客户机如何使用代理

文件号码E539032014年7月使用OracleSolaris11.
2目录和命名服务:LDAP版权所有2002,2014,Oracle和/或其附属公司.
保留所有权利.
本软件和相关文档是根据许可证协议提供的,该许可证协议中规定了关于使用和公开本软件和相关文档的各种限制,并受知识产权法的保护.
除非在许可证协议中明确许可或适用法律明确授权,否则不得以任何形式、任何方式使用、拷贝、复制、翻译、广播、修改、授权、传播、分发、展示、执行、发布或显示本软件和相关文档的任何部分.
除非法律要求实现互操作,否则严禁对本软件进行逆向工程设计、反汇编或反编译.
此文档所含信息可能随时被修改,恕不另行通知,我们不保证该信息没有错误.
如果贵方发现任何问题,请书面通知我们.
如果将本软件或相关文档交付给美国政府,或者交付给以美国政府名义获得许可证的任何机构,必须符合以下规定:U.
S.
GOVERNMENTENDUSERS:Oracleprograms,includinganyoperatingsystem,integratedsoftware,anyprogramsinstalledonthehardware,and/ordocumentation,deliveredtoU.
S.
Governmentendusersare"commercialcomputersoftware"pursuanttotheapplicableFederalAcquisitionRegulationandagency-specificsupplementalregulations.
Assuch,use,duplication,disclosure,modification,andadaptationoftheprograms,includinganyoperatingsystem,integratedsoftware,anyprogramsinstalledonthehardware,and/ordocumentation,shallbesubjecttolicensetermsandlicenserestrictionsapplicabletotheprograms.
NootherrightsaregrantedtotheU.
S.
Government.
本软件或硬件是为了在各种信息管理应用领域内的一般使用而开发的.
它不应被应用于任何存在危险或潜在危险的应用领域,也不是为此而开发的,其中包括可能会产生人身伤害的应用领域.
如果在危险应用领域内使用本软件或硬件,贵方应负责采取所有适当的防范措施,包括备份、冗余和其它确保安全使用本软件或硬件的措施.
对于因在危险应用领域内使用本软件或硬件所造成的一切损失或损害,OracleCorporation及其附属公司概不负责.
Oracle和Java是Oracle和/或其附属公司的注册商标.
其他名称可能是各自所有者的商标.
Intel和IntelXeon是IntelCorporation的商标或注册商标.
所有SPARC商标均是SPARCInternational,Inc的商标或注册商标,并应按照许可证的规定使用.
AMD、Opteron、AMD徽标以及AMDOpteron徽标是AdvancedMicroDevices的商标或注册商标.
UNIX是TheOpenGroup的注册商标.
本软件或硬件以及文档可能提供了访问第三方内容、产品和服务的方式或有关这些内容、产品和服务的信息.
对于第三方内容、产品和服务,OracleCorporation及其附属公司明确表示不承担任何种类的担保,亦不对其承担任何责任.
对于因访问或使用第三方内容、产品或服务所造成的任何损失、成本或损害,OracleCorporation及其附属公司概不负责.
3目录使用此文档71LDAP命名服务简介9此OracleSolaris发行版中的LDAP9LDAP命名服务的概述9LDAP如何存储信息10比较:LDAP命名服务与其他命名服务11LDAP命令12常规LDAP命令12特定于LDAP操作的LDAP命令122LDAP和验证服务13LDAP命名服务安全模型13传输层安全14客户机凭证级别15enableShadowUpdate开关16LDAP客户机的凭证存储17LDAP命名服务的验证方法17为LDAP中的特定服务指定验证方法19可插拔验证方法20LDAP服务模块20pam_unix_*服务模块21Kerberos服务模块22PAM和更改口令22LDAP帐户管理23使用pam_unix_*模块管理LDAP帐户24使用pam_ldap模块进行帐户管理的示例pam_conf文件243LDAP命名服务的规划要求27LDAP规划概述27目录4使用OracleSolaris11.
2目录和命名服务:LDAP2014年7月规划LDAP客户机配置文件的配置29LDAP网络模型29目录信息树29安全注意事项30规划LDAP主服务器和副本服务器的部署31规划LDAP数据置备32服务搜索描述符和架构映射32SSD说明32摘要:用于准备实施LDAP的缺省客户机配置文件属性34用于配置LDAP的空核对表354设置OracleDirectoryServerEnterpriseEdition和LDAP客户机37准备用于配置目录服务器的信息37LDAP的服务器信息37LDAP的客户机配置文件信息38使用浏览索引38创建目录树定义39如何为LDAP命名服务配置OracleDirectoryServerEnterpriseEdition39LDAP的服务器配置示例40生成目录信息树40定义服务搜索描述符47使用数据置备LDAP服务器48如何使用数据置备服务器49其他目录服务器配置任务50使用Member属性指定组成员关系50向目录服务器置备其他配置文件51配置目录服务器以启用帐户管理515设置NIS客户机57准备LDAP客户机设置57LDAP和服务管理工具57定义本地客户机属性59管理LDAP客户机59初始化LDAP客户机60修改LDAP客户机配置61取消初始化LDAP客户机62使用LDAP进行客户机验证62配置PAM62目录5设置TLS安全性646LDAP故障排除67监视LDAP客户机状态67验证ldap_cachemgr守护进程是否正在运行67检查当前的配置文件信息69验证基本的客户机/服务器通信69从非客户机检查服务器数据69LDAP配置问题及解决方案70未解析的主机名70无法远程访问LDAP域中的系统70登录功能不起作用70查找速度过慢71ldapclient命令无法绑定到服务器71使用ldap_cachemgr守护进程进行调试72ldapclient命令在设置期间挂起72解决使用每用户凭证时的问题72syslog文件指示82LocalError72Kerberos不会自动初始化72syslog文件指示无效凭证73ldapclientinit命令在转换检查中失败73检索LDAP命名服务信息73列出所有LDAP容器73列出所有用户项属性747LDAP命名服务(参考信息)77LDAP的IETF架构77RFC2307bis网络信息服务架构77邮件别名架构82目录用户代理配置文件(DUAProfile)架构83OracleSolaris架构85项目架构85基于角色的访问控制和执行配置文件架构86LDAP的Internet打印协议信息88Internet打印协议属性88Internet打印协议ObjectClasses94打印机属性95Sun打印机ObjectClasses96目录6使用OracleSolaris11.
2目录和命名服务:LDAP2014年7月LDAP的常规目录服务器要求96LDAP命名服务使用的缺省过滤器978从NIS转换为LDAP101NIS到LDAP转换服务概述101NIS到LDAP转换工具和服务管理工具102NIS到LDAP转换的目标用户102不应使用NIS到LDAP转换服务的情况102NIS到LDAP转换服务对用户造成的影响103NIS到LDAP转换术语103NIS到LDAP转换的命令、文件和映射104支持的标准映射105从NIS转换为LDAP(任务列表)106NIS到LDAP转换的先决条件106设置NIS到LDAP转换服务107如何使用标准映射设置N2L服务108如何使用定制映射或非标准映射设置N2L服务109定制映射的示例112通过OracleDirectoryServerEnterpriseEdition实现NIS到LDAP转换的最佳方法113通过OracleDirectoryServerEnterpriseEdition创建虚拟列表视图索引114避免OracleDirectoryServerEnterpriseEdition出现服务器超时状况.
.
.
.
115避免OracleDirectoryServerEnterpriseEdition出现缓冲区溢出状况.
.
.
.
115NIS到LDAP转换限制116NIS到LDAP故障排除116常见的LDAP错误消息116NIS到LDAP转换问题118恢复为NIS121如何基于旧的源文件恢复到NIS映射121如何基于当前的DIT内容恢复为NIS映射122术语表125索引131使用此文档7使用此文档概述-介绍LDAP命名服务、规划其使用的方法以及实施LDAP的步骤.
目标读者-系统管理员.
必要知识-熟悉与LDAP相关的概念和术语.
产品文档库有关本产品的最新信息和已知问题均包含在文档库中,网址为:http://www.
oracle.
com/pls/topic/lookupctx=E36784.
获得Oracle支持Oracle客户可通过MyOracleSupport获得电子支持.
有关信息,请访问http://www.
oracle.
com/pls/topic/lookupctx=acc&id=info;如果您听力受损,请访问http://www.
oracle.
com/pls/topic/lookupctx=acc&id=trs.
反馈可以在http://www.
oracle.
com/goto/docfeedback上提供有关此文档的反馈.
8使用OracleSolaris11.
2目录和命名服务:LDAP2014年7月第1章LDAP命名服务简介91第1章LDAP命名服务简介轻量目录访问协议(LightweightDirectoryAccessProtocol,LDAP)是用来访问目录服务器以使用分布式命名和其他目录服务的安全网络协议.
该基于标准的协议支持一个分层次的数据库结构.
在UNIX和多平台环境中都可以使用同一协议来提供命名服务.
注-LDAP这一术语更多指的是命名服务而非该协议本身.
本书中,术语LDAP用于指服务而非协议.
有关背景阅读资料,请参见以下来源:OracleDirectoryServerEnterpriseEditionOracleDirectoryServerEnterpriseEditionAdministrationGuide所用OracleDirectoryServerEnterpriseEdition版本的安装指南本章对LDAP服务进行了概述.
此OracleSolaris发行版中的LDAP在OracleSolaris11.
2中,在现有的OracleSolarisRBAC架构中添加了SolarisQualifiedUserAttr对象类.
此类具有可为其指定多个值的属性,从而增强了当前的SolarisUserQualifier类.
要查看具有新对象类的修改后RBAC架构,请参阅"基于角色的访问控制和执行配置文件架构"[86].
如果在推出SolarisQualifiedUserAttr类之前您已经有了现成的LDAP配置,则可通过使用ldapadd命令将该类添加到该配置中.
LDAP命名服务的概述OracleSolaris支持将LDAP与OracleDirectoryServerEnterpriseEdition(以前称为SunJavaSystemDirectoryServer)结合使用.
但是,任何常规目录服务器都可充当LDAP服务器.
本书中,术语目录服务器和LDAP服务器同义,可互换使用.
LDAP命名服务的概述10使用OracleSolaris11.
2目录和命名服务:LDAP2014年7月LDAP命名服务是OracleSolaris中支持的不同命名服务之一.
《使用OracleSolaris11.
2目录和命名服务:DNS和NIS》介绍了其他命名服务.
有关OracleSolaris中不同命名服务的比较,请参见"比较:LDAP命名服务与其他命名服务"[11].
LDAP可执行以下服务:命名服务-LDAP可根据客户机请求提供命名数据.
例如,在解析主机名时,LDAP类似于DNS,可提供全限定域名.
假设域名为west.
example.
net.
如果应用程序使用gethostbyname()或getnameinfo()请求主机名,则LDAP将返回值server.
west.
example.
net.
验证服务-LDAP管理并提供有关客户机标识、验证和帐户的信息.
因此,LDAP将实施安全措施,以便仅向授权请求者提供信息.
LDAP命名服务具有以下优点:通过替代特定于应用程序的数据库,整合了信息,减少了要管理的独立数据库数量.
数据可由不同的命名服务共享.
使用了集中的系统信息库来存储数据.
可在主服务器和副本服务器之间更频繁地执行数据同步.
LDAP可兼容多种平台以及由多个供应商提供的产品.
LDAP命名服务具有以下限制:LDAP服务器不能作为其自身的客户机.
客户机不能同时是NIS和LDAP的客户机.
注-由于缺少限制,设置和管理LDAP命名服务比较复杂,需要仔细规划.
LDAP如何存储信息LDAP所提供的信息存储在目录信息树(DirectoryInformationTree,DIT)中.
数据本身采用LDAP数据交换格式(LDAPDataInterchangeFormat,LDIF).
DIT由多个具有层次结构的信息容器组成,这些信息容器使用定义的LDAP架构.
通常,大多数DIT所使用的缺省架构可满足使用LDAP的大多数网络的要求.
但是,DIT非常灵活.
您可以通过在客户机配置文件中指定搜索描述符来覆盖DIT的缺省结构.
有关搜索描述符的更多讨论,请参见"服务搜索描述符和架构映射"[32].
下表显示了DIT的容器以及每个容器存储的信息类型.
表1-1缺省DIT容器中的信息类型缺省容器信息类型ou=Ethersbootparams、ethersLDAP命名服务的概述第1章LDAP命名服务简介11缺省容器信息类型ou=Groupgroupou=Hostshosts、ipnodes、publickey(对于主机)ou=Aliasesaliasesou=Netgroupnetgroupou=Networksnetworks,netmasksou=Peoplepasswd、shadow、user_attr、audit_user、publickey(对于用户)ou=Protocolsprotocolsou=Rpcrpcou=Servicesservicesou=SolarisAuthAttrauth_attrou=SolarisProfAttrprof_attr,exec_attrou=projectsprojectautomountMap=auto_*auto_*(自动挂载映射)比较:LDAP命名服务与其他命名服务除了LDAP命名服务,还会经常使用其他类型的命名服务.
下表显示了每种命名服务的功能比较.
这些服务在OracleSolaris中均受支持.
表1-2命名服务的功能比较DNSNISLDAP文件名称空间分层不分层分层文件数据存储文件/资源记录两列映射目录(视情况而定)索引数据库基于文本的文件服务器主/从主/从主/副本多主副本无安全性DNSSEC(视情况而定)无(根或不包含任何内容)Kerberos、TLS、SSL(视情况而定)无传输TCP/IPRPCTCP/IP文件I/O范围全局LAN全局仅本地主机数据主机全部全部全部LDAP命令12使用OracleSolaris11.
2目录和命名服务:LDAP2014年7月LDAP命令OracleSolarisOS提供两个与LDAP相关的命令集.
第一个命令集由常规LDAP命令组成,需要配置LDAP命名服务.
另一组使用客户机上的通用LDAP配置并可以在配置有或者未配置有LDAP命名服务的客户机上运行.
在以下各节中,在列出命令时也指明了其对应的手册页.
常规LDAP命令常规LDAP命令可在任意系统上运行,无需在系统中配置LDAP命名服务.
LDAP命令行工具支持一组通用选项(包括验证和绑定参数).
工具支持以通用的文本格式来表示目录信息,这种格式称为LDAP数据交换格式(LDAPDataInterchangeFormat,LDIF).
您可以使用以下命令直接处理目录项:命令说明手册页ldapsearch在LDAP架构中搜索指定的项.
ldapsearch(1)ldapmodify修改架构中的LDAP项.
ldapmodify(1)ldapadd添加架构中的LDAP项.
ldapadd(1)ldapdelete从架构中删除LDAP项.
ldapdelete(1)特定于LDAP操作的LDAP命令下表列出了可配置客户机系统或要求客户机系统进行配置的LDAP命令.
命令说明手册页ldapaddent在来自相应/etc文件的架构中创建LDAP项.
ldapaddent(1M)ldaplist显示从LDAP服务器中检索的信息.
ldaplist(1)idsconfig向DIT置备数据以为客户机提供服务.
idsconfig(1M)ldapclient初始化LDAP客户机.
ldapclient(1M)第2章LDAP和验证服务132第2章LDAP和验证服务LDAP命名服务能够以两种方式使用LDAP系统信息库.
同时用作命名服务和验证服务的源仅限于作为命名数据的源本章专门讨论了LDAP的验证服务,并涵盖以下主题:"LDAP命名服务安全模型"[13]"客户机凭证级别"[15]"LDAP命名服务的验证方法"[17]"可插拔验证方法"[20]"LDAP帐户管理"[23]LDAP命名服务安全模型LDAP支持验证和受控制访问等安全功能,以确保客户机所获取的信息的完整性和保密性.
要访问LDAP系统信息库中的信息,客户机首先要向目录服务器表明其身份.
该身份可以是匿名的,或者是LDAP服务器可以识别的主机或用户.
LDAP服务器将根据客户机的身份和服务器的访问控制信息(accesscontrolinformation,ACI)允许客户机读取目录信息.
有关ACI的更多信息,请查阅所用的OracleDirectoryServerEnterpriseEdition版本的管理指南.
验证可以是以下两种类型之一:代理验证,意味着身份基于生成请求的主机.
在主机通过验证后,该主机上的所有用户都可以访问目录服务器.
每用户验证,意味着身份基于每个用户.
每个用户都必须通过验证才能访问目录服务器并发出各种LDAP请求.
可插拔验证模块(pluggableauthenticationmodule,PAM)服务用于确定用户登录是否成功.
验证的基础因所使用的PAM模块而异,如以下列表所示:LDAP命名服务安全模型14使用OracleSolaris11.
2目录和命名服务:LDAP2014年7月pam_krb5模块-Kerberos服务器是验证的基础.
有关此模块的更多信息,请参见pam_krb5(5)手册页.
另请参见《在OracleSolaris11.
2中管理Kerberos和其他验证服务》,其中对Kerberos的讨论比本指南更为广泛.
pam_ldap模块-LDAP服务器和本地主机用作验证的基础.
有关此模块的更多信息,请参见pam_ldap(5)手册页.
要使用pam_ldap模块,请参见"LDAP帐户管理"[23].
pam_unix_*等效模块-信息由主机提供,验证由本地确定.
注-pam_unix模块已被删除,OracleSolaris将不再支持该模块.
该模块已由一组功能相同或功能更强的其他服务模块所取代.
在本指南中,pam_unix是指提供相同功能的模块,而非pam_unix模块本身.
如果使用的是pam_ldap,命名服务和验证服务将以不同的方式访问目录.
命名服务基于预定义的标识从目录中读取各个条目及其属性.
验证服务将使用LDAP服务器验证用户名和口令,以确定是否已指定了正确的口令.
可以同时使用Kerberos和LDAP向网络提供验证服务和命名服务.
通过Kerberos,可以在您的企业中支持单点登录(singlesignon,SSO)环境.
同一个Kerberos标识系统也可用于基于每个用户或基于每个主机来查询LDAP命名数据.
如果使用Kerberos执行验证,则根据每用户模式的要求,也必须启用LDAP命名服务.
然后Kerberos可以提供双重功能.
Kerberos向服务器验证身份,主体(用户或主机)的Kerberos标识用于向目录验证身份.
这样,用于向系统验证身份的用户标识同样也将用于向目录验证身份,以执行查找或更新,如果需要,管理员可以在目录中使用访问控制信息(AccessControlInformation,ACI)来限制命名服务返回的结果.
传输层安全可以使用传输层安全(transportlayersecurity,TLS)来保护LDAP客户机与目录服务器之间的通信安全,从而确保保密性和数据完整性.
TLS协议是安全套接字层(SecureSocketsLayer,SSL)协议的一个超集.
LDAP命名服务支持TLS连接.
但是,使用SSL会增加目录服务器和客户机的负荷.
以下列出了使用TLS的各种要求:为SSL配置目录服务器和LDAP客户机.
要为SSL配置OracleDirectoryServerEnterpriseEdition,请参见您使用的OracleDirectoryServerEnterpriseEdition版本的管理指南.
安装必要的安全数据库,特别是证书和密钥数据库文件.
如果您使用来自NetscapeCommunicator的较旧的数据库格式,请安装cert7.
db和key3.
db.
客户机凭证级别第2章LDAP和验证服务15如果您使用来自Mozilla的较新的数据库格式,请安装cert8.
db、key3.
db和secmod.
db.
cert*文件包含可信证书.
key3.
db文件中包含客户机的密钥.
即使LDAP命名服务客户机不使用客户机密钥,也必须安装key3.
db文件.
secmod.
db文件中包含安全模块,如PKCS#11模块.
要设置TLS安全性,请参见"设置TLS安全性"[64].
客户机凭证级别LDAP服务器将根据客户机凭证级别验证LDAP客户机.
可以为LDAP客户机指定以下凭证级别之一:anonymous使用anonymous凭证级别,仅可以访问对所有人可用的数据.
不会发生LDAPBIND操作.
anonymous凭证级别的安全风险很高.
任何客户机都可以更改DIT中的、客户机对其具有写入权限的信息,包括其他用户的口令或其自己的身份.
另外,anonymous级别会使所有客户机对所有LDAP命名服务和属性具有读取权限.
注-OracleDirectoryServerEnterpriseEdition使您能够基于IP地址、DNS名称、验证方法和一天中的时段对访问进行限制.
这样,您就可以实施安全措施.
有关更多信息,请参见您使用的OracleDirectoryServerEnterpriseEdition版本的管理指南中的"管理访问控制".
proxy使用proxy凭证级别,客户机将绑定到一组共享的LDAP绑定凭证.
共享的一组凭证也称为代理帐户.
此代理帐户可以是任何允许绑定到目录的条目.
此帐户需要有足够的访问权限以在LDAP服务器上执行命名服务功能.
此代理帐户是一个按系统共享的资源,这意味着使用代理访问权限登录到系统的用户(包括root用户)都将看到相同的信息.
您必须在使用proxy凭证级别的每个客户机系统上配置proxyDN和proxyPassword属性.
另外,proxyDN必须在所有服务器上具有相同的proxyPassword.
经过加密的proxyPassword存储在客户机本地.
如果某个代理用户的口令发生了更改,您必须在使用该代理用户的每个客户机系统上更新该口令.
此外,如果您对LDAP帐户使用口令生命期功能,请确保为代理用户关闭此功能.
您可以为不同的客户机组设置不同的代理.
例如,您可以配置一个代理,限制所有销售客户机只能访问公司范围内可访问的目录和销售目录.
禁止访问包含工资信息的人力资源目录.
或者,在最极端客户机凭证级别16使用OracleSolaris11.
2目录和命名服务:LDAP2014年7月的情况中,您可以为每个客户机指定不同的代理,或者为所有客户机仅指定一个代理.
如果计划为不同的客户机设置多个代理,请仔细考虑各种选择.
代理太少可能会限制您对用户的资源访问权限的控制能力.
但是,代理太多,又会增大系统设置和维护的难度.
您需要根据自己的环境向代理用户授予合适的权限.
有关如何确定哪种验证方法最适合您的配置的信息,请参见"LDAP客户机的凭证存储"[17].
proxy凭证级别适用于任何特定系统上的所有用户和进程.
需要使用不同命名策略的用户必须登录到不同的系统,或使用每用户验证模型.
proxyanonymousproxyanonymous凭证级别是一个多值条目,它定义了多个凭证级别.
使用此级别时,指定的客户机将首先尝试使用其代理标识进行验证.
如果验证失败,例如由于用户锁定或口令失效,则客户机将使用匿名访问方式.
根据目录的配置情况,不同的凭证级别可能会与不同的服务级别相关联.
selfself凭证级别也称为每用户模式.
此模式使用Kerberos标识(称为主体)针对每个系统或用户执行查找,以进行验证.
使用"每用户"验证,系统管理员可以使用访问控制指令(accesscontrolinstruction,ACI)、访问控制列表(accesscontrollist,ACL)、角色、组或其他目录访问控制机制来向特定用户或系统授予或拒绝对特定命名服务数据的访问权限.
要使用每用户验证模式,必须具备以下条件:部署Kerberos单点登录服务支持在一个或多个目录服务器中使用SASL和SASL/GSSAPI验证机制配置DNS,Kerberos将结合使用DNS和文件来执行主机名查找启用nscd守护进程enableShadowUpdate开关如果在客户机上enableShadowUpdate开关设置为true,则将使用管理员凭证来更新影子数据.
阴影数据存储在目录服务器上的shadowAccount对象类中.
管理员凭证是由adminDN和adminPassword属性的值定义的,如"定义本地客户机属性"[59]中所述.
管理员凭证具有与proxy凭证类似的属性.
但是,对于管理员凭证,用户必须具有区域的所有特权或者有效的rootUID,才能读取或更新影子数据.
注意-管理员凭证可以指定给任何允许绑定到目录的条目.
不过,不要使用LDAP服务器的同一目录管理器标识(cn=DirectoryManager).
LDAP命名服务的验证方法第2章LDAP和验证服务17具有管理员凭证的条目必须具有足够的访问权限才能读取影子数据并将其写入目录.
此条目是一个按系统共享的资源.
因此,必须在每个客户机上配置adminDN和adminPassword属性.
经过加密的adminPassword存储在客户机本地.
口令使用为客户机配置的相同验证方法.
特定系统上的所有用户和进程都将使用管理员凭证来读取和更新影子数据.
LDAP客户机的凭证存储在当前LDAP实现中,初始化期间设置的代理凭证存储在SMF系统信息库中,而非客户机配置文件中.
这种实现方式提高了针对代理的标识名(distinguishedname,DN)和口令信息的安全性.
SMF系统信息库为svc:/network/ldap/client.
它存储着使用代理标识的客户机的代理信息.
同样,凭证级别不是self的客户机的影子数据更新也将保存在此系统信息库中.
对于使用每用户验证模式的客户机,在验证期间将使用每个主体(每个用户或主机)的Kerberos标识和Kerberos票证信息.
目录服务器将Kerberos主体映射到一个DN,并使用Kerberos凭证向该DN证明身份.
然后,目录服务器根据需要使用其访问控制指令(accesscontrolinstruction,ACI)机制来允许或拒绝对命名服务数据的访问.
在此环境中,Kerberos票证信息用于向目录服务器证明身份.
系统不存储验证DN或口令.
因此,当使用ldapclient命令初始化客户机时,无需设置adminDN和adminPassword属性.
LDAP命名服务的验证方法为客户机指定proxy或proxy-anonymous凭证级别时,还必须选择对代理进行验证的方法.
缺省情况下,验证方法是none,它表示匿名访问.
验证方法可能还有关联的传输安全选项.
验证方法(例如凭证级别)可以是多值的.
例如,在客户机配置文件中,您可以指定客户机首先尝试使用由TLS保护的simple方法进行绑定.
如果失败,客户机将尝试使用sasl/digest-MD5方法进行绑定.
在这种情况下,可以按如下方式配置authenticationMethod属性:tls:simple;sasl/digest-MD5.
LDAP命名服务支持某些简单验证和安全层(SimpleAuthenticationandSecurityLayer,SASL)机制.
这些机制无需TLS便可安全地交换口令.
但是,这些机制不提供数据完整性和保密性.
有关SASL的信息,请在IETFWeb站点(http://datatracker.
ietf.
org/)中搜索RFC4422.
支持的验证机制如下所示:none客户机不向目录证明身份.
此方法等效于anonymous凭证级别.
LDAP命名服务的验证方法18使用OracleSolaris11.
2目录和命名服务:LDAP2014年7月simple客户机系统通过以明文形式发送用户口令,绑定到服务器.
因此,除非会话受IPsec保护,否则口令很容易被窥探.
使用simple验证方法的主要优点在于所有目录服务器都支持该验证方法且该方法容易设置.
sasl/digest-MD5客户机的口令在验证期间会得到保护,但会话不会被加密.
digest-MD5的主要优点在于,在验证期间,口令不会以明文形式发送,比simple验证方法更安全.
有关digest-MD5的信息,请在IETFWeb站点(http://datatracker.
ietf.
org/)中搜索RFC2831.
digest-MD5是cram-MD5的改进.
使用sasl/digest-MD5时,验证过程是安全的,但会话不受保护.
注-如果您使用的是OracleDirectoryServerEnterpriseEdition,则口令必须以明文形式存储在目录中.
sasl/cram-MD5LDAP会话不会加密,但是客户机的口令在验证期间会受到保护.
不要使用这种过时的验证方法.
sasl/GSSAPI此验证方法与"每用户"模式一起使用可启用"每用户"查找.
使用客户机凭证的每用户模式的nscd会话将通过使用sasl/GSSAPI方法和客户机的Kerberos凭证,绑定到目录服务器.
在目录服务器中,可以对每位用户的访问进行控制.
tls:simple客户机使用simple方法进行绑定,且会话将加密.
口令也将受到保护.
tls:sasl/cram-MD5对LDAP会话进行加密,客户机使用sasl/cram-MD5向目录服务器验证身份.
tls:sasl/digest-MD5对LDAP会话进行加密,客户机使用sasl/digest-MD5向目录服务器验证身份.
注意-要使用digest-MD5,OracleDirectoryServerEnterpriseEdition要求口令以未加密的形式存储.
使用sasl/digest-MD5或tls:sasl/digest-MD5验证方法的代理用户的口令必须以未加密的形式存储.
在这种情况下,请为userPassword属性配置正确的ACI以防止其可读.
下表概述了各种验证方法及其各自的特征.
表2-1验证方法方法绑定线路上的口令OracleDirectoryServerEnterpriseEdition上的口令会话none否不适用不适用无加密LDAP命名服务的验证方法第2章LDAP和验证服务19方法绑定线路上的口令OracleDirectoryServerEnterpriseEdition上的口令会话simple是明文任何无加密sasl/digest-MD5是加密明文无加密sasl/cram-MD5是加密不适用无加密sasl/GSSAPI是KerberosKerberos加密tls:simple是加密任何加密tls:sasl/cram-MD5是加密不适用加密tls:sasl/digest-MD5是加密明文加密为LDAP中的特定服务指定验证方法serviceAuthenticationMethod属性确定针对特定服务的验证方法.
如果没有为服务设置此属性,则将使用authenticationMethod属性的值.
如果enableShadowUpdate开关设置为true,ldap_cachemgr守护进程也将遵循相同的顺序来绑定到LDAP服务器:如果未配置serviceAuthenticationMethod属性,则使用authenticationMethod属性的值.
守护进程不会使用none验证方法.
您可以为以下服务选择验证方法:passwd-cmd-由passwd命令用来更改登录口令和口令属性.
有关详细信息,请参见passwd(1)手册页.
keyserv-由chkey和newkey实用程序用来创建和更改用户的Diffie-Hellman密钥对.
有关详细信息,请参阅chkey(1)和newkey(1M)手册页.
pam_ldap-用于验证使用pam_ldap服务的用户.
pam_ldap支持帐户管理.
注-在每用户模式下,Kerberos服务模块用作验证服务并且无需使用ServiceAuthenticationMethod.
