Aby odpowiedzieć na to pytanie musisz rozważyć dwa przypadki:
W pierwszym przypadku potrzebujesz tylko programów klienta (ypbind,
ypwhich, ypcat, yppoll, ypmatch). Najważniejszym programem jest
ypbind. Program ten musi być uruchomiony przez cały czas, to
znaczy powinien zawsze pojawiać się w liście procesów. Jest to
proces-demon i musi być startowany z plików startowych
systemu (np. /etc/init.d/nis, /sbin/init.d/ypclient, /etc/rc.local,
/etc/rc.d/init.d/ypbind).
Jak tylko ypbind jest uruchomiony, twój komputer staje się
klientem NIS.
W drugim przypadku, jeśli nie masz serwerów NIS, to będziesz także
potrzebował programu serwera NIS (zwykle zwanego ypserv). Sekcja
Konfiguracja serwera NIS
opisuje jak ustawić serwer NIS na twojej maszynie Linux-owej przy
pomocy implementacji "ypserv" Petera Erikssona i
Thorstena Kukuka.
Zauważ, że od wersji 0.14 implementacja ta obsługuje koncept
master-slave omówiony w sekcji 4.1.
Jest jeszcze jeden darmowy serwer NIS, zwany "yps", napisany przez Tobiasa Rebera w Niemczech, który obsługuje koncept master-slave, ale ma inne ograniczenia i nie jest wspierany od długiego czasu.
Biblioteka systemowa "/usr/lib/libc.a" (wersja 4.4.2 i nowsza) czy biblioteka dzielona "/lib/libc.so.x" zawierają wszystkie odwołania systemowe niezbędne do skompilowania oprogramowania klienta i serwera NIS. Do biblioteki glibc 2.x, potrzebujesz także biblioteki /lib/libnsl.so.1.
Niektórzy podawali, że NIS działa tylko z "/usr/lib/libc.a" w wersji 4.5.21 i nowszej, więc jeśli chcesz być zabezpieczony, to nie używaj starszych bibliotek. Oprogramowanie klienckie NIS można znaleźć w:
Adres Katalog Nazwa Pliku
ftp.kernel.org /pub/linux/utils/net/NIS yp-tools-2.2.tar.gz
ftp.kernel.org /pub/linux/utils/net/NIS ypbind-mt-1.4.tar.gz
ftp.kernel.org /pub/linux/utils/net/NIS ypbind-3.3.tar.gz
ftp.kernel.org /pub/linux/utils/net/NIS ypbind-3.3-glibc5.diff.gz
ftp.uni-paderborn.de /linux/local/yp yp-clients-2.2.tar.gz
ftp.icm.edu.pl /pub/Linux/sunsite/system/network/admin yp-clients-2.2.tar.gz
[Od tłumacza: Jeśli jesteś w Polsce, to użyj raczej tego ostatniego adresu.]
Jak już masz oprogramowanie, postępuj zgodnie z instrukcjami przychodzącymi wraz z nim. yp-clients 2.2 nadaje się do użytku z libc4 i libc5 aż do 5.4.20. libc 5.4.21 i glibc 2.x potrzebują yp-tools 1.4.1 lub nowsze. Nowe yp-tools 2.0 będą działąć z każdą biblioteką libc dla Linux-a. Ponieważ był pewien błąd w kodzie NIS-a nie powinieneś używać libc 5.4.21-35. W zamian użyj 5.4.36 lub nowszej, inaczej większość programów YP nie będzie działała. ypbind 3.3 będzie działać także ze wszystkimi bibliotekami. Jeśli używasz gcc 2.8.x lub nowszej wersji, egcs lub glibc 2.x, to powinieneś nałożyć łatę ypbind-3.3-glibc5.diff na ypbind 3.3. Nie powinieneś nigdy używać ypbind z yp-clients 2.2. ypbind-mt jest nowym, wielowątkowym demonem; do działania potrzebuje jądra w wersji 2.2 i glibc 2.1 lub nowszej.
Zakładając, że udało ci się skompilować oprogramowanie jesteś gotowy do zainstalowania go. Odpowiednim miejscem dla demona ypbind będzie /usr/sbin. Niektórzy mogą ci mówić, że nie potrzebujesz ypbind w systemie z NYS. Jest to błędne, gdyż ypwhich i ypcat potrzebują go.
Będziesz to oczywiście musiał zrobić jako root. Inne programy (ypwhich, ypcat, yppoll, ypmatch) powinny znaleźć się w katalogu dostępnym dla wszystkich użytkowników, zwykle /usr/bin.
Nowsze wersje ypbind posiadają plik konfiguracyjny - /etc/yp.conf. Możesz
tam na stałe wpisać serwer NIS - więcej informacji w
podręczniku systemowym - man ypbind(8).
Potrzebujesz tego pliku także do NYS. Przykład:
ypserver voyager
ypserver defiant
ypserver ds9
Jeśli system może rozwinąć nazwę bez NIS, to mógłbyś użyć tej nazwy. W przeciwnym wypadku musisz użyć adresu IP. W ypbind 3.3 jest błąd; tylko ostatni adres zostanie użyty (ds9 w tym przykładzie). Wszystkie pozostałe pozycje zostaną zignorowane. ypbind-mt obsłuży to poprawnie i użyje tego, który odpowiedział pierwszy.
Dobrym pomysłem będzie przetestowanie ypbind przed wprowadzeniem go do plików startowych. Aby to zrobić postępuj tak:
/bin/domainname domena.nis
domena.nis powinno być jakimś łańcuchem zwykle _NIE_
związanym z DNS-em twojej maszyny! Powodem tego jest, to że
zewnętrznym włamywaczom jest wtedy trochę trudniej zdobyć bazę
danych z hasłami z twojego serwera NIS. Jeśli nie wiesz jaka jest
nazwa domeny NIS w twojej sieci, to zapytaj swojego administratora.
program vers proto port
100000 2 tcp 111 portmapper
100000 2 udp 111 portmapper
100007 2 udp 637 ypbind
100007 2 tcp 639 ypbind
program vers proto port
100000 2 tcp 111 portmapper
100000 2 udp 111 portmapper
100007 2 udp 758 ypbind
100007 1 udp 758 ypbind
100007 2 tcp 761 ypbind
100007 1 tcp 761 ypbind
program 100007 version 2 ready and waiting
program 100007 version 1 ready and waiting
program 100007 version 2 ready and waiting
W tym momencie powinieneś móc używać programów klienckich NIS takich jak ypcat itp... Na przykład "ypcat passwd.byname" poda ci całą bazę danych NIS z hasłami.
WAŻNE: Jeśli pominąłeś test, to upewnij się, że ustawiłeś nazwę domeny i stworzyłeś katalog
/var/yp
Ten katalog MUSI istnieć, aby ypbind poprawnie się uruchomił.
Aby sprawdzić czy nazwa domeny została ustawiona poprawnie użyj programu /bin/ypdomainname z pakietu yp-tools 2.2. Używa on funkcji yp_get_default_domain(), która jest bardziej restrykcyjna. na przykład nie pozwala na domenę "(none)", która jest domyślną w Linux-ie. i stwarza wiele kłopotów.
Jeśli test się powiódł możesz teraż zmodyfikować pliki w skryptach startowych twojego systemu, tak żeby ypbind startował podczas startu systemu. Upewnij się, że nazwa domeny zostanie ustawiona zanim wystartujesz ypbind.
Cóż, to wszystko. Zresetuj komputer i obserwuj komunikaty podczas startu, żeby zobaczyć czy ypbind właściwie wystartował.
Do sprawdzania nazw musisz ustawić (albo dodać) "nis", do linii kolejności sprawdzania w pliku /etc/host.conf. Przeczytaj stronę podręcznika systemowego "resolv+.8", aby dowiedzieć się więcej szczegółów.
Na maszynach klienckich dodaj następującą linię w /etc/passwd:
+::::::
Możesz także użyć znaczków +/-, aby włączyć/wyłączyć lub zmienić użytkowników. Jeśli chcesz wyłączyć użytkownika guest dodaj -guest do swojego pliku /etc/passwd. Chcesz użyć innej powłoki (np. ksh) dla użytkownika "linux"? Nie ma problemu, po prostu dodaj do swojego /etc/passwd "+linux::::::/bin/ksh" (bez cudzysłowiów). Pola, których nie chcesz zmieniać muszą pozostać puste. Mógłbyś także użyć Netgroups do kontroli użytkowników.
Na przykład, aby pozwolić tylko miquels, dth, ed i wszystkim członkom grupy sieciowej sysadmin na login, ale żeby dane o kontach wszystkich innych użytkowników były dostępne użyj:
+miquels:::::::
+ed:::::::
+dth:::::::
+@sysadmins:::::::
-ftp
+:*::::::/etc/NoShell
Zauważ, że na Linuksie możesz także zmienić pole z hasłem, jak to zrobiliśmy w tym przykładzie. Usunęliśmy także login "ftp", tak więc nie jest on już znany i anonimowe ftp nie będzie działać.
Netgroup wyglądałoby tak:
sysadmins (-,software,) (-,kukuk,)
WAŻNE: Cecha netgroup jest zaimplementowana począwszy od libc 4.5.26. Jeśli masz wersję biblioteki wcześniejszą niż 4.5.26, każdy użytkownik w bazie danych z hasłami ma dostęp do twojego Linux-a jeśli masz uruchomiony "ypbind".
Wszystko co jest potrzebne, to to, żeby plik konfiguracyjny (/etc/yp.conf) wskazywał na poprawn-y/e serwer(y). Także plik konfiguracyjny Name Service Switch (/etc/nsswitch.conf) musi być poprawnie ustawiony.
Powinieneś zainstalować ypbind. Nie jest on potrzebny dla libc, ale narzędzia NIS(YP) go potrzebują.
Jeśli chcesz używać cechy włączania/wyłączania użytkownika (+/-guest/+@admins), musisz użyć "passwd: compat" i "group: compat" w pliku nsswitch.conf. W tym przypadku musisz użyć "shadow: files nis"
Źródła NYS są częścią źródeł libc 5. Kiedy uruchamiasz configure, za pierwszym razem odpowiedz "NO" na pytanie "Values correct", potem odpowiedz "YES", na "Build a NYS libc from nys".
Glibc używa "tradycyjnego NIS", tak więc musisz uruchomić ypbind. Plik konfiguracyjny Name Service Switch (/etc/nsswitch.conf) musi być poprawnie ustawiony. Jeśli używasz trybu kompatybilnego z passwd, shadow czy group, musisz dodać "+" na końcu tego pliku, i możesz używać cechy włączania/wyłączania użytkownika. Konfiguracja jest dokładnie taka sama jak pod Solaris-em 2.x.
Plik /etc/nsswitch.conf określa kolejność w jakiej odbywa się sprawdzanie kiedy pojawi się żądanie pewnej informacji, tak samo jak plik /etc/host.conf, który określa kolejność sprawdzania adresów hostów. Na przykład linia:
hosts: files nis dns
określa, że funkcje sprawdzania adresów hostów powinny najpierw szukać w lokalnym pliku /etc/hosts, potem w bazie NIS i na końcu w DNS-ie (/etc/resolv.conf i named), gdzie jeśli nie znaleziono odpowiedzi pojawia się błąd. Ten plik musi być czytelny dla każdego użytkownika. Więcej informacji znajdziesz na stronie podręcznika systemowego nsswicth.5 lub nsswitch.conf.5.
Poprawny plik /etc/nsswitch.conf dla NIS:
#
# /etc/nsswitch.conf
#
# An example Name Service Switch config file. This file should be
# sorted with the most-used services at the beginning.
#
# Pozycja '[NOTFOUND=return]' oznacza, że poszukiwania powinny
# zakończyć się, jeśli poszukiwania w poprzedniej pozycji nic nie
# dały. Zauważ, że jeśli poszukiwania nie powiodły się z
# jakichś innych powodów (jak nie odpowiadający serwer NIS), to
# poszukiwania są kontynuowane z następną pozycją.
#
# Poprawne pozycje to:
#
# nisplus Use NIS+ (NIS version 3)
# nis Use NIS (NIS version 2), also called YP
# dns Use DNS (Domain Name Service)
# files Use the local files
# db Use the /var/db databases
# [NOTFOUND=return] Stop searching if not found so far
#
passwd: compat
group: compat
# Jeśli masz libc5 musisz użyć shadow: files nis
shadow: compat
passwd_compat: nis
group_compat: nis
shadow_compat: nis
hosts: nis files dns
services: nis [NOTFOUND=return] files
networks: nis [NOTFOUND=return] files
protocols: nis [NOTFOUND=return] files
rpc: nis [NOTFOUND=return] files
ethers: nis [NOTFOUND=return] files
netmasks: nis [NOTFOUND=return] files
netgroup: nis
bootparams: nis [NOTFOUND=return] files
publickey: nis [NOTFOUND=return] files
automount: files
aliases: nis [NOTFOUND=return] files
passwd_compat, group_compat i shadow_compat są obsługiwane tylko przez glibc 2.x. Jeśli nie ma zasad (rules) shadow w /etc/nsswitch.conf, glibc użyje zasady (rule) passwd do sprawdzenia. Jest więcej modułów szukania dla glibc jak hesoid. Więcej informacji znajdziesz w dokumentacji glibc.
Shadow passwords przez NIS to zawsze zły pomysł. Straciłeś ochronę, którą daje shadow passwords i tylko niewiele bibliotek C ma obsługę takiej kombinacji. Dobrym pomysłem na uniknięcie przesyłania shadow paswords przez NIS jest umieścić tylko użytkowników lokalnego systemu do pliku /etc/shadow. Usuń pozycje dotyczące użytkowników NIS z bazy shadow i umieść hasło spowrotem w passwd. Tak że możesz używać shadow dla logowania się jako root i normalnych haseł dla użytkowników NIS. Ma to tę zaletę, że będzie to działało z każdym klientem NIS.
Jedyną biblioteką jaka obsługuja kombinację Shadow passwords prze NIS jest libc 2.x. Libc5 nie potrafi tego obsłużyć. Libc5 skompilowana z obsługą NYS posiada trochę kodu na ten temat. Jednak kod ten jest miernej wartości i nie działa poprawnie z wszystkimi pozycjami shadow.
Solaris nie obsługuje takiej kombinacji w ogóle.
PAM nie obsługuje Shadow Passwords przez NIS,a szczególnie pam_pwdb/libpwdb. Jest to poważny problem dla użytkowników RedHat 5.x. Jeśli masz glibc i PAM, to musisz zmienić pozycje w plikach /etc/pam.d/*. Zamień wszystkie zasady dotyczące pam_pwdb na moduły pam_unix_*. Z powodu błędu w module pam_unix_auth.so nie będzie on zawsze działał.
Przykładowy plik /etc/pam.d/login może wyglądać tak:
#%PAM-1.0
auth required /lib/security/pam_securetty.so
auth required /lib/security/pam_unix_auth.so
auth required /lib/security/pam_nologin.so
account required /lib/security/pam_unix_acct.so
password required /lib/security/pam_unix_passwd.so
session required /lib/security/pam_unix_session.so
Do autoryzacji potrzbujesz modułu pam_unix_auth.so, do kont pam_unix_acct.so, do haseł pam_unix_passwd.so a do sesji pam_unix_session.so.