Ignorer les liens de navigation | |
Quitter l'aperu | |
Utilisation des services de noms et d'annuaire dans Oracle Solaris 11.1 Oracle Solaris 11.1 Information Library (Français) |
Partie I A propos des services d'annuaire et de noms
1. Services d'annuaire et de noms (présentation)
2. Commutateur du service de noms (présentation)
4. Configuration des clients Active Directory Oracle Solaris (tâches)
Partie II Configuration et administration NIS
5. Service d'information réseau (présentation)
6. Définition et configuration du service NIS (tâches)
7. Administration de NIS (tâches)
Partie III Service de noms LDAP
9. Introduction aux services de noms LDAP (présentation)
10. Exigences de planification pour les services de noms LDAP (tâches)
11. Configuration de Oracle Directory Server Enterprise Edition avec les clients LDAP (tâches)
12. Configuration des clients LDAP (tâches)
13. Dépannage LDAP (référence)
14. Service de noms LDAP (référence)
15. Transition de NIS à LDAP (tâches)
Présentation du service de transition de NIS à LDAP
Avis du public sur la transition NIS à LDAP
Situations dans lesquelles ne pas utiliser le service de transition de NIS à LDAP
Effets du service de transition de NIS à LDAP concernant les utilisateurs
Terminologie afférente à la transition de NIS à LDAP
Commandes, fichiers et cartes de transition de NIS à LDAP
Mappages standard pris en charge
Transition de NIS à LDAP (liste des tâches)
Prérequis pour la transition de NIS à LDAP
Configuration du service de transition de NIS à LDAP
Configuration du service N2L avec les mappages standard
Configuration du service N2L à l'aide de mappages personnalisés ou non standard
Création des index d'affichage de listes virtuelles avec Oracle Directory Server Enterprise Edition
VLV pour cartes non standard et cartes personnalisées
Prévention du délai d'expiration du serveur avec Oracle Directory Server Enterprise Edition
Prévention du dépassement de capacité du tampon avec Oracle Directory Server Enterprise Edition
Restrictions de la transition de NIS à LDAP
Dépannage de la transition de NIS à LDAP
Messages d'erreur LDAP courants
Problèmes liés à la transition de NIS à LDAP
Débogage du fichier NISLDAPmapping
Problème de délai d'attente du serveur N2L
Problème du fichier de verrouillage N2L
Rétablissement des cartes basées sur les anciens fichiers source
Vous pouvez configurer le service N2L à l'aide de mappages standard ou personnalisés, comme décrit dans les deux procédures suivantes.
Au cours de la conversion de NIS à LDAP, vous devez exécuter la commande inityp2l. Cette commande exécute un script interactif pour lequel vous devez fournir des données de configuration. La liste suivante indique le type d'informations à fournir. Reportez-vous à la page de manuel ypserv(1M) pour obtenir des explications sur ces attributs.
Nom du fichier de configuration en cours de création (valeur par défaut = /etc/default/ypserv)
DN (nom distinctif) qui stocke les données de configuration dans LDAP (valeur par défaut = ypserv)
Liste des serveurs préférés pour le mappage des données vers/à partir de LDAP
Méthode d'authentification pour le mappage des données vers/à partir de LDAP
Méthode TLS (Transport Layer Security) pour le mappage des données vers/à partir de LDAP
DN de liaison pour l'utilisateur proxy pour la lecture/l'écriture des données vers/à partir de LDAP
Mot de passe de l'utilisateur proxy pour la lecture/l'écriture des données vers/à partir de LDAP
Valeur de temporisation (en secondes) pour la liaison LDAP
Valeur de temporisation (en secondes) pour la recherche LDAP
Valeur de temporisation (en secondes) pour la modification LDAP
Valeur de temporisation (en secondes) pour l'ajout LDAP
Valeur de temporisation (en secondes) pour la suppression LDAP
Limite de temps (en secondes) pour la recherche sur le serveur LDAP
Limite de taille (en octets) pour la recherche sur le serveur LDAP
Si N2L doit suivre les références LDAP
Action d'erreur d'extraction LDAP, nombre de tentatives de récupération et délai d'attente (en secondes) entre chaque tentative
Action d'erreur de stockage, nombre de tentatives et délai d'attente (en secondes) entre chaque tentative
Nom du fichier de mappage
Si vous voulez générer des informations de mappage pour la carte auto_direct
Le script place les informations pertinentes concernant les cartes personnalisées aux emplacements appropriés dans le fichier de mappage.
