使用一個(gè)經(jīng)過(guò)驗(yàn)證的、可靠的、統(tǒng)一的目錄控制管理誰(shuí)能登陸到什么地方。認(rèn)證是一個(gè)判斷實(shí)體X是否可以訪問(wèn)資源Y的過(guò)程，判斷X的身份是認(rèn)證過(guò)程的工作，在計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境下的認(rèn)證任務(wù)之一就是定義和判斷哪個(gè)用戶可以訪問(wèn)網(wǎng)絡(luò)中哪臺(tái)計(jì)算機(jī)，一個(gè)簡(jiǎn)單的樣本就是/etc/passwd文件中的一行（如joe:X:1234:56:/home/joe:/bin/bash），它允許用戶joe訪問(wèn)這臺(tái)計(jì)算機(jī)。如果你想讓joe訪問(wèn)其他計(jì)算機(jī)，你就要將這行添加到其他計(jì)算機(jī)上的/etc/passwd文件中去。

在Linux上，趨向于給每個(gè)單獨(dú)的用戶創(chuàng)建一個(gè)本地賬號(hào)，允許他們登陸到該計(jì)算機(jī)。這很有代表性，因?yàn)橐粋€(gè)用戶不僅需要登陸權(quán)限，而且需要訪問(wèn)其他資源的權(quán)限，如一個(gè)home目錄，在每臺(tái)計(jì)算機(jī)上創(chuàng)建本地賬號(hào)時(shí)都要處理這些內(nèi)容。

使用本地賬號(hào)的問(wèn)題是這些賬號(hào)彼此不能保持一致。在不同的計(jì)算機(jī)上相同的用戶名具有不同的用戶ID和/或組ID，更麻煩的是在不同的計(jì)算機(jī)上兩個(gè)不同的賬號(hào)共享相同的用戶ID和組ID，用戶joe在計(jì)算機(jī)1上的用戶ID是1234，組ID是56，用戶jane在計(jì)算機(jī)2上有相同的用戶ID 1234和組ID 56。在使用共享資源時(shí)有巨大的安全風(fēng)險(xiǎn)。這兩個(gè)不同的賬號(hào)有同一個(gè)NFS服務(wù)器，因此這些用戶可以徹底摧毀其他人的文件。

解決這個(gè)不一致性問(wèn)題的方案是使用唯一一個(gè)集中的、校驗(yàn)的數(shù)據(jù)源，你所有的計(jì)算機(jī)通過(guò)訪問(wèn)集中數(shù)據(jù)源的方式來(lái)得到這種信息。 這正好是目錄服務(wù)所做的事情。兩種目錄服務(wù)大都用于集中校驗(yàn)數(shù)據(jù)。一種是網(wǎng)絡(luò)信息服務(wù)（NIS,以前被稱(chēng)作黃頁(yè)或簡(jiǎn)稱(chēng)yp）,一種是輕量級(jí)別目錄訪問(wèn)協(xié)議（LDAP）。

NIS對(duì)LDAP

當(dāng)決定使用哪個(gè)目錄服務(wù)（NIS還是LDAP？）時(shí)需要考慮幾個(gè)事情，如果你的公司已經(jīng)有一個(gè)LDAP服務(wù)器，看起來(lái)向它里面添加數(shù)據(jù)非常簡(jiǎn)單，通常啟用的LDAP服務(wù)器被用于白頁(yè)和類(lèi)似非常輕量級(jí)的任務(wù)，添加認(rèn)證任務(wù)就給LDAP服務(wù)器添加有效負(fù)載，因?yàn)闉槊恳粋€(gè)單獨(dú)的用戶名、UID、GID等進(jìn)行檢索時(shí)，程序需要一一解答，添加一臺(tái)額外的LDAP服務(wù)器專(zhuān)門(mén)用于認(rèn)證通常很有意義，同時(shí)，對(duì)于大量的不同種類(lèi)的目錄查詢，要獲得性能調(diào)整到良好的程度相當(dāng)艱難，你需要添加所有必須的LDAP索引定義到你的slapd.conf文件中，以提升常用查詢的性能，但是你不應(yīng)該添加太多的索引定義，這樣會(huì)使LDAP后端數(shù)據(jù)庫(kù)文件非常大，做任何事情都會(huì)再次變慢。

LDAP是那些有丟棄UDP數(shù)據(jù)包問(wèn)題的網(wǎng)絡(luò)的最佳選擇，因?yàn)樗褂肨CP/IP協(xié)議，中繼是被內(nèi)置在網(wǎng)絡(luò)協(xié)議層中的。相反，NIS使用基于UDP的遠(yuǎn)程過(guò)程調(diào)用（RPC）。每一個(gè)丟棄的數(shù)據(jù)包導(dǎo)致一個(gè)無(wú)回答的NIS查詢，NIS客戶端需要重復(fù)這些查詢，在你網(wǎng)絡(luò)上的不同機(jī)器不同時(shí)間使用netstat –s –u命令來(lái)查看你網(wǎng)絡(luò)遭受的這個(gè)問(wèn)題，通過(guò)這個(gè)命令，你應(yīng)該會(huì)看到非常少的錯(cuò)誤報(bào)告。

本文將詳細(xì)介紹NIS，因?yàn)樵诔霈F(xiàn)問(wèn)題時(shí)它更容易遷移到LDAP，PADL Software Pty公司提供了一套開(kāi)源的工具來(lái)幫助你完成從NIS數(shù)據(jù)文件到LDAP的轉(zhuǎn)換（看后面資源），你仍然需要做性能調(diào)整，但是，如果你想從LDAP遷移到NIS你得自己寫(xiě)遷移工具。