Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1315411
  • 博文数量: 554
  • 博客积分: 10425
  • 博客等级: 上将
  • 技术积分: 7555
  • 用 户 组: 普通用户
  • 注册时间: 2006-11-09 09:49
文章分类

全部博文(554)

文章存档

2012年(1)

2011年(1)

2009年(8)

2008年(544)

分类:

2008-04-09 19:11:16


大多数现代网络都组合使用上述两种或更多种服务。使用多种服务时,这些服务将由
第2 章中讨论的nsswitch.conf 文件来协调。
Solaris 名称服务
26 系统管理指南:名称和目录服务(DNS、NIS 和LDAP) • 2006 年9 月
DNS 名称服务的说明
DNS 是Internet 为TCP/IP 网络提供的名称服务。开发DNS 后,网络中的计算机可由普通名
称而非Internet 地址来标识。DNS 可在本地管理域中的主机与跨域边界的主机之间执行命
名。
使用DNS 的联网计算机的集合称为DNS 名称空间。DNS 名称空间可以划分为域分层结构。
DNS 域是一组计算机。每个域由两台或多台名称服务器支持,其中包括一台主服务器以及
一台或多台辅助服务器。每台服务器都通过运行in.named 守护进程来运行DNS。在客户
端,DNS 通过“解析程序”来实现。解析程序的功能是解析用户的查询。解析程序将查询名
称服务器,然后名称服务器会返回请求的信息或对其他服务器的引用。
/etc 文件名称服务的说明
基于主机的原始UNIX 名称系统是为独立的UNIX 计算机开发的,后来修改为可用于网络。
许多旧的UNIX 操作系统和计算机仍在使用此系统,但是此系统并不适用于大型的复杂网
络。
NIS 名称服务的说明
网络信息服务(Network Information Service, NIS) 是独立于DNS 开发的。DNS 通过使用计算
机名代替数字IP 地址来简化通信。NIS 的主要作用是通过对各种网络信息进行集中控制来
更好地管理网络。NIS 存储有关网络、计算机名称和地址、用户、以及网络服务的信息。这
种网络信息的集合被称为NIS 名称空间。
NIS 名称空间信息存储在NIS 映射中。NIS 映射旨在替换UNIX /etc 文件以及其他配置文
件。NIS 除了存储名称和地址外,还存储大量的其他信息。因此,NIS 名称空间存在大量映
射。有关更多信息,请参见第103 页中的“使用NIS 映射”。
NIS 使用与DNS 类似的客户机/服务器布局。复制的NIS 服务器可向NIS 客户机提供服务。
主要的服务器称为主服务器,为确保其可靠,主服务器还具有备份,即从属服务器。主服
务器和从属服务器都使用NIS 检索软件,并且都存储NIS 映射。有关NIS 体系结构和NIS 管
理的更多信息,请参见第5 章和第6 章。
NIS+ 名称服务的说明
网络信息服务扩充版本(Network Information Service Plus, NIS+) 与NIS 相似,但具有更多功
能。但是,NIS+ 不是NIS 的扩展。
NIS+ 名称服务旨在符合组织的结构。与NIS 不同,NIS+ 名称空间是动态的,因为可以进行
更新并可随时由任何授权用户使更新生效。
通过NIS+ 可将有关计算机地址的信息、安全信息、邮件信息、以太网接口和网络服务存储
在一个集中位置。这种网络信息的配置称为NIS+ 名称空间。
Solaris 名称服务
第1 章• 名称和目录服务(概述) 27
NIS+ 名称空间是分层的。NIS+ 名称空间在结构上与UNIX 目录文件系统相似。通过这种分
层结构可将NIS+ 名称空间配置为符合组织的逻辑分层结构。名称空间的信息布局与其物理
布局无关。因此,一个NIS+ 名称空间可以划分为多个可独立管理的域。如果客户机具有适
当的权限,则可以访问除了自身的域之外的域中的信息。
NIS+ 使用客户机/服务器模型来存储和访问NIS+ 名称空间中包含的信息。每个域由一组服
务器提供支持。主要的服务器称为主服务器。备份服务器称为辅助服务器。网络信息存储
在内部NIS+ 数据库的16 个标准NIS+ 表中。主服务器和辅助服务器都运行NIS+ 服务器软
件,并且都保留NIS+ 表的副本。对主服务器中NIS+ 数据所做的更改将自动以增量方式传
播到辅助服务器。
NIS+ 包括一个复杂的安全系统,用来保护名称空间的结构及其信息。NIS+ 使用身份验证和
授权来验证是否应执行客户机对信息的请求。身份验证确定信息请求者是否是网络中的有
效用户。授权确定是否允许特定用户拥有或修改请求的信息。有关NIS+ 安全的更详细说