Contexte d'affectation de noms
S'il est nécessaire d'activer les modifications de mot de passe
Si vous voulez modifier les valeurs TTL par défaut pour toutes les cartes
Remarque - La plupart des serveurs LDAP (y compris Oracle Directory Server Enterprise Edition) ne prennent pas en charge l'authentification sasl/cram-md5.
Suivez cette procédure si vous effectuez la transition des cartes répertoriées dans Mappages standard pris en charge. Si vous utilisez des cartes personnalisées ou non standard, reportez-vous à la section Configuration du service N2L à l'aide de mappages personnalisés ou non standard.
Une fois le serveur LDAP configuré, exécutez le script inityp2l et fournissez les données de configuration lorsque vous y êtes invité. inityp2l définit les fichiers de configuration et de mappage pour les cartes standard et auto.*.
Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
# inityp2l
Exécutez le script inityp2l sur le serveur NIS maître et suivez les invites à l'écran. Pour obtenir la liste des informations que vous devez fournir, reportez-vous à la section Configuration du service de transition de NIS à LDAP
Pour plus d'informations, reportez-vous à la page de manuel inityp2l(1M).
L'arborescence DIT est complètement initialisé lorsqu'elle contient déjà les informations nécessaires au remplissage de toutes les cartes répertoriées dans le fichier NISLDAPmapping.
Suivez ces étapes uniquement si l'arborescence DIT n'a pas été entièrement initialisée.
# cd /var/yp # make
Pour plus d'informations, reportez-vous à la page de manuel ypmake(1M).
# svcadm disable network/nis/server:default
# ypserv -IR
Patientez pendant la fermeture de ypserv.
Astuce - Les fichiers dbm NIS d'origine ne sont pas écrasés. Vous pouvez les restaurer au besoin.
# svcadm enable network/dns/client:default # svcadm enable network/nis/server:default
Cette étape conclut la configuration du service N2L à l'aide des cartes standard. Il n'est pas nécessaire d'effectuer l'étape 6.
Suivez ces étapes uniquement si l'arborescence DIT est complètement initialisée et que vous avez ignoré l'étape 5.
# svcadm disable network/nis/server:default
# ypserv -r
Patientez pendant la fermeture de ypserv.
Astuce - Les fichiers dbm NIS d'origine ne sont pas écrasés. Vous pouvez les restaurer au besoin.
# svcadm enable network/dns/client:default # svcadm enable network/nis/server:default
Suivez cette procédure si les circonstances suivantes sont vérifiées :
Vos cartes ne sont pas répertoriées dans Mappages standard pris en charge.
Vous souhaitez associer des cartes NIS standard à des mappages LDAP non-RFC 2307.
Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
Les rôles contiennent des autorisations et des commandes privilégiées. Pour plus d'informations sur les rôles, reportez-vous au Chapitre 9, Utilisation du contrôle d’accès basé sur les rôles (tâches) du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
# inityp2l
Exécutez le script inityp2l sur le serveur NIS maître et suivez les invites à l'écran. Pour obtenir la liste des informations que vous devez fournir, reportez-vous à la section Configuration du service de transition de NIS à LDAP
Pour plus d'informations, reportez-vous à la page de manuel inityp2l(1M).
Pour obtenir des exemples de modification du fichier de mappage, reportez-vous à la section Exemples de cartes personnalisées.
L'arborescence DIT est complètement initialisé lorsqu'elle contient déjà les informations nécessaires au remplissage de toutes les cartes répertoriées dans le fichier NISLDAPmapping.
Si ce n'est pas le cas, exécutez les étapes 6, 8 et 9.
Si c'est le cas, ignorez l'étape 6 et effectuez l'Étape 7, l'étape 8 et l'étape 9.
# cd /var/yp # make
Pour plus d'informations, reportez-vous à la page de manuel ypmake(1M).
# svcadm disable network/nis/server:default
# ypserv -Ir
Patientez pendant la fermeture de ypserv.
Astuce - Les fichiers dbm NIS d'origine ne sont pas écrasés. Vous pouvez les restaurer au besoin.
# svcadm enable network/dns/client:default # svcadm enable network/nis/server:default
Effectuez cette étape uniquement si l'arborescence DIT est entièrement initialisée.
