大多数现代网络都组合使用上述两种或更多种服务。使用多种服务时，这些服务将由
第2 章中讨论的nsswitch.conf 文件来协调。
Solaris 名称服务
26 系统管理指南：名称和目录服务（DNS、NIS 和LDAP） • 2006 年9 月
DNS 名称服务的说明
DNS 是Internet 为TCP/IP 网络提供的名称服务。开发DNS 后，网络中的计算机可由普通名
称而非Internet 地址来标识。DNS 可在本地管理域中的主机与跨域边界的主机之间执行命
名。
使用DNS 的联网计算机的集合称为DNS 名称空间。DNS 名称空间可以划分为域分层结构。
DNS 域是一组计算机。每个域由两台或多台名称服务器支持，其中包括一台主服务器以及
一台或多台辅助服务器。每台服务器都通过运行in.named 守护进程来运行DNS。在客户
端，DNS 通过“解析程序”来实现。解析程序的功能是解析用户的查询。解析程序将查询名
称服务器，然后名称服务器会返回请求的信息或对其他服务器的引用。
/etc 文件名称服务的说明
基于主机的原始UNIX 名称系统是为独立的UNIX 计算机开发的，后来修改为可用于网络。
许多旧的UNIX 操作系统和计算机仍在使用此系统，但是此系统并不适用于大型的复杂网
络。
NIS 名称服务的说明
网络信息服务(Network Information Service, NIS) 是独立于DNS 开发的。DNS 通过使用计算
机名代替数字IP 地址来简化通信。NIS 的主要作用是通过对各种网络信息进行集中控制来
更好地管理网络。NIS 存储有关网络、计算机名称和地址、用户、以及网络服务的信息。这
种网络信息的集合被称为NIS 名称空间。
NIS 名称空间信息存储在NIS 映射中。NIS 映射旨在替换UNIX /etc 文件以及其他配置文
件。NIS 除了存储名称和地址外，还存储大量的其他信息。因此，NIS 名称空间存在大量映
射。有关更多信息，请参见第103 页中的“使用NIS 映射”。
NIS 使用与DNS 类似的客户机/服务器布局。复制的NIS 服务器可向NIS 客户机提供服务。
主要的服务器称为主服务器，为确保其可靠，主服务器还具有备份，即从属服务器。主服
务器和从属服务器都使用NIS 检索软件，并且都存储NIS 映射。有关NIS 体系结构和NIS 管
理的更多信息，请参见第5 章和第6 章。
NIS+ 名称服务的说明
网络信息服务扩充版本(Network Information Service Plus, NIS+) 与NIS 相似，但具有更多功
能。但是，NIS+ 不是NIS 的扩展。
NIS+ 名称服务旨在符合组织的结构。与NIS 不同，NIS+ 名称空间是动态的，因为可以进行
更新并可随时由任何授权用户使更新生效。
通过NIS+ 可将有关计算机地址的信息、安全信息、邮件信息、以太网接口和网络服务存储
在一个集中位置。这种网络信息的配置称为NIS+ 名称空间。
Solaris 名称服务
第1 章• 名称和目录服务（概述） 27
NIS+ 名称空间是分层的。NIS+ 名称空间在结构上与UNIX 目录文件系统相似。通过这种分
层结构可将NIS+ 名称空间配置为符合组织的逻辑分层结构。名称空间的信息布局与其物理
布局无关。因此，一个NIS+ 名称空间可以划分为多个可独立管理的域。如果客户机具有适
当的权限，则可以访问除了自身的域之外的域中的信息。
NIS+ 使用客户机/服务器模型来存储和访问NIS+ 名称空间中包含的信息。每个域由一组服
务器提供支持。主要的服务器称为主服务器。备份服务器称为辅助服务器。网络信息存储
在内部NIS+ 数据库的16 个标准NIS+ 表中。主服务器和辅助服务器都运行NIS+ 服务器软
件，并且都保留NIS+ 表的副本。对主服务器中NIS+ 数据所做的更改将自动以增量方式传
播到辅助服务器。
NIS+ 包括一个复杂的安全系统，用来保护名称空间的结构及其信息。NIS+ 使用身份验证和
授权来验证是否应执行客户机对信息的请求。身份验证确定信息请求者是否是网络中的有
效用户。授权确定是否允许特定用户拥有或修改请求的信息。有关NIS+ 安全的更详细说
明，请参见System Administration Guide: Naming and Directory Services (NIS+)。
有关进行从NIS+ 到LDAP 的转换的信息，请参见第16 章。
LDAP名称服务的说明
Solaris 9 支持LDAP（Lightweight Directory Access Protocol，轻量目录访问协议）和Sun Java
System Directory Server（以前称为Sun ONE Directory Server），以及其他LDAP 目录服务
器。
有关LDAP 名称服务的更多信息，请参见第8 章。
有关由NIS 转换到LDAP 或由NIS+ 转换到LDAP 的信息，请参见第15 章或第16 章。
名称服务：简要比较
DNS NIS NIS+ LDAP
名称空间分层不分层分层分层
数据存储文件/资源记录包含2 列的映
射
包含多列的表目录[视情况而定]
服务器名主/从主/从根主/非根主；主/辅
助；高速缓存/存根
主/副本
安全性无无（根或不包
含任何内容）
安全RPC
(AUTH_DH)
验证
SSL（视情况而定）
名称服务：简要比较
28 系统管理指南：名称和目录服务（DNS、NIS 和LDAP） • 2006 年9 月
DNS NIS NIS+ LDAP
传输TCP/IP RPC RPC TCP/IP
范围全局LAN LAN 全局
名称服务：简要比较
第1 章• 名称和目录服务（概述） 29
30
名称服务转换器（概述）
本章介绍名称服务转换器。名称服务转换器可用于协调各个名称服务的使用。
关于名称服务转换器
名称服务转换器是一个名为nsswitch.conf 的文件，用于控制客户机或应用程序获取网络信
息的方式。客户机应用程序使用名称服务转换器来调用类似如下的任何getXbyY() 接口：
 gethostbyname()
 getpwuid()
 getpwnam()
 getaddrinfo()
