NIS 到 LDAP 轉換服務概述

NIS 到 LDAP 轉換服務（

N2L 服務

）使用 NIS 到 LDAP 轉換守護程序來替換 NIS 主伺服器上現有的 NIS 守護程序。N2L 服務還在該伺服器上建立一個 NIS 到 LDAP 的轉換映射檔案。該映射檔案指定 NIS 映射項和 LDAP 中目錄資訊樹 (Directory Information Tree, DIT) 等效項之間的映射。已經進行這種轉換的 NIS 主伺服器稱為 

N2L 伺服器

。從屬伺服器上沒有 NISLDAPmapping 檔案，是以它們繼續以通常的方式工作。從屬伺服器定期從 N2L 伺服器更新其資料，就好像 N2L 伺服器是正常的 NIS 主伺服器一樣。

N2L 服務的行為由 ypserv 和 NISLDAPmapping 配置檔案控制。腳本 inityp2l 可幫助對這些配置檔案進行初始設定。一旦建立了 N2L 伺服器，就可以通過直接編輯這些配置檔案來維護 N2L。

N2L 服務支援以下功能：

• 将 NIS 映射導入到 LDAP 目錄資訊樹 (Directory Information Tree, DIT) 中
• 客戶機借助于 NIS 的速度和可擴充性通路 DIT 資訊

在任何名稱系統中，僅有一個資訊源可以是權威來源。在傳統的 NIS 中，NIS 源是權威資訊。在使用 N2L 服務時，權威資料源自 LDAP 目錄。如第 9 章，LDAP 的基本元件和概念（概述）中所述，該目錄是通過使用目錄管理工具進行管理的。

NIS 源僅保留用于緊急備份或解除安裝。在使用 N2L 服務之後，可以逐漸淘汰 NIS 客戶機。最終，所有的 NIS 客戶機都會被 Solaris LDAP 名稱服務客戶機所取代。

以下各小節中提供了其他概述資訊：

• NIS 到 LDAP 轉換的目标使用者
• 不應使用 NIS 到 LDAP 轉換服務的情況
• NIS 到 LDAP 轉換服務對使用者造成的影響
• NIS 到 LDAP 轉換術語
• NIS 到 LDAP 轉換指令、檔案和映射
• 支援的标準映射

NIS 到 LDAP 轉換工具和服務管理工具

NIS 和 LDAP 服務由服務管理工具管理。 可以使用 svcadm 指令對這些服務執行啟用、禁用或重新啟動等管理操作。使用 svcs 指令可以查詢服務的狀态。有關使用 SMF 對 LDAP 和 NIS 進行管理的更多資訊，請參見LDAP 和服務管理工具和NIS 和服務管理工具。有關 SMF 的概述，請參閱System Administration Guide: Basic Administration中的“ Managing Services (Overview)”。另請參閱 svcadm(1M) 和 svcs(1) 手冊頁以了解更多詳細資訊。

NIS 到 LDAP 轉換的目标使用者

您需要熟悉 NIS 和 LDAP 概念、術語和 ID 才能執行本章中的過程。有關 NIS 和 LDAP 名稱服務的更多資訊，請參見本書中的以下兩章：

• 第 4 章，網絡資訊服務 (Network Information Service, NIS)（概述）（提供 NIS 的概述）
• 第 8 章，LDAP 名稱服務介紹（概述/參考）（提供 LDAP 的概述）

不應使用 NIS 到 LDAP 轉換服務的情況

請勿在以下情況下使用 N2L 服務：

• 不打算在 NIS 客戶機和 LDAP 名稱服務客戶機之間共享資料。

  在這種情況下，N2L 伺服器将充當極其複雜的 NIS 主伺服器。

• NIS 映射由修改 NIS 源檔案的工具（而非 yppasswd）來管理。

  從 DIT 映射重新生成 NIS 源是一項不精确的任務，該任務需要手動檢查生成的映射。一旦使用了 N2L 服務，提供的 NIS 源的重新生成功能就僅用于解除安裝 NIS 或恢複為 NIS。

