第 15 章 从 NIS 转换为 LDAP（概述/任务）

本章介绍如何启用对使用存储在 LDAP 目录中名称信息的 NIS 客户机的支持。通过遵照本章中的过程操作，可以从使用 NIS 名称服务转换为使用 LDAP 名称服务。

要了解转换到 LDAP 的益处，请参见LDAP 名称服务与其他名称服务的比较。

本章将介绍以下信息：

• NIS 到 LDAP 转换服务概述

• 从 NIS 转换为 LDAP（任务列表）

• NIS 到 LDAP 转换的先决条件

• 设置 NIS 到 LDAP 转换服务

• 使用 Sun Java System Directory Server 进行 NIS 到 LDAP 转换的最佳做法

• NIS 到 LDAP 转换限制

• NIS 到 LDAP 转换疑难解答

• 恢复为 NIS

NIS 到 LDAP 转换服务概述

NIS 到 LDAP 转换服务（N2L 服务）使用 NIS 到 LDAP 转换守护进程来替换 NIS 主服务器上现有的 NIS 守护进程。N2L 服务还在该服务器上创建一个 NIS 到 LDAP 的转换映射文件。该映射文件指定 NIS 映射项和 LDAP 中目录信息树 (Directory Information Tree, DIT) 等效项之间的映射。已经进行这种转换的 NIS 主服务器称为 N2L 服务器。从属服务器上没有 NISLDAPmapping 文件，因此它们继续以通常的方式工作。从属服务器定期从 N2L 服务器更新其数据，就好像 N2L 服务器是常规的 NIS 主服务器一样。

N2L 服务的行为由 ypserv 和 NISLDAPmapping 配置文件控制。脚本 inityp2l 可帮助对这些配置文件进行初始设置。一旦建立了 N2L 服务器，就可以通过直接编辑这些配置文件来维护 N2L。

N2L 服务支持以下功能：

• 将 NIS 映射导入到 LDAP 目录信息树 (Directory Information Tree, DIT) 中

• 客户机借助于 NIS 的速度和可扩展性访问 DIT 信息

在任何名称系统中，仅有一个信息源可以是权威来源。在传统的 NIS 中，NIS 源是权威信息。在使用 N2L 服务时，权威数据源自 LDAP 目录。如第 9 章，LDAP 的基本组件和概念（概述）中所述，该目录是通过使用目录管理工具进行管理的。

NIS 源仅保留用于紧急备份或卸载。在使用 N2L 服务之后，可以逐步淘汰 NIS 客户机。最终，所有的 NIS 客户机都会被 Solaris LDAP 名称服务客户机所取代。

以下各小节中提供了其他概述信息：

• NIS 到 LDAP 转换的目标用户

• 不应使用 NIS 到 LDAP 转换服务的情况

• NIS 到 LDAP 转换服务对用户造成的影响

• NIS 到 LDAP 转换术语

• NIS 到 LDAP 转换命令、文件和映射

• 支持的标准映射

NIS 到 LDAP 转换工具和服务管理工具

NIS 和 LDAP 服务由服务管理工具管理。 可以使用 svcadm 命令对这些服务执行启用、禁用或重新启动等管理操作。使用 svcs 命令可以查询服务的状态。有关使用 SMF 对 LDAP 和 NIS 进行管理的更多信息，请参见LDAP 和服务管理工具和NIS 和服务管理工具。有关 SMF 的概述，请参阅System Administration Guide: Basic Administration中的“ Managing Services (Overview)”。另请参阅 svcadm(1M) 和 svcs(1) 手册页以了解更多详细信息。

NIS 到 LDAP 转换的目标用户

您需要熟悉 NIS 和 LDAP 概念、术语和 ID 才能执行本章中的过程。有关 NIS 和 LDAP 名称服务的更多信息，请参见本书中的以下两章：

• 第 4 章，网络信息服务 (Network Information Service, NIS)（概述）（提供 NIS 的概述）

• 第 8 章，LDAP 名称服务介绍（概述/参考）（提供 LDAP 的概述）

不应使用 NIS 到 LDAP 转换服务的情况

请勿在以下情况下使用 N2L 服务：

• 不打算在 NIS 客户机和 LDAP 名称服务客户机之间共享数据。

  在这种情况下，N2L 服务器将充当极其复杂的 NIS 主服务器。

• NIS 映射由修改 NIS 源文件的工具（而非 yppasswd）来管理。

  从 DIT 映射重新生成 NIS 源是一项不精确的任务，该任务需要手动检查生成的映射。一旦使用了 N2L 服务，提供的 NIS 源的重新生成功能就仅用于卸载 NIS 或恢复为 NIS。