每台计算机的/etc 目录中都有一个转换器文件。该文件中的每一行都标识特定类型的网络
信息（如主机、口令和组），其后面是该信息的一个或多个位置。
客户机可以从一个或多个转换器的源获取名称信息。例如，NIS+ 客户机可以从NIS+ 表获
取其主机信息，从本地/etc 文件获取其口令信息。另外，客户机可以指定转换器在哪些条
件下必须使用每个源。请参见表2–1。
在安装过程中，Solaris 系统会自动将nsswitch.conf 文件加载到每台计算机的/etc 目录中。
对于LDAP、NIS、NIS+ 或文件，还可以将四个备用（模板）版本的转换器文件加载到/etc
中。请参见第35 页中的“nsswitch.conf 模板文件”。
这四个文件是备用的缺省转换器文件。每个文件旨在处理不同的主名称服务：/etc 文件、
NIS、NIS+ 或LDAP。将Solaris 软件首次安装到计算机上时，安装程序会选择计算机的缺省
名称服务：NIS+、NIS、本地文件或LDAP。在安装过程中，会将相应的模板文件复制到
nsswitch.conf 中。例如，对于使用LDAP 的客户机，会在安装过程中将nsswitch.ldap 复
制到nsswitch.conf 中。除非您拥有特殊的名称空间，否则复制到nsswitch.conf 中的缺省
模板文件应该能够满足正常的操作。
系统没有为DNS 提供缺省文件，但是可以编辑其中的任何文件以使用DNS。有关更多信
息，请参见第43 页中的“DNS 和Internet 访问”。
2第2 章
31
如果以后要更改计算机的主名称服务，则可以将相应的备用转换器文件复制到
nsswitch.conf 中。请参见第35 页中的“nsswitch.conf 模板文件”。还可以通过编辑
/etc/nsswitch.conf 文件中的相应行来更改客户机所用特定网络信息类型的源。下面的内
容介绍语法，第42 页中的“如何修改名称服务转换器”中提供了其他说明。
nsswitch.conf 文件的格式
nsswitch.conf 文件实质上就是一个列表，其中包含16 种信息和getXXbyYY() 例程在其中搜
索这些信息的源。下面是这16 种信息（并非必须按此顺序）：
 aliases
 bootparams
 ethers
 group
 hosts
 ipnodes
 netgroup
 netmasks
 networks
 passwd（包括阴影信息）
 protocols
 publickey
 rpc
 services
 automount
 sendmailvars
下表说明了可以列在上述信息类型的转换器文件中的源的种类。
表2–1转换器文件中的信息源
信息源说明
files 存储在客户机的/etc 目录中的文件。例如，/etc/passwd。
nisplus 一个NIS+ 表。例如，hosts 表。
nis 一个NIS 映射。例如，hosts 映射。
compat compat 可用于口令和组信息，从而支持/etc/passwd、/etc/shadow 和/etc/group 文件中
的旧式+ 或- 语法。
dns 可用于指定从DNS 获取主机信息。
ldap 可用于指定从LDAP 目录获取项。
关于名称服务转换器
32 系统管理指南：名称和目录服务（DNS、NIS 和LDAP） • 2006 年9 月
搜索条件
单个源。如果某个信息类型只有一个源（如nisplus），则使用转换器的例程将只在该源中
搜索信息。如果该例程找到了此信息，则返回success 状态消息。如果该例程未找到此信
息，则会停止搜索并返回不同的状态消息。对错误消息的处理方式因例程而异。
多个源。如果表中包含给定信息类型的多个源，则该转换器会指示此例程在列出的第一个
源中搜索。如果该例程找到了此信息，则返回success 状态消息。如果该例程未在第一个源
中找到此信息，将尝试在下一个源中进行搜索。该例程将依次搜索所有的源，直到找到此
信息或者该例程由于指定了return 而停止。如果在搜索了列出的所有源之后仍未找到此信
息，该例程将停止搜索并返回non-success 状态消息。
转换器状态消息
如果该例程找到了此信息，则返回success 状态消息。如果该例程未找到此信息，则会返回
下面的三个错误状态消息之一。下表列出了可能的状态消息。
表2–2转换器搜索状态消息
状态消息消息的含义
SUCCESS 在指定的源中找到了所请求的项。
UNAVAIL 该源不响应或者不可用。换言之，NIS+ 表、NIS 映射和/etc 文件均无法找到
或访问。
NOTFOUND 该源用“该项不存在”响应。换言之，已经访问该表、映射或文件，但是未找
到必需的信息。
TRYAGAIN 该源正忙。该源下次可能会响应。换言之，找到了该表、映射或文件，但是
此时无法响应查询。
转换器操作选项