下面的示例显示了某个客户机配置文件的一部分,其中,用户将使用sasl/digest-MD5来向目录服务器证明身份,但会使用SSL会话更改口令.
serviceAuthenticationMethod=pam_ldap:sasl/digest-MD5serviceAuthenticationMethod=passwd-cmd:tls:simple可插拔验证方法20使用OracleSolaris11.
2目录和命名服务:LDAP2014年7月可插拔验证方法使用PAM框架,您可以从几种验证服务中进行选择,包括pam_unix_*、pam_krb5和pam_ldap_*模块.
要使用每用户验证,则必须启用pam_krb5.
但是,即使没有指定每用户凭证级别,仍可以使用pam_krb5验证.
如果使用proxy或anonymous凭证级别来访问目录服务器数据,则无法基于每个用户来限制对目录数据的访问.
如果选择了anonymous或proxy验证,请使用pam_ldap模块而非等效的pam_unix_*模块.
pam_ldap模块更灵活,支持更强的验证方法并可以执行帐户管理.
LDAP服务模块如前文所述,如果定义了serviceAuthenticationMethod属性,则该属性将确定用户绑定到LDAP服务器的方式.
否则,将使用authenticationMethod属性.
使用用户标识和所提供的口令将pam_ldap模块成功绑定到服务器之后,该模块将对用户进行验证.
注-以前在使用pam_ldap帐户管理时,所有用户在每次登录系统时都必须提供登录口令以进行验证.
因此,使用ssh等工具进行非基于口令的登录将失败.
在用户登录时,您现在可以在不向目录服务器进行验证的情况下执行帐户管理并检索用户的帐户状态.
目录服务器上的新控制为1.
3.
6.
1.
4.
1.
42.
2.
27.
9.
5.
8.
缺省情况下,此控制处于启用状态.
要修改缺省控制配置,请在目录服务器上添加访问控制指令(accesscontrolinstruction,ACI).
例如:dn:oid=1.
3.
6.
1.
4.
1.
42.
2.
27.
9.
5.
8,cn=features,cn=configobjectClass:topobjectClass:directoryServerFeatureoid:1.
3.
6.
1.
4.
1.
42.
2.
27.
9.
5.
8cn:PasswordPolicyAccountUsableRequestControlaci:(targetattr!
="aci")(version3.
0;acl"AccountUsable";allow(read,search,compare,proxy)(groupdn="ldap:///cn=Administrators,cn=config");)creatorsName:cn=server,cn=plugins,cn=configmodifiersName:cn=server,cn=plugins,cn=configpam_ldap模块不读取userPassword属性.
如果没有客户机使用UNIX验证,则无需授予对userPassword属性的读取权限.
同样,该模块不支持将none作为验证方法.
可插拔验证方法第2章LDAP和验证服务21注意-如果使用simple验证方法,userPassword属性可能会以未加密的方式被第三方读取.
下表汇总了各种验证机制之间的主要区别.
表2-2LDAP中的验证行为事件pam_unix_*pam_ldappam_krb5发送口令使用passwd服务验证方法使用passwd服务验证方法使用Kerberos单点登录技术,不需要口令发送新口令加密不加密(除非使用了TLS)使用Kerberos,不通过线路发送口令存储新口令crypt格式OracleDirectoryServerEnterpriseEdition中定义的口令存储方案口令由Kerberos管理是否需要读取口令是否否更改口令之后,是否与sasl/digest-MD5兼容否.
口令不以未加密形式存储.
用户无法进行验证.
是.
只要将缺省的存储方案设置为clear,用户即可验证身份.
否.
使用了sasl/GSSAPI.
线路上没有口令,目录服务器中也不存储口令,除非所使用的Kerberoskdc在LDAP目录服务器中管理其口令数据库.
是否支持口令策略是.
enableShadowUpdate必须设置为true.
是(如果进行了这样的配置).
请参见pam_krb5(5)手册页和KerberosV5帐户管理模块.
pam_unix_*服务模块如果未配置/etc/pam.
conf文件,则缺省情况下会启用UNIX验证.
注-pam_unix模块已被删除,OracleSolaris将不再支持该模块.
该模块已由一组功能相同或功能更强的其他服务模块所取代.
在本指南中,pam_unix是指提供相同功能的模块,而非pam_unix模块本身.
以下模块提供了与原始pam_unix模块相同的功能.
这些模块是使用其对应的手册页列出的.
pam_authtok_check(5)pam_authtok_get(5)pam_authtok_store(5)pam_dhkeys(5)pam_passwd_auth(5)pam_unix_account(5)可插拔验证方法22使用OracleSolaris11.
2目录和命名服务:LDAP2014年7月pam_unix_auth(5)pam_unix_cred(5)pam_unix_session(5)pam_unix_*模块遵循传统的UNIX验证模式:1.
客户机从名称服务检索用户的加密口令.
2.
系统提示用户输入其口令.
3.
对用户的口令进行加密.
4.
客户机比较这两个经过加密的口令,确定用户是否应通过验证.
pam_unix_*模块具有以下限制:口令必须以UNIXcrypt格式存储.
名称服务必须能够读取userPassword属性.
例如,如果您将凭证级别设置为anonymous,则任何人都必须能够读取userPassword属性.
同样,如果您将凭证级别设置为proxy,则代理用户必须能够读取userPassword属性.
注-UNIX验证与sasl/digest-MD5验证方法不兼容.
在OracleDirectoryServerEnterpriseEdition中,要使用digest-MD5,口令必须以未加密的形式存储.
UNIX验证要求口令以crypt格式存储.
当enableShadowUpdate开关设置为true时,pam_unix_account模块支持帐户管理.
对远程LDAP用户帐户实施控制的方式与对在passwd和shadow文件中定义的本地用户帐户实施控制的方式相同.
对于enableShadowUpdate模式中的LDAP帐户,系统将更新并使用LDAP服务器上的影子数据执行口令生命期和帐户锁定功能.
本地帐户的影子数据仅应用于本地客户机系统,而LDAP用户帐户的影子数据将应用于所有客户机系统上的用户.
只有本地客户机支持口令历史记录检查,LDAP用户帐户不支持此功能.
Kerberos服务模块在以下来源中广泛地讨论了Kerberos:pam_krb5(5)手册页.
《在OracleSolaris11.
2中管理Kerberos和其他验证服务》PAM和更改口令使用passwd命令更改口令.
如果未启用enableShadowUpdate开关,则userPassword属性对于用户和管理员凭证必须是可写的.
对于此操作,passwd-cmd的LDAP帐户管理第2章LDAP和验证服务23serviceAuthenticationMethod会覆盖authenticationMethod.
根据验证方法,当前口令可能是未加密的.
在UNIX验证中,新的userPassword属性将使用UNIXcrypt格式来加密.
该属性将加上标记,然后写入LDAP.
因此,无论使用哪种验证方法绑定到服务器,都会对新口令进行加密.
有关更多信息,请参见pam_authtok_store(5)手册页.
如果已启用enableShadowUpdate开关,则当用户口令更改时,pam_unix_*模块也将更新相关的影子信息.
pam_unix_*模块更新的字段与本地用户口令被更改时该模块在本地shadow文件中更新的shadow字段相同.
pam_ldap模块对口令更新的支持功能已由使用server_policy选项的pam_authtok_store模块所替换.
使用pam_authtok_store时,新口令将以未加密形式发送到LDAP服务器.
为了确保保密性,请使用TLS.
否则,新userPassword将很容易被窥探.
如果您为OracleDirectoryServerEnterpriseEdition设置了未标记的口令,则该软件会使用passwordStorageScheme属性对口令进行加密.
有关passwordStorageScheme的更多信息,请参见所用的OracleDirectoryServerEnterpriseEdition版本的管理指南中有关用户帐户管理的章节.
如果使用UNIX验证的NIS或任何其他客户机将LDAP用作系统信息库,则必须使用crypt配置passwordStorageScheme属性.
此外,如果对OracleDirectoryServerEnterpriseEdition使用sasl/digest-MD5LDAP验证,则必须将passwordStorageScheme配置为明文.
LDAP帐户管理使用pam_krb5执行帐户和口令管理时,Kerberos环境将管理所有的帐户、口令、帐户锁定和其他帐户管理详细信息.
如果您不使用pam_krb5,则可以配置LDAP命名服务以利用OracleDirectoryServerEnterpriseEdition中提供的口令和帐户锁定策略支持.
可以将pam_ldap配置为支持用户帐户管理.
通过正确的PAM配置,passwd命令将强制执行OracleDirectoryServerEnterpriseEdition口令策略所设置的口令语法规则.
但是,不要启用对proxy帐户的帐户管理.
以下帐户管理功能受pam_ldap支持.
这些功能取决于OracleDirectoryServerEnterpriseEdition的口令和帐户锁定策略配置.
您可以启用其中的任意多个功能.
口令生命期和失效通知-用户必须根据预定的时间更改其口令.
否则,口令将失效,用户验证将失败.
在过期警告期间内登录时,用户每次都会收到警告.
警告包含口令失效前的剩余时间.
使用pam_ldap模块进行帐户管理的示例pam_conf文件24使用OracleSolaris11.
2目录和命名服务:LDAP2014年7月口令语法检查-新口令必须符合口令的最低长度要求.
口令不得与用户目录条目中的uid、cn、sn或mail属性的值相同.
历史记录检查中的口令-用户无法重用口令.
LDAP管理员可以配置保留在服务器历史记录列表中的口令数目.
用户帐户锁定-连续验证失败达到指定次数后,会锁定用户帐户.
如果管理员取消激活了某个用户的帐户,该用户也会被锁定.
在帐户锁定时间结束或管理员重新激活帐户之前,验证将一直失败.
注-这些帐户管理功能只能用于OracleDirectoryServerEnterpriseEdition.
有关在服务器上配置口令和帐户锁定策略的信息,请参见所用OracleDirectoryServerEnterpriseEdition版本的管理指南中的"用户帐户管理"一章.
另请参见"使用pam_ldap模块进行帐户管理的示例pam_conf文件"[24].
在OracleDirectoryServerEnterpriseEdition上配置口令和帐户锁定策略之前,请确保所有主机将最新版本的LDAP客户机用于pam_ldap帐户管理.
此外,确保客户机具有正确配置的pam.
conf文件.
否则,当proxy或用户口令到期后,LDAP命名服务将失败.
使用pam_unix_*模块管理LDAP帐户如果已启用enableShadowUpdate开关,帐户管理功能将可用于本地帐户和LDAP帐户.
这些功能包括口令生命期、帐户到期和通知、锁定登录失败的帐户等等.
另外,LDAP中现在支持passwd命令的-dluNfnwx选项.
因此,LDAP命名服务中支持文件命名服务中的passwd命令和pam_unix_*模块的全部功能.
enableShadowUpdate开关可为在文件中和LDAP范围内定义的用户实现一致的帐户管理.
pam_ldap和pam_unix_*模块不兼容.
pam_ldap模块要求口令可由用户修改.
pam_unix_*模块的要求则相反.
因此,无法在同一个LDAP命名域中同时使用这两个模块.
要么所有客户机都使用pam_ldap模块,要么所有客户机都使用pam_unix_*模块.
由于这一限制,您可能需要使用专用的LDAP服务器,以防出现例如Web或电子邮件应用程序可能会要求用户在LDAP服务器上更改其自身口令的情况.
实施enableShadowUpdate还要求将管理员凭证(adminDN和adminPassword)存储在每台客户机本地的svc:/network/ldap/client服务中.
使用pam_unix_*模块进行帐户管理无需更改/etc/pam.
conf文件.
使用缺省的/etc/pam.
conf文件足以满足要求.
使用pam_ldap模块进行帐户管理的示例pam_conf文件本节包含一个示例pam_conf文件.
使用pam_ldap模块进行帐户管理的示例pam_conf文件第2章LDAP和验证服务25##Authenticationmanagement##loginservice(explicitbecauseofpam_dial_auth)#loginauthrequisitepam_authtok_get.
so.
1loginauthrequiredpam_dhkeys.
so.
1loginauthrequiredpam_unix_cred.
so.
1loginauthrequiredpam_dial_auth.
so.
1loginauthbindingpam_unix_auth.
so.
1server_policyloginauthrequiredpam_ldap.
so.
1##rloginservice(explicitbecauseofpam_rhost_auth)#rloginauthsufficientpam_rhosts_auth.
so.
1rloginauthrequisitepam_authtok_get.
so.
1rloginauthrequiredpam_dhkeys.
so.
1rloginauthrequiredpam_unix_cred.
so.
1rloginauthbindingpam_unix_auth.
so.
1server_policyrloginauthrequiredpam_ldap.
so.
1##rshservice(explicitbecauseofpam_rhost_auth,#andpam_unix_authformeaningfulpam_setcred)#rshauthsufficientpam_rhosts_auth.
so.
1rshauthrequiredpam_unix_cred.
so.
1rshauthbindingpam_unix_auth.
so.
1server_policyrshauthrequiredpam_ldap.
so.
1##PPPservice(explicitbecauseofpam_dial_auth)#pppauthrequisitepam_authtok_get.
so.
1pppauthrequiredpam_dhkeys.
so.
1pppauthrequiredpam_dial_auth.
so.
1pppauthbindingpam_unix_auth.
so.
1server_policypppauthrequiredpam_ldap.
so.
1##DefaultdefinitionsforAuthenticationmanagement#Usedwhenservicenameisnotexplicitlymentionedforauthentication#otherauthrequisitepam_authtok_get.
so.
1otherauthrequiredpam_dhkeys.
so.
1otherauthrequiredpam_unix_cred.
so.
1otherauthbindingpam_unix_auth.
so.
1server_policyotherauthrequiredpam_ldap.
so.
1##passwdcommand(explicitbecauseofadifferentauthenticationmodule)#passwdauthbindingpam_passwd_auth.
so.
1server_policypasswdauthrequiredpam_ldap.
so.
1##cronservice(explicitbecauseofnon-usageofpam_roles.
so.
1)#cronaccountrequiredpam_unix_account.
so.
1使用pam_ldap模块进行帐户管理的示例pam_conf文件26使用OracleSolaris11.
2目录和命名服务:LDAP2014年7月##DefaultdefinitionforAccountmanagement#Usedwhenservicenameisnotexplicitlymentionedforaccountmanagement#otheraccountrequisitepam_roles.
so.
1otheraccountbindingpam_unix_account.
so.
1server_policyotheraccountrequiredpam_ldap.
so.
1##DefaultdefinitionforSessionmanagement#Usedwhenservicenameisnotexplicitlymentionedforsessionmanagement#othersessionrequiredpam_unix_session.
so.
1##DefaultdefinitionforPasswordmanagement#Usedwhenservicenameisnotexplicitlymentionedforpasswordmanagement#otherpasswordrequiredpam_dhkeys.
so.
1otherpasswordrequisitepam_authtok_get.
so.
1otherpasswordrequisitepam_authtok_check.
so.
1otherpasswordrequiredpam_authtok_store.
so.
1server_policy##SupportforKerberosV5authenticationandexampleconfigurationscan#befoundinthepam_krb5(5)manpageunderthe"EXAMPLES"section.
#第3章LDAP命名服务的规划要求273第3章LDAP命名服务的规划要求本章讨论在开始设置和安装服务器与客户机之前应进行的高级规划.
本章包含以下主题:"LDAP规划概述"[27]"规划LDAP客户机配置文件的配置"[29]"规划LDAP主服务器和副本服务器的部署"[31]"规划LDAP数据置备"[32]"服务搜索描述符和架构映射"[32]"摘要:用于准备实施LDAP的缺省客户机配置文件属性"[34]LDAP规划概述LDAP规划主要包括确定向LDAP客户机配置文件中放入哪些信息.
客户机使用配置文件中的配置信息集合从LDAP服务器访问命名服务信息.
在LDAP服务器上生成配置文件时可以指定配置信息.
服务器设置期间,系统会提示您输入该信息.
提示输入的某些信息是必需的,而其他信息则是可选信息.
在大多数情况下,将会接受已提供的缺省值.
提示输入的配置文件的各类信息称为客户机属性.
随着配置文件的配置信息越来越多,可以使用"用于配置LDAP的空核对表"[35]上的模板核对表.
您可以在设置LDAP服务器时将这些核对表用作参考信息.
下表显示了LDAP客户机配置文件属性.
表3-1LDAP客户机配置文件属性属性说明cn配置文件的名称.
该属性没有缺省值.
必须指定该属性值.
preferredServerList首选服务器的主机地址是以空格分隔的服务器地址的列表.
(请勿使用主机名.
)将先尝试与该列表中的服务器建立连接,然后再尝试与defaultServerList中的服务器建立连接,直到成功建立连接.
该属性没有缺省值.
必须至少在preferredServerList或defaultServerList中指定一台服务器.
LDAP规划概述28使用OracleSolaris11.
2目录和命名服务:LDAP2014年7月属性说明注-如果要使用主机名同时定义defaultServerList和preferredServerList,则不得将LDAP用于主机服务器查找搜索.
不要将svc:/network/name-service/switch服务的config/host属性值配置为ldap.
defaultServerList缺省服务器的主机地址是以空格分隔的服务器地址的列表.
(请勿使用主机名.
)在尝试与preferredServerlist中的服务器建立连接之后,会先尝试与客户机所在子网中的缺省服务器建立连接,然后再尝试与其余的缺省服务器建立连接,直到成功建立连接.
必须至少在preferredServerList或defaultServerList中指定一台服务器.
只有在尝试与首选服务器列表中的服务器建立连接之后,才会尝试与该列表中的服务器建立连接.
该属性没有缺省值.
defaultSearchBase用于查找已知容器的相对DN.
该属性没有缺省值.
不过,对于给定服务,可以使用serviceSearchDescriptor属性来覆盖该值.
defaultSearchScope定义客户机要搜索的数据库范围.
可以使用serviceSearchDescriptor属性覆盖该属性.
可能的值为one或sub.
缺省值为单级别搜索.
authenticationMethod标识了客户机使用的验证方法.
缺省值为none(anonymous).
有关更多信息,请参见"LDAP命名服务的验证方法"[17].
credentialLevel标识了客户机进行验证时应使用的凭证的类型.
选项有anonymous、proxy或self(也称为每用户).
缺省值为anonymous.
serviceSearchDescriptor定义客户机应如何以及应在何处搜索命名数据库,例如,客户机应在DIT中的一个点还是多个点执行查找.
缺省情况下,不定义任何SSD.
serviceAuthenticationMethod客户机针对指定服务使用的验证方法.
缺省情况下,不定义任何服务验证方法.
如果某个服务未定义serviceAuthenticationMethod,则使用authenticationMethod的缺省值.
attributeMap客户机使用的属性映射.
缺省情况下,不定义任何attributeMap.
objectclassMap客户机使用的对象类映射.
缺省情况下,未定义任何objectclassMap.
searchTimeLimit客户机上的搜索操作在超时之前可以执行的最长时间(秒).
该值不会影响在LDAP服务器上完成搜索所需的时间.
缺省值为30秒.
bindTimeLimit客户机与服务器的绑定在超时之前可以持续的最长时间(秒).
缺省值为30秒.
followReferrals指定客户机是否应遵循LDAP引用.
可能的值包括TRUE或FALSE.
缺省值为TRUE.
profileTTLldap_cachemgr(1M)从LDAP服务器刷新客户机配置文件的间隔时间.
缺省值为43200秒,即12小时.
如果指定的值为0,则不刷新配置文件.
当您在服务器上运行idsconfig命令时,将自动设置这些属性.
其他客户机属性可通过使用ldapclient命令在客户机系统本地进行设置.
有关这些属性的更多信息,请参见"定义本地客户机属性"[59].
规划LDAP客户机配置文件的配置第3章LDAP命名服务的规划要求29规划LDAP客户机配置文件的配置要正确设置LDAP命名服务,必须先规划LDAP客户机配置文件的配置.
配置文件属性的缺省值可满足大多数网络的要求.
但是,根据您自己的网络拓扑,可能要为某些配置文件属性指定非缺省值.
本节介绍了您可能要配置的不同属性.
LDAP网络模型规划LDAP网络模型是指确定要为LDAP命名服务部署的物理服务器.
要确保可用性和性能,网络的每个子网都必须有一个LDAP服务器来为该子网中的客户机提供服务.
规划该模型时,您应考虑以下事项:要部署为LDAP服务器的系统数量哪些服务器指定为主服务器,哪些服务器是用作备份的副本服务器访问服务器的方式所有的LDAP服务器是否都对客户机请求的访问具有同等的优先级还是服务器具有不同的优先级,会首先访问具有较高优先级的服务器如果访问服务器的优先级不同,则列出访问这些服务器的顺序.
指定的信息由defaultServerList和preferredServerList属性进行管理.
超时因素按如下所示确定超时值:bindTimeLimit属性用于确定在丢弃请求之前,TCP连接请求持续的时间.
searchTimeLimit属性用于确定在取消搜索之前,LDAP搜索操作持续的时间.
profileTTL属性确定客户机从服务器下载配置文件的频率.
例如,在速度较慢的网络中,您可以增加搜索和TCP连接请求所持续的时间长度.
在开发环境中,您可以限制客户机下载配置文件的频率.
目录信息树LDAP命名服务使用缺省目录信息树(directoryinformationtree,DIT)存储信息.
DIT本身基于LDAP架构.
DIT由多个具有层次结构的信息容器组成.
该结构使用RFC2307(http://tools.
ietf.
org/html/rfc2307)和RFC4876(http://tools.
ietf.
org/html/rfc4876)中所述的标准LDAP架构.
DIT的缺省结构可满足大多数网络设置实施LDAP的要求.
使用缺省结构时,您只需确定以下内容:规划LDAP客户机配置文件的配置30使用OracleSolaris11.
2目录和命名服务:LDAP2014年7月命名服务将从中搜索特定域相关信息的树的基本节点标识名(distinguishedname,DN).
基本节点信息由defaultSearchBase属性进行管理.
命名服务查找功能应执行的搜索的范围.
该范围可以只涵盖DN以下的一个级别,也可以涵盖DN以下的整个子树.
此信息由属性defaultSearchScope进行管理DIT还可以用更为复杂的结构来存储数据.
例如,用户帐户相关的数据可存储在DIT的不同部分.
您应确定如何定制搜索操作的行为(如基本DN、搜索范围和过滤器),以使用其覆盖缺省搜索序列.
定制的搜索序列信息由属性serviceSearchDescriptor、attributeMap和objectclassMap进行管理.
有关定制搜索序列操作的详细说明,请参见"服务搜索描述符和架构映射"[32].
多个服务器可为单个DIT提供服务.
在此设置中,DIT的子树可分布在多个服务器中.
因此,您必须进一步配置LDAP服务器,以将客户机请求正确重定向到可提供所请求信息的相应LDAP服务器.
有关如何将客户机请求重定向到正确服务器的信息由followReferrals属性进行管理.
通常建议的设置是使用单个LDAP服务器向特定域提供所有命名数据.
但是,即使在此示例中,您仍可以将followReferrals属性配置用于特定目的.
通过引用,您可以针对大多数信息请求,将客户机定向到只读副本服务器.
仅在少数例外情况下,才提供对主服务器的访问权限以执行读写操作.
通过引用配置,您可以防止主服务器过载.
安全注意事项对于处理目录信息请求的LDAP操作的安全性,您需要考虑以下事项:客户机标识自身以访问信息的方式.
标识的方式由为客户机指定的凭证级别确定.
凭证级别通过credentialLevel属性管理,可向其指定以下值之一:anonymousproxyproxyanonymousself有关其中某个值的详细说明,请参见"客户机凭证级别"[15].
验证客户机的方法.
您指定的方法由authenticationMethod属性进行管理.
可通过指定以下任一选项来指定验证方法:nonesimplesasl/digest-MD5sasl/cram-MD5sasl/GSSAPItls:simpletls:sasl/cram-MD5规划LDAP主服务器和副本服务器的部署第3章LDAP命名服务的规划要求31tls:sasl/digest-MD5有关其中某个值的详细说明,请参见"LDAP命名服务的验证方法"[17].
除了要分配给客户机的凭证级别以及要使用的验证方法,还应考虑以下事项:是否要使用Kerberos和"每用户"验证要为服务器的passwordStorageScheme属性指定的值是否设置访问控制信息有关ACI的更多信息,请查阅所用OracleDirectoryServerEnterpriseEdition版本的管理指南.
将使用pam_unix_*还是pam_ldap模块来执行LDAP帐户管理此注意事项与LDAP命名服务是否与NIS兼容有关.
规划LDAP主服务器和副本服务器的部署主服务器和副本服务器可通过以下方式进行部署:单主复制浮动主复制多主复制下表比较了部署LDAP主服务器和副本服务器的三个策略.
表3-2LDAP主服务器和副本服务器策略说明风险单主复制特定网络或子网存在一个主服务器.
主服务器存储目录的可写副本.
副本数据库存储只读副本.
只有主服务器才可执行写操作.
单点故障.
如果主服务器变为不可用,则任何其他服务器都不可执行写操作.
浮动主复制与单主复制类似.
但是,如果主服务器变为不可用,另一台副本服务器可执行写操作.
可基于算法选择接管写操作的副本服务器.
针对网络配置更改的策略不具有灵活性.
例如,网络细分为子网.
两个子网上的副本服务器都将成为主服务器.
如果子网随后在一段时间内重新连接,则使用浮动主复制策略重新部署服务器的重新配置过程将变得很复杂.
多主复制多个主服务器存储同一目录的读写副本.
可能出现在不同的主服务器中更新同一目录的冲突.
如果采用此策略,则必须建立更新冲突的解决策略,如"以最后写入者为准".
有关如何设置副本服务器的信息,请参阅您所用OracleDirectoryServerEnterpriseEdition版本的管理指南.
对于大规模企业部署,建议使用多主复制.
规划LDAP数据置备32使用OracleSolaris11.
2目录和命名服务:LDAP2014年7月规划LDAP数据置备在为LDAP服务器配置了正确的DIT和架构后,需要向DIT置备数据.
数据源是多个系统中的/etc文件.
您需要考虑使用何种方法置备DIT:将某种特定数据类型的/etc文件合并到该数据类型的单个文件,例如将不同系统中的所有/etc/passwd文件合并到单个/etc/passwd文件中.
然后,从存储所有合并的/etc文件的该单个主机填充服务器.
通过从每个访问目录服务器的客户机系统发出相应的命令来置备服务器.
有关填充目录服务器的步骤,请参见"使用数据置备LDAP服务器"[48].
服务搜索描述符和架构映射如上所述,LDAP命名服务要求DIT具有某种特定结构.
如果需要,您可以通过使用服务搜索描述符(servicesearchdescriptor,SSD)指示LDAP命名服务在DIT中的其他位置而不是缺省位置进行搜索.
另外,您可以指定使用不同的属性和对象类替代缺省架构所指定的属性和对象类.
有关缺省过滤器列表,请使用以下命令:ldaplist-v注-"LDAP命名服务使用的缺省过滤器"[97]中也列出了缺省过滤器.
如果您使用架构映射,请务必谨慎并采用一致的方式.
应确保被映射的属性的语法与其映射到的属性的语法一致.
换言之,应确保单值属性映射到单值属性,属性的语法保持一致,并且被映射的对象类应该具有正确的强制性属性(可能是映射的属性).
SSD说明serviceSearchDescriptor属性定义LDAP命名服务客户机如何以及在何处搜索特定服务的信息.
serviceSearchDescriptor包含一个服务名称,其后跟一个或多个用分号分隔的base-scope-filter(基-范围-过滤器)三元参数.
使用这些base-scope-filter(基-范围-过滤器)三元参数,可以定义仅搜索特定服务并按顺序进行搜索.
如果为某个给定服务指定了多个base-scope-filter(基-范围-过滤器),则该服务在查找特定条目时,将使用指定的范围和过滤器在每个基容器中进行搜索.
注-使用SSD时,不会在缺省位置中搜索服务(数据库),除非该SSD中包括缺省位置.
如果为某个服务指定了多个SSD,将会产生不可预测的行为.
在下面的示例中,LDAP命名服务客户机针对passwd服务在ou=west,dc=example,dc=com中执行单级搜索,然后在ou=east,dc=example,dc=com中执服务搜索描述符和架构映射第3章LDAP命名服务的规划要求33行单级搜索.
为了查找某个用户的username的passwd数据,将针对每个BaseDN使用缺省的LDAP过滤器(&(objectClass=posixAccount)(uid=username)).
serviceSearchDescriptor:passwd:ou=west,dc=example,dc=com;ou=east,dc=example,dc=com在下面的示例中,LDAP命名服务客户机将针对passwd服务在ou=west,dc=example,dc=com中执行子树搜索.
为了查找用户username的passwd数据,将使用LDAP过滤器(&(fulltimeEmployee=TRUE)(uid=username))来搜索子树ou=west,dc=example,dc=com.
serviceSearchDescriptor:passwd:ou=west,dc=example,dc=comsubfulltimeEmployee=TRUE还可以将多个容器与一个特定的服务类型相关联.
在以下示例中,服务搜索描述符指定在三个容器中搜索口令条目.
ou=myuser,dc=example,dc=comou=newuser,dc=example,dc=comou=extuser,dc=example,dc=com请注意,在下面的示例中,SSD中的结尾','表示defaultSearchBase将附加到相对基容器之后.
defaultSearchBase:dc=example,dc=comserviceSearchDescriptor:\passwd:ou=myuser,;ou=newuser,;ou=extuser,dc=example,dc=comattributeMap属性LDAP命名服务允许为其任何服务重新映射一个或多个属性名称.
如果您映射某个属性,必须确保该属性与初始属性具有相同的含义和语法.
请注意,映射userPassword属性可能会引起问题.
您可能会发现想要在现有目录服务器中映射属性的情况下,使用架构映射十分有用.
如果您的用户名只存在大小写差异,则必须将忽略大小写的uid属性映射到不忽略大小写的属性.