• 没有 NIS 客户机

  在这种情况下，可以使用 Solaris LDAP 名称服务客户机及其相应工具。

NIS 到 LDAP 转换服务对用户造成的影响

仅安装与 N2L 服务相关的文件不会更改 NIS 服务器的缺省行为。在安装时，管理员将会看到 NIS 手册页发生了一些变化，而且服务器上增加了 N2L 帮助脚本 inityp2l 和 ypmap2src。但是，只要在 NIS 服务器上没有运行 inityp2l 或没有手动创建 N2L 配置文件，NIS 组件就会继续在传统的 NIS 模式下启动并像通常那样工作。

运行 inityp2l 之后，用户会看到服务器和客户机行为发生了一些变化。以下是 NIS 和 LDAP 用户类型的列表，其中说明了在部署 N2L 服务之后每种类型的用户应当注意到的情况。

NIS 到 LDAP 转换术语

以下是与实现 N2L 服务相关的术语。

NIS 到 LDAP 转换命令、文件和映射

共有两个实用程序、两个配置文件和一个映射与 N2L 转换相关联。

支持的标准映射

缺省情况下，N2L 服务支持以下列出的映射与 RFC 2307 或其后续版本中 LDAP 各项之间的映射。这些标准映射不需要手动修改映射文件。系统上任何未列在以下列表中的映射都被视为自定义映射，需要手动进行修改。

N2L 服务还支持对 auto.* 映射进行自动映射。但是，由于大多数 auto.* 文件名和内容都特定于各自的网络配置，因此该列表并未指定这些文件，但作为标准映射支持的 auto.home 和 auto.master 映射除外。

audit_user

auth_attr

auto.home

auto.master

bootparams

ethers.byaddr ethers.byname

exec_attr

group.bygid group.byname group.adjunct.byname

hosts.byaddr hosts.byname

ipnodes.byaddr ipnodes.byname

mail.byaddr mail.aliases

netgroup netgroup.byprojid netgroup.byuser netgroup.byhost

netid.byname

netmasks.byaddr

networks.byaddr networks.byname

passwd.byname passwd.byuid passwd.adjunct.byname

printers.conf.byname

prof_attr

project.byname project.byprojectid

protocols.byname protocols.bynumber

publickey.byname

rpc.bynumber

services.byname services.byservicename

timezone.byname

user_attr

在 NIS 到 LDAP 转换过程中，yppasswdd 守护进程使用 N2L 特定的映射 ageing.byname 在 DIT 中读写口令生命期信息。如果没有使用口令生命期，则会忽略 ageing.byname 映射。

从 NIS 转换为 LDAP（任务列表）

下表列出了使用标准的和自定义的 NIS 到 LDAP 转换映射来安装和管理 N2L 服务所需的过程。

NIS 到 LDAP 转换的先决条件

在实现 N2L 服务之前，必须检查或完成以下各项操作：

• 运行 inityp2l 脚本以启用 N2L 模式之前，确保将系统设置为可正常工作的传统 NIS 服务器。

• 在系统上配置 LDAP 目录服务器。

  NIS 到 LDAP 转换迁移工具支持 Sun Microsystems, Inc. 提供的 Sun Java System Directory Server（以前称为 Sun ONE Directory Server）和兼容版本的目录服务器。如果使用 Sun Java System Directory Server，请在设置 N2L 服务之前，使用 idsconfig 命令来配置服务器。有关 idsconfig 的更多信息，请参见第 11 章，为使用 LDAP 客户机设置 Sun Java System Directory Server（任务）和 idsconfig(1M) 手册页。

  其他（第三方）LDAP 服务器可能会使用 N2L 服务，但是 Sun 不支持这些服务器。如果使用的是 Sun Java System Directory Server 或兼容 Sun 服务器以外的 LDAP 服务器，则必须在设置 N2L 服务之前手动配置服务器，使其支持 RFC 2307 或其后续版本中的方案。

• 确保 nsswitch.conf 文件至少针对 hosts 和 ipnodes 项的查找顺序将 files 列在 nis 之前。

• 确保 N2L 主服务器上的 hosts 或 ipnodes 文件中提供了 N2L 主服务器和 LDAP 服务器的地址。必须将服务器地址列在 hosts、ipnodes 还是同时列在这两个文件中取决于为解析本地主机名而配置系统的方式。

  替代解决方案是在 ypserv 中列出 LDAP 服务器地址，而不列出其主机名。这意味着 LDAP 服务器地址列在另一个位置中，因此，在更改 LDAP 服务器或 N2L 主服务器的地址时需要对文件进行其他修改。

设置 NIS 到 LDAP 转换服务

可以按照以下两个过程中的说明，使用标准映射或自定义映射来设置 N2L 服务。

在 NIS 到 LDAP 转换过程中，需要运行 inityp2l 命令。必须为该命令运行的交互式脚本提供配置信息。以下列出了需要提供的信息类型。有关这些属性的说明，请参见 ypserv(1M) 手册页。