可以指示转换器用下表中显示的两个操作之一来响应状态消息。
表2–3对转换器状态消息的响应
操作含义
return 停止查找信息。
continue 尝试在下一个源中查找。
缺省搜索条件
nsswitch.conf 文件状态消息和操作选项一起决定例程在每个步骤执行的操作。状态和操作
的组合构成了搜索条件。
对于每个源来说，转换器的缺省搜索条件完全相同。有关上面列出的状态消息的说明，请
参见以下内容：
关于名称服务转换器
第2 章• 名称服务转换器（概述） 33
 SUCCESS=return。停止查找信息。使用已经找到的信息以继续。
 UNAVAIL=continue。转至下一个nsswitch.conf 文件源并继续搜索。如果该源是最后一个
源或唯一的源，则返回NOTFOUND 状态。
 NOTFOUND=continue。转至下一个nsswitch.conf 文件源并继续搜索。如果该源是最后一
个源或唯一的源，则返回NOTFOUND 状态。
 TRYAGAIN=continue。转至下一个nsswitch.conf 文件源并继续搜索。如果该源是最后一
个源或唯一的源，则返回NOTFOUND 状态。
可以通过使用上面显示的STATUS=action 语法明确指定某个其他条件来更改缺省搜索条件。
例如，NOTFOUND 条件的缺省操作是继续搜索下一个源。例如，要指定networks 在遇到
NOTFOUND 条件时停止搜索，请编辑转换器文件的networks 行。该行应如下所示：
networks: nis [NOTFOUND=return] files
networks: nis [NOTFOUND=return] files 一行为NOTFOUND 状态指定非缺省条件。非缺省条
件由方括号分隔。
在本示例中，搜索条件按如下方式工作：
 如果networks 映射可用且包含需要的信息，搜索例程将返回SUCCESS 状态消息。
 如果networks 映射不可用，搜索例程将返回UNAVAIL 状态消息。缺省情况下，搜索例程
会继续搜索相应的/etc 文件。
 如果networks 映射可用且已找到，但是不包含需要的信息，搜索例程将返回NOTFOUND
消息。但是，搜索例程将停止搜索，而不是像缺省行为那样继续搜索相应的/etc 文件。
 如果networks 映射正忙，搜索例程将返回TRYAGAIN 状态消息，而且会继续搜索相应的
/etc 文件（缺省操作）。
注– 在nsswitch.conf 文件中的查找是按照项的列出顺序进行的。但是，口令更新将以相反
的顺序进行，除非使用passwd -r repository 命令另行指定了更新顺序。有关更多信息，请参
见第45 页中的“转换器文件和口令信息”。
语法有误时该怎么办？
客户机库例程中包含经过编译的缺省项，如果nsswitch.conf 文件中缺少某项或者其语法有
误，则会使用这个缺省项。这些项与转换器文件的缺省值相同。
名称服务转换器假设表名和源名的拼写正确无误。如果表名或源名的拼写有误，转换器将
使用缺省值。
Auto_home 和Auto_master
auto_home 和auto_master 表和映射的转换器搜索条件组合成一个名为automount 的类别。
时区和转换器文件
timezone 表不使用转换器，因此该表不包含在转换器文件的列表中。
关于名称服务转换器
34 系统管理指南：名称和目录服务（DNS、NIS 和LDAP） • 2006 年9 月
nsswitch.conf 文件中的注释
nsswitch.conf 文件中任何以注释字符(#) 开头的行都被解释为注释行。搜索该文件的例程
会忽略注释行。
注释标记前面的字符会由搜索nsswitch.conf 文件的例程进行解释。注释标记右侧的字符会
被解释为注释并被忽略。
表2–4转换器文件的注释示例
行的类型示例
注释行。# hosts: nisplus [NOTFOUND=return] files
解释行。hosts: nisplus [NOTFOUND=return] file
部分解释的行。不对files 元
素进行解释。
hosts: nisplus [NOTFOUND=return] # files
密钥服务器和转换器文件中的publickey 项
注意– 对nsswitch.conf 进行更改之后必须重新启动密钥服务器。
只有启动了密钥服务器后，密钥服务器才会读取名称服务转换器配置文件中的publickey
项。如果更改转换器配置文件，则只有重新启动密钥服务器后，才会在密钥服务器上注册
所做的更改。
nsswitch.conf 模板文件
随Solaris 系统提供了四个可以适用于不同名称服务的转换器模块文件。每个文件都提供一
组不同的缺省信息源。
下面列出了这四个模板文件：
 LDAP 模板文件。nsswitch.ldap 配置文件指定LDAP 目录作为计算机的主要信息源。
