominio AD antes de que se pueda usar cualquier funcionalidad de interoperabilidad, incluido nss_ad. La utilidad kclient se utiliza para unir el cliente a AD. Durante la operación de unión, kclient configura Kerberos v5 en el cliente. A partir de ese momento, nss_ad se puede utilizar para resolver solicitudes de servicio de nombres especificando ad como origen en el archivo nsswitch.conf para las bases de datos compatibles. El módulo nss_ad utiliza las credenciales de host para consultar información del servicio de nombres en AD.

El módulo nss_ad utiliza los registros del servidor DNS para detectar automáticamente servidores de directorios AD, como controladores de dominio y servidores de catálogos globales. Por lo tanto, el DNS debe estar configurado correctamente en el cliente de Oracle Solaris. El módulo nss_ad también utiliza el protocolo v3 de LDAP para acceder a información de nombres desde servidores AD. El esquema de servidor AD no requiere ninguna modificación porque nss_ad funciona con el esquema AD nativo.

El módulo nss_ad no admite actualmente inicios de sesión de los usuarios de Windows en el sistema Oracle Solaris. Hasta que se admitan dichos inicios de sesión, los usuarios deberán seguir iniciando sesión mediante back-ends tradicionales, como nis o ldap.

Los servicios idmap y svc:/system/name-service/cache deben estar activados para usar nss_ad. El módulo nss_ad utiliza el servicio idmap para asignar entre identificadores de seguridad (SID) de Windows, identificadores de usuario (UID) de UNIX e identificadores de grupos (GID).

Asegúrese de que todos los nombres de grupos y usuarios de Active Directory estén cualificados con nombres de dominios, como user@domain o group@domain. Por ejemplo, getpwnam(dana) fallará, pero getpwnam(dana@domain) se realizará éxito, siempre que dana sea un usuario de Windows válido en el dominio llamado domain.

Las siguientes reglas adicionales también pertenecen al módulo nss_ad:

• Al igual que AD, nss_ad realiza comparaciones sin distinguir mayúsculas de minúsculas de los nombres de usuarios y grupos.

• Sólo use el módulo nss_ad en configuraciones regionales UTF-8 o en dominios en los que los usuarios y los grupos sólo tienen caracteres ASCII en sus nombres.

• Los SID muy conocidos son un conjunto de SID que identifican usuarios o grupos genéricos en el mundo de Windows. No son específicos del dominio y sus valores permanecen constantes en todos los sistemas operativos Windows. Los nombres de SID muy conocidos están cualificados con la cadena BUILTIN, por ejemplo, Remote Desktop Users@BUILTIN.

• El módulo nss_ad no admite la enumeración. Por lo tanto, las interfaces getpwent() y getgrent(), y los comandos que las usan, como getent passwd y getent group, no pueden recuperar información desde AD.

• El módulo nss_ad actualmente sólo admite los archivos passwd y group. nss_ad no admite otras bases de datos de servicios de nombres que siguen la entrada passwd, como audit_user y user_attr. Si el back-end ad se procesa (en función de la configuración), devuelve el mensaje NOT FOUND (no encontrado) para estas bases de datos.

Cómo configurar el módulo nss_ad

El módulo nss_ad requiere que el cliente de Oracle Solaris use DNS para la resolución de host.

1. Configure el servicio DNS.

   Consulte Cómo activar un cliente DNS para obtener instrucciones.

   ---

   Nota - El nombre de dominio AD se debe especificar por medio de la directiva domain o como el primer elemento de la lista especificado por la directiva search.

   Si se especifican ambas directivas, la última tiene prioridad. Esto es necesario para que la función de detección automática idmap funcione correctamente.

   ---

   En el ejemplo siguiente, los comandos dig verifican que el servidor AD se pueda resolver mediante el uso de su nombre y dirección IP.

   # dig -x 192.168.11.22 +short
   myserver.ad.example
   # dig myserver.ad.example +short
   192.168.11.22

2. Agregue dns a la lista de los servicios de nombres para hosts.

   # svccfg -s svc:/system/name-service/switch
   svc:/system/name-service/switch> setprop config/host = astring: "files dns"
   svc:/system/name-service/switch> select system/name-service/switch:default
   svc:/system/name-service/switch:default> refresh
   svc:/system/name-service/switch:default> quit

   ---

   Nota - Si desea incluir servicios de nombres adicionales, como nis o ldap, para la resolución de host, agréguelos después de dns.

   ---

3. Verifique que el servicio DNS esté activado y en línea.

   Por ejemplo:

   # svcs svc:/network/dns/client
   STATE STIME FMRI
   online Oct_14 svc:/network/dns/client:default

4. Utilice la utilidad kclient para unir el sistema al dominio AD.

   Por ejemplo:

   # /usr/sbin/kclient -T ms_ad

5. Agregue ad a la lista de servicios de nombres de password y group.

   # svccfg -s svc:/system/name-service/switch
   svc:/system/name-service/switch> setprop config/password = astring: "files nis ad"
   svc:/system/name-service/switch> setprop config/group = astring: "files nis ad"
   svc:/system/name-service/switch> select system/name-service/switch:default
   svc:/system/name-service/switch:default> refresh
   svc:/system/name-service/switch:default> quit

6. Active el servicio idmap.

   # svcadm enable idmap

7. Actualice el repositorio SMF para el conmutador de servicio de nombres.

   # svcadm refresh name-service/switch

   ---

   Nota - El módulo nscd, si es necesario, se reinicia automáticamente cada vez que se refresca el conmutador de servicio de nombres.

   ---

8. Verifique si puede acceder a información de user y group desde AD.

   Por ejemplo:

   # getent passwd 'test_user@example'
   test_user@example:x:2154266625:2154266626:test_user::
   # getent passwd 2154266625
   test_user@example:x:2154266625:2154266626:test_user::