• 创建的配置文件的名称（缺省为 /etc/default/ypserv）

• 用来将配置信息存储到 LDAP 中的 DN（缺省为 ypserv）

• 用来将数据映射到 LDAP 或从 LDAP 映射数据的首选服务器的列表

• 用来将数据映射到 LDAP 或从 LDAP 映射数据的验证方法

• 用来将数据映射到 LDAP 或从 LDAP 映射数据的传输层安全性 (Transport Layer Security, TLS) 方法

• 用来在 LDAP 中读写数据的代理用户绑定 DN

• 用来在 LDAP 中读写数据的代理用户口令

• LDAP 绑定操作的超时值（以秒为单位）

• LDAP 搜索操作的超时值（以秒为单位）

• LDAP 修改操作的超时值（以秒为单位）

• LDAP 添加操作的超时值（以秒为单位）

• LDAP 删除操作的超时值（以秒为单位）

• LDAP 服务器上搜索操作的时间限制（以秒为单位）

• LDAP 服务器上搜索操作的大小限制（以字节为单位）

• N2L 是否应当遵循 LDAP 引用

• 导致 LDAP 检索错误的操作、尝试检索的次数以及各尝试操作的超时值（以秒为单位）

• 导致存储错误的操作、尝试的次数以及各尝试操作的超时值（以秒为单位）

• 映射文件的名称

• 是否为 auto_direct 映射生成映射信息

  脚本将与自定义映射相关的信息放入映射文件中的相应位置。

• 名称上下文

• 是否启用口令更改功能

• 是否更改所有映射的缺省 TTL 值

大多数 LDAP 服务器（包括 Sun Java System Directory Server）都不支持 sasl/cram-md5 验证。

如何使用标准映射设置 N2L 服务

如果要转换支持的标准映射中所列的映射，请使用此过程。如果要使用自定义映射或非标准映射，请参见如何使用自定义映射或非标准映射设置 N2L 服务。

设置 LDAP 服务器之后，请运行 inityp2l 脚本并在出现提示时提供配置信息。inityp2l 可为标准映射和 auto.* 映射设置配置文件和映射文件。

1. 完成NIS 到 LDAP 转换的先决条件中所列的先决步骤。

2. 在 NIS 主服务器上，成为超级用户或承担等效角色。

   角色包含授权和具有一定权限的命令。有关角色的更多信息，请参见System Administration Guide: Security Services中的“Using Role-Based Access Control (Tasks)”。

3. 将 NIS 主服务器转换为 N2L 服务器。

   # inityp2l

   在 NIS 主服务器上运行 inityp2l 脚本并遵照提示操作。有关需要提供的信息的列表，请参见设置 NIS 到 LDAP 转换服务。

   有关更多详细信息，请参见 inityp2l(1M) 手册页。

4. 确定 LDAP 目录信息树 (Directory Information Tree, DIT) 是否已完全初始化。

   如果 DIT 中已包含填充 NISLDAPmapping 文件中所列的全部映射所需的信息，则表明它已完全初始化。

   • 如果未包含，请继续执行步骤 5并跳过步骤 6。

   • 如果已包含，请跳过步骤 5 并转至步骤 6。

5. 初始化 DIT 以便从 NIS 源文件进行转换。

   仅当 DIT 尚未完全初始化时，才可执行这些步骤。

   1. 确保旧 NIS 映射是最新的版本。

      # cd /var/yp # make

      有关更多信息，请参见 ypmake(1M) 手册页。

   2. 停止 NIS 守护进程。

      # svcadm disable network/nis/server:default

   3. 将旧映射复制到 DIT 中，然后针对这些映射初始化 N2L 支持。

      # ypserv -Ir

      等待 ypserv 退出。

      ---

      提示 –

      最初的 NIS dbm 文件不会被覆写。可以根据需要恢复这些文件。

      ---

   4. 启动 NIS 守护进程，确保其使用新映射。

      # svcadm enable network/nis/server:default

      这会使用标准映射来完成 N2L 服务的设置。您无需完成步骤 6。

6. 初始化 NIS 映射。

   仅当 DIT 已完全初始化并且跳过了步骤 5 时，才可执行这些步骤。

   1. 停止 NIS 守护进程。

      # svcadm disable network/nis/server:default

   2. 使用 DIT 中的信息初始化 NIS 映射。

      # ypserv -r

      等待 ypserv 退出。

      ---

      提示 –

      最初的 NIS dbm 文件不会被覆写。可以根据需要恢复这些文件。

      ---

   3. 启动 NIS 守护进程，确保其使用新映射。

      # svcadm enable network/nis/server:default

如何使用自定义映射或非标准映射设置 N2L 服务

如果符合以下情况，请使用此过程：

• 具有支持的标准映射中未列出的映射。

• 具有要映射到非 RFC 2307 LDAP 映射的标准 NIS 映射。

1. 完成NIS 到 LDAP 转换的先决条件中所列的先决步骤。

2. 在 NIS 主服务器上，成为超级用户或承担等效角色。

   角色包含授权和具有一定权限的命令。有关角色的更多信息，请参见System Administration Guide: Security Services中的“Using Role-Based Access Control (Tasks)”。

