El cliente de Oracle Solaris se debe unir a un dominio de AD antes de que se pueda usar cualquier funcionalidad de interoperabilidad de AD, incluida nss_ad. La utilidad kclient se utiliza para unir el cliente a AD. Durante la operación de unión, kclient configura Kerberos v5 en el cliente. A partir de ese momento, nss_ad se puede utilizar para resolver solicitudes de servicio de nombres especificando ad como origen en el archivo nsswitch.conf para las bases de datos compatibles. El módulo nss_ad utiliza las credenciales de host para consultar información del servicio de nombres en AD.
El módulo nss_ad utiliza los registros del servidor DNS para detectar automáticamente servidores de directorios AD, como controladores de dominio y servidores de catálogos globales. Por lo tanto, el DNS debe estar configurado correctamente en el cliente de Oracle Solaris. El módulo nss_ad también utiliza el protocolo v3 de LDAP para acceder a información de nombres desde servidores AD. El esquema de servidor AD no requiere ninguna modificación porque nss_ad funciona con el esquema AD nativo.
El módulo nss_ad no admite actualmente inicios de sesión de los usuarios de Windows en el sistema Oracle Solaris. Hasta que se admitan dichos inicios de sesión, los usuarios deberán seguir iniciando sesión mediante back-ends tradicionales, como nis o ldap.
Los servicios idmap y svc:/system/name-service/cache deben estar activados para usar nss_ad. El módulo nss_ad utiliza el servicio idmap para asignar entre identificadores de seguridad (SID) de Windows, identificadores de usuario (UID) de UNIX e identificadores de grupos (GID).
Asegúrese de que todos los nombres de grupos y usuarios de Active Directory estén cualificados con nombres de dominios, como user@domain o group@domain. Por ejemplo, getpwnam(dana) fallará, pero getpwnam(dana@domain) se realizará con éxito, siempre que dana sea un usuario válido de Windows en el dominio llamado domain.
Las siguientes reglas adicionales también pertenecen al módulo nss_ad:
Al igual que AD, nss_ad realiza comparaciones sin distinguir mayúsculas de minúsculas de los nombres de usuarios y grupos.
Sólo use el módulo nss_ad en configuraciones regionales UTF-8 o en dominios en los que los usuarios y los grupos sólo tienen caracteres ASCII en sus nombres.
Los SID muy conocidos son un conjunto de SID que identifican usuarios o grupos genéricos en el mundo de Windows. No son específicos del dominio y sus valores permanecen constantes en todos los sistemas operativos Windows. Los nombres de SID conocidos están cualificados con la cadena BUILTIN, por ejemplo, Remote Desktop Users@BUILTIN.
El módulo nss_ad no admite la enumeración. Por lo tanto, las interfaces getpwent() y getgrent(), y los comandos que las usan, como getent passwd y getent group, no pueden recuperar información desde AD.
El módulo nss_ad actualmente sólo admite los archivos passwd y group. nss_ad no admite otras bases de datos de servicios de nombres que siguen la entrada passwd, como audit_user y user_attr. Si el back-end ad se procesa (en función de la configuración), devuelve el mensaje NOT FOUND (no encontrado) para estas bases de datos.