# svcadm disable network/nis/server:default
# ypserv -r
Patientez pendant la fermeture de ypserv.
Astuce - Les fichiers dbm NIS d'origine ne sont pas écrasés. Vous pouvez les restaurer au besoin.
# svcadm enable network/dns/client:default # svcadm enable network/nis/server:default
Si les entrées ne sont pas correctes, les clients de services de noms ne peuvent pas les trouver.
# ldapsearch -h server -s sub -b "ou=servdates, dc=..." \ "objectclass=servDates"
L'exemple de sortie suivant illustre l'exécution de la commande makedm pour vérifier le contenu de la carte hosts.byaddr.
# makedbm -u LDAP_servdate.bynumber plato: 1/3/2001 johnson: 2/4/2003,1/3/2001 yeats: 4/4/2002 poe: 3/3/2002,3/4/2000
Si le contenu est comme prévu, la transition de NIS à LDAP a été appliquée.
Notez que les fichiers dbm NIS d'origine ne sont pas écrasés, de sorte que vous pouvez toujours les récupérer. Pour plus d'informations, reportez-vous à la section Rétablissement de NIS.
Les deux exemples suivants montrent comment vous pouvez personnaliser les cartes. Le cas échéant, modifiez le fichier /var/yp/NISLDAPmapping dans l'éditeur de texte de votre choix. Pour plus d'informations sur la syntaxe et les attributs de fichier, reportez-vous à la page de manuel NISLDAPmapping(4) et aux informations de services de noms LDAP du Chapitre 9, Introduction aux services de noms LDAP (présentation).
Exemple 15-1 Déplacement des entrées d'hôte
Cet exemple montre comment déplacer les entrées d'hôte de l'emplacement par défaut à un autre emplacement (non standard) dans l'arborescence DIT.
Remplacez l'attribut nisLDAPobjectDN dans le fichier NISLDAPmapping par le nouveau DN (nom distinctif) LDAP de base. Pour cet exemple, la structure interne des objets LDAP n'est pas modifiée, de sorte que les entrées objectClass restent inchangées.
Remplacez :
nisLDAPobjectDN hosts: \ ou=hosts,?one?, \ objectClass=device, \ objectClass=ipHost
Par :
nisLDAPobjectDN hosts: \ ou=newHosts,?one?, \ objectClass=device, \ objectClass=ipHost
Suite à cette modification, les entrées sont mappées sous
dn: ou=newHosts, dom=domain1, dc=sun, dc=com
et non sous
dn: ou=hosts, dom=domain1, dc=sun, dc=com.
Exemple 15-2 Implémentation d'une carte personnalisée
Cet exemple montre comment implémenter une carte personnalisée.
Une carte hypothétique, servdate.bynumber, contient des informations sur les dates de service pour les systèmes. Cette carte est indexée par le numéro de série de la machine qui, dans cet exemple, est 123. Chaque entrée se compose du nom du propriétaire de la machine, d'un signe deux-points et d'une liste de dates de service séparées par des virgules, par exemple, John Smith:1/3/2001,4/5/2003.
L'ancienne structure de la carte doit être mappée sur les entrées LDAP de la forme suivante :
dn: number=123,ou=servdates,dc=... \ number: 123 \ userName: John Smith \ date: 1/3/2001 \ date: 4/5/2003 \ . . . objectClass: servDates
L'examen du fichier NISLDAPmapping permet de voir que le mappage le plus proche du modèle requis est group. Les mappages personnalisés peuvent être modélisés sur le mappage group. Etant donné qu'il n'existe qu'une seule carte, aucun attribut nisLDAPdatabaseIdMapping n'est requis. Les attributs à ajouter à NISLDAPmapping sont les suivants :
nisLDAPentryTtl servdate.bynumber:1800:5400:3600 nisLDAPnameFields servdate.bynumber: \ ("%s:%s", uname, dates) nisLDAPobjectDN servdate.bynumber: \ ou=servdates, ?one? \ objectClass=servDates: nisLDAPattributeFromField servdate.bynumber: \ dn=("number=%s,", rf_key), \ number=rf_key, \ userName=uname, \ (date)=(dates, ",") nisLDAPfieldFromAttribute servdate.bynumber: \ rf_key=number, \ uname=userName, \ dates=("%s,", (date), ",")