Rozdzia³ 44. NIS i YP Tim Parker W tym rozdziale: * Konfiguracja domeny NIS * Programy rezydentne obs³uguj¹ce NIS * Konfigurowanie komputera-nadzorcy NIS * Konfigurowanie nadzorców zastêpczych * Klienci NIS System NIS (ang. Network Information Service, sieciowy system informacyjny) umo¿liwia dostêp do plików, które normalnie by³yby dostêpne tylko lokalnie, z dowolnego punktu sieci. Takie rozwi¹zanie u³atwia ¿ycie zarówno u¿ytkownikom, jak i administratorom systemu. Podstaw¹ systemu NIS jest wspólny dla ca³ej sieci plik z has³ami, dziêki czemu u¿ytkownik nie musi posiadaæ konta w ka¿dym z pod³¹czonych do sieci komputerów. Zamiast tego komputer-nadzorca (ang. NIS master) kontroluje dostêp do wszystkich innych komputerów. YP (Yellow Pages) to system bêd¹cy poprzednikiem NIS. Nazwa systemu zosta³a zmieniona ze wzglêdu na prawa autorskie, ale wiêkszoœæ terminologii u¿ywanej w opisie systemu NIS pochodzi z systemu YP. W tym rozdziale dowiesz siê, w jaki sposób skonfigurowaæ system NIS w prostej sieci. Niestety, nie wszystkie sieci s¹ proste – w niektórych przypadkach szczegó³y architektury i konfigurowania sieci mog¹ staæ siê bardzo skomplikowane. Choæ ogólne zasady dzia³ania systemu NIS pozostaj¹ takie same, konfigurowanie bardziej z³o¿onych sieci mo¿e wymagaæ dodatkowych zabiegów – co gorsza innych praktycznie w ka¿dym przypadku. Dlatego pozostawimy ten temat na boku, skupiaj¹c siê na prostych sieciach, do których zwykle pod³¹czone s¹ komputery linuxowe. Nazwy plików u¿ywanych do konfigurowania systemu NIS zebrane s¹ w tabeli 44.1. Tabela 44.1. Pliki u¿ywane do konfigurowania systemu NIS Nazwa pliku Funkcja /etc/ethers Odwzorowywanie adresów Ethernet MAC na IP /etc/group Informacje o prawach dostêpu dla grup /etc/hosts Odwzorowywanie adresów IP na nazwy symboliczne /etc/netmasks Maski IP /etc/passwd Informacje o kontach u¿ytkowników /etc/protocols Odwzorowywanie protoko³ów i numerów sieciowych etc/rpc Numery RPC /etc/services Odwzorowywanie numerów portów na protoko³y TCP/IP Podczas konfigurowania komputera-nadzorcy i nadzorców zastêpczych przyjrzymy siê najczêœciej u¿ywanym plikom konfiguracyjnym, zobaczymy równie¿, jakie modyfikacje nale¿y wprowadziæ do plików konfiguracyjnych komputerów maj¹cych pracowaæ w systemie NIS. Konfiguracja domeny NIS W systemie NIS do logicznego grupowania komputerów u¿ywa siê pojêcia domeny. Domena NIS zawiera jeden komputer skonfigurowany jako nadzorca i jeden lub wiêcej komputerów skonfigurowanych jako nadzorcy zastêpczy. Nadzorca zastêpczy przejmuje wszystkie funkcje nadzorcy w takich sytuacjach, jak za³amanie systemu czy problemy z sieci¹. Dziêki takiemu rozwi¹zaniu system dzia³a przez ca³y czas, bez wzglêdu na dostêpnoœæ komputera-nadzorcy. Konfigurowanie nadzorcy zastêpczego jest bardzo proste, wiêc w ka¿dej sieci powinien znaleŸæ siê co najmniej jeden komputer pe³ni¹cy tê rolê. Mo¿na równie¿ podzieliæ obs³ugê NIS pomiêdzy komputer-nadzorcê i jego zastêpcê. Zmiany w plikach konfiguracyjnych nadzorcy s¹ automatycznie rozprowadzane do zastêpców. Obszar domeny NIS nie musi pokrywaæ siê z domen¹ internetow¹, choæ z tak¹ sytuacj¹ mamy do czynienia w wiêkszoœci systemów (czyli, innymi s³owami, ca³a sieæ jest domen¹ NIS). Domena NIS musi posiadaæ nazwê, która równie¿ mo¿e, ale nie musi, pokrywaæ siê