NIS 到 LDAP 轉換服務(
N2L 服務)使用 NIS 到 LDAP 轉換守護程序來替換 NIS 主伺服器上現有的 NIS 守護程序。N2L 服務還在該伺服器上建立一個 NIS 到 LDAP 的轉換映射檔案。該映射檔案指定 NIS 映射項和 LDAP 中目錄資訊樹 (Directory Information Tree, DIT) 等效項之間的映射。已經進行這種轉換的 NIS 主伺服器稱為
N2L 伺服器。從屬伺服器上沒有 NISLDAPmapping 檔案,是以它們繼續以通常的方式工作。從屬伺服器定期從 N2L 伺服器更新其資料,就好像 N2L 伺服器是正常的 NIS 主伺服器一樣。
N2L 服務的行為由 ypserv 和 NISLDAPmapping 配置檔案控制。腳本 inityp2l 可幫助對這些配置檔案進行初始設定。一旦建立了 N2L 伺服器,就可以通過直接編輯這些配置檔案來維護 N2L。
N2L 服務支援以下功能:
- 将 NIS 映射導入到 LDAP 目錄資訊樹 (Directory Information Tree, DIT) 中
- 客戶機借助于 NIS 的速度和可擴充性通路 DIT 資訊
在任何名稱系統中,僅有一個資訊源可以是權威來源。在傳統的 NIS 中,NIS 源是權威資訊。在使用 N2L 服務時,權威資料源自 LDAP 目錄。如第 9 章,LDAP 的基本元件和概念(概述)中所述,該目錄是通過使用目錄管理工具進行管理的。
NIS 源僅保留用于緊急備份或解除安裝。在使用 N2L 服務之後,可以逐漸淘汰 NIS 客戶機。最終,所有的 NIS 客戶機都會被 Solaris LDAP 名稱服務客戶機所取代。
以下各小節中提供了其他概述資訊:
- NIS 到 LDAP 轉換的目标使用者
- 不應使用 NIS 到 LDAP 轉換服務的情況
- NIS 到 LDAP 轉換服務對使用者造成的影響
- NIS 到 LDAP 轉換術語
- NIS 到 LDAP 轉換指令、檔案和映射
- 支援的标準映射
NIS 到 LDAP 轉換工具和服務管理工具
NIS 和 LDAP 服務由服務管理工具管理。 可以使用 svcadm 指令對這些服務執行啟用、禁用或重新啟動等管理操作。使用 svcs 指令可以查詢服務的狀态。有關使用 SMF 對 LDAP 和 NIS 進行管理的更多資訊,請參見LDAP 和服務管理工具和NIS 和服務管理工具。有關 SMF 的概述,請參閱System Administration Guide: Basic Administration中的“ Managing Services (Overview)”。另請參閱 svcadm(1M) 和 svcs(1) 手冊頁以了解更多詳細資訊。
NIS 到 LDAP 轉換的目标使用者
您需要熟悉 NIS 和 LDAP 概念、術語和 ID 才能執行本章中的過程。有關 NIS 和 LDAP 名稱服務的更多資訊,請參見本書中的以下兩章:
- 第 4 章,網絡資訊服務 (Network Information Service, NIS)(概述)(提供 NIS 的概述)
- 第 8 章,LDAP 名稱服務介紹(概述/參考)(提供 LDAP 的概述)
不應使用 NIS 到 LDAP 轉換服務的情況
請勿在以下情況下使用 N2L 服務:
-
不打算在 NIS 客戶機和 LDAP 名稱服務客戶機之間共享資料。
在這種情況下,N2L 伺服器将充當極其複雜的 NIS 主伺服器。
-
NIS 映射由修改 NIS 源檔案的工具(而非 yppasswd)來管理。
從 DIT 映射重新生成 NIS 源是一項不精确的任務,該任務需要手動檢查生成的映射。一旦使用了 N2L 服務,提供的 NIS 源的重新生成功能就僅用于解除安裝 NIS 或恢複為 NIS。
-
沒有 NIS 客戶機
在這種情況下,可以使用 Solaris LDAP 名稱服務客戶機及其相應工具。
NIS 到 LDAP 轉換服務對使用者造成的影響
僅安裝與 N2L 服務相關的檔案不會更改 NIS 伺服器的預設行為。在安裝時,管理者将會看到 NIS 手冊頁發生了一些變化,而且伺服器上增加了 N2L 幫助腳本 inityp2l 和 ypmap2src。但是,隻要在 NIS 伺服器上沒有運作inityp2l 或沒有手動建立 N2L 配置檔案,NIS 元件就會繼續在傳統的 NIS 模式下啟動并像通常那樣工作。
運作 inityp2l 之後,使用者會看到伺服器和客戶機行為發生了一些變化。以下是 NIS 和 LDAP 使用者類型的清單,其中說明了在部署 N2L 服務之後每種類型的使用者應當注意到的情況。
使用者類型 | N2L 服務的影響 |
---|---|
NIS 主伺服器管理者 | NIS 主伺服器轉換為 N2L 伺服器。NISLDAPmapping 和 ypserv 配置檔案将會安裝在 N2L 伺服器上。建立 N2L 伺服器之後,可以使用 LDAP 指令來管理名稱資訊。 |
NIS 從屬伺服器管理者 | 進行 N2L 轉換之後,NIS 從屬伺服器繼續以通常的方式運作 NIS。當 ypmake 調用 yppush 時,N2L 伺服器會将已更新的 NIS 映射推送到從屬伺服器。請參見 ypmake(1M) 手冊頁。 |
