LDAP 客户机配置文件
为简化客户机设置并避免重复为每个客户机输入相同的信息,请在目录服务器上创建单个客户机配置文件。这样,通过一个配置文件便可以为所有配置为使用该配置文件的客户机定义配置。之后配置文件属性的任何更改都会按刷新间隔所定义的频率传播到客户机。
当启动 svc:/network/ldap/client 服务时,在 LDAP 客户机配置文件中指定的配置信息会自动导入到 SMF 系统信息库中。
任何客户机配置文件都应当存储在 LDAP 服务器上的一个众所周知的位置中。给定域的根 DN 必须具有一个对象类 nisDomainObject 和一个包含客户机所在域的 nisDomain 属性。所有的配置文件都位于相对于此容器的 ou=profile 容器中。这些配置文件应可以匿名读取。
LDAP 客户机配置文件属性
下表列出了 LDAP 客户机的配置文件属性,这些属性可以在运行 idsconfig 时自动设置。有关如何手动设置客户机配置文件的信息,请参见如何手动初始化 LDAP 客户机和 idsconfig(1M) 手册页。
表 9-2 LDAP 客户机配置文件属性
|
|
|
配置文件的名称。该属性没有缺省值。必须指定该属性值。 |
|
首选服务器的主机地址是以空格分隔的服务器地址的列表。(请勿使用主机名。)将先尝试与该列表中的服务器建立连接,然后再尝试与 defaultServerList 中的服务器建立连接,直到成功建立连接。该属性没有缺省值。必须至少在 preferredServerList 或 defaultServerList
中指定一台服务器。 |
|
缺省服务器的主机地址是以空格分隔的服务器地址的列表。(请勿使用主机名。)在尝试与 preferredServerlist 中的服务器建立连接之后,会先尝试与客户机所在子网中的缺省服务器建立连接,然后再尝试与其余的缺省服务器建立连接,直到成功建立连接。必须至少在 preferredServerList 或 defaultServerList 中指定一台服务器。只有在尝试与首选服务器列表中的服务器建立连接之后,才会尝试与该列表中的服务器建立连接。该属性没有缺省值。 |
|
用于查找已知容器的相对 DN。该属性没有缺省值。不过,对于给定服务,可以使用 serviceSearchDescriptor 属性来覆盖该属性。 |
|
定义客户机要搜索的数据库范围。可以使用 serviceSearchDescriptor 属性覆盖该属性。可能的值为
one 或 sub。缺省值为 one 级别搜索。 |
|
|
|
标识了客户机进行验证时应使用的凭证的类型。选项有 anonymous、proxy 或 self(也称为每用户)。缺省值为 anonymous。 |
|
定义客户机应如何以及应在何处搜索命名数据库,例如,客户机应在 DIT
中的一个点还是多个点执行查找。缺省情况下,不定义任何 SSD。 |
serviceAuthenticationMethod |
客户机针对指定服务使用的验证方法。缺省情况下,不定义任何服务验证方法。如果某个服务未定义 serviceAuthenticationMethod,则使用 authenticationMethod 的缺省值。 |
|
客户机使用的属性映射。缺省情况下,未定义任何 attributeMap。 |
|
客户机使用的对象类映射。缺省情况下,不定义任何 objectclassMap。 |
|
客户机上的搜索操作在超时之前可以执行的最长时间(以秒为单位)。这不会影响在 LDAP 服务器上完成搜索所需的时间。缺省值为 30
秒。 |
|
客户机与服务器的绑定在超时之前可以持续的最长时间(以秒为单位)。缺省值为 30 秒。 |
|
指定客户机是否应遵循 LDAP 引用。可能的值为 TRUE 或 FALSE。缺省值为 TRUE。 |
|
|
|
本地 LDAP 客户机属性
下表列出了可以使用 ldapclient 命令在本地设置的 LDAP 客户机属性。有关更多信息,请参见 ldapclient(1M) 手册页。
表 9-3 本地 LDAP 客户机属性
|
|
|
指定管理凭证的管理员条目标识名。如果在客户机系统上 enableShadowUpdate 开关的值为 true,并且 credentialLevel 的值不是
self,则必须指定 adminDN。 |
|
指定管理凭证的管理员条目口令。如果在客户机系统上 enableShadowUpdate 开关的值为 true,并且 credentialLevel 的值不是 self,则必须定义 adminPassword。 |
|
指定客户机的域名(该域将成为此客户机系统的缺省域)。该属性没有缺省值。必须指定该属性值。 |
|
代理的标识名。如果为客户机系统配置的 credentialLevel 为 proxy,则必须指定
proxyDN。 |
|
代理的口令。如果为客户机系统配置的 credentialLevel 为 proxy,则必须定义 proxyPassword。 |
|
本地文件系统中包含证书数据库的目录。如果为客户机系统配置了使用 TLS 的 authenticationMethod 或 serviceAuthenticationMethod,则将使用此属性。缺省值为 /var/ldap。 |
|
注 - 如果 SSD 中的 BaseDN 包含一个结尾逗号,则会将其视为 defaultSearchBase 的相对值。在执行搜索之前,会将 defaultSearchBase 的值附加在 BaseDN 后面。