如何配置 nss_ad 模块

nss_ad 模块要求 Oracle Solaris 客户机使用 DNS 进行主机解析。

1. 配置 DNS 服务。

   有关说明，请参见如何启用 DNS 客户机。

   ---

   注 - AD 域名称必须通过 domain 指令进行指定，或者指定为由 search 指令指定的列表中的第一个项。

   如果同时指定了这两个指令，将优先考虑最后指定的那个指令。这是 idmap 自动搜索功能正常工作所必需的。

   ---

   在下面的示例中，dig 命令验证是否可以通过使用 AD 服务器的名称和 IP 地址来解析该服务器。

   # dig -x 192.168.11.22 +short
   myserver.ad.example
   # dig myserver.ad.example +short
   192.168.11.22

2. 将 dns 添加到 hosts 的命名服务的列表中。

   # svccfg -s svc:/system/name-service/switch
   svc:/system/name-service/switch> setprop config/host = astring: "files dns"
   svc:/system/name-service/switch> select system/name-service/switch:default
   svc:/system/name-service/switch:default> refresh
   svc:/system/name-service/switch:default> quit

   ---

   注 - 要包含其他命名服务（例如 nis 或 ldap）用于主机解析，请将其添加在 dns 之后。

   ---

3. 确认 DNS 服务已启用且处于联机状态。

   例如：

   # svcs svc:/network/dns/client
   STATE STIME FMRI
   online Oct_14 svc:/network/dns/client:default

4. 使用 kclient 实用程序将系统加入 AD 域。

   例如：

   # /usr/sbin/kclient -T ms_ad

5. 将 ad 添加到 password 和 group 的命名服务的列表中。

   # svccfg -s svc:/system/name-service/switch
   svc:/system/name-service/switch> setprop config/password = astring: "files nis ad"
   svc:/system/name-service/switch> setprop config/group = astring: "files nis ad"
   svc:/system/name-service/switch> select system/name-service/switch:default
   svc:/system/name-service/switch:default> refresh
   svc:/system/name-service/switch:default> quit

6. 启用 idmap 服务。

   # svcadm enable idmap

7. 更新名称服务转换服务的 SMF 系统信息库。

   # svcadm refresh name-service/switch

   ---

   注 - 每次刷新名称服务转换时，如有必要，nscd 模块都将自动重新启动。

   ---

8. 确认您可以访问 AD 中的 user 和 group 信息。

   例如：

   # getent passwd 'test_user@example'
   test_user@example:x:2154266625:2154266626:test_user::
   # getent passwd 2154266625
   test_user@example:x:2154266625:2154266626:test_user::