Solaris 10 版本的《系统管理指南:名称和目录服务(DNS、NIS 和 LDAP)》包括对 DNS BIND 和 pam_ldap 的更新。它还包含一些对其他内容的些许改动和补充以及对几个文档错误的更正。
DNS、NIS 和 LDAP 服务现在通过服务管理工具进行管理。可以使用 svcadm 命令对这些服务执行启用、禁用或重新启动等管理操作。 可以使用 svcs 命令查询该服务的状态。有关 SMF 的概述,请参阅System Administration Guide: Basic Administration中的“Managing Services (Overview)”。有关更多详细信息,另请参阅svcadm(1M)和 svcs(1) 手册页。
有关 NIS+ 和服务管理工具的信息,请参见System Administration Guide: Naming and Directory Services (NIS+)。
BIND 8.4.2 随Solaris 10 发行版提供。本版本的 Solaris 软件上的 BIND 为 IPv6 网络提供了完整的 DNS 客户机/服务器解决方案。在本指南中,未对 DNS BIND 过程进行任何更改。
BIND 9 在 Solaris 10 发行版中仍受支持,它安装在 /usr/sfw 目录中。迁移文档位于 /usr/sfw/doc/bind 目录中。部件 II, DNS 设置和管理中的信息和过程(在迁移文档中指出的除外)适用于 BIND 9。
Solaris 10 OS 发行版中对 pam_ldap 引进了几项改动,下面的内容介绍了这些改动。有关更多信息,请参见 pam_ldap(5) 手册页。
从 Solaris 10 软件发行版开始,以前受支持的 use_first_pass 和 try_first_pass 选项已被废弃。将不再需要这些选项,可以从 pam.conf 中安全地删除它们,也可以将其自动忽略。以后的版本中将不再包括这些选项。
必须通过以下方式提供口令提示:先将 pam_authtok_get 放入验证和口令模块栈中,再将 pam_ldap 入栈,并将 pam_passwd_auth 放入 passwd 服务的 auth 栈中。
此发行版使用以前推荐使用的、带 server_policy 选项的 pam_authtok_store 来代替以前支持的口令更新功能。
pam_ldap 帐户管理功能增强了 LDAP 名称服务的整体安全性。具体来说,帐户管理功能执行以下操作:
允许跟踪口令更新和过期
防止用户选择易破解的或以前使用过的口令
如果口令即将过期,可以向用户发出警告
如果多次登录失败,则禁止用户登录
防止除授权的系统管理员以外的用户停用已初始化的帐户
不可能为上面列出的更改提供全新的自动更新。因此,在升级到 Solaris 10 或更高发行版时将不会自动更新现有的 pam.conf 文件以反映对 pam_ldap 进行的更改。如果现有的 pam.conf 文件中包含 pam_ldap 配置,则系统在通过 CLEANUP 文件进行升级之后将通知您。您将需要检查 pam.conf 文件并根据需要修改它。
有关更多信息,请参见 pam_passwd_auth(5)、pam_authtok_get (5)、pam_authtok_store(5) 和 pam.conf(4) 手册页。
已在本发行版中更正了几个文档错误。