Oracle® Solaris 11.2 ディレクトリサービスとネームサービスでの作業: DNS と NIS

印刷ビューの終了

更新: 2014 年 7 月
 
 

nss_ad ネームサービスモジュールの概要

いずれかの AD 相互運用性機能 (nss_ad を含む) を使用できるようにするには、その前に Oracle Solaris クライアントが AD ドメインに参加している必要があります。クライアントを AD に参加させるには、kclient ユーティリティーが使用されます。参加の操作中、kclient は、そのクライアント上に Kerberos v5 を構成します。それ以降は、nss_ad を使用すると、サポートされるデータベースの nsswitch.conf ファイル内のソースとして ad を指定することによって、ネームサービスリクエストを解決できます。nss_ad モジュールは、ホスト資格を使用して AD 内のネームサービス情報を検索します。

nss_ad モジュールは、DNS サーバーのレコードを使用して、ドメインコントローラやグローバルカタログサーバーなどの AD ディレクトリサーバーを自動検出します。そのため、DNS が Oracle Solaris クライアント上で正しく構成されている必要があります。nss_ad モジュールはまた、LDAP v3 プロトコルを使用して AD サーバーのネーミング情報にアクセスします。nss_ad はネイティブな AD スキーマで動作するため、AD サーバーのスキーマに変更は必要ありません。

nss_ad モジュールは現在、Windows ユーザーの Oracle Solaris システムへのログインをサポートしていません。このようなログインがサポートされるまで、このようなユーザーは、引き続き nisldap などの従来のバックエンドを使用してログインするようにしてください。

nss_ad を使用するには、idmap および svc:/system/name-service/cache サービスが有効になっている必要があります。nss_ad モジュールは、idmap サービスを使用して、Windows セキュリティー識別子 (SID)、UNIX ユーザー識別子 (UID)、およびグループ識別子 (GID) の間をマップします。

AD ユーザーおよびグループ名がすべて、ドメイン名で修飾されていることを確認してください (user@domaingroup@domain など)。たとえば、danadomain という名前のドメイン内の有効な Windows ユーザーである場合、getpwnam(dana) は失敗しますが、getpwnam(dana@domain) は成功します。

また、次の追加の規則も nss_ad モジュールに関連します。

  • AD と同様に、nss_ad は、ユーザーおよびグループ名の大文字と小文字が区別されないマッチングを実行します。

  • nss_ad モジュールは、UTF-8 ロケール、またはユーザーやグループの名前に ASCII 文字のみが存在するドメインでのみ使用してください。

  • 既知の SID として、Windows の世界における汎用ユーザーまたは汎用グループを識別する一連の SID があります。これらはドメイン固有の SID ではなく、その値はすべての Windows オペレーティングシステムにわたって一定のままです。既知の SID の名前は、文字列 BUILTIN で修飾されます (たとえば、Remote Desktop Users@BUILTIN)。

  • nss_ad モジュールは、列挙をサポートしていません。そのため、それを使用する getpwent() および getgrent() インタフェースやコマンド (getent passwdgetent group など) は AD から情報を取得できません。

  • nss_ad モジュールは現在、passwd および group ファイルのみをサポートしています。nss_ad は、passwd エントリに従うほかのネームサービスデータベース (audit_useruser_attr など) をサポートしていません。ad バックエンドが (構成に基づいて) 処理された場合は、これらのデータベースに対して「NOT FOUND」が返されます。