LDAP 客户机配置文件
为了简化 Solaris 客户机设置,并避免为每台客户机重新输入同样的信息,可以在目录服务器上创建一个客户机配置文件。这样,通过一个配置文件便可以为所有配置为使用该配置文件的客户机定义配置。之后配置文件属性的任何更改都会按刷新间隔所定义的频率传播到客户机。
这些客户机配置文件应存储在 LDAP 服务器上的已知位置中。给定域的根 DN 必须具有一个对象类 nisDomainObject 和一个包含客户机所在域的 nisDomain 属性。所有的配置文件都位于相对于此容器的 ou=profile 容器中。这些配置文件应可以匿名读取。
客户机的配置文件属性
下表列出了 Solaris LDAP 客户机的配置文件属性,这些属性可以在运行 idsconfig 时自动设置。有关如何手动设置客户机配置文件的信息,请参见手动初始化客户机和 idsconfig(1M) 手册页。
表 9-2 客户机的配置文件属性
|
|
cn |
配置文件的名称。该属性没有缺省值。必须指定该属性值。 |
preferredServerList |
首选服务器的主机地址是以空格分隔的服务器地址的列表。(请勿使用主机名。)将先尝试与该列表中的服务器建立连接,然后再尝试与 defaultServerList 中的服务器建立连接,直到成功建立连接。该属性没有缺省值。必须至少在 preferredServerList 或
defaultServerList 中指定一台服务器。 |
defaultServerList |
缺省服务器的主机地址是以空格分隔的服务器地址的列表。(请勿使用主机名。)在尝试与 preferredServerlist 中的服务器建立连接之后,会先尝试与客户机所在子网中的缺省服务器建立连接,然后再尝试与其余的缺省服务器建立连接,直到成功建立连接。必须至少在 preferredServerList 或 defaultServerList 中指定一台服务器。只有在尝试与首选服务器列表中的服务器建立连接之后,才会尝试与该列表中的服务器建立连接。该属性没有缺省值。 |
defaultSearchBase |
用于查找已知容器的相对 DN。该属性没有缺省值。不过,对于给定服务,可以使用 serviceSearchDescriptor 属性来覆盖该属性。 |
defaultSearchScope |
定义客户机要搜索的数据库范围。可以使用 serviceSearchDescriptor
属性覆盖该属性。可能的值为 one 或 sub。缺省值为 one 级别搜索。 |
authenticationMethod |
标识了客户机使用的验证方法。缺省值为 none(无)。有关更多信息,请参见 选择验证方法。 |
credentialLevel |
标识了客户机进行验证时应使用的凭证的类型。选项有 anonymous、proxy 或者 self(也称为“每用户”)。缺省值为 anonymous。 |
serviceSearchDescriptor |
定义客户机应如何以及应在何处搜索命名数据库,例如,客户机应在
DIT 中的一个点还是多个点执行查找。缺省情况下,不定义任何 SSD。 |
serviceAuthenticationMethod |
客户机针对指定服务使用的验证方法。缺省情况下,不定义任何服务验证方法。如果某个服务未定义 serviceAuthenticationMethod,则使用 authenticationMethod 的缺省值。 |
attributeMap |
客户机使用的属性映射。缺省情况下,不定义任何 attributeMap。 |
objectclassMap |
客户机使用的对象类映射。缺省情况下,不定义任何 objectclassMap。 |
searchTimeLimit |
客户机上的搜索操作在超时之前可以执行的最长时间(以秒为单位)。这不会影响在 LDAP 服务器上完成搜索所需的时间。缺省值为
30 秒。 |
bindTimeLimit |
客户机与服务器的绑定在超时之前可以持续的最长时间(以秒为单位)。缺省值为 30 秒。 |
followReferrals |
指定客户机是否应遵循 LDAP 引用。可能的值为 TRUE 或 FALSE。缺省值为 TRUE。 |
profileTTL |
|
|
本地客户机属性
下表列出了可以使用 ldapclient 在本地设置的客户机属性。有关更多信息,请参见 ldapclient(1M) 手册页。
自 Solaris 10 10/09 发行版开始,提供了 enableShadowUpdate 开关。有关更多信息,请参见 enableShadowUpdate 开关。
表 9-3 本地客户机属性
|
|
adminDN |
指定管理凭证的管理员条目标识名。如果在客户机系统上 enableShadowUpdate 开关的值为 true,且 credentialLevel
的值不是 self,则必须指定 adminDN。 |
adminPassword |
指定管理凭证的管理员条目口令。如果在客户机系统上 enableShadowUpdate 开关的值为 true,且 credentialLevel 的值不是 self,则必须指定 adminPassword。 |
domainName |
指定客户机的域名(该域将成为此客户机系统的缺省域)。该属性没有缺省值。必须指定该属性值。 |
proxyDN |
代理的标识名。如果为客户机系统配置的 credentialLevel
为 proxy,则必须指定 proxyDN。 |
proxyPassword |
代理的口令。如果为客户机系统配置的 credentialLevel 为 "proxy",则必须定义 proxyPassword。 |
certificatePath |
本地文件系统中包含证书数据库的目录。如果使用 TLS 为客户机配置了 authenticationMethod 或
serviceAuthenticationMethod,则将使用此属性。缺省值为 /var/ldap。 |
|
注 - 如果 SSD 中的 BaseDN 包含一个结尾逗号,则会将其视为 defaultSearchBase 的相对值。在执行搜索之前,会将 defaultSearchBase 的值附加在 BaseDN 后面。