Oracle Solaris 클라이언트가 AD 도메인에 결합되어야 nss_ad를 비롯한 AD 상호 운용성 기능을 사용할 수 있습니다. kclient 유틸리티는 클라이언트를 AD에 결합하는 데 사용됩니다. 결합 작업 중에 kclient는 클라이언트에서 Kerberos v5를 구성합니다. 그런 후에 nss_ad를 사용하면 지원되는 데이터베이스의 nsswitch.conf 파일에서 ad를 소스로 지정하여 이름 지정 서비스 요청을 확인할 수 있습니다. nss_ad 모듈은 호스트 자격 증명을 사용하여 AD에서 이름 지정 서비스 정보를 조회합니다.
nss_ad 모듈은 DNS 서버 레코드를 사용하여 도메인 컨트롤러, 전역 카탈로그 서버 등의 AD 디렉토리 서버를 자동 검색합니다. 따라서 Oracle Solaris 클라이언트에서 DNS를 올바르게 구성해야 합니다. 또한 nss_ad 모듈은 LDAP v3 프로토콜을 사용하여 AD 서버의 이름 지정 정보에 액세스합니다. nss_ad는 고유 AD 스키마에서 작동하므로 AD 서버 스키마를 수정할 필요가 없습니다.
nss_ad 모듈은 현재 Windows 사용자의 Oracle Solaris 시스템 로그인을 지원하지 않습니다. 이러한 로그인이 지원될 때까지 해당 사용자는 계속해서 nis, ldap 등의 기존 백엔드를 사용하여 로그인해야 합니다.
nss_ad를 사용하려면 idmap 및 svc:/system/name-service/cache 서비스를 사용으로 설정해야 합니다. nss_ad 모듈은 idmap 서비스를 사용하여 Windows SID(보안 식별자), UNIX UID(사용자 식별자) 및 GID(그룹 식별자) 간에 매핑합니다.
모든 AD 사용자 및 그룹 이름은 정규화된 도메인 이름이어야 합니다(예: user@domain 또는 group@domain). 예를 들어, dana가 domain 도메인에서 유효한 Windows 사용자인 경우 getpwnam(dana)은 실패하지만 getpwnam(dana@domain)은 성공합니다.
nss_ad 모듈에는 다음 추가 규칙도 적용됩니다.
AD와 마찬가지로, nss_ad는 일치하는 사용자와 그룹 이름의 대소문자 무시를 수행합니다.
사용자와 그룹의 이름에 ASCII 문자만 포함된 도메인이나 UTF-8 로케일에서만 nss_ad 모듈을 사용합니다.
잘 알려진 SID는 Windows에서 일반 사용자나 일반 그룹을 식별하는 SID 세트입니다. 도메인과 관련이 없으며 모든 Windows 운영 체제에서 값이 일정하게 유지됩니다. 잘 알려진 SID의 이름은 정규화된 BUILTIN 문자열입니다(예: Remote Desktop Users@BUILTIN).
nss_ad 모듈은 열거를 지원하지 않습니다. 따라서 getpwent() 및 getgrent() 인터페이스와 두 인터페이스를 사용하는 명령(예: getent passwd 및 getent group)은 AD에서 정보를 검색할 수 없습니다.
nss_ad 모듈은 현재 passwd 및 group 파일만 지원합니다. nss_ad는 passwd 항목을 따르는 다른 이름 지정 서비스 데이터베이스(예: audit_user 및 user_attr)를 지원하지 않습니다. ad 백엔드가 구성에 따라 처리되면 이러한 데이터베이스에 대해 NOT FOUND를 반환합니다.