3. 将 NIS 主服务器配置为 N2L 服务器。

   # inityp2l

   在 NIS 主服务器上运行 inityp2l 脚本并遵照提示操作。有关需要提供的信息的列表，请参见设置 NIS 到 LDAP 转换服务。

   有关更多详细信息，请参见 inityp2l(1M) 手册页。

4. 修改 /var/yp/NISLDAPmapping 文件。

   有关如何修改映射文件的示例，请参见自定义映射的示例。

5. 确定 LDAP 目录信息树 (Directory Information Tree, DIT) 是否已完全初始化。

   如果 DIT 中已包含填充 NISLDAPmapping 文件中所列的全部映射所需的信息，则表明它已完全初始化。

   • 如果未包含，请完成步骤 6、步骤 8 和步骤 9。

   • 如果已包含，请跳过步骤 6 并完成步骤 7、步骤 8 和步骤 9。

6. 初始化 DIT 以便从 NIS 源文件进行转换。

   1. 确保旧 NIS 映射是最新的版本。

      # cd /var/yp # make

      有关更多信息，请参见 ypmake(1M) 手册页。

   2. 停止 NIS 守护进程。

      # svcadm disable network/nis/server:default

   3. 将旧映射复制到 DIT 中，然后针对这些映射初始化 N2L 支持。

      # ypserv -Ir

      等待 ypserv 退出。

      ---

      提示 –

      最初的 NIS dbm 文件不会被覆写。可以根据需要恢复这些文件。

      ---

   4. 启动 NIS 守护进程，确保其使用新映射。

      # svcadm enable network/nis/server:default

   5. 跳过步骤 7 并继续执行步骤 8。

7. 初始化 NIS 映射。

   仅当 DIT 已完全初始化时，才可以执行此步骤。

   1. 停止 NIS 守护进程。

      # svcadm disable network/nis/server:default

   2. 使用 DIT 中的信息初始化 NIS 映射。

      # ypserv -r

      等待 ypserv 退出。

      ---

      提示 –

      最初的 NIS dbm 文件不会被覆写。可以根据需要恢复这些文件。

      ---

   3. 启动 NIS 守护进程，确保其使用新映射。

      # svcadm enable network/nis/server:default

8. 检验 LDAP 项是否正确。

   如果这些项不正确，则 LDAP 名称服务器客户机将无法找到各项。

   # ldapsearch -h server -s sub -b "ou=servdates, dc=..." \ "objectclass=servDates"

9. 检验 LDAP_ 映射的内容。

   以下样例输出说明如何使用 makedm 来检验 hosts.byaddr 映射的内容。

   # makedbm -u LDAP_servdate.bynumber plato: 1/3/2001 johnson: 2/4/2003,1/3/2001 yeats: 4/4/2002 poe: 3/3/2002,3/4/2000

   如果内容与预期一致，则表明已成功地从 NIS 转换到 LDAP。

   请注意，最初的 NIS dbm 文件不会被覆写，因此始终可以恢复这些文件。有关更多信息，请参见恢复为 NIS。

自定义映射的示例

以下两个示例说明如何自定义映射。请使用首选的文本编辑器，根据需要修改 /var/yp/NISLDAPmapping 文件。有关文件属性和语法的更多信息，请参见 NISLDAPmapping(4) 手册页以及第 9 章，LDAP 的基本组件和概念（概述）中的 LDAP 名称服务信息。

示例 1－移动主机项

本示例说明如何将主机项从缺省位置移到 DIT 中的另一个（非标准）位置。

请将 NISLDAPmapping 文件中的 nisLDAPobjectDN 属性更改为新的基本 LDAP 标识名 (distinguished name, DN)。在本示例中，LDAP 对象的内部结构未更改，因此 objectClass 项也不会更改。

