Présentation du module de service de noms nss_ad

Le client Oracle Solaris doit être joint à un domaine AD pour que toute fonctionnalité d'interopérabilité (y compris nss_ad) puisse être utilisée. L'utilitaire kclient permet de relier le client à AD. Durant l'opération de liaison, kclient configure Kerberos v5 sur le client. Par conséquent, nss_ad peut être utilisé pour résoudre les demandes de service de noms en spécifiant ad en tant que source dans le fichier nsswitch.conf pour les bases de données prises en charge. Le module nss_ad utilise les identifiants hôte pour rechercher les informations relatives au service de noms dans AD.

Le module nss_ad utilise les enregistrements du serveur DNS pour détecter automatiquement les serveurs d'annuaire AD tels que les contrôleurs et les serveurs de catalogue global. Par conséquent, DNS doit être correctement configuré sur le client Oracle Solaris. Le module nss_ad utilise également le protocole LDAP v3 pour accéder aux informations de nommage à partir des serveurs AD. Le schéma du serveur AD ne requiert aucune modification car nss_ad fonctionne avec le schéma AD natif.

Actuellement, le module nss_ad ne prend pas en charge les connexions des utilisateurs Windows sur le système Oracle Solaris. Tant que ces connexions sont prises en charge, ces utilisateurs doivent continuer à se connecter en utilisant les backends traditionnels tels que nis et ldap.

Les services idmap et svc:/system/name-service/cache doivent être activés pour utiliser nss_ad. Le module nss_ad tire parti du service idmap pour le mappage des identifiants de sécurité Windows (SID), des identifiants utilisateur UNIX et des identifiants de groupe (GID).

Assurez-vous que tous les noms de groupe et d'utilisateur AD sont désignés à l'aide de noms de domaine tels que user@domain ou group@domain. Par exemple, getpwnam(dana) échoue, mais getpwnam(dana@domain) réussit, à condition que dana soit un utilisateur Windows valide dans le domaine nommé domain.

Les règles supplémentaires suivantes s'appliquent également au module nss_ad  :

• A l'instar d'AD, nss_ad effectue un rapprochement sensible à la casse des noms de groupe et d'utilisateur.

• Employez le module nss_ad uniquement dans les environnements linguistiques UTF-8 ou les domaines où les utilisateurs et les groupes sont uniquement constitués de caractères ASCII.

• Les SID connus sont un ensemble de SID qui identifie des utilisateurs ou des groupes génériques dans l'environnement Windows. Ils ne sont pas spécifiques au domaine et leurs valeurs restent constantes dans tous les systèmes d'exploitation Windows. Les noms de SID bien connus sont qualifiés par la chaîne BUILTIN (Remote Desktop Users@BUILTIN, par exemple).

• Le module nss_ad ne prend pas en charge l'énumération. Par conséquent, les interfaces et les commandes getpwent() et getgrent () qui les utilisent (getent passwd et getent group, par exemple) ne peuvent pas récupérer les informations d'AD.

• Actuellement, le module nss_ad prend uniquement en charge les fichiers passwd et group. nss_ad ne prend pas en charge les autres bases de données de service de noms qui suivent l'entrée passwd, telles que audit_user et user_attr. Si le backend ad est traité (en fonction de la configuration), il renvoie NOT FOUND pour ces bases de données.

Configuration du module nss_ad

Le module nss_ad impose que le client Oracle Solaris utilise DNS dans le cadre de la résolution d'hôtes.

1. Configurez le service DNS.

   Pour obtenir des instructions, reportez-vous à la section Activation d'un client DNS.

   ---

   Remarque - Le nom de domaine AD doit être spécifié par l'intermédiaire de la directive domain ou en tant que premier élément de la liste spécifié par la directive search.

   Lorsque les deux directives sont spécifiées, la dernière prime. Cette action est requise pour que la fonction de détection automatique idmap puisse fonctionne correctement.

   ---

   Dans l'exemple suivant, les commandes dig vérifient que le serveur AD peut être résolu à l'aide de son nom et de son adresse IP.

   # dig -x 192.168.11.22 +short
   myserver.ad.example
   # dig myserver.ad.example +short
   192.168.11.22

2. Ajoutez dns à la liste des services de noms pour hosts.

   # svccfg -s svc:/system/name-service/switch
   svc:/system/name-service/switch> setprop config/host = astring: "files dns"
   svc:/system/name-service/switch> select system/name-service/switch:default
   svc:/system/name-service/switch:default> refresh
   svc:/system/name-service/switch:default> quit

   ---

   Remarque - Pour inclure des services de noms supplémentaires tels que nis ou ldap pour la résolution d'hôtes, ajoutez-les après dns.

   ---

3. Assurez-vous que le service DNS est activé et en ligne.

   Par exemple :

   # svcs svc:/network/dns/client
   STATE STIME FMRI
   online Oct_14 svc:/network/dns/client:default

4. Exécutez l'utilitaire kclient pour lier le système au domaine AD.

   Par exemple :

   # /usr/sbin/kclient -T ms_ad

5. Ajoutez ad à la liste des services de noms pour password et group.

   # svccfg -s svc:/system/name-service/switch
   svc:/system/name-service/switch> setprop config/password = astring: "files nis ad"
   svc:/system/name-service/switch> setprop config/group = astring: "files nis ad"
   svc:/system/name-service/switch> select system/name-service/switch:default
   svc:/system/name-service/switch:default> refresh
   svc:/system/name-service/switch:default> quit

6. Activez le service idmap.

   # svcadm enable idmap

7. Mettez à jour le référentiel SMF pour le service du commutateur du service de noms

   # svcadm refresh name-service/switch

   ---

   Remarque - Le module nscd redémarre automatiquement si nécessaire, dès que le commutateur du service de noms est actualisé.

   ---

8. Vérifiez que vous pouvez accéder aux informations user et group à partir d'AD.

   Par exemple :

   # getent passwd 'test_user@example'
   test_user@example:x:2154266625:2154266626:test_user::
   # getent passwd 2154266625
   test_user@example:x:2154266625:2154266626:test_user::