The Linux NIS(YP)/NYS/NIS+ HOWTOThorsten Kukuk v1.3, 1 July 2003 Questo documento descrive come configurare Linux quale client NIS(YP) o NIS+ e come installarlo quale server NIS. Traduzione italiana a cura di Fabio Zanotti (zendune@toglimi.virgilio.it) e revisione a cura di Michele Ferritto (m.ferritto@toglimi.virgilio.it). _________________________________________________________________ Sommario 1. Introduzione 1.1. Nuove versioni di questo documento 1.2. Liberatoria 1.3. Commenti e correzioni 1.4. Riconoscimenti 2. Glossario ed informazioni generali 2.1. Glossario dei Termini 2.2. Alcune informazioni generali 3. NIS, NYS o NIS+ ? 3.1. libc 4/5 con il NIS tradizionale o NYS ? 3.2. glibc 2 e NIS/NIS+ 3.3. NIS o NIS+ ? 4. Come funziona 4.1. Come funziona NIS 4.2. Come funziona NIS+ 5. Il Portmapper RPC 6. Di cosa si ha bisogno per impostare NIS? 6.1. Determinare se si è un Server, uno Slave o un Client. 6.2. Il Software 7. Impostazione del client NIS 7.1. Il demone ypbind 7.2. Impostare un client NIS utilizzando il NIS tradizionale 7.3. Impostare un client NIS utilizzando NYS 7.4. Impostare un Client NIS utilizzando glibc 2.x 7.5. Il file nsswitch.conf 7.6. Password Shadow con NIS 8. Di cosa si ha bisogno per impostare NIS+ ? 8.1. Il Software 8.2. Impostare un client NIS+ 8.3. NIS+, keylogin, login e PAM 8.4. Il file nsswitch.conf 9. Impostare un Server NIS 9.1. Il programma Server ypserv 9.2. Il programma server yps 9.3. Il programma rpc.ypxfrd 9.4. Il programma rpc.yppasswdd 10. Verifica dell'installazione di NIS/NYS 11. Creazione ed aggiornamento delle mappe NIS 11.1. Creazione di nuove mappe NIS 11.2. Aggiornamento delle mappe NIS 11.3. Lunghezza delle voci della mappa 12. Sopravvivere ad un riavvio 12.1. Script di Init NIS 12.2. Nome di Dominio NIS 12.3. Problemi di specifiche distribuzioni 13. Cambiare le password con rpasswd 13.1. Configurazione del server 13.2. Configurazione del Client 14. Problemi comuni ed elenco delle difficoltà di NIS 15. Domande Poste Frequentemente 1. Introduzione Sempre più macchine Linux sono installate come parti di una rete di computer. Al fine di semplificarne la gestione, molte reti (principalmente basate su Sun) utilizzano il Network Information Service. Le macchine Linux possono sfruttare al massimo il servizio NIS esistente o fornirlo esse stesse. Le macchine Linux possono agire anche come client NIS+ completi, ma questo supporto è in stadio beta. Questo documento tenta di rispondere alle domande riguardanti l'impostazione di NIS(YP) e NIS+ sulla vostra macchina Linux. Non si dimentichi di leggere la Sezione 5. Il NIS-Howto è scritto e mantenuto da Thorsten Kukuk, La principale fonte di informazioni per l'iniziale NIS-Howto è stata fornita da: Andrea Dell'Amico Mitchum DSouza Erwin Embsen Peter Eriksson che dovremmo ringraziare per aver scritto la prima versione di questo documento. _________________________________________________________________ 1.1. Nuove versioni di questo documento È possibile sempre vedere l'ultima versione di questo documento sul Word Wide Web tramite l'URL http://www.linux-nis.org/nis-howto/HOWTO/NIS-HOWTO.html. Nuove versioni di questo documento potranno pure essere archiviate in vari siti Linux WWW e FTP, inclusa la home page di LDP. I link alle traduzioni di questo documento potranno essere trovati a http://www.linux-nis.org/nis-howto/. _________________________________________________________________ 1.2. Liberatoria Sebbene questo documento possa riassumere il meglio della mia conoscenza è possibile, e probabile, che contenga errori. Per maggiori dettagli ed accurate informazioni, si leggano i file README che sono distribuiti con i vari software qui descritti. Cercherò di mantenere questo documento il più possibile libero da errori. _________________________________________________________________ 1.3. Commenti e correzioni Se si hanno domande o commenti inerenti questo documento, si inviino liberamente a Thorsten Kukuk, presso kukuk@linux-nis.org. Accetto qualsiasi suggerimento o critica. Se si individuano errori in questo documento, fatemelo sapere così che possa correggerli nella prossima versione. Grazie. Per cortesia non inviatemi domande inerenti problemi specifici con le vostre Distribuzioni Linux! Non conosco ogni Distribuzione Linux. Ma tenterò di aggiungere ogni soluzione inviatami. _________________________________________________________________ 1.4. Riconoscimenti Vogliamo ringraziare tutte le persone che hanno contribuito (direttamente o indirettamente) a questo documento. In ordine alfabetico: Byron A Jeff Markus Rex Miquel van Smoorenburg Dan York Christoffer Bromberg Theo de Raadt è responsabile per il codice originale dei client yp. Swen Thuemmler ha portato il codice dei client yp su Linux ed ha pure prodotto le routine yp in libc (basate ancora sul lavoro di Theo). Thorsten Kukuk ha scritto da zero le routine NIS(YP) and NIS+ per GNU libc 2.x. _________________________________________________________________ 2. Glossario ed informazioni generali 2.1. Glossario dei Termini In questo documento vengono usati molti acronimi. Qui ci sono i più importanti con una breve spiegazione: DBM DataBase Management, una libreria di funzioni che mantiene le coppie chiave-contenuto di una base di dati. DLL Dynamically Linked Library, una libreria collegata in fase di esecuzione ad un programma eseguibile. domainname Un nome "chiave" che è utilizzato dai client NIS al fine di localizzare il corretto server NIS che fornisce il servizio questo domainname chiave. Da notare che questo non ha necessariamente a che fare con il "dominio" DNS della macchina(e). FTP File Transfer Protocol, un protocollo utilizzato per il trasferimento di file tra due computer. libnsl Name services library, una libreria di chiamate al name service (getpwnam, getservbyname, etc...) sugli Unix SVR4. GNU libc la utilizza per le funzioni NIS (YP) e NIS+. libsocket Socket services library, una libreria per le chiamate a servizi socket (socket, bind, listen, etc...) sugli Unix SVR4. NIS Network Information Service, un servizio che fornisce informazioni che devono essere conosciute in ogni parte della rete, a tutte le macchine che vi prendono parte. Il supporto per il NIS è contenuto nella libreria standard libc di Linux, al quale, nel testo seguente, ci si riferisce come "NIS tradizionale". NIS+ Network Information Service (Plus :-), essenzialmente NIS con gli steroidi. NIS+ è stato progettato da Sun Microsystems Inc. come rimpiazzo per NIS con migliore sicurezza e migliore gestione di _grandi_ installazioni. NYS Questo è il nome del progetto e sta per NIS+, YP e Switch ed è gestito da Peter Eriksson . Tra le altre cose, contiene una completa reimplementazione del codice di NIS (= YP) che utilizza la funzionalità di Name Services Switch della libreria di NYS. NSS Name Service Switch. Il file /etc/nsswitch.conf determina in che ordine devono essere effettuare le ricerche quando un certo tipo di informazione viene richiesto. RPC Remote Procedure Call. Le routine RPC permettono a programmi in C di effettuare chiamate a procedure su altre macchine attraverso la rete. Quando si parla di RPC, il più delle volte si intende la variante SUN di RPC. YP Yellow Pages(tm), un marchio di fabbrica registrato nel Regno Unito dalla British Telecom plc. TCP-IP Transmission Control Protocol/Internet Protocol. È il protocollo di comunicazione dati più utilizzato sulle macchine Unix. _________________________________________________________________ 2.2. Alcune informazioni generali Le quattro righe successive sono citazioni tratte dal Manuale Sun(tm) di Amministrazione del sistema e della rete: "In passato, NIS era conosciuto come Sun Yellow Pages (YP) ma il nome Yellow Pages(tm) è un marchio registrato nel Regno Unito dalla British Telecom plc e non può essere utilizzato senza permesso." NIS sta per Network Information Service. Il suo scopo è di fornire informazioni, che devono essere conosciute in ogni parte della rete, a tutte le macchine che vi prendono parte. Le informazioni verosimilmente fornite da NIS sono: * nomi di login/passwords/directory home (/etc/passwd) * informationi sul gruppo (/etc/group) Se, per esempio, la propria password è registrata nel database passwd di NIS, sarà possibile accedere a tutte le macchine sulla rete che hanno in esecuzione i programmi client di NIS. Sun è un marchio registrato da Sun Microsystems Inc. in licenza a SunSoft, Inc. _________________________________________________________________ 3. NIS, NYS o NIS+ ? 3.1. libc 4/5 con il NIS tradizionale o NYS ? La scelta tra il "NIS tradizionale" o il codice di NIS nella libreria di NYS è una scelta tra pigrizia e maturità contro flessibilità ed amore per l'avventura. Il codice del "NIS tradizionale" è nella libreria standard C, è in giro da molto ed alcune volte soffre a causa della sua età e lieve inflesibilità. Il codice NIS nella libreria NYS richiede la ricompilazione della libreria libc per includere al suo interno il codice NYS (oppure si può ottenere una versione precompilata di libc da qualcuno che l'ha già fatto). Un'altra differenza è che il codice del NIS tradizionale ha qualche supporto per i Netgroup NIS, che il codice di NYS non possiede. D'altro canto il codice NYS permette la gestione delle Shadow Password in modo trasparente. Il codice "NIS tradizionale" non supporta le Shadow su NIS. _________________________________________________________________ 3.2. glibc 2 e NIS/NIS+ Si dimentichi tutto questo se si utilizza la nuova libreria 2.x GNU C (anche conosciuta come libc6). Essa ha un vero supporto a NSS (name switch service), che la rende molto flessibile e lo ha anche per le seguenti mappe: aliases, ethers, group, hosts, netgroups, networks, protocols, publickey, passwd, rpc, services e shadow. La libreria GNU C non ha problemi con le shadow password su NIS. _________________________________________________________________ 3.3. NIS o NIS+ ? La scelta tra NIS e NIS+ è facile - usare NIS+ solo se si ha bisogno di sicurezza rigorosa. NIS+ è molto più problematico da amministrare (è facile da gestire dal lato client, ma dal lato server è orribile). Un altro problema è che il supporto per NIS+ sotto Linux contiene un sacco di errori ed il suo sviluppo è stato interrotto. _________________________________________________________________ 4. Come funziona 4.1. Come funziona NIS All'interno di una rete ci deve essere almeno una macchina che funzioni come server NIS. È possibile avere più server NIS, ognuno serve differenti "domini" NIS - in alternativa è possibile avere dei server NIS che cooperano, dove uno è il server NIS master, e tutti gli altri sono chiamati server NIS slave (per un determinato "dominio" NIS, ovviamente!) - oppure è possibile avere un misto di questi... Solo i server slave hanno copie dei database NIS e ricevono queste copie dal server NIS master ogni qual volta vengano fatte modifiche al database master. In relazione al numero di macchine presenti in rete ed alla sua qualità, è possibile decidere di installare uno o più server slave. Ogni qual volta un server NIS si disattiva o è troppo lento per rispondere alle richieste, un client NIS connesso a quel server tenterà di trovarne uno attivo o più veloce. I database NIS sono in formato così chiamato DBM, derivato dal database ASCII. Per esempio, il file /etc/passwd e /etc/group possono essere direttamente convertiti in formato DBM utilizzando un software di traduzione da ASCII a DBM (makedbm, incluso con il software per il server ). Il server NIS master dovrebbe avere entrambe formati di database. I server slave verranno avvisati di ogni cambiamento alle mappe NIS (tramite il programma yppush) e recupereranno automaticamente i necessari cambiamenti al fine di sincronizzare i loro database. I client NIS non hanno bisogno di questo poiché sono continuamente in contatto con il server NIS al fine di leggere le informazioni immagazzinate nel suo database DBM. Le vecchie versioni di ypbind fanno un broadcast per trovare un server NIS in esecuzione. Questo non è un sistema sicuro, a causa del fatto che chiunque potebbe installare un server NIS e rispondere alle interrogazioni broadcast. Le versioni più recenti di ypbind (ypbind-3.3 or ypbind-mt) sono in grado di ottenere il server da un file di configurazione - in questo modo non è più necessario fare il broadcast. _________________________________________________________________ 4.2. Come funziona NIS+ NIS+ è una nuova versione del nameservice delle informazioni della rete fornito da Sun. La più grande differenza tra NIS e NIS+ è che NIS+ ha il supporto per la crittografia dei dati e l'autenticazione su RPC sicuro. Il modello di assegnazione dei nomi di NIS+ è basato su una struttura ad albero. Ogni nodo dell'albero corrisponde ad un oggetto di NIS+, del quale si hanno sei tipi: directory, entry, group, link, table e private. La directory NIS+ che forma la radice dello spazio dei nomi di NIS+ è chiamata directory radice. Vi sono due speciali directory NIS+: org_dir e groups_dir. La directory org_dir è composta da tutte le tabelle di amministrazione, come passwd, hosts e mail_aliases. La directory groups_dir è composta dal gruppo di oggetti di NIS+ utilizzati per il controllo degli accessi. L'insieme di org_dir, groups_dir e delle loro directory superiori fanno riferimento ad un dominio NIS+. _________________________________________________________________ 5. Il Portmapper RPC Per il funzionamento di qualsiasi software di seguito menzionato è necessario avere in esecuzione il programma /sbin/portmap. Alcune distribuzioni Linux hanno già inserito del codice nei file /sbin/init.d/ o /etc/rc.d/ affinché questo demone sia avviato. Tutto quello che c'è da fare è attivarlo e riavviare la macchina Linux. Si legga la documentazione della propria distribuzione Linux per sapere come fare. Il portmapper RPC (portmap(8)) è un server che converte i numeri del programma RPC in numeri di porta del protocollo TCP/IP (o UDP/IP). Deve essere in funzione al fine di eseguire chiamate RPC (che è quello che fa il software del client NIS/NIS+) ai server RPC (come un server NIS o NIS+) su quella macchina. Quando un server RPC è in esecuzione, comunica a portmap su quale numero di porta è in ascolto e quali numeri di programmi RPC è pronto a servire. Quando un client desidera fare una chiamata RPC ad un dato numero di programma, prima contatta portmap sulla macchina server al fine di determinare il numero della porta dove i pacchetti RPC potranno essere inviati. Affinché i server RPC possano essere avviati da inetd(8), portmap dovrà essere in esecuzione prima dell'avvio di inetd. Per il RPC sicuro, il portmapper necessita del servizio Time. Ci si assicuri che il servizio Time sia abilitato in /etc/inetd.conf su tutti gli hosts: # # Time service is used for clock syncronization. # time stream tcp nowait root internal time dgram udp wait root internal IMPORTANTE: Non si dimentichi di riavviare inetd dopo i cambiamenti al suo file di configurazione ! _________________________________________________________________ 6. Di cosa si ha bisogno per impostare NIS? 6.1. Determinare se si è un Server, uno Slave o un Client. Per rispondere a questa domanda, bisogna considerare due casi: 1. La macchina farà parte di una rete ove esistono server NIS 2. Non si ha ancora nessun server NIS in rete Nel primo caso, si ha la necessità dei programmi client (ypbind, ypwhich, ypcat, yppoll, ypmatch). Il programma più importante è ypbind. Questo programma deve essere sempre in esecuzione, il che significa che dovrà sempre apparire nella lista dei processi. Essendo un processo demone necessita di essere avviato dal file di avvio del sistema (es. /etc/init.d/nis, /sbin/init.d/ypclient, /etc/rc.d/init.d/ypbind, /etc/rc.local). Non appena ypbind sarà in esecuzione sul sistema, si diventerà un client NIS. Nel secondo caso, se non si ha un server NIS, allora si avrà bisogno anche di un programma di server NIS (solitamente chiamato ypserv). la Sezione 9 descrive come impostare un server NIS sulla vostra macchina Linux utilizzando il demone ypserv. _________________________________________________________________ 6.2. Il Software La libreria di sistema "/usr/lib/libc.a" (versione 4.4.2 e successive) o la libreria condivisa "/lib/libc.so.x" contengono tutte le chiamate di sistema per compilare con successo i programmi client e server NIS. Per la GNU C Library 2 (glibc 2.x), si ha bisogno pure di /lib/libnsl.so.1. Qualcuno ha riferito che NIS funzioni solo con "/usr/lib/libc.a" versione 4.5.21 e successive, così se si vuole andare sul sicuro non bisogna utilizzare le più vecchie libc. Il software per client NIS è possibile ottenerlo da: Sito Directory Nome del file ftp.kernel.org /pub/linux/utils/net/NIS yp-tools-2.8.tar.gz ftp.kernel.org /pub/linux/utils/net/NIS ypbind-mt-1.13.tar.gz ftp.kernel.org /pub/linux/utils/net/NIS ypbind-3.3.tar.gz ftp.kernel.org /pub/linux/utils/net/NIS ypbind-3.3-glibc5.diff .gz Una volta ottenuto il software, si prega di seguire le istruzioni fornite con lo stesso. yp-clients 2.2 sono per l'uso con libc4 e libc5 fino alla 5.4.20. libc5.4.21 e glibc 2.x necessitano di yp-tools 1.4.1 o successivi. I nuovi yp-tools 2.4 dovrebbero funzionare con ogni libreria libc di Linux. Poiché vi è un bug nel codice di NIS, non si dovrebbe utilizzare libc 5.4.21-5.4.35. Invece si usi libc 5.4.36 o successiva o la maggior parte dei programmi non funzionerà. ypbind 3.3 funzionerà pure lui con tutte le librerie. Se si usa gcc 2.8.x o successivo, egcs o glibc 2.x, si dovrebbe aggiungere a ypbind 3.3 la patch ypbind-3.3-glibc5.diff. Se possibile, si dovrà evitare l'uso di ypbind 3.3 per ragioni di sicurezza. ypbind-mt è un demone nuovo e multithread. Questi necessita del Kernel Linux 2.2 e di glibc 2.1 o successivo. _________________________________________________________________ 7. Impostazione del client NIS 7.1. Il demone ypbind Dopo aver compilato con successo il software, si è pronti ad installarlo. Un posto adatto per il demone ypbind è la directory /usr/sbin. Qualcuno potrebbe dirvi che non è necessario ypbind su un sistema con NYS. Questo è sbagliato, ypwhich e ypcatne ne necessitano sempre. Naturalmente si deve fare questo come root. Gli altri binari (ypwhich, ypcat, yppasswd, yppoll, ypmatch) dovrebbero essere messi in una directory accessibile a tutti gli utenti, normalmente /usr/bin. Le nuove versioni di ypbind hanno un file di configurazione chiamato /etc/yp.conf. Al suo interno, è possibile specificare un server NIS - per maggiori informazioni si veda la pagina del manuale per ypbind(8). È possibile utilizzare questo file per NYS. Un esempio: ypserver 10.10.0.1 ypserver 10.0.100.8 ypserver 10.3.1.1 Se il sistema può risolvere i nomi degli host senza NIS, potrete usare il nome, altrimenti bisogna utilizzare l'indirizzo IP. ypbind 3.3 ha un bug ed utilizzerà solamente l'ultima voce (nell'esempio ypserver 10.3.1.1). Tutte le altre voci sono ignorate. ypbind-mt gestisce correttamente questa cosa e ne utilizza uno, il primo che risponde. Può essere una buona idea provare ypbind prima di incorporarlo nel file di avvio. Per provare ypbind si faccia quanto segue: * Assicurarsi di aver impostato un nome di dominio-YP. Se non è stato fatto, utilizzate il comando: /bin/domainname nis.domain dove nis.domain _NON_ dovrebbe essere una stringa normalmente associata al nome di dominio-DNS della vostra macchina! La ragione è che sarà più duro per i cracker ottenere il database delle password dal vostro server NIS. Se non si conosce il nome del dominio NIS, chiedetelo al vostro amministratore di sistema/ rete. * Avviare "/sbin/portmap" se non è già in esecuzione. * Creare la diretory /var/yp se non esiste. * Avviare /usr/sbin/ypbind * Utilizzare il comando rpcinfo -p localhost per verificare se ypbind sia stato in grado di registrare i propri servizi tramite portmapper. L'output dovrebbe apparire in modo simile: program vers proto port 100000 2 tcp 111 portmapper 100000 2 udp 111 portmapper 100007 2 udp 637 ypbind 100007 2 tcp 639 ypbind o program vers proto port 100000 2 tcp 111 portmapper 100000 2 udp 111 portmapper 100007 2 udp 758 ypbind 100007 1 udp 758 ypbind 100007 2 tcp 761 ypbind 100007 1 tcp 761 ypbind In relazione alla versione di ypbind che si sta utilizzando. * Si potrebbe pure eseguire rpcinfo -u localhost ypbind. Questo comando dovrebbe produrre qualcosa di simile: program 100007 version 2 ready and waiting o program 100007 version 1 ready and waiting program 100007 version 2 ready and waiting L'output dipende dalla versione di ypbind installata. Importante è solo il messaggio "version 2". A questo punto si dovrebbe essere in grado di utilizzare i programmi per il client NIS come ypcat, ecc... Per esempio, ypcat passwd.byname vi restituirà l'intero database delle password NIS. IMPORTANTE: se si salta la procedura di test poi assicurarsi di avere impostato il nome di dominio e creato la directory /var/yp Questa directory DEVE esistere perché ypbind possa avviarsi con successo. Verificare se il domainname sia impostato correttamente, si usi /bin/ypdomainname di yp-tools 2.2. Questo utilizza la funzione yp_get_default_domain() che è più restrittiva. Non si permetta, per esempio, il domainname "(none)" che è predefinito sotto Linux e crea parecchi problemi. Se il test funziona, ora potrete cercare di sostituire i vostri file di avvio così che ypbind possa essere eseguito all'avvio ed il vostro sistema si comporti come un client NIS. Assicurarsi che il domainname sia impostato prima di avviare ypbind. Bene, questo è tutto. Riavviate la macchina ed osservate i messaggi di boot per vedere se ypbind sia effettivamente attivo. _________________________________________________________________ 7.2. Impostare un client NIS utilizzando il NIS tradizionale Per la ricerca degli host si deve impostare (o aggiungere) "nis" alla riga relativa all'ordine di ricerca nel vostro file /etc/host.conf. Per cortesia, si legga la manpage "resolv+.8" per maggiori dettagli. Aggiungere la seguente riga a /etc/passwd sui vostri client NIS: +:::::: Potrete pure utilizzare i caratteri + e - per includere/escludere o cambiare gli utenti. Se volete escludere l'utente guest, aggiungete semplicemente -guest al vostro file /etc/passwd. Volete usare una differente shell (p.e. ksh) per l'utente "linux" ? Nessun problema, semplicemente aggiungete "+linux::::::/bin/ksh" (senza gli apici) al vostro /etc/passwd. I campi che non volete sostituire lasciateli vuoti. Potete pure utilizzare Netgroups per il controllo dell'utente. Per esempio, per permettere l'accesso-login solo a miquels, dth e ed, e tutti i membri del netgroup sysadmin, pur mantenendo disponibili i dati di account di tutti gli altri utenti: +miquels::::::: +ed::::::: +dth::::::: +@sysadmins::::::: -ftp +:*::::::/etc/NoShell Da notare che in Linux è pure possibile ridefinire il campo password, come fatto in questo esempio. Si è pure rimosso il login "ftp", così non è più noto e l'ftp anonimo non funzionerà. Il netgroup potrebbe apparire come sysadmins (-,software,) (-,kukuk,) IMPORTANTE: La caratteristica di netgroup è stata implementata dalla libc 4.5.26. Se si possiede una versione di libc precedente alla 4.5.26, ogni utente presente nel database delle password di NIS può accedere alla vostra macchina Linux se esegue "ypbind"! _________________________________________________________________ 7.3. Impostare un client NIS utilizzando NYS Tutto ciò che è richiesto è che il file di configurazione NIS (/etc/yp.conf) punti al(ai) server(s) corretto(i) per le sue informazioni. Pure il file di configurazione del Name Services Switch (/etc/nsswitch.conf) deve essere correttamente impostato. Si dovrebbe installare ypbind. Non è richiesto dalle libc, ma è necessario per gli strumenti di NIS(YP). Se si vuole impiegare la caratteristica di includere/escludere per utente (+/-guest/+@admins), si deve utilizzare "passwd: compat" e "group: compat" in nsswitch.conf. Si noti che non c'è "shadow: compat"! In questo caso di deve usare "shadow: files nis". I sorgenti di NYS sono parte dei sorgenti di libc 5. Quando si esegue configure, la prima volta rispondere "NO" alla domanda "Values correct", poi "YES" alla "Build a NYS libc from nys". _________________________________________________________________ 7.4. Impostare un Client NIS utilizzando glibc 2.x Le glibc utilizzano il "NIS tradizionale", così è necessario eseguire ypbind. Il file di configurazione del Name Services Switch (/etc/nsswitch.conf) deve essere correttamente impostato. Se si utilizza la modalità compact per passwd, shadow o group, si deve aggiungere il "+" alla fine di questo file e si può usare la caratteristica per l'utente di includere/escludere. _________________________________________________________________ 7.5. Il file nsswitch.conf Il file del Network Services Switch /etc/nsswitch.conf determina l'ordine delle ricerche effettuate quando viene richiesta una certa informazione, proprio come il file /ets/host.conf che determina il modo in cui effettuare le ricerche degli host. Per esempio la riga: hosts: files nis dns specifica che le funzioni di ricerca degli host dovrebbero prima guardare nel file locale /etc/hosts, di seguito fare una ricerca NIS ed infine utilizzare il servizio dei nomi di dominio (/ets/resolv.conf e named). A quel punto, se nessuna corrispondenza è stata trovata, viene riportato un errore. Questo file deve essere leggibile da ogni utente! È possibile reperire ulteriori informazioni nelle pagine di man nsswitch.5 o nsswitch.conf.5. Un buon file /etc/nsswitch.conf per NIS è: # # /etc/nsswitch.conf # # Un esempio del file di configurazione del Name Service Switch. Il file # dovrebbe essere ordinato con i servizi più utilizzati all'inizio. # # La voce '[NOTFOUND=return]' indica che la ricerca di una voce dovrebbe # fermarsi se la ricerca nella voce precedente non ha restituito nulla. # Si noti che se la ricerca fallisce per altre ragioni (perché nessun # server NIS risponde) allora la ricerca continua con la nuova voce. # # Le voci ammesse sono: # # nisplus Usa NIS+ (NIS versione 3) # nis Usa NIS (NIS versione 2), chiamato pure YP # dns Usa DNS (Domain Name Service) # files Usa i file locali # db Usa i database /var/db # [NOTFOUND=return] La ricerca si ferma se nulla è stato trovato fi nora # passwd: compat group: compat # Con libc5, si deve usare shadow: files nis shadow: compat passwd_compat: nis group_compat: nis shadow_compat: nis hosts: nis files dns services: nis [NOTFOUND=return] files networks: nis [NOTFOUND=return] files protocols: nis [NOTFOUND=return] files rpc: nis [NOTFOUND=return] files ethers: nis [NOTFOUND=return] files netmasks: nis [NOTFOUND=return] files netgroup: nis bootparams: nis [NOTFOUND=return] files publickey: nis [NOTFOUND=return] files automount: files aliases: nis [NOTFOUND=return] files passwd_compat, group_compat e shadow_compat sono supportati solamente da glibc 2.x. Se non vi sono regola shadow in /etc/nsswitch.conf, glibc utilizzerà la regola passwd per le ricerche. Vi sono alcuni altri moduli di ricerca per glibc come hesoid. Per maggiori informazioni, si legga la documentazione di glibc. _________________________________________________________________ 7.6. Password Shadow con NIS Le password shadow su NIS sono sempre una cattiva idea. Si perde la sicurezza che shadow fornisce ed è supportato solo da poche librerie Linux C. Un buon modo di usufruire delle password shadow su NIS è di inserire solo gli utenti locali del sistema in /etc/shadow. Si rimuovano le voci degli utenti dal database di shadow e si rimettano le password in passwd. Così è possibile utilizzare shadow per l'accesso come root e di norma passwd per l'utente NIS. Questo ha il vantaggio che sarà possibile lavorare con ogni client NIS. _________________________________________________________________ 7.6.1. Linux La sola libc di Linux che supporta le password shadow su NIS è la GNU C Library 2.x. La libc5 di Linux non le supporta. La libc5 di Linux compilata con NYS attivato possiede un po' di codice per supportarle ma questo codice è in alcuni casi fortemente imperfetto e non lavora con tutte le voci shadow corrette. _________________________________________________________________ 7.6.2. Solaris Solaris non supporta le password shadow su NIS. _________________________________________________________________ 7.6.3. PAM Linux-PAM 0.75 e successivi non supportano le password shadow su NIS se utilizzate il modulo pam_unix.so o se installate il modulo extra pam_unix2.so. I vecchi sistemi che utilizzano pam_pwdb/libpwdb (per esempio Red Hat Linux 5.x) hanno bisogno di sostituire le voci di /etc/pam.d/*. Tutte le regole di pam_pwdb dovranno essere sostituite completamente da un modulo pam_unix_*. Un esempio di file /etc/pam.d/login appare come: #%PAM-1.0 auth requisite pam_unix2.so nullok #set_secrpc auth required pam_securetty.so auth required pam_nologin.so auth required pam_env.so auth required pam_mail.so account required pam_unix2.so password required pam_pwcheck.so nullok password required pam_unix2.so nullok use_first_pass use_autht ok session required pam_unix2.so none # debug or trace session required pam_limits.so _________________________________________________________________ 8. Di cosa si ha bisogno per impostare NIS+ ? 8.1. Il Software Il codice per client NIS+ per Linux è stato sviluppato per la GNU C library 2. Vi è pure un port per libc5 di Linux, in quanto nel passato la maggior parte delle applicazioni commerciali erano linkate con questa libreria e non è possibile ricompilarle per utilizzare glibc. Ci sono problemi con libc5 e NIS+: i programmi statici non possono essere collegati con questa libreria e programmi compilati con questa non lavoreranno con altre versioni di libc5. Come sistema base avete bisogno di una glibc basata su Distribuzioni come Debian, Red Hat Linux o Suse Linux. Se avete una distribuzione Linux che non ha glibc 2.1.1 o successive, dovete aggiornarla ad una nuova versione. Il software per il client NIS+ può essere reperito da: Sito Directory Nome File ftp.gnu.org /pub/gnu/glibc glibc-2.3.2.tar.gz, glibc-linuxthreads-2.3.2.tar.g z ftp.kernel.org /pub/linux/utils/net/NIS+ nis-utils-1.4.1.tar.gz Si dovrà dare pure un'occhiata a http://www.linux-nis.org/nisplus/ per maggiori informazioni e gli ultimi sorgenti. _________________________________________________________________ 8.2. Impostare un client NIS+ IMPORTANTE: per impostare un client NIS+ leggete i vostri documenti NIS+ di Solaris per sapere cosa fare dal lato server! Questo documento descrive solamente che cosa fare dal lato client. Dopo l'installazione della nuova libc e degli strumenti NIS, create le credenziali per il nuovo client sul server NIS+. Assicurarsi che portmap sia in esecuzione. Poi verificate che il vostro PC Linux abbia la stessa ora del server NIS+. Per RPC sicure avete solo una piccola finestra di circa 3 minuti nella quale le credenziali sono valide. Una buona idea è di lanciare xntpd su ogni host. Dopo questo, eseguite domainname nisplus.domain. nisinit -c -H per inizializzare il file d'avvio. Si legga la pagina man di nisinit per maggiori opzioni. Assicurarsi che domainname sia sempre impostato dopo il riavvio. Se non conoscete il nome del dominio NIS+ nella vostra rete, chiedete all'amministratore di sistema/rete. Ora dovrete sostituire il vostro file /etc/nsswitch.conf Assicuratevi che il solo servizio dopo publickey sia nisplus ("publickey: nisplus"), e null'altro! Poi avviate keyserv e assicuratevi che sia sempre attivo come primo demone dopo portmap all'accensione. Eseguite keylogin -r per immagazzinare la chiave segreta di root nel vostro sistema. (Spero abbiate aggiunto la chiave pubblica per il nuovo host sul server NIS+?). niscat passwd.org_dir dovrà mostrare ora tutte le voci nel database passwd. _________________________________________________________________ 8.3. NIS+, keylogin, login e PAM Quando un utente effettua il login, ha bisogno di impostare la sua chiave privata al keyserv. Questo viene fatto chiamando "keylogin". Il login del pacchetto shadow farà questo per l'utente, se è stato compilato con glibc 2.1. Per un login con PAM, si deve sostituire il file /etc/pam.d/login per utilizzare pam_unix2, non pwdb, che non supporta NIS+. Un esempio: #%PAM-1.0 auth required /lib/security/pam_securetty.so auth required /lib/security/pam_unix2.so set_secrpc auth required /lib/security/pam_nologin.so account required /lib/security/pam_unix2.so password required /lib/security/pam_unix2.so session required /lib/security/pam_unix2.so _________________________________________________________________ 8.4. Il file nsswitch.conf Il file Network Services Switch /etc/nsswitch.conf determina l'ordine di ricerca quando viene richiesto un certo tipo di informazione, proprio come il file /etc/host.conf che determina l'ordine delle ricerche degli host. Per esempio, la riga hosts: files nisplus dns specifica che le funzioni di ricerca degli host dovranno prima verificare nel file locale /etc/hosts, seguendo poi un lookup di NIS+ e finalmente attraverso il servizio di nomi di dominio (/etc/resolv.conf e named), a questo punto se nessuna corrispondenza è stata trovata, viene restituito un errore. Un buon file /etc/nsswitch.conf per NIS+ è: # # /etc/nsswitch.conf # # Un esempio del file di configurazione del Name Service Switch. Il file # dovrebbe essere ordinato con i servizi più utilizzati all'inizio. # # La voce '[NOTFOUND=return]' indica che la ricerca di una voce dovrebbe # fermarsi se la ricerca nella voce precedente non ha restituito nulla. # Si noti che se la ricerca fallisce per altre ragioni (perché nessun # server NIS risponde) allora la ricerca continua con la nuova voce. # # Le voci ammesse sono: # # nisplus Usa NIS+ (NIS versione 3) # nis Usa NIS (NIS versione 2), chiamato pure YP # dns Usa DNS (Domain Name Service) # files Usa i file locali # db Usa il database /var/db # [NOTFOUND=return] La ricerca si ferma se nulla è stato trovato fi nora # passwd: compat group: compat shadow: compat passwd_compat: nisplus group_compat: nisplus shadow_compat: nisplus hosts: nisplus files dns services: nisplus [NOTFOUND=return] files networks: nisplus [NOTFOUND=return] files protocols: nisplus [NOTFOUND=return] files rpc: nisplus [NOTFOUND=return] files ethers: nisplus [NOTFOUND=return] files netmasks: nisplus [NOTFOUND=return] files netgroup: nisplus bootparams: nisplus [NOTFOUND=return] files publickey: nisplus automount: files aliases: nisplus [NOTFOUND=return] files _________________________________________________________________ 9. Impostare un Server NIS 9.1. Il programma Server ypserv Questo documento descrive solamente come impostare il server NIS "ypserv". Il software per il server NIS può essere reperito su: Sito Directory Nome file ftp.kernel.org /pub/linux/utils/net/NIS ypserv-2.9.tar.gz ftp.kernel.org /pub/linux/utils/net/NIS ypserv-2.9.tar.bz2 È possibile dare un'occhiata a http://www.linux-nis.org/nis/ per maggiori informazioni. L'impostazione del server è la stessa sia per il NIS tradizionale che NYS. Si compili il software per generare i programmi ypserv e makedbm. Solo ypserv-2.x supporta il file securnets per le restrizioni degli accessi. Se eseguite il vostro server come master, verificate che i file richiesti siano disponibili tramite NIS e poi aggiungete o rimuovete le voci appropriate alle regole "all" in /var/yp/Makefile. Dovreste sempre osservare il Makefile ed editare le opzioni all'inizio del file. C'è stato un grande cambiamento tra ypserv 1.1 e ypserv 1.2. Dalla versione 1.2, la gestione del file è cached. Questo significa che si deve sempre eseguire makedbm con l'opzione -c se si vogliono creare nuove mappe. Assicurarsi di utilizzare il nuovo /var/yp/Makefile di ypserv 1.2 o successivo, oppure si agginga il flag -c a makedbm in Makefile. Se non lo si fa, ypserv continuerà ad utilizzare le vecchie mappe e non quelle aggiornate. Ora editate /var/yp/securenets e /etc/ypserv.conf. Per maggiori informazioni, leggete le pagine del manuale di ypserv(8) e ypserv.conf(5). Assicirarsi che portmapper (portmap(8)) sia in esecuzione esi avvii il server ypserv. Il comando % rpcinfo -u localhost ypserv dovrà restituirvi qualcosa come program 100004 version 1 ready and waiting program 100004 version 2 ready and waiting La linea "version 1" potrebbe non esserci, dipende dalla versione di ypserv e dalla configurazione in uso. È necessaria solo se si hanno vecchi client SunOS 4.x. Ora si generi il nuovo database NIS (YP). Sul master, eseguite % /usr/lib/yp/ypinit -m Su uno slave assicurarsi che ypwhich -m lavori. Questo significa che il vostro slave deve essere configurato come client NIS prima di poter eseguire % /usr/lib/yp/ypinit -s masterhost per installare l'host come slave NIS. Questo è tutto, il server è impostato ed in esecuzione. Se si hanno grossi problemi, si può avviare ypserv e ypbind in modalità debug su differenti xterms. L'output di debug dovrebbe mostrare cosa fa di sbagliato. Se si deve aggiornare una mappa, eseguire make nella directory /var/yp sul master NIS. Questo aggiornerà una mappa se il file sorgente è più nuovo ed invierà i file ai server slave. Per cortesia, non si utilizzi ypinit per aggiornare una mappa. Si potrebbe editare il crontab di root sul server slave ed aggiungere le seguenti righe: 20 * * * * /usr/lib/yp/ypxfr_1perhour 40 6 * * * /usr/lib/yp/ypxfr_1perday 55 6,18 * * * /usr/lib/yp/ypxfr_2perday Questo assicurerà che la maggior parte delle mappe NIS saranno mantenute aggiornate, anche se un aggiornamento è stato perso perché lo slave era disattivo al momento degli aggiornamenti fatti sul master. Dopo, si può aggiungere uno slave in ogni momento. Prima, assicurarsi che il nuovo server slave abbia i permessi per contattare il master NIS. Poi si esegua % /usr/lib/yp/ypinit -s masterhost sul nuovo slave. Sul server master si aggiunga il nome del nuovo server slave a /var/yp/ypservers e si esegua make in /var/yp per aggiornare la mappa. Se si vuole ridurre l'accesso agli utenti sul server NIS, si dovrà impostare il server NIS come un client eseguendo ypbind ed aggiungendo le voci + a /etc/passwd a metà del file delle password. Le funzioni di libreria ignoreranno tutte le voci normali dopo la prima voce NIS ed otterranno il resto delle informazioni direttamente da NIS. In questo modo le regole di accesso a NIS verranno mantenute. Un esempio: root:x:0:0:root:/root:/bin/bash daemon:*:1:1:daemon:/usr/sbin: bin:*:2:2:bin:/bin: sys:*:3:3:sys:/dev: sync:*:4:100:sync:/bin:/bin/sync games:*:5:100:games:/usr/games: man:*:6:100:man:/var/catman: lp:*:7:7:lp:/var/spool/lpd: mail:*:8:8:mail:/var/spool/mail: news:*:9:9:news:/var/spool/news: uucp:*:10:50:uucp:/var/spool/uucp: nobody:*:65534:65534:noone at all,,,,:/dev/null: +miquels:::::: +:*:::::/etc/NoShell [ All normal users AFTER this line! ] tester:*:299:10:Just a test account:/tmp: miquels:1234567890123:101:10:Miquel van Smoorenburg:/home/miquels:/bin/zsh Quindi l'utente "tester" esisterà ma avrà la shell di /etc/NoShell. miquels avrà un normale accesso. Alternativamente, potrete editare il file /var/yp/Makefile ed impostare NIS per utilizzare un'altro file sorgente delle password. Su grandi sistemi i file delle password e gruppi NIS sono normalmente archiviati in /etc/yp/. Se si fa questo, i normali strumenti per amministrare il file delle password come passwd, chfn, adduser non funzioneranno più e si avrà bisogno di speciali strumenti fatti su misura per queste operazioni. In ogni caso, yppasswd, ypchsh e ypchfn lavoreranno comunque. _________________________________________________________________ 9.2. Il programma server yps Per impostare il server NIS "yps" riferirsi al precedente paragrafo. L'impostazione del server "yps" è simile ma non esattamente uguale, così si faccia attenzione se si tenta di applicare le istruzioni di "ypserv" a "yps"! "yps" non è supportato da alcun autore e contiene alcune falle nella sicurezza. Veramente non sarebbe da utilizzare! Il server NIS "yps" può essere reperito su: Sito Directory Nome File ftp.lysator.liu.se /pub/NYS/servers yps-0.21.tar.gz ftp.kernel.org /pub/linux/utils/net/NIS yps-0.21.tar.gz _________________________________________________________________ 9.3. Il programma rpc.ypxfrd rpc.ypxfrd è utilizzato per velocizzare il trasferimento di mappe NIS molto grandi da un server NIS master ai server slave. Se un server NIS slave riceve un messaggio che c'è una nuova mappa, avvierà ypxfr per il trasferimento della nuova mappa. ypxfr leggerà i contenuti della mappa dal server master utilizzando la funzione yp_all(). Questo processo può impiegare diversi minuti in presenza di mappe molto grandi che devono essere salvate dalla libreria. Il server rpc.ypxfrd velocizza il processo di trasferimento permettendo ai server NIS slave di copiare semplicemente il file della mappa del server master anziché costruire le proprie da zero. rpc.ypxfrd utilizza un protocollo di trasferimento dei file basato su RPC, così che non vi sia necessità di costruire una nuova mappa. rpc.ypxfrd può essere avviato da inetd. Ma poiché si avvia molto lentamente, dovrebbe essere avviato da ypserv. È necessario avviare rpc.ypxfrd solo sul server NIS master. _________________________________________________________________ 9.4. Il programma rpc.yppasswdd Ogni qual volta gli utenti cambiano la loro password, il database NIS delle password e probabilmente gli altri database NIS, che dipendono da questo, dovrebbero essere aggiornati. Il programma "rpc.yppasswdd" è un server che gestisce le password cambiate e si assicura che che l'informazione NIS sia aggiornata di conseguenza. Ora rpc.yppasswdd è integrato in ypserv. Non avrete bisogno del vecchio, distinto yppasswd-0.9.tar.gz o yppasswd-0.10.tar.gz, e non dovrebbero essere utilizzati ancora a lungo. Si deve eseguire rpc.yppasswdd solo su server NIS master. Per valore predefinito, gli utenti non sono autorizzati a cambiare il loro nome completo o la shell di login. È possibile permetterlo con l'opzione -e chfn o -e chsh. Se i file passwd e shadow non sono nella directory /etc, si deve aggiungere l'opzione -D. Per esempio, se si mettono tutti i file sorgenti in /etc/yp e si vuole che gli utenti cambino la loro shell, si deve avviare rpc.yppasswdd con i seguenti parametri: rpc.yppasswdd -D /etc/yp -e chsh o rpc.yppasswdd -s /etc/yp/shadow -p /etc/yp/passwd -e chsh Non c'è molto altro da fare. Ci si deve solo assicurare che rpc.yppasswdd utilizzi gli stessi file di /var/yp/Makefile. Gli errori verranno riportati mediante syslog. _________________________________________________________________ 10. Verifica dell'installazione di NIS/NYS Se ogni cosa è a posto (come dovrebbe essere), c'è la possibilità di > verificare l'installazione con pochi e semplici comandi. Si assuma, per esempio, che il file passwd sia gestito da NIS, il comando % ypcat passwd dovrebbe restituire i contenuti del file passwd di NIS. Il comando % ypmatch userid passwd (dove userid è il nome di login di un utente arbitrario) dovrebbe restituire la voce dell'utente nel file passwd di NIS. I programmi "ypcat" e "ypmatch" dovrebbero essere inclusi con la distribuzione del NIS tradizionale o del NYS. Se un utente non riesce a fare il login, eseguire il seguente programma da un client: #include #include #include int main(int argc, char *argv[]) { struct passwd *pwd; if(argc != 2) { fprintf(stderr,"Usage: getwpnam username\n"); exit(1); } pwd=getpwnam(argv[1]); if(pwd != NULL) { printf("name.....: [%s]\n",pwd->pw_name); printf("password.: [%s]\n",pwd->pw_passwd); printf("user id..: [%d]\n", pwd->pw_uid); printf("group id.: [%d]\n",pwd->pw_gid); printf("gecos....: [%s]\n",pwd->pw_gecos); printf("directory: [%s]\n",pwd->pw_dir); printf("shell....: [%s]\n",pwd->pw_shell); } else fprintf(stderr,"User \"%s\" not found!\n",argv[1]); exit(0); } Eseguendo il programma con il nome dell'utente (username) come parametro, stamperà tutte le informazioni che la funzione getpwnam restituisce per questo utente. Questo dovrebbe mostrare quale voce non è corretta. Il problema più comune è che il campo della password è stato sovrascritto con un "*". GNU C Library 2.1 (glibc 2.1) contiene uno strumento chiamato getent. Si usi questo programma invece di quello sopra in un sistema di questo tipo. Si può provare: getent passwd o getent passwd login _________________________________________________________________ 11. Creazione ed aggiornamento delle mappe NIS 11.1. Creazione di nuove mappe NIS Le mappe NIS iniziali verranno create eseguendo % /usr/lib/yp/ypinit -m Questo viene fatto quando si imposta il server NIS master per la prima volta. Per maggiori informazioni inerenti questa operazione, leggere la Sezione 9. Se si desidera aggiungere nuove mappe al server o rimuoverne alcune, è necessario editare /var/yp/Makefile e cambiare la regola all:. Aggiungere o rimuovere la regola che genera la mappa. Se si cancella una mappa, si devono rimuovere anche i file corrispondenti. Dopo questo cambiamento, si deve eseguire % make -C /var/yp e le mappe dovrebbero essere create. _________________________________________________________________ 11.2. Aggiornamento delle mappe NIS Se si modificano i sorgenti per le mappe NIS (per esempio se si crea un nuovo utente aggiungendo l'account al file passwd), è necessario rigenerare le mappe NIS. Questo viene fatto con un semplice % make -C /var/yp Questo comando verificherà quali sorgenti sono stati cambiati, crea le nuove mappe ed avvisa ypserv che le mappe sono state sostituite. _________________________________________________________________ 11.3. Lunghezza delle voci della mappa La lunghezza di una voce è limitata a 1024 caratteri dal protocollo NIS. Non è possibile incrementare semplicemente questo valore e ricompilare il sistema. Ogni sistema che usa NIS v2 attende chiavi e dati non più lunghi in dimensione di 1024 byte; se improvvisamente si aumenta il valore di YPMAXRECORD sul client e sul server, si interromperà l'interoperatività con altri sistemi che utilizzano NIS sulla rete. Per lavorare correttamente, si dovrebbe andare da ogni venditore che supporta NIS ed ottenere da loro di fare tutti i cambiamenti allo stesso tempo. Possibilità che non si può avere. Con glibc 2.1 e successivi questo limite è stato rimosso dall'implementazione di glibc NIS. In questo modo è possibile, sotto Linux, utilizzare voci più lunghe ma solo se non ci sono altri client o server NIS nella rete. Per permettere la creazione di mappe NIS con una voce più lunga, si deve aggiungere l'opzione --no-limit-check alla chiamata a makedbm in /var/yp/Makefile. Il risultato dovrebbe apparire come: DBLOAD = $(YPBINDIR)/makedbm -c -m `$(YPBINDIR)/yphelper --hostname` --no-limit -check ATTENZIONE: questo interrompe il protocollo NIS e anche se Linux lo supporta, non tutte le applicazioni eseguibili sotto Linux lavorano con questa variazione! C'è un'altro modo per risolvere questo problema per le voci di /etc/group. L'idea è di Ken Cameron: 1. Interrompere la voce in più di una linea e dare un nome ad ogni gruppo lievemente differente. 2. assegnare lo stesso GID per tutte. 3. avere la prima voce con il giusto nome di gruppo e GID. Non inserire nessun nome utente in questa. Succede che partendo dal nome dell'utente, si recupererà il GID quando il codice lo legge. Poi partendo in altro modo, si ferma dopo la prima corrispondenza di GID e ne ottiene il nome. È brutto ma funziona! _________________________________________________________________ 12. Sopravvivere ad un riavvio Una volta che si è configurato correttamente NIS sul server e sui client, bisogna essere sicuri che la configurazione sopravviverà al riavvio. Vi sono due questioni separate da verificare: l'esistenza di uno script di init e la corretta archiviazione del nome di dominio NIS. _________________________________________________________________ 12.1. Script di Init NIS Nella vostra versione di Linux, è necessario controllare la directory degli script di init, solitamente /etc/init.d, /etc/rc.d/init.d o /sbin/init.d per essere sicuri che ci sia uno script di startup per NIS. Solitamente questo file è chiamato ypbind o ypclient. _________________________________________________________________ 12.2. Nome di Dominio NIS Probabilmente il più grande problema che alcune persone hanno con NIS è assicurare che il nome di dominio NIS sia disponibile dopo un riavvio. Secondo Solaris 2.x, il nome di dominio NIS potrebbe essere inserito come una linea singola in: /etc/defaultdomain Comunque, la maggior parte delle distribuzioni Linux sembra non utilizzino questo file. _________________________________________________________________ 12.3. Problemi di specifiche distribuzioni A questo punto, l'informazione seguente è sapere come le varie distribuzioni Linux gestiscono l'archiviazione del nome di dominio NIS. _________________________________________________________________ 12.3.1. Caldera 2.x Caldera utilizza il file /etc/nis.conf che ha lo stesso formato del normale /etc/yp.conf. _________________________________________________________________ 12.3.2. Debian Debian sembra seguire l'uso di Sun di /etc/defaultdomain. _________________________________________________________________ 12.3.3. Red Hat Linux 6.x, 7.x, 8.x e 9 Si crei o modifichi la variabile NISDOMAIN nel file /etc/sysconfig/network. _________________________________________________________________ 12.3.4. SuSE Linux 6.x e 7.x Si modifichi la variabile YP_DOMAINNAME in /etc/rc.config e poi si esegua il comando SuSEconfig. _________________________________________________________________ 12.3.5. SuSE Linux 8.x e successivi Dalla versione 8.0 anche SuSE Linux segue l'uso di Sun di /etc/defaultdomain. _________________________________________________________________ 13. Cambiare le password con rpasswd Il modo standard per cambiare una password NIS è invocare yppasswd, su alcuni sistemi questo è solo un alias per passwd. Questo comando usa il protocollo yppasswd e necessita dell'esecuzione di un processo rpc.yppasswdd sul server NIS master. Il protocollo ha lo svantaggio che la vecchia password verrà trasmessa in chiaro attraverso la rete. Questo non è problematico, se la sostituzione della password avviene con successo. In questo caso, la vecchia password viene sostituita con una nuova. Ma se il cambiamento della password fallisce, un attaccante può utilizzare la password in chiaro per effettuare il login come questo utente. Ancora più pericoloso: se l'amministratore di sistema sostituisce la password NIS di un altro utente, la password di root del server NIS master è trasferita in chiaro sulla rete. E questo non verrà cambiato. Una soluzione è non utilizzare yppasswd per sostituire la password. Invece, una buona alternativa è il comando rpasswd dal pacchetto pwdutils. Sito Directory Nome File ftp.kernel.org /pub/linux/utils/net/NIS pwdutils-2.3.tar.gz ftp.suse.com /pub/people/kukuk/pam/pam_pwcheck pam_pwcheck-2.2.tar.bz2 ftp.suse.com /pub/people/kukuk/pam/pam_unix2 pam_unix2-1.16.tar.bz2 rpasswdcambia le password per gli account degli utenti su un server remoto tramite una connessione sicura SSL. Un utente normale può cambiare solo la password del proprio account, se l'utente conosce la password per l'account dell'amministratore (al momento questa è la password di root sul server), egli può sostituire la password per ogni account se invoca rpasswd con l'opzione -a. _________________________________________________________________ 13.1. Configurazione del server Per il server si necessita innanzitutto del certificato, il nome del file predefinito per questo è /etc/rpasswdd.pem. Il file può essere creato con il seguente comando: openssl req -new -x509 -nodes -days 730 -out /etc/rpasswdd.pem -keyout /etc/rpa sswdd.pem È necessario anche un file di configurazione di PAM per rpasswdd . Se gli account NIS sono archiviati in /etc/passwd, la seguente è un buon punto di partenza per un configurazione di lavoro: #%PAM-1.0 auth required pam_unix2.so account required pam_unix2.so password required pam_pwcheck.so password required pam_unix2.so use_first_pass use_authtok password required pam_make.so /var/yp session required pam_unix2.so Se i sorgenti per le mappe delle password di NIS sono archiviati in un'altra posizione (per esempio in /etc/yp), l'opzione nisdir di pam_unix2 può essere usata per trovare i file sorgenti in altri luoghi: #%PAM-1.0 auth required pam_unix2.so account required pam_unix2.so password required pam_pwcheck.so nisdir=/etc/yp password required pam_unix2.so nisdir=/etc/yp use_first_pass use_autht ok password required pam_make.so /var/yp session required pam_unix2.so Ora si avvii il demone rpasswdd sul server master NIS. Poiché il cambio della password viene fatto con moduli PAM, rpasswdd è pure in grado di permettere i cambiamenti delle password per NIS+, LDAP o altri servizi supportati da un modulo di PAM. _________________________________________________________________ 13.2. Configurazione del Client Su ogni client è necessario solo il file di configurazione /etc/rpasswd.conf che contiene il nome del server. Se il server non parte sulla porta predefinita, la porta corrente può pure essere menzionata qui: # rpasswdd eseguito su master.example.com server master.example.com # La porta 774 è la porta predefinita port 774 _________________________________________________________________ 14. Problemi comuni ed elenco delle difficoltà di NIS Ci sono alcuni problemi comuni riportati da vari utenti: 1. Le librerie per 4.5.19 sono danneggiate. NIS non funziona con queste. 2. Se si aggiornano le librerie dalla 4.5.19 alla 4.5.24 poi il comando su smette di funzionare. È necessario ottenerlo dalla distribuzione slackware 1.2.0. A proposito, è dove si può ottenere le librerie aggiornate. 3. Quando un server NIS si disattiva e viene riattivato, ypbind parte lamentandosi con un messaggio simile: yp_match: clnt_call: RPC: Unable to receive; errno = Connection refused e i login sono rifiutati a quanti sono registrati nel database di NIS. Si provi il login come root, si uccida il processo ypbind ed lo si riavvii. Può essere d'aiuto un aggiornamento a ypbind 3.3 o superiore. 4. Dopo l'aggiornamento di libc ad una versione successiva alla 5.4.20, gli strumenti di YP non funzioneranno molto a lungo. Si ha bisogno di yp-tools 1.2 o successivi per libc >= 5.4.21 e glibc 2.x. Per la versione precedente di libc si ha bisogno di yp-clients 2.2. yp-tools 2.x dovrebbe funzionare con tutte le librerie. 5. In libc 5.4.21 - 5.4.35 yp_maplist si blocca, si ha bisogno della 5.4.36 o successiva, o alcuni programmi YP come ypwhich andranno in segfault. 6. libc5 con NIS tradizionale non supporta le password shadow su NIS. Si ha bisogno di libc5 + NYS o glibc 2.x. 7. ypcat shadow non mostra la mappa shadow. Questo è corretto, il nome della mappa shadow è shadow.byname, non shadow. 8. Solaris non sempre usa porte privilegiate. Così non si utilizzi la password rovinata se si possiede un client Solaris. _________________________________________________________________ 15. Domande Poste Frequentemente Molte delle vostre domande dovrebbero avere avuto una risposta ora. Se vi sono altre domande che non ne hanno trovata una, potete cercare di inviare un messaggio a comp.os.linux.networking