z nazw¹ domeny internetowej. Zamiast jednej du¿ej domeny mo¿na te¿ stworzyæ mniejsze domeny NIS, na przyk³ad osobn¹ dla ka¿dego wydzia³u w przedsiêbiorstwie. Aby skonfigurowaæ domenê NIS, powinieneœ najpierw wybraæ dla niej jak¹œ nazwê i ustaliæ numer IP komputera-zarz¹dcy i zarz¹dcy zastêpczego. Jeœli konfigurujesz wiêcej ni¿ jedn¹ domenê, musisz zdecydowaæ, które komputery bêd¹ nale¿a³y do której domeny. Ka¿dy komputer w obrêbie domeny musi zostaæ wyszczególniony w odpowiednim pliku konfiguracyjnym. Konfiguracja domeny NIS wymaga zalogowania siê w ka¿dym systemie pod³¹czonym do sieci i ustawienia we wszystkich systemach takiej samej nazwy domeny za pomoc¹ polecenia: domainname nazwa_domeny Aby ustawiæ nazwê domeny, musisz mieæ uprawnienia administratora. Poniewa¿ jednak takie polecenie zachowuje wa¿noœæ tylko do momentu zrestartowania komputera, najlepiej zapisaæ je w jednym z plików rc (zwykle znajduj¹cych siê w katalogu /etc/rc.d). Szczegó³y dotycz¹ce tej operacji mog¹ ró¿niæ siê w zale¿noœci od wersji Linuxa. W niektórych wersjach Linuxa dostêpne s¹ skrypty automatyzuj¹ce te zadania, na przyk³ad w systemie Caldera OpenLinux dostêpny jest program narzêdziowy, po uruchomieniu którego trzeba tylko podaæ nazwê domeny i adresy IP komputera-nadzorcy i zastêpców (program ten ogranicza ich liczbê do najwy¿ej dwóch). Programy rezydentne obs³uguj¹ce NIS System NIS korzysta z kilku programów rezydentnych dzia³aj¹cych w systemie komputera-nadzorcy i jego zastêpców. Jednym z nich jest program ypserv, obs³uguj¹cy wszystkie ¿¹dania pochodz¹ce od komputerów-klientów. Po stronie klientów dzia³a program ypbind, który jest odpowiedzialny za ³¹czenie siê z nadzorc¹ podczas uruchamiania systemu i podejmowanie wszelkich dzia³añ zwi¹zanych z przesy³aniem danych o u¿ytkownikach i konfiguracji sieci. Proces ³¹czenia siê programu ypbind z komputerem-nadzorc¹ nazywany jest wi¹zaniem (ang. binding). Proces wi¹zania siê z nadzorc¹ rozpoczyna siê w momencie, kiedy komputer-klient wysy³a do wszystkich komputerów informacjê o tym, ¿e poszukuje adresu IP nadzorcy systemu NIS. Nadzorca w odpowiedzi na tak¹ informacjê powinien przes³aæ swój numer IP i numer portu, na którym mo¿e nast¹piæ po³¹czenie. Jeœli odezwie siê wiêcej ni¿ jeden nadzorca, u¿ywany jest numer pierwszego z nich. Jeœli nikt siê nie odezwie, informacja jest ponownie wysy³ana do sieci – a¿ do skutku. Aby sprawdziæ, z którym komputerem-nadzorc¹ system jest aktualnie zwi¹zany, nale¿y wydaæ polecenie ypwhich: $ ypwhich merlin Konfigurowanie komputera-nadzorcy NIS Konfigurowanie komputera-nadzorcy NIS jest czynnoœci¹ doœæ prost¹. Nale¿y zacz¹æ od sprawdzenia, czy wszystkie informacje w plikach /etc/passwd i /etc/group s¹ aktualne; usuñ wpisy o wszystkich nieistniej¹cych ju¿ u¿ytkownikach i grupach, sprawdŸ, czy wszystkie katalogi domowe i interpretery poleceñ uruchamiane przy logowaniu s¹ ustawione prawid³owo. Zwróæ uwagê na to, czy dla ka¿dego konta za³o¿one jest has³o. B³¹d w plikach konfiguracyjnych za pomoc¹ NIS rozprzestrzenia siê na ca³¹ sieæ, znacznie obni¿aj¹c poziom bezpieczeñstwa. Po przygotowaniu plików upewnij siê, ¿e jesteœ zalogowany jako root – tylko wtedy bêdziesz posiada³ odpowiednie prawa dostêpu i pe³ny dostêp do systemu. Pliki mapowania systemu NIS generowane s¹ z plików istniej¹cych w systemie za pomoc¹ programu ypinit z opcj¹ –m (która oznacza, ¿e komputer ma byæ nadzorc¹, ang. master): /usr/sbin/ypinit –m Œcie¿ka dostêpu do programu ypinit mo¿e byæ inna w Twoim systemie – sprawdŸ j¹, jeœli po wydaniu powy¿szego polecenia generowany jest komunikat o b³êdzie. Po uruchomieniu, program ypinit przegl¹da wszystkie pliki NIS wymienione w pliku /var/yp i generuje pliki mapowania, które bêd¹ u¿ywane przez procesy klientów. W niektórych systemach plik spe³niaj¹cy funkcjê tak¹, jak /var/yp, nazywa siê nieco inaczej – na przyk³ad w systemie SCO UNIX jest to jeden z plików zapisanych w katalogu /etc/yp; powinieneœ to sprawdziæ w dokumentacji. Plik /var/yp zawiera listê plików mapowania, które maj¹ zostaæ wygenerowane, i zwykle nie wymaga modyfikacji. Program ypinit tworzy nowy katalog, zazwyczaj o nazwie /var/yp/nazwa_domeny, w którym zapisuje wszystkie wygenerowane pliki. Jeœli konfigurujesz kilka domen obs³ugiwanych przez tego samego nadzorcê, pliki utworzone dla ka¿dej z domen zostan¹ umieszczone w osobnym podkatalogu. Na koniec program ypinit zapyta o komputery spe³niaj¹ce funkcjê nadzorców zastêpczych – powinieneœ podaæ ich nazwy. Nazwy te s¹ zapisywane w pliku w katalogu /var/yp/nazwa_domeny. W niektórych wersjach Linuxa pliki zwi¹zane z NIS znajduj¹ siê w innych ni¿ przyk³adowe katalogach – jeœli nie potrafisz ich znaleŸæ, u¿yj polecenia find. Po wygenerowaniu odpowiednich plików mo¿esz uruchomiæ program rezydentny ypserv. Najlepiej zautomatyzowaæ ten proces, wpisuj¹c do pliku rc polecenie (które byæ mo¿e ju¿ w nim siê znajduje) if [ -f /etc/yp/ypserv –a –d /var/yp/`domainname` ] then /etc/yp/ypserv fi Powy¿szy fragment skryptu powoduje uruchomienie programu ypserv, o ile jest on zainstalowany w systemie i zosta³y wygenerowane odpowiednie pliki. W pierwszym wierszu nazwa polecenia domainname otoczona jest odwróconym pojedynczym cudzys³owem, dziêki czemu polecenie to zostanie wykonane, a w miejsce, w którym siê ono znajduje, zostanie podstawiony wynik jego wykonania (czyli faktyczna nazwa domeny). Jeœli odpowiedni katalog istnieje, uruchamiany jest program ypserv. Powinieneœ podstawiæ w³aœciwe dla Twojego systemu œcie¿ki dostêpu. Mo¿na równie¿ uruchomiæ program ypserv rêcznie (jeœli jesteœ zalogowany jako root), wydaj¹c polecenie /etc/yp/ypserv Nastêpnie w systemie komputera-nadzorcy nale¿y uruchomiæ program ypbind (w przeciwnym przypadku program ypserv nie bêdzie potrafi³ odnaleŸæ plików mapowania). W tym celu mo¿esz do jednego z plików rc dopisaæ nastêpuj¹ce wiersze: if [ -d /var/yp ] then /etc/yp/ypbind fi Tu równie¿ powinieneœ w razie potrzeby podstawiæ odpowiednie dla Twojego systemu œcie¿ki dostêpu. Jeœli jesteœ zalogowany jako root, mo¿esz uruchomiæ program ypbind z wiersza poleceñ. Upewnij siê, ¿e œcie¿ka dostêpu jest prawid³owa. Jeœli chcesz szybko sprawdziæ, czy programy obs³ugi NIS dzia³aj¹ poprawnie, wydaj polecenie: ypmatch reksio passwd Polecenie ypmatch wysy³a do nadzorcy NIS ¿¹danie, by dopasowa³ do pierwszego argumentu wiersz z pliku podanego jako drugi argument. W przyk³adzie sprawdzony zostanie plik passwd (passwd to w zasadzie alias nazwy passwd.byname) w poszukiwaniu wiersza zaczynaj¹cego siê od tekstu reksio. Jako wynik dzia³ania tego polecenia powinien zostaæ wyœwietlony odpowiedni wiersz. Konfigurowanie nadzorców zastêpczych Aby skonfigurowaæ nadzorcê zastêpczego, komputer-nadzorca musi ju¿ byæ skonfigurowany i dzia³aæ. Gdy jesteœ pewny, ¿e pracuje on prawid³owo, zaloguj siê jako administrator systemu, który ma dzia³aæ jako nadzorca zastêpczy. Wczeœniej nale¿y równie¿ ustawiæ nazwê domeny – sprawdŸ wiêc, czy istnieje odpowiednie odwo³anie do programu domainname w jednym z plików rc lub uruchom ten program samodzielnie. Aby skonfigurowaæ nadzorcê zastêpczego i skopiowaæ wszystkie potrzebne pliki konfiguracyjne z komputera-nadzorcy, wydaj polecenie (podstawiaj¹c œcie¿kê dostêpu w³aœciw¹ dla Twojego systemu): /etc/yp/ypbind Za pomoc¹ polecenia ypwhich sprawdŸ, czy po³¹czenie przebieg³o prawid³owo. Powinno ono zwróciæ nazwê komputera-nadzorcy. Na koniec wydaj polecenie: /etc/yp/ypinit –s nazwa_komputera-nadzorcy Opcja –s powoduje, ¿e dany komputer bêdzie zachowywa³ siê jak nadzorca zastêpczy. Zostan¹ za³o¿one odpowiednie katalogi, a z komputera-nadzorcy przes³ane zostan¹ wszystkie potrzebne pliki mapowania. Po zakoñczeniu tych czynnoœci mo¿esz sprawdziæ, czy wszystko jest w porz¹dku, u¿ywaj¹c podobnie jak w poprzednim podrozdziale polecenia ypmatch,. Aby regularnie uaktualniaæ pliki mapowania w komputerach-zastêpcach, u¿ywa siê polecenia ypxfer. Argumentem tego polecenia powinna byæ nazwa pliku, który ma byæ przesy³any, np.: ypxfer passwd.byname Wiêkszoœæ administratorów automatyzuje uaktualnianie plików mapowania albo dodaj¹c odpowiedni wpis do pliku crontab, dziêki czemu transfer odbywa siê regularnie (zwykle w nocy), albo te¿ umieszczaj¹c odpowiednie polecenia w skrypcie uruchamianym przez administratora. Klienci NIS Konfigurowanie komputera korzystaj¹cego z systemu NIS wymaga prawid³owego ustawienia nazwy domeny (za pomoc¹ programu domainname, który mo¿e byæ uruchamiany w jednym z plików rc) oraz wydania polecenia ypbind, wi¹¿¹cego komputer z odpowiednim komputerem-nadzorc¹. Kiedy zachodzi potrzeba znalezienia jakiegoœ wpisu w pliku /etc/passwd lub /etc/group, najpierw przeszukiwane s¹ pliki lokalne, a w razie niepowodzenia do nadzorcy wysy³ane jest zapytanie. Aby by³o to mo¿liwe, w pliku /etc/passwd musi znajdowaæ siê wpis: +:*:0:0::: Zgodnie z formatem pliku /etc/passwd, jest to prawid³owy wpis, choæ nie zawiera ¿adnych informacji. Znak + poleca przes³aæ zapytanie do nadzorcy NIS. Mo¿e on znajdowaæ siê w dowolnym miejscu w pliku – po dojœciu do niego wysy³ane jest zapytanie, a jeœli ono nie przyniesie rezultatu, przeszukiwanie pliku jest kontynuowane. Podsumowanie Konfigurowanie systemu NIS nie jest bardzo z³o¿one. Najtrudniejsz¹ czêœci¹ jest doprowadzenie do odpowiedniej postaci plików u¿ywanych do generowania plików mapowania (g³ównie przez usuwanie starych wpisów) i zapewnienie odpowiedniego poziomu bezpieczeñstwa. Konfigurowanie komputera-nadzorcy i nadzorcy zastêpczego w sumie nie trwa d³u¿ej ni¿ pó³ godziny. Czêsto odnalezienie w systemie odpowiednich programów (w ró¿nych wersjach znajduj¹ siê one w ró¿nych katalogach) zajmuje wiêcej czasu ni¿ sama konfiguracja. Wspó³u¿ytkowanie plików i katalogów za poœrednictwem us³ugi NFS opisane jest w rozdziale 43. „NFS”. Konfigurowanie programów cron i at, pozwalaj¹cych na automatyczne wykonywanie pewnych zadañ w tle, omówione jest w rozdziale 46