• 沒有 NIS 客戶機

  在這種情況下，可以使用 Solaris LDAP 名稱服務客戶機及其相應工具。

NIS 到 LDAP 轉換服務對使用者造成的影響

僅安裝與 N2L 服務相關的檔案不會更改 NIS 伺服器的預設行為。在安裝時，管理者将會看到 NIS 手冊頁發生了一些變化，而且伺服器上增加了 N2L 幫助腳本 inityp2l 和 ypmap2src。但是，隻要在 NIS 伺服器上沒有運作inityp2l 或沒有手動建立 N2L 配置檔案，NIS 元件就會繼續在傳統的 NIS 模式下啟動并像通常那樣工作。

運作 inityp2l 之後，使用者會看到伺服器和客戶機行為發生了一些變化。以下是 NIS 和 LDAP 使用者類型的清單，其中說明了在部署 N2L 服務之後每種類型的使用者應當注意到的情況。

使用者類型	N2L 服務的影響
NIS 主伺服器管理者	NIS 主伺服器轉換為 N2L 伺服器。NISLDAPmapping 和 ypserv 配置檔案将會安裝在 N2L 伺服器上。建立 N2L 伺服器之後，可以使用 LDAP 指令來管理名稱資訊。
NIS 從屬伺服器管理者	進行 N2L 轉換之後，NIS 從屬伺服器繼續以通常的方式運作 NIS。當 ypmake 調用 yppush 時，N2L 伺服器會将已更新的 NIS 映射推送到從屬伺服器。請參見 ypmake(1M) 手冊頁。
NIS 客戶機	NIS 讀取操作與傳統的 NIS 沒有差別。當 Solaris LDAP 名稱服務客戶機更改 DIT 中的資訊時，這些資訊會複制到 NIS 映射中。複制操作是在可配置的逾時時間過期之後完成的。這類行為與連接配接到 NIS 從屬伺服器的正常 NIS 客戶機的行為相似。  如果 N2L 伺服器無法綁定到 LDAP 伺服器進行讀取，則 N2L 伺服器将從其自身的緩存副本中傳回資訊。或者，N2L 伺服器還可能會傳回内部伺服器錯誤。可以将 N2L 伺服器配置為按照上述任一方式響應。有關更多詳細資訊，請參見 ypserv(1M) 手冊頁。
所有使用者	當 NIS 客戶機請求更改密碼時，所做的更改将立即顯示在 N2L 主伺服器和本地 LDAP 客戶機上。  如果嘗試在 NIS 客戶機上更改密碼，而且 LDAP 伺服器不可用，則更改将被拒絕，N2L 伺服器将傳回内部伺服器錯誤。此行為可防止将不正确的資訊寫入高速緩存中。

NIS 到 LDAP 轉換術語

以下是與實作 N2L 服務相關的術語。

表 15–1 與 N2L 轉換相關的術語

術語	說明
N2L configuration file（N2L 配置檔案）	ypserv 守護程序用來在 N2L 模式下啟動主伺服器的/var/yp/NISLDAPmapping 檔案和 /var/yp/ypserv 檔案。有關詳細消息，請參見 NISLDAPmapping(4) 和 ypserv(4) 手冊頁。
map（映射）	在 N2L 服務的上下文中，術語“映射”的用法有兩種： 指代 NIS 用于存儲特定類型資訊的資料庫檔案 描述從 LDAP DIT 映射 NIS 資訊或将 NIS 資訊映射到 LDAP DIT 的過程
mapping（映射）	NIS 項與 LDAP DIT 項之間的互相轉換過程。
mapping file（映射檔案）	用來指定如何映射 NIS 檔案和 LDAP 檔案之間各項的 NISLDAPmapping 檔案。
standard map（标準映射）	無需手動修改映射檔案即可由 N2L 服務支援的常用 NIS 映射。支援的标準映射中提供了支援的标準映射的清單。
nonstandard map（非标準映射）	自定義為使用 NIS 和 LDAP DIT 之間映射（RFC 2307 或其後續版本中辨別的映射除外）的标準 NIS 映射。
custom map（自定義映射）	不是标準映射的任何映射，從 NIS 轉換至 LDAP 時，需要手動修改映射檔案。
LDAP client（LDAP 客戶機）	對任何 LDAP 伺服器執行讀寫操作的任何傳統的 LDAP 客戶機。傳統的 LDAP 客戶機是對任何 LDAP 伺服器執行讀寫操作的系統。Solaris LDAP 名稱服務客戶機可處理部分自定義的名稱資訊。
LDAP naming services client（LDAP 名稱服務客戶機）	用來處理部分自定義名稱資訊的 Solaris LDAP 客戶機。
N2L server（N2L 伺服器）	已使用 N2L 服務重新配置為 N2L 伺服器的 NIS 主伺服器。重新配置過程包括替換 NIS 守護程序和添加新配置檔案。

NIS 到 LDAP 轉換指令、檔案和映射

共有兩個實用程式、兩個配置檔案和一個映射與 N2L 轉換相關聯。

表 15–2 N2L 指令、檔案和映射的說明

指令/檔案/映射	說明
/usr/lib/netsvc/yp/inityp2l	幫助建立 NISLDAPmapping 和 ypserv 配置檔案的實用程式。此實用程式不是用來管理這些檔案的通用工具。進階使用者可通過使用文本編輯器檢查和自定義 inityp2l 輸出來維護 N2L 配置檔案或建立自定義映射。請參見 inityp2l(1M) 手冊頁。
/usr/lib/netsvc/yp/ypmap2src	用來将标準 NIS 映射轉換為近似等效的 NIS 源檔案的實用程式。ypmap2src 主要用于将 N2L 轉換伺服器轉換為傳統的 NIS。請參見 ypmap2src(1M) 手冊頁。
/var/yp/NISLDAPmapping	用來指定 NIS 映射項和 LDAP 中目錄資訊樹 (Directory Information Tree, DIT) 等效項之間映射的配置檔案。請參見NISLDAPmapping(4) 手冊頁。
/var/yp/ypserv	用來為 NIS 到 LDAP 轉換守護程序指定配置資訊的檔案。請參見ypserv(4) 手冊頁。
ageing.byname	yppasswdd 使用的一種映射，在實作 NIS 到 LDAP 轉換時，用于在 DIT 中讀寫密碼生命期資訊。

支援的标準映射

預設情況下，N2L 服務支援以下列出的映射與 RFC 2307 或其後續版本中 LDAP 各項之間的映射。這些标準映射不需要手動修改映射檔案。系統上任何未列在以下清單中的映射都被視為自定義映射，需要手動進行修改。

N2L 服務還支援對 auto.* 映射進行自動映射。但是，由于大多數 auto.* 檔案名和内容都特定于各自的網絡配置，是以該清單并未指定這些檔案，但作為标準映射支援的 auto.home 和 auto.master 映射除外。

audit_user auth_attr auto.home auto.master bootparams ethers.byaddr ethers.byname exec_attr group.bygid group.byname group.adjunct.byname hosts.byaddr hosts.byname ipnodes.byaddr ipnodes.byname mail.byaddr mail.aliases netgroup netgroup.byprojid netgroup.byuser netgroup.byhost netid.byname netmasks.byaddr networks.byaddr networks.byname passwd.byname passwd.byuid passwd.adjunct.byname printers.conf.byname prof_attr project.byname project.byprojectid protocols.byname protocols.bynumber publickey.byname rpc.bynumber services.byname services.byservicename timezone.byname user_attr

在 NIS 到 LDAP 轉換過程中，yppasswdd 守護程序使用 N2L 特定的映射 ageing.byname 在 DIT 中讀寫密碼生命期資訊。如果沒有使用密碼生命期，則會忽略 ageing.byname 映射。