Установка и настройка NIS+

Безопасное централизованное управление клиентским доступом

NIS+ – это сетевая служба, основанная на модели клиент–сервер, которая помогает найти информацию, требующуюся для администрирования и обеспечения безопасности. В статье представлены пошаговые инструкции по её установке, настройке и администрированию.

Ашиш Наянвал, системный администрато, WSO2 Inc

Ашиш Наянвал (Ashish Nainwal) – специалист по безопасности в службе технической поддержки и системный администратор в IBM India Systems and Technology Lab. В течение двух лет работы в AIX он стал одной из ключевых фигур в области безопасности. Ашиш участвовал также в различных работах, связанных с администрированием System p™ и имеет разнообразный опыт общения с клиентами. С ним можно связаться по адресу anainwal@in.ibm.com.



06.05.2009

Введение

Network Information Service plus (NIS+) – это сетевая служба именования и администрирования, расширяющая сервисы, предоставляемые Network Information Service (NIS). NIS+ устроено по архитектуре клиент-сервер и централизованно хранит информацию, что позволяет клиентам получать доступ к этой информации через сеть. В центральном хранилище, называемом «пространством имен NIS+», хранится информация о настройках безопасности, адресах рабочих станций, информация о почте и так далее.

Пространство имен NIS+ имеет иерархическую структуру, и его можно легко настроить в соответствии с логической структурой организации. Также NIS+ имеет специальную систему безопасности для защиты структуры пространства имен и его информации; при обработке запроса пользователя она проверяет и аутентификацию, и авторизацию.

Ссылка на руководство по NIS находится в разделе « Ресурсы ».

В этой статье приведены основные шаги и команды для установки, настройки и администрирования NIS+.

Установка и настройка

В примерах по установке и настройке используются следующие имена сервера и клиента:

  • NIS+ server: server (9.124.111.62)
  • NIS+ client: client (9.124.111.61)

Установка

Для установки NIS+ требуется набор файлов bos.net.nisplus.

  1. Проверяем наличие набора файлов с помощью следующей команды:
    # lslpp –l | grep bos.net.nisplus
  2. Планирование топологии NIS+ включает выбор имени корневого домена, машины корневого сервера, клиентов и ведомых машин (slave). Кроме того, рекомендуется подготовить схему иерархии доменов – это поможет правильно настроить NIS+.
  3. В файле /usr/lib/security/methods.cfg должен быть определен модуль NISPLUS следующим образом:
    NISPLUS:
            program = /usr/lib/security/NISPLUS

    Загрузочный модуль NISPLUS должен быть доступен в каталоге /usr/lib/security.

  4. В файле /etc/security/user нужно определить атрибут SYSTEM в разделе default как NISPLUS or compat:
    default: 
    	SYSTEM = NISPLUS OR compat
  5. Необходимо включить каталог /usr/lib/nis в переменную окружения PATH следующим образом:
    # export PATH=$PATH:/usr/lib/nis

Настройка

Для начала настройки сервера NISPLUS необходимо корневое доменное имя. Пусть это будет isl.com.

  1. Выполнить команду nisserver следующим образом:
    # nisserver -r -d isl.com

    На экране должна появиться следующая информация:

    # nisserver -r -d isl.com.
    0513-059 The keyserv Subsystem has been started. Subsystem PID is 303260.
    This script sets up this machine "indus29" as an NIS+
    root master server for domain isl.com..
    
    Domain name             : isl.com
    NIS+ group              : admin.isl.com
    NIS (YP) compatibility  : OFF
    Security Level          : 2=DES
    
    Is this information correct? (type 'y' to accept, 'n' to change)

    Нужно нажать nдля изменения определенных выше атрибутов или y для продолжения.

    Теперь на экране можно увидеть следующее:

    This script will set up your machine as a root master server for
    domain isl.com without NIS compatibility at security level 2.
    
    WARNING: this script removes directories and files related to
    NIS+ under /var/nis directory with the exception of the client_info
    NIS_COLD_START and NIS_SHARED_DIRCACHE files which will be
    renamed to <file>.no_nisplus.  If you want to save these files,
    you should abort from this script now to save these files first.
    
    WARNING: once this script is executed, you will not be able to
    restore the existing NIS+ server environment.  However, you can
    restore your NIS+ client environment using "nisclient -i"
    with the proper domain name and server information.
    
    Do you want to continue? (type 'y' to continue, 'n' to exit this script)

    Для продолжения нужно выбрать y , в результате чего будет настроен сервер NIS+.

  2. Затем нужно заполнить таблицы NIS+ из локальных файлов. Можно использовать следующую последовательность шагов для копирования необходимых файлов в каталог /var/tmp/nisplus, а затем использовать команду nispopulate для заполнения таблиц. В зависимости от количества пользователей в системе это может занять много времени.
    # mkdir -p /var/tmp/nisplus
    # cp /etc/passwd          /var/tmp/nisplus/passwd
    # cp /etc/hosts           /var/tmp/nisplus/hosts
    # cp /etc/group           /var/tmp/nisplus/group
    # cp /etc/rpc             /var/tmp/nisplus/rpc
    # cp /etc/protocols       /var/tmp/nisplus/protocols
    # cp /etc/networks        /var/tmp/nisplus/networks
    # cp /etc/services        /var/tmp/nisplus/services
    
    # cd /var/tmp/nisplus
    
    # /usr/lib/nis/nispopulate -v -F -f -l <passwd>

    С помощью команды nispopulate нужно задать пароль, который будет затем использоваться для связи клиентов с сервером.

  3. Добавляем корневой сервер в таблицу хостов, используя следующую команду:
    nistbladm –A cname=<rootservername.
    domainname.> name=<rootservername> 
       addr=<ipaddress of
     rootserver> hosts.org_dir.domainname

    Например:

    nistbladm -A cname=server.isl.com.
     name=server addr=9.124.111.62 
    hosts.org_dir.isl.com

    После добавления этой записи в таблицу хостов конфигурирование сервера NIS+ можно считать законченным.

  4. Проверяем состояние готовности сервера:
    # niscat passwd.org_dir
    # nisls
  5. Для добавления клиентов в таблицу хостов на сервере NIS+ используем следующую команду:
    # nistbladm –A cname=<clientname.
    domainname.> name=<clientname> 
       addr=<ipaddress of the client> 
    hosts.org_dir.domainname.

    Например:

    # nistbladm -A cname=client.isl.com.
     name=client addr=9.124.111.61
     hosts.org_dir.isl.com
  6. После добавления клиентов в таблицу хостов нужно перейти на компьютер клиента и инициализировать его следующим образом:
    # /usr/lib/nis/nisclient -D
    # stopsrc -s keyserv
    
    # /usr/lib/nis/nisclient -i -h <rootservername>
     -a <rootserverip> -d <domainname>

    Например:

    # /usr/lib/nis/nisclient -i -h server
     -a 9.124.113.62 -d isl.com
  7. Перезагружаем компьютер клиента:
    # shutdown -Fr

    На этом конфигурация клиента NIS+ закончена.

  8. Для проверки клиентом настроек сервера можно использовать команду nisstat , что даст уверенность в правильности настроек.
    # nisstat

Администрирование

В данном разделе рассматриваются общие вопросы администрирования и основные команды для настройки NIS+.

  1. Чтобы остановить NIS+ и удалить имя домена, нужно ввести следующие команды:
    # stopsrc -s nis_cachemgr
    # /usr/lib/nis/nisserver -D
    # stopsrc -s keyserv
    # /usr/lib/nis/nisclient –D

    После этого удалите все файлы в каталоге /var/nis/

  2. Для создания группы (например, nisgrpadm ) нужно проверить имя домена и использовать команду testgrp).
    # domainname	
    isl.com
    # nisgrpadm -c testgrp.isl.com
    Group "testgrp.isl.com" created
  3. Чтобы проверить, сформированы ли группы, вводим:
    #  nisls groups_dir
    groups_dir.isl.com:
    admin
    testgrp
  4. Чтобы создать пользователя NIS+ (например, nispuser:
    # nismkuser nispuser
  5. Выводим список пользователей:
    # niscat passwd.org_dir

    Подобным образом используем команду niscat для проверки наличия определенных записей в таблице NIS+. Например, для показа записей хоста:

    # niscat -h hosts.org_dir
  6. Для добавления пользователя в группу вводим:
    # nisgrpadm -a testgrp nispuser

    Команда добавит nispuser.isl.com в группу testgrp.isl.com .

  7. Чтобы проверить записи группы testgrp , вводим:
    # nisgrpadm -l testgrp.isl.com

    Для проверки записи группы testgrp.isl.com введем:

    nispuser
  8. Еще одной полезной командой является nisls, которая может быть использована для проверки записей в таблицах NIS+. Например, для вывода списка таблиц, которые были заполнены, вводим:
    # nisls org_dir

    Для вывода списка групп:

    # nisls groups_dir

Заключение

Хотя NIS+ имеет некоторые преимущества по сравнению с NIS, важно отметить, что связи между NIS+ и NIS не существует. Команды и общая структура NIS+ отличаются от NIS. Синтаксис для некоторых команд в NIS+ отличается от синтаксиса команд в NIS. NIS+ был разработан с нуля и не является расширением NIS.

Для получения более подробной информации о других командах, используемых для администрирования NIS+, см. Network Information Services (NIS and NIS+) Guide в разделе « Resources ».

Ресурсы

Научиться

Получить продукты и технологии

  • IBM trial software: ознакомительные версии ПО для разработчиков, которые можно загрузить с developerWorks.
  • Quick links for AIX fixes (EN).: обновления AIX.
  • IBM Fix Central: на этом сайте вы найдёте исправления и обновления для системного ПО, аппаратного обеспечения и операционной системы конкретного компьютера (EN).

Обсудить

Комментарии

developerWorks: Войти

Обязательные поля отмечены звездочкой (*).


Нужен IBM ID?
Забыли Ваш IBM ID?


Забыли Ваш пароль?
Изменить пароль

Нажимая Отправить, Вы принимаете Условия использования developerWorks.

 


Профиль создается, когда вы первый раз заходите в developerWorks. Информация в вашем профиле (имя, страна / регион, название компании) отображается для всех пользователей и будет сопровождать любой опубликованный вами контент пока вы специально не укажите скрыть название вашей компании. Вы можете обновить ваш IBM аккаунт в любое время.

Вся введенная информация защищена.

Выберите имя, которое будет отображаться на экране



При первом входе в developerWorks для Вас будет создан профиль и Вам нужно будет выбрать Отображаемое имя. Оно будет выводиться рядом с контентом, опубликованным Вами в developerWorks.

Отображаемое имя должно иметь длину от 3 символов до 31 символа. Ваше Имя в системе должно быть уникальным. В качестве имени по соображениям приватности нельзя использовать контактный e-mail.

Обязательные поля отмечены звездочкой (*).

(Отображаемое имя должно иметь длину от 3 символов до 31 символа.)

Нажимая Отправить, Вы принимаете Условия использования developerWorks.

 


Вся введенная информация защищена.


static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=40
Zone=AIX и UNIX
ArticleID=387670
ArticleTitle=Установка и настройка NIS+
publish-date=05062009