分类: LINUX
2009-10-23 17:37:27
NIS(Network Information Service)网络信息系统,是对主机账号等系统信息提供集中管理的网络服务。为什么要使用NIS服务?
在一个具有多台LINUX服务器的应用系统中,用户账号的维护是一个比较麻烦的管理工作,主要表现在以下几个方面:
*每台Linux服务器都可能有上百个用户账号;
*由于所有的服务器是为同一个组织(公司)提供服务,因此在每台服务器上都维护着同样的用户账号;
*为了系统中的用户使用方便,用户在每台服务器中都拥有同样的用户名和登录口令;
*对于系统管理员,需要在每台服务器中为用户建立同样的用户账号和初始口令;
*对于系统中的用户,每次修改用户的口令时,都需要登录到系统中的每台服务器,分别对服务器中账号设置口令;
综上所述,使用传统的基于主机文件的账号管理方式,无论对系统管理员还是对系统中的用户都不是很方便,而使用NIS服务能够较好地解决用户账号集中管理的问题。
NIS服务最早是由Sun公司提出的,因此也被称做Sun Yellow Pages,简称YP。Yellow Pages最常见的实例就是电话黄页,即用于查询电话号码和用户名的电话簿,供用户集中查询电话用户的信息。NIS服务之所以最早时也被称为YP,正是由于NIS能够对UNIX系统中的用户账号等信息提供集中和管理。
NIS服务器的应用结构分为NIS服务器和NIS客户机两种角色:
*NIS服务器集中维护用户的账号信息(数据库)供NIS客户机查询。
*当NIS客户机需要进行用户登录信息的认证时,就向NIS服务器发出查询请求,当用户提供的登录信息与NIS服务器中的数据库信息相符时,用户就可以正常登录NIS客户机。
*当系统中的一台NIS服务器为多台NIS客户机提供服务时,用户登录系统中的任何一台NIS客户机都会从NIS服务器进行登录认证,这样就实现了用户账号的集中管理。
NIS服务器为NIS客户机提供的信息不仅限于用户账号信息,在NIS服务器的数据库中包括以下几类信息:
*用户账号信息,包括用户名,登录口令和用户宿主目录等信息,用于取代Linux主机中的passwd文件和shadow文件中的作用。
*组账号信息,包括组账号等,用于取代Linux主机中group文件的作用。
*IP地址与主机名称对应记录的信息,用于取代Linux主机中hosts文件的作用。
为了方便NIS客户机的查询,以上这些信息在NIS服务器中被保存在不同名称的数据库(文件)中进行集中管理。
NIS服务需要分别在服务器端和客户端进行配置,下面分别介绍配置方法:
一,NIS服务器端的配置管理步骤
服务器端需安装的相关软件包:
ypserv-2.19-3.i386.rpm(第三张光盘,默认未装)-----------------提供NIS服务的主要软件包,需手动安装;
ypbind-1.19-7.el5.i386.rpm(第一张光盘,默认已装)------------系统默认被安装的客户端需要使用的软件包;
yp-tools-2.9-0.1.i386.rpm(第一张光盘,默认已装)---------------系统默认被安装的提供对NIS服务器的查询和管理工具软件包;
主配置文件:/etc/ypserv.conf 工作目录:/var/yp/ 服务进程名称:ypserv
(1)安装所需软件包:
#rpm –ivh ypserv-2.19-3.i386.rpm
(2)确认开启NIS服务所依赖的其它服务:
1. ypserv服务器和NFS服务器类似,都需要有portmap服务的支持,因此在安装ypserv之前需要先确认portmap软件包已经安装,portmap服务已正常启动,并确保portmap服务在默认的系统运行级别中是开启的。
#rpm -q portmap
#service portmap status
#chkconfig --level 35 portmap on
2. 若NIS服务器为RHEL4系统,ypserv服务的启动和运行还需要time和time-udp这两个服务的支持,而time和time-udp是受xinetd超级服务器管理的服务,因此需要确认time和time-udp为启动状态:
#chkconfig --list | grep time
而RHEL4系统中time和time-udp服务的默认状态是禁用状态,因此需要使用chkconfig命令设置这两个服务的状态为启用,并重亲启动xinetd服务使设置生效:
#chkconfig time on
#chkconfig time-udp on
#chkconfig --list | grep time
#service xinetd restart
(3)建立NIS的域名:
在NIS服务器中需要建立相应的域名,此域名与DNS服务器中的域名没有直接的关系。
nisdomainname命令用于建立NIS服务器的域名,需要指定一个NIS域名作为该命令的参数。由于NIS服务器主机每次启动时都需要进行NIS的域名设置,因此需要将这条设置域名的命令nisdomainname添加到/etc/rc.d/rc.local文件中,让系统启动时自动设置NIS域名:
#nisdomainname testname (假设NIS域名为testname)
#echo ‘/bin/nisdomainname testname’ >> /etc/rc.d/rc.local
#nisdomainname (查看NIS域名)
(4)修改“/etc/sysconfig/network”文件:
为了便于NIS服务器主机能够进行正确的网络设置,同时还需要将NISDOMAIN=testname配置项添加到“/etc/sysconfig/network”文件中:
#echo ‘NISDOMAIN=testname’ >> /etc/sysconfig/network
(5) 设置ypserv服务的配置文件:
1 主配置文件/etc/ypserv.conf的配置-------NIS服务器程序(ypserv)的配置文件为/etc/ypserv.conf ,对于该配置文件的内容不需要做太多修改:
# ypserv.conf In this file you can set certain options for the
# and you can deny or restrict access to certain maps based
# on the originating host.
# See ypserv.conf(5) for a description of the syntax.
# Some options for ypserv. This things are all not needed, if
# you have a Linux net.
# Should we do DNS lookups for hosts not found in the hosts table ?
# This option is ignored in the moment.
dns: no
# How many map file handles should be cached ?
files: 30
# Should we register ypserv with SLP ?
slp: no
# After how many seconds we should re-register ypserv with SLP ?
slp_timeout: 3600
# xfr requests are only allowed from ports < 1024
xfr_check_port: yes
# The following, when uncommented, will give you shadow like passwords.
# Note that it will not work if you have slave
# network that do not run the same server as you.
# Host : Domain : Map : Security
#
# * : * : passwd.byname : port
# * : * : passwd.byuid : port
# Not everybody should see the shadow passwords, not secure, since
# under MSDOG everbody is root and can access ports < 1024 !!!
* : * : shadow.byname : port
* : * : passwd.adjunct.byname : port
# If you comment out the next rule, ypserv and rpc.ypxfrd will
# look for YP_SECURE and YP_AUTHDES in the maps. This will make
# the security check a little bit slower, but you only have to
# change the keys on the master server, not the configuration files
# on each
# If you have maps with YP_SECURE or YP_AUTHDES, you should create
# a rule for them above, that's much faster.
# * : * : * : none
在ypserv.conf文件中最重要的配置部分是访问控制的设置,管理员通过添加访问控制的设置允许或拒绝指定的主机使用NIS服务。
访问控制记录由四个字段构成,从左到右依次是主机地址,网络域名,映射数据库类型和安全等级,记录中的各字段之间用冒号分隔,格式如下:
主机地址:网络域名:映射数据库类型:安全等级
访问控制记录中各字段的含义如下:
*主机地址---可以是主机的IP地址或主机名称,也可以是子网地址,例如192.168.1.0/255.255.255.0,若使用*号则表示所有的主机。
*网络域名---在设置记录中其实并不常用,通常设置为*号即可。
*映射数据库类型---是NIS服务器中的数据库名称,可以是单独的数据库,例如passwd.byname,也可以使用*号代表全部数据库。
*安全等级---可以设置为none,port,deny关键字。none表示客户机可无条件的访问NIS服务器;port表示仅允许客户机从1024以下的端口访问NIS服务器,由于只有root用户才可以使用1024以下的端口,因此port设置相对安全些;deny表示无条件拒绝客户机对NIS服务器的访问,通常用作默认的访问策略,可提高系统的安全性。
例:一个ypserv.conf文件中最基本和最常用的访问控制记录
127.0.0.0/255.255.255.0 : * : * : none
192.168.1.0/255.255.255.0 : * : * : none
* : * : * : deny
其中127.0.0.0/255.255.255.0网段设置了主机环回地址的访问策略;192.168.1.0/255.255.255.0设定的是NIS客户机所在局域 网的网段,允许该网段中的NIS客户机访问NIS服务器;最后一行是默认的访问策略,设置其他的所有主机将被NIS服务器无条件拒绝访问。
2securenets安全配置文件-----虽然ypserv.conf配置文件中可以使用访问控制记录配置NIS服务器中数据库的访问控制,除此以外NIS服务器还提供了securenets文件用于对NIS客户端主机的访问控制。而且securenets文件具有比ypserv.conf配置文件更高的对主机进行访问控制的级别和效率。
securenets文件应该保存在“/var/yp”目录中,但是系统中/var/yp目录中默认并没有securenets文件,需要管理员进行手动建立(/usr/share/doc/ypserv-2.19目录中有一个样例)。当“/var/yp”目录中,securenets文件不存在时,NIS服务器将允许所有主机访问NIS服务器(默认的安全设置有欠缺)。
securenets文件的配置比较简单,可以使用主机和网络两种配置记录.主机配置记录:以host关键字开始,空格后设置主机的IP地址(不要使用主机名);网络配置记录:由子网掩码和网络地址两部分组成,中间用空格进行分隔,需要注意子网掩码在前,网络地址在后的顺序;符合访问控制记录的主机被允许访问NIS服务器,其他主机将被拒绝访问。
例:配置一个securenets文件示范
#vi /var/yp/securenets (需手动建立)
host 127.0.0.1
255.255.255.0 192.168.1.0
其中host 127.0.0.1记录设置允许NIS服务器本机访问;255.255.255.0 192.168.1.0记录设置192.168.1.0/24子网中的所有主机允许访问NIS服务器,其他的所有主机都被NIS服务器拒绝访问。
(6)启动NIS服务器
在完成对ypserv.conf文件的配置后,可以启动NIS服务器。NIS服务器需要启动ypserv和yppasswdd两个服务程序。在ypserv和yppasswdd服务程序运行之前需要先确认portmap服务程序已经运行,因为NIS服务的运行需要portmap服务程序的支持。并且在安装ypserv软件包时,并没有设置ypserv和yppasswdd服务程序在系统启动时自动启动,因此需要使用chkconfig命令手动进行设置:
#service portmap status
#service ypserv start
#service yppasswdd start
#chkconfig --level 35 ypserv on
#chkconfig --level 35 yppasswdd on
(7)构建NIS数据库
在ypserv和yppasswdd服务程序运行后,需要使用ypinit命令构建NIS服务器的数据库文件。ypinit命令位于“/usr/lib/yp/”目录中,使用“-m”命令选项构建数据库。
#/usr/lib/yp/ypinit -m (需用绝对路径)
ypinit命令将根据NIS服务器主机中的本地系统文件信息创建数据库文件,建立的数据库文件被保存在“/var/yp”目录中与NIS域名同名的子目录之中。
需要注意:在NIS服务器主机中对本地系统用户账号,组账号等信息(文件)更改后都需要使用ypinit命令重新构建数据库文件的内容,否则NIS客户端主机获得的信息不会自动更新。
由于ypinit -m命令其实是调用make命令,并根据“/var/yp/”目录中的Makefile文件的配置内容进行NIS服务器数据库文件的创建,因此修改“Makefile”文件中的配置将会影响创建NIS服务器的数据库文件的过程和结果。
二,NIS客户端的配置管理步骤
NIS客户机与NIS服务器通常不会运行在同一个服务器主机中。
(1)NIS客户端所需的软件包
RHEL5系统作为NIS客户机使用时,需要使用ypbind和yp-tools两个软件包,这两个软件包是默认安装到系统中的。因此不需要手动进行安装。
#rpm -qa | grep ^yp
ypbind-1.19-7.el5 (ypbind是作为NIS客户端与NIS服务器进行通信的服务程序,
软件包中包括执行程序,配置文件和启劝脚本等文件)
yp-tools-2.9-0.1 (包括了对NIS服务器进行测试,查询和管理功能的工具程序,所有的命令文件名都以yp开始)
(2)设置hosts文件
在NIS客户机的hosts中应添加NIS服务器的主机名称解析记录,以便NIS客户机能够使用主机名访问NIS服务器。
#echo ‘192.168.1.2 NISserver’ >> /etc/hosts
(3)建立NIS域名
在NIS客户机建立NIS域名的操作方法与NIS服务器中完全相同,需要进行以下操作:
#nisdomainname testname (与服务器相同,假设NIS域名为testname)
#echo ‘/bin/nisdomainname testname’>> /etc/rc.d/rc.local (NIS服务器主机每次启动都需要进行NIS的域名设置)
#echo ‘NISDOMAIN=testname’ >> /etc/sysconfig/network (以便NIS服务器主机能够进行正确的网络设置)
(4)设置yp.conf配置文件
ypbind服务程序的配置文件是yp.conf,只需要在该配置文件中设置NIS域名和NIS服务器的主机名即可:
#ehco ‘domain testname server NISserver’>> /etc/yp.conf
配置语句中domain testname server NISserver设置了当前使用的NIS域名为testname,所使用的NIS服务器的主机名是
NISserver.
(5)设置“etc/nsswitch.conf”文件
RHEL5系统中的/etc/nsswitch.conf文件用于设置系统中信息的查询方式,对于用户账号,组账号等信息在nsswitch.conf文件中的默认设置为只使用本地文件,对于主机名称解释使用本地文件和DNS服务器。
nsswitch.conf文件中相关设置项不是代表系统中的文件或命令,而是代表相关信息的查询方式,具体含义如下:
passwd: files *passwd表示用户账号信息的查询
shadow: files *shadow表示用户口令信息的查询
group: files *group表示用户组账号信息的查询
hosts: files dns *hosts表示主机名信息的查询
NIS客户机中需要修改nsswitch.conf文件,在files之后设置使用nis,即优先使用本地文件,然后使用NIS服务器获取信息,
如:
passwd: files
shadow: files
group: files
hosts: files
(6)启动ypbind服务程序
NIS客户机需要运行ypbind服务程序来实现对NIS服务器的信息访问,在启动ypbind服务之前需要先确认portmap服务已经启动,因为ypbind服务程序的运行同样依赖于portmap服务。并且RHEL5系统中虽然默认安装了ypbind软件包,但是并没有设置ypbind服务程序的自动启动,管理员需要使用chkconfig命令手动设置ypbind服务在运行级别3和5中自动启动。
#service portmap status
#service ypbind start
#chkconfig --level 35 ypbind on
(7)在NIS客户机上测试与NIS服务器的连接
yp-tools软件包中提供了yptest ,ypwhich ,ypcat共三个命令工具可用于在NIS客户机中测试与NIS服务器的连接,所有的测试命令都是通过NIS客户机中的ypbind服务程序对NIS服务进行查询的。
<1> yptest:是基本的NIS服务器测试命令,该命令会对NIS服务器的域名,主机,数据库及其内容进行自动测试,并显示测试的结果。
#yptest
<2>ypwhich:可显示NIS客户机所使用的NIS服务器的主机名称,当ypwhich使用“-x”选项时会显示NIS服务器中使用的数据库和映射文件的名称。
#ypwhich
NISserver (只会显示NIS服务器主机名)
#ypwhich -x
<3>ypcat:ypcat -x会与ypwhich -x命令显示相同的查询信息。当使用数据库名作为ypcat命令的参数时,ypcat命令将显示指定数据库的内容。管理员可以从ypcat命令的结果中查询到NIS服务器数据库中非常有用的信息。
#ypcat -x
#ypcat group (使用数据库名作为命令参数)
(8)NIS客户端用户登录
在NIS客户端主机中测试与NIS服务器连接成功后,就可以尝试使用NIS服务器中的用户账号登录NIS客户机了.但当使用NIS服务器中的用户账号成功登录系统后,屏幕会提示没有找到用户宿主目录的信息,这是由于NIS客户机本地文件系统中没有在“/home”目录下建立用户的宿主目录。(由于系统防火墙的默认配置,可能造成NIS客户机和NIS服务器之间无法进行通信,如果用户在NIS客户机中登录不成功,可以先将NIS服务器和NIS客户机的iptables防火墙服务关闭,命令:#service iptables stop或#iptables -F)
(9)用户密码修改
用户登录NIS客户端后,使用yppasswd命令可以修改NIS服务器端保存的用户口令,而不能用passwd命令修改。用户执行yppasswd命令后将提示输入旧的用户口令,然后输入两次新口令,若新口令符合系统要求,NIS服务器中该用户的口令将更新为新设的口令。
当 root用户执行yppasswd命令指定用户名作为命令参数时,可修改指定用户的口令,但是还需要先输入root的用户口令。
三,NIS基本应用
上面的内容介绍了NIS服务器端的配置管理和NIS客户端的配置使用,并且实现了用户账号的集中管理。但是在NIS客户机的本地文件系统中由于没有建立用户的本地账号,因此并不会存在用户的宿主目录。可以通过NFS服务和NIS服务的综合运用,实现用户登录任何一个NIS客户机后都使用同一个属主目录。步骤如下:
(1)在NIS服务器中输出 NFS共享目录
NIS服务器主机中具有所有用户的本地账号,因此NIS服务器的文件系统中也为每个用户建有宿主目录,所有普通用户的宿主目录都在“/home”目录中,因此可以将“/home”作为NFS共享目录输出给所有的NIS客户机。
编辑NIS服务器的“/etc/exports”文件,添加“/home”共享目录的设置:
/home 192.168.1.0/24(rw,async,no_root_squash)
启动NIS服务器主机中的NFS服务器程序:
#service nfs start
(2)在所有的NIS客户机中挂载NIS服务器中的共享目录
在应用系统的所有NIS客户机中设置挂载NIS服务器中的NFS共享目录“/home”。在NIS客户机的“/etc/fstab”文件中添加NFS文件系统的自动挂载设置,NIS客房机以后每次启动都会自动挂载NIS服务器中的“/home”文件系统:
#vi /etc/fstab
NISserver:/home/ /home nfs defaults 0 0
使用mount命令将按照fstab文件中的设置挂载NIS服务器主机中的“/home”文件系统:
#mount /home
#ls /home/
经过以上设置后,在每个NIS客户机中进行用户登录,用户使用的都是NIS服务器中相同的宿主目录,这样不但实现了用户账号的集中管理,而且还实现了用户文件在各NIS客户机之间的“漫游”。( 监时挂载:#mount –t nfs 192.168.1.2:/home /home)