此属性的格式为service:attribute-name=mapped-attribute-name.
如果要为给定服务映射多个属性,则可以定义多个attributeMap属性.
在以下示例中,只要将uid和homeDirectory属性用于passwd服务时,便会使用employeeName和home属性.
attributeMap:passwd:uid=employeeName摘要:用于准备实施LDAP的缺省客户机配置文件属性34使用OracleSolaris11.
2目录和命名服务:LDAP2014年7月attributeMap:passwd:homeDirectory=home请注意,您可以将passwd服务的gecos属性映射到多个属性,如以下示例所示:attributeMap:gecos=cnsntitle以上示例将gecos值映射到一个以空格分隔的包含cn、sn和title属性值的列表.
objectclassMap属性LDAP命名服务允许为其任何服务重新映射对象类.
如果要为给定服务映射多个对象类,则可以定义多个objectclassMap属性.
在以下示例中,只要使用posixAccount对象类,便会使用myUnixAccount对象类:objectclassMap:passwd:posixAccount=myUnixAccount摘要:用于准备实施LDAP的缺省客户机配置文件属性以下列表确定了您通常会配置以实施LDAP命名服务的重要属性.
请注意,并非所有这些属性都需要配置.
在列出的属性中,只有cn、defaultServerList和defaultSearchBase要求您提供值.
对于其他属性,您可以接受缺省值,或保留其他属性而不进行任何配置.
cndefaultServerListpreferredServerListbindTimeLimitsearchTimeLimitprofileTTLdefaultSearchBasedefaultSearchScopeserviceSearchDescriptorattributeMapobjectclassMapfollowReferralscredentialLevelauthenticationMethodserviceCredentialLevelserviceAuthenticationMethod用于配置LDAP的空核对表第3章LDAP命名服务的规划要求35用于配置LDAP的空核对表表3-3用于服务器变量定义的空核对表变量针对_______网络的定义安装目录服务器实例的端口号(389)服务器名称副本服务器(IPnumber:portnumber)目录管理器[dn:cn=directorymanager]要为其提供服务的域名在超时之前处理客户端请求的最长时间(秒)为每个搜索请求返回的最多项数表3-4用于客户机配置文件变量定义的空核对表变量针对_______网络的定义配置文件名称服务器列表(缺省值为本地子网)首选服务器列表(按照对服务器进行查找的顺序列出)搜索范围(沿着目录树向下查找的层数.
可能的值包括'One'或'Sub')用于获取服务器访问权限的凭证.
缺省值为anonymous.
是否遵循引用(引用是当主服务器不可用时指向另一台服务器的指针.
)缺省值为no.
等待服务器返回信息的搜索时间限制(秒).
缺省值为30秒.
与服务器进行联系时的绑定时间限制(秒).
缺省值为30秒.
验证方法.
缺省值为none.
36使用OracleSolaris11.
2目录和命名服务:LDAP2014年7月第4章设置OracleDirectoryServerEnterpriseEdition和LDAP客户机374第4章设置OracleDirectoryServerEnterpriseEdition和LDAP客户机本章介绍了如何配置OracleDirectoryServerEnterpriseEdition以支持LDAP客户机.
本章中的信息特定于OracleDirectoryServerEnterpriseEdition.
注-必须已安装和配置OracleDirectoryServerEnterpriseEdition,然后才能配置其与LDAP客户机一起使用.
本章并不介绍OracleDirectoryServerEnterpriseEdition的所有功能.
有关更多的详细信息,请参阅您所拥有的特定目录服务器的文档.
本章包含以下主题:"准备用于配置目录服务器的信息"[37]"创建目录树定义"[39]"LDAP的服务器配置示例"[40]"其他目录服务器配置任务"[50]准备用于配置目录服务器的信息要为LDAP命名服务配置目录服务器,您必须具备两组信息:服务器信息和客户机配置文件信息.
LDAP的服务器信息配置目录服务器时,系统会提示您提供有关该服务器的以下信息:目录服务器实例的端口号.
缺省情况下,端口号为389.
服务器名称.
副本服务器的IP地址和端口号.
目录管理器,由变量cn表示.
缺省情况下,cn设置为directorymanager.
要为其提供服务的域名.
在请求超时之前处理客户机请求的最长时间(秒).
为每个搜索请求提供的最大记录信息数.
准备用于配置目录服务器的信息38使用OracleSolaris11.
2目录和命名服务:LDAP2014年7月有关服务器的某些信息是在"规划LDAP客户机配置文件的配置"[29]中介绍的LDAP客户机配置文件的一些属性.
为方便准备服务器信息,请使用"用于配置LDAP的空核对表"[35]中的样例核对表,该核对表列出了这些变量以及要分配的对应值.
LDAP的客户机配置文件信息必须具备有关LDAP客户机配置文件属性的信息.
请求相关信息时,这些属性会控制客户机对服务器的访问.
有关这些属性的说明,请参见"规划LDAP客户机配置文件的配置"[29].
客户机配置文件的名称.
LDAP服务器的列表.
访问服务器的首选顺序.
通常,服务器列表及其访问顺序由服务器的IP地址组成.
或者,您可以指定服务器的主机名.
但是,如果使用主机名,则务必不要使用LDAP进行主机查找操作.
因此,一定不要配置svc:/network/name-service/switch服务的config/host属性中的ldap.
有关LDAP和服务管理工具(ServiceManagementFacility,SMF)的信息,请参见"LDAP和服务管理工具"[57].
在目录树上搜索的范围.
缺省值为one,但您可以指定sub.
访问服务器的凭证对其他LDAP服务器的引用,假如目录中的信息分布在多个服务器中的话.
值为No(缺省值)或Yes.
在超时之前,接收服务器对请求的响应的等待时间.
在超时之前与服务器进行联系的最长时间.
验证方法.
注-客户机配置文件是按每个域进行定义的.
必须至少为给定的域定义一个配置文件.
为方便准备客户机配置文件信息,请使用"用于配置LDAP的空核对表"[35]中的样例核对表,该核对表列出了这些变量以及要分配的对应值.
使用浏览索引OracleDirectoryServerEnterpriseEdition的浏览索引功能称为虚拟列表视图(VirtualListView,VLV).
借助VLV,客户机可以从一长串的列表中查看选择的条目子集,从而可以缩短每个客户机的搜索时间.
在为树创建VLV的过程的最后会创建目录信息树.
屏幕中提供了在创建VLV时所发出的命令的说明.
必须在目录服务器上发出这些命令.
创建目录树定义第4章设置OracleDirectoryServerEnterpriseEdition和LDAP客户机39创建目录树定义收集必要的服务器和客户机配置文件信息后,请为LDAP设置OracleDirectoryServerEnterpriseEdition.
使用idsconfig可依据核对表上的定义来生成目录信息树.
使用idsconfig命令创建DIT时,实际上是在构建客户机配置文件及其属性(如表3-1"LDAP客户机配置文件属性"中列出的内容).
客户机配置文件存储在LDAP服务器上的一个众所周知的位置中.
在服务器上使用单一配置文件的优点是,可以针对使用该服务器的所有客户机来定义配置.
配置文件属性之后的任何更改都会自动传播到客户机.
给定域的根DN必须具有一个对象类nisDomainObject和一个包含客户机所在域的nisDomain属性.
所有的配置文件都位于相对于此容器的ou=profile容器中.
这些配置文件应可以匿名读取.
可以从网络的任何OracleSolaris系统上创建目录定义.
但是,在这种情况下,idsconfig命令的输出将以明文形式包含目录管理器的口令.
作为避免公开口令的备选方法,请由目录服务器本身发出命令.
有关idsconfig命令的更多信息,请参见idsconfig(1M)命令手册页.
注-您可以在创建目录树的同时,创建服务搜索描述符(ServiceSearchDescriptors,SSD).
通过同一个命令(idsconfig命令)可同时启动这两个操作.
但是,如果愿意,您可以在单独的操作中创建SSD.
有关SSD及其用途的说明,请参见"服务搜索描述符和架构映射"[32].
如何为LDAP命名服务配置OracleDirectoryServerEnterpriseEdition1.
确保目标OracleDirectoryServerEnterpriseEdition正在运行.
2.
生成目录信息树.
#/usr/lib/ldap/idsconfig3.
根据系统提示提供信息.
4.
按照屏幕上的说明来生成VLV索引.
在创建DIT过程结束时,将通过单独的操作来生成VLV索引.
屏幕提供了相应的命令语法.
请确保在服务器上执行这些说明.
在idsconfig进程完成时,说明将显示如下:Note:idsconfighascreatedentriesforVLVindexes.
ForDS5.
x,usethedirectoryserver(1m)scriptonmyservertostoptheserver.
Then,usingdirectoryserver,followtheLDAP的服务器配置示例40使用OracleSolaris11.
2目录和命名服务:LDAP2014年7月directoryserverexamplesbelowtocreatetheactualVLVindexes.
ForDSEE6.
x,usedsadmcommanddeliveredwithDSonmyservertostoptheserver.
Then,usingdsadm,followthedsadmexamplesbelowtocreatetheactualVLVindexes.
有关运行idsconfig命令时的完整输出,请参见"生成目录信息树"[40]中的屏幕示例.
LDAP的服务器配置示例本节提供了OracleDirectoryServerEnterpriseEdition在使用LDAP命名服务时,其系统配置的各个方面的示例.
示例演示了一家在全国各地设有分支机构的公司Example,Inc.
.
具体来说,示例侧重于公司西海岸分部的LDAP配置,其中域名为west.
example.
com.
生成目录信息树下表列出了west.
example.
com的服务器信息.
表4-1为west.
example.
com域定义的服务器变量变量针对示例网络的定义安装了目录服务器实例的端口号389(缺省值)服务器名称myserver(来自FQDNmyserver.
west.
example.
com或192.
168.
0.
1的主机名)副本服务器(IP号:端口号)192.
168.
0.
2[对于myreplica.
west.
example.
com]目录管理器cn=directorymanager(缺省值)要为其提供服务的域名west.
example.
com在超时之前处理客户端请求的最长时间(秒)1为每个搜索请求返回的最多项数1下表列出了客户机配置文件信息.
表4-2为west.
example.
com域定义的客户机配置文件变量变量针对示例网络的定义配置文件名(缺省名称是default)WestUserProfile服务器列表(缺省值为本地子网)192.
168.
0.
1首选服务器列表(按照对服务器进行查找的顺序列出)noneLDAP的服务器配置示例第4章设置OracleDirectoryServerEnterpriseEdition和LDAP客户机41变量针对示例网络的定义搜索范围(沿着目录树one(缺省)或sub向下查找的层数)one(缺省值)用于获取服务器访问权限的凭证.
缺省值为anonymous.
proxy是否遵循引用(主服务器不可用时指向另一台服务器的指针).
缺省值为no.
Y等待服务器返回信息的搜索时间限制(缺省值为30秒).
default与服务器进行联系时的绑定时间限制(缺省值为10秒).
default验证方法.
缺省值为none.
simple根据上述信息,您可以创建目录树.
#usr/lib/ldap/idsconfigItisstronglyrecommendedthatyouBACKUPthedirectoryserverbeforerunningidsconfig.
HitCtrl-Catanytimebeforethefinalconfirmationtoexit.
Doyouwishtocontinuewithserversetup(y/n/h)[n]yEntertheJESDirectoryServer'shostnametosetup:myserverEntertheportnumberforDSEE(h=help):[389]EnterthedirectorymanagerDN:[cn=DirectoryManager]Enterpasswdforcn=DirectoryManager:Enterthedomainnametobeserved(h=help):[west.
example.
com]EnterLDAPBaseDN(h=help):[dc=west,dc=example,dc=com]CheckingLDAPBaseDN.
.
.
ValidatingLDAPBaseDNandSuffix.
.
.
NovalidsuffixeswerefoundforBaseDNdc=west,dc=example,dc=comEntersuffixtobecreated(b=back/h=help):[dc=west,dc=example,dc=com]Enterldbmdatabasename(b=back/h=help):[west]sasl/GSSAPIisnotsupportedbythisLDAPserverEntertheprofilename(h=help):[default]WestUserProfileDefaultserverlist(h=help):[192.
168.
0.
1]Preferredserverlist(h=help):Choosedesiredsearchscope(one,sub,h=help):[one]Thefollowingarethesupportedcredentiallevels:1anonymous2proxy3proxyanonymous4selfChooseCredentiallevel[h=help]:[1]2ThefollowingarethesupportedAuthenticationMethods:1none2simple3sasl/DIGEST-MD54tls:simple5tls:sasl/DIGEST-MD56sasl/GSSAPIChooseAuthenticationMethod(h=help):[1]2CurrentauthenticationMethod:simpleDoyouwanttoaddanotherAuthenticationMethodnLDAP的服务器配置示例42使用OracleSolaris11.
2目录和命名服务:LDAP2014年7月Doyouwanttheclientstofollowreferrals(y/n/h)[n]Doyouwanttomodifytheservertimelimitvalue(y/n/h)[n]yEnterthetimelimitforDSEE(current=3600):[-1]Doyouwanttomodifytheserversizelimitvalue(y/n/h)[n]yEnterthesizelimitforDSEE(current=2000):[-1]Doyouwanttostorepasswordsin"crypt"format(y/n/h)[n]yDoyouwanttosetupaServiceAuthenticationMethods(y/n/h)[n]Clientsearchtimelimitinseconds(h=help):[30]ProfileTimeToLiveinseconds(h=help):[43200]Bindtimelimitinseconds(h=help):[10]Doyouwanttoenableshadowupdate(y/n/h)[n]DoyouwishtosetupServiceSearchDescriptors(y/n/h)[n]SummaryofConfiguration1Domaintoserve:west.
example.
com2BaseDNtosetup:dc=west,dc=example,dc=comSuffixtocreate:dc=west,dc=example,dc=comDatabasetocreate:west3Profilenametocreate:WestUserProfile4DefaultServerList:192.
168.
0.
15PreferredServerList:6DefaultSearchScope:one7CredentialLevel:proxy8AuthenticationMethod:simple9EnableFollowReferrals:FALSE10DSEETimeLimit:-111DSEESizeLimit:-112Enablecryptpasswordstorage:TRUE13ServiceAuthMethodpam_ldap:14ServiceAuthMethodkeyserv:15ServiceAuthMethodpasswd-cmd:16SearchTimeLimit:3017ProfileTimetoLive:4320018BindLimit:1019Enableshadowupdate:FALSE20ServiceSearchDescriptorsMenuEnterconfigvaluetochange:(1-200=commitchanges)[0]EnterDNforproxyagent:[cn=proxyagent,ou=profile,dc=west,dc=example,dc=com]Enterpasswdforproxyagent:Re-enterpasswd:WARNING:Abouttostartcommittingchanges.
(y=continue,n=EXIT)y1.
Changedtimelimitto-1incn=config.
2.
Changedsizelimitto-1incn=config.
3.
Changedpasswordstorageschemeto"crypt"incn=config.
4.
Schemaattributeshavebeenupdated.
5.
Schemaobjectclassdefinitionshavebeenadded.
6.
Databasewestsuccessfullycreated.
7.
Suffixdc=west,dc=example,dc=comsuccessfullycreated.
8.
NisDomainObjectaddedtodc=west,dc=example,dc=com.
9.
Toplevel"ou"containerscomplete.
10.
automountmaps:auto_homeauto_directauto_masterauto_sharedprocessed.
LDAP的服务器配置示例第4章设置OracleDirectoryServerEnterpriseEdition和LDAP客户机4311.
ACIfordc=west,dc=example,dc=commodifiedtodisableselfmodify.
12.
AddofVLVAccessControlInformation(ACI).
13.
ProxyAgentcn=proxyagent,ou=profile,dc=west,dc=example,dc=comadded.
14.
Givecn=proxyagent,ou=profile,dc=west,dc=example,dc=comreadpermissionforpassword.
15.
Generatedclientprofileandloadedonserver.
16.
Processingeq,presindexes:uidNumber(eq,pres)Finishedindexing.
ipNetworkNumber(eq,pres)Finishedindexing.
gidnumber(eq,pres)Finishedindexing.
oncrpcnumber(eq,pres)Finishedindexing.
automountKey(eq,pres)Finishedindexing.
17.
Processingeq,pres,subindexes:ipHostNumber(eq,pres,sub)Finishedindexing.
membernisnetgroup(eq,pres,sub)Finishedindexing.
nisnetgrouptriple(eq,pres,sub)Finishedindexing.
18.
ProcessingVLVindexes:west.
example.
com.
getgrentvlv_indexEntrycreatedwest.
example.
com.
gethostentvlv_indexEntrycreatedwest.
example.
com.
getnetentvlv_indexEntrycreatedwest.
example.
com.
getpwentvlv_indexEntrycreatedwest.
example.
com.
getrpcentvlv_indexEntrycreatedwest.
example.
com.
getspentvlv_indexEntrycreatedwest.
example.
com.
getauhoentvlv_indexEntrycreatedwest.
example.
com.
getsoluentvlv_indexEntrycreatedwest.
example.
com.
getauduentvlv_indexEntrycreatedwest.
example.
com.
getauthentvlv_indexEntrycreatedwest.
example.
com.
getexecentvlv_indexEntrycreatedwest.
example.
com.
getprofentvlv_indexEntrycreatedwest.
example.
com.
getmailentvlv_indexEntrycreatedwest.
example.
com.
getbootentvlv_indexEntrycreatedwest.
example.
com.
getethentvlv_indexEntrycreatedwest.
example.
com.
getngrpentvlv_indexEntrycreatedwest.
example.
com.
getipnentvlv_indexEntrycreatedwest.
example.
com.
getmaskentvlv_indexEntrycreatedwest.
example.
com.
getprentvlv_indexEntrycreatedwest.
example.
com.
getip4entvlv_indexEntrycreatedwest.
example.
com.
getip6entvlv_indexEntrycreatedidsconfig:SetupofDSEEservermyserveriscomplete.
Note:idsconfighascreatedentriesforVLVindexes.
ForDS5.
x,usethedirectoryserver(1m)scriptonmyservertostoptheserver.
Then,usingdirectoryserver,followthedirectoryserverexamplesbelowtocreatetheactualVLVindexes.
ForDSEE6.
x,usedsadmcommanddeliveredwithDSonmyservertostoptheserver.
Then,usingdsadm,followthedsadmexamplesbelowtocreatetheactualVLVindexes.
以下屏幕包含要完成idsconfig设置需要遵循的其他说明.
directoryserver-svlvindex-nwest-Twest.
example.
com.
getgrentLDAP的服务器配置示例44使用OracleSolaris11.
2目录和命名服务:LDAP2014年7月directoryserver-svlvindex-nwest-Twest.
example.
com.
gethostentdirectoryserver-svlvindex-nwest-Twest.
example.
com.
getnetentdirectoryserver-svlvindex-nwest-Twest.
example.
com.
getpwentdirectoryserver-svlvindex-nwest-Twest.
example.
com.
getrpcentdirectoryserver-svlvindex-nwest-Twest.
example.
com.
getspentdirectoryserver-svlvindex-nwest-Twest.
example.
com.
getauhoentdirectoryserver-svlvindex-nwest-Twest.
example.
com.
getsoluentdirectoryserver-svlvindex-nwest-Twest.
example.
com.
getauduentdirectoryserver-svlvindex-nwest-Twest.
example.
com.
getauthentdirectoryserver-svlvindex-nwest-Twest.
example.
com.
getexecentdirectoryserver-svlvindex-nwest-Twest.
example.
com.
getprofentdirectoryserver-svlvindex-nwest-Twest.
example.
com.
getmailentdirectoryserver-svlvindex-nwest-Twest.
example.
com.
getbootentdirectoryserver-svlvindex-nwest-Twest.
example.
com.
getethentdirectoryserver-svlvindex-nwest-Twest.
example.
com.
getngrpentdirectoryserver-svlvindex-nwest-Twest.
example.
com.
getipnentdirectoryserver-svlvindex-nwest-Twest.
example.
com.
getmaskentdirectoryserver-svlvindex-nwest-Twest.
example.
com.
getprentdirectoryserver-svlvindex-nwest-Twest.
example.
com.
getip4entdirectoryserver-svlvindex-nwest-Twest.
example.
com.
getip6entinstall-path/bin/dsadmreindex-l-twest.
example.
com.
getgrent\directory-instance-pathdc=west,dc=example,dc=cominstall-path/bin/dsadmreindex-l-twest.
example.
com.
gethostent\directory-instance-pathdc=west,dc=example,dc=com.
.
.
install-path/bin/dsadmreindex-l-twest.
example.
com.
getip6ent\directory-instance-pathdc=west,dc=example,dc=com可以使用idsconfig实用程序在为新配置文件生成DIT时启用影子更新.
要启用影子更新,必须在提示Doyouwanttoenableshadowupdate(y/n/h)[n]时键入y.
必须在提示Enterpasswdfortheadministrator:时键入管理员口令.
以下示例显示了如何使用idsconfig实用程序启用影子更新.
#usr/lib/ldap/idsconfigItisstronglyrecommendedthatyouBACKUPthedirectoryserverbeforerunningidsconfig.
HitCtrl-Catanytimebeforethefinalconfirmationtoexit.
Doyouwishtocontinuewithserversetup(y/n/h)[n]yEntertheJESDirectoryServer'shostnametosetup:myserverEntertheportnumberforDSEE(h=help):[389]EnterthedirectorymanagerDN:[cn=DirectoryManager]Enterpasswdforcn=DirectoryManager:Enterthedomainnametobeserved(h=help):[west.
example.
com]EnterLDAPBaseDN(h=help):[dc=west,dc=example,dc=com]CheckingLDAPBaseDN.
.
.
ValidatingLDAPBaseDNandSuffix.
.
.
NovalidsuffixeswerefoundforBaseDNdc=west,dc=example,dc=comEntersuffixtobecreated(b=back/h=help):[dc=west,dc=example,dc=com]LDAP的服务器配置示例第4章设置OracleDirectoryServerEnterpriseEdition和LDAP客户机45Enterldbmdatabasename(b=back/h=help):[west]sasl/GSSAPIisnotsupportedbythisLDAPserverEntertheprofilename(h=help):[default]WestUserProfileDefaultserverlist(h=help):[192.
168.
0.
1]Preferredserverlist(h=help):Choosedesiredsearchscope(one,sub,h=help):[one]Thefollowingarethesupportedcredentiallevels:1anonymous2proxy3proxyanonymous4selfChooseCredentiallevel[h=help]:[1]2ThefollowingarethesupportedAuthenticationMethods:1none2simple3sasl/DIGEST-MD54tls:simple5tls:sasl/DIGEST-MD56sasl/GSSAPIChooseAuthenticationMethod(h=help):[1]2CurrentauthenticationMethod:simpleDoyouwanttoaddanotherAuthenticationMethodnDoyouwanttheclientstofollowreferrals(y/n/h)[n]Doyouwanttomodifytheservertimelimitvalue(y/n/h)[n]yEnterthetimelimitforDSEE(current=3600):[-1]Doyouwanttomodifytheserversizelimitvalue(y/n/h)[n]yEnterthesizelimitforDSEE(current=2000):[-1]Doyouwanttostorepasswordsin"crypt"format(y/n/h)[n]yDoyouwanttosetupaServiceAuthenticationMethods(y/n/h)[n]Clientsearchtimelimitinseconds(h=help):[30]ProfileTimeToLiveinseconds(h=help):[43200]Bindtimelimitinseconds(h=help):[10]Doyouwanttoenableshadowupdate(y/n/h)[n]yDoyouwishtosetupServiceSearchDescriptors(y/n/h)[n]SummaryofConfiguration1Domaintoserve:west.
example.
com2BaseDNtosetup:dc=west,dc=example,dc=comSuffixtocreate:dc=west,dc=example,dc=comDatabasetocreate:west3Profilenametocreate:WestUserProfile4DefaultServerList:192.
168.
0.
15PreferredServerList:6DefaultSearchScope:one7CredentialLevel:proxy8AuthenticationMethod:simple9EnableFollowReferrals:FALSE10DSEETimeLimit:-111DSEESizeLimit:-112Enablecryptpasswordstorage:TRUE13ServiceAuthMethodpam_ldap:14ServiceAuthMethodkeyserv:15ServiceAuthMethodpasswd-cmd:LDAP的服务器配置示例46使用OracleSolaris11.
2目录和命名服务:LDAP2014年7月16SearchTimeLimit:3017ProfileTimetoLive:4320018BindLimit:1019Enableshadowupdate:TRUE20ServiceSearchDescriptorsMenuEnterconfigvaluetochange:(1-200=commitchanges)[0]EnterDNforproxyagent:[cn=proxyagent,ou=profile,dc=west,dc=example,dc=com]Enterpasswdforproxyagent:proxy-passwordRe-enterpasswd:proxy-passwordEnterDNfortheadministrator:[cn=admin,ou=profile,dc=west,dc=example,dc=com]Enterpasswdfortheadministrator:admin-passwordRe-enterpasswd:admin-passwordWARNING:Abouttostartcommittingchanges.
(y=continue,n=EXIT)y1.
Changedtimelimitto-1incn=config.
2.
Changedsizelimitto-1incn=config.
3.
Changedpasswordstorageschemeto"crypt"incn=config.
4.
Schemaattributeshavebeenupdated.
5.
Schemaobjectclassdefinitionshavebeenadded.
6.
Databasewestsuccessfullycreated.
7.
Suffixdc=west,dc=example,dc=comsuccessfullycreated.
8.
NisDomainObjectaddedtodc=west,dc=example,dc=com.
9.
Toplevel"ou"containerscomplete.
10.
automountmaps:auto_homeauto_directauto_masterauto_sharedprocessed.
11.
ACIfordc=west,dc=example,dc=commodifiedtodisableselfmodify.
12.
AddofVLVAccessControlInformation(ACI).
13.
ProxyAgentcn=proxyagent,ou=profile,dc=west,dc=example,dc=comadded.
14.
Administratoridentitycn=admin,ou=profile,dc=west,dc=example,dc=comadded.
15.
Givecn=admin,ou=profile,dc=west,dc=example,dc=comread/writeaccessto\shadowdata.
16.
Non-Adminaccesstoshadowdatadenied.
17.
Generatedclientprofileandloadedonserver.
18.
Processingeq,presindexes:uidNumber(eq,pres)Finishedindexing.
ipNetworkNumber(eq,pres)Finishedindexing.
gidnumber(eq,pres)Finishedindexing.
oncrpcnumber(eq,pres)Finishedindexing.
automountKey(eq,pres)Finishedindexing.
19.
Processingeq,pres,subindexes:ipHostNumber(eq,pres,sub)Finishedindexing.
membernisnetgroup(eq,pres,sub)Finishedindexing.
nisnetgrouptriple(eq,pres,sub)Finishedindexing.
20.
ProcessingVLVindexes:west.
example.
com.
getgrentvlv_indexEntrycreatedwest.
example.
com.
gethostentvlv_indexEntrycreatedwest.
example.
com.
getnetentvlv_indexEntrycreatedwest.
example.
com.
getpwentvlv_indexEntrycreatedwest.
example.
com.
getrpcentvlv_indexEntrycreatedwest.
example.
com.
getspentvlv_indexEntrycreatedwest.
example.
com.
getauhoentvlv_indexEntrycreatedwest.
example.
com.
getsoluentvlv_indexEntrycreatedwest.
example.
com.
getauduentvlv_indexEntrycreatedwest.
example.
com.
getauthentvlv_indexEntrycreatedwest.
example.
com.
getexecentvlv_indexEntrycreatedLDAP的服务器配置示例第4章设置OracleDirectoryServerEnterpriseEdition和LDAP客户机47west.
example.
com.
getprofentvlv_indexEntrycreatedwest.
example.
com.
getmailentvlv_indexEntrycreatedwest.
example.
com.
getbootentvlv_indexEntrycreatedwest.
example.
com.
getethentvlv_indexEntrycreatedwest.
example.
com.
getngrpentvlv_indexEntrycreatedwest.
example.
com.
getipnentvlv_indexEntrycreatedwest.
example.
com.
getmaskentvlv_indexEntrycreatedwest.
example.
com.
getprentvlv_indexEntrycreatedwest.
example.
com.
getip4entvlv_indexEntrycreatedwest.
example.
com.
getip6entvlv_indexEntrycreatedidsconfig:SetupofDSEEservermyserveriscomplete.
Note:idsconfighascreatedentriesforVLVindexes.
ForDS5.
x,usethedirectoryserver(1m)scriptonmyservertostoptheserver.
Then,usingdirectoryserver,followthedirectoryserverexamplesbelowtocreatetheactualVLVindexes.
ForDSEE6.
x,usedsadmcommanddeliveredwithDSonmyservertostoptheserver.
Then,usingdsadm,followthedsadmexamplesbelowtocreatetheactualVLVindexes.
有关如何初始化LDAP客户机以启用影子更新的信息,请参阅"初始化LDAP客户机"[60].
在初始化LDAP客户机时,必须使用与在生成DIT时提供的域名和管理员口令相同的域名和管理员口令.
定义服务搜索描述符在Example,Inc.
中,上一个LDAP配置将用户信息存储在目录树的ou=Users容器中.
在本手册介绍的OracleSolaris发行版中,假定用户项均存储在ou=People容器中.
因此,如果搜索到passwd服务,且客户机搜索的是ou=People容器,则无法获取信息.
为避免重新创建公司现有目录信息树的复杂性及可能对其他操作产生的影响,您可以改为创建服务搜索描述符(ServiceSearchDescriptors,SSD).
这些SSD将指导LDAP客户机从ou=Users容器(而不是缺省容器)查找用户信息.
有关搜索描述符的信息,请参见"服务搜索描述符和架构映射"[32].
要创建SSD,也可以使用idsconfig命令.
引用SSD的提示行如下所示:DoyouwishtosetupServiceSearchDescriptors(y/n/hyAAddaServiceSearchDescriptorDDeleteaSSDMModifyaSSDPDisplayallSSD'sHHelpXClearallSSD'sQExitmenu使用数据置备LDAP服务器48使用OracleSolaris11.
