NIS istemcinizin yapılandırılası

ypbind

ypbind istemci ve sunucu arasında bir bağlantı kurar. Bağlantı /var/yp/binding¹ altında saklıdır, doysa genellikle domainadı.sürüm. biçimindedir. Yalnızca desteklenen sürüm 2 dir.Dolayısıyla eğer domain adı "messiah" ise dosya ismi mesiah.2 olacaktır.

ypbind programı süper kullanıcıya uyumludur (örnek olarak root) dolayısıyla yeri /sbin, ya da in /usr/sbin altındadır.

ypbind'ı çalıştırdığınızda program /etc/yp.conf dosyasına bakacaktır.Bu dosya şu bilgileri içerir:

• domain nisdomain sunucu konakadı : istemci konakadı için hostname'e , domain için nisdomain'e bakacaktır. ;
• domain nisdomain broadcast : istemci yerel ağa nisdomain ile ilgili genel yayın yapacaktır. ;
• ypserver hostname : istemci adresi konakadı doğrudan yerel domain içindir.Bu yapılandırmada , sunucunun IP aderesi /etc/hosts dosyası içindedir.

Eğer yapılandırma dosyası yok ya da eksikse, ypbind genel yayın yapacak² ağ üzerinde yerel ağ için yerel domain'nin NIS sunucusunu arayacaktır.

Bazı basit devinimler bize ypbind'ın doğru yapılandırıldığını gösterir.

1. /etc/yp.conf dosyasını oluşturun;
2. portmap'in doğruluğuna bakın, çalışıyor mu ? (ps aux | grep portmap). Eğer çalışmıyorsa, bunu çalıştırmak isteyeceğiz. Bu program bilgisayarların TCP/IP (ya da UDP/IP) portlarını programlarla birleştirir. RPC sunucusunun başlaması anında,portmap'e sintal gönderir. Portlar bunu ve program sayılarını dinleyecektir ve çalıştırmak isteyecektir. İstemci RPC talebi yolladığında bir program sayısı verir, bu ilk olarak portmap ile karşılaşır.Buradaki amaç hangi portun RPC paketleri gönderdiğini bilmektir. Bu açıklama gösteriyor ki ypbind çalışmadan önce portmap'in olması zorunludur ;
3. /var/yp dizini oluşturulur ;
4. ypbind'ı çalıştırın ;
5. rpcinfo komutuyla ypbind'ın doğru çalıştığına emin olun :
   • "rpc -p localhost" aşağıdaki bilgileri vermelidir :

     program	vers	proto	port
     100000	2	tcp	111	portmapper
     100000	2	udp	111	portmapper
     100007	2	tcp	637	ypbind
     100007	2	udp	639	ypbind

     or

     program	vers	proto	port
     100000	2	tcp	111	portmapper
     100000	2	udp	111	portmapper
     100007	2	udp	758	ypbind
     100007	1	udp	758	ypbind
     100007	2	tcp	761	ypbind
     100007	1	tcp	761	ypbind

   ya da şunu deneyebilirsiniz:
   • "rpcinfo -u localhost ypbind" komutu şunu vermeli :
     

     program 100007 version 2 ready and waiting

     ou

     program 100007 version 1 ready and waiting

     program 100007 version 2 ready and waiting

   ypbind'ın sürümüne bağlıdır. Önemli bir mesaj sürüm 2 hakkındadır.

Son ayrıntı

• /etc/host.conf : konak aramaları için "nis" 'i ekleyin ;
• /etc/passwd : şu satırı ekleyin:
  +::::::
  Bu, sunucuda yeralan tüm kullanıcılara yetki verir. + ve - sembolleriyle yetkilendrimeyi arındırabilir ya da istemci erişimini yasaklayabiliriz. Misafir kullanıcıya yasak getirmek için şu satırı ekleyebilirsiniz :
  -guest::::::
  Alanlar değiştirilmek istenmez, boş kalmalı.Bununla birlikte daha fazlası olabilir :
  +me::::::/bin/ksh
  "me" kullanıcısı will ksh kullanmak yerine kendi kullanıcı kabuğunu kullanıyor (NIS sunucusunun /etc/passwd dosyasında tanımlı olan).
  Son olarak önemli bir not, NIS 'in kusursuz desteklediği netgroup desteğini vermek istiyorum. ³
  +@sysadmins:::::::
  sysadmin netgrubunun üyelerine yetki verecektir.
• /etc/group (ve/veya /etc/shadow libc'nin kesin sürümleri için) : /etc/passwd'de olduğu gibi eklemelisiniz,
  +:
  Üstelik grup yetkileriyle de + ve - kullanarak oynayabilirsiniz.
• /etc/nsswitch.conf : Ağ Servisleri Değiştiricisi (Network Services Switch) aramada bilgilerin nereden sağlanacağını tanımlamaya yarar, benzer yol /etc/host.conf için de geçerlidir. Seçimler :

  nisplus	lookup via NIS+ (NIS+ ile bakma, örnek: NIS sürüm 3, NIS'in güvenlik sürümüdür)
  nis	lookup via NIS (NIS ile bakma, örnek: NIS sürüm 2, diğer adı YPs)
  dns	lookup via a DNS (Domain İsim Sunucusu)
  files	lookup in the local files (yerel dosyalar)
  db	lookup in the database /var/db (veritabanında)

  Her bakma seçeneğinden sonra, aşağıdaki biçimde komut kullanabilirsiniz
  `[' ( `!'? STATUS `=' ACTION )+ `]'
  
  • STATUS => "success" veya "notfound" veya "unavail" veya "tryagain"
  • ACTION => "return" veya "continue"
  libc 'nin kullanılan sürümüne bağlıdır, bakma yümü için aynı değildir. Örneğin, shadow şifreleri libc5 ile yönetilmez. Makina üzerinde desteklenen servisler /lib/libnss_SERVICE.so.X kitaplığını kullanır. Bu servis üzerine daha fazla bilgiyi nsswitch.conf 'un man sayfalarından bulabilirsiniz.

NIS Protoklü

Şimdi NIS istemcilerimiz bütünüyle işlenebilir, gereksinimimiz olan bilgileri nasıl edineceğimizi göreceğiz.

İstemci Yps haritlarında yer alan bazı bilgilere gereksinim duyduğunda, bunu aramaya YP sunucusundan başlar. . Birini bulmak için , yerel ypbind bir TCP bağlantısı açar. İstemci hangi domain'nin uygun olduğu konusunda bilgi verir ve ypbind RPC YPPROC_DOMAIN_NOACK fonksiyonu anlamına gelen gelen yayın yapar. Bu yayına yalnızca bu domain için olan NIS sunucuları ACK ile yanıt verir.Diğerleri sessizliğini korur.

ypbind istemcinin bakma sonuçlarını (başarılı ya da başarısız) gönderir ve eğer başarırsa ilk YP sunucusu yanıt verir. İstemci artık taleplerini sunucudan karşılayabilir.

Bu protokol TCP bağlantısı kullandığından beri yavaştır.Bazı şeyleri olumsuz etkiler ve pek çok soket kullanır. Bundan kaçınmak için, ypbind sunucuyu bulmadan bağlantı için beklemez. Aslında her domain için sunucuların listesi /var/yp/binding/<domainename>.<sürümü> düzenli olarak denetlenir.

yp-araçları

Bo kısımda yp-tools paketi ile ilgili kısaca bilgi verilecek. package. Daha fazlasını öğrenmek için man sayfalarına bakabilirsiniz, her araç için oldukça geniş açıklamalar bulunmaktadır. ;-P

• domainname : NIS domain ismini tekrarlar ya da düzeltir (seçeneğe bağlı olarak)
• ypcat : NIS haritalarında sunulan değerleri görmeye yarar.
• ypmatch : NIS haritalarındaki bir ya da daha fazla bilgiyi görmeye yarar.
• ypset : ypbind istenilen bir NIS sunucusuna bağlantı kurar.
• ypwhich : NIS sunucusunun ismini verir. -m ile harita ismini verir, ana harita ismini tekrarlar.
• yppoll : haritaların argümanlarını alır ve ana sunucunun domain ismini tekrarlar.

NIS+ üzerine bir kaç söz

Şu ana kadar NIS'in değişik biçimlerinden bahsetmedik.Ağ üzerinde NIS kullanımı büyük bir güvenlik riski demektir. Örneğin NIS sunucusu kötü korunuyorsa ve bazı kişilerin kötü niyeti varsa şunlar keşfedilebilir :

1. NIS domain ismi
2. NIS istemcilerin IP adresleri

NIS+, açkıların değişimi ve veri kodlama üzerine yetkilendirme protokolü tabanlı güvenlik katmanlarına sahiptir.

Bilgi farklı dizinlerdeki tablolarda korunur.Tablonun her kolonu özel bir başlığa sahiptir, örneğin herhangi bir "hasas durum" verisi , ikili taban biçimi, gibi ...

Bir önceki yapıda dizin ve tablo üzerindeki ve elbette tablo üzerindeki kolonlara erişim yetkileri kolaylıkla sağlanır. Bu durum NIS+ üzerinde yetki sahibi olmayan herhangi bir kullanıcının şifre tablolarına erişimi yasaklamasına olanak tanıdığı anlamına geliyor. Fakat bu tüm yetkili kullanıcıların "passwd" alanı dışında şifre tabloları üzerinde giriş yapmalarını sağlar.Yalnızca "passwd" 'nin sahibi bunu düzeltebilir.

4 güvenlik katmanı vardır :

1. Nobody : Kullanıcı yetkilendirilmez ;
2. Owner : Kullanıcı sahip olarak yetkilendirilir ;
3. Group : Kullanıcı yetkilendirilir ve uygun gruba bu nesneye erişim sağlanır ;
4. World : Kullanıcı yetkilendirilir fakat sahibi değildir ve uygun gruba nesneye erişim sağlanmaz.

Bu yapılandırmada, root yalnızca bir diğer kullanıcı ... ya da, neredeyse ;-) Eğer yetkiler düzgün verilmemişse ,diğer kullanıcıların şifrelerini artık göremeyecektir. Dolayısıyla diğer kullanıclar gibi yetkilendirilmek istemeyecektir ... fakat hanüz kolaylıkla su yapabilir :)

Password dışında ağ üzerinde veri dağılmı şifrelenmiş olmayacaktır.Ağda açık yazı tabanlı okunabilir bir Password dosyası olmayacaktır.

NIS+ güçlü bir araçtır ... fakat yapılandırılması zordur. Thorsten Kuduk şunları yazmıştır : (NIS, NIS+, NIS-HOWTO üzerine çalışıyor ... dolayısıyla neden bahsettiğini iyi biliyor ;-) :
"NIS ve NIS+ arasındaki seçimi yapmak çok kolaydır: eğer güvenlik kaygınız yoksa NIS kullanın. NIS+ 'ın yönetimi çok daha problemli olacaktır (özellikle sunucu tarafında)"

Sonuç

NIS sunucusunun zaten kurulu olduğu bir ağa nasıl makina ekleneceğini öğrendik. Bundan sonraki yazıda sunucunun nasıl yapılandırılacağını ve nasıl çalışacağını göreceğiz

Kısa notlar

... var/yp/binding¹

Dosyanın doğru yeri bir dağıtımdan diğerine genellikle çok farklı değildir. Örneğin, ypbind daemon'nın kurulumu başlangıç anında : /etc/init.d/nis, /sbin/init.d/ypclient, /etc/rc.d/init.d/ypbind, /etc/rc.local dosyalarıyladır

... genel yayın(broadcast)²

Bulunulan ağda mesaj, belirli bir hedef adresi olmaksızın gönderilir(X.Y.0.0 gibi).

... netgroup³

/etc/netgroup dosyası üçlü gruplar tanımlar (host, user, domain), uzaktan erişim komutları kullandığınızda yetkilendirmeleri denetler (uzaktan erişim, kabuk ya da mount gibi). Ayrıntılar için man sayfalarına bakın.

Bu yazı için görüş bildiriminde bulunabilirsiniz

2001-08-10, generated by lfparser version 2.17