下节介绍了 nss_ad 模块如何通过从 AD 检索相应的数据来解析 passwd、shadow 和 group 文件的命名服务请求。
username:password:uid:gid:gecos:home-directory:login-shell
有关更多信息,请参见 passwd(4) 手册页。
nss_ad 模块从 AD 检索 passwd 信息,如下所述:
username -字段使用 samAccountName AD 属性的值并且由对象所在的域名予以限定,例如 johnd@example.com。
password-字段使用 x 的值,因为用户口令在 AD 对象中不可用。
uid-字段使用来自 objectSID AD 属性的 Windows 用户的 SID,该 SID 通过使用 idmap 服务映射到 UID。
gid-字段使用 Windows 用户的主组 SID,该 SID 通过使用 idmap 服务映射到 GID。组 SID 是通过将 primaryGroupID AD 属性的值附加到域 SID 之后获得的。对于 AD 中的用户,primaryGroupID 属性是一个可选属性,因此它可能不存在。如果该属性不存在,则 nss_ad 将使用 idmap 对角映射实用程序来从 objectSID 属性映射用户 SID。
gecos-CN AD 属性的值。
home-directory-homeDirectory AD 属性的值(如果存在一个值)。否则,该字段将保留为空。
login-shell-字段保留为空,因为在本机 AD 架构中没有登录 shell 属性。
username:password:lastchg:min:max:warn:inactive:expire:flag
有关更多信息,请参见 shadow(4) 手册页。
nss_ad 模块从 AD 检索 shadow 信息,如下所述:
username -字段使用 samAccountName AD 属性的值并且由对象所在的域名予以限定,例如 johnd@example.com。
password-字段使用 *NP* 的值,因为用户口令在 AD 对象中不可用。
其余 shadow 字段将保留为空,因为 shadow 字段与 AD 和 Kerberos v5 没有关系。
groupname:password:gid:user-list
有关更多信息,请参见 group(4) 手册页。
nss_ad 模块从 AD 检索信息,如下所述:
groupname -字段使用 samAccountName AD 属性的值并且由对象所在的域名予以限定,例如 admins@example。
password-字段保留为空,因为 Windows 组没有口令。
gid-此字段使用来自 objectSID AD 属性的 Windows 组的 SID,该 SID 通过使用 idmap 服务映射到 GID。
user-list-字段保留为空。