为了简化 Solaris 客户机设置,并避免针对每台客户机都重新输入同样的信息,可以在目录服务器上创建一个客户机配置文件。这样,通过一个配置文件便可以为所有配置为使用该配置文件的客户机定义配置。以后对配置文件属性进行的任何更改都会按刷新间隔所定义的频率传播到客户机。
这些客户机配置文件应存储在 LDAP 服务器上的已知位置中。给定域的根 DN 必须具有对象类 nisDomainObject 以及包含客户机所在域的 nisDomain 属性。 所有的配置文件都位于相对于此容器的 ou=profile 容器中。这些配置文件应可以匿名读取。
下表列出了 Solaris LDAP 客户机的配置文件属性,这些属性可以在运行 idsconfig 时自动设置。有关如何手动设置客户机配置文件的信息,请参见手动初始化客户机以及 idsconfig (1M) 手册页。
表 9–2 客户机的配置文件属性
属性 |
说明 |
---|---|
cn |
配置文件的名称。该属性没有缺省值。必须指定该属性值。 |
preferredServerList |
首选服务器的主机地址是用空格分隔的服务器地址的列表。(请勿使用主机名。) 将先尝试与该列表中的服务器建立连接,然后再尝试与 defaultServerList 中的服务器建立连接,直到成功建立连接。该属性没有缺省值。在 preferredServerList 或 defaultServerList 中至少必须指定一台服务器。 |
defaultServerList |
缺省服务器的主机地址是用空格分隔的服务器地址的列表。(请勿使用主机名。)在尝试与 preferredServerlist 中的服务器建立连接之后,会先尝试与客户机所在子网中的缺省服务器建立连接,然后再尝试与其余的缺省服务器建立连接,直到成功建立连接。在 preferredServerList 或 defaultServerList 中至少必须指定一台服务器。只有在尝试与首选服务器列表中的服务器建立连接之后,才会尝试与该列表中的服务器建立连接。该属性没有缺省值。 |
defaultSearchBase |
相对于要在其中查找已知容器的位置的 DN。该属性没有缺省值。不过,对于给定服务,可以使用 serviceSearchDescriptor 属性覆盖该属性。 |
defaultSearchScope |
定义客户机要搜索的数据库范围。可以使用 serviceSearchDescriptor 属性覆盖该属性。可能的值为 one 或 sub。缺省搜索级别为 one。 |
authenticationMethod |
标识客户机使用的验证方法。缺省值为 none(匿名)。有关更多信息,请参见选择验证方法。 |
credentialLevel |
标识客户机应该用于验证的凭证类型。选项包括 anonymous 和 proxy。缺省值为 anonymous。 |
serviceSearchDescriptor |
定义客户机搜索名称数据库的方式和位置,例如,客户机应在 DIT 中的一个点还是多个点执行查找。缺省情况下,不定义任何 SSD。 |
serviceAuthenticationMethod |
客户机针对指定服务使用的验证方法。缺省情况下,不定义任何服务验证方法。如果某个服务未定义 serviceAuthenticationMethod,则使用 authenticationMethod 的缺省值。 |
attributeMap |
客户机使用的属性映射。缺省情况下,不定义任何 attributeMap。 |
objectclassMap |
客户机使用的对象类映射。缺省情况下,不定义任何 objectclassMap。 |
searchTimeLimit |
客户机上的搜索操作在超时之前可以执行的最长时间(以秒为单位)。这并不影响在 LDAP 服务器上完成搜索所需的时间。缺省值为 30 秒。 |
bindTimeLimit |
客户机与服务器的绑定在超时之前可以持续的最长时间(以秒为单位)。缺省值为 30 秒。 |
followReferrals |
指定客户机是否应遵循 LDAP 引用。可能的值为 TRUE 或 FALSE。缺省值为 TRUE。 |
profileTTL |
ldap_cachemgr (1M) 从 LDAP 服务器刷新客户机配置文件的时间间隔。缺省值为 43200 秒(即 12 小时)。如果指定的值为 0,则不刷新配置文件。 |
下表列出了可以使用 ldapclient 在本地设置的客户机属性。有关更多信息,请参见 ldapclient(1M) 手册页。
表 9–3 本地客户机属性
属性 |
说明 |
---|---|
domainName |
指定客户机的域名(该域将成为此客户机的缺省域)。该属性没有缺省值。必须指定该属性值。 |
proxyDN |
代理的标识名。如果使用代理的 credentialLevel 配置客户机,则必须指定 proxyDN。 |
proxyPassword |
代理的口令。如果使用代理的 credentialLevel 配置客户机,则必须定义 proxyPassword。 |
certificatePath |
包含证书数据库的本地文件系统中的目录。如果借助 TLS 使用 authenticationMethod 或 serviceAuthenticationMethod 配置客户机,则将使用此属性。缺省值为 /var/ldap。 |
如果 SSD 中的 BaseDN 包含一个结尾逗号,则将其视为 defaultSearchBase 的相对值。执行搜索之前,会将 defaultSearchBase 的值附加在 BaseDN 后面。