Omitir Vínculos de navegación | |
Salir de la Vista de impresión | |
Trabajo con servicios de nombres y directorios en Oracle Solaris 11.1 Oracle Solaris 11.1 Information Library (Español) |
Parte I Acerca de los servicios de nombres y directorios
1. Servicios de nombres y directorios (descripción general)
2. Conmutador de servicio de nombres (descripción general)
4. Configuración de clientes de Active Directory de Oracle Solaris (tareas)
Actualizaciones de contraseñas
Cómo el módulo de servicio de nombres nss_ad recupera datos desde AD
Recuperación de información de passwd
Recuperación de información de shadow
Recuperación de información de group
Parte II Configuración y administración de NIS
5. Servicio de información de red (descripción general)
6. Instalación y configuración del servicio NIS (tareas)
7. Administración de NIS (tareas)
8. Resolución de problemas de NIS
Parte III Servicios de nombres LDAP
9. Introducción a los servicios de nombres LDAP (descripción general)
10. Requisitos de planificación para servicios de nombres LDAP (tareas)
11. Configuración de Oracle Directory Server Enterprise Edition con clientes LDAP (tareas)
12. Configuración de clientes LDAP (tareas)
13. Resolución de problemas de LDAP (referencia)
14. Servicio de nombres LDAP (Referencia)
El cliente de Oracle Solaris se debe unir a un dominio AD antes de que se pueda usar cualquier funcionalidad de interoperabilidad, incluido nss_ad. La utilidad kclient se utiliza para unir el cliente a AD. Durante la operación de unión, kclient configura Kerberos v5 en el cliente. A partir de ese momento, nss_ad se puede utilizar para resolver solicitudes de servicio de nombres especificando ad como origen en el archivo nsswitch.conf para las bases de datos compatibles. El módulo nss_ad utiliza las credenciales de host para consultar información del servicio de nombres en AD.
El módulo nss_ad utiliza los registros del servidor DNS para detectar automáticamente servidores de directorios AD, como controladores de dominio y servidores de catálogos globales. Por lo tanto, el DNS debe estar configurado correctamente en el cliente de Oracle Solaris. El módulo nss_ad también utiliza el protocolo v3 de LDAP para acceder a información de nombres desde servidores AD. El esquema de servidor AD no requiere ninguna modificación porque nss_ad funciona con el esquema AD nativo.
El módulo nss_ad no admite actualmente inicios de sesión de los usuarios de Windows en el sistema Oracle Solaris. Hasta que se admitan dichos inicios de sesión, los usuarios deberán seguir iniciando sesión mediante back-ends tradicionales, como nis o ldap.
Los servicios idmap y svc:/system/name-service/cache deben estar activados para usar nss_ad. El módulo nss_ad utiliza el servicio idmap para asignar entre identificadores de seguridad (SID) de Windows, identificadores de usuario (UID) de UNIX e identificadores de grupos (GID).
Asegúrese de que todos los nombres de grupos y usuarios de Active Directory estén cualificados con nombres de dominios, como user@domain o group@domain. Por ejemplo, getpwnam(dana) fallará, pero getpwnam(dana@domain) se realizará éxito, siempre que dana sea un usuario de Windows válido en el dominio llamado domain.
Las siguientes reglas adicionales también pertenecen al módulo nss_ad:
Al igual que AD, nss_ad realiza comparaciones sin distinguir mayúsculas de minúsculas de los nombres de usuarios y grupos.
Sólo use el módulo nss_ad en configuraciones regionales UTF-8 o en dominios en los que los usuarios y los grupos sólo tienen caracteres ASCII en sus nombres.
Los SID muy conocidos son un conjunto de SID que identifican usuarios o grupos genéricos en el mundo de Windows. No son específicos del dominio y sus valores permanecen constantes en todos los sistemas operativos Windows. Los nombres de SID muy conocidos están cualificados con la cadena BUILTIN, por ejemplo, Remote Desktop Users@BUILTIN.
El módulo nss_ad no admite la enumeración. Por lo tanto, las interfaces getpwent() y getgrent(), y los comandos que las usan, como getent passwd y getent group, no pueden recuperar información desde AD.
El módulo nss_ad actualmente sólo admite los archivos passwd y group. nss_ad no admite otras bases de datos de servicios de nombres que siguen la entrada passwd, como audit_user y user_attr. Si el back-end ad se procesa (en función de la configuración), devuelve el mensaje NOT FOUND (no encontrado) para estas bases de datos.
El módulo nss_ad requiere que el cliente de Oracle Solaris use DNS para la resolución de host.
Consulte Cómo activar un cliente DNS para obtener instrucciones.
Nota - El nombre de dominio AD se debe especificar por medio de la directiva domain o como el primer elemento de la lista especificado por la directiva search.
Si se especifican ambas directivas, la última tiene prioridad. Esto es necesario para que la función de detección automática idmap funcione correctamente.
En el ejemplo siguiente, los comandos dig verifican que el servidor AD se pueda resolver mediante el uso de su nombre y dirección IP.
# dig -x 192.168.11.22 +short myserver.ad.example # dig myserver.ad.example +short 192.168.11.22
# svccfg -s svc:/system/name-service/switch svc:/system/name-service/switch> setprop config/host = astring: "files dns" svc:/system/name-service/switch> select system/name-service/switch:default svc:/system/name-service/switch:default> refresh svc:/system/name-service/switch:default> quit
Nota - Si desea incluir servicios de nombres adicionales, como nis o ldap, para la resolución de host, agréguelos después de dns.
Por ejemplo:
# svcs svc:/network/dns/client STATE STIME FMRI online Oct_14 svc:/network/dns/client:default
Por ejemplo:
# /usr/sbin/kclient -T ms_ad
# svccfg -s svc:/system/name-service/switch svc:/system/name-service/switch> setprop config/password = astring: "files nis ad" svc:/system/name-service/switch> setprop config/group = astring: "files nis ad" svc:/system/name-service/switch> select system/name-service/switch:default svc:/system/name-service/switch:default> refresh svc:/system/name-service/switch:default> quit
# svcadm enable idmap
# svcadm refresh name-service/switch
Nota - El módulo nscd, si es necesario, se reinicia automáticamente cada vez que se refresca el conmutador de servicio de nombres.
Por ejemplo:
# getent passwd 'test_user@example' test_user@example:x:2154266625:2154266626:test_user:: # getent passwd 2154266625 test_user@example:x:2154266625:2154266626:test_user::