このセクションでは、nss_ad モジュールが AD から対応するデータを取得することによって passwd、shadow、および group ファイルに対するネームサービスリクエストを解決する方法について説明します。
username:password:uid:gid:gecos:home-directory:login-shell
詳細は、passwd(4) のマニュアルページを参照してください。
nss_ad モジュールは、AD から passwd 情報を次のように取得します。
username – samAccountName AD 属性の値を使用し、オブジェクトが存在するドメイン名で修飾されます (たとえば、johnd@example.com)。
password – AD オブジェクトではユーザーパスワードが使用できないため、x の値を使用します。
uid – objectSID AD 属性の Windows ユーザーの SID を使用し、それが idmap サービスを使用して UID にマップされます。
gid – Windows ユーザーのプライマリグループ SID を使用し、それが idmap サービスを使用して GID にマップされます。このグループ SID は、primaryGroupID AD 属性の値をドメイン SID に追加することによって取得されます。AD 内のユーザーの場合、primaryGroupID 属性はオプション属性であるため、存在しない可能性があります。この属性が存在しない場合、nss_ad は idmap の対角マッピング機能を使用して、objectSID 属性のユーザー SID をマップします。
gecos – CN AD 属性の値。
home-directory – 値が存在する場合は、homeDirectory AD 属性の値を使用します。それ以外の場合、このフィールドは空のままになります。
login-shell – ネイティブな AD スキーマにはログインシェル属性が存在しないため、このフィールドは空のままになります。
username:password:lastchg:min:max:warn:inactive:expire:flag
詳細は、shadow(4) のマニュアルページを参照してください。
nss_ad モジュールは、AD から shadow 情報を次のように取得します。
username – samAccountName AD 属性の値を使用し、オブジェクトが存在するドメイン名で修飾されます (たとえば、johnd@example.com)。
password – AD オブジェクトではユーザーパスワードが使用できないため、*NP* の値を使用します。
シャドウフィールドは AD や Kerberos v5 には関係しないため、shadow フィールドの残りは空のままになります。
groupname:password:gid:user-list
詳細は、group(4) のマニュアルページを参照してください。
nss_ad モジュールは、AD から情報を次のように取得します。
groupname – samAccountName AD 属性の値を使用し、オブジェクトが存在するドメイン名で修飾されます (たとえば、admins@example.com)。
password – フィールドは、Windows グループにはパスワードがないため、空のままになります。
gid – objectSID AD 属性の Windows グループの SID を使用し、それが idmap サービスを使用して GID にマップされます。
user-list – フィールドは空のままになります。