La syntaxe suivante montre la forme correcte d'une entrée passwd :
username:password:uid:gid:gecos:home-directory:login-shell
Pour plus d'informations, reportez-vous à la page de manuel passwd(4).
Le module nss_ad récupère les informations passwd à partir d'AD de la manière suivante :
username – Ce champ utilise la valeur de l'attribut AD samAccountName et il est qualifié par le nom de domaine où réside l'objet, par exemple : johnd@example.com.
Le champ password utilise la valeur x car le mot de passe utilisateur n'est pas disponible dans l'objet AD.
Le champ uid utilise le SID de l'utilisateur Windows à partir de l'attribut AD objectSID, mappé à l'UID à l'aide du service idmap.
Le champ gid utilise le SID du groupe principal de l'utilisateur Windows, mappé au GID à l'aide du service idmap. Le SID du groupe s'obtient en ajoutant la valeur de l'attribut AD primaryGroupID au domaine SID. Pour les utilisateurs dans AD, l'attribut primaryGroupID est facultatif. Il est donc possible de ne pas le spécifier. Si l'attribut n'existe pas, nss_ad exécute l'utilitaire de mappage en diagonale idmap pour mapper le SID de l'utilisateur à partir de l'attribut objectsid.
La valeur gecos correspond à l'attribut AD CN.
La valeur home-directory correspond à l'attribut AD homeDirectory, le cas échéant. Dans le cas contraire, le champ reste vide.
Le champ login-shell est vide car il ne contient aucun attribut de shell de connexion dans le schéma AD natif.