注– 为了使用LDAP名称服务，除了修改nsswitch.conf 以外，还必须正确地配置所有的
LDAP 客户机。有关更多信息，请参见第12 章。
 NIS+ 模板文件。nsswitch.nisplus 配置指定NIS+ 作为所有信息（passwd、group、
automount 和aliases 除外）的主要源。对于那四个例外文件，主要信息源是本地/etc
文件，次要信息源是NIS+ 表。[NOTFOUND=return] 搜索条件指示转换器在获得“该项不存
在”消息时停止在NIS+ 表中搜索。只有当NIS+ 服务器不可用时，转换器才在本地文件
中进行搜索。
nsswitch.conf 模板文件
第2 章• 名称服务转换器（概述） 35
 NIS 模板文件。nsswitch.nis 配置文件与NIS+ 配置文件几乎完全相同，唯一的区别在于
NIS 文件指定NIS 映射（而非NIS+ 表）。因为passwd 和group 的搜索顺序是files
nis，所以您不必将+ 项放在/etc/passwd 和/etc/group 文件中。
 文件模板文件。nsswitch.files 配置文件指定本地/etc 文件作为计算机的唯一信息源。
netgroup 没有“文件”源，因此客户机在转换器文件中不使用该项。
将最符合要求的模板文件复制到nsswitch.conf 配置文件中，然后根据需要修改该文件。
例如，要使用LDAP 模板文件，可键入以下命令：
mymachine# cp /etc/nsswitch.ldap /etc/nsswitch.conf
缺省的转换器模板文件
下面列出了随Solaris 产品提供的四个转换器文件。
示例2–1 NIS+ 转换器文件模板： nsswitch.nisplus
#
#
# /etc/nsswitch.nisplus:
#
#
# An example file that could be copied over to /etc/nsswitch.conf;
# it uses NIS+ (NIS Version 3) in conjunction with files.
#
# "hosts:" and "services:" in this file are used only if the
# /etc/netconfig file has a "-" for nametoaddr_libs of "inet"
# transports.
# the following two lines obviate the "+" entry in /etc/passwd
# and /etc/group.
nsswitch.conf 模板文件
36 系统管理指南：名称和目录服务（DNS、NIS 和LDAP） • 2006 年9 月
示例2–1 NIS+ 转换器文件模板： nsswitch.nisplus （续）
passwd: files nisplus
group: files nisplus
# consult /etc "files" only if nisplus is down.
hosts: nisplus [NOTFOUND=return] files
# Uncomment the following line, and comment out the above, to use
# both DNS and NIS+. You must also set up the /etc/resolv.conf
# file for DNS name server lookup. See resolv.conf(4).
# hosts: nisplus dns [NOTFOUND=return] files
services: nisplus [NOTFOUND=return] files
networks: nisplus [NOTFOUND=return] files
protocols: nisplus [NOTFOUND=return] files
rpc: nisplus [NOTFOUND=return] files
ethers: nisplus [NOTFOUND=return] files
netmasks: nisplus [NOTFOUND=return] files
bootparams: nisplus [NOTFOUND=return] files
publickey: nisplus
netgroup: nisplus
automount: files nisplus
aliases: files nisplus
sendmailvars: files nisplus
示例2–2 NIS 转换器文件模板
#
# /etc/nsswitch.nis:
nsswitch.conf 模板文件
