迁移网络信息服务 (NIS) 域时的最佳做法
-
执行实际迁移之前,请仔细查看 UNIX 标识管理帮助中的“清单:将 NIS 映射迁移到 Active Directory 域服务”。
-
在启动向导之前,决定要迁移的域应保持独立的域,还是应与 NIS 服务器上的其他域合并。
-
如果分别迁移映射,应先迁移 passwd 映射,然后再迁移 group 或 shadow 映射,这样可以确保正确地存储 UNIX 密码。
-
在启动向导之前,确保您了解非标准映射的结构,尤其应了解字段分隔符、key 字段、文件名和映射名。非标准映射只使用一个关键字进行访问。
-
先使用 NIS 数据迁移向导中默认的“不迁移(只记录)”选项,以便 NIS 服务器测试所有迁移步骤,但是不实际迁移数据。分析日志文件并决定希望如何处理发生的映射冲突之后,再次运行向导,并选中“迁移并记录”选项。
-
检查日志之后,先纠正所有问题,然后再迁移数据。如果 Windows 域和 NIS 域中存在相同的用户名,确定重复的用户名是否代表同一个用户。如果不是,则更改其中一个用户的用户名。如果用户名指的是同一个用户,确定 UNIX 属性是否相同。如果不是,确定哪个是正确的。然后,可以保留 Active Directory 域服务 (AD DS) 中的现有条目,也可以使用 UNIX 映射中的信息覆盖现有条目。
-
如果在实际迁移期间报告冲突,但是在测试迁移期间未报告任何冲突,可能是 NIS 映射内部存在冲突。在选中了“只记录”选项的情况下运行向导时,将只报告 NIS 映射与 AD DS 之间的冲突,而不报告 NIS 映射内部的冲突。如果在实际迁移期间发生冲突,则在 NIS 映射中解决冲突,然后使用命令行 nis2ad –r yes 选项迁移未迁移的 NIS 数据。
保持从属服务器最新
如果 NIS 域处于活动状态(即,经常对域进行更改),应增加 NIS 服务器检查更改的频率。这样可以确保在主服务器上登记了更改后,快速更新基于 UNIX 的从属服务器。还可以在“UNIX 标识管理”管理单元中的“操作”窗格中,使用“立即检查更新”命令,立即更新从属服务器。
不要将 NIS 域迁移到多个 Active Directory 域
尽管可以将 NIS 域迁移到多个基于 Windows 的域中运行“NIS 服务器”的计算机,但是强烈建议不要这样做,因为在一个基于 Windows 的域中进行的更改不会复制到其他域。
建议用户不要使用 yppasswd 更改 NIS 密码
用户应通过更改其 Windows 密码来更改其 NIS 密码。NIS 服务器更改 NIS 密码来进行匹配。
NIS 服务器不完全支持 UNIX 系统上可用的 yppasswd 实用程序。用户运行 yppasswd 时,NIS 服务器更改 NIS passwd 映射中的用户密码。但是,由于 yppasswd 在将新密码发送到 NIS 主服务器之前会对其进行加密,所以,NIS 服务器无法获取纯文本密码来设置用户的 Windows 密码。这样,用户的 Windows 密码和 UNIX 密码将不再相同。此外,由于 yppasswd 以纯文本形式传输弃用的密码,所以会带来安全风险。由于用户的旧密码也可能是用户当前的 Windows 密码,所以,这样可能会将用户的 Windows 密码透露给网络上未经授权的用户。
使用“密码同步”可以为用户提供一种使用 yppasswd 命令更改 NIS 密码的方法。有关详细信息,请参阅 UNIX 标识管理帮助中的“与 NIS 域同步密码”。