2目录和命名服务:LDAP2014年7月Entermenuchoice:[Quit]aEntertheserviceid:passwdEnterthebase:serviceou=user,dc=west,dc=example,dc=comEnterthescope:one[default]AAddaServiceSearchDescriptorDDeleteaSSDMModifyaSSDPDisplayallSSD'sHHelpXClearallSSD'sQExitmenuEntermenuchoice:[Quit]pCurrentServiceSearchDescriptors:Passwd:ou=Users,ou=west,ou=example,ou=comHitreturntocontinue.
AAddaServiceSearchDescriptorDDeleteaSSDMModifyaSSDPDisplayallSSD'sHHelpXClearallSSD'sQExitmenuEntermenuchoice:[Quit]q使用数据置备LDAP服务器创建DIT之后,需要使用数据置备信息树.
数据来源于包含/etc文件的所有系统.
因此,必须在这些系统(而不是服务器)上执行此任务.
置备信息树的方式取决于在"规划LDAP数据置备"[32]中所描述的规划.
以下是其中数据可填充信息树的文件示例:aliasesauto_*bootparamsethersgrouphosts类似地,/etc中权限相关文件中的信息也会添加到信息树中,如user_attr、~/security/auth_attr、~/security/prof_attr和~/security/exec_attr等.
如何使用数据置备服务器第4章设置OracleDirectoryServerEnterpriseEdition和LDAP客户机49要置备信息树,可以使用ldapaddent命令.
还可以指定要将其数据加载到树中的/etc文件或数据库.
某些文件必须按顺序加载才能获得更好的性能.
文件及其加载顺序如下所示:1.
passwd2.
shadow3.
networks4.
netmasks5.
bootparams6.
ethers请注意,在加载自动挂载程序信息时,文件或数据库名称将使用auto_*命名格式,如auto_home.
注-如果您使用的是pam_unix_*模块,则在用数据置备目录服务器之前,您必须将服务器配置为以UNIXCrypt格式来存储口令.
如果您使用的是pam_ldap,则可以用任何格式存储口令.
有关采用UNIXcrypt格式设置口令的详细信息,请参见OracleDirectoryServerEnterpriseEdition文档.
有关ldapaddent命令的详细信息,请参见ldapaddent(1M)手册页.
如何使用数据置备服务器本过程说明了使用来自客户机系统的/etc文件中的数据置备服务器上的信息树的步骤.
此任务假定来自不同客户机系统的/etc文件不会合并成单个文件.
您必须在包含用于置备服务器的源/etc文件的每个系统上执行此任务.
此任务使用域west.
example.
com,该域用于准备"LDAP的服务器配置示例"[40]中的客户机配置文件.
开始之前确保OracleDirectoryServerEnterpriseEdition已设置.
具体来说,请确保目录信息树已使用idsconfig命令进行配置,如如何为LDAP命名服务配置OracleDirectoryServerEnterpriseEdition[39]中所述.
1.
成为管理员.
有关更多信息,请参见《在OracleSolaris11.
2中确保用户和进程的安全》中的"使用所指定的管理权限".
2.
使用来自/etc中的各个文件或数据库中的数据置备服务器.
#ldapaddent-D"cn=directorymanager"-f/etc/filenamecontainer其中container与filename具有相同的名称,如passwd.
其他目录服务器配置任务50使用OracleSolaris11.
2目录和命名服务:LDAP2014年7月其他目录服务器配置任务在服务器上创建DIT并按需要定义SSD之后,您可以执行以下其他任务.
使用Member属性指定组成员关系RFC草稿rfc2307bis指定groupOfMembers对象类还可以用作组服务的LDAP项的方便结构化类.
然后,组项可以具有以标识名(DistinguishedNames,DN)指定组成员关系的member属性值.
OracleSolarisLDAP客户机支持这样的组项并使用member属性值进行组成员关系解析.
LDAP客户机还支持使用groupOfUniqueNames对象类和uniqueMember属性的组项.
不过,建议不要使用此对象类和属性.
为组项定义posixGroup对象类和memberUid属性的现有方法仍然受支持.
这种类型的组项仍然是在为组服务置备LDAP服务器时由ldapaddent命令创建的.
它不向组项添加member属性.
要为组项添加groupOfMembers对象类和member属性值,请使用ldapadd工具和类似于以下内容的一个输入文件:dn:cn=group1,ou=group,dc=mkg,dc=example,dc=comobjectClass:posixGroupobjectClass:groupOfNamesobjectClass:topcn:group1gidNumber:1234member:uid=user1,ou=people,dc=mkg,dc=example,dc=commember:uid=user2,ou=people,dc=mkg,dc=example,dc=commember:cn=group2,ou=group,dc=mkg,dc=example,dc=comLDAP客户机将在不使用memberUid、member和uniqueMember属性或者使用它们中的任意属性或使用所有这些属性的情况下处理组项.
成员关系评估结果将是,组的成员为所有三个成员的合集,其中删除了重复项.
也就是说,如果组项G具有一个引用了用户U1和U2的memberUid值,一个引用了用户U2的member值和一个引用了用户U3的uniqueMember值,则组G具有三个成员U1、U2和U3.
还支持嵌套组,也就是说,member属性可以具有指向其他组的值.
为有效地评估组成员关系以确定用户所属的组(包括嵌套的组),必须在LDAP服务器上配置并启用memberOf插件.
如果没有,则将只会解析包含组,而不会解析嵌套的组.
缺省情况下,memberOf插件由ODSEE服务器启用.
如果该插件未启用,请使用ODSEE的dsconf工具将其启用.
如何使用ldapclient命令向目录服务器置备其他配置文件第4章设置OracleDirectoryServerEnterpriseEdition和LDAP客户机51向目录服务器置备其他配置文件使用带有genprofile选项的ldapclient命令基于所指定的属性创建配置文件的LDIF(LDAPDataInterchangeFormat,LDAP数据交换格式)表示形式.
所创建的配置文件随后可以装入LDAP服务器中用作客户机配置文件.
客户机可以使用ldapclientinit来下载客户机配置文件.
有关使用ldapclientgenprofile的信息,请参阅ldapclient(1M).
如何使用ldapclient命令向目录服务器置备其他配置文件1.
成为管理员.
有关更多信息,请参见《在OracleSolaris11.
2中确保用户和进程的安全》中的"使用所指定的管理权限".
2.
使用带genprofile的ldapclient命令.
#ldapclientgenprofile\-aprofileName=myprofile\-adefaultSearchBase=dc=west,dc=example,dc=com\-a"defaultServerList=xxx.
xxx.
x.
xyyy.
yyy.
y.
y:portnum"\>myprofile.
ldif3.
将新配置文件上载到服务器.
#ldapadd-hxxx.
xxx.
x.
x-D"cn=directorymanager"-fmyprofile.
ldif配置目录服务器以启用帐户管理可以为使用pam_ldap的客户机和使用pam_unix_*模块的客户机实施帐户管理.
注意-不要在同一个LDAP命名域中同时使用pam_ldap和pam_unix_*模块.
要么所有客户机都使用pam_ldap模块,要么所有客户机都使用pam_unix_*模块.
因为存在这种限制,您可能需要专用的LDAP服务器.
使用pam_ldap模块的客户机的帐户管理为了让pam_ldap能够正常工作,必须在服务器上正确配置口令和帐户锁定策略.
您可以使用DirectoryServerConsole或ldapmodify为LDAP目录配置帐户管理策略.
有关具体过程和更多信息,请参见您所用OracleDirectoryServerEnterpriseEdition版本的管理指南中的"用户帐户管理"一章.
如何使用ldapclient命令向目录服务器置备其他配置文件52使用OracleSolaris11.
2目录和命名服务:LDAP2014年7月注-以前在使用pam_ldap帐户管理时,所有用户在每次登录系统时都必须提供登录口令以进行验证.
因此,使用ssh等工具进行非基于口令的登录将失败.
在用户登录时,您现在可以在不向目录服务器进行验证的情况下执行帐户管理并检索用户的帐户状态.
目录服务器上的新控制为1.
3.
6.
1.
4.
1.
42.
2.
27.
9.
5.
8.
缺省情况下,此控制处于启用状态.
要修改缺省控制配置,请在目录服务器上添加访问控制指令(accesscontrolinstruction,ACI).
例如:dn:oid=1.
3.
6.
1.
4.
1.
42.
2.
27.
9.
5.
8,cn=features,cn=configobjectClass:topobjectClass:directoryServerFeatureoid:1.
3.
6.
1.
4.
1.
42.
2.
27.
9.
5.
8cn:PasswordPolicyAccountUsableRequestControlaci:(targetattr!
="aci")(version3.
0;acl"AccountUsable";allow(read,search,compare,proxy)(groupdn="ldap:///cn=Administrators,cn=config");)creatorsName:cn=server,cn=plugins,cn=configmodifiersName:cn=server,cn=plugins,cn=config绝不应当允许proxy用户的口令过期.
如果代理口令过期,使用proxy凭证级别的客户机将无法从服务器检索命名服务信息.
为了确保代理用户的口令不过期,请使用以下脚本修改代理帐户:#ldapmodify-hldapserver-Dadministrator_DN\-wadministrator-passwordEnterthedirectorymanagerDN:[cn=DirectoryManager]Enterpasswdforcn=DirectoryManager:Enterthedomainnametobeserved(h=help):[example.
com]EnterLDAPBaseDN(h=help):[dc=example,dc=com]GSSAPIissupported.
Doyouwanttosetupgssapi:(y/n)[n]yEnterKerberosRealm:[EXAMPLE.
COM]EXAMPLE.
COM管理LDAP客户机第5章设置NIS客户机61配置文件的名称为gssapi_EXAMPLE.
COM.
以示例中显示的方式创建配置文件之后,您可以发出ldapclient命令,使用每用户配置文件来初始化客户机.
#ldapclientinit-aprofilename=gssapi_EXAMPLE.
COM-a\domainname=example.
com9.
9.
9.
50注-当您初始化配置有每用户凭证的客户机时,必须满足几个要求,如使用LDAP所需的Kerberos配置和DNS服务器配置.
有关Kerberos的信息,请参见《在OracleSolaris11.
2中管理Kerberos和其他验证服务》.
有关DNS配置的信息,请参见《使用OracleSolaris11.
2目录和命名服务:DNS和NIS》中的第3章"管理域名系统".
有关验证的信息,请参见第2章LDAP和验证服务;有关生成DIT的信息,请参见第3章LDAP命名服务的规划要求.
初始化使用代理凭证的客户机.
例如:#ldapclientinit\-aproxyDN=cn=proxyagent,ou=profile,dc=west,dc=example,dc=com\-adomainname=west.
example.
com\-aprofilename=pit1\-aproxypassword=test1234192.
168.
0.
1如果为proxy设置了要使用的配置文件,则-aproxyDN和-aproxyPassword是必需的.
由于凭据并不是存储在服务器上保存的配置文件中,因此您必须在初始化客户机时提供该信息.
与原先在服务器上存储代理凭证的方法相比,这种方法更安全.
代理信息存储在config和cred属性组中的svc:/network/ldap/client服务中.
初始化客户机以启用要更新的影子数据.
例如:#ldapclientinit\-aadminDN=cn=admin,ou=profile,dc=west,dc=example,dc=com\-aadminPassword=admin-password\-adomainName=west.
example.
com\-aprofileName=WestUserProfile\-aproxyDN=cn=proxyagent,ou=profile,dc=west,dc=example,dc=com\-aproxyPassword=proxy-password\-aenableShadowUpdate=TRUE\192.
168.
0.
1Systemsuccessfullyconfigured修改LDAP客户机配置使用ldapclient命令可以在没有配置文件的情况下修改客户机配置.
通常情况下,修改仅会影响有限数量的客户机属性,因此只需要一个命令行就足以修改所有选定的属性.
使用LDAP进行客户机验证62使用OracleSolaris11.
2目录和命名服务:LDAP2014年7月将LDAP客户机修改为使用简单的验证方法.
例如:#ldapclientmod-aauthenticationMethod=simple修改配置的LDAP客户机以启用影子数据更新.
例如:#ldapclientmod-aenableShadowUpdate=TRUE\-aadminDN=cn=admin,ou=profile,dc=west,dc=example,dc=com\-aadminPassword=admin-passwordSystemsuccessfullyconfigured取消初始化LDAP客户机取消初始化LDAP客户机意味着将客户机名称服务恢复到在上一次发出带有init、modify或manual选项的ldapclient命令之前的状态.
换句话说,命令的-uninit选项会取消由ldapclient命令的其他选项所做出的上一次更改.
例如,如果将客户机配置为使用profile1,然后更改为使用profile2,则使用ldapclientuninit将使客户机恢复使用profile1.
要取消初始化LDAP客户机,请使用以下命令语法:#ldapclientuninitSystemsuccessfullyrecovered.
使用LDAP进行客户机验证本节介绍使用LDAP验证服务的各种配置任务.
配置PAMpam_ldap模块是LDAP用于验证客户机和执行帐户管理的PAM模块选项.
如果已将客户机配置文件的验证模式配置为simple,且凭证级别配置为self,则还必须启用pam_krb模块.
请参阅以下资源:pam_ldap(5)手册页pam_krb5(5)手册页《在OracleSolaris11.
2中管理Kerberos和其他验证服务》使用LDAP进行客户机验证第5章设置NIS客户机63配置PAM以使用UNIXpolicy/etc/pam.
conf文件可用作PAM使用UNIXpolicy时的缺省配置文件.
通常,您不需要对此文件做出更改.
不过,如果由shadow数据控制的口令生命期和口令策略是必需的,则必须将客户机配置为在带有enableShadowUpdate开关的情况下运行.
有关初始化LDAP客户机以启用影子数据更新的示例,请参见"初始化LDAP客户机"[60].
有关配置文件的详细信息,请参见pam.
conf(4)手册页.
配置PAM以使用LDAPserver_policy要配置PAM以使用LDAPserver_policy,请参阅"使用pam_ldap模块进行帐户管理的示例pam_conf文件"[24].
要使用该示例文件,请执行以下附加步骤:向客户机的/etc/pam.
conf文件中添加包含pam_ldap.
so.
1的行.
如果样例文件中的任何PAM模块指定了binding标志和server_policy选项,请在客户机的/etc/pam.
conf文件中为对应的模块使用相同的标志和选项.
使用binding控制标志允许本地口令覆盖远程(LDAP)口令.
例如,如果在本地文件和LDAP名称空间中都找到了某一用户帐户,则与本地帐户关联的口令将优先于远程口令.
因此,如果本地口令过期,即使远程LDAP口令仍然有效,验证也将失败.
server_policy选项指示pam_unix_auth、pam_unix_account和pam_passwd_auth忽略在LDAP名称空间中找到的用户,并允许pam_ldap执行身份验证或帐户验证.
对于pam_authtok_store,会向LDAP服务器传递一个未经加密的新口令.
然后,该口令将根据服务器中配置的口令加密方案存储在目录中.
有关更多信息,请参见pam.
conf(4)和pam_ldap(5).
将server_policy选项添加到包含服务模块pam_authtok_store.
so.
1的行中.
使用LDAP进行客户机验证64使用OracleSolaris11.
2目录和命名服务:LDAP2014年7月注-以前在使用pam_ldap帐户管理时,所有用户在每次登录系统时都必须提供登录口令以进行验证.
因此,使用ssh等工具进行非基于口令的登录将失败.
在用户登录时,您现在可以在不向目录服务器进行验证的情况下执行帐户管理并检索用户的帐户状态.
目录服务器上的新控制为1.
3.
6.
1.
4.
1.
42.
2.
27.
9.
5.
8.
缺省情况下,此控制处于启用状态.
要修改缺省控制配置,请在目录服务器上添加访问控制指令(accesscontrolinstruction,ACI).
例如:dn:oid=1.
3.
6.
1.
4.
1.
42.
2.
27.
9.
5.
8,cn=features,cn=configobjectClass:topobjectClass:directoryServerFeatureoid:1.
3.
6.
1.
4.
1.
42.
2.
27.
9.
5.
8cn:PasswordPolicyAccountUsableRequestControlaci:(targetattr!
="aci")(version3.
0;acl"AccountUsable";allow(read,search,compare,proxy)(groupdn="ldap:///cn=Administrators,cn=config");)creatorsName:cn=server,cn=plugins,cn=configmodifiersName:cn=server,cn=plugins,cn=config设置TLS安全性注-PEM证书文件必须可供任何人读取.
请勿加密或限制对这些文件的读取权限.
否则,ldaplist等工具将无法工作.
如果您使用的是传输层安全(TransportLayerSecurity,TLS),则必须安装必要的PEM证书文件.
具体而言,所有自签名的服务器证书和CA证书文件都是必需的,这些文件用于验证LDAP服务器,还可能用于验证客户机对服务器的访问.
例如,如果已拥有PEMCA证书certdb.
pem,则必须确保此文件已添加且可通过证书路径来读取.
注-如果使用的是TLS,则首先安装在本节中介绍的所需PEM证书文件,然后再运行ldapclient.
有关如何创建和管理PEM格式证书的信息,请在所用OracleDirectoryServerEnterpriseEdition版本的管理指南中,参见"管理SSL"一章中有关配置LDAP客户机以使用SSL的一节.
配置完成后,这些文件必须存储在LDAP命名服务客户机所需的位置.
certificatePath属性确定此位置.
缺省情况下,此位置位于/var/ldap中.
例如,创建必需的PEM证书文件(如certdb.
pem)后,请将该文件复制到如下所示的缺省位置:#cpcertdb.
pem/var/ldap然后,向所有人授予读取访问权限.
使用LDAP进行客户机验证第5章设置NIS客户机65#chmod444/var/ldap/certdb.
pem注-多个证书文件可能位于该证书路径中.
此外,任何给定的PEM证书文件可能包含多个串联在一起的PEM格式证书.
有关更多的详细信息,请参阅服务器文档.
如果将这些证书文件用于LDAP命名服务客户机,则必须存储在本地文件系统中.
66使用OracleSolaris11.
2目录和命名服务:LDAP2014年7月第6章LDAP故障排除676第6章LDAP故障排除本章介绍了LDAP配置问题以及用于解决这些问题的建议解决方案.
本章包含以下主题:"监视LDAP客户机状态"[67]"LDAP配置问题及解决方案"[70]监视LDAP客户机状态本节介绍了各种可帮助确定LDAP客户机环境状态的命令.
有关可以使用的选项的其他信息,另请参见相关的手册页.
有关服务管理工具(ServiceManagementFacility,SMF)的信息,请参阅《在OracleSolaris11.
2中管理系统服务》.
有关更多详细信息,另请参阅svcadm(1M)和svcs(1)手册页.
验证ldap_cachemgr守护进程是否正在运行ldap_cachemgr守护进程必须一直正常运行.
否则,系统将无法正常工作.
当您设置并启动LDAP客户机服务svc:/network/ldap/client时,客户机SMF方法会自动启动ldap_cachemgr守护进程.
您可以通过以下几种方式确定LDAP客户机服务是否处于联机状态:使用以下svcs命令查看该服务是否已启用.
#svcs\*ldap\*STATESTIMEFMRIdisabledAug_24svc:/network/ldap/client:default使用-l选项查看有关该服务的所有信息.
#svcs-lnetwork/ldap/client:default监视LDAP客户机状态68使用OracleSolaris11.
2目录和命名服务:LDAP2014年7月fmrisvc:/network/ldap/client:defaultnameLDAPNameServiceClientenabledfalsestatedisablednext_statenonestate_timeThuOct2023:04:112011logfile/var/svc/log/network-ldap-client:default.
logrestartersvc:/system/svc/restarter:defaultcontract_idmanifest/lib/svc/manifest/network/ldap/client.
xmlmanifest/lib/svc/manifest/milestone/config.
xmlmanifest/lib/svc/manifest/network/network-location.
xmlmanifest/lib/svc/manifest/system/name-service/upgrade.
xmldependencyoptional_all/nonesvc:/milestone/config(online)dependencyoptional_all/nonesvc:/network/location:default(online)dependencyrequire_all/nonesvc:/system/filesystem/minimal(online)dependencyrequire_all/nonesvc:/network/initial(online)dependencyrequire_all/restartsvc:/network/nis/domain(online)dependencyoptional_all/nonesvc:/system/manifest-import(online)dependencyrequire_all/nonesvc:/milestone/unconfig(online)dependencyoptional_all/nonesvc:/system/name-service/upgrade(online)向-ldap_cachemgr传递g选项.
此选项提供更广泛的状态信息,这些信息对于问题的诊断很有帮助.
#/usr/lib/ldap/ldap_cachemgr-gcachemgrconfiguration:serverdebuglevel0serverlogfile"/var/ldap/cachemgr.
log"numberofcallstoldapcachemgr19cachemgrcachedatastatistics:Configurationrefreshinformation:Previousrefreshtime:2010/11/1618:33:28Nextrefreshtime:2010/11/1618:43:28Serverinformation:Previousrefreshtime:2010/11/1618:33:28Nextrefreshtime:2010/11/1618:36:08server:192.
168.
0.
0,status:UPserver:192.
168.
0.
1,status:ERRORerrormessage:Can'tconnecttotheLDAPserverCachedatainformation:Maximumcacheentries:256Numberofcacheentries:2如果ldap_cachemgr守护进程已禁用,则通过以下命令将其启用:#svcadmenablenetwork/ldap/client监视LDAP客户机状态第6章LDAP故障排除69有关守护进程的更多信息,请参见ldap_cachemgr(1M)手册页.
检查当前的配置文件信息要查看当前配置文件信息,成为超级用户或承担等效角色,然后运行带有list选项的ldapclient.
#ldapclientlistNS_LDAP_FILE_VERSION=2.
0NS_LDAP_BINDDN=cn=proxyagent,ou=profile,dc=west,dc=example,dc=comNS_LDAP_BINDPASSWD={NS1}4a3788e8c053424fNS_LDAP_SERVERS=192.
168.
0.
1,192.
168.
0.
10NS_LDAP_SEARCH_BASEDN=dc=west,dc=example,dc=comNS_LDAP_AUTH=simpleNS_LDAP_SEARCH_REF=TRUENS_LDAP_SEARCH_SCOPE=oneNS_LDAP_SEARCH_TIME=30NS_LDAP_SERVER_PREF=192.
168.
0.
1NS_LDAP_PROFILE=pit1NS_LDAP_CREDENTIAL_LEVEL=proxyNS_LDAP_SERVICE_SEARCH_DESC=passwd:ou=people,subNS_LDAP_SERVICE_SEARCH_DESC=group:ou=group,dc=west,dc=example,dc=comoneNS_LDAP_BIND_TIME=5除ldapclientlist命令之外,还可以使用svccfg或svcprop命令获取当前配置文件信息.
验证基本的客户机/服务器通信要验证LDAP客户机和LDAP服务器之间是否存在通信,请使用ldaplist命令.
使用无选项的ldaplist命令将在服务器上显示DIT的所有容器.
使用ldaplistdatabase命令将显示特定数据库的内容.
例如,ldaplistpasswdusername或ldaplisthosthostname.
从非客户机检查服务器数据要查看无现成LDAP客户机的系统的相关信息,可使用ldapsearch命令.
显示的信息取决于搜索时使用的过滤器.
以下示例列出了DIT中的所有容器:#ldapsearch-hserver1-b"dc=west,dc=example,dc=com"-sone"objectclass=*"有关可与ldapsearch命令一起使用的选项和过滤器的列表,请参见ldapsearch(1)手册页.
LDAP配置问题及解决方案70使用OracleSolaris11.
2目录和命名服务:LDAP2014年7月LDAP配置问题及解决方案本节介绍了可能出现的LDAP配置问题和建议的解决方案.
未解析的主机名LDAP客户机软件针对主机查找返回全限定主机名,例如由gethostbyname()和getaddrinfo()返回的主机名.
如果存储的名称是限定名称(即至少包含一个点),则客户机将按原样返回该名称.
例如,如果存储的名称是hostB.
eng,则返回的名称是hostB.
eng.
如果LDAP目录中存储的名称不是限定名称(即不包含点),则客户机软件会在该名称后面附加域名部分.
例如,如果存储的名称是hostA,则返回的名称是hostA.
domainname.
无法远程访问LDAP域中的系统如果DNS域名与LDAP域名不同,除非所存储的主机名是全限定名称,否则LDAP命名服务不能用于提供主机名.
登录功能不起作用在登录期间,LDAP客户机使用PAM模块进行用户验证.
在使用标准的UNIXPAM模块时,口令是从服务器读取并在客户机端检查的.
该过程可能会因下列原因之一而失败:ldap未与名称服务转换中的passwd数据库相关联.
代理无法读取服务器列表中用户的userPassword属性.
您需要至少允许一个代理可以读取口令,因为该代理需要将口令返回给客户机进行比较.
pam_ldap不需要对口令具有读取访问权限.
代理可能没有正确的口令.
该项没有shadowAccount对象类.
没有为该用户定义口令.
在使用ldapaddent时,必须使用-p选项确保已向该用户项中添加了口令.
如果您使用不带有-p选项的ldapaddent,用户的口令将不存储在目录中,除非使用ldapaddent另外添加了/etc/shadow文件.
没有可访问的LDAP服务器.
LDAP配置问题及解决方案第6章LDAP故障排除71检查服务器的状态.
#/usr/lib/ldap/ldap_cachemgr-gpam.
conf的配置有误.
没有在LDAP名称空间中定义该用户.
为pam_unix_*模块将NS_LDAP_CREDENTIAL_LEVEL设置为了anonymous,且userPassword对匿名用户不可用.
口令没有以crypt格式存储.
如果所配置的pam_ldap支持帐户管理,则登录失败可能是由以下某种原因引起的:用户的口令已过期.
用户的帐户由于登录失败尝试的次数过多而被锁定.
用户的帐户已被管理员停用.
用户尝试使用非基于口令的程序(例如ssh或sftp)进行登录.
如果使用了每用户验证方式和sasl/GSSAPI,则Kerberos的某个组件或pam_krb5配置设置有误.
有关解决这些问题的详细信息,请参阅《在OracleSolaris11.
2中管理Kerberos和其他验证服务》.
查找速度过慢LDAP数据库依赖索引来改进搜索性能.
如果索引的配置有误,会大大降低性能.
LDAP文档(来自Oracle和其他供应商)包含一组应当编制索引的常用属性.
您也可以添加自己的索引来提高站点的性能.
ldapclient命令无法绑定到服务器在指定了profileName属性的情况下使用init选项时,ldapclient命令无法初始化客户机.
失败的可能原因包括:命令行上指定的域名有误.
没有在DIT中设置nisDomain属性,该属性表示指定客户机域的入口点.
未在服务器上正确设置访问控制信息,从而无法在LDAP数据库中进行匿名搜索.
向ldapclient命令传递的服务器地址有误.
请使用ldapsearch命令验证服务器地址.
向ldapclient命令传递的配置文件名称有误.
请使用ldapsearch命令验证DIT中的配置文件名称.
作为用于故障排除的帮助手段,可以对客户机网络接口使用snoop,以查看传出的是哪种通信,并确定哪台服务器正与之通信.
解决使用每用户凭证时的问题72使用OracleSolaris11.
2目录和命名服务:LDAP2014年7月使用ldap_cachemgr守护进程进行调试通过-g选项运行ldap_cachemgr守护进程,以查看有助于调试的当前客户机配置和统计信息.
此命令将按上面提到的那样,在标准输出中显示当前的配置和统计信息(包括所有LDAP服务器的状态).
请注意,不必成为超级用户即可执行此命令.
ldapclient命令在设置期间挂起如果ldapclient命令挂起,则在恢复先前的环境之后按Ctrl-C将退出.
在此情况下,请与服务器管理员核实,以确保该服务器正在运行.
还要在配置文件中或从命令行检查服务器列表中的属性,并确保服务器信息正确无误.
解决使用每用户凭证时的问题使用每用户凭证需要更多配置,如Kerberos设置等.
配置每用户配置文件时请参阅以下说明.
syslog文件指示82LocalErrorsyslog文件可能包含以下错误消息:libsldap:Status:7Mesg:openConnection:GSSSAPIbindfailed-82LocalerrorKerberos可能未初始化或其票证已过期.
发出klist命令以进行浏览.
发出kinit-p命令或kinit-R命令以重新初始化Kerberos.
Kerberos不会自动初始化要使kinit命令在您每次登录时自动运行,请将pam_krb5.
so.
1添加到/etc/pam.
conf文件中.
例如:loginauthoptionalpam_krb5.
so.
1rloginauthoptionalpam_krb5.
so.
1otherauthoptionalpam_krb5.
so.
1检索LDAP命名服务信息第6章LDAP故障排除73syslog文件指示无效凭证发出kinit命令之后,syslog文件可能包含Invalidcredential.
这可能是下列某一原因造成的:LDAP目录中不包含root主机项或用户项.
映射规则不正确.
ldapclientinit命令在转换检查中失败发出ldapclientinit命令时,将检查LDAP配置文件是否存在self/sasl/GSSAPI配置.
如果转换检查失败,错误通常在于DNS未用作主机数据库搜索条件.
发出以下两个命令检查DNS服务的状态并将其启用.
#svcs-ldns/client#svcadmenabledns/client如果sasl/GSSAPI的绑定操作中出现故障,则检查syslog文件以确定问题.
检索LDAP命名服务信息您可以使用ldaplist实用程序检索关于LDAP命名服务的信息.
此LDAP实用程序列出了LDAP服务器中的命名信息,该信息格式为LDIF,对于故障排除非常有用.
有关详细信息,请参见ldaplist(1).
列出所有LDAP容器ldaplist命令显示输出时以空白行分隔记录,这对于显示包含多行的大量记录很有帮助.
ldaplist的输出取决于客户机配置.