第2 章• 名称服务转换器（概述） 37
示例2–2 NIS 转换器文件模板（续）
#
# An example file that could be copied over to /etc/nsswitch.conf;
# it uses NIS (YP) in conjunction with files.
#
# "hosts:" and "services:" in this file are used only if the
# /etc/netconfig file has a "-" for nametoaddr_libs of "inet"
# transports.
#
# the following two lines obviate the "+" entry in /etc/passwd
# and /etc/group.
passwd: files nis
group: files nis
# consult /etc "files" only if nis is down.
hosts: nis [NOTFOUND=return] files
networks: nis [NOTFOUND=return] files
protocols: nis [NOTFOUND=return] files
rpc: nis [NOTFOUND=return] files
ethers: nis [NOTFOUND=return] files
netmasks: nis [NOTFOUND=return] files
bootparams: nis [NOTFOUND=return] files
publickey: nis [NOTFOUND=return] files
netgroup: nis
automount: files nis
nsswitch.conf 模板文件
38 系统管理指南：名称和目录服务（DNS、NIS 和LDAP） • 2006 年9 月
示例2–2 NIS 转换器文件模板（续）
aliases: files nis
# for efficient getservbyname() avoid nis
services: files nis
sendmailvars: files
示例2–3文件转换器文件模板
#
# /etc/nsswitch.files:
#
# An example file that could be copied over to /etc/nsswitch.conf;
# it does not use any naming service.
#
# "hosts:" and "services:" in this file are used only if the
# /etc/netconfig file has a "-" for nametoaddr_libs of "inet"
# transports.
passwd: files
group: files
hosts: files
networks: files
protocols: files
rpc: files
ethers: files
netmasks: files
bootparams: files
nsswitch.conf 模板文件
第2 章• 名称服务转换器（概述） 39
示例2–3 文件转换器文件模板（续）
publickey: files
# At present there isn’t a ’files’ backend for netgroup;
# the system will figure it out pretty quickly, and will notuse
# netgroups at all.
netgroup: files
automount: files
aliases: files
services: files
sendmailvars: files
示例2–4LDAP转换器文件模板
#
# /etc/nsswitch.ldap:
#
# An example file that could be copied over to /etc/nsswitch.conf; it
# uses LDAP in conjunction with files.
#
# "hosts:" and "services:" in this file are used only if the
# /etc/netconfig file has a "-" for nametoaddr_libs of "inet" transports.
# the following two lines obviate the "+" entry in /etc/passwd
and /etc/group.
