JavaScript is required to for searching.
跳过导航链接
退出打印视图
系统管理指南:命名和目录服务(DNS、NIS 和 LDAP)     Oracle Solaris 10 8/11 Information Library (简体中文)
Oracle 技术网
文档库
PDF
打印视图
反馈
search filter icon
search icon

文档信息

前言

第 1 部分关于命名和目录服务

1.  命名和目录服务(概述)

2.  名称服务转换器(概述)

第 2 部分DNS 设置和管理

3.  DNS 设置和管理(参考)

第 3 部分NIS 设置和管理

4.  网络信息服务 (Network Information Service, NIS)(概述)

5.  设置和配置 NIS 服务

配置 NIS 任务列表

配置 NIS 之前的准备工作

NIS 和服务管理工具

规划 NIS 域

标识 NIS 服务器和客户机

准备主服务器

源文件目录

Passwd 文件和名称空间安全

为向 NIS 映射的转换准备源文件

如何为转换准备源文件

准备 Makefile

使用 ypinit 设置主服务器

如何使用 ypinit 设置主服务器

支持多个 NIS 域的主服务器

在主服务器上启动或停止 NIS 服务

自动启动 NIS 服务

从命令行启动和停止 NIS

设置 NIS 从属服务器

准备从属服务器

设置从属服务器

如何设置从属服务器

如何在从属服务器上启动 NIS

设置 NIS 客户机

6.  管理 NIS(任务)

7.  NIS 疑难解答

第 4 部分LDAP 命名服务的设置和管理

8.  LDAP 命名服务介绍(概述/参考)

9.  LDAP 基本组件和概念(概述)

10.  LDAP 命名服务的规划要求(任务)

11.  为使用 LDAP 客户机设置 Sun Java System Directory Server(任务)

12.  设置 LDAP 客户机(任务)

13.  LDAP 疑难解答(参考)

14.  LDAP 一般参考(参考)

15.  从 NIS 转换为 LDAP(概述/任务)

16.  从 NIS+ 转换为 LDAP

A.  Solaris 10 软件中对 DNS、NIS 和 LDAP 的更新

服务管理工具的更改

DNS BIND

pam_ldap 更改

文档错误

词汇表

索引

准备主服务器

以下各节介绍如何为主服务器准备源文件和 passwd 文件。

源文件目录

源文件应位于主服务器上的 /etc 目录或其他某个目录中。将源文件存储在 /etc 中并不合适,因为这样映射中的内容将与主服务器上的本地文件中的内容相同。这是 passwdshadow 文件的一个特殊问题,因为所有用户都可以访问主服务器映射,因而超级用户口令将通过 passwd 映射传递给所有 NIS 客户机。有关其他信息,请参见Passwd 文件和名称空间安全

但是,如果将源文件放在其他某个目录中,您必须修改 /var/yp 中的 Makefile,将 DIR=/etc 行更改为 DIR=/your-choice,其中,your-choice 是将用来存储源文件的目录的名称。这样便可将服务器上的本地文件视为客户机上的本地文件进行处理。(最好先保存原始 Makefile 的副本。)

此外,如果要从缺省目录外的其他目录中获取 audit_userauth_attrexec_attrprof_attr,必须将 RBACDIR =/etc/security 修改为 RBACDIR=/your-choice

Passwd 文件和名称空间安全

passwd 映射是一种特殊情况。除了早期的 Solaris 1 的 passwd 文件格式外,此 NIS 实现还接受 /etc/passwd/etc/shadow 文件格式作为生成 NIS 口令映射的输入。

出于安全原因,用于生成 NIS 口令映射的文件不应包含 root 项,以防止未经授权的超级用户访问。因此,不应使用主服务器 /etc 目录中的文件生成口令映射。对于用于生成口令映射的口令文件,应删除其中的 root 项,并将它们放置在可免遭未经授权的访问的目录中。

例如,只要主服务器口令输入文件本身不是指向其他文件的链接,并且其位置在 Makefile 中已指定,就应该将这些文件存储在诸如 /var/yp 等目录或您选择的任何目录中。正确的目录选项会根据 Makefile 中指定的配置进行自动设置。

注意

注意 - 确保 PWDDIR 指定的目录中的 passwd 文件不包含 root 项。

如果源文件所在的目录不是 /etc,则必须更改 Makefile 中的 PWDIR 口令宏,以引用 passwdshadow 文件所在的目录,具体操作是将行 PWDIR=/etc 更改为 PWDIR/your-choice ,其中 your-choice 是要用来存储 passwd 映射源文件的目录的名称。

为向 NIS 映射的转换准备源文件

为向 NIS 映射的转换准备源文件。

如何为转换准备源文件

  1. 成为超级用户或承担等效角色。

    角色包含授权和具有一定特权的命令。有关角色的更多信息,请参见《系统管理指南:安全性服务》中的第 9  章 "使用基于角色的访问控制(任务)"

  2. 检查主服务器上的源文件,确保它们可以反映系统的最新情况。

    检查以下文件:

    • auto.homeauto_home

    • auto.masterauto_master

    • audit_user

    • auth_attr

    • bootparams

    • ethers

    • exec_attr

    • group

    • hosts

    • ipnodes

    • netgroup

    • netmasks

    • networks

    • passwd

    • protocols

    • rpc

    • service

    • shadow

    • user_attr

  3. 将上述除 passwd 外的所有源文件复制到选定的 DIR 目录中。
  4. passwd 文件复制到选定的 PWDIR 目录中。
  5. audit_userauth_attrexec_attr 以及 prof_attr 复制到选定的 RBACDIR 目录中。
  6. 检查 /etc/mail/aliases 文件。

    与其他源文件不同,/etc/mail/aliases 文件不能移至其他目录。此文件必须位于 /etc/mail 目录中。有关更多信息,请参阅 aliases(4)

    注 - 通过将 /var/yp/Makefile 中的 ALIASES = /etc/mail/aliases 项指向其他位置,可以添加特定于 nis 的邮件别名文件。然后当您运行 make 时,ALIASES 项将创建一个 mail.aliases 映射。当 /etc/nsswitch.conf 文件正确地将除 files 之外的 nis 作为目标时,sendmail 服务除了使用 /etc/mail/aliases 文件,还使用此映射。请参阅修改和使用 Makefile

  7. 清除源文件中的所有注释以及其他多余的行和信息。

    这些操作可以通过 sedawk 脚本或文本编辑器来完成。Makefile 可自动执行一些文件清理工作,但最好在运行之前手动检查并清理这些文件。

  8. 确保所有源文件中的数据都具有正确的格式。

    对于该特定文件,源文件数据的格式必须是正确的。请检查各文件对应的手册页,以确保每个文件都具有正确格式。

准备 Makefile

检查源文件并将其复制到源文件目录之后,您现在需要将这些源文件转换为 NIS 服务使用的 ndbm 格式的映射。在主服务器上调用 ypinit 时,它会自动执行此操作,如使用 ypinit 设置主服务器中所述。

ypinit 脚本将调用 make 程序,该程序将使用 /var/yp 目录中的 Makefile/var/yp 目录中提供了缺省的 Makefile,该文件包含将源文件转换为期望的 ndbm 格式映射所需要的命令。

您可以按原样使用缺省的 Makefile,如果需要,也可以对其进行修改。(如果确实要修改缺省的 Makefile,请确保先复制并存储原始的缺省 Makefile,以便将来需要时使用。)您可能需要对 Makefile 进行以下一项或多项修改:

Makefile 的功能是为列在 all 下的每个数据库创建相应的 NIS 映射。数据在通过 makedbm 传递之后,收集在 mapname.dirmapname.pag 两个文件中。这两个文件都位于主服务器上的 /var/yp/domainname 目录中。

Makefile 根据需要从 /PWDIR/passwd/PWDIR/shadow/PWDIR/security/passwd.adjunct 文件生成 passwd 映射。

使用 ypinit 设置主服务器

ypinit 脚本用于设置主服务器和从属服务器以及客户机,以使用 NIS。它还会首先运行 make,在主服务器上创建映射。

要使用 ypinit 在主服务器上生成一组新的 NIS 映射,请执行以下操作。

如何使用 ypinit 设置主服务器

  1. 在主服务器上,成为超级用户或承担等效角色。

    角色包含授权和具有一定特权的命令。有关角色的更多信息,请参见《系统管理指南:安全性服务》中的第 9  章 "使用基于角色的访问控制(任务)"

  2. nsswitch.files 文件的内容复制到 nsswitch.conf 文件中。
    # cp /etc/nsswitch.files /etc/nsswitch.conf
  3. 编辑 /etc/hosts/etc/inet/ipnodes 文件,添加每台 NIS 服务器的名称和 IP 地址。
  4. 在主服务器上生成新的映射。
    # /usr/sbin/ypinit -m
  5. ypinit 提示输入要成为 NIS 从属服务器的其他计算机的列表时,键入正在使用的服务器的名称以及 NIS 从属服务器的名称。
  6. ypinit 询问是希望在出现第一个非致命错误时终止过程,还是即使出现非致命错误也仍然继续时,请键入 y

    如果选择 yypinit 将在遇到第一个问题时退出,然后您可以修复问题并重新启动 ypinit。建议在初次运行 ypinit 时这样做。如果希望继续操作,可尝试手动修复出现的所有问题,然后重新启动 ypinit

    注 - 当某些映射文件不存在时,会出现非致命错误。此错误不会影响 NIS 的功能。如果未自动创建这些映射,可能需要手动添加。有关所有缺省 NIS 映射的说明,请参阅缺省 NIS 映射

  7. ypinit 将询问是否可以销毁 /var/yp/domainname 目录中现有的文件。

    仅当之前已安装 NIS 时才会显示此消息。

  8. ypinit 构造服务器列表之后,将调用 make

    此程序将使用 /var/yp 中的 Makefile(缺省或修改过的文件)中包含的说明。make 命令将清除指定的文件中剩余的所有注释行。它还会对这些文件运行 makedbm,创建适当映射并为每个映射建立主服务器的名称。

    如果 Makefile 推送的映射所对应的域不是主服务器上的 domainname 命令返回的域,则可以使用正确的 DOM 变量标识启动 ypinit shell 脚本中的 make 来确保这些映射被推送到正确的域,如下所示:

    # make DOM=domainname password

    此命令会将 password 映射推送到目标域,而不是主服务器所属的域。

  9. 要启用 NIS 作为命名服务,请键入以下命令。
    # cp /etc/nsswitch.nis /etc/nsswitch.conf

    此命令会将当前的转换器文件替换为缺省的面向 NIS 的转换器文件。您可以根据需要编辑此文件。

支持多个 NIS 域的主服务器

通常,一台 NIS 主服务器只支持一个 NIS 域。但是,如果要使用一台主服务器来支持多个域,则在设置服务器为更多域提供服务时,必须对使用 ypinit 设置主服务器中所述的步骤稍作修改。

在服务器上运行 domainname 命令。该命令返回的域名是服务器的缺省域。使用使用 ypinit 设置主服务器中所述的步骤可以顺利为该域设置服务。但是要为其他任何域配置服务,必须按如下所示修改 ypinit shell 脚本。

# make DOM=correct-domain passwd

correct-domain 是要为其设置服务的其他域的名称,passwdmake 目标。此命令会将 passwd 映射推送到目标域,而不是主服务器所属的域。

版权所有 © 2002, 2010, Oracle 和/或其附属公司。 保留所有权利。 法律声明
上一页 下一页