NIS 客戶機 | NIS 讀取操作與傳統的 NIS 沒有差別。當 Solaris LDAP 名稱服務客戶機更改 DIT 中的資訊時,這些資訊會複制到 NIS 映射中。複制操作是在可配置的逾時時間過期之後完成的。這類行為與連接配接到 NIS 從屬伺服器的正常 NIS 客戶機的行為相似。 如果 N2L 伺服器無法綁定到 LDAP 伺服器進行讀取,則 N2L 伺服器将從其自身的緩存副本中傳回資訊。或者,N2L 伺服器還可能會傳回内部伺服器錯誤。可以将 N2L 伺服器配置為按照上述任一方式響應。有關更多詳細資訊,請參見 ypserv(1M) 手冊頁。 |
所有使用者 | 當 NIS 客戶機請求更改密碼時,所做的更改将立即顯示在 N2L 主伺服器和本地 LDAP 客戶機上。 如果嘗試在 NIS 客戶機上更改密碼,而且 LDAP 伺服器不可用,則更改将被拒絕,N2L 伺服器将傳回内部伺服器錯誤。此行為可防止将不正确的資訊寫入高速緩存中。 |
NIS 到 LDAP 轉換術語
以下是與實作 N2L 服務相關的術語。
表 15–1 與 N2L 轉換相關的術語
術語 | 說明 |
---|---|
N2L configuration file(N2L 配置檔案) | ypserv 守護程序用來在 N2L 模式下啟動主伺服器的/var/yp/NISLDAPmapping 檔案和 /var/yp/ypserv 檔案。有關詳細消息,請參見 NISLDAPmapping(4) 和 ypserv(4) 手冊頁。 |
map(映射) | 在 N2L 服務的上下文中,術語“映射”的用法有兩種:
|
mapping(映射) | NIS 項與 LDAP DIT 項之間的互相轉換過程。 |
mapping file(映射檔案) | 用來指定如何映射 NIS 檔案和 LDAP 檔案之間各項的 NISLDAPmapping 檔案。 |
standard map(标準映射) | 無需手動修改映射檔案即可由 N2L 服務支援的常用 NIS 映射。支援的标準映射中提供了支援的标準映射的清單。 |
nonstandard map(非标準映射) | 自定義為使用 NIS 和 LDAP DIT 之間映射(RFC 2307 或其後續版本中辨別的映射除外)的标準 NIS 映射。 |
custom map(自定義映射) | 不是标準映射的任何映射,從 NIS 轉換至 LDAP 時,需要手動修改映射檔案。 |
LDAP client(LDAP 客戶機) | 對任何 LDAP 伺服器執行讀寫操作的任何傳統的 LDAP 客戶機。傳統的 LDAP 客戶機是對任何 LDAP 伺服器執行讀寫操作的系統。Solaris LDAP 名稱服務客戶機可處理部分自定義的名稱資訊。 |
LDAP naming services client(LDAP 名稱服務客戶機) | 用來處理部分自定義名稱資訊的 Solaris LDAP 客戶機。 |
N2L server(N2L 伺服器) | 已使用 N2L 服務重新配置為 N2L 伺服器的 NIS 主伺服器。重新配置過程包括替換 NIS 守護程序和添加新配置檔案。 |
NIS 到 LDAP 轉換指令、檔案和映射
共有兩個實用程式、兩個配置檔案和一個映射與 N2L 轉換相關聯。
表 15–2 N2L 指令、檔案和映射的說明
指令/檔案/映射 | 說明 |
---|---|
/usr/lib/netsvc/yp/inityp2l | 幫助建立 NISLDAPmapping 和 ypserv 配置檔案的實用程式。此實用程式不是用來管理這些檔案的通用工具。進階使用者可通過使用文本編輯器檢查和自定義 inityp2l 輸出來維護 N2L 配置檔案或建立自定義映射。請參見 inityp2l(1M) 手冊頁。 |
/usr/lib/netsvc/yp/ypmap2src | 用來将标準 NIS 映射轉換為近似等效的 NIS 源檔案的實用程式。ypmap2src 主要用于将 N2L 轉換伺服器轉換為傳統的 NIS。請參見 ypmap2src(1M) 手冊頁。 |
/var/yp/NISLDAPmapping | 用來指定 NIS 映射項和 LDAP 中目錄資訊樹 (Directory Information Tree, DIT) 等效項之間映射的配置檔案。請參見NISLDAPmapping(4) 手冊頁。 |
/var/yp/ypserv | 用來為 NIS 到 LDAP 轉換守護程序指定配置資訊的檔案。請參見ypserv(4) 手冊頁。 |
ageing.byname | yppasswdd 使用的一種映射,在實作 NIS 到 LDAP 轉換時,用于在 DIT 中讀寫密碼生命期資訊。 |
支援的标準映射
預設情況下,N2L 服務支援以下列出的映射與 RFC 2307 或其後續版本中 LDAP 各項之間的映射。這些标準映射不需要手動修改映射檔案。系統上任何未列在以下清單中的映射都被視為自定義映射,需要手動進行修改。
N2L 服務還支援對 auto.* 映射進行自動映射。但是,由于大多數 auto.* 檔案名和内容都特定于各自的網絡配置,是以該清單并未指定這些檔案,但作為标準映射支援的 auto.home 和 auto.master 映射除外。
|
在 NIS 到 LDAP 轉換過程中,yppasswdd 守護程序使用 N2L 特定的映射 ageing.byname 在 DIT 中讀寫密碼生命期資訊。如果沒有使用密碼生命期,則會忽略 ageing.byname 映射。