passwd: files ldap
group: files ldap
nsswitch.conf 模板文件
40 系统管理指南：名称和目录服务（DNS、NIS 和LDAP） • 2006 年9 月
示例2–4LDAP转换器文件模板（续）
hosts: ldap [NOTFOUND=return] files
networks: ldap [NOTFOUND=return] files
protocols: ldap [NOTFOUND=return] files
rpc: ldap [NOTFOUND=return] files
ethers: ldap [NOTFOUND=return] files
netmasks: ldap [NOTFOUND=return] files
bootparams: ldap [NOTFOUND=return] files
publickey: ldap [NOTFOUND=return] files
netgroup: ldap
automount: files ldap
aliases: files ldap
# for efficient getservbyname() avoid ldap
services: files ldap
sendmailvars: files
nsswitch.conf 文件
随Solaris 软件安装的缺省nsswitch.conf 文件由安装过程中选择的名称服务确定。每一行都
标识特定类型的网络信息（如主机、口令和组）以及信息源（如NIS+ 表、NIS 映射、DNS
主机表或本地/etc）。在选择某个名称服务时，会复制该服务的转换器模板文件以创建新
的nsswitch.conf 文件。例如，如果选择NIS+，则会复制nsswitch.nisplus 文件以创建新
的nsswitch.conf 文件。
nsswitch.conf 模板文件
第2 章• 名称服务转换器（概述） 41
Solaris 9 发行版软件会自动将nsswitch.conf 文件与下列备用（模板）版本一起加载到每台
计算机的/etc 目录中。
 /etc/nsswitch.nisplus
 /etc/nsswitch.nis
 /etc/nsswitch.files
 /etc/nsswitch.ldap
这些备用模板文件中包含由NIS+ 服务、NIS 服务、本地文件和LDAP 使用的缺省转换器配
置。系统没有为DNS 提供缺省文件，但是可以编辑其中的任何文件以使用DNS。在将
Solaris 软件首次安装到计算机上时，安装程序会选择计算机的缺省名称服务。在安装过程
中，会将相应的模板文件复制到/etc/nsswitch.conf 中。例如，对于使用NIS+ 的客户机，
会在安装过程中将nsswitch.nisplus 复制到nsswitch.conf 中。
如果网络连接到Internet，而且用户必须使用DNS 访问Internet 主机，则必须启用DNS 转
发。
除非您拥有特殊的名称空间，否则复制到nsswitch.conf 中的缺省模板文件应该能够满足正
常的操作。
选择其他配置文件
更改计算机的名称服务时，需要相应地修改计算机的转换器文件。例如，如果将计算机的
名称服务从NIS 更改为NIS+，则需要安装适用于NIS+ 的转换器文件。可通过将相应的模板
文件复制到nsswitch.conf 中来更改转换器文件。
如果要使用NIS+ 安装脚本在计算机上安装NIS+，系统会将NIS+ 模板脚本复制到
nsswitch.conf 中。在这种情况下，除非您希望进行自定义，否则不必对转换器文件进行配
置。
继续更改转换器文件之前，请确保正确设置了列在该文件中的源。换言之，如果打算选择
NIS+ 版本，客户机必须最终能够访问NIS+ 服务。如果打算选择本地文件版本，则必须在
客户机上正确设置这些文件。

如何修改名称服务转换器
要更改转换器文件，请执行以下步骤。
注– 为了使用LDAP名称服务，除了修改nsswitch.conf 以外，还必须正确地配置所有的
LDAP 客户机。有关更多信息，请参见第12 章。
成为超级用户或承担等效角色。
角色包含授权和具有一定权限的命令。有关角色的更多信息，请参见System Administration
Guide: Security Services中的“Using Role-Based Access Control (Tasks)”。
1
选择其他配置文件
42 系统管理指南：名称和目录服务（DNS、NIS 和LDAP） • 2006 年9 月
将适用于计算机名称服务的相应备用文件复制到nsswitch.conf 文件中。
NIS+ 版本（由NIS+ 脚本自动完成）
client1# cd /etc
client1# cp nsswitch.nisplus nsswitch.conf
NIS 版本
client1# cd /etc
client1# cp nsswitch.nis nsswitch.conf
本地/etc 文件版本
client1# cd /etc
client1# cp nsswitch.files nsswitch.conf
重新引导计算机。
nscd 守护进程对转换器信息进行缓存。有关相应的信息，请参见nscd(1M) 手册页。
某些库例程不会通过定期检查nsswitch.conf 文件来查看该文件是否经过更改。必须重新引