将如下内容：

nisLDAPobjectDN hosts: \

                        ou=hosts,?one?, \

                        objectClass=device, \

                        objectClass=ipHost

更改为：

nisLDAPobjectDN hosts: \

                        ou=newHosts,?one?, \

                        objectClass=device, \

                        objectClass=ipHost

此更改会导致按如下方式映射这些项：

   dn: ou=newHosts, dom=domain1, dc=sun, dc=com

而不是按如下方式映射：

   dn:ou=hosts, dom=domain1, dc=sun, dc=com。

示例 2－实现自定义映射

本示例说明如何实现自定义映射。

虚拟映射 servdate.bynumber 中包含有关为系统提供服务的日期的信息。此映射根据计算机的序列号（在本示例中为 123）建立索引。每一项都由计算机属主的姓名、一个冒号和一个用逗号分隔的服务日期列表组成，如 John Smith:1/3/2001,4/5/2003。

旧映射的结构将映射到以下形式的 LDAP 项上：

dn: number=123,ou=servdates,dc=... \

                 number: 123 \

                 userName: John Smith \

                 date: 1/3/2001 \

                 date: 4/5/2003 \

                  .

                  .

                  .

                 objectClass: servDates

通过检查 NISLDAPmapping 文件，可以看到与所需模式最接近的映射是 group。可以根据 group 映射建立自定义映射的模型。由于仅有一个映射，因此不需要 nisLDAPdatabaseIdMapping 属性。以下是要添加到 NISLDAPmapping 中的属性：

nisLDAPentryTtl servdate.bynumber:1800:5400:3600



nisLDAPnameFields servdate.bynumber: \

                        ("%s:%s", uname, dates)



nisLDAPobjectDN servdate.bynumber: \

                        ou=servdates, ?one? \

                        objectClass=servDates:



nisLDAPattributeFromField servdate.bynumber: \

                        dn=("number=%s,", rf_key), \

                        number=rf_key, \

                        userName=uname, \

                        (date)=(dates, ",")



nisLDAPfieldFromAttribute servdate.bynumber: \

                        rf_key=number, \

                        uname=userName, \

                        dates=("%s,", (date), ",")  

使用 Sun Java System Directory Server 进行 NIS 到 LDAP 转换的最佳做法

N2L 服务支持 Sun Microsystems, Inc. 提供的 Sun Java System Directory Server（以前称为 Sun ONE Directory Server）和兼容版本的目录服务器。其他（第三方）LDAP 服务器可能会使用 N2L 服务，但是 Sun 不支持这些服务器。如果使用的是 Sun Java System Directory Server 或兼容 Sun 服务器以外的 LDAP 服务器，则必须手动配置服务器，使其支持 RFC 2307 或其后续版本中的方案。

如果使用的是 Sun Java System Directory Server，则可以增强目录服务器以提高性能。必须对 Sun Java System Directory Server 具有 LDAP 管理员权限才能增强目录服务器。另外，还可能需要重新引导目录服务器，此任务必须与服务器的 LDAP 客户机协调进行。docs.sun.com Web 站点上提供了 Sun Java System Directory Server（以及 Sun ONE 和 iPlanet Directory Server）文档。

使用 Sun Java System Directory Server 创建虚拟列表视图索引

对于大型映射，必须使用 LDAP 虚拟列表视图 (virtual list view, VLV) 索引来确保 LDAP 搜索可返回全部结果。有关在 Sun Java System Directory Server 上设置 VLV 索引的信息，请参见位于 docs.sun.com Web 站点上的 Sun Java System Directory Server 文档。

VLV 搜索结果使用固定的页面大小 50000。如果在 Sun Java System Directory Server 上使用 VLV，则 LDAP 服务器和 N2L 服务器都必须可以传送此大小的页面。如果已知所有的映射都小于此限制，则不必使用 VLV 索引。但是，如果使用的映射大于此大小限制，或者不能确定所有映射的大小，请使用 VLV 索引来避免返回不完整的结果。

如果使用 VLV 索引，请按如下方式设置适当的大小限制。

• 在 Sun Java System Directory Server 上：必须将 nsslapd-sizelimit 属性设置为大于或等于 50000 或 -1。请参见 idsconfig(1M) 手册页。

• 在 N2L 服务器上：必须将 nisLDAPsearchSizelimit 属性设置为大于或等于 50000 或零。有关更多信息，请参见 NISLDAPmapping(4) 手册页。

创建 VLV 索引之后，请立即将其激活，方法是在 Sun Java System Directory Server 上运行带有 vlvindex 选项的 directoryserver。有关更多信息，请参见 directoryserver(1M) 手册页。

标准映射的 VLV

如果符合以下条件，请使用 Sun Java System Directory Server idsconfig 命令设置 VLV：

• 使用的是 Sun Java System Directory Server。

• 要将标准映射映射为 RFC 2307 LDAP 项。

VLV 特定于域，因此每次运行 idsconfig 时，都会为一个 NIS 域创建相应的 VLV。所以，在 NIS 到 LDAP 的转换过程中，必须针对 NISLDAPmapping 文件中包含的每个 nisLDAPdomainContext 属性都运行一次 idsconfig。

