Avanti Indietro Indice

6. Cos'è necessario fare per mettere su un NIS?

6.1 Determinare se si è un Server, uno Slave o un Client.

Per rispondere a questa domanda si debbono considerare due casi:

  1. La propria macchina sta per diventare parte di una rete dove esiste già un server NIS
  2. Non si ha ancora nessun server NIS nella propria rete

Nel primo caso, si ha bisogno solo dei programmi client (ypbind, ypwhich, ypcat, yppoll, ypmatch). Il programma più importante è ypbind. Questo programma dev'essere sempre in esecuzione, ovvero deve sempre apparire nella lista dei processi. È un cosiddetto processo demone e deve essere avviato nei file di avvio del sistema (eg. /etc/init.d/nis, /sbin/init.d/ypclient, /etc/rc.d/init.d/ypbind, /etc/rc.local). Prima si ha ypbind in esecuzione, prima la propria macchina diventa un cliente NIS.

Nel secondo caso, se non si ha un server NIS, allora si avrà bisogno anche del programma NIS per il server (solitamente chiamato ypserv). La sezione Configurare un Server NIS descrive come mettere su un server NIS nella propria macchina Linux usando l'implementazione di "ypserv" di Peter Eriksson e Thorsten Kukuk. Si noti che a partire dalla versione 0.14 questa implementazione supporta il concetto di master-slave di cui si è parlato nella sezione 4.1.

Esiste un altro server NIS libero, chiamato "yps", scritto da Tobias Reber in Germania che supporta il concetto di master-slave, ma ha altre limitazioni oltre ad non essere più supportato da molto tempo.

6.2 Il Software

La libreria di sistema "/usr/lib/libc.a" (versione 4.4.2 e superiore) o la libreria condivisa "/lib/libc.so.x" contengono tutte le system call necessarie per portare a buon fine la compilazione del software NIS per client e server. Con la GNU C Library 2 (glibc 2.x) serve anche /lib/libnsl.so.1.

Alcuni hanno riportato che NIS funziona solo con una versione di "/usr/lib/libc.a" 4.5.21 o superiore, e quindi se si vuole andare sul sicuro non si usino libc più vecchie. Il software per un client NIS può essere ottenuto da:

  Sito                  Directory                        Nome File

  ftp.kernel.org        /pub/linux/utils/net/NIS         yp-tools-2.2.tar.gz
  ftp.kernel.org        /pub/linux/utils/net/NIS         ypbind-mt-1.4.tar.gz
  ftp.kernel.org        /pub/linux/utils/net/NIS         ypbind-3.3.tar.gz
  ftp.kernel.org        /pub/linux/utils/net/NIS         ypbind-3.3-glibc5.diff.gz
  ftp.uni-paderborn.de  /linux/local/yp                  yp-clients-2.2.tar.gz

Una volta scaricato il software, si seguano le istruzioni distribuite con quest'ultimo. yp-clients 2.2 è per l'uso con libc4 e libc5 fino alla versione 5.4.20. libc 5.4.21 e glibc 2.x hanno bisogno di yp-tools 1.4.1 o successivi. I nuovi yp-tools 2.2 dovrebbero funzionare con qualsiasi libc per Linux. Poiché ci sono alcuni bug nel codice NIS, non si dovrebbe usare la libc 5.4.21-5.4.35. Si usi Invece la libc 5.4.36 o successiva, o la maggior parte dei programmi YP non funzionerà. ypbind 3.3 funzionerà anche lui con tutte le librerie. Se si usa gcc 2.8.x o successivo, egcs o glibc 2.x, si deve aggiungere la patch ypbind-3.3-glibc5.diff a ypbind-3-3. Non si dovrebbe mai usare ypbind distribuito assieme a yp-clients 2.2. ypbind-mt è un nuovo demone multithread che ha bisogno di un kernel Linux 2.2 e di glibc 2.1 o successiva.

6.3 Il demone ypbind

Dopo aver compilato con successo il software si è pronti per installarlo. Un posto adatto per il demone ypbind è la directory /usr/sbin. Alcuni potrebbero affermare che non è necessario ypbind su un sistema con NYS. Questo è sbagliato, in quanto ypwhich e ypcat ne hanno bisogno.

Ovviamente si deve fare tutto come root. Gli altri binari (ypwhich, ypcat, yppoll, ypmatch) dovrebbero andare in una directory accessibile a tutti gli utenti, solitamente /usr/bin.

I più recenti ypbind hanno un file di configurazione chiamato /etc/yp.conf. È possibile specificare al suo interno un server NIS. Per maggiori informazioni si veda la pagina di manuale di ypbind(8). Questo file è necessario anche per NYS. Un esempio:

  ypserver voyager
  ypserver defiant
  ypserver ds9

Se il sistema può risolvere il nome degli host senza NIS, si può usare il nome, altrimenti bisogna usare l'indirizzo IP. ypbind 3.3 ha un baco ed userà solo l'ultima voce (ypserver ds9 nell'esempio). Tutte le altre voci sono ignorate. ypbind-mt gestisce correttamente questa cosa e usa il server che prima risponde.

Può essere una buona idea testare ypbind prima di incorporarlo nei file d'avvio. Per testare ypbind si faccia quanto segue:

A questo punto si dovrebbe essere in grado di usare i programmi client NIS come ypcat, ecc... Per esempio, "ypcat passwd.byname" dovrebbe restituire l'intera base di dati NIS delle password.

IMPORTANTE: Se si è saltata la procedura di test allora ci si assicuri di aver impostato il nome di dominio e di aver creato la directory

    /var/yp

Questa directory DEVE esistere affinché ypbind si avvii con successo.

Per controllare se il nome di dominio è impostato correttamente, si usi /bin/ypdomainname degli yp-tools 2.2. Questo usa la funzione yp_get_default_domain(), che è più restrittiva. Per esempio non permette il nome di dominio "(none)", che è quello predefinito sotto Linux e che crea un sacco di problemi.

Se il test funziona ora si possono modificare i file di avvio in modo che ypbind sia avviato al boot del sistema e che quest'ultimo funzioni come client NIS. Ci si assicuri che il nome di dominio sia impostato prima di avviare ypbind.

Bene, è tutto. Si riavvii la macchina e si controllino i messaggi di boot per vedere se ypbind è realmente avviato.

6.4 Mettere su un Client NIS usando il NIS Tradizionale

Per la ricerca degli host si deve impostare (o aggiungere) "nis" alla riga relativa all'ordine di ricerca nel proprio file /etc/host.conf. Si invita a leggere la pagina man di "resolv+.8" per ulteriori dettagli.

Aggiungere le seguenti righe al proprio file /etc/passwd dei propri client NIS:

+::::::

Si possono usare anche i caratteri + e - per includere/escludere o modificare utenti. Se si vuole escludere l'utente guest semplicemente si aggiunga -guest nel proprio file /etc/passwd. Si vuole usare una shell diversa (e.g. ksh) per l'utente "linux"? Nessun problema, si aggiunga semplicemente "+linux::::::/bin/ksh" (senza le virgolette) al proprio /etc/passwd. I campi che non si vogliono modificare dovrebbero essere lasciati vuoti. Si possono anche usare i Netgroups ("gruppi di rete") per il controllo degli utenti.

Per esempio, per permette l'accesso di login a miquels, dth e ed, e a tutti i membri del netgroup sysadmin, pur mantenendo disponibili i dati di account di tutti gli altri utenti:

      +miquels:::::::
      +ed:::::::
      +dth:::::::
      +@sysadmins:::::::
      -ftp
      +:*::::::/etc/NoShell

Si noti che in Linux si può anche ridefinire il campo password, come si è fatto in questo esempio. Si è rimossa la login "ftp", cosicché non sia più nota e non funzioni più l'ftp anonimo.

Il netgroup potrebbe essere qualcosa del tipo

sysadmins (-,software,) (-,kukuk,)

IMPORTANTE: La funzionalità dei netgroup è implementata a partire da libc 4.5.26. Se si ha una versione di libc precedente, qualsiasi utente nella base di dati NIS delle password può accedere alla macchina linux se è in esecuzione "ypbind"!

6.5 Mettere su un Client NIS usando NYS

Tutto ciò che serve è che il file di configurazione di NIS (/etc/yp.conf) punti al/i server corretto/i per le sue informazioni. Inoltre deve essere correttamente impostato il file di configurazione del Name Services Switch (/etc/nsswitch.conf).

Si dovrebbe installare ypbind. Non è richiesto dalla libc, ma i tool NIS(YP) ne hanno bisogno.

Se si vuole usare la funzionalità di inclusione/esclusione utenti (+/-guest/+@admins), si deve usare "passwd: compat" e "group: compat" in nsswitch.conf. Notare che non c'è un "shadow: compat"! Si deve usare "shadow: files nis" in questo caso.

I sorgenti di NYS fanno parte dei sorgenti della libc 5. Quando si lancia configure, rispondere "NO" la prima volta che appare la domanda "Value correct", e poi rispondere "YES" a "Build a NYS libc from nys".

6.6 Mettere su un Client NIS usando glibc 2.x

La glibc usa il "NIS tradizionale", così si deve avviare ypbind. Il file di configurazione del Name Services Switch (/etc/nsswitch.conf) deve essere correttamente impostato. Se si usa la modalità compat per passwd, shadow o group, si deve aggiungere il "+" alla fine di questi file, e si può usare la funzionalità di inclusione/esclusione utenti. La configurazione è esattamente identica a quella che si fa sotto Solaris 2.x.

6.7 Il File nsswitch.conf

Il file del Network Services Switch /etc/nsswitch.conf determina l'ordine delle ricerche ("lookup") effettuate quando è richiesta una data informazione, proprio come il file /etc/host.conf determina il modo con il quale sono effettuate le ricerche degli host. Per esempio, la riga:

    hosts: files nis dns

specifica che le funzioni di ricerca degli host dovrebbero prima guardare nel file /etc/hosts locale, poi effettuare un lookup NIS e alla fine una vera richiesta al domain name service (/etc/resolv.conf e named), e a quel punto, se non viene trovata alcuna corrispondenza, viene restituito un errore. Questo file deve essere leggibile per qualsiasi utente! Si possono trovare maggiori informazioni nelle pagine man nsswitch.5 e nsswitch.conf.5.

Un buon /etc/nsswitch.conf per NIS è:

#
# /etc/nsswitch.conf
#
# Un esempio di file di configurazione del Name Service Switch.
# Questo file dovrebbe essere ordinato in modo che i servizi più
# comuni siano all'inizio.
#
# La voce '[NOTFOUND=return]' indica che la ricerca di una voce
# dovrebbe fermarsi se la ricerca nella voce precedente non ha
# restituito niente.  Si noti che se la ricerca fallisce per qualche
# altra ragione (come la mancata risposta del server NIS) allora la
# ricerca continua con la voce successiva.
#
# Le voci ammesse sono:
#
#       nisplus         Usa NIS+ (NIS versione 3)
#       nis             Usa NIS (NIS versione 2), detto anche YP
#       dns             Usa DNS (Domain Name Service)
#       files           Usa file locali
#       db              Usa la base di dati /var/db
#       [NOTFOUND=return]   Ferma la ricerca se prima non è stato
#                       trovato niente
#

passwd:     compat
group:      compat
# Con libc5 si deve usare shadow: files nis
shadow:     compat

passwd_compat: nis
group_compat: nis
shadow_compat: nis

hosts:      nis files dns

services:   nis [NOTFOUND=return] files
networks:   nis [NOTFOUND=return] files
protocols:  nis [NOTFOUND=return] files
rpc:        nis [NOTFOUND=return] files
ethers:     nis [NOTFOUND=return] files
netmasks:   nis [NOTFOUND=return] files
netgroup:   nis
bootparams: nis [NOTFOUND=return] files
publickey:  nis [NOTFOUND=return] files
automount:  files
aliases:    nis [NOTFOUND=return] files

passwd_compat, group_compat e shadow_compat sono supportate solo da glibc 2.x. Se non ci sono regole shadow nel file /etc/nsswitch.conf, glibc userà le regole passwd per le ricerche. Ci sono alcuni altri moduli di ricerca per glibc, come hesoid. Per maggiori informazioni si legga la documentazione di glibc.

6.8 Le Password Shadow con NIS

Le password shadow su NIS sono sempre una cattiva idea. Si perde la sicurezza che shadow dà e sono supportate solo da poche librerie C per Linux. Un buon modo per evitare le shadow password su NIS è di mettere solo gli utenti locali del sistema in /etc/shadow. Si rimuovano le voci degli utenti NIS dal database shadow e si rimettano le password in passwd. In questo modo si può usare shadow per il login di root e le password normali per gli utenti NIS. Questo ha il vantaggio che funzionerà con qualsiasi client NIS.

Linux

La sola libc per Linux che supporta le password shadow con NIS è la GNU C Library 2.x. La libc5 per Linux non ha questo supporto. La libc5 per Linux non ha il supporto per questa cosa. La libc5 per Linux compilata con il NYS abilitato ha un po' di supporto. Ma tale supporto è gravemente bacato e in qualche caso non funziona con tutte le corrette voci shadow.

Solaris

Solaris non supporta le password shadow con NIS.

PAM

PAM non supporta le password shadow con NIS, in particolare pam_pwdb/libpwdb non lo fa. Questo è un grosso problema per gli utenti di RedHat 5.x. Se si ha glibc e PAM, è necessario modificare le voci in /etc/pam.d/*. Si rimpiazzino tutte le regole pam_pwdb attraverso i moduli pam_auth_unix_*. A causa di un baco nel modulo pam_unix_auth.so module questa cosa non funzionerà sempre.

Un esempio di file /etc/pam.d/login è questo:

#%PAM-1.0
auth       required    /lib/security/pam_securetty.so
auth       required    /lib/security/pam_unix_auth.so
auth       required    /lib/security/pam_nologin.so
account    required    /lib/security/pam_unix_acct.so
password   required    /lib/security/pam_unix_passwd.so
session    required    /lib/security/pam_unix_session.so

Per "auth" è necessario usare il modulo pam_unix_auth.so, per "account" il modulo pam_unix_acct.so, per "password" il modulo pam_unix_passwd.so e per "session" il modulo pam_unix_session.so.


Avanti Indietro Indice