明,请参见System Administration Guide: Naming and Directory Services (NIS+)。
有关进行从NIS+ 到LDAP 的转换的信息,请参见第16 章。
LDAP名称服务的说明
Solaris 9 支持LDAP(Lightweight Directory Access Protocol,轻量目录访问协议)和Sun Java
System Directory Server(以前称为Sun ONE Directory Server),以及其他LDAP 目录服务
器。
有关LDAP 名称服务的更多信息,请参见第8 章。
有关由NIS 转换到LDAP 或由NIS+ 转换到LDAP 的信息,请参见第15 章或第16 章。
名称服务:简要比较
DNS NIS NIS+ LDAP
名称空间分层不分层分层分层
数据存储文件/资源记录包含2 列的映

包含多列的表目录[视情况而定]
服务器名主/从主/从根主/非根主;主/辅
助;高速缓存/存根
主/副本
安全性无无(根或不包
含任何内容)
安全RPC
(AUTH_DH)
验证
SSL(视情况而定)
名称服务:简要比较
28 系统管理指南:名称和目录服务(DNS、NIS 和LDAP) • 2006 年9 月
DNS NIS NIS+ LDAP
传输TCP/IP RPC RPC TCP/IP
范围全局LAN LAN 全局
名称服务:简要比较
第1 章• 名称和目录服务(概述) 29
30
名称服务转换器(概述)
本章介绍名称服务转换器。名称服务转换器可用于协调各个名称服务的使用。
关于名称服务转换器
名称服务转换器是一个名为nsswitch.conf 的文件,用于控制客户机或应用程序获取网络信
息的方式。客户机应用程序使用名称服务转换器来调用类似如下的任何getXbyY() 接口:
 gethostbyname()
 getpwuid()
 getpwnam()
 getaddrinfo()
每台计算机的/etc 目录中都有一个转换器文件。该文件中的每一行都标识特定类型的网络
信息(如主机、口令和组),其后面是该信息的一个或多个位置。
客户机可以从一个或多个转换器的源获取名称信息。例如,NIS+ 客户机可以从NIS+ 表获
取其主机信息,从本地/etc 文件获取其口令信息。另外,客户机可以指定转换器在哪些条
件下必须使用每个源。请参见表2–1。
在安装过程中,Solaris 系统会自动将nsswitch.conf 文件加载到每台计算机的/etc 目录中。
对于LDAP、NIS、NIS+ 或文件,还可以将四个备用(模板)版本的转换器文件加载到/etc
中。请参见第35 页中的“nsswitch.conf 模板文件”。
这四个文件是备用的缺省转换器文件。每个文件旨在处理不同的主名称服务:/etc 文件、
NIS、NIS+ 或LDAP。将Solaris 软件首次安装到计算机上时,安装程序会选择计算机的缺省
名称服务:NIS+、NIS、本地文件或LDAP。在安装过程中,会将相应的模板文件复制到
nsswitch.conf 中。例如,对于使用LDAP 的客户机,会在安装过程中将nsswitch.ldap 复
制到nsswitch.conf 中。除非您拥有特殊的名称空间,否则复制到nsswitch.conf 中的缺省
模板文件应该能够满足正常的操作。
系统没有为DNS 提供缺省文件,但是可以编辑其中的任何文件以使用DNS。有关更多信
息,请参见第43 页中的“DNS 和Internet 访问”。
2第2 章
31
如果以后要更改计算机的主名称服务,则可以将相应的备用转换器文件复制到
nsswitch.conf 中。请参见第35 页中的“nsswitch.conf 模板文件”。还可以通过编辑
/etc/nsswitch.conf 文件中的相应行来更改客户机所用特定网络信息类型的源。下面的内
容介绍语法,第42 页中的“如何修改名称服务转换器”中提供了其他说明。
nsswitch.conf 文件的格式
nsswitch.conf 文件实质上就是一个列表,其中包含16 种信息和getXXbyYY() 例程在其中搜
索这些信息的源。下面是这16 种信息(并非必须按此顺序):
 aliases
 bootparams
 ethers
 group
 hosts
 ipnodes
 netgroup
 netmasks
 networks
 passwd(包括阴影信息)
 protocols
 publickey
 rpc
 services
 automount
 sendmailvars
下表说明了可以列在上述信息类型的转换器文件中的源的种类。
表2–1转换器文件中的信息源
信息源说明
files 存储在客户机的/etc 目录中的文件。例如,/etc/passwd。
