使用nsswitch有什么缺点？

Question

在我当前的LDAP设置中，"getent“显示了LDAP中存在的所有600+用户，而不只是枚举具有访问此netgroup/服务器权限的20个LDAP用户。

这可以通过compat模式来解决，以过滤用户：

nsswitch.conf
passwd: files compat
passwd_compat: ldap

in passwd file, add +@netgroup.

我想知道，使用这种nsswitch模式的缺点是什么？

Answer 1

很多东西都会假设您使用的是NIS (由于几个原因造成的坏)，这就是compat的真正含义(您可以使用NIS语法，如+@netgroup等)。我假设您实际上不是在这些框上使用YP，而是手动创建相关文件(或者使用木偶或其他什么的)。在这种情况下，我没有看到一个主要的缺点，只是一个额外的配置，你将需要密切关注的可亲和性(没有双关有意)。您可以通过在ldap.conf中设置一个过滤器来获得相同的结果，该过滤器应该更前向兼容。

与+/-语法(compat模式) Linux libc5的交互没有名称服务开关，但确实允许用户进行一些策略控制。在/etc/passwd中，可以有表单+ user或+@netgroup (从NIS映射中包含指定用户)、-user或-@netgroup (不包括指定用户)和+(从NIS映射中包含每个用户，排除排除的用户)。由于大多数人只将+放在/etc/passwd的末尾，以便包含来自NIS的所有内容，因此该开关为这种情况提供了更快的选择(passwd: files nis') which doesn't require the single + entry in /etc/passwd, /etc/group, and /etc/shadow. If this is not sufficient, the NSS compat‘service提供了完整的+/-语义)。默认情况下，源是nis', but this may be overriden by specifying nisplus‘作为伪数据库passwd_compat、group_compat和shadow_compat的源。这个伪数据库只能在GNU C库中使用.