导计算机以确保此守护进程和这些例程具有该文件中的最新信息。
DNS 和Internet 访问
nsswitch.conf 文件还控制客户机的DNS 转发，如以下各小节中所述。DNS 转发允许客户
机访问Internet。有关如何为NIS 和NIS+ 设置DNS 转发的信息，请参见System
Administration Guide: Naming and Directory Services (NIS+)。
IPv6 和Solaris 名称服务
NIS、NIS+ 和LDAP 支持存储IPv6 数据，还支持将IPv6 传输机制用于协议通信。从BIND
8.3.3 版开始，Solaris 上的DNS 支持在客户端使用IPv6 传输机制。从BIND 8.4.2 版开始，
Solaris 上的DNS 为IPv6 网络提供了完整的客户机/服务器解决方案。
nsswitch.conf 文件控制IPv6 地址的搜索条件。IPv6 将IP 地址的大小从32 位增加到128
位，从而可以支持更多层的寻址分层结构。地址大小越大，提供的可寻址节点越多。有关
IPv6 及其配置和实现的更多信息，请参见System Administration Guide: IP Services。
将新的ipnodes 源用于IPv6 地址。/etc/inet/ipnodes 文件同时存储IPv4 和IPv6 地址。
/etc/inet/ipnodes 文件与/etc/hosts 文件使用相同的格式约定。
能够识别IPv6 的名称服务将新的ipnodes 源用于搜索转发。例如，如果LDAP 能够识别
IPv6 地址，请指定以下内容：
2
3
IPv6 和Solaris 名称服务
第2 章• 名称服务转换器（概述） 43
ipnodes: ldap [NOTFOUND=return] files
注意– 潜在的延迟问题：
 ipnodes 的缺省值为files。在将IPv4 转换为IPv6 的过程中，由于并非所有的名称服务
都能够识别IPv6 地址，因此将接受files（这是缺省值）。否则，在地址的解析过程中
可能出现不必要的延迟（如引导计时延迟）。
 应用程序会先在所有的ipnodes 数据库中搜索IPv4 地址，然后在hosts 数据库中搜索
IPv4 地址。在指定ipnodes 之前，请考虑在这两个数据库中都搜索IPv4 地址所固有的延
迟。
确保与+/- 语法兼容
如果在/etc/passwd、/etc/shadow 和/etc/group 文件中使用+/-，则需要修改
nsswitch.conf 文件以确保与+/- 兼容。
 NIS+。要向NIS+ 提供+/- 语义，请将passwd 和groups 源更改为compat。然后，将
passwd_compat: nisplus 项添加到nsswitch.conf 文件中passwd 或group 项的后面，如下
所示：
passwd: compat
passwd_compat: nisplus
group: compat
group_compat: nisplus
上面的项指定客户机例程从/etc 文件和这些文件中的+/- 项所指示的NIS+ 表获取其网
络信息。
 NIS。要提供与Solaris 4.x 发行版中相同的语法，请将passwd 和groups 源更改为
compat。
passwd: compat
group: compat
指定/etc 文件和由这些文件中的+/- 项指定的NIS 映射。
注– 如果用户所使用的客户机由运行在NIS 兼容模式下的NIS+ 服务器提供服务，用户将
无法针对netgroup 表运行ypcat。如果运行，即使该表中有项，所得到的结果也与该表
为空时一样。
确保与+/- 语法兼容
44 系统管理指南：名称和目录服务（DNS、NIS 和LDAP） • 2006 年9 月
转换器文件和口令信息
可以将口令信息包括在多个系统信息库（如files 和nisplus）中并访问它们。可以使用
nsswitch.conf 文件来为这些信息设置查找顺序。
注意– files 必须是nsswitch.conf 文件中passwd 信息的第一个源。
在NIS+ 环境中，nsswitch.conf 文件中的passwd 行应当按以下顺序列出系统信息库：
passwd: files nisplus
在NIS 环境中，nsswitch.conf 文件中的passwd 行应当按以下顺序列出系统信息库：
passwd: files nis
提示– 首先列出files 可允许root 在大多数情况下（即使系统遇到某些网络问题或名称服务
问题）登录。
建议不要为同一个用户维护多个系统信息库。通过为每个用户在单个系统信息库中维护集
中的口令管理，可以减少发生混淆和错误的几率。如果要为每个用户维护多个系统信息
库，请使用passwd -r 命令来更新口令信息。
passwd -r repository
如果没有用-r 选项指定系统信息库，则passwd 会以相反的顺序更新列在nsswitch.conf 中
的系统信息库。
转换器文件和口令信息
第2 章• 名称服务转换器（概述） 45
46
DNS 设置和管理
本部分介绍Solaris OS 中BIND 9 DNS 名称服务的配置和管理。
第2 部分
47
48
DNS 设置与管理（参考）