nisplus 一个NIS+ 表。例如,hosts 表。
nis 一个NIS 映射。例如,hosts 映射。
compat compat 可用于口令和组信息,从而支持/etc/passwd、/etc/shadow 和/etc/group 文件中
的旧式+ 或- 语法。
dns 可用于指定从DNS 获取主机信息。
ldap 可用于指定从LDAP 目录获取项。
关于名称服务转换器
32 系统管理指南:名称和目录服务(DNS、NIS 和LDAP) • 2006 年9 月
搜索条件
单个源。如果某个信息类型只有一个源(如nisplus),则使用转换器的例程将只在该源中
搜索信息。如果该例程找到了此信息,则返回success 状态消息。如果该例程未找到此信
息,则会停止搜索并返回不同的状态消息。对错误消息的处理方式因例程而异。
多个源。如果表中包含给定信息类型的多个源,则该转换器会指示此例程在列出的第一个
源中搜索。如果该例程找到了此信息,则返回success 状态消息。如果该例程未在第一个源
中找到此信息,将尝试在下一个源中进行搜索。该例程将依次搜索所有的源,直到找到此
信息或者该例程由于指定了return 而停止。如果在搜索了列出的所有源之后仍未找到此信
息,该例程将停止搜索并返回non-success 状态消息。
转换器状态消息
如果该例程找到了此信息,则返回success 状态消息。如果该例程未找到此信息,则会返回
下面的三个错误状态消息之一。下表列出了可能的状态消息。
表2–2转换器搜索状态消息
状态消息消息的含义
SUCCESS 在指定的源中找到了所请求的项。
UNAVAIL 该源不响应或者不可用。换言之,NIS+ 表、NIS 映射和/etc 文件均无法找到
或访问。
NOTFOUND 该源用“该项不存在”响应。换言之,已经访问该表、映射或文件,但是未找
到必需的信息。
TRYAGAIN 该源正忙。该源下次可能会响应。换言之,找到了该表、映射或文件,但是
此时无法响应查询。
转换器操作选项
可以指示转换器用下表中显示的两个操作之一来响应状态消息。
表2–3对转换器状态消息的响应
操作含义
return 停止查找信息。
continue 尝试在下一个源中查找。
缺省搜索条件
nsswitch.conf 文件状态消息和操作选项一起决定例程在每个步骤执行的操作。状态和操作
的组合构成了搜索条件。
对于每个源来说,转换器的缺省搜索条件完全相同。有关上面列出的状态消息的说明,请
参见以下内容:
关于名称服务转换器
第2 章• 名称服务转换器(概述) 33
 SUCCESS=return。停止查找信息。使用已经找到的信息以继续。
 UNAVAIL=continue。转至下一个nsswitch.conf 文件源并继续搜索。如果该源是最后一个
源或唯一的源,则返回NOTFOUND 状态。
 NOTFOUND=continue。转至下一个nsswitch.conf 文件源并继续搜索。如果该源是最后一
个源或唯一的源,则返回NOTFOUND 状态。
 TRYAGAIN=continue。转至下一个nsswitch.conf 文件源并继续搜索。如果该源是最后一
个源或唯一的源,则返回NOTFOUND 状态。
可以通过使用上面显示的STATUS=action 语法明确指定某个其他条件来更改缺省搜索条件。
例如,NOTFOUND 条件的缺省操作是继续搜索下一个源。例如,要指定networks 在遇到
NOTFOUND 条件时停止搜索,请编辑转换器文件的networks 行。该行应如下所示:
networks: nis [NOTFOUND=return] files
networks: nis [NOTFOUND=return] files 一行为NOTFOUND 状态指定非缺省条件。非缺省条
件由方括号分隔。
在本示例中,搜索条件按如下方式工作:
 如果networks 映射可用且包含需要的信息,搜索例程将返回SUCCESS 状态消息。
 如果networks 映射不可用,搜索例程将返回UNAVAIL 状态消息。缺省情况下,搜索例程
会继续搜索相应的/etc 文件。
 如果networks 映射可用且已找到,但是不包含需要的信息,搜索例程将返回NOTFOUND
消息。但是,搜索例程将停止搜索,而不是像缺省行为那样继续搜索相应的/etc 文件。
 如果networks 映射正忙,搜索例程将返回TRYAGAIN 状态消息,而且会继续搜索相应的
/etc 文件(缺省操作)。
注– 在nsswitch.conf 文件中的查找是按照项的列出顺序进行的。但是,口令更新将以相反
的顺序进行,除非使用passwd -r repository 命令另行指定了更新顺序。有关更多信息,请参
见第45 页中的“转换器文件和口令信息”。
语法有误时该怎么办?
