いずれかの AD 相互運用性機能 (nss_ad を含む) を使用できるようにするには、その前に Oracle Solaris クライアントが AD ドメインに参加している必要があります。クライアントを AD に参加させるには、kclient ユーティリティーを使用します。参加の操作中、kclient は、そのクライアント上に Kerberos v5 を構成します。それ以降は、nss_ad を使用して、ad をサポートされるデータベースの nsswitch.conf ファイル内のソースとして指定することによってネームサービスリクエストを解決できます。nss_ad モジュールは、ホスト資格を使用して AD 内のネームサービス情報を検索します。
nss_ad モジュールは、DNS サーバーのレコードを使用して、ドメインコントローラやグローバルカタログサーバーなどの AD ディレクトリサーバーを自動検出します。そのため、DNS が Oracle Solaris クライアント上で正しく構成されている必要があります。nss_ad モジュールはまた、LDAP v3 プロトコルを使用して AD サーバーのネーミング情報にアクセスします。nss_ad はネイティブな AD スキーマで動作するため、AD サーバーのスキーマに変更は必要ありません。
nss_ad を使用するには、idmap および svc:/system/name-service/cache サービスを有効にする必要があります。nss_ad モジュールは、idmap サービスを使用して、Windows セキュリティー識別子 (SID)、UNIX ユーザー識別子 (UID)、およびグループ識別子 (GID) の間をマップします。
すべての AD ユーザーおよびグループ名を user@domain や group@domain などのドメイン名で修飾してください。たとえば、abc が domain という名前のドメイン内の有効な Windows ユーザーである場合、getpwnam(abc) は失敗しますが、getpwnam(abc@domain) は成功します。
また、次の追加の規則も nss_ad モジュールに関連します。
AD と同様に、nss_ad は、ユーザーおよびグループ名の大文字と小文字が区別されないマッチングを実行します。
nss_ad モジュールは、UTF-8 ロケール、またはユーザーやグループの名前に ASCII 文字のみが存在するドメインでのみ使用してください。
既知の SID として、Windows の世界における汎用ユーザーまたは汎用グループを識別する一連の SID があります。これらの SID はドメイン固有ではなく、それらの値はすべての Windows オペレーティングシステムにわたって一定のままです。既知の SID の名前は、文字列 BUILTIN で修飾されます (たとえば、Remote Desktop Users@BUILTIN)。
nss_ad モジュールは、列挙をサポートしていません。そのため、列挙を使用する getpwent() および getgrent() インタフェースやコマンド (getent passwd や getent group など) は AD から情報を取得できません。
nss_ad モジュールは現在、passwd および group ファイルのみをサポートしています。nss_ad は、passwd エントリに従うほかのネームサービスデータベース (audit_user や user_attr など) をサポートしていません。ad バックエンドが構成に基づいて処理された場合、そのバックエンドはこれらのデータベースに対して「NOT FOUND」を返します。