NIS 到 LDAP 转换服务概述

NIS 到 LDAP 转换服务（N2L 服务）使用 NIS 到 LDAP 转换守护进程来替换 NIS 主服务器上现有的 NIS 守护进程。N2L 服务还在该服务器上创建一个 NIS 到 LDAP 转换的映射文件。该映射文件指定 NIS 映射项和 LDAP 中目录信息树 (Directory Information Tree, DIT) 等效项之间的映射。已经进行这种转换的 NIS 主服务器称为 N2L 服务器。从属服务器上没有 NISLDAPmapping 文件，因此它们继续以通常的方式工作。从属服务器定期从 N2L 服务器更新其数据，就好像 N2L 服务器是常规的 NIS 主服务器一样。

N2L 服务的行为由 ypserv 和 NISLDAPmapping 配置文件控制。借助脚本 inityp2l 可以对这些配置文件进行初始设置。一旦建立了 N2L 服务器，您便可以通过直接编辑这些配置文件来维护 N2L。

N2L 服务支持以下功能：

将 NIS 映射导入到 LDAP 目录信息树 (Directory Information Tree, DIT)
客户机以 NIS 的速度和可扩展性访问 DIT 信息

在任何命名系统中，只有一个信息源可以是权威来源。在传统的 NIS 中，NIS 源是权威信息。在使用 N2L 服务时，权威数据来源是 LDAP 目录。如第 9 章中所述，该目录使用目录管理工具进行管理。

NIS 源仅保留用于紧急备份或卸载。在使用 N2L 服务之后，您可以逐步淘汰 NIS 客户机。最终，所有的 NIS 客户机都会被 Solaris LDAP 命名服务客户机所取代。

以下各小节中提供了其他概述信息：

NIS 到 LDAP 转换的目标用户
不应使用 NIS 到 LDAP 转换服务的情况
NIS 到 LDAP 转换服务对用户造成的影响
NIS 到 LDAP 转换术语
NIS 到 LDAP 转换的命令、文件和映射
支持的标准映射

NIS 到 LDAP 转换工具和服务管理工具

NIS 和 LDAP 服务由服务管理工具管理。使用 svcadm 命令可以对这些服务执行启用、禁用或重新启动等管理操作。使用 svcs 命令可以查询服务的状态。有关使用 SMF 对 LDAP 和 NIS 进行管理的更多信息，请参见LDAP 和服务管理工具和NIS 和服务管理工具。有关 SMF 的概述，请参见《系统管理指南：基本管理》中的第 18 章 "管理服务（概述）"。有关更多详细信息，另请参阅 svcadm(1M) 和 svcs(1) 手册页。

NIS 到 LDAP 转换的目标用户

您需要熟悉 NIS 和 LDAP 概念、术语以及 ID 才能执行本章中的过程。有关 NIS 和 LDAP 命名服务的更多信息，请参见本书中的以下两章：

第 4 章（提供 NIS 的概述）
第 8 章（提供 LDAP 的概述）

不应使用 NIS 到 LDAP 转换服务的情况

以下情况不要使用 N2L 转换服务：

不计划在 NIS 和 LDAP 命名服务客户机之间共享数据的情况下

在这种情况下，N2L 服务器将充当极其复杂的 NIS 主服务器。
NIS 映射由修改 NIS 源文件的工具（而非 yppasswd）进行管理的情况下

从 DIT 映射重新生成 NIS 源是一项不精确的任务，需要手动检查生成的映射。一旦使用了 N2L 服务，所提供的 NIS 源重新生成功能将仅用于卸载 NIS 或恢复为 NIS。
没有 NIS 客户机的情况下

在这种情况下，可以使用 Solaris LDAP 命名服务客户机及其对应工具。

NIS 到 LDAP 转换服务对用户造成的影响

仅安装与 N2L 服务相关的文件不会更改 NIS 服务器的缺省行为。在安装时，管理员会看到服务器上的 NIS 手册页会有一些变化并且其中会增加 N2L 帮助脚本 inityp2l 和 ypmap2src。但是，只要未在 NIS 服务器上运行 inityp2l 或未手动创建 N2L 配置文件，NIS 组件便会继续在传统的 NIS 模式下启动，并像往常那样工作。

运行 inityp2l 之后，用户会看到服务器和客户机的行为会发生一些变化。以下列表列出了 NIS 和 LDAP 用户的类型，并说明了部署 N2L 服务之后每种类型的用户应当注意到的情况。

用户类型	N2L 服务的影响
NIS 主服务器管理员	NIS 主服务器转换为 N2L 服务器。`NISLDAPmapping` 和 `ypserv` 配置文件将会安装在 N2L 服务器上。建立 N2L 服务器之后，可以使用 LDAP 命令来管理命名信息。
NIS 从属服务器管理员	N2L 转换之后，NIS 从属服务器继续以通常的方式运行 NIS。当 `ypmake` 调用 `yppush` 时，N2L 服务器会将更新的 NIS 映射推送到从属服务器。请参见 `ypmake`(1M) 手册页。
NIS 客户机	NIS 读取操作与传统的 NIS 没有区别。当 Solaris LDAP 命名服务客户机更改 DIT 中的信息时，这些信息会复制到 NIS 映射中。复制操作是在可配置的超时时间过期之后完成的。这类行为与连接到 NIS 从属服务器的常规 NIS 客户机的行为相似。如果 N2L 服务器无法绑定到 LDAP 服务器进行读取，它将从自身的缓存副本中返回信息。或者，N2L 服务器还可能会返回内部服务器错误。您可以将 N2L 服务器配置为以上述任一方式响应。有关更多详细信息，请参见 `ypserv`(1M) 手册页。
所有用户	当 NIS 客户机发出更改口令的请求时，所做的更改将立即显示在 N2L 主服务器上并对本地 LDAP 客户机可见。如果您试图在 NIS 客户机上更改口令，但 LDAP 服务器不可用，更改将被拒绝，并且 N2L 服务器会返回内部服务器错误。此行为可防止将不正确的信息写入高速缓存中。

NIS 到 LDAP 转换术语

以下是与 N2L 服务的实现相关的术语。

表 15-1 与 N2L 转换相关的术语

术语	说明
N2L configuration file（N2L 配置文件）	`/var/yp/NISLDAPmapping` 和 `/var/yp/ypserv` 文件，`ypserv` 守护进程使用这些文件在 N2L 模式下启动主服务器。有关详细消息，请参见 `NISLDAPmapping`(4) 和 `ypserv`(4) 手册页。
map（映射）	在 N2L 服务的上下文中，术语“映射”的用法有两种：指 NIS 用于存储特定类型信息的数据库文件描述从 LDAP DIT 映射 NIS 信息或将 NIS 信息映射到 LDAP DIT 的过程
mapping（映射过程）	NIS 项与 LDAP DIT 项之间的相互转换过程。
mapping file（映射文件）	用来指定如何在 NIS 文件和 LDAP 文件之间映射各项的 `NISLDAPmapping` 文件。
standard map（标准映射）	无需手动修改映射文件即可由 N2L 服务支持的常用 NIS 映射。支持的标准映射中提供了支持的标准映射的列表。
nonstandard map（非标准映射）	经过定制的标准 NIS 映射，这些非标准映射使用 NIS 和 LDAP DIT 之间的映射，而不是 RFC 2307 或其后续版本中标识的映射。
custom map（定制映射）	任何不是标准映射并在从 NIS 转换至 LDAP 时需要手动修改映射文件的映射。
LDAP client（LDAP 客户机）	任何对 LDAP 服务器执行读写操作的传统 LDAP 客户机。传统的 LDAP 客户机是可以对任何 LDAP 服务器执行读写操作的系统。Solaris LDAP 命名服务客户机可处理部分定制的命名信息。
LDAP naming services client（LDAP 命名服务客户机）	用来处理部分定制命名信息的 Solaris LDAP 客户机。
N2L server（N2L 服务器）	已使用 N2L 服务重新配置为 N2L 服务器的 NIS 主服务器。重新配置过程包括替换 NIS 守护进程和添加新配置文件。

NIS 到 LDAP 转换的命令、文件和映射

与 N2L 转换相关联的共有两个实用程序、两个配置文件和一个映射。

表 15-2 N2L 命令、文件和映射的说明

命令/文件/映射	说明
`/usr/lib/netsvc/yp/inityp2l`	实用程序，可帮助创建 `NISLDAPmapping` 和 `ypserv` 配置文件。此实用程序不是用来管理这些文件的通用工具。高级用户可通过使用文本编辑器检查和定制 `inityp2l` 输出来维护 N2L 配置文件或创建定制映射。请参见 `inityp2l`(1M) 手册页。
`/usr/lib/netsvc/yp/ypmap2src`	实用程序，用于将标准 NIS 映射转换为近似等效的 NIS 源文件。`ypmap2src` 主要用于将 N2L 转换服务器转换为传统的 NIS。请参见 `ypmap2src`(1M) 手册页。
`/var/yp/NISLDAPmapping`	配置文件，用于指定 NIS 映射项和 LDAP 中目录信息树 (Directory Information Tree, DIT) 等效项之间的映射。请参见 `NISLDAPmapping`(4) 手册页。
`/var/yp/ypserv`	此文件用于为 NIS 到 LDAP 转换守护进程指定配置信息。请参见 `ypserv`(4) 手册页。
`ageing.byname`	映射，`yppasswdd` 在实现 NIS 到 LDAP 转换时使用此映射在 DIT 中读写口令生命期信息。

支持的标准映射

缺省情况下，N2L 服务支持下表所列的映射与 RFC 2307 或其后续版本中 LDAP 各项之间的映射。这些标准映射不需要手动修改映射文件。系统上任何未在下表中列出的映射都被视为定制映射，且需要手动修改。

N2L 服务还支持对 auto.* 映射进行自动映射。但是，由于大多数 auto.* 文件名和内容都特定于每种网络配置，因此该列表并未指定这些文件。但作为标准映射支持的 auto.home 和 auto.master 映射除外。

audit_user
auth_attr
auto.home
auto.master
bootparams
ethers.byaddr ethers.byname
exec_attr
group.bygid group.byname group.adjunct.byname
hosts.byaddr hosts.byname
ipnodes.byaddr ipnodes.byname
mail.byaddr mail.aliases
netgroup netgroup.byprojid netgroup.byuser netgroup.byhost
netid.byname
netmasks.byaddr
networks.byaddr networks.byname
passwd.byname passwd.byuid passwd.adjunct.byname
printers.conf.byname
prof_attr
project.byname project.byprojectid
protocols.byname protocols.bynumber
publickey.byname
rpc.bynumber
services.byname services.byservicename
timezone.byname
user_attr

在 NIS 到 LDAP 转换过程中，yppasswdd 守护进程使用 N2L 特定的映射 ageing.byname 在 DIT 中读写口令生命期信息。如果没有使用口令生命期，则会忽略 ageing.byname 映射。

跳过导航链接
退出打印视图
	系统管理指南：命名和目录服务（DNS、NIS 和 LDAP） Oracle Solaris 10 8/11 Information Library (简体中文)