客户机库例程中包含经过编译的缺省项,如果nsswitch.conf 文件中缺少某项或者其语法有
误,则会使用这个缺省项。这些项与转换器文件的缺省值相同。
名称服务转换器假设表名和源名的拼写正确无误。如果表名或源名的拼写有误,转换器将
使用缺省值。
Auto_home 和Auto_master
auto_home 和auto_master 表和映射的转换器搜索条件组合成一个名为automount 的类别。
时区和转换器文件
timezone 表不使用转换器,因此该表不包含在转换器文件的列表中。
关于名称服务转换器
34 系统管理指南:名称和目录服务(DNS、NIS 和LDAP) • 2006 年9 月
nsswitch.conf 文件中的注释
nsswitch.conf 文件中任何以注释字符(#) 开头的行都被解释为注释行。搜索该文件的例程
会忽略注释行。
注释标记前面的字符会由搜索nsswitch.conf 文件的例程进行解释。注释标记右侧的字符会
被解释为注释并被忽略。
表2–4转换器文件的注释示例
行的类型示例
注释行。# hosts: nisplus [NOTFOUND=return] files
解释行。hosts: nisplus [NOTFOUND=return] file
部分解释的行。不对files 元
素进行解释。
hosts: nisplus [NOTFOUND=return] # files
密钥服务器和转换器文件中的publickey 项
注意– 对nsswitch.conf 进行更改之后必须重新启动密钥服务器。
只有启动了密钥服务器后,密钥服务器才会读取名称服务转换器配置文件中的publickey
项。如果更改转换器配置文件,则只有重新启动密钥服务器后,才会在密钥服务器上注册
所做的更改。
nsswitch.conf 模板文件
随Solaris 系统提供了四个可以适用于不同名称服务的转换器模块文件。每个文件都提供一
组不同的缺省信息源。
下面列出了这四个模板文件:
 LDAP 模板文件。nsswitch.ldap 配置文件指定LDAP 目录作为计算机的主要信息源。
注– 为了使用LDAP名称服务,除了修改nsswitch.conf 以外,还必须正确地配置所有的
LDAP 客户机。有关更多信息,请参见第12 章。
 NIS+ 模板文件。nsswitch.nisplus 配置指定NIS+ 作为所有信息(passwd、group、
automount 和aliases 除外)的主要源。对于那四个例外文件,主要信息源是本地/etc
文件,次要信息源是NIS+ 表。[NOTFOUND=return] 搜索条件指示转换器在获得“该项不存
在”消息时停止在NIS+ 表中搜索。只有当NIS+ 服务器不可用时,转换器才在本地文件
中进行搜索。
nsswitch.conf 模板文件
第2 章• 名称服务转换器(概述) 35
 NIS 模板文件。nsswitch.nis 配置文件与NIS+ 配置文件几乎完全相同,唯一的区别在于
NIS 文件指定NIS 映射(而非NIS+ 表)。因为passwd 和group 的搜索顺序是files
nis,所以您不必将+ 项放在/etc/passwd 和/etc/group 文件中。
 文件模板文件。nsswitch.files 配置文件指定本地/etc 文件作为计算机的唯一信息源。
netgroup 没有“文件”源,因此客户机在转换器文件中不使用该项。
将最符合要求的模板文件复制到nsswitch.conf 配置文件中,然后根据需要修改该文件。
例如,要使用LDAP 模板文件,可键入以下命令:
mymachine# cp /etc/nsswitch.ldap /etc/nsswitch.conf
缺省的转换器模板文件
下面列出了随Solaris 产品提供的四个转换器文件。
示例2–1 NIS+ 转换器文件模板: nsswitch.nisplus
#
#
# /etc/nsswitch.nisplus:
#
#
# An example file that could be copied over to /etc/nsswitch.conf;
# it uses NIS+ (NIS Version 3) in conjunction with files.
#
# "hosts:" and "services:" in this file are used only if the
# /etc/netconfig file has a "-" for nametoaddr_libs of "inet"
# transports.
# the following two lines obviate the "+" entry in /etc/passwd
# and /etc/group.
nsswitch.conf 模板文件
36 系统管理指南:名称和目录服务(DNS、NIS 和LDAP) • 2006 年9 月
示例2–1 NIS+ 转换器文件模板: nsswitch.nisplus (续)
passwd: files nisplus
group: files nisplus
# consult /etc "files" only if nisplus is down.
hosts: nisplus [NOTFOUND=return] files
# Uncomment the following line, and comment out the above, to use
# both DNS and NIS+. You must also set up the /etc/resolv.conf
# file for DNS name server lookup. See resolv.conf(4).
# hosts: nisplus dns [NOTFOUND=return] files
services: nisplus [NOTFOUND=return] files
networks: nisplus [NOTFOUND=return] files
protocols: nisplus [NOTFOUND=return] files
rpc: nisplus [NOTFOUND=return] files
ethers: nisplus [NOTFOUND=return] files
netmasks: nisplus [NOTFOUND=return] files
bootparams: nisplus [NOTFOUND=return] files
publickey: nisplus
netgroup: nisplus
automount: files nisplus
aliases: files nisplus
sendmailvars: files nisplus
示例2–2 NIS 转换器文件模板
#
# /etc/nsswitch.nis:
nsswitch.conf 模板文件
第2 章• 名称服务转换器(概述) 37
示例2–2 NIS 转换器文件模板(续)
#
# An example file that could be copied over to /etc/nsswitch.conf;
# it uses NIS (YP) in conjunction with files.
#
# "hosts:" and "services:" in this file are used only if the
# /etc/netconfig file has a "-" for nametoaddr_libs of "inet"
# transports.
#
# the following two lines obviate the "+" entry in /etc/passwd
# and /etc/group.
passwd: files nis
group: files nis
# consult /etc "files" only if nis is down.
hosts: nis [NOTFOUND=return] files
networks: nis [NOTFOUND=return] files
protocols: nis [NOTFOUND=return] files
rpc: nis [NOTFOUND=return] files
ethers: nis [NOTFOUND=return] files
netmasks: nis [NOTFOUND=return] files
bootparams: nis [NOTFOUND=return] files
publickey: nis [NOTFOUND=return] files
netgroup: nis
automount: files nis
nsswitch.conf 模板文件
38 系统管理指南:名称和目录服务(DNS、NIS 和LDAP) • 2006 年9 月
示例2–2 NIS 转换器文件模板(续)
aliases: files nis
# for efficient getservbyname() avoid nis
services: files nis
sendmailvars: files
示例2–3文件转换器文件模板
#
# /etc/nsswitch.files:
#
# An example file that could be copied over to /etc/nsswitch.conf;
# it does not use any naming service.
#
# "hosts:" and "services:" in this file are used only if the
# /etc/netconfig file has a "-" for nametoaddr_libs of "inet"
# transports.
passwd: files
group: files
hosts: files
networks: files
protocols: files
rpc: files
ethers: files
netmasks: files
bootparams: files
nsswitch.conf 模板文件
第2 章• 名称服务转换器(概述) 39
示例2–3 文件转换器文件模板(续)
publickey: files
# At present there isn’t a ’files’ backend for netgroup;
# the system will figure it out pretty quickly, and will notuse
# netgroups at all.
netgroup: files
automount: files
aliases: files
services: files
sendmailvars: files
示例2–4LDAP转换器文件模板
#
# /etc/nsswitch.ldap:
#
# An example file that could be copied over to /etc/nsswitch.conf; it
# uses LDAP in conjunction with files.
#
# "hosts:" and "services:" in this file are used only if the
# /etc/netconfig file has a "-" for nametoaddr_libs of "inet" transports.
# the following two lines obviate the "+" entry in /etc/passwd
and /etc/group.
