|
|
Dieses Dokument ist verfübar auf: English Deutsch Francais Nederlands Portugues Russian Turkce |
von Frédéric Raynal Über den Autor: Frédéric Raynal schreibt gerade seine Diplomarbeit in Informatik am INRIA. Er liest gerne (Tolkien genauso wie Balzac) und hört gerne Musik(von Mozart bis zu Philip Glass und von Led Zeppelin bis zu Massive Attack über Björk und Boris Vian, vermeidet aber sorgfältig rap, techno und einige andere Arten dieses Lärms ;-) Inhalt: |
Zusammenfassung:
Im vorherigen Artikel ging es um die Einführung in die Konzepte der yellow pages (YPs). In diesem Artikel sehen wir, wie der Client konfiguriert wird, ein praktisches Beispiel zur Arbeitsweise des Clients und eine Darstellung der verschiedenen Tools. Zum Schluß gibt es noch Informationen über NIS+.
Die Client-Dienste, die zu yellow pages gehören, basieren auf dem ypbind Dämon. Er sendet die Anforderungen an den YP-Server. Wir erklären zunächst seine Arbeitsweise und die Konfiguration. Danach sehen wir, wie das NIS-Protokoll arbeitet. Der letzte Teil des Artikels befasst sich mit den verschiedenen Tools, die auf der Client-Seite zur Verfügung stehen).
ypbind etabliert die Verbindung zwischen Client und dem NIS-Server. Diese Verbindung wird sichtbar durch eine Datei im Verzeichnis /var/yp/binding1 , die normalerweise in der Form domainname.version benannt ist. Die einzige z. Z. unterstützte Version ist Version 2. Wenn der Name meiner NIS-Domäne etwa "messiah" lautet, heißt die Datei halt messiah.2
Das Programm ypbind gehört dem Super-User (d. h. root), demzufolge findet es sich entweder in /sbin oder /usr/sbin.
Nach dem Start sucht und findet (hoffentlich) ypbind seine Anweisungen in der Datei /etc/yp.conf. Diese Datei kann folgende Einträge enthalten:
Wenn die Konfigurationsdatei nicht existiert oder falsche Einträge enthält, sucht ypbind per Rundspruch 2 im lokalen Netzwerk nach dem NIS-Server für die lokale Dömäne.
Mit wenigen Schritten können wir sicherstellen, dass ypbind korrekt konfiguriert ist.
program | vers | proto | port | |
100000 | 2 | tcp | 111 | portmapper |
100000 | 2 | udp | 111 | portmapper |
100007 | 2 | tcp | 637 | ypbind |
100007 | 2 | udp | 639 | ypbind |
program | vers | proto | port | |
100000 | 2 | tcp | 111 | portmapper |
100000 | 2 | udp | 111 | portmapper |
100007 | 2 | udp | 758 | ypbind |
100007 | 1 | udp | 758 | ypbind |
100007 | 2 | tcp | 761 | ypbind |
100007 | 1 | tcp | 761 | ypbind |
program 100007 version 2 ready and waiting |
program 100007 version 1 ready and waiting |
program 100007 version 2 ready and waiting |
nisplus | Suche per NIS+ (d. h. NIS Version 3, eine sichere Version von NIS) |
nis | Suche per NIS (NIS Version 2, entspricht YP) |
dns | Suche per DNS (Domain Name Server) |
files | Suche in den lokalen Dateien |
db | Suche in der Datenbank /var/db |
Nachdem unser NIS-Client nun voll funktionsfähig ist, wollen wir sehen, wie er die benötigten Informationen gewinnt.
Wenn ein Client eine Information benötigt, die sich in einem YP-Verzeichnis befindet, sucht er zunächst nach einem YP-Server. Dazu öffnet er eine TCP-Verbindung zum lokalen ypbind-Dämonen. Der Client informiert ihn über die (NIS-)Domäne, zu der er gehört und ypbind setzt mittels der Funktion RPC YPPROC_DOMAIN_NOACK einen Rundspruch im lokalen Netz ab. Die NIS-Server, die diese Domäne bedienen, antworten mit einem ACK. Die anderen verhalten sich ruhig..
ypbind schickt dem Client das Ergebnis der Anfrage (Erfolg oder Mißerfolg), und bei Erfolg die Adresse des YP-Servers, der zuerst geantwortet hat. Der Client kann nun den Server mit seiner Anfrage adressieren, indem er die Domäne, das Verzeichnis und den Schlüssel angibt. .
Dieses Protokol ist ziemlich langsam, weil es TCP-Verbindungen benutzt. Dies wird noch dadurch verschlimmert, weil eine Menge Sockets benutzt werden. Um dies zu vermeiden, wartet ypbind nicht auf Anfragen von Clients. Tatsächlich verwaltet es eine Liste von Servern für jede Domäne in der Datei /var/yp/binding/<domainename>.<version> und überprüft regelmäßig, ob diese Server noch aktiv sind.
Dieser Abschnitt beschreibt kurz einige der Programme aus dem yp-Tools-Paket. Wenn Sie mehr darüber erfahren wollen, können Sie für jedes dieser Tools eine sehr ausführliche Handbuchseite aufrufen ;-P
Bis jetzt haben wir noch nicht über eine NIS-Variante gesprochen. NIS in einem Netzwerk zu benutzen, ist ein großes Sicherheitsrisiko. Wenn z. B. der NIS-Server schlecht geschützt ist und eine Person mit bösen Absichten
NIS+ bietet eine zusätzliche Sicherheitsschicht, indem es ein auf dem Austausch von Schlüsseln basierendes Authentifizierungsprotokoll integriert und Datenverschlüsselung unterstützt..
Die Daten werden in Tabellen gehalten, die sich in verschiedenen Verzeichnissen befinden. Jede Spalte einer Tabelle enthält einen Kopfeintrag, der z. B. angibt, ob bei den Daten Groß-/Kleinschreibung unterschieden wird oder ob es sich um binäre Daten handelt..
Die erwähnte Struktur erlaubt es, Zugriffsrechte für die Verzeichnisse und Tabellen und zusätzlich für die Spalten in den Tabellen zu definieren. Es ist daher möglich, den Zugriff auf die Passwort-Tabelle für jeden Benutzer zu sperren, der nicht auf dem NIS+-Server zugelassen. ist. Aber es erlaubt allen berechtigten Benutzerinnen Zugriff auf die gesamte Passwort-Tabelle mit Ausnahme des "Passwort"-Feldes. Nur der Eigentümer des "Passwort"-Feldes kann dieses abfragen..
Es gibt 4 Sicherheitsstufen:
In dieser Konfiguration ist root nur eine gewöhnliche Benutzerin ... naja, fast;-) Wenn er nicht die entsprechenden Rechte hat, hat er keinen Zugriff auf die Passwörter der anderen Benutzer. So ist es nicht mehr möglich, sich als ein anderer Benutzer zu authentifizieren ... aber ein Wechsel mittels su ist noch möglich :)
Die Daten werden mit Ausnahme der Passwörter im Netz unverschlüsselt übertragen; kein Passwort wird im Klartext übertragen.
NIS+ ist ein mächtiges Werkzeug ... aber es ist schwer zu konfigurieren. Thorsten
Kuduk schreibt folgendes (er arbeitet am NIS, NIS+, NIS-HOWTO ... er weiß also, worüber er spricht ;-) :
"Die Wahl zwischen NIS and NIS+ ist einfach: benutzen Sie NIS, solange Sie keine wichtigen
Sicherheitsbedürfnisse haben. NIS+ ist wesentlich problematischer zu administrieren (ganz besonders
auf der Server-Seite)"
Wir haben erfahren, wie man eine Maschine zu einem existierenden Netzwerk hinzufügt, wenn bereits ein NIS-Server installiert ist. Im nächsten Artikel werden wir sehen, wie man den NIS-Server konfiguriert und wie dieser arbeitet..
|
Der LinuxFocus Redaktion schreiben
© Frédéric Raynal, FDL LinuxFocus.org Einen Fehler melden oder einen Kommentar an LinuxFocus schicken |
Autoren und Übersetzer:
|
2001-06-04, generated by lfparser version 2.15