例如,如果ns_ldap_search的值是sub而不是one,ldaplist将列出在当前搜索baseDN下的所有项.
以下示例显示了ldaplist输出样例.
#ldaplistdn:ou=people,dc=west,dc=example,dc=comdn:ou=group,dc=west,dc=example,dc=comdn:ou=rpc,dc=west,dc=example,dc=com检索LDAP命名服务信息74使用OracleSolaris11.
2目录和命名服务:LDAP2014年7月dn:ou=protocols,dc=west,dc=example,dc=comdn:ou=networks,dc=west,dc=example,dc=comdn:ou=netgroup,dc=west,dc=example,dc=comdn:ou=aliases,dc=west,dc=example,dc=comdn:ou=hosts,dc=west,dc=example,dc=comdn:ou=services,dc=west,dc=example,dc=comdn:ou=ethers,dc=west,dc=example,dc=comdn:ou=profile,dc=west,dc=example,dc=comdn:automountmap=auto_home,dc=west,dc=example,dc=comdn:automountmap=auto_direct,dc=west,dc=example,dc=comdn:automountmap=auto_master,dc=west,dc=example,dc=comdn:automountmap=auto_shared,dc=west,dc=example,dc=com列出所有用户项属性要列出特定信息(如用户的passwd项),请使用getent命令.
例如:#getentpasswduser1user1::30641:10:JoeQ.
User:/home/user1:/bin/csh您还可以使用getent命令在数据库中执行自动挂载表中列出的查找,例如,getentautomount/map[key].
例如:#getentautomount/auto_homeuser1user1server-name:/home/user1在之前示例中,auto_home是自动挂载映射的名称,user1是搜索关键字.
如果不指定任何搜索关键字,则将列出指定自动挂载映射的全部内容.
要列出所有属性,请将ldaplist与-l选项结合使用.
#ldaplist-lpasswduser1dn:uid=user1,ou=People,dc=west,dc=example,dc=comuid:user1cn:user1uidNumber:30641gidNumber:10gecos:JoeQ.
UserhomeDirectory:/home/user1检索LDAP命名服务信息第6章LDAP故障排除75loginShell:/bin/cshobjectClass:topobjectClass:shadowAccountobjectClass:accountobjectClass:posixAccountshadowLastChange:644576使用OracleSolaris11.
2目录和命名服务:LDAP2014年7月第7章LDAP命名服务(参考信息)777第7章LDAP命名服务(参考信息)本章包含以下主题:"LDAP的IETF架构"[77]"目录用户代理配置文件(DUAProfile)架构"[83]"OracleSolaris架构"[85]"LDAP的Internet打印协议信息"[88]"LDAP的常规目录服务器要求"[96]"LDAP命名服务使用的缺省过滤器"[97]LDAP的IETF架构架构是一些定义,用于描述哪些类型的信息可作为条目存储在服务器的目录中.
要使目录服务器支持LDAP命名客户机,必须在服务器中配置本章中定义的架构,除非使用客户机的架构映射功能对架构进行映射.
IETF定义了几种必需的LDAP架构:RFC2307网络信息服务架构和RFC2307bis、一个用于基于轻量目录访问协议(LightweightDirectoryAccessProtocol,LDAP)的代理的配置文件架构(RFC4876)以及用于打印机服务的LDAP架构.
要支持NIS,必须将这些架构的定义添加到目录服务器中.
可以从IETFWeb站点http://www.
ietf.
org访问各种RFC.
注-Internet草稿(例如RFC2307bis)是有效期最长为六个月的草稿文档,随时可能会被更新或废弃,从而被其他文档取代.
RFC2307bis网络信息服务架构必须对LDAP服务器进行配置以支持修订的RFC2307bis:nisSchemaOID是1.
3.
6.
1.
1.
RFC2307bis属性如下所示.
(nisSchema.
1.
0NAME'uidNumber'LDAP的IETF架构78使用OracleSolaris11.
2目录和命名服务:LDAP2014年7月DESC'Anintegeruniquelyidentifyingauserinanadministrativedomain'EQUALITYintegerMatchSYNTAX'INTEGER'SINGLE-VALUE)(nisSchema.
1.
1NAME'gidNumber'DESC'Anintegeruniquelyidentifyingagroupinanadministrativedomain'EQUALITYintegerMatchSYNTAX'INTEGER'SINGLE-VALUE)(nisSchema.
1.
2NAME'gecos'DESC'TheGECOSfield;thecommonname'EQUALITYcaseIgnoreIA5MatchSUBSTRINGScaseIgnoreIA5SubstringsMatchSYNTAX'IA5String'SINGLE-VALUE)(nisSchema.
1.
3NAME'homeDirectory'DESC'Theabsolutepathtothehomedirectory'EQUALITYcaseExactIA5MatchSYNTAX'IA5String'SINGLE-VALUE)(nisSchema.
1.
4NAME'loginShell'DESC'Thepathtotheloginshell'EQUALITYcaseExactIA5MatchSYNTAX'IA5String'SINGLE-VALUE)(nisSchema.
1.
5NAME'shadowLastChange'EQUALITYintegerMatchSYNTAX'INTEGER'SINGLE-VALUE)(nisSchema.
1.
6NAME'shadowMin'EQUALITYintegerMatchSYNTAX'INTEGER'SINGLE-VALUE)(nisSchema.
1.
7NAME'shadowMax'EQUALITYintegerMatchSYNTAX'INTEGER'SINGLE-VALUE)(nisSchema.
1.
8NAME'shadowWarning'EQUALITYintegerMatchSYNTAX'INTEGER'SINGLE-VALUE)(nisSchema.
1.
9NAME'shadowInactive'EQUALITYintegerMatchSYNTAX'INTEGER'SINGLE-VALUE)(nisSchema.
1.
10NAME'shadowExpire'EQUALITYintegerMatchSYNTAX'INTEGER'SINGLE-VALUE)(nisSchema.
1.
11NAME'shadowFlag'EQUALITYintegerMatchSYNTAX'INTEGER'SINGLE-VALUE)(nisSchema.
1.
12NAME'memberUid'LDAP的IETF架构第7章LDAP命名服务(参考信息)79EQUALITYcaseExactIA5MatchSUBSTRINGScaseExactIA5SubstringsMatchSYNTAX'IA5String')(nisSchema.
1.
13NAME'memberNisNetgroup'EQUALITYcaseExactIA5MatchSUBSTRINGScaseExactIA5SubstringsMatchSYNTAX'IA5String')(nisSchema.
1.
14NAME'nisNetgroupTriple'DESC'Netgrouptriple'SYNTAX'nisNetgroupTripleSyntax')(nisSchema.
1.
15NAME'ipServicePort'EQUALITYintegerMatchSYNTAX'INTEGER'SINGLE-VALUE)(nisSchema.
1.
16NAME'ipServiceProtocol'SUPname)(nisSchema.
1.
17NAME'ipProtocolNumber'EQUALITYintegerMatchSYNTAX'INTEGER'SINGLE-VALUE)(nisSchema.
1.
18NAME'oncRpcNumber'EQUALITYintegerMatchSYNTAX'INTEGER'SINGLE-VALUE)(nisSchema.
1.
19NAME'ipHostNumber'DESC'IPaddressasadotteddecimal,eg.
192.
168.
1.
1omittingleadingzeros'SUPname)(nisSchema.
1.
20NAME'ipNetworkNumber'DESC'IPnetworkasadotteddecimal,eg.
192.
168,omittingleadingzeros'SUPnameSINGLE-VALUE)(nisSchema.
1.
21NAME'ipNetmaskNumber'DESC'IPnetmaskasadotteddecimal,eg.
255.
255.
255.
0,omittingleadingzeros'EQUALITYcaseIgnoreIA5MatchSYNTAX'IA5String{128}'SINGLE-VALUE)(nisSchema.
1.
22NAME'macAddress'DESC'MACaddressinmaximal,colonseparatedhexnotation,eg.
00:00:92:90:ee:e2'EQUALITYcaseIgnoreIA5MatchSYNTAX'IA5String{128}')(nisSchema.
1.
23NAME'bootParameter'DESC'rpc.
bootparamdparameter'SYNTAX'bootParameterSyntax')LDAP的IETF架构80使用OracleSolaris11.
2目录和命名服务:LDAP2014年7月(nisSchema.
1.
24NAME'bootFile'DESC'Bootimagename'EQUALITYcaseExactIA5MatchSYNTAX'IA5String')(nisSchema.
1.
26NAME'nisMapName'SUPname)(nisSchema.
1.
27NAME'nisMapEntry'EQUALITYcaseExactIA5MatchSUBSTRINGScaseExactIA5SubstringsMatchSYNTAX'IA5String{1024}'SINGLE-VALUE)(nisSchema.
1.
28NAME'nisPublicKey'DESC'NISpublickey'SYNTAX'nisPublicKeySyntax')(nisSchema.
1.
29NAME'nisSecretKey'DESC'NISsecretkey'SYNTAX'nisSecretKeySyntax')(nisSchema.
1.
30NAME'nisDomain'DESC'NISdomain'SYNTAX'IA5String')(nisSchema.
1.
31NAME'automountMapName'DESC'automountMapName'EQUALITYcaseExactIA5MatchSUBSTRcaseExactIA5SubstringsMatchSYNTAX1.
3.
6.
1.
4.
1.
1466.
115.
121.
1.
26SINGLE-VALUE)(nisSchema.
1.
32NAME'automountKey'DESC'AutomountKeyvalue'EQUALITYcaseExactIA5MatchSUBSTRcaseExactIA5SubstringsMatchSYNTAX1.
3.
6.
1.
4.
1.
1466.
115.
121.
1.
26SINGLE-VALUE)(nisSchema.
1.
33NAME'automountInformation'DESC'Automountinformation'EQUALITYcaseExactIA5MatchSUBSTRcaseExactIA5SubstringsMatchSYNTAX1.
3.
6.
1.
4.
1.
1466.
115.
121.
1.
26SINGLE-VALUE)nisSchemaOID是1.
3.
6.
1.
1.
RFC2307objectClasses如下所示.
(nisSchema.
2.
0NAME'posixAccount'SUPtopAUXILIARYDESC'AbstractionofanaccountwithPOSIXattributes'MUST(cn$uid$uidNumber$gidNumber$homeDirectory)MAY(userPassword$loginShell$gecos$description))(nisSchema.
2.
1NAME'shadowAccount'SUPtopAUXILIARYDESC'Additionalattributesforshadowpasswords'MUSTuidMAY(userPassword$shadowLastChange$shadowMinshadowMax$shadowWarning$shadowInactive$LDAP的IETF架构第7章LDAP命名服务(参考信息)81shadowExpire$shadowFlag$description))(nisSchema.
2.
2NAME'posixGroup'SUPtopSTRUCTURALDESC'Abstractionofagroupofaccounts'MUST(cn$gidNumber)MAY(userPassword$memberUid$description))(nisSchema.
2.
3NAME'ipService'SUPtopSTRUCTURALDESC'AbstractionanInternetProtocolservice.
MapsanIPportandprotocol(suchastcporudp)tooneormorenames;thedistinguishedvalueofthecnattributedenotestheservice'scanonicalname'MUST(cn$ipServicePort$ipServiceProtocol)MAY(description))(nisSchema.
2.
4NAME'ipProtocol'SUPtopSTRUCTURALDESC'AbstractionofanIPprotocol.
Mapsaprotocolnumbertooneormorenames.
Thedistinguishedvalueofthecnattributedenotestheprotocol'scanonicalname'MUST(cn$ipProtocolNumber)MAYdescription)(nisSchema.
2.
5NAME'oncRpc'SUPtopSTRUCTURALDESC'AbstractionofanOpenNetworkComputing(ONC)[RFC1057]RemoteProcedureCall(RPC)binding.
ThisclassmapsanONCRPCnumbertoaname.
ThedistinguishedvalueofthecnattributedenotestheRPCservice'scanonicalname'MUST(cn$oncRpcNumber$description)MAYdescription)(nisSchema.
2.
6NAME'ipHost'SUPtopAUXILIARYDESC'Abstractionofahost,anIPdevice.
Thedistinguishedvalueofthecnattributedenotesthehost'scanonicalname.
DeviceSHOULDbeusedasastructuralclass'MUST(cn$ipHostNumber)MAY(l$description$manager$userPassword))(nisSchema.
2.
7NAME'ipNetwork'SUPtopSTRUCTURALDESC'Abstractionofanetwork.
Thedistinguishedvalueofthecnattributedenotesthenetwork'scanonicalname'MUSTipNetworkNumberMAY(cn$ipNetmaskNumber$l$description$manager))(nisSchema.
2.
8NAME'nisNetgroup'SUPtopSTRUCTURALDESC'Abstractionofanetgroup.
Mayrefertoothernetgroups'MUSTcnMAY(nisNetgroupTriple$memberNisNetgroup$description))(nisSchema.
2.
9NAME'nisMap'SUPtopSTRUCTURALDESC'AgenericabstractionofaNISmap'MUSTnisMapNameMAYdescription)LDAP的IETF架构82使用OracleSolaris11.
2目录和命名服务:LDAP2014年7月(nisSchema.
2.
10NAME'nisObject'SUPtopSTRUCTURALDESC'AnentryinaNISmap'MUST(cn$nisMapEntry$nisMapName)MAYdescription)(nisSchema.
2.
11NAME'ieee802Device'SUPtopAUXILIARYDESC'AdevicewithaMACaddress;deviceSHOULDbeusedasastructuralclass'MAYmacAddress)(nisSchema.
2.
12NAME'bootableDevice'SUPtopAUXILIARYDESC'Adevicewithbootparameters;deviceSHOULDbeusedasastructuralclass'MAY(bootFile$bootParameter))(nisSchema.
2.
14NAME'nisKeyObject'SUPtopAUXILIARYDESC'Anobjectwithapublicandsecretkey'MUST(cn$nisPublicKey$nisSecretKey)MAY(uidNumber$description))(nisSchema.
2.
15NAME'nisDomainObject'SUPtopAUXILIARYDESC'AssociatesaNISdomainwithanamingcontext'MUSTnisDomain)(nisSchema.
2.
16NAME'automountMap'SUPtopSTRUCTURALMUST(automountMapName)MAYdescription)(nisSchema.
2.
17NAME'automount'SUPtopSTRUCTURALDESC'Automountinformation'MUST(automountKey$automountInformation)MAYdescription)(nisSchema.
2.
18NAME'groupOfMembers'SUPtopSTRUCTURALDESC'Agroupwithmembers(DNs)'MUSTcnMAY(businessCategory$seeAlso$owner$ou$o$description$member))邮件别名架构邮件别名信息使用此Internet草稿定义的架构.
除非有新的架构可用,否则LDAP客户机将继续为邮件别名信息使用此架构.
原来的LDAP邮件组架构中包含大量属性和对象类.
LDAP客户机只使用两个属性和一个对象类.
这些属性和对象类如下所示.
邮件别名属性如下所示.
(0.
9.
2342.
19200300.
100.
1.
3NAME'mail'目录用户代理配置文件(DUAProfile)架构第7章LDAP命名服务(参考信息)83DESC'RFC822emailaddressforthisperson'EQUALITYcaseIgnoreIA5MatchSYNTAX'IA5String(256)'SINGLE-VALUE)(2.
16.
840.
1.
113730.
3.
1.
30NAME'mgrpRFC822MailMember'DESC'RFC822mailaddressofemailonlymemberofgroup'EQUALITYCaseIgnoreIA5MatchSYNTAX'IA5String(256)')mailGroup对象类的架构如下所示.
(2.
16.
840.
1.
113730.
3.
2.
4NAME'mailGroup'SUPtopSTRUCTURALMUSTmailMAY(cn$mailAlternateAddress$mailHost$mailRequireAuth$mgrpAddHeader$mgrpAllowedBroadcaster$mgrpAllowedDomain$mgrpApprovePassword$mgrpBroadcasterModeration$mgrpDeliverTo$mgrpErrorsTo$mgrpModerator$mgrpMsgMaxSize$mgrpMsgRejectAction$mgrpMsgRejectText$mgrpNoMatchAddrs$mgrpRemoveHeader$mgrpRFC822MailMember))目录用户代理配置文件(DUAProfile)架构DUAConfSchemaOID是1.
3.
6.
1.
4.
1.
11.
1.
3.
1.
DESC'DefaultLDAPserverhostaddressusedbyaDUA'EQUALITYcaseIgnoreMatchSYNTAX1.
3.
6.
1.
4.
1.
1466.
115.
121.
1.
15SINGLE-VALUE)(DUAConfSchemaOID.
1.
0NAME'defaultServerList'DESC'DefaultLDAPserverhostaddressusedbyaDUAList'SYNTAX1.
3.
6.
1.
4.
1.
1466.
115.
121.
1.
15SINGLE-VALUE)(DUAConfSchemaOID.
1.
1NAME'defaultSearchBase'DESC'DefaultLDAPbaseDNusedbyaDUA'EQUALITYdistinguishedNameMatchSYNTAX1.
3.
6.
1.
4.
1.
1466.
115.
121.
1.
12SINGLE-VALUE)(DUAConfSchemaOID.
1.
2NAME'preferredServerList'DESC'PreferredLDAPserverhostaddressestobeusedbyaDUA'EQUALITYcaseIgnoreMatchSYNTAX1.
3.
6.
1.
4.
1.
1466.
115.
121.
1.
15SINGLE-VALUE)目录用户代理配置文件(DUAProfile)架构84使用OracleSolaris11.
2目录和命名服务:LDAP2014年7月(DUAConfSchemaOID.
1.
3NAME'searchTimeLimit'DESC'MaximumtimeinsecondsaDUAshouldallowforasearchtocomplete'EQUALITYintegerMatchSYNTAX1.
3.
6.
1.
4.
1.
1466.
115.
121.
1.
27SINGLE-VALUE)(DUAConfSchemaOID.
1.
4NAME'bindTimeLimit'DESC'MaximumtimeinsecondsaDUAshouldallowforthebindoperationtocomplete'EQUALITYintegerMatchSYNTAX1.
3.
6.
1.
4.
1.
1466.
115.
121.
1.
27SINGLE-VALUE)(DUAConfSchemaOID.
1.
5NAME'followReferrals'DESC'TellsDUAifitshouldfollowreferralsreturnedbyaDSAsearchresult'EQUALITYcaseIgnoreIA5MatchSYNTAX1.
3.
6.
1.
4.
1.
1466.
115.
121.
1.
7SINGLE-VALUE)(DUAConfSchemaOID.
1.
6NAME'authenticationMethod'DESC'AkeystringwhichidentifiesthetypeofauthenticationmethodusedtocontacttheDSA'EQUALITYcaseIgnoreMatchSYNTAX1.
3.
6.
1.
4.
1.
1466.
115.
121.
1.
15SINGLE-VALUE)(DUAConfSchemaOID.
1.
7NAME'profileTTL'DESC'TimetolivebeforeaclientDUAshouldre-readthisconfigurationprofile'SYNTAX1.
3.
6.
1.
4.
1.
1466.
115.
121.
1.
27SINGLE-VALUE)(DUAConfSchemaOID.
1.
9NAME'attributeMap'DESC'AttributemappingsusedbyaDUA'EQUALITYcaseIgnoreIA5MatchSYNTAX1.
3.
6.
1.
4.
1.
1466.
115.
121.
1.
26)(DUAConfSchemaOID.
1.
10NAME'credentialLevel'DESC'IdentifiestypeofcredentialsaDUAshouldusewhenbindingtotheLDAPserver'EQUALITYcaseIgnoreIA5MatchSYNTAX1.
3.
6.
1.
4.
1.
1466.
115.
121.
1.
26SINGLE-VALUE)(DUAConfSchemaOID.
1.
11NAME'objectclassMap'DESC'ObjectclassmappingsusedbyaDUA'EQUALITYcaseIgnoreIA5MatchSYNTAX1.
3.
6.
1.
4.
1.
1466.
115.
121.
1.
26)(DUAConfSchemaOID.
1.
12NAME'defaultSearchScope'DESC'DefaultsearchscopeusedbyaDUA'SYNTAX1.
3.
6.
1.
4.
1.
1466.
115.
121.
1.
15OracleSolaris架构第7章LDAP命名服务(参考信息)85SINGLE-VALUE)(DUAConfSchemaOID.
1.
13NAME'serviceCredentialLevel'DESC'IdentifiestypeofcredentialsaDUAshouldusewhenbindingtotheLDAPserverforaspecificservice'EQUALITYcaseIgnoreIA5MatchSYNTAX1.
3.
6.
1.
4.
1.
1466.
115.
121.
1.
26)(DUAConfSchemaOID.
1.
14NAME'serviceSearchDescriptor'DESC'LDAPsearchdescriptorlistusedbyNaming-DUA'EQUALITYcaseIgnoreMatchSYNTAX1.
3.
6.
1.
4.
1.
1466.
115.
121.
1.
15)(DUAConfSchemaOID.
1.
15NAME'serviceAuthenticationMethod'DESC'AuthenticationMethodusedbyaserviceoftheDUA'EQUALITYcaseIgnoreMatchSYNTAX1.
3.
6.
1.
4.
1.
1466.
115.
121.
1.
15)(DUAConfSchemaOID.
2.
4NAME'DUAConfigProfile'SUPtopSTRUCTURALDESC'AbstractionofabaseconfigurationforaDUA'MUST(cn)MAY(defaultServerList$preferredServerList$defaultSearchBase$defaultSearchScope$searchTimeLimit$bindTimeLimit$credentialLevel$authenticationMethod$followReferrals$serviceSearchDescriptor$serviceCredentialLevel$serviceAuthenticationMethod$objectclassMap$attributeMap$profileTTL))OracleSolaris架构OracleSolaris平台所需的架构如下所示.
项目架构基于角色的访问控制和执行配置文件架构打印机架构项目架构/etc/project文件是与项目关联的属性的本地源.
有关更多信息,请参见user_attr(4)手册页.
项目属性如下所示.
(1.
3.
6.
1.
4.
1.
42.
2.
27.
5.
1.
1NAME'SolarisProjectID'OracleSolaris架构86使用OracleSolaris11.
2目录和命名服务:LDAP2014年7月DESC'UniqueIDforaSolarisProjectentry'EQUALITYintegerMatchSYNTAXINTEGERSINGLE)(1.
3.
6.
1.
4.
1.
42.
2.
27.
5.
1.
2NAME'SolarisProjectName'DESC'NameofaSolarisProjectentry'EQUALITYcaseExactIA5MatchSYNTAXIA5StringSINGLE)(1.
3.
6.
1.
4.
1.
42.
2.
27.
5.
1.
3NAME'SolarisProjectAttr'DESC'AttributesofaSolarisProjectentry'EQUALITYcaseExactIA5MatchSYNTAXIA5String)(1.
3.
6.
1.
4.
1.
42.
2.
27.
5.
1.
30NAME'memberGid'DESC'PosixGroupName'EQUALITYcaseExactIA5MatchSYNTAX'IA5String')项目objectClass如下所示.
(1.
3.
6.
1.
4.
1.
42.
2.
27.
5.
2.
1NAME'SolarisProject'SUPtopSTRUCTURALMUST(SolarisProjectID$SolarisProjectName)MAY(memberUid$memberGid$description$SolarisProjectAttr))基于角色的访问控制和执行配置文件架构/etc/user_attr文件是与用户和角色关联的扩展属性的本地源.
有关更多信息,请参见user_attr(4)手册页.
基于角色的访问控制属性如下所示.
(1.
3.
6.
1.
4.
1.
42.
2.
27.
5.
1.
4NAME'SolarisAttrKeyValue'DESC'Semi-colonseparatedkey=valuepairsofattributes'EQUALITYcaseIgnoreIA5MatchSUBSTRINGScaseIgnoreIA5MatchSYNTAX'IA5String'SINGLE-VALUE)(1.
3.
6.
1.
4.
1.
42.
2.
27.
5.
1.
7NAME'SolarisAttrShortDesc'DESC'Shortdescriptionaboutanentry,usedbyGUIs'EQUALITYcaseIgnoreIA5MatchSYNTAX'IA5String'SINGLE-VALUE)(1.
3.
6.
1.
4.
1.
42.
2.
27.
5.
1.
8NAME'SolarisAttrLongDesc'DESC'Detaildescriptionaboutanentry'EQUALITYcaseIgnoreIA5MatchSYNTAX'IA5String'SINGLE-VALUE)(1.
3.
6.
1.
4.
1.
42.
2.
27.
5.
1.
9NAME'SolarisKernelSecurityPolicy'DESC'Solariskernelsecuritypolicy'OracleSolaris架构第7章LDAP命名服务(参考信息)87EQUALITYcaseIgnoreIA5MatchSYNTAX'IA5String'SINGLE-VALUE)(1.
3.
6.
1.
4.
1.
42.
2.
27.
5.
1.
10NAME'SolarisProfileType'DESC'Typeofobjectdefinedinprofile'EQUALITYcaseIgnoreIA5MatchSYNTAX'IA5String'SINGLE-VALUE)(1.
3.
6.
1.
4.
1.
42.
2.
27.
5.
1.
11NAME'SolarisProfileId'DESC'Identifierofobjectdefinedinprofile'EQUALITYcaseExactIA5MatchSYNTAX'IA5String'SINGLE-VALUE)(1.
3.
6.
1.
4.
1.
42.
2.
27.
5.
1.
12NAME'SolarisUserQualifier'DESC'Per-userloginattributes'EQUALITYcaseIgnoreIA5MatchSYNTAX'IA5String'SINGLE-VALUE)(1.
3.
6.
1.
4.
1.
42.
2.
27.
5.
1.
13NAME'SolarisReserved1'DESC'Reservedforfutureuse'EQUALITYcaseIgnoreIA5MatchSYNTAX'IA5String'SINGLE-VALUE)(1.
3.
6.
1.
4.
1.
42.
2.
27.
5.
1.
14NAME'SolarisReserved2'DESC'Reservedforfutureuse'EQUALITYcaseIgnoreIA5MatchSYNTAX'IA5String'SINGLE-VALUE)(2.
16.
840.
1.
113894.
1009.
2.
100.
1.
1NAME'SolarisUserAttrEntry'DESC'user_attrfileformatwithoutusername'EQUALITYcaseExactIA5MatchSYNTAX'IA5String')(2.
16.
840.
1.
113894.
1009.
2.
100.
1.
2NAME'SolarisUserType'DESC'specifieswhetheranormaluserorarole'EQUALITYcaseExactIA5MatchSYNTAX'IA5String'SINGLE-VALUE)基于角色的访问控制objectClassses如下所示.
(1.
3.
6.
1.
4.
1.
42.
2.
27.
5.
2.
3NAME'SolarisUserAttr'SUPtopAUXILIARYDESC'Userattributes'MAY(SolarisUserQualifier$SolarisAttrReserved1$\SolarisAttrReserved2$SolarisAttrKeyValue))(1.
3.
6.
1.
4.
1.
42.
2.
27.
5.
2.
4NAME'SolarisAuthAttr'SUPtopSTRUCTURALDESC'Authorizationsdata'MUSTcnMAY(SolarisAttrReserved1$SolarisAttrReserved2$\SolarisAttrShortDesc$SolarisAttrLongDesc$\SolarisAttrKeyValue))(1.
3.
6.
1.
4.
1.
42.
2.
27.
5.
2.
5NAME'SolarisProfAttr'SUPtopSTRUCTURALDESC'Profilesdata'LDAP的Internet打印协议信息88使用OracleSolaris11.
2目录和命名服务:LDAP2014年7月MUSTcnMAY(SolarisAttrReserved1$SolarisAttrReserved2$\SolarisAttrLongDesc$SolarisAttrKeyValue))(1.
3.
6.
1.
4.
1.
42.
2.
27.
5.
2.
6NAME'SolarisExecAttr'SUPtopAUXILIARYDESC'Profilesexecutionattributes'MAY(SolarisKernelSecurityPolicy$SolarisProfileType$\SolarisAttrReserved1$SolarisAttrReserved2$\SolarisProfileId$SolarisAttrKeyValue))(2.
16.
840.
1.
113894.
1009.
2.
100.
2.
1NAME'SolarisQualifiedUserAttr'SUPtopAUXILIARYDESC'Hostornetgroupqualifieduserattributes'MAY(SolarisUserAttrEntry$SolarisUserType))LDAP的Internet打印协议信息以下各节提供了关于Internet打印协议和打印机的属性和ObjectClasses的信息.
Internet打印协议属性(1.
3.
18.
0.
2.
4.
1140NAME'printer-uri'DESC'AURIsupportedbythisprinter.
ThisURISHOULDbeusedasarelativedistinguishedname(RDN).
Ifprinter-xri-supportedisimplemented,thenthisURIvalueMUSTbelistedinamembervalueofprinter-xri-supported.
'EQUALITYcaseIgnoreMatchORDERINGcaseIgnoreOrderingMatchSUBSTRcaseIgnoreSubstringsMatchSYNTAX1.
3.
6.
1.
4.
1.
1466.
115.
121.
1.
15SINGLE-VALUE)(1.
3.
18.
0.
2.
4.
1107NAME'printer-xri-supported'DESC'TheunorderedlistofXRI(extendedresourceidentifiers)supportedbythisprinter.
EachmemberofthelistconsistsofaURI(uniformresourceidentifier)followedbyoptionalauthenticationandsecuritymetaparameters.
'EQUALITYcaseIgnoreMatchORDERINGcaseIgnoreOrderingMatchSUBSTRcaseIgnoreSubstringsMatchSYNTAX1.
3.
6.
1.
4.
1.
1466.
115.
121.
1.
15)(1.
3.
18.
0.
2.
4.
1135NAME'printer-name'DESC'Thesite-specificadministrativenameofthisprinter,moreend-userfriendlythanaURI.
'EQUALITYcaseIgnoreMatchLDAP的Internet打印协议信息第7章LDAP命名服务(参考信息)89ORDERINGcaseIgnoreOrderingMatchSUBSTRcaseIgnoreSubstringsMatchSYNTAX1.
3.
6.
1.
4.
1.
1466.
115.
121.
1.
15{127}SINGLE-VALUE)(1.
3.
18.
0.
2.
4.
1119NAME'printer-natural-language-configured'DESC'Theconfiguredlanguageinwhicherrorandstatusmessageswillbegenerated(bydefault)bythisprinter.
Also,apossiblelanguageforprinterstringattributessetbyoperator,systemadministrator,ormanufacturer.
Also,the(declared)languageofthe"printer-name","printer-location","printer-info",and"printer-make-and-model"attributesofthisprinter.
Forexample:"en-us"(USEnglish)or"fr-fr"(FrenchinFrance)Legalvaluesoflanguagetagsconformto[RFC3066]"TagsfortheIdentificationofLanguages".
'EQUALITYcaseIgnoreMatchORDERINGcaseIgnoreOrderingMatchSUBSTRcaseIgnoreSubstringsMatchSYNTAX1.
3.
6.
1.
4.
1.
1466.
115.
121.
1.
15{127}SINGLE-VALUE)(1.
3.
18.
0.
2.
4.
1136NAME'printer-location'DESC'Identifiesthelocationoftheprinter.
Thiscouldincludethingslike:"inRoom123A","secondfloorofbuildingXYZ".
'EQUALITYcaseIgnoreMatchORDERINGcaseIgnoreOrderingMatchSUBSTRcaseIgnoreSubstringsMatchSYNTAX1.
3.
6.
1.
4.
1.
1466.
115.
121.
1.
15{127}SINGLE-VALUE)(1.
3.
18.
0.
2.
4.
1139NAME'printer-info'DESC'Identifiesthedescriptiveinformationaboutthisprinter.
Thiscouldincludethingslike:"ThisprintercanbeusedforprintingcolortransparenciesforHRpresentations",or"Outofcourtesyforothers,pleaseprintonlysmall(1-5page)jobsatthisprinter",oreven"ThisprinterisgoingawayonJuly1,1997,pleasefindanewprinter".
'EQUALITYcaseIgnoreMatchORDERINGcaseIgnoreOrderingMatchSUBSTRcaseIgnoreSubstringsMatchSYNTAX1.
3.
6.
1.
4.
1.
1466.
115.
121.
1.
15{127}SINGLE-VALUE)(1.
3.
18.
0.
2.
4.
1134NAME'printer-more-info'DESC'AURIusedtoobtainmoreinformationaboutthisspecificprinter.
Forexample,thiscouldbeanHTTPtypeURIreferencinganHTMLpageaccessibletoaWebBrowser.
TheinformationobtainedfromthisURIisintendedforenduserconsumption.
'EQUALITYcaseIgnoreMatchORDERINGcaseIgnoreOrderingMatchSUBSTRcaseIgnoreSubstringsMatchSYNTAX1.
3.
6.
1.
4.
1.
1466.
115.
121.
1.
15SINGLE-VALUE)(1.
3.
18.
0.
2.
4.
1138NAME'printer-make-and-model'DESC'Identifiesthemakeandmodelofthedevice.
ThedevicemanufacturerMAYinitiallypopulatethisattribute.
'LDAP的Internet打印协议信息90使用OracleSolaris11.
2目录和命名服务:LDAP2014年7月EQUALITYcaseIgnoreMatchORDERINGcaseIgnoreOrderingMatchSUBSTRcaseIgnoreSubstringsMatchSYNTAX1.
3.
6.
1.
4.
1.
1466.
115.
121.
1.
15{127}SINGLE-VALUE)(1.
3.
18.
0.
2.
4.
1133NAME'printer-ipp-versions-supported'DESC'IdentifiestheIPPprotocolversion(s)thatthisprintersupports,includingmajorandminorversions,i.
e.
,theversionnumbersforwhichthisPrinterimplementationmeetstheconformancerequirements.
'EQUALITYcaseIgnoreMatchORDERINGcaseIgnoreOrderingMatchSUBSTRcaseIgnoreSubstringsMatchSYNTAX1.
3.
6.
1.
4.
1.
1466.
115.
121.
1.
15{127})(1.
3.
18.
0.
2.
4.
1132NAME'printer-multiple-document-jobs-supported'DESC'Indicateswhetherornottheprintersupportsmorethanonedocumentperjob,i.
e.
,morethanoneSend-DocumentorSend-Dataoperationwithdocumentdata.
'EQUALITYbooleanMatchSYNTAX1.
3.
6.
1.
4.
1.
1466.
115.
121.
1.
7SINGLE-VALUE)(1.
3.
18.
0.
2.
4.
1109NAME'printer-charset-configured'DESC'Theconfiguredcharsetinwhicherrorandstatusmessageswillbegenerated(bydefault)bythisprinter.
Also,apossiblecharsetforprinterstringattributessetbyoperator,systemadministrator,ormanufacturer.
Forexample:"utf-8"(ISO10646/Unicode)or"iso-8859-1"(Latin1).
LegalvaluesaredefinedbytheIANARegistryofCodedCharacterSetsandthe"(preferredMIMEname)"SHALLbeusedasthetag.
ForcoherencewithIPPModel,charsettagsinthisattributeSHALLbelowercasenormalized.
ThisattributeSHOULDbestatic(timeofregistration)andSHOULDNOTbedynamicallyrefreshedattributetypes:(subsequently).
'EQUALITYcaseIgnoreMatchSYNTAX1.
3.
6.
1.
4.
1.
1466.
115.
121.
1.
15{63}SINGLE-VALUE)(1.
3.
18.
0.
2.
4.
1131NAME'printer-charset-supported'DESC'IdentifiesthesetofcharsetssupportedforattributetypevaluesoftypeDirectoryStringforthisdirectoryentry.
Forexample:"utf-8"(ISO10646/Unicode)or"iso-8859-1"(Latin1).
LegalvaluesaredefinedbytheIANARegistryofCodedCharacterSetsandthepreferredMIMEname.
'EQUALITYcaseIgnoreMatchSYNTAX1.
3.
6.
1.
4.
1.
1466.
115.
121.
1.
15{63})(1.
3.
18.
0.
2.
4.
1137NAME'printer-generated-natural-language-supported'DESC'Identifiesthenaturallanguage(s)supportedforthisdirectoryentry.
Forexample:"en-us"(USEnglish)or"fr-fr"(FrenchinFrance).
Legalvaluesconformto[RFC3066],TagsfortheIdentificationofLanguages.
'EQUALITYcaseIgnoreMatchORDERINGcaseIgnoreOrderingMatchSUBSTRcaseIgnoreSubstringsMatchLDAP的Internet打印协议信息第7章LDAP命名服务(参考信息)91SYNTAX1.
3.
6.
1.
4.
1.
1466.
115.
121.
1.
15{63})(1.
3.
18.
0.
2.
4.
1130NAME'printer-document-format-supported'DESC'Thepossibledocumentformatsinwhichdatamaybeinterpretedandprintedbythisprinter.
LegalvaluesareMIMEtypescomefromtheIANARegistryofInternetMediaTypes.
'EQUALITYcaseIgnoreMatchSYNTAX1.
3.
6.
1.
4.
1.
1466.
115.
121.
1.
15{127})(1.
3.
18.
0.
2.
4.
1129NAME'printer-color-supported'DESC'Indicateswhetherthisprinteriscapableofanytypeofcolorprintingatall,includinghighlightcolor.
'EQUALITYbooleanMatchSYNTAX1.
3.
6.
1.
4.
1.
1466.
115.
121.
1.
7SINGLE-VALUE)(1.
3.
18.
0.
2.
4.
1128NAME'printer-compression-supported'DESC'Compressionalgorithmssupportedbythisprinter.
Forexample:"deflate,gzip".
Legalvaluesinclude;"none","deflate"attributetypes:(publicdomainZIP),"gzip"(GNUZIP),"compress"(UNIX).
'EQUALITYcaseIgnoreMatchSYNTAX1.
3.
6.
1.
4.
1.
1466.
115.
121.
1.
15{255})(1.
3.
18.
0.
2.
4.
1127NAME'printer-pages-per-minute'DESC'Thenominalnumberofpagesperminutewhichmaybeoutputbythisprinter(e.
g.
,asimplexorblack-and-whiteprinter).
Thisattributeisinformative,NOTaserviceguarantee.
Typically,itisthevalueusedinmarketingliteraturetodescribethisprinter.
'EQUALITYintegerMatchORDERINGintegerOrderingMatchSYNTAX1.
3.
6.
1.
4.
1.
1466.
115.
121.
1.
27SINGLE-VALUE)(1.
3.
18.
0.
2.
4.
1126NAME'printer-pages-per-minute-color'DESC'Thenominalnumberofcolorpagesperminutewhichmaybeoutputbythisprinter(e.
g.
,asimplexorcolorprinter).
Thisattributeisinformative,NOTaserviceguarantee.
Typically,itisthevalueusedinmarketingliteraturetodescribethisprinter.
'EQUALITYintegerMatchORDERINGintegerOrderingMatchSYNTAX1.
3.
6.
1.
4.
1.
1466.
115.
121.
1.
27SINGLE-VALUE)(1.
3.
18.
0.
2.
4.
1125NAME'printer-finishings-supported'DESC'Thepossiblefinishingoperationssupportedbythisprinter.
Legalvaluesinclude;"none","staple","punch","cover","bind","saddle-stitch","edge-stitch","staple-top-left","staple-bottom-left","staple-top-right","staple-bottom-right","edge-stitch-left","edge-stitch-top","edge-stitch-right","edge-stitch-bottom","staple-dual-left","staple-dual-top","staple-dual-right","staple-dual-bottom".
'EQUALITYcaseIgnoreMatchSUBSTRcaseIgnoreSubstringsMatchSYNTAX1.
3.
6.
1.
4.
1.
1466.
115.
121.
1.
15{255})(1.
3.
18.
0.
2.
4.
1124NAME'printer-number-up-supported'LDAP的Internet打印协议信息92使用OracleSolaris11.
2目录和命名服务:LDAP2014年7月DESC'Thepossiblenumbersofprint-streampagestoimposeuponasinglesideofaninstanceofaselectedmedium.
Legalvaluesinclude;1,2,and4.
Implementationsmaysupportothervalues.
'EQUALITYintegerMatchORDERINGintegerOrderingMatchSYNTAX1.
3.
6.
1.
4.
1.
1466.
115.
121.
1.
27)(1.
3.
18.
0.
2.
4.
1123NAME'printer-sides-supported'DESC'Thenumberofimpressionsides(oneortwo)andthetwo-sidedimpressionrotationssupportedbythisprinter.
Legalvaluesinclude;"one-sided","two-sided-long-edge","two-sided-short-edge".
'EQUALITYcaseIgnoreMatchSYNTAX1.
3.
6.
1.
4.
1.
1466.
115.
121.
1.
15{127})(1.
3.
18.
0.
2.
4.
1122NAME'printer-media-supported'DESC'Thestandardnames/types/sizes(andoptionalcolorsuffixes)ofthemediasupportedbythisprinter.
Forexample:"iso-a4","envelope",or"na-letter-white".
LegalvaluesconformtoISO10175,DocumentPrintingApplication(DPA),andanyIANAregisteredextensions.
'EQUALITYcaseIgnoreMatchSYNTAX1.
3.
6.
1.
4.
1.
1466.
115.
121.
1.
15{255})(1.
3.
18.
0.
2.
4.
1117NAME'printer-media-local-supported'DESC'Site-specificnamesofmediasupportedbythisprinter,inthelanguagein"printer-natural-language-configured".
Forexample:"purchasing-form"(site-specificname)asopposedto(in"printer-media-supported"):"na-letter"(standardkeywordfromISO10175).
'EQUALITYcaseIgnoreMatchSUBSTRcaseIgnoreSubstringsMatchSYNTAX1.
3.
6.
1.
4.
1.
1466.
115.
121.
1.
15{255})(1.
3.
18.
0.
2.
4.
1121NAME'printer-resolution-supported'DESC'Listofresolutionssupportedforprintingdocumentsbythisprinter.
Eachresolutionvalueisastringwith3fields:1)Crossfeeddirectionresolution(positiveinteger),2)Feeddirectionresolution(positiveinteger),3)Resolutionunit.
Legalvaluesare"dpi"(dotsperinch)and"dpcm"(dotspercentimeter).
Eachresolutionfieldisdelimitedby">".
Forexample:"300>300>dpi>".
'EQUALITYcaseIgnoreMatchSUBSTRcaseIgnoreSubstringsMatchSYNTAX1.
3.
6.
1.
4.
1.
1466.
115.
121.
1.
15{255})(1.
3.
18.
0.
2.
4.
1120NAME'printer-print-quality-supported'DESC'Listofprintqualitiessupportedforprintingdocumentsonthisprinter.
Forexample:"draft,normal".
Legalvaluesinclude;"unknown","draft","normal","high".
'EQUALITYcaseIgnoreMatchSYNTAX1.
3.
6.
1.
4.
1.
1466.
115.
121.
1.
15{127})(1.
3.
18.
0.
2.
4.
1110NAME'printer-job-priority-supported'DESC'Indicatesthenumberofjobprioritylevelssupported.
AnIPPconformantprinterwhichsupportsjobprioritymustalwayssupportafullrangeofprioritiesfrom"1"to"100"(toensureconsistentbehavior),thereforethisattributedescribesthe"granularity".
LDAP的Internet打印协议信息第7章LDAP命名服务(参考信息)93Legalvaluesofthisattributearefrom"1"to"100".
'EQUALITYintegerMatchORDERINGintegerOrderingMatchSYNTAX1.
3.
6.
1.
4.
1.
1466.
115.
121.
1.
27SINGLE-VALUE)(1.
3.
18.
0.
2.
4.
1118NAME'printer-copies-supported'DESC'Themaximumnumberofcopiesofadocumentthatmaybeprintedasasinglejob.
Avalueof"0"indicatesnomaximumlimit.
Avalueof"-1"indicatesunknown.
'EQUALITYintegerMatchORDERINGintegerOrderingMatchSYNTAX1.
3.
6.
1.
4.
1.
1466.
115.
121.
1.
27SINGLE-VALUE)(1.
3.
18.
0.
2.
4.
1111NAME'printer-job-k-octets-supported'DESC'Themaximumsizeinkilobytes(1,024octetsactually)incomingprintjobthatthisprinterwillaccept.
Avalueof"0"indicatesnomaximumlimit.
Avalueof"-1"indicatesunknown.
'EQUALITYintegerMatchORDERINGintegerOrderingMatchSYNTAX1.
3.
6.
1.
4.
1.
1466.
115.
121.
1.
27SINGLE-VALUE)(1.
3.
18.
0.
2.
4.
1113NAME'printer-service-person'DESC'Thenameofthecurrenthumanservicepersonresponsibleforservicingthisprinter.
Itissuggestedthatthisstringincludeinformationthatwouldenableotherhumanstoreachtheserviceperson,suchasaphonenumber.
'EQUALITYcaseIgnoreMatchORDERINGcaseIgnoreOrderingMatchSUBSTRcaseIgnoreSubstringsMatchSYNTAX1.
3.
6.
1.
4.
1.
1466.
115.
121.
1.
15{127}SINGLE-VALUE)(1.
3.
18.
0.
2.
4.
1114NAME'printer-delivery-orientation-supported'DESC'Thepossibledeliveryorientationsofpagesastheyareprintedandejectedfromthisprinter.
Legalvaluesinclude;"unknown","face-up",and"face-down".
'EQUALITYcaseIgnoreMatchSYNTAX1.
3.
6.
1.
4.
1.
1466.
115.
121.
1.
15{127})(1.
3.
18.
0.
2.
4.
1115NAME'printer-stacking-order-supported'DESC'Thepossiblestackingorderofpagesastheyareprintedandejectedfromthisprinter.
Legalvaluesinclude;"unknown","first-to-last","last-to-first".
'EQUALITYcaseIgnoreMatchSYNTAX1.
3.
6.
1.
4.
1.
1466.
115.
121.
1.
15{127})(1.
3.
18.
0.
2.
4.
1116NAME'printer-output-features-supported'DESC'Thepossibleoutputfeaturessupportedbythisprinter.
Legalvaluesinclude;"unknown","bursting","decollating","page-collating","offset-stacking".
'EQUALITYcaseIgnoreMatchLDAP的Internet打印协议信息94使用OracleSolaris11.
2目录和命名服务:LDAP2014年7月SYNTAX1.
3.
6.
1.
4.
1.
1466.
115.
121.
1.
15{127})(1.
3.
18.
0.
2.
4.
1108NAME'printer-aliases'DESC'Site-specificadministrativenamesofthisprinterinadditiontheprinternamespecifiedforprinter-name.
'EQUALITYcaseIgnoreMatchORDERINGcaseIgnoreOrderingMatchSUBSTRcaseIgnoreSubstringsMatchSYNTAX1.
3.
6.
1.
4.
1.
1466.
115.
121.
1.
15{127})(1.
3.
6.
1.
4.
1.
42.
2.
27.
5.
1.
63NAME'sun-printer-bsdaddr'DESC'Setstheserver,printqueuedestinationnameandwhethertheclientgeneratesprotocolextensions.
"Solaris"specifiesaSolarisprintserverextension.
Thevalueisrepresentedbthefollowingvalue:server","destination",Solaris".
'SYNTAX'1.
3.
6.
1.
4.
1.
1466.
115.
121.
1.
15'SINGLE-VALUE)(1.
3.
6.
1.
4.
1.
42.
2.
27.
5.
1.
64NAME'sun-printer-kvp'DESC'Thisattributecontainsasetofkeyvaluepairswhichmayhavemeaningtotheprintsubsystemormaybeuserdefined.
Eachvalueisrepresentedbythefollowing:key"="value.
'SYNTAX'1.
3.
6.
1.
4.
1.
1466.
115.
121.
1.
15')Internet打印协议ObjectClassesobjectclasses:(1.
3.
18.
0.
2.
6.
2549NAME'slpService'DESC'DUMMYdefinition'SUP'top'MUST(objectclass)MAY())objectclasses:(1.
3.
18.
0.
2.
6.
254NAME'slpServicePrinter'DESC'ServiceLocationProtocol(SLP)information.
'AUXILIARYSUP'slpService')objectclasses:(1.
3.
18.
0.
2.
6.
258NAME'printerAbstract'DESC'Printerrelatedinformation.
'ABSTRACTSUP'top'MAY(printer-name$printer-natural-language-configured$printer-location$printer-info$printer-more-info$printer-make-and-model$printer-multiple-document-jobs-supported$printer-charset-configured$printer-charset-supported$printer-generated-natural-language-supported$printer-document-format-supportedLDAP的Internet打印协议信息第7章LDAP命名服务(参考信息)95$printer-color-supported$printer-compression-supported$printer-pages-per-minute$printer-pages-per-minute-color$printer-finishings-supported$printer-number-up-supported$printer-sides-supported$printer-media-supported$printer-media-local-supported$printer-resolution-supported$printer-print-quality-supported$printer-job-priority-supported$printer-copies-supported$printer-job-k-octets-supported$printer-current-operator$printer-service-person$printer-delivery-orientation-supported$printer-stacking-order-supported$printer!
-output-features-supported))objectclasses:(1.
3.
18.
0.
2.
6.
255NAME'printerService'DESC'Printerinformation.
'STRUCTURALSUP'printerAbstract'MAY(printer-uri$printer-xri-supported))objectclasses:(1.
3.
18.
0.
2.
6.
257NAME'printerServiceAuxClass'DESC'Printerinformation.
'AUXILIARYSUP'printerAbstract'MAY(printer-uri$printer-xri-supported))objectclasses:(1.
3.
18.
0.
2.
6.
256NAME'printerIPP'DESC'InternetPrintingProtocol(IPP)information.
'AUXILIARYSUP'top'MAY(printer-ipp-versions-supported$printer-multiple-document-jobs-supported))objectclasses:(1.
3.
18.
0.
2.
6.
253NAME'printerLPR'DESC'LPRinformation.
'AUXILIARYSUP'top'MUST(printer-name)MAY(printer-aliases))objectclasses:(1.
3.
6.
1.
4.
1.
42.
2.
27.
5.
2.
14NAME'sunPrinter'DESC'Sunprinterinformation'SUP'top'AUXILIARYMUST(objectclass$printer-name)MAY(sun-printer-bsdaddr$sun-printer-kvp))打印机属性ATTRIBUTE(1.
3.
6.
1.
4.
1.
42.
2.
27.
5.
1.
63NAMEsun-printer-bsdaddrDESC'Setstheserver,printqueuedestinationnameandwhethertheclientgeneratesprotocolextensions.
"Solaris"specifiesaLDAP的常规目录服务器要求96使用OracleSolaris11.
2目录和命名服务:LDAP2014年7月Solarisprintserverextension.
Thevalueisrepresentedbythefollowingvalue:server","destination",Solaris".
'EQUALITYcaseIgnoreIA5MatchSYNTAX1.
3.
6.
1.
4.
1.
1466.
115.
121.
1.
15SINGLE-VALUE)ATTRIBUTE(1.
3.
6.
1.
4.
1.
42.
2.
27.
5.
1.
64NAMEsun-printer-kvpDESC'Thisattributecontainsasetofkeyvaluepairswhichmayhavemeaningtotheprintsubsystemormaybeuserdefined.
Eachvalueisrepresentedbythefollowing:key"="value.
'EQUALITYcaseIgnoreIA5MatchSYNTAX1.
3.
6.
1.
4.
1.
1466.
115.
121.
1.
15)Sun打印机ObjectClassesOBJECTCLASS(1.
3.
6.
1.
4.
1.
42.
2.
27.
5.
2.
14NAMEsunPrinterDESC'Sunprinterinformation'SUPtopAUXILIARYMUST(printer-name)MAY(sun-printer-bsdaddr$sun-printer-kvp))LDAP的常规目录服务器要求要支持LDAP客户机,所有服务器都必须支持LDAPv3协议与组合命名和辅助对象类.
另外,还必须至少支持下列控制之一:简单分页模式(RFC2696)虚拟列表视图控制服务器必须至少支持下列验证方法之一.
anonymoussimplesasl/cram-MD5sasl/digest-MD5sasl/GSSAPI如果LDAP客户机在使用pam_unix_*模块,则服务器必须支持以UNIXcrypt格式存储口令.
如果LDAP客户机在使用TLS,则服务器必须支持SSL或TLS.
LDAP命名服务使用的缺省过滤器第7章LDAP命名服务(参考信息)97如果LDAP客户机在使用sasl/GSSAPI,则服务器必须支持SASL、GSSAPI、Kerberos5验证.
对GSS线上加密的支持是可选的.
LDAP命名服务使用的缺省过滤器如果没有使用SSD为给定的服务手动指定参数,将使用缺省过滤器.
要列出给定服务的缺省过滤器,请使用带-v选项的ldaplist.
在以下示例中,filter=(&(objectclass=iphost)(cn=abcde)定义了缺省过滤器.
database=hostsfilter=(&(objectclass=iphost)(cn=abcde)userdata=(&(%s)(cn=abcde))ldaplist生成以下缺省过滤器列表,其中%s表示字符串,%d表示数字.
hosts(&(objectclass=iphost)(cn=%s))passwd(&(objectclass=posixaccount)(uid=%s))services(&(objectclass=ipservice)(cn=%s))group(&(objectclass=posixgroup)(cn=%s))netgroup(&(objectclass=nisnetgroup)(cn=%s))networks(&(objectclass=ipnetwork)(ipnetworknumber=%s))netmasks(&(objectclass=ipnetwork)(ipnetworknumber=%s))rpc(&(objectclass=oncrpc)(cn=%s))protocols(&(objectclass=ipprotocol)(cn=%s))bootparams(&(objectclass=bootableDevice)(cn=%s))ethers(&(objectclass=ieee802Device)(cn=%s))publickeyLDAP命名服务使用的缺省过滤器98使用OracleSolaris11.
2目录和命名服务:LDAP2014年7月(&(objectclass=niskeyobject)(cn=%s))or(&(objectclass=niskeyobject)(uidnumber=%d))aliases(&(objectclass=mailGroup)(cn=%s))表7-1getXbyY调用中使用的LDAP过滤器过滤器定义bootparamByName(&(objectClass=bootableDevice)(cn=%s))etherByHost(&(objectClass=ieee802Device)(cn=%s))etherByEther(&(objectClass=ieee802Device)(macAddress=%s))groupByName(&(objectClass=posixGroup)(cn=%s))groupByGID(&(objectClass=posixGroup)(gidNumber=%ld))groupByMember(&(objectClass=posixGroup)(memberUid=%s))hostsByName(&(objectClass=ipHost)(cn=%s))hostsByAddr(&(objectClass=ipHost)(ipHostNumber=%s))keyByUID(&(objectClass=nisKeyObject)(uidNumber=%s))keyByHost(&(objectClass=nisKeyObject)(cn=%s))netByName(&(objectClass=ipNetwork)(cn=%s))netByAddr(&(objectClass=ipNetwork)(ipNetworkNumber=%s))nisgroupMember(membernisnetgroup=%s)maskByNet(&(objectClass=ipNetwork)(ipNetworkNumber=%s))printerByName(&(objectClass=sunPrinter)(|(printer-name=%s)(printer-aliases=%s)))projectByName(&(objectClass=SolarisProject)(SolarisProjectName=%s))projectByID(&(objectClass=SolarisProject)(SolarisProjectID=%ld))protoByName(&(objectClass=ipProtocol)(cn=%s))protoByNumber(&(objectClass=ipProtocol)(ipProtocolNumber=%d))passwordByName(&(objectClass=posixAccount)(uid=%s))passwordByNumber(&(objectClass=posixAccount)(uidNumber=%ld))rpcByName(&(objectClass=oncRpc)(cn=%s))rpcByNumber(&(objectClass=oncRpc)(oncRpcNumber=%d))serverByName(&(objectClass=ipService)(cn=%s))serverByPort(&(objectClass=ipService)(ipServicePort=%ld))serverByNameAndProto(&(objectClass=ipService)(cn=%s)(ipServiceProtocol=%s))specialByNameserver(ipServiceProtocol=%s))ByPortAndProto(&(objectClass=shadowAccount)(uid=%s))netgroupByTriple(&(objectClass=nisNetGroup)(cn=%s))netgroupByMember(&(objectClass=nisNetGroup)(cn=%s))LDAP命名服务使用的缺省过滤器第7章LDAP命名服务(参考信息)99过滤器定义authName(&(objectClass=SolarisAuthAttr)(cn=%s))auditUserByName(&(objectClass=SolarisAuditUser)(uid=%s))execByName(&(objectClass=SolarisExecAttr)(cn=%s)(SolarisKernelSecurityPolicy=%s)(SolarisProfileType=%s))execByPolicy(&(objectClass=SolarisExecAttr)(SolarisProfileId=%s)(SolarisKernelSecurityPolicy=%s)(SolarisProfileType=%s))profileByName(&(objectClass=SolarisProfAttr)(cn=%s))userByName(&(objectClass=SolarisUserAttr)(uid=%s))下表列出了getent属性过滤器.
表7-2getent属性过滤器过滤器定义aliases(objectClass=rfc822MailGroup)auth_attr(objectClass=SolarisAuthAttr)audit_user(objectClass=SolarisAuditUser)exec_attr(objectClass=SolarisExecAttr)group(objectClass=posixGroup)hosts(objectClass=ipHost)networks(objectClass=ipNetwork)prof_attr(objectClass=SolarisProfAttr)protocols(objectClass=ipProtocol)passwd(objectClass=posixAccount)printers(objectClass=sunPrinter)rpc(objectClass=oncRpc)services(objectClass=ipService)shadow(objectclass=shadowAccount)project(objectClass=SolarisProject)usr_attr(objectClass=SolarisUserAttr)100使用OracleSolaris11.
2目录和命名服务:LDAP2014年7月第8章从NIS转换为LDAP1018第8章从NIS转换为LDAP本章介绍如何对那些使用LDAP目录中存储的命名信息的NIS客户机启用支持.
按照本章中的过程操作,可以从使用NIS命名服务转换为使用LDAP命名服务.
要了解转换到LDAP的益处,请参见"LDAP命名服务的概述"[9].
本章包含以下主题:"NIS到LDAP转换服务概述"[101]"从NIS转换为LDAP(任务列表)"[106]"NIS到LDAP转换的先决条件"[106]"设置NIS到LDAP转换服务"[107]"通过OracleDirectoryServerEnterpriseEdition实现NIS到LDAP转换的最佳方法"[113]"NIS到LDAP转换限制"[116]"NIS到LDAP故障排除"[116]"恢复为NIS"[121]NIS到LDAP转换服务概述NIS到LDAP转换服务(N2L服务)以NIS到LDAP转换守护进程取代了NIS主服务器上的现有NIS守护进程.
N2L服务还在该服务器上创建一个NIS到LDAP转换的映射文件.
该映射文件指定NIS映射项和LDAP中目录信息树(DirectoryInformationTree,DIT)等效项之间的映射.
已经进行这种转换的NIS主服务器称为N2L服务器.
从属服务器上没有NISLDAPmapping文件,因此它们继续以通常的方式工作.
从属服务器定期从N2L服务器更新其数据,就好像N2L服务器是常规的NIS主服务器一样.
N2L服务的行为由ypserv和NISLDAPmapping配置文件控制.
借助脚本inityp2l可以对这些配置文件进行初始设置.
一旦建立了N2L服务器,您便可以通过直接编辑这些配置文件来维护N2L.
N2L服务支持以下功能:将NIS映射导入到LDAP目录信息树(DirectoryInformationTree,DIT)客户机以NIS的速度和可扩展性访问DIT信息NIS到LDAP转换服务概述102使用OracleSolaris11.
2目录和命名服务:LDAP2014年7月在任何命名系统中,只有一个信息源可以是权威来源.
在传统的NIS中,NIS源是权威信息.
在使用N2L服务时,权威数据来源是LDAP目录.
如第1章LDAP命名服务简介中所述,该目录使用目录管理工具进行管理.
NIS源仅保留用于紧急备份或卸载.
在使用N2L服务后,您必须逐步淘汰NIS客户机.
最终,所有NIS客户机都应当被LDAP命名服务客户机替换.
以下各小节中提供了其他概述信息:"NIS到LDAP转换的目标用户"[102]"不应使用NIS到LDAP转换服务的情况"[102]"NIS到LDAP转换服务对用户造成的影响"[103]"NIS到LDAP转换术语"[103]"NIS到LDAP转换的命令、文件和映射"[104]"支持的标准映射"[105]NIS到LDAP转换工具和服务管理工具NIS和LDAP服务由服务管理工具管理.
使用svcadm命令可以对这些服务执行启用、禁用或重新启动等管理操作.
使用svcs命令可以查询服务的状态.
有关使用SMF对LDAP和NIS进行管理的更多信息,请参见"LDAP和服务管理工具"[57]和《使用OracleSolaris11.
2目录和命名服务:DNS和NIS》中的"NIS和服务管理工具".
有关SMF的信息,请参阅《在OracleSolaris11.
2中管理系统服务》.
有关更多详细信息,另请参阅svcadm(1M)和svcs(1)手册页.
NIS到LDAP转换的目标用户您需要熟悉NIS和LDAP概念、术语以及ID才能执行本章中的过程.
有关NIS和LDAP命名服务的更多信息,请参见以下章节:有关NIS的概述,请参见《使用OracleSolaris11.
2目录和命名服务:DNS和NIS》中的第5章"关于网络信息服务"第1章LDAP命名服务简介(提供LDAP的概述)不应使用NIS到LDAP转换服务的情况N2L服务的用途是充当从使用NIS转换到使用LDAP的转换工具.
在下列情况下不要使用N2L服务:未不计划在NIS和LDAP命名服务客户机之间共享数据的情况下在这种情况下,N2L服务器将充当极其复杂的NIS主服务器.
NIS到LDAP转换服务概述第8章从NIS转换为LDAP103NIS映射由修改NIS源文件的工具(而非yppasswd)进行管理的情况下从DIT映射重新生成NIS源是一项不精确的任务,需要手动检查生成的映射.
一旦使用了N2L服务,所提供的NIS源重新生成功能将仅用于卸载NIS或恢复为NIS.
没有NIS客户机的情况下在此类环境中,请使用LDAP命名服务客户机及其对应的工具.
NIS到LDAP转换服务对用户造成的影响仅安装与N2L服务相关的文件不会更改NIS服务器的缺省行为.
在安装时,管理员会看到服务器上的NIS手册页发生一些变化且其中会增加N2L帮助脚本inityp2l和ypmap2src.
但是,只要未在NIS服务器上运行inityp2l或未手动创建N2L配置文件,NIS组件便会继续在传统的NIS模式下启动,并像往常那样工作.
运行inityp2l之后,用户会看到服务器和客户机的行为会发生一些变化.
以下列表列出了NIS和LDAP用户的类型,并说明了部署N2L服务之后每种类型的用户应当注意到的情况.
用户类型N2L服务的影响NIS主服务器管理员NIS主服务器转换为N2L服务器.
NISLDAPmapping和ypserv配置文件将在N2L服务器上安装.
建立N2L服务器之后,可以使用LDAP命令来管理命名信息.
NIS从属服务器管理员N2L转换之后,NIS从属服务器继续以通常的方式运行NIS.
当ypmake调用yppush时,N2L服务器会将更新的NIS映射推送到从属服务器.
请参见ypmake(1M)手册页.
NIS客户机NIS读取操作与传统的NIS没有区别.
当LDAP命名服务客户机更改DIT中的信息时,该信息将被复制到NIS映射中.
复制操作是在可配置的超时时间过期之后完成的.
此行为与连接到NIS从属服务器的常规NIS客户机的行为相似.
如果N2L服务器无法绑定到LDAP服务器进行读取,它将从自身的缓存副本中返回信息.
或者,N2L服务器还可能会返回内部服务器错误.
您可以将N2L服务器配置为以上述任一方式响应.
有关更多详细信息,请参见ypserv(1M)手册页.
所有用户当NIS客户机发出更改口令的请求时,所做的更改将立即显示在N2L主服务器上并对本地LDAP客户机可见.
如果您尝试在NIS客户机上更改口令,但LDAP服务器不可用,更改将被拒绝,并且N2L服务器会返回内部服务器错误.
此行为可防止将不正确的信息写入高速缓存中.
NIS到LDAP转换术语以下是与N2L服务的实现相关的术语.
NIS到LDAP转换服务概述104使用OracleSolaris11.
2目录和命名服务:LDAP2014年7月表8-1与N2L转换相关的术语术语说明N2Lconfigurationfile(N2L配置文件)/var/yp/NISLDAPmapping和/var/yp/ypserv文件,ypserv守护进程使用这些文件在N2L模式下启动主服务器.
有关详细消息,请参见NISLDAPmapping(4)和ypserv(4)手册页.
map(映射)在N2L服务的上下文中,术语"映射"的用法有两种:指NIS用于存储特定类型信息的数据库文件描述从LDAPDIT映射NIS信息或将NIS信息映射到LDAPDIT的过程mapping(映射过程)NIS项与LDAPDIT项之间的相互转换过程.
mappingfile(映射文件)用来指定如何在NIS文件和LDAP文件之间映射各项的NISLDAPmapping文件.
standardmaps(标准映射)无需手动修改映射文件即可由N2L服务支持的常用NIS映射.
"支持的标准映射"[105]中提供了支持的标准映射的列表.
nonstandardmap(非标准映射)经过定制的标准NIS映射,这些非标准映射使用NIS和LDAPDIT之间的映射,而不是RFC2307或其后续版本中标识的映射.
custommap(定制映射)任何不是标准映射并在从NIS转换至LDAP时需要手动修改映射文件的映射.
LDAPclient(LDAP客户机)任何对LDAP服务器执行读写操作的传统LDAP客户机.
传统的LDAP客户机是可以对任何LDAP服务器执行读写操作的系统.
LDAP命名服务客户机可处理部分定制的命名信息.
LDAPnamingserviceclient(LDAP命名服务客户机)用来处理部分定制命名信息的LDAP客户机.
N2Lserver(N2L服务器)已使用N2L服务重新配置为N2L服务器的NIS主服务器.
重新配置过程包括替换NIS守护进程和添加新配置文件.
NIS到LDAP转换的命令、文件和映射两个实用程序、两个配置文件和一个映射与N2L转换相关联.
表8-2N2L命令、文件和映射的说明命令/文件/映射说明/usr/lib/netsvc/yp/inityp2l一个用来帮助创建NISLDAPmapping和ypserv配置文件的实用程序.
此实用程序不是用来管理这些文件的通用工具.
高级用户可通过使用文本编辑器检查和定制inityp2l输出来维护N2L配置文件或创建定制映射.
请参见inityp2l(1M)手册页.
/usr/lib/netsvc/yp/ypmap2src一个用来将标准NIS映射转换为等效NIS源文件的近似项的实用程序.
ypmap2src主要用于将N2L转换服务器转换为传统的NIS.
请参见ypmap2src(1M)手册页.
NIS到LDAP转换服务概述第8章从NIS转换为LDAP105命令/文件/映射说明/var/yp/NISLDAPmapping一个配置文件,用于指定NIS映射项与LDAP中目录信息树(DirectoryInformationTree,DIT)等效项之间的映射.
请参见NISLDAPmapping(4)手册页.
/var/yp/ypserv一个指定了NIS到LDAP转换守护进程的配置信息的文件.
请参见ypserv(4)手册页.
ageing.
byname映射,yppasswdd在实现NIS到LDAP转换时使用此映射在DIT中读写口令生命期信息.
支持的标准映射缺省情况下,N2L服务支持以下提供的映射列表,以及RFC2307、RFC2307bis及其后续版本的LDAP项.
这些标准映射不需要手动修改映射文件.
系统上任何未在列表中列出的映射都被视为定制映射,且需要手动修改.
N2L服务还支持对auto.
*映射进行自动映射.
但是,由于大多数auto.
*文件名和内容都特定于每种网络配置,因此该列表并未指定这些文件.
但作为标准映射支持的auto.
home和auto.
master映射除外.
标准映射有:audit_userauth_attrauto.
homeauto.
masterbootparamsethers.
byaddrethers.
bynameexec_attrgroup.
bygidgroup.
bynamegroup.
adjunct.
bynamehosts.
byaddrhosts.
bynameipnodes.
byaddripnodes.
bynamemail.
byaddrmail.
aliasesnetgroupnetgroup.
byprojidnetgroup.
byusernetgroup.
byhostnetid.
bynamenetmasks.
byaddrnetworks.
byaddrnetworks.
bynamepasswd.
bynamepasswd.
byuidpasswd.
adjunct.
bynameprof_attrproject.
bynameproject.
byprojectidprotocols.
bynameprotocols.
bynumberpublickey.
bynamerpc.
bynumberservices.
bynameservices.
byservicenametimezone.
bynameuser_attr在NIS到LDAP转换过程中,yppasswdd守护进程使用N2L特定的映射ageing.
byname在DIT中读写口令生命期信息.
如果没有使用口令生命期,则会忽略ageing.
byname映射.
从NIS转换为LDAP(任务列表)106使用OracleSolaris11.
2目录和命名服务:LDAP2014年7月从NIS转换为LDAP(任务列表)下表列出了安装和管理N2L服务(使用标准的和定制的NIS到LDAP转换映射)所需的过程.
任务说明有关指导完成所有先决条件.
请确保您已正确配置了NIS服务器和OracleDirectoryServerEnterpriseEdition(LDAP服务器).
"NIS到LDAP转换的先决条件"[106]设置N2L服务.
在NIS主服务器上运行inityp2l以设置以下映射之一:标准映射如何使用标准映射设置N2L服务[108]定制映射或非标准映射如何使用定制映射或非标准映射设置N2L服务[109]定制映射.
查看如何为N2L转换创建定制映射的示例.
"定制映射的示例"[112]通过N2L配置OracleDirectoryServerEnterpriseEdition.
根据LDAP服务器配置并调整OracleDirectoryServerEnterpriseEdition,以进行N2L转换.
"通过OracleDirectoryServerEnterpriseEdition实现NIS到LDAP转换的最佳方法"[113]对系统进行故障排除.
确定和解决常见的N2L问题.
"NIS到LDAP故障排除"[116]恢复为NIS.
使用相应的映射恢复为NIS:基于旧NIS源文件的映射如何基于旧的源文件恢复到NIS映射[121]基于当前DIT的映射如何基于当前的DIT内容恢复为NIS映射[122]NIS到LDAP转换的先决条件在实现N2L服务之前,必须检查或完成以下各项操作:运行inityp2l脚本以启用N2L模式之前,确保将系统设置为可正常工作的传统NIS服务器.
在系统上配置LDAP目录服务器.
NIS到LDAP迁移工具支持OracleDirectoryServerEnterpriseEdition和Oracle提供的兼容版本的目录服务器.
如果使用OracleDirectoryServerEnterpriseEdition,在设置N2L服务之前请使用idsconfig命令配置服务器.
有关idsconfig的更多信息,请参见第4章设置OracleDirectoryServerEnterpriseEdition和LDAP客户机和idsconfig(1M)手册页.
其他第三方LDAP服务器也许能够用于N2L服务,但是它们不受Oracle支持.
如果您使用的LDAP服务器不是OracleDirectoryServerEnterpriseEdition或兼容设置NIS到LDAP转换服务第8章从NIS转换为LDAP107的Oracle服务器,则在设置N2L服务之前,您必须手动配置服务器以支持RFC2307bis、RFC4876或其后续版本的架构.
对于config/host属性,在dns之前使用files.
确保在N2L主服务器上的hosts文件中提供了N2L主服务器和LDAP服务器的地址.
另一种解决方案是在ypserv中列出LDAP服务器地址,而不列出其主机名.
由于LDAP服务器地址列在另一个位置,因此,在更改LDAP服务器或N2L主服务器的地址时,需要对文件进行额外的修改.
设置NIS到LDAP转换服务您可以按照本节中的过程中的说明,使用标准映射或定制映射设置N2L服务.
在NIS到LDAP转换过程中,您需要运行inityp2l命令.
该命令会运行一个交互式脚本,而您必须为该脚本提供配置信息.
有关需要提供的信息类型的说明,请参见ypserv(1M)手册页.
创建的配置文件的名称(缺省为/etc/default/ypserv)用来将配置信息存储到LDAP中的DN(缺省为ypserv)用来将数据映射到LDAP或从LDAP映射数据的首选服务器的列表用来将数据映射到LDAP或从LDAP映射数据的验证方法用来将数据映射到LDAP或从LDAP映射数据的传输层安全性(TransportLayerSecurity,TLS)方法用来在LDAP中读写数据的代理用户绑定DN用来在LDAP中读写数据的代理用户口令LDAP绑定操作的超时值(秒)LDAP搜索操作的超时值(秒)LDAP修改操作的超时值(秒)LDAP添加操作的超时值(秒)LDAP删除操作的超时值(秒)LDAP服务器上搜索操作的时间限制(秒)LDAP服务器上搜索操作的大小限制(字节)N2L是否应当遵循LDAP引用导致LDAP检索错误的操作、尝试检索的次数以及各尝试操作的超时值(秒)导致存储错误的操作、尝试的次数以及各尝试操作的超时值(秒)映射文件的名称是否为auto_direct映射生成映射信息脚本将与定制映射相关的信息放入映射文件中的相应位置.
命名上下文如何使用标准映射设置N2L服务108使用OracleSolaris11.
2目录和命名服务:LDAP2014年7月是否启用口令更改功能是否更改所有映射的缺省TTL值注-大多数LDAP服务器(包括OracleDirectoryServerEnterpriseEdition)都不支持sasl/cram-md5验证.
如何使用标准映射设置N2L服务如果要转换"支持的标准映射"[105]中所列的映射,请使用此过程.
如果要使用定制映射或非标准映射,请参见如何使用定制映射或非标准映射设置N2L服务[109].
设置LDAP服务器之后,请运行inityp2l脚本并在出现提示时提供配置信息.
inityp2l为标准映射和auto.
*映射设置配置和映射文件.
1.
完成"NIS到LDAP转换的先决条件"[106]中所列的先决步骤.
2.
成为NIS主服务器的管理员.
有关更多信息,请参见《在OracleSolaris11.
2中确保用户和进程的安全》中的"使用所指定的管理权限".
3.
将NIS主服务器转换为N2L服务器.
#inityp2l在NIS主服务器上运行inityp2l脚本并按照提示操作.
有关需要提供的信息的列表,请参见"设置NIS到LDAP转换服务"[107].
有关更多详细信息,请参见inityp2l(1M)手册页.
4.
确定LDAP目录信息树(DirectoryInformationTree,DIT)是否已完全初始化.
如果DIT中已包含置备NISLDAPmapping文件中所列全部映射所需要的信息,则表明它已完全初始化.
如果DIT已完全初始化,则跳过步骤5并转到步骤6.
5.
初始化DIT以便从NIS源文件进行转换.
仅当DIT尚未完全初始化时,才需执行这些步骤.
a.
确保旧NIS映射是最新的版本.
#cd/var/yp#make有关更多信息,请参见ypmake(1M)手册页.
如何使用定制映射或非标准映射设置N2L服务第8章从NIS转换为LDAP109b.
停止NIS服务#svcadmdisablenetwork/nis/server:defaultc.
将旧映射复制到DIT中,然后为这些映射初始化N2L支持.
#ypserv-IR等待ypserv退出.
提示-原始的NISdbm文件不会被覆盖.
您可以根据需要恢复这些文件.
d.
启动DNS和NIS服务以确保它们使用新的映射.
#svcadmenablenetwork/dns/client:default#svcadmenablenetwork/nis/server:defaultN2L服务当前使用标准映射进行设置.
您无需完成步骤6.
6.
初始化NIS映射.
仅当DIT已完全初始化并且跳过了步骤5时,才执行这些步骤.
a.
停止NIS服务.
#svcadmdisablenetwork/nis/server:defaultb.
使用DIT中的信息初始化NIS映射.
#ypserv-r等待ypserv退出.
提示-原始的NISdbm文件不会被覆盖.
您可以根据需要恢复这些文件.
c.
启动DNS和NIS服务以确保它们使用新的映射.
#svcadmenablenetwork/dns/client:default#svcadmenablenetwork/nis/server:default如何使用定制映射或非标准映射设置N2L服务如果符合以下情况,请使用此过程:具有"支持的标准映射"[105]中未列出的映射.
如何使用定制映射或非标准映射设置N2L服务110使用OracleSolaris11.
2目录和命名服务:LDAP2014年7月具有要映射到非RFC2307LDAP映射的标准NIS映射.
1.
完成"NIS到LDAP转换的先决条件"[106]中所列的先决步骤.
2.
成为NIS主服务器的管理员.
有关更多信息,请参见《在OracleSolaris11.
2中确保用户和进程的安全》中的"使用所指定的管理权限".
角色包含授权和具有特权的命令.
有关角色的更多信息,请参见《在OracleSolaris11.
2中确保用户和进程的安全》中的第3章"在OracleSolaris中指定权限".
3.
将NIS主服务器配置为N2L服务器.
#inityp2l在NIS主服务器上运行inityp2l脚本并按照提示操作.
有关需要提供的信息的列表,请参见"设置NIS到LDAP转换服务"[107].
有关更多详细信息,请参见inityp2l(1M)手册页.
4.
修改/var/yp/NISLDAPmapping文件.
有关如何修改映射文件的示例,请参见"定制映射的示例"[112].
5.
确定LDAP目录信息树(DirectoryInformationTree,DIT)是否已完全初始化.
如果DIT中已包含置备NISLDAPmapping文件中所列全部映射所需要的信息,则表明它已完全初始化.
如果DIT已完全初始化,请跳过步骤6.
6.
初始化DIT以便从NIS源文件进行转换.
a.
确保旧NIS映射是最新的版本.
#cd/var/yp#make有关更多信息,请参见ypmake(1M)手册页.
b.
停止NIS守护进程.
#svcadmdisablenetwork/nis/server:defaultc.
将旧映射复制到DIT中,然后为这些映射初始化N2L支持.
#ypserv-Ir等待ypserv退出.
如何使用定制映射或非标准映射设置N2L服务第8章从NIS转换为LDAP111提示-原始的NISdbm文件不会被覆盖.
您可以根据需要恢复这些文件.
d.
启动DNS和NIS服务以确保它们使用新的映射.
#svcadmenablenetwork/dns/client:default#svcadmenablenetwork/nis/server:defaulte.
跳过步骤7并继续执行步骤8.
7.
初始化NIS映射.
仅当DIT已完全初始化时,才可以执行此步骤.
a.
停止NIS守护进程.
#svcadmdisablenetwork/nis/server:defaultb.
使用DIT中的信息初始化NIS映射.
#ypserv-r等待ypserv退出.
提示-原始的NISdbm文件不会被覆盖.
您可以根据需要恢复这些文件.
c.
启动DNS和NIS服务以确保它们使用新的映射.
#svcadmenablenetwork/dns/client:default#svcadmenablenetwork/nis/server:default8.
检验LDAP项是否正确.
如果这些项不正确,LDAP命名服务客户机将无法找到这些项.
#ldapsearch-hserver-ssub-b"ou=servdates,dc=objectclass=servDates"9.
验证LDAP映射的内容.
以下样例输出说明如何使用makedm命令验证hosts.
byaddr映射的内容.
#makedbm-uLDAP_servdate.
bynumberplato:1/3/2001johnson:2/4/2003,1/3/2001yeats:4/4/2002poe:3/3/2002,3/4/2000如果内容与预期一致,则表明已成功地从NIS转换到LDAP.
如何使用定制映射或非标准映射设置N2L服务112使用OracleSolaris11.
2目录和命名服务:LDAP2014年7月请注意,原始的NISdbm文件不会被覆盖,因此您始终可以恢复这些文件.
有关更多信息,请参见"恢复为NIS"[121].
定制映射的示例本节中的示例说明如何定制映射.
请使用首选的文本编辑器,根据需要修改/var/yp/NISLDAPmapping文件.
有关文件属性和语法的更多信息,请参见NISLDAPmapping(4)手册页以及第1章LDAP命名服务简介中的LDAP命名服务信息.
例8-1移动主机项本示例说明如何将主机项从缺省位置移到DIT中的另一个(非标准)位置.
将NISLDAPmapping文件中的nisLDAPobjectDN属性更改为新的LDAP标识名(distinguishedname,DN).
在本示例中,LDAP对象的内部结构未更改,因此objectClass项也不会更改.
将以下内容:nisLDAPobjectDNhosts:\ou=hosts,one,\objectClass=device,\objectClass=ipHost更改为:nisLDAPobjectDNhosts:\ou=newHosts,one,\objectClass=device,\objectClass=ipHost此更改会导致按如下方式映射这些项:dn:ou=newHosts,dom=domain1,dc=sun,dc=com而不是按如下方式映射:dn:ou=hosts,dom=domain1,dc=sun,dc=com.
例8-2实现定制映射本示例说明如何实现定制映射.
虚拟映射servdate.
bynumber中包含有关为系统提供服务的日期的信息.
此映射根据计算机的序列号(在本示例中为123)建立索引.
每一项都由计算机所有者的姓名、一个冒号和一个用逗号分隔的服务日期列表组成,如JohnSmith:1/3/2001,4/5/2003.
通过OracleDirectoryServerEnterpriseEdition实现NIS到LDAP转换的最佳方法第8章从NIS转换为LDAP113旧映射的结构将映射到以下形式的LDAP项上:dn:number=123,ou=servdates,dc=.
.
.
\number:123\userName:JohnSmith\date:1/3/2001\date:4/5/2003\.
.
.
objectClass:servDates通过检查NISLDAPmapping文件,可以看到与所需模式最接近的映射是group.
可以根据group映射建立定制映射的模型.
由于仅有一个映射,因此不需要nisLDAPdatabaseIdMapping属性.
以下是要添加到NISLDAPmapping中的属性:nisLDAPentryTtlservdate.
bynumber:1800:5400:3600nisLDAPnameFieldsservdate.
bynumber:\("%s:%s",uname,dates)nisLDAPobjectDNservdate.
bynumber:\ou=servdates,one\objectClass=servDates:nisLDAPattributeFromFieldservdate.
bynumber:\dn=("number=%s,",rf_key),\number=rf_key,\userName=uname,\(date)=(dates,",")nisLDAPfieldFromAttributeservdate.
bynumber:\rf_key=number,\uname=userName,\dates=("%s,",(date),",")通过OracleDirectoryServerEnterpriseEdition实现NIS到LDAP转换的最佳方法N2L服务支持OracleDirectoryServerEnterpriseEdition.
其他第三方LDAP服务器也许能够用于N2L服务,但是它们不受Oracle支持.
如果您使用的是LDAP服务器而不是OracleDirectoryServerEnterpriseEdition服务器或兼容的Oracle服务器,则必须手动配置服务器以支持RFC2307、RFC2307bis和RFC4876或其后续版本的架构.
如果使用的是OracleDirectoryServerEnterpriseEdition,则可以增强目录服务器以提高性能.
要进行增强,必须对OracleDirectoryServerEnterpriseEdition具有LDAP管理员特权.
另外,目录服务器可能需要重新引导,此任务必须与服务器的LDAP客户机协调进行.
SunJavaSystemDirectoryServerEnterpriseEdition6.
2Web站点上提通过OracleDirectoryServerEnterpriseEdition实现NIS到LDAP转换的最佳方法114使用OracleSolaris11.
2目录和命名服务:LDAP2014年7月供了OracleDirectoryServerEnterpriseEdition文档.
(使用您最常用的搜索引擎搜索"oracle.
com:sunjavasystemdirectoryserverenterpriseedition".
)通过OracleDirectoryServerEnterpriseEdition创建虚拟列表视图索引对于大型映射,必须使用LDAP虚拟列表视图(virtuallistview,VLV)索引来确保LDAP搜索可返回全部结果.
有关在OracleDirectoryServerEnterpriseEdition上设置VLV索引的信息,请参见SunJavaSystemDirectoryServerEnterpriseEdition6.
2文档.
VLV搜索结果使用固定的页面大小50000.
如果VLV与OracleDirectoryServerEnterpriseEdition结合使用,则LDAP服务器和N2L服务器必须能够处理此大小的传送.
如果已知所有的映射都小于此限制,则不必使用VLV索引.
但是,如果使用的映射大于此大小限制,或者不能确定所有映射的大小,请使用VLV索引,以避免返回的结果不完整.
如果您使用VLV索引,请按如下方式设置适当的大小限制:在OracleDirectoryServerEnterpriseEdition上:必须将nsslapd-sizelimit属性设置为大于或等于50000或-1.
请参见idsconfig(1M)手册页.
在N2L服务器上:必须将nisLDAPsearchSizelimit属性设置为大于等于50000或零.
有关更多信息,请参见NISLDAPmapping(4)手册页.
创建VLV索引之后,通过在OracleDirectoryServerEnterpriseEdition服务器上运行带有vlvindex选项的dsadm将索引激活.
有关更多信息,请参见dsadm(1M)手册页.
标准映射的VLV如果符合以下条件,可以使用OracleDirectoryServerEnterpriseEdition的idsconfig命令设置VLV:您使用的是OracleDirectoryServerEnterpriseEdition.
要将标准映射映射到RFC2307bisLDAP项.
VLV特定于域,因此每次运行idsconfig时,都会为一个NIS域创建相应的VLV.
所以,在NIS到LDAP的转换过程中,必须对NISLDAPmapping文件中包含的每个nisLDAPdomainContext属性都运行一次idsconfig.
定制映射和非标准映射的VLV如果符合以下条件,则必须手动创建新的OracleDirectoryServerEnterpriseEditionVLV用于映射,或者复制和修改现有VLV索引:通过OracleDirectoryServerEnterpriseEdition实现NIS到LDAP转换的最佳方法第8章从NIS转换为LDAP115您使用的是OracleDirectoryServerEnterpriseEdition.
具有大型定制映射,或者具有映射到非标准DIT位置的标准映射.
要查看现有的VLV索引,请键入以下命令:%ldapsearch-hhostname-ssub-b"cn=ldbmdatabase,cn=plugins,cn=config""objectclass=vlvSearch"避免OracleDirectoryServerEnterpriseEdition出现服务器超时状况N2L服务器在刷新映射时,可能会对LDAP目录进行大量访问.
如果OracleDirectoryServerEnterpriseEdition的配置不正确,刷新操作可能会因超时而无法完成.
要避免目录服务器超时,则必须手动或者通过运行idsconfig命令来修改OracleDirectoryServerEnterpriseEdition属性.
例如,要增加服务器执行搜索请求所需的最短时间(秒),请修改以下属性:dn:cn=confignsslapd-timelimit:-1出于测试的目的,您可以使用属性值-1,该值表示没有限制.
确定最佳限制值之后,请更改属性值.
请勿在生产服务器上保留任何值为-1的属性设置.
在没有限制的情况下,服务器可能容易受到拒绝服务攻击.
有关使用LDAP配置OracleDirectoryServerEnterpriseEdition的更多信息,请参见本书的第4章设置OracleDirectoryServerEnterpriseEdition和LDAP客户机.
避免OracleDirectoryServerEnterpriseEdition出现缓冲区溢出状况要避免缓冲区溢出,请手动或者通过运行idsconfig命令来修改OracleDirectoryServerEnterpriseEdition属性.
例如,要增加针对客户机搜索查询返回的最大项数,请修改以下属性:dn:cn=confignsslapd-sizelimit:-1要增加针对客户机搜索查询检验的最大项数,请修改以下属性:dn:cn=config,cn=ldbmdatabase,cn=plugins,cn=configNIS到LDAP转换限制116使用OracleSolaris11.
2目录和命名服务:LDAP2014年7月nsslapd-lookthroughlimit:-1出于测试的目的,您可以使用属性值-1,该值表示没有限制.
确定最佳限制值之后,请更改属性值.
请勿在生产服务器上保留任何值为-1的属性设置.
在没有限制的情况下,服务器可能容易受到拒绝服务攻击.
如果使用VLV,则应当按照CreatingVirtualListViewIndexesWithOracleDirectoryServerEnterpriseEdition中的定义设置"通过OracleDirectoryServerEnterpriseEdition创建虚拟列表视图索引"[114]属性值.
如果未使用VLV,则应当将大小限制设置得足够大,以便可以容纳最大的容器.
有关使用LDAP配置OracleDirectoryServerEnterpriseEdition的更多信息,请参见第4章设置OracleDirectoryServerEnterpriseEdition和LDAP客户机.
NIS到LDAP转换限制设置N2L服务器之后,将不再使用NIS源文件.
因此,请勿在N2L服务器上运行ypmake.
如果无意间(例如对于现有的cron作业)运行了ypmake,N2L服务不会受到影响.
但是,会记录一个警告,提示应当显式调用yppush.
NIS到LDAP故障排除本节包括两个方面的故障排除:"常见的LDAP错误消息"[116]"NIS到LDAP转换问题"[118]常见的LDAP错误消息有时,N2L服务器会记录与内部LDAP问题相关的错误,并生成与LDAP相关的错误消息.
尽管这些错误不是致命的,但是它们指明有问题需要检查.
例如,N2L服务器可能会继续工作,但是会提供过时或不完整的结果.
本节介绍了一些在实现N2L服务时可能遇到的常见LDAP错误消息.
也包括错误说明、造成这些错误可能的原因和解决方案.
AdministrativelimitexceededNIS到LDAP故障排除第8章从NIS转换为LDAP117错误号:11原因:执行的LDAP搜索大于目录服务器的nsslapd-sizelimit属性所允许的大小.
将仅返回部分信息.
解决方法:增大nsslapd-sizelimit属性的值,或者对失败的搜索实施VLV索引.
InvalidDNSyntax(DN语法无效)错误号:34原因:尝试写入的LDAP项的DN包含非法字符.
N2L服务器尝试对DN中生成的非法字符(如+号)转义.
解决方法:检查LDAP服务器错误日志,找出写入的非法DN,然后修改生成了非法DN的NISLDAPmapping文件.
Objectclassviolation(对象类违规)错误号:65原因:试图写入无效的LDAP项.
通常,出现此错误是由于缺少MUST属性,以下任一情况都可能会导致此错误:NISLDAPmapping文件中存在导致所创建的项缺少属性的错误尝试向不存在的对象添加AUXILIARY属性例如,如果仍未从passwd.
byxxx映射建立用户名,向该用户添加辅助信息的尝试也会失败.
解决方法:对于NISLDAPmapping文件中的错误,检查在服务器错误日志中写入的内容,以确定问题的性质.
Can'tcontactLDAPserver(无法联系LDAP服务器)错误号:81原因:ypserv文件可能未正确配置,指向了错误的LDAP目录服务器.
或者,目录服务器当前可能未运行.
解决方法:重新配置并确认.
重新配置ypserv文件,使其指向正确的LDAP目录服务器.
要确认LDAP服务器正在运行,请键入:%pinghostname5|grep"noanswer"||\(ldapsearch-hhostname-sbase-b""\"objectclass=*">/dev/null&&echoDirectoryaccessible)NIS到LDAP故障排除118使用OracleSolaris11.
2目录和命名服务:LDAP2014年7月如果服务器不可用,则会显示以下消息:noanswerfromhostname.
如果LDAP服务器有问题,则会显示以下消息:ldap_search:Can'tconnecttotheLDAPserver-Connectionrefused.
最后,如果一切正常,则会显示以下消息:Directoryaccessible.
Timeout错误号:85原因:通常,在从DIT更新映射时,LDAP操作会超时.
该映射当前可能包含过时的信息.
解决方法:在ypserv配置文件中增大nisLDAPxxxTimeout属性的值.
NIS到LDAP转换问题运行N2L服务器时可能会出现以下问题.
此处提供了可能的原因和解决方案.
调试NISLDAPmapping文件映射文件NISLDAPmapping非常复杂.
很多潜在的错误可能会导致映射工作不正常.
请使用以下技术解决此类问题.
ypserv-ir(或-Ir)运行时显示控制台消息描述:控制台上显示了一条简单的消息,并且服务器退出(向syslog中写入了一条详细描述).
原因:映射文件的语法可能不正确.
解决方法:检查并更正NISLDAPmapping文件中的语法.
NIS守护进程在启动时退出描述:ypserv或其他NIS守护进程运行时,记录了一条与LDAP相关的错误消息,并且守护进程退出.
原因:这可能是下列某一原因造成的:无法联系LDAP服务器.
NIS到LDAP故障排除第8章从NIS转换为LDAP119在NIS映射或DIT中找到的项与指定的映射不兼容.
尝试对LDAP服务器执行读写操作时返回错误.
解决方法:检查LDAP服务器上的错误日志.
请参见"常见的LDAP错误消息"[116]中的LDAP错误说明.
NIS操作产生意外的结果描述:NIS操作没有返回预期的结果,但是没有记录错误.
原因:LDAP或NIS映射中可能存在不正确的项,这会导致映射无法按照预期的方式完成.
解决方法:检查并纠正LDAPDIT中以及N2L版本的NIS映射中的项.
1.
检查LDAPDIT中的项是否正确,并根据需要修复这些项.
如果您使用的是OracleDirectoryServerEnterpriseEdition,则通过运行dsadmstartconsole命令启动管理控制台.
2.
检查/var/yp目录中N2L版本的NIS映射是否包含预期的项,方法是将新生成的映射与原来的映射进行比较.
请根据需要修复这些项.
#cd/var/yp/domainname#makedbm-utest.
byname#makedbm-utest.
byname检查映射的输出时请注意以下情况:在这两个文件中,各项的顺序可能不同.
在对输出进行比较之前,请使用sort命令.
在这两个文件中,空格的用法可能不同.
在对输出进行比较之前,请使用diff-b命令.
NIS映射的处理顺序描述:发生对象类违规.
原因:当运行ypserv-i命令时,将读取每个NIS映射并将其内容写入到DIT中.
同一个DIT对象的属性可以由多个映射创建.
通常,通过一个映射来创建该对象的大部分属性,包括该对象的所有MUST属性.
其他映射则负责创建其他MAY属性.
映射是按照nisLDAPobjectDN属性在NISLDAPmapping文件中的出现顺序来处理的.
如果包含MAY属性的映射在包含MUST属性的映射之前处理,会发生对象类违规.
要了解关于该错误的更多信息,请参见"常见的LDAP错误消息"[116]中的错误65.
解决方法:将nisLDAPobjectDN属性重新排序,以便按照正确的顺序处理这些映射.
NIS到LDAP故障排除120使用OracleSolaris11.
2目录和命名服务:LDAP2014年7月临时解决方法是多次重新运行ypserv-i命令.
每次执行命令时,LDAP项接近完成状态.
注-如果映射方式会导致不能从至少一个映射创建某个对象的所有MUST属性,则不支持以这种方式进行映射.
N2L服务器超时问题服务器超时.
原因:N2L服务器在刷新映射时,可能会对大型LDAP目录进行单一访问.
如果OracleDirectoryServerEnterpriseEdition的配置不正确,此操作可能会因超时而无法完成.
解决方法:要避免目录服务器超时,请手动或者通过运行idsconfig命令来修改OracleDirectoryServerEnterpriseEdition属性.
有关详细消息,请参见"常见的LDAP错误消息"[116]和"通过OracleDirectoryServerEnterpriseEdition实现NIS到LDAP转换的最佳方法"[113].
N2L锁定文件问题ypserv命令启动,但未响应NIS请求.
原因:N2L服务器锁文件没有正确同步对NIS映射的访问权限.
这种情况绝对不应发生.
解决方法:在N2L服务器上键入以下命令来描述操作:#svcadmdisablenetwork/nis/server:default#rm/var/run/yp_maplock/var/run/yp_mapupdate#svcadmenablenetwork/nis/server:defaultN2L死锁问题N2L服务器死锁.
原因:如果hosts、ipnodes或ypserv文件中未正确列出N2L主服务器和LDAP服务器的地址,则可能会出现死锁问题.
请参见"NIS到LDAP转换的先决条件"[106],了解关于N2L正确地址配置的详细信息.
有关死锁情况的示例,请考虑以下一系列事件:1.
一台NIS客户机试图查找一个IP地址.
恢复为NIS第8章从NIS转换为LDAP1212.
N2L服务器发现hosts项已过时.
3.
N2L服务器尝试从LDAP更新hosts项.
4.
N2L服务器从ypserv获取其LDAP服务器的名称,然后使用libldap进行搜索.
5.
libldap尝试通过调用名称服务转换,将LDAP服务器名称转换为IP地址.
6.
名称服务转换可能会对N2L服务器进行NIS调用,而服务器死锁.
解决方法:在N2L主服务器上的hosts或ipnodes文件中列出N2L主服务器和LDAP服务器的地址.
必须将服务器地址列在hosts、ipnodes还是同时列在这两个文件中,取决于这些文件配置为以何种方式解析本地主机名.
另外,请检查svc:/network/name-service/switch服务的config/hosts属性在查找顺序中是否将files列在了nis之前.
此死锁问题的另一种解决方案是在ypserv文件中列出LDAP服务器的地址,而不是其主机名.
由于LDAP服务器地址将在其他位置中列出,所以更改LDAP服务器或N2L服务器的地址会使工作量稍有增加.
恢复为NIS已使用N2L服务从NIS转换到LDAP的站点将会逐步使用LDAP命名服务客户机替换所有的NIS客户机.
对NIS客户机的支持最终会成为多余.
但是,N2L服务提供了两种在必要时返回传统NIS的方法,如本节中的过程中所述.
提示-传统的NIS会忽略N2L版本的NIS映射(如果存在这些映射).
恢复为NIS之后,如果在服务器上保留N2L版本的这些映射,则N2L映射不会产生问题.
因此,保留N2L映射将会有用,以防您稍后需要重新启用N2L.
但是,请注意,这些映射确实会占用磁盘空间.
如何基于旧的源文件恢复到NIS映射1.
成为管理员.
有关更多信息,请参见《在OracleSolaris11.
2中确保用户和进程的安全》中的"使用所指定的管理权限".
2.
停止NIS守护进程.
#svcadmdisablenetwork/nis/server:default3.
禁用N2L.
此命令可备份并移动N2L映射文件.
如何基于当前的DIT内容恢复为NIS映射122使用OracleSolaris11.
2目录和命名服务:LDAP2014年7月#mv/var/yp/NISLDAPmappingbackup-filename4.
设置NOPUSH环境变量,以便ypmake不会推送新映射.
#NOPUSH=15.
创建一组基于旧源的新NIS映射.
#cd/var/yp#make6.
(可选)删除N2L版本的NIS映射.
#rm/var/yp/domain-name/LDAP_*7.
启动DNS和NIS服务.
#svcadmenablenetwork/dns/client:default#svcadmenablenetwork/nis/server:default如何基于当前的DIT内容恢复为NIS映射执行此过程之前请先备份旧的NIS源文件.
1.
成为管理员.
有关更多信息,请参见《在OracleSolaris11.
2中确保用户和进程的安全》中的"使用所指定的管理权限".
2.
停止NIS守护进程.
#svcadmdisablenetwork/nis/server:default3.
从DIT更新映射.
#ypserv-r等待ypserv退出.
4.
禁用N2L.
此命令可备份并移动N2L映射文件.
#mv/var/yp/NISLDAPmappingbackup-filename5.
重新生成NIS源文件.
#ypmap2src如何基于当前的DIT内容恢复为NIS映射第8章从NIS转换为LDAP1236.
手动检查重新生成的NIS源文件是否具有正确的内容和结构.
7.
将重新生成的NIS源文件移到适当的目录中.
8.
(可选)删除N2L版本的映射文件.
#rm/var/yp/domain-name/LDAP_*9.
启动DNS和NIS服务.
#svcadmenablenetwork/dns/client:default#svcadmenablenetwork/nis/server:default124使用OracleSolaris11.
2目录和命名服务:LDAP2014年7月术语表125词汇表application-levelnamingservice(应用程序级命名服务)应用程序级命名服务包含在可提供文件、邮件和打印等服务的应用程序中.
应用程序级命名服务绑定在企业级命名服务之下.
企业级命名服务提供上下文,应用程序级命名服务的上下文可以绑定在该上下文中.
attribute(属性)每个LDAP项都由许多命名属性组成,每个属性都具有一个或多个值.
另外,每个N2L服务映射和配置文件也包括许多命名属性.
每个属性均具有一个或多个值.
authentication(验证)服务器可以用来验证客户机的标识的手段.
baseDN作为DIT部件的根元素的DN.
如果是NIS域项的baseDN,它又称为上下文.
client-servermodel(客户机/服务器模型)用来描述网络服务和这些服务的典型用户进程(程序)的一种常用方法.
例如,域名系统(DomainNameSystem,DNS)名称服务器/名称解析程序模式.
另请参见client(客户机).
client(客户机)(1)客户机是从命名服务器请求命名服务的主体(计算机或用户).
(2)在用于文件系统的客户机/服务器模型中,客户机是远程访问计算服务器资源(如计算能力和大容量内存)的计算机.
(3)在客户机-服务器模型中,客户机是访问某个"服务器进程"提供的服务的应用程序.
在此模型中,客户机和服务器可以运行在同一台计算机上,也可以运行在不同的计算机上.
context(上下文)对于N2L服务,上下文是NIS域通常映射到其下的某种环境.
另请参见baseDN.
credentials(凭证)客户机软件随每个请求一起发送到命名服务器的验证信息.
这些信息用于验证用户或计算机的身份.
dataencryptingkey(数据加密密钥)用于对数据进行加密和解密的密钥,适用于执行加密的程序.
与密钥加密密钥相对.
dataencryptionstandard,DES(数据加密标准)126使用OracleSolaris11.
2目录和命名服务:LDAP2014年7月dataencryptionstandard,DES(数据加密标准)一种极其复杂的常用算法,由美国国家标准局开发,用于对数据进行加密和解密.
另请参见SUN-DES-1.
databaseID对于N2L服务,databaseID是包含具有相同格式的NIS条目(具有到LDAP的相同映射)的映射组的别名.
映射可能具有不同的密钥.
DBMDBM(数据库管理)是一种数据库,最初用于存储NIS映射.
decimaldottednotation(点分十进制表示法)32位整数的语法表示形式,它包含四个以10进制表示的8位数字,数字之间用句点(点)分隔.
用于将Internet中的IP地址表示为类似于192.
168.
67.
20的形式.
DES请参见dataencryptionstandard,DES(数据加密标准).
directorycache(目录高速缓存)一个本地文件,用于存储与目录对象相关联的数据.
directoryinformationtree,DIT(目录信息树)DIT是给定网络的分布式目录结构.
缺省情况下,客户机在访问信息时会假设DIT具有给定的结构.
LDAP服务器支持的每个域都有一个具有假设结构的假设子树.
directory(目录)LDAP目录是LDAP对象的容器.
在UNIX中,目录是文件和子目录的容器.
distinguishedname,DN(标识名)标识名是X.
500目录信息库(directoryinformationbase,DIB)中的项,由沿根目录直至指定项的路径,从树中每一项选择的属性组成.
DIT请参见directoryinformationtree(目录信息树).
DNLDAP中的标识名.
LDAP目录的树状结构化寻址方案,它赋予每个LDAP项一个唯一的名称.
DNS请参见DomainNameSystem(域名系统).
DNSzonefiles(DNS区域文件)一组文件,DNS软件将域中所有工作站的名称和IP地址存储在其中.
DNSzones(DNS区域)网络域中的管理范围,通常由一个或多个子域组成.
DNS-forwarding(DNS转发)NIS服务器将它无法应答的请求转发到DNS服务器.
DomainNameSystem,DNS(域名系统)一种服务,它提供的命名策略和机制用于将域名和计算机名映射为企业外部地址(如Internet上的地址).
DNS是由Internet使用的网络信息服务.
domainname(域名)指定给本地网络上一组共享DNS管理文件的系统的名称.
必须要有域名,网络信息服务数据库才能正常工作.
另请参见domain(域).
domain(域)(1)在Internet中,命名分层结构的一部分通常对应于一个局域网(LocalAreaNetwork,LAN)或广域网(WideAreaNetwork,WAN)或这LDAP术语表127类网络的一部分.
从语法上来说,Internet域名由一系列用句点(点)分隔的名称(标签)组成.
例如,sales.
example.
com.
(2)在国际标准化组织的开放系统互连(opensystemsinterconnection,OSI)中,"域"通常用作复杂分布式系统的管理分区,正如在MHS专用管理域(privatemanagementdomain,PRMD)和目录管理域(directorymanagementdomain,DMD)中一样.
encryptionkey(加密密钥)请参见dataencryptingkey(数据加密密钥).
encryption(加密)用来保护数据的保密性的手段.
enterprise-levelnetwork(企业级网络)"企业级"网络可以是通过电缆、红外线光束或无线电广播进行通信的单个局域网(LocalAreaNetwork,LAN);也可以是通过电缆或直接电话连线链接到一起的两个或多个LAN的群集.
在企业级网络中,每台计算机都能在不引用全局命名服务(如DNS或X.
500/LDAP)的情况下与任何其他计算机进行通信.
entry(项)数据库表中的一行数据,如DIT中的一个LDAP元素.
field(字段)一个NIS映射项可能由许多组成部分和分隔符组成.
在N2L服务映射过程中,该项将首先被分解为许多命名字段.
GID请参见groupID(组ID).
globalnamingservice(全局命名服务)全局命名服务标识全球的企业级网络,这些网络通过电话、卫星或其他通信系统连接在一起.
这种全球范围内链接在一起的网络的集合称为"Internet".
除了对网络进行命名外,全局命名服务还标识给定网络内的各个计算机和用户.
groupID(组ID)一个数字,用于标识用户的缺省组.
indexedname(索引名)用于标识表中的项的命名格式.
Internetaddress(Internet地址)指定给使用TCP/IP的主机的32位地址.
请参见decimaldottednotation(点分十进制表示法).
IPInternet协议.
Internet协议套件的网络层协议.
IPaddress(IP地址)用于标识网络中每台主机的唯一数字.
key(encrypting)(加密密钥)用于对其他密钥进行加密和解密的密钥,它是密钥管理和分发系统的一部分.
与dataencryptingkey(数据加密密钥)相对.
keyserver(密钥服务器)用于存储私钥的OracleSolaris操作环境进程.
LDAP轻量目录访问协议是一种标准的、可扩展的目录访问协议,它由LDAP命名服务客户机和服务器用于进行相互通信.
local-areanetwork,LAN(局域网)128使用OracleSolaris11.
2目录和命名服务:LDAP2014年7月local-areanetwork,LAN(局域网)位于同一地理位置的多个系统,为了共享和交换数据及软件而连接在一起.
mailexchangerecords(邮件交换记录)一些文件,其中包含DNS域名及其对应邮件主机的列表.
mailhosts(邮件主机)一个工作站,充当站点的电子邮件路由器和接收器.
mapping(映射过程)将NIS项与DIT项相互转换的过程.
此过程由映射文件控制.
masterserver(主服务器)维护着特定域的网络信息服务数据库主副本的服务器.
名称空间更改总是针对由域的主服务器保存的命名服务数据库进行.
每个域都只有一台主服务器.
MIS管理信息系统(或服务).
N2Lserver(N2L服务器)NIS到LDAP转换服务器.
已使用N2L服务重新配置为N2L服务器的NIS主服务器.
重新配置过程包括替换NIS守护进程和添加新配置文件.
nameresolution(名称解析)将工作站名称或用户名转换为地址的过程.
nameserver(名称服务器)运行一个或多个网络命名服务的服务器.
nameserviceswitch(名称服务转换)svc:/system/name-service/switch服务,它定义了命名客户机可以从中获取其网络信息的源.
namespace(名称空间)(1)名称空间存储着用户、工作站和应用程序在网络中进行通信时必须使用的信息.
(2)命名系统中所有名称的集合.
namingservice(命名服务)一项网络服务,用于处理计算机、用户、域、路由器以及其他网络的名称和地址.
NDBMNDBM(新数据库管理)是DBM的改进版本.
networkmask(网络掩码)一个数字,软件用它将本地子网地址与给定Internet协议地址的其余部分分开.
networkpassword(网络口令)请参见SecureRPCpassword(安全RPC口令).
NIS一种分布式网络信息服务,其中包含有关网络上的系统和用户的关键信息.
NIS数据库存储在主服务器和全部副本服务器或从属服务器上.
NISmaps(NIS映射)NIS用于存储特定类型的信息(例如,网络上所有用户的口令项或者网络上所有主机的名称)的文件.
作为NIS服务一部分的程序会查询这些映射.
另请参见NIS.
server(服务器)术语表129preferredserverlist(首选服务器列表)一个client_info表或一个client_info文件.
首选服务器列表为客户机或域指定首选服务器.
privatekey(私钥)以数学方法生成的一对数字的专用部分,在与私钥合并时,可生成DES密钥.
DES密钥又可用于对信息进行编码和解码.
发件人的私钥只能由密钥的所有者使用.
每个用户或每台计算机都有其各自的公钥/私钥对.
publickey(公钥)以数学方法生成的一对数字的公共部分,在与私钥合并时,可生成DES密钥.
DES密钥又可用于对信息进行编码和解码.
公钥对所有的用户和计算机公开.
每个用户或每台计算机都有其各自的公钥/私钥对.
RDN相对标识名.
DN的一部分.
record(记录)请参见entry(项).
remoteprocedurecall,RPC(远程过程调用)一种易于使用的常见模式,用于实现客户机/服务器分布式计算模型.
使用所提供的参数向远程系统发送请求,以执行指定的过程,结果将返回到调用者.
reverseresolution(反向解析)使用DNS软件将工作站IP地址转换为工作站名称的过程.
RFC2307RFC的一部分,指定将信息从标准NIS映射映射到DIT项.
缺省情况下,N2L服务实现更新版本RFC2307bis中指定的映射.
RPC请参见remoteprocedurecall,RPC(远程过程调用).
SASL简单验证和安全层.
用于在应用层协议中协商验证和安全层语义的框架.
schema(架构)一个规则集合,它定义了在任意给定的LDAPDIT中可以存储什么类型的数据.
searchTriple一种说明,描述从DIT中的什么位置查找给定属性.
searchTriple由"基本DN"、"范围"和"过滤器"组成.
这是在RFC2255中定义的LDAPURL格式的一部分.
SecureRPCpassword(安全RPC口令)安全RPC协议所需的口令.
此口令用于对私钥进行加密.
此口令应当始终与用户的登录口令相同.
serverlist(服务器列表)请参见preferredserverlist(首选服务器列表).
server(服务器)(1)在NIS、DNS和LDAP系统中,它是为网络提供命名服务的主机.
(2)在用于文件系统的客户机/服务器模型中,服务器是具有大容量内存和计算资源的计算机(有时称为计算服务器).
客户机可以远程访slaveserver(从属服务器)130使用OracleSolaris11.
2目录和命名服务:LDAP2014年7月问和使用这些资源.
在面向窗口系统的客户机-服务器模型中,服务器是向应用程序或"客户机进程"提供窗口服务的进程.
在此模型中,客户机和服务器可以运行在同一台计算机上,也可以运行在不同的计算机上.
(3)实际负责提供文件的守护进程.
slaveserver(从属服务器)用于维护NIS数据库副本的服务器系统.
它包含磁盘以及操作环境的完整副本.
source(源)NIS源文件SSLSSL是指安全套接字层协议.
它是通用的传输层安全机制,旨在使应用协议(如LDAP)更加安全.
subnet(子网)为了简化路由而将单个逻辑网络划分为较小物理网络的一种解决方案.
suffix(后缀)在LDAP中,后缀是DIT的标识名(distinguishedname,DN).
TCP请参见TransportControlProtocol,TCP(传输控制协议).
TCP/IP传输控制协议/接口程序(TransportControlProtocol/InterfaceProgram)的首字母缩略词.
最初为Internet开发的协议套件.
它又称作Internet协议套件.
缺省情况下,OracleSolaris网络使用TCP/IP运行.
TransportControlProtocol,TCP(传输控制协议)Internet协议套件中的主要传输协议,用于提供可靠的、面向连接的全双工数据流.
使用IP传送信息.
请参见TCP/IP.
TransportLayerSecurity,TLS(传输层安全性)TLS保护LDAP客户机与目录服务器之间的通信安全,提供保密性和数据完整性.
TLS协议是一组绝佳的安全套接字层(SecureSocketsLayer,SSL)协议.
wide-areanetwork,WAN(广域网)一种网络,通过电话、光纤或卫星链路连接位于不同地理位置的多个局域网(local-areanetwork,LAN)或系统.
X.
500由开放系统互连(OpenSystemsInterconnection,OSI)标准定义的全局级目录服务.
LDAP的前身.
yp黄页.
NIS的旧名,仍用在NIS代码中.
131索引A安全RPC口令定义,129安全套接字层见SSLadminDN属性描述,59adminPassword属性描述,59ageing.
byname映射N2L转换和,105anonymous凭证,15attributeMap属性,33描述,28authenticationMethod属性pam_ldap模块和,20passwd-cmd服务和,22多值示例,17描述,28B标识名定义,126baseDN定义,125bindTimeLimit属性描述,28C传输层安全,14定义,130传输控制协议定义,130从LDAP恢复为NIS,121从NIS转换为LDAP,101从属服务器定义,130certificatePath属性描述,59cn属性描述,27credentialLevel属性描述,28D代理验证,13点分十进制表示法定义,126databaseID定义,126defaultSearchBase属性描述,28defaultSearchScope属性描述,28defaultServerList属性描述,28DES定义,126,126DIT见目录信息树DN定义,126DNS定义,126,126DNS区域定义,126DNS区域文件定义,126DNS转发定义,126索引132使用OracleSolaris11.
2目录和命名服务:LDAP2014年7月domainName属性描述,59EenableShadowUpdate开关,22F反向解析定义,129访问控制信息,13服务器定义,129服务器列表定义,129服务搜索描述符,32FMRILDAP,58followReferrals属性描述,28G公钥定义,129故障排除LDAP,67H后缀定义,130Iinityp2l命令,103,104Internet地址定义,127IP定义,127IP地址定义,127J基于角色的LDAP架构,86对象类,87记录定义,129加密定义,127加密密钥定义,127,127架构见LDAP架构RFC2307bis,77定义,129映射,32K可插拔验证模块,20客户机定义,125客户机/服务器模型定义,125口令LDAP,和,22口令管理见帐户管理口令条目enableShadowUpdate开关,16Kerberos,13keyserv服务LDAP验证和,19L浏览索引见虚拟列表视图索引LAN定义,128LDAPFMRI,58SMF,57与其他命名服务的比较,11从NIS转换,101优点和限制,9受支持的PAM模块比较,21,22索引133命名服务,9在目录服务器上启用帐户管理,51定义,127客户机凭证级别,15帐户管理,23恢复为NIS,121故障排除见LDAP故障排除数据交换格式(LDIF),10架构见LDAP架构配置和管理命令,12验证服务,9,13LDAP故障排除ldapclient无法绑定到服务器,71无法远程访问LDAP域中的系统,70,70未解析的主机名,70查找速度过慢,71登录失败,70LDAP架构,77基于角色的属性,86目录用户代理,83邮件别名,82项目,85LDAP客户机本地配置文件属性,59LDAP客户机配置文件属性,27LDAP命令,12LDAP网络模型,29ldapaddent命令,49ldapclient命令客户机配置文件属性,59M每用户凭证,16密钥服务器定义,127名称服务器定义,128名称服务转换定义,128名称解析定义,128名称空间定义,128命名服务定义,128目录定义,126目录服务器,9目录高速缓存定义,126目录信息树,10DIT容器,10定义,126目录用户代理架构,83mail属性,82mailGroup对象类,83MIS定义,128NN2L服务,101何时不使用,102定制映射示例,112支持的映射,105设置,107N2L服务器,101,103N2L转换见NIS到LDAP转换NIS定义,128NIS到LDAP转换,101,101参见N2Lhosts数据库,106LDAP错误代码,116OracleDirectoryServerEnterpriseEdition,113SMF和,102使用idsconfig命令,106使用虚拟列表视图(virtuallistview,VLV),114先决条件,106名称服务转换配置,106命令,104恢复为NIS,121服务器超时,115术语,103死锁,121疑难解答,116缓冲区溢出,115调试NISLDAPmapping文件,118配置文件,104索引134使用OracleSolaris11.
2目录和命名服务:LDAP2014年7月问题,118限制,116NIS映射定义,128NISLDAPmapping文件,101,105none验证方法LDAP和,17OobjectclassMap属性,34描述,28OracleDirectoryServerEnterpriseEdition使用idsconfig设置,37P配置文件LDAP客户机,59凭证定义,125凭证存储LDAP客户机,17凭证级别LDAP客户机,15PAM服务,13PAM模块LDAP,20验证方法,20pam_ldapLDAP中的帐户管理,51pam_ldap服务LDAP验证和,19pam_unix_*模块LDAP中的帐户管理,24,53passwd-cmd服务LDAP验证和,19preferredServerList属性描述,27profileTTL属性描述,28proxy凭证,15proxyanonymous凭证,16proxyDN属性描述,59proxyPassword属性描述,59Q企业级网络定义,127轻量目录访问协议见LDAP全局命名服务定义,127RRFC2307对象类,80RFC2307bis属性,77RFC2307bisLDAP架构,77RPC定义,129,129S上下文定义,125属性Internet打印协议,88定义,125数据加密标准见DES数据加密密钥定义,125数据置备,32私钥定义,129搜索描述符,10索引名定义,127SASL定义,129sasl验证方法LDAP和,18searchTimeLimit属性描述,28searchTriple索引135定义,129serviceAuthenticationMethod属性,19pam_ldap模块和,20passwd-cmd服务和,22描述,28serviceSearchDescriptor属性描述,28simple验证方法LDAP和,18SMFNIS到LDAP转换工具和,102和LDAP,57SSD,32SSL定义,130SSL协议,14TTCP见传输控制协议TCP/IP定义,130TLS见传输层安全tls验证方法LDAP和,18U/usr/lib/netsvc/yp/inityp2l命令,103,104/usr/lib/netsvc/yp/ypmap2src命令,103,104V/var/yp/NISLDAPmapping文件,105/var/yp/ypserv文件N2L转换和,105VLV见虚拟列表视图索引W网络口令见安全RPC口令网络信息服务架构,77网络掩码定义,128WAN定义,130X项定义,127项目架构对象类,86属性,85虚拟列表视图索引,38X.
500定义,130Y验证定义,125验证方法PAM模块,20在LDAP中选择,17针对LDAP中的服务,19引用,41映射过程定义,128映射文件NIS到LDAP转换,101邮件别名架构,82邮件交换记录定义,128邮件主机定义,128域定义,126域名定义,126域名系统见DNS源定义,130yp定义,130ypmap2src命令,103,104ypserv文件N2L转换和,105索引136使用OracleSolaris11.
2目录和命名服务:LDAP2014年7月Z帐户管理enableShadowUpdate开关,22LDAP支持的功能,23PAM模块和LDAP,23对于使用pam_ldap的LDAP客户机,51对于使用pam_unix_*模块的LDAP客户机,53用于pam_unix_*客户机的LDAP服务器,24配置目录服务器,51主服务器定义,128字段定义,127子网定义,130组ID定义,127