passwd: files ldap
group: files ldap
nsswitch.conf 模板文件
40 系统管理指南:名称和目录服务(DNS、NIS 和LDAP) • 2006 年9 月
示例2–4LDAP转换器文件模板(续)
hosts: ldap [NOTFOUND=return] files
networks: ldap [NOTFOUND=return] files
protocols: ldap [NOTFOUND=return] files
rpc: ldap [NOTFOUND=return] files
ethers: ldap [NOTFOUND=return] files
netmasks: ldap [NOTFOUND=return] files
bootparams: ldap [NOTFOUND=return] files
publickey: ldap [NOTFOUND=return] files
netgroup: ldap
automount: files ldap
aliases: files ldap
# for efficient getservbyname() avoid ldap
services: files ldap
sendmailvars: files
nsswitch.conf 文件
随Solaris 软件安装的缺省nsswitch.conf 文件由安装过程中选择的名称服务确定。每一行都
标识特定类型的网络信息(如主机、口令和组)以及信息源(如NIS+ 表、NIS 映射、DNS
主机表或本地/etc)。在选择某个名称服务时,会复制该服务的转换器模板文件以创建新
的nsswitch.conf 文件。例如,如果选择NIS+,则会复制nsswitch.nisplus 文件以创建新
的nsswitch.conf 文件。
nsswitch.conf 模板文件
第2 章• 名称服务转换器(概述) 41
Solaris 9 发行版软件会自动将nsswitch.conf 文件与下列备用(模板)版本一起加载到每台
计算机的/etc 目录中。
 /etc/nsswitch.nisplus
 /etc/nsswitch.nis
 /etc/nsswitch.files
 /etc/nsswitch.ldap
这些备用模板文件中包含由NIS+ 服务、NIS 服务、本地文件和LDAP 使用的缺省转换器配
置。系统没有为DNS 提供缺省文件,但是可以编辑其中的任何文件以使用DNS。在将
Solaris 软件首次安装到计算机上时,安装程序会选择计算机的缺省名称服务。在安装过程
中,会将相应的模板文件复制到/etc/nsswitch.conf 中。例如,对于使用NIS+ 的客户机,
会在安装过程中将nsswitch.nisplus 复制到nsswitch.conf 中。
如果网络连接到Internet,而且用户必须使用DNS 访问Internet 主机,则必须启用DNS 转
发。
除非您拥有特殊的名称空间,否则复制到nsswitch.conf 中的缺省模板文件应该能够满足正
常的操作。
选择其他配置文件
更改计算机的名称服务时,需要相应地修改计算机的转换器文件。例如,如果将计算机的
名称服务从NIS 更改为NIS+,则需要安装适用于NIS+ 的转换器文件。可通过将相应的模板
文件复制到nsswitch.conf 中来更改转换器文件。
如果要使用NIS+ 安装脚本在计算机上安装NIS+,系统会将NIS+ 模板脚本复制到
nsswitch.conf 中。在这种情况下,除非您希望进行自定义,否则不必对转换器文件进行配
置。
继续更改转换器文件之前,请确保正确设置了列在该文件中的源。换言之,如果打算选择
NIS+ 版本,客户机必须最终能够访问NIS+ 服务。如果打算选择本地文件版本,则必须在
客户机上正确设置这些文件。
 如何修改名称服务转换器
要更改转换器文件,请执行以下步骤。
注– 为了使用LDAP名称服务,除了修改nsswitch.conf 以外,还必须正确地配置所有的
LDAP 客户机。有关更多信息,请参见第12 章。
成为超级用户或承担等效角色。
角色包含授权和具有一定权限的命令。有关角色的更多信息,请参见System Administration
Guide: Security Services中的“Using Role-Based Access Control (Tasks)”。
1
选择其他配置文件
42 系统管理指南:名称和目录服务(DNS、NIS 和LDAP) • 2006 年9 月
将适用于计算机名称服务的相应备用文件复制到nsswitch.conf 文件中。
NIS+ 版本(由NIS+ 脚本自动完成)
client1# cd /etc
client1# cp nsswitch.nisplus nsswitch.conf
NIS 版本
client1# cd /etc
client1# cp nsswitch.nis nsswitch.conf
本地/etc 文件版本
client1# cd /etc
client1# cp nsswitch.files nsswitch.conf
重新引导计算机。
nscd 守护进程对转换器信息进行缓存。有关相应的信息,请参见nscd(1M) 手册页。
某些库例程不会通过定期检查nsswitch.conf 文件来查看该文件是否经过更改。必须重新引