Solaris 10 操作系统随附BIND 9.x DNS 名称服务器。本章提供与在Solaris 操作系统中使用
BIND 9 有关的配置和管理信息。常规的BIND 和DNS 信息可从许多其他来源获得，包括第
49 页中的“相关材料”中列出的来源。
本章包含以下主题：
 第49 页中的“相关材料”
 第50 页中的“从BIND 8 迁移到BIND 9”
 第51 页中的“DNS 和服务管理工具”
 第52 页中的“实现rndc”
 第54 页中的“BIND 9 命令、文件、工具和选项”
 第56 页中的“named.conf 选项”
相关材料
有关DNS 和BIND 管理的信息，请参见以下文档。
 /usr/share/doc/bind/migration.txt 中的BIND 9 迁移说明文档
 Internet Systems Consortium (ISC)Web 站点 中的BIND 9 管理员手册
 BIND 功能、已知错误和缺陷的列表以及到ISCWeb 站点 中的其他材料
的链接
 《DNS and Bind》，由Paul Albitz 和Cricket Liu 编著，（第4 版，O’Reilly 出版社，2001
年）
3第3 章
49
从BIND 8 迁移到BIND 9
BIND 9 可与大多数BIND 8 功能向上兼容。但是，在升级现有的BIND 8 安装以使用BIND 9
时，仍需了解许多注意事项。安装和使用BIND 9 之前，务必阅读整个迁移说明文档。迁移
说明位于/usr/share/doc/bind/migration.txt 中。而且，BIND 软件包名称已更改为
SUNWbind 和SUNWbindr。SUNWbindr 软件包包含DNS 服务器manifest。
以下列表列出了BIND 8 与BIND 9 之间区别的简短说明。迁移说明中提供了详细信息。
 配置文件兼容性
 关于未实现选项的警告消息
 transfer-format 选项已更改
 配置文件错误
 日志类别已更改
 通知消息和刷新查询已更改
 多个类已更改
 区域文件兼容性
 区域文件中TTL规则更严格
 SOA（面向服务的体系结构）序列号已更改
 引号不配对将引起错误
 换行符、语言更改
 在域名中使用\$ 代替$$
 新协议功能的互操作性影响
 BIND 9 中新增EDNS0
 区域传送缺省值已更改
 不受限的字符集
 对字符集没有任何限制
 安全问题，错误命名
 服务器管理工具
 rndc 程序取代了ndc
 nsupdate: 多个更新的方式已更改
 区域之间无信息泄漏
 以不同的方式处理粘附NS 记录
 未修改Umask
 可能的umask 权限问题
从BIND 8 迁移到BIND 9
50 系统管理指南：名称和目录服务（DNS、NIS 和LDAP） • 2006 年9 月
DNS 和服务管理工具
可以使用服务管理工具(Service Management Facility, SMF) 来管理DNS/BIND named 服务。有
关SMF 的概述，请参阅System Administration Guide: Basic Administration中的“Managing
Services (Overview)”。另请参阅svcadm(1M)、svcs(1) 和svccfg(1M) 手册页以获取更多详细
信息。还可以查看/var/svc/manifest/network/dns 中的DNS 服务器manifest server.xml。
 可以使用svcadm 命令对此服务执行启用、禁用或重新启动等管理操作。
提示– 使用-t 选项暂时禁用服务可为服务配置提供一些保护。如果禁用服务时使用了-t
选项，则在重新引导后将恢复服务的初始设置。如果禁用服务时未使用-t，则服务在重
新引导后仍将保持禁用状态。
 用于DNS 服务的故障管理资源标识符(Fault Managed Resource Identifier, FMRI) 是
svc:/network/dns/server: 和svc:/network/dns/client:。
 使用svcs 命令可以查询DNS 服务器和客户机的状态。
 svcs 命令和输出示例。
# svcs \*dns\*
STATE STIME FMRI
online Nov_16 svc:/network/dns/server:default
online Nov_16 svc:/network/dns/client:default
 svcs -l 命令和输出示例。
# svcs -l /network/dns/server
fmri svc:/network/dns/server:default
name Internet domain name server (DNS)
enabled true
state online
next_state none
restarter svc:/system/svc/restarter:default
contract_id 25
dependency require_all/none svc:/system/filesystem/minimal (online)
dependency require_all/none (online)

 

 

以上文章转自于 ： http://developers.sun.com.cn/