自定义映射和非标准映射的 VLV

如果符合以下条件，则必须为映射手动创建新的 Sun Java System Directory Server VLV，或者复制并修改现有的 VLV 索引：

• 使用的是 Sun Java System Directory Server。

• 具有大型自定义映射或者映射到非标准 DIT 位置的标准映射。

要查看现有的 VLV 索引，请键入以下内容：

# ldapsearch -h hostname -s sub -b "cn=ldbm database,cn=plugins,cn=config" \

"objectClass=vlvSearch"

避免 Sun Java System Directory Server 服务器超时

N2L 服务器在刷新映射时，可能会对 LDAP 目录进行大量访问。如果 Sun Java System Directory Server 的配置不正确，则刷新操作可能会因超时而无法完成。要避免目录服务器超时，请手动或者通过运行 idsconfig 命令来修改以下 Sun Java System Directory Server 属性。

例如，要增加服务器执行搜索请求所需的最短时间（以秒为单位），请修改以下属性：

dn: cn=config

nsslapd-timelimit: -1

为了进行测试，可以使用属性值 -1，这表示没有限制。确定最佳限制值之后，请更改属性值。请勿在生产服务器上保留值为 -1 的任何属性设置。如果没有限制，则服务器可能会容易受到拒绝服务攻击。

有关使用 LDAP 配置 Sun Java System Directory Server 的更多信息，请参见本书的System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP)中的“使用 LDAP 客户机设置 Sun Java System Directory Server（任务）”。

避免 Sun Java System Directory Server 缓冲区溢出

要避免缓冲区溢出，请手动或者通过运行 idsconfig 命令来修改 Sun Java System Directory Server 属性。

1. 例如，要增加针对客户机搜索查询返回的最大项数，请修改以下属性：

   dn: cn=config nsslapd-sizelimit: -1

2. 要增加针对客户机搜索查询检验的最大项数，请修改以下属性：

   dn: cn=config, cn=ldbm database, cn=plugins, cn=config nsslapd-lookthroughlimit: -1

为了进行测试，可以使用属性值 -1，这表示没有限制。确定最佳限制值之后，请更改属性值。请勿在生产服务器上保留值为 -1 的任何属性设置。如果没有限制，则服务器可能会容易受到拒绝服务攻击。

如果使用 VLV，则应当按照使用 Sun Java System Directory Server 创建虚拟列表视图索引中的定义设置 sizelimit 属性值。如果未使用 VLV，则应当将大小限制设置得足够大，以便可以容纳最大容器。

有关使用 LDAP 配置 Sun Java System Directory Server 的更多信息，请参见第 11 章，为使用 LDAP 客户机设置 Sun Java System Directory Server（任务）。

NIS 到 LDAP 转换限制

设置 N2L 服务器之后，就不再使用 NIS 源文件。因此，请勿在 N2L 服务器上运行 ypmake。如果意外运行了 ypmake（如针对现有的 cron 作业运行了该命令），N2L 服务也不会受到影响。但是，会记录一个警告，提示应当明确调用 yppush。

NIS 到 LDAP 转换疑难解答

本节包括两个方面的疑难解答：

• 常见的 LDAP 错误消息

• NIS 到 LDAP 转换问题

常见的 LDAP 错误消息

有时，N2L 服务器会记录与内部 LDAP 问题相关的错误，并生成与 LDAP 相关的错误消息。尽管这些错误不是致命的，但是它们指明有问题需要检查。例如，N2L 服务器可能会继续工作，但是会提供过时或不完整的结果。

以下列出了在实现 N2L 服务时可能遇到的一些常见的 LDAP 错误消息，以及错误说明、可能的原因和针对这些错误的解决方案。

超过管理限制

错误号：11




原因：执行的 LDAP 搜索大于目录服务器的 nsslapd-sizelimit 属性所允许的大小。将仅返回部分信息。




解决方案：增大 nsslapd-sizelimit 属性的值，或者针对失败的搜索实现 VLV 索引。

DN 语法无效

错误号：34




原因：尝试写入的 LDAP 项的 DN 包含非法字符。N2L 服务器尝试对 DN 中生成的非法字符（如 + 号）转义。




解决方案：检查 LDAP 服务器错误日志，确定写入的非法 DN，然后修改生成了非法 DN 的 NISLDAPmapping 文件。

对象类违规

错误号：65




原因：尝试写入无效的 LDAP 项。通常，出现此错误是由于缺少 MUST 属性，以下任一情况都可能会导致此错误。

• NISLDAPmapping 文件中存在导致所创建的项缺少属性的错误

• 尝试向不存在的对象添加 AUXILIARY 属性

  例如，如果尚未从 passwd.byxxx 映射中创建用户名，则尝试向该用户添加辅助信息将会失败。




解决方案：对于 NISLDAPmapping 文件中的错误，检查写入服务器错误日志中的内容，确定问题的性质。

无法联系 LDAP 服务器

错误号：81




原因：ypserv 文件可能错误配置为指向错误的 LDAP 目录服务器。或者，目录服务器当前可能未运行。




解决方案：

• 重新配置 ypserv 文件，使其指向正确的 LDAP 目录服务器。

• 要确认 LDAP 服务器是否正在运行，请在目录服务器上成为超级用户或承担等效角色，然后键入以下内容：

  # pgrep -l slapd

超时

错误号：85




原因：LDAP 操作已超时，这通常发生在从 DIT 更新映射时。该映射现在可能包含过时的信息。




解决方案：增大 ypserv 配置文件中的 nisLDAPxxxTimeout 属性。

NIS 到 LDAP 转换问题

运行 N2L 服务器时可能会出现以下问题。此处提供了可能的原因和解决方案。

调试 NISLDAPmapping 文件

映射文件 NISLDAPmapping 非常复杂。许多可能的错误都会导致映射出现意外的行为方式。请使用以下方法来解决这类问题。

运行 ypserv -ir（或 -Ir）时显示控制台消息

问题：控制台上会显示简单的消息，并且服务器会退出（详细说明将写入 syslog）。




原因：映射文件的语法可能不正确。




解决方案：检查并更正 NISLDAPmapping 文件中的语法。

NIS 守护进程在启动时退出

问题： 运行 ypserv 或其他 NIS 守护进程时，会记录一条与 LDAP 相关的错误消息，并且守护进程会退出。




原因： 这可能是由于以下原因之一导致的：

• 无法访问 LDAP 服务器。

• 在 NIS 映射或 DIT 中找到的项与指定的映射不兼容。

• 尝试对 LDAP 服务器执行读写操作时返回错误。




解决方案：检查 LDAP 服务器上的错误日志。请参见常见的 LDAP 错误消息中所列的 LDAP 错误。

NIS 操作产生意外的结果

问题：NIS 操作未返回预期的结果，但是未记录错误。




原因：LDAP 或 NIS 映射中可能存在不正确的项，这会导致映射无法按照预期的方式完成。




解决方案：检查并更正 LDAP DIT 以及 N2L 版本的 NIS 映射中的各项。

1. 检查 LDAP DIT 中的项是否正确，并根据需要更正这些项。

   如果使用的是 Sun Java System Directory Server，请通过运行 directoryserver startconsole 来启动管理控制台。

2. 检查 /var/yp 目录中 N2L 版本的 NIS 映射是否包含预期的项，方法是将新生成的映射与原来的映射进行比较。请根据需要更正这些项。

   # cd /var/yp/domainname # makedbm -u test.byname # makedbm -u LDAP_test.byname

   检查映射的输出时请注意以下情况：

   • 在这两个文件中，各项的顺序可能不同。

     在对输出进行比较之前，请使用 sort 命令。

   • 在这两个文件中，空格的用法可能不同。

     在对输出进行比较时，请使用 diff -b 命令。

NIS 映射的处理顺序

问题：出现对象类违规。




原因：运行 ypserv -i 命令时，会读取每个 NIS 映射并将其内容写入 DIT 中。同一个 DIT 对象的属性可以由多个映射创建。通常，可通过一个映射来创建该对象的大部分属性，包括该对象的所有 MUST 属性。其他映射则负责创建其他 MAY 属性。

映射是按照 nisLDAPobjectDN 属性在 NISLDAPmapping 文件中的出现顺序来处理的。如果包含 MAY 属性的映射在包含 MUST 属性的映射之前进行处理，则会出现对象类违规。有关此错误的更多信息，请参见常见的 LDAP 错误消息中的错误 65。




解决方案：将 nisLDAPobjectDN 属性重新排序，以便按照正确的顺序处理这些映射。

临时解决方法是多次重新运行 ypserv -i 命令。每次执行该命令，都会增加更多的 LDAP 项。

如果这种映射方式会导致不能从至少一个映射创建某个对象的所有 MUST 属性，则不支持以这种方式进行映射。

N2L 服务器超时问题

问题：服务器超时。




原因：N2L 服务器在刷新映射时，可能会对 LDAP 目录进行大量访问。如果 Sun Java System Directory Server 配置不正确，则该操作可能会因超时而无法完成。




解决方案：要避免目录服务器超时，请手动或者通过运行 idsconfig 命令来修改 Sun Java System Directory Server 属性。有关详细消息，请参见常见的 LDAP 错误消息和使用 Sun Java System Directory Server 进行 NIS 到 LDAP 转换的最佳做法。

N2L 锁定文件问题

问题：ypserv 命令可以启动，但是不响应 NIS 请求。




原因：N2L 服务器锁定文件不能正确地同步对 NIS 映射的访问。绝不允许发生这种情况。




解决方案：在 N2L 服务器上键入以下命令：

# svcadm disable network/nis/server:default # rm /var/run/yp_maplock /var/run/yp_mapupdate # svcadm enable network/nis/server:default

N2L 死锁问题

问题：N2L 服务器死锁。




原因：如果 hosts、ipnodes 或 ypserv 文件中未正确列出 N2L 主服务器和 LDAP 服务器的地址，则可能会出现死锁问题。有关如何为 N2L 配置正确地址的详细消息，请参见NIS 到 LDAP 转换的先决条件。

有关死锁情况的示例，请考虑以下一系列事件：

1. NIS 客户机尝试查找 IP 地址。

2. N2L 服务器发现 hosts 项已过时。

3. N2L 服务器尝试通过 LDAP 更新 hosts 项。

4. N2L 服务器从 ypserv 获取其 LDAP 服务器的名称，然后使用 libldap 进行搜索。

5. libldap 尝试通过调用名称服务转换器来将 LDAP 服务器的名称转换为 IP 地址。

6. 名称服务转换器可能会对 N2L 服务器发出 NIS 调用，这会造成死锁。




解决方案：在 N2L 主服务器上的 hosts 或 ipnodes 文件中列出 N2L 主服务器和 LDAP 服务器的地址。必须将服务器地址列在 hosts、ipnodes 还是同时列在这两个文件中取决于为解析本地主机名而配置这些文件的方式。另外，还要检查在查找顺序中，nsswitch.conf 文件中的 hosts 和 ipnodes 项是否将 files 列在 nis 之前。

此死锁问题的替代解决方案是在 ypserv 文件中列出 LDAP 服务器的地址而不是其主机名。这意味着 LDAP 服务器地址将列在其他位置。因此，更改 LDAP 服务器或 N2L 服务器的地址会使工作量稍有增加。

恢复为 NIS

已使用 N2L 服务从 NIS 转换到 LDAP 的站点将会逐步使用 Solaris LDAP 名称服务客户机替换所有的 NIS 客户机。对 NIS 客户机的支持最终会成为多余。但是，N2L 服务提供了两种在必要时返回传统 NIS 的方法，如以下两个过程中所述。

传统的 NIS 会忽略 N2L 版本的 NIS 映射（如果存在这些映射）。恢复为 NIS 之后，如果在服务器上保留 N2L 版本的映射，则 N2L 映射不会产生问题。因此，如果以后决定重新启用 N2L，则保留 N2L 映射可能会非常有用。但是，这些映射确实会占用磁盘空间。

如何基于旧的源文件恢复为 NIS 映射

1. 成为超级用户或承担等效角色。

   角色包含授权和具有一定权限的命令。有关角色的更多信息，请参见System Administration Guide: Security Services中的“Using Role-Based Access Control (Tasks)”。

2. 停止 NIS 守护进程。

   # svcadm disable network/nis/server:default

3. 禁用 N2L。

   此命令可备份并移动 N2L 映射文件。

   # mv /var/yp/NISLDAPmapping backup_filename

4. 设置 NOPUSH 环境变量，以便 ypmake 不会推送新映射。

   # NOPUSH=1

5. 创建一组基于旧源的新 NIS 映射。

   # cd /var/yp # make

6. （可选）删除 N2L 版本的 NIS 映射。

   # rm /var/yp/domainname/LDAP_*

7. 启动 NIS 守护进程。

   # svcadm enable network/nis/server:default

如何基于当前的 DIT 内容恢复为 NIS 映射

执行此过程之前请先备份旧的 NIS 源文件。

1. 成为超级用户或承担等效角色。

   角色包含授权和具有一定权限的命令。有关角色的更多信息，请参见System Administration Guide: Security Services中的“使用基于角色的访问控制（任务）”。

2. 停止 NIS 守护进程。

   # svcadm disable network/nis/server:default

3. 从 DIT 更新映射。

   # ypserv -r

   等待 ypserv 退出。

4. 禁用 N2L。

   此命令可备份并移动 N2L 映射文件。

   # mv /var/yp/NISLDAPmapping backup_filename

5. 重新生成 NIS 源文件。

   # ypmap2src

6. 手动检查重新生成的 NIS 源文件是否具有正确的内容和结构。

7. 将重新生成的 NIS 源文件移到相应的目录中。

8. （可选）删除 N2L 版本的映射文件。

   # rm /var/yp/domainname/LDAP_*

9. 启动 NIS 守护进程。

   # svcadm enable network/nis/server:default