导计算机以确保此守护进程和这些例程具有该文件中的最新信息。
DNS 和Internet 访问
nsswitch.conf 文件还控制客户机的DNS 转发,如以下各小节中所述。DNS 转发允许客户
机访问Internet。有关如何为NIS 和NIS+ 设置DNS 转发的信息,请参见System
Administration Guide: Naming and Directory Services (NIS+)。
IPv6 和Solaris 名称服务
NIS、NIS+ 和LDAP 支持存储IPv6 数据,还支持将IPv6 传输机制用于协议通信。从BIND
8.3.3 版开始,Solaris 上的DNS 支持在客户端使用IPv6 传输机制。从BIND 8.4.2 版开始,
Solaris 上的DNS 为IPv6 网络提供了完整的客户机/服务器解决方案。
nsswitch.conf 文件控制IPv6 地址的搜索条件。IPv6 将IP 地址的大小从32 位增加到128
位,从而可以支持更多层的寻址分层结构。地址大小越大,提供的可寻址节点越多。有关
IPv6 及其配置和实现的更多信息,请参见System Administration Guide: IP Services。
将新的ipnodes 源用于IPv6 地址。/etc/inet/ipnodes 文件同时存储IPv4 和IPv6 地址。
/etc/inet/ipnodes 文件与/etc/hosts 文件使用相同的格式约定。
能够识别IPv6 的名称服务将新的ipnodes 源用于搜索转发。例如,如果LDAP 能够识别
IPv6 地址,请指定以下内容:
2
3
IPv6 和Solaris 名称服务
第2 章• 名称服务转换器(概述) 43
ipnodes: ldap [NOTFOUND=return] files
注意– 潜在的延迟问题:
 ipnodes 的缺省值为files。在将IPv4 转换为IPv6 的过程中,由于并非所有的名称服务
都能够识别IPv6 地址,因此将接受files(这是缺省值)。否则,在地址的解析过程中
可能出现不必要的延迟(如引导计时延迟)。
 应用程序会先在所有的ipnodes 数据库中搜索IPv4 地址,然后在hosts 数据库中搜索
IPv4 地址。在指定ipnodes 之前,请考虑在这两个数据库中都搜索IPv4 地址所固有的延
迟。
确保与+/- 语法兼容
如果在/etc/passwd、/etc/shadow 和/etc/group 文件中使用+/-,则需要修改
nsswitch.conf 文件以确保与+/- 兼容。
 NIS+。要向NIS+ 提供+/- 语义,请将passwd 和groups 源更改为compat。然后,将
passwd_compat: nisplus 项添加到nsswitch.conf 文件中passwd 或group 项的后面,如下
所示:
passwd: compat
passwd_compat: nisplus
group: compat
group_compat: nisplus
上面的项指定客户机例程从/etc 文件和这些文件中的+/- 项所指示的NIS+ 表获取其网
络信息。
 NIS。要提供与Solaris 4.x 发行版中相同的语法,请将passwd 和groups 源更改为
compat。
passwd: compat
group: compat
指定/etc 文件和由这些文件中的+/- 项指定的NIS 映射。
注– 如果用户所使用的客户机由运行在NIS 兼容模式下的NIS+ 服务器提供服务,用户将
无法针对netgroup 表运行ypcat。如果运行,即使该表中有项,所得到的结果也与该表
为空时一样。
确保与+/- 语法兼容
44 系统管理指南:名称和目录服务(DNS、NIS 和LDAP) • 2006 年9 月
转换器文件和口令信息
可以将口令信息包括在多个系统信息库(如files 和nisplus)中并访问它们。可以使用
nsswitch.conf 文件来为这些信息设置查找顺序。
注意– files 必须是nsswitch.conf 文件中passwd 信息的第一个源。
在NIS+ 环境中,nsswitch.conf 文件中的passwd 行应当按以下顺序列出系统信息库:
passwd: files nisplus
在NIS 环境中,nsswitch.conf 文件中的passwd 行应当按以下顺序列出系统信息库:
passwd: files nis
提示– 首先列出files 可允许root 在大多数情况下(即使系统遇到某些网络问题或名称服务
问题)登录。
建议不要为同一个用户维护多个系统信息库。通过为每个用户在单个系统信息库中维护集
中的口令管理,可以减少发生混淆和错误的几率。如果要为每个用户维护多个系统信息
库,请使用passwd -r 命令来更新口令信息。
passwd -r repository
如果没有用-r 选项指定系统信息库,则passwd 会以相反的顺序更新列在nsswitch.conf 中
的系统信息库。
转换器文件和口令信息
第2 章• 名称服务转换器(概述) 45
46
DNS 设置和管理
本部分介绍Solaris OS 中BIND 9 DNS 名称服务的配置和管理。
第2 部分
47
48
DNS 设置与管理(参考)
Solaris 10 操作系统随附BIND 9.x DNS 名称服务器。本章提供与在Solaris 操作系统中使用
BIND 9 有关的配置和管理信息。常规的BIND 和DNS 信息可从许多其他来源获得,包括第
49 页中的“相关材料”中列出的来源。
本章包含以下主题:
 第49 页中的“相关材料”
 第50 页中的“从BIND 8 迁移到BIND 9”
 第51 页中的“DNS 和服务管理工具”
 第52 页中的“实现rndc”
 第54 页中的“BIND 9 命令、文件、工具和选项”
 第56 页中的“named.conf 选项”
相关材料
有关DNS 和BIND 管理的信息,请参见以下文档。
 /usr/share/doc/bind/migration.txt 中的BIND 9 迁移说明文档
 Internet Systems Consortium (ISC)Web 站点 中的BIND 9 管理员手册
 BIND 功能、已知错误和缺陷的列表以及到ISCWeb 站点 中的其他材料
的链接
 《DNS and Bind》,由Paul Albitz 和Cricket Liu 编著,(第4 版,O’Reilly 出版社,2001
年)
3第3 章
49
从BIND 8 迁移到BIND 9
BIND 9 可与大多数BIND 8 功能向上兼容。但是,在升级现有的BIND 8 安装以使用BIND 9
时,仍需了解许多注意事项。安装和使用BIND 9 之前,务必阅读整个迁移说明文档。迁移
说明位于/usr/share/doc/bind/migration.txt 中。而且,BIND 软件包名称已更改为
SUNWbind 和SUNWbindr。SUNWbindr 软件包包含DNS 服务器manifest。
以下列表列出了BIND 8 与BIND 9 之间区别的简短说明。迁移说明中提供了详细信息。
 配置文件兼容性
 关于未实现选项的警告消息
 transfer-format 选项已更改
 配置文件错误
 日志类别已更改
 通知消息和刷新查询已更改
 多个类已更改
 区域文件兼容性
 区域文件中TTL规则更严格
 SOA(面向服务的体系结构)序列号已更改
 引号不配对将引起错误
 换行符、语言更改
 在域名中使用\$ 代替$$
 新协议功能的互操作性影响
 BIND 9 中新增EDNS0
 区域传送缺省值已更改
 不受限的字符集
 对字符集没有任何限制
 安全问题,错误命名
 服务器管理工具
 rndc 程序取代了ndc
 nsupdate: 多个更新的方式已更改
 区域之间无信息泄漏
 以不同的方式处理粘附NS 记录
 未修改Umask
 可能的umask 权限问题
从BIND 8 迁移到BIND 9
50 系统管理指南:名称和目录服务(DNS、NIS 和LDAP) • 2006 年9 月
DNS 和服务管理工具
可以使用服务管理工具(Service Management Facility, SMF) 来管理DNS/BIND named 服务。有
关SMF 的概述,请参阅System Administration Guide: Basic Administration中的“Managing
Services (Overview)”。另请参阅svcadm(1M)、svcs(1) 和svccfg(1M) 手册页以获取更多详细
信息。还可以查看/var/svc/manifest/network/dns 中的DNS 服务器manifest server.xml。
 可以使用svcadm 命令对此服务执行启用、禁用或重新启动等管理操作。
提示– 使用-t 选项暂时禁用服务可为服务配置提供一些保护。如果禁用服务时使用了-t
选项,则在重新引导后将恢复服务的初始设置。如果禁用服务时未使用-t,则服务在重
新引导后仍将保持禁用状态。
 用于DNS 服务的故障管理资源标识符(Fault Managed Resource Identifier, FMRI) 是
svc:/network/dns/server: 和svc:/network/dns/client:
 使用svcs 命令可以查询DNS 服务器和客户机的状态。
 svcs 命令和输出示例。
# svcs \*dns\*
STATE STIME FMRI
online Nov_16 svc:/network/dns/server:default
online Nov_16 svc:/network/dns/client:default
 svcs -l 命令和输出示例。
# svcs -l /network/dns/server
fmri svc:/network/dns/server:default
name Internet domain name server (DNS)
enabled true
state online
next_state none
restarter svc:/system/svc/restarter:default
contract_id 25
dependency require_all/none svc:/system/filesystem/minimal (online)
dependency require_all/none (online)
 
 

以上文章转自于 : http://developers.sun.com.cn/
阅读(573) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~