跳过导航链接 | |
退出打印视图 | |
在 Oracle Solaris 11.1 中使用命名和目录服务 Oracle Solaris 11.1 Information Library (简体中文) |
4. 设置 Oracle Solaris Active Directory 客户机(任务)
11. 为使用 LDAP 客户机设置 Oracle Directory Server Enterprise Edition(任务)
使用 Oracle Directory Server Enterprise Edition 进行 NIS 到 LDAP 转换的最佳做法
使用 Oracle Directory Server Enterprise Edition 创建虚拟列表视图索引
避免 Oracle Directory Server Enterprise Edition 服务器超时
NIS 到 LDAP 转换服务(N2L 服务)以 NIS 到 LDAP 转换守护进程取代了 NIS 主服务器上的现有 NIS 守护进程。N2L 服务还在该服务器上创建一个 NIS 到 LDAP 转换的映射文件。该映射文件指定 NIS 映射项和 LDAP 中目录信息树 (Directory Information Tree, DIT) 等效项之间的映射。已经进行这种转换的 NIS 主服务器称为 N2L 服务器。从属服务器上没有 NISLDAPmapping 文件,因此它们继续以通常的方式工作。从属服务器定期从 N2L 服务器更新其数据,就好像 N2L 服务器是常规的 NIS 主服务器一样。
N2L 服务的行为由 ypserv 和 NISLDAPmapping 配置文件控制。借助脚本 inityp2l 可以对这些配置文件进行初始设置。一旦建立了 N2L 服务器,您便可以通过直接编辑这些配置文件来维护 N2L。
N2L 服务支持以下功能:
将 NIS 映射导入到 LDAP 目录信息树 (Directory Information Tree, DIT)
客户机以 NIS 的速度和可扩展性访问 DIT 信息
在任何命名系统中,只有一个信息源可以是权威来源。在传统的 NIS 中,NIS 源是权威信息。在使用 N2L 服务时,权威数据来源是 LDAP 目录。该目录是通过使用目录管理工具进行管理的,如第 9 章中所述。
NIS 源仅保留用于紧急备份或卸载。在使用 N2L 服务后,您必须逐步淘汰 NIS 客户机。最终,所有 NIS 客户机都应当被 LDAP 命名服务客户机替换。
以下各小节中提供了其他概述信息:
NIS 和 LDAP 服务由服务管理工具管理。使用 svcadm 命令可以对这些服务执行启用、禁用或重新启动等管理操作。使用 svcs 命令可以查询服务的状态。有关使用 SMF 对 LDAP 和 NIS 进行管理的更多信息,请参见LDAP 和服务管理工具和NIS 和服务管理工具。有关 SMF 的概述,请参见《在 Oracle Solaris 11.1 中管理服务和故障》中的第 1 章 "管理服务(概述)"。有关更多详细信息,另请参阅 svcadm(1M) 和 svcs(1) 手册页。
您需要熟悉 NIS 和 LDAP 概念、术语以及 ID 才能执行本章中的过程。有关 NIS 和 LDAP 命名服务的更多信息,请参见本书中的以下两章:
N2L 服务的用途是充当从使用 NIS 转换到使用 LDAP 的转换工具。在下列情况下不要使用 N2L 服务:
不计划在 NIS 和 LDAP 命名服务客户机之间共享数据的情况下
在这种情况下,N2L 服务器将充当极其复杂的 NIS 主服务器。
NIS 映射由修改 NIS 源文件的工具(而非 yppasswd)进行管理的情况下
从 DIT 映射重新生成 NIS 源是一项不精确的任务,需要手动检查生成的映射。一旦使用了 N2L 服务,所提供的 NIS 源重新生成功能将仅用于卸载 NIS 或恢复为 NIS。
没有 NIS 客户机的情况下
在这样的环境中,请使用 LDAP 命名服务客户机及其对应的工具。
单单安装与 N2L 服务相关的文件不会更改 NIS 服务器的缺省行为。在安装时,管理员会看到服务器上的 NIS 手册页会有一些变化并且其中会增加 N2L 帮助脚本 inityp2l 和 ypmap2src。但是,只要未在 NIS 服务器上运行 inityp2l 或未手动创建 N2L 配置文件,NIS 组件便会继续在传统的 NIS 模式下启动,并像往常那样工作。
运行 inityp2l 之后,用户会看到服务器和客户机的行为会发生一些变化。以下列表列出了 NIS 和 LDAP 用户的类型,并说明了部署 N2L 服务之后每种类型的用户应当注意到的情况。
|
以下是与 N2L 服务的实现相关的术语。
表 15-1 与 N2L 转换相关的术语
|
与 N2L 转换相关联的共有两个实用程序、两个配置文件和一个映射。
表 15-2 N2L 命令、文件和映射的说明
|
缺省情况下,N2L 服务支持在以下映射列表与 RFC 2307、RFC 2307bis 及其后续版本的 LDAP 条目之间的映射。这些标准映射不需要手动修改映射文件。系统上任何未在下表中列出的映射都被视为定制映射,且需要手动修改。
N2L 服务还支持 auto.* 映射的自动映射。但是,由于大多数 auto.* 文件名和内容都特定于每种网络配置,因此该列表并未指定这些文件。但作为标准映射支持的 auto.home 和 auto.master 映射除外。
audit_user auth_attr auto.home auto.master bootparams ethers.byaddr ethers.byname exec_attr group.bygid group.byname group.adjunct.byname hosts.byaddr hosts.byname ipnodes.byaddr ipnodes.byname mail.byaddr mail.aliases netgroup netgroup.byprojid netgroup.byuser netgroup.byhost netid.byname netmasks.byaddr networks.byaddr networks.byname passwd.byname passwd.byuid passwd.adjunct.byname prof_attr project.byname project.byprojectid protocols.byname protocols.bynumber publickey.byname rpc.bynumber services.byname services.byservicename timezone.byname user_attr
在 NIS 到 LDAP 转换过程中,yppasswdd 守护进程使用 N2L 特定的映射 ageing.byname 在 DIT 中读写口令生命期信息。如果没有使用口令生命期,则会忽略 ageing.byname 映射。