安装和配置 NIS+

在中央位置安全管理客户端访问

减轻系统管理任务并使用网络信息服务扩充版本(Network Information Service plus,NIS+),以便快速处理信息的维护和安全问题。NIS+ 是在客户机-服务器模式上工作的网络范围命名和管理服务。服务器在中央数据库维护用户和客户机的所有详细信息。在本文中,将详细说明如何安装、配置和管理 NIS+。

Ashish Nainwal (nainwal@in.ibm.com), 系统管理员, IBM

Ashish Nainwal 是 IBM India Systems and Technology Lab 的一名 AIX 安全支持专家。在从事 AIX 工作的两年中,他一直是 AIX 安全方面的焦点人物之一。Ashish 还参与各种 System p™ 管理活动,对客户有丰富的工作经验。您可以通过 anainwal@in.ibm.com 与他联系。



2007 年 9 月 27 日

引言

网络信息服务扩充版本 (NIS+) 是用于网络命名和管理的服务,可扩展由网络信息服务 (NIS) 提供的服务。NIS+ 在客户机-服务模式下工作,它在中央位置存储信息,并允许客户机通过网络访问它。称为 NIS+ 命名空间 的此中央位置可以存储信息(如安全详细信息、工作站地址和邮件信息等)。

NIS+ 命名空间在本质上具有分层结构,按照组织的逻辑结构可以很容易地配置它。NIS+ 还具有保护命名空间的结构及其信息的指定安全系统;它检查身份验证和授权,以处理用户的请求。

本文总结了 NIS+ 安装、配置和管理的基本步骤和命令。

安装和配置

安装和配置示例使用以下计算机名称作为根服务器和客户机:

  • NIS+ 服务器:服务器 (9.124.111.62)
  • NIS+ 客户机:客户机 (9.124.111.61)

安装

NIS+ 的安装需要 bos.net.nisplus 文件集。

  1. 使用以下命令检查文件集的可用性:
    # lslpp –l | grep bos.net.nisplus
  2. 计划 NIS+ 布局包括选择根域名称、根服务器计算机、客户机和从计算机的信息。准备一份域层次结构的草图在配置 NIS+ 时也会比较有用。
  3. 在 /usr/lib/security/methods.cfg 文件中应定义了 NISPLUS 模块,如下所示:
    NISPLUS:
            program = /usr/lib/security/NISPLUS

    NISPLUS 加载模块应在 /usr/lib/security 中获得。

  4. 在 /etc/security/user 文件中,将缺省部分中的 SYSTEM 属性定义为 NISPLUS 或 compat:
    default: 
    	SYSTEM = NISPLUS OR compat
  5. 在缺省 PATH 中包括 /usr/lib/nis 目录,如下所示:
    # export PATH=$PATH:/usr/lib/nis

配置

开始配置 NISPLUS 服务器需要根域名称。让我们使用根域名称 isl.com

  1. 执行 nisserver 命令,如下所示:
    # nisserver -r -d isl.com

    您应该看到以下显示内容:

    # nisserver -r -d isl.com.
    0513-059 The keyserv Subsystem has been started. Subsystem PID is 303260.
    This script sets up this machine "indus29" as an NIS+
    root master server for domain isl.com..
    
    Domain name             : isl.com
    NIS+ group              : admin.isl.com
    NIS (YP) compatibility  : OFF
    Security Level          : 2=DES
    
    Is this information correct? (type 'y' to accept, 'n' to change)

    通过选择 n 更改上面定义的属性,并选择 y 以继续。

    您应该看到以下显示内容:

    This script will set up your machine as a root master server for
    domain isl.com without NIS compatibility at security level 2.
    
    WARNING: this script removes directories and files related to
    NIS+ under /var/nis directory with the exception of the client_info
    NIS_COLD_START and NIS_SHARED_DIRCACHE files which will be
    renamed to <file>.no_nisplus.  If you want to save these files,
    you should abort from this script now to save these files first.
    
    WARNING: once this script is executed, you will not be able to
    restore the existing NIS+ server environment.  However, you can
    restore your NIS+ client environment using "nisclient -i"
    with the proper domain name and server information.
    
    Do you want to continue? (type 'y' to continue, 'n' to exit this script)

    选择 y 以继续,它将触发设置 NIS+ 服务器。

  2. 下一步是填充本地文件的 NIS+ 表。您可以使用下面的系列步骤,将所需的文件复制到 /var/tmp/nisplus 目录,然后使用 nispopulate 命令填充该表。这可能要花很长的时间,具体决取于系统中用户的数量。
    # mkdir -p /var/tmp/nisplus
    # cp /etc/passwd          /var/tmp/nisplus/passwd
    # cp /etc/hosts           /var/tmp/nisplus/hosts
    # cp /etc/group           /var/tmp/nisplus/group
    # cp /etc/rpc             /var/tmp/nisplus/rpc
    # cp /etc/protocols       /var/tmp/nisplus/protocols
    # cp /etc/networks        /var/tmp/nisplus/networks
    # cp /etc/services        /var/tmp/nisplus/services
    
    # cd /var/tmp/nisplus
    
    # /usr/lib/nis/nispopulate -v -F -f -l <passwd>

    您需要使用 nispopulate 命令设置一个密码,该密码稍后会用于客户机和服务器之间的通信。

  3. 使用以下命令将根服务器添加到主机表:
    nistbladm –A cname=<rootservername.domainname.> name=<rootservername> 
       addr=<ipaddress of rootserver> hosts.org_dir.domainname

    例如:

    nistbladm -A cname=server.isl.com. name=server addr=9.124.111.62 
    hosts.org_dir.isl.com

    将此项添加到主机表将完成 NIS+ 服务器配置。

  4. 要检查服务器是否启动,请运行以下命令:
    # niscat passwd.org_dir
    # nisls
  5. 使用以下命令将客户机添加到 NIS+ 服务器上的主机表:
    # nistbladm –A cname=<clientname.domainname.> name=<clientname> 
       addr=<ipaddress of the client> hosts.org_dir.domainname.

    例如:

    # nistbladm -A cname=client.isl.com. name=client addr=9.124.111.61 
    hosts.org_dir.isl.com
  6. 将客户机添加到主机表后,请转到客户机,并通过使用以下命令初始化客户机:
    # /usr/lib/nis/nisclient -D
    # stopsrc -s keyserv
    
    # /usr/lib/nis/nisclient -i -h <rootservername> -a <rootserverip> -d <domainname>

    例如:

    # /usr/lib/nis/nisclient -i -h server -a 9.124.113.62 -d isl.com
  7. 重新启动客户机:
    # shutdown -Fr

    现在完成了 NIS+ 客户机的配置。

  8. 您可以从客户机使用 nisstat 命令检查服务器详细信息。这样可以确保设置正确。
    # nisstat

管理

本部分将讨论 NIS+ 设置的常规管理和基本命令。

  1. 要停止 NIS+ 和删除域名,请输入以下内容:
    # stopsrc -s nis_cachemgr
    # /usr/lib/nis/nisserver -D
    # stopsrc -s keyserv
    # /usr/lib/nis/nisclient –D

    删除 /var/nis/ 目录中的所有文件。

  2. 要创建组,请检查域名,并使用 nisgrpadm 命令创建组(例如 testgrp)。
    # domainname	
    isl.com
    # nisgrpadm -c testgrp.isl.com
    Group "testgrp.isl.com" created
  3. 要查看组是否形成,请输入:
    #  nisls groups_dir
    groups_dir.isl.com:
    admin
    testgrp
  4. 要创建 NIS+ 用户(例如 nispuser),请输入:
    # nismkuser nispuser
  5. 要显示用户,请输入:
    # niscat passwd.org_dir

    类似地,您可以使用 niscat 命令检查 NIS+ 表中是否存在多个项。例如,您可以使用它显示主机项,如下所示:

    # niscat -h hosts.org_dir
  6. 要将用户添加到组,请输入:
    # nisgrpadm -a testgrp nispuser

    该命令已将 nispuser.isl.com 添加到 testgrp.isl.com 组。

  7. 要检查 testgrp 组的组项,请输入:
    # nisgrpadm -l testgrp.isl.com

    要检查 testgrp.isl.com 组的组项,请输入:

    nispuser
  8. 另一个有用的命令是 nisls,可以使用该命令检查 NIS+ 表的项。例如,要列出已填充的表,请输入:
    # nisls org_dir

    要列出组,请输入:

    # nisls groups_dir

结束语

尽管 NIS+ 在某些方面超过 NIS,但是务必注意,NIS+ 和 NIS 之间没有任何关系。NIS+ 的命令和整体结构与 NIS 不同。NIS+ 中的某些命令语法与 NIS 的命令不同。NIS+ 是从头设计的,而不是 NIS 的扩展。

有关用于 NIS+ 管理的其他命令的详细信息,请参见参考资料部分中的网络信息服务(NIS 和 NIS+)指南

参考资料

学习

获得产品和技术

  • IBM 试用软件:从 developerWorks 可直接下载这些试用软件,您可以利用它们开发您的下一个项目。
  • Quick links for AIX fixes:获得 AIX 更新。
  • IBM 修复中心:这个站点为您的系统中的软件、硬件和操作系统提供了修复程序和更新。

讨论

条评论

developerWorks: 登录

标有星(*)号的字段是必填字段。


需要一个 IBM ID?
忘记 IBM ID?


忘记密码?
更改您的密码

单击提交则表示您同意developerWorks 的条款和条件。 查看条款和条件

 


在您首次登录 developerWorks 时,会为您创建一份个人概要。您的个人概要中的信息(您的姓名、国家/地区,以及公司名称)是公开显示的,而且会随着您发布的任何内容一起显示,除非您选择隐藏您的公司名称。您可以随时更新您的 IBM 帐户。

所有提交的信息确保安全。

选择您的昵称



当您初次登录到 developerWorks 时,将会为您创建一份概要信息,您需要指定一个昵称。您的昵称将和您在 developerWorks 发布的内容显示在一起。

昵称长度在 3 至 31 个字符之间。 您的昵称在 developerWorks 社区中必须是唯一的,并且出于隐私保护的原因,不能是您的电子邮件地址。

标有星(*)号的字段是必填字段。

(昵称长度在 3 至 31 个字符之间)

单击提交则表示您同意developerWorks 的条款和条件。 查看条款和条件.

 


所有提交的信息确保安全。


static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=10
Zone=AIX and UNIX
ArticleID=258382
ArticleTitle=安装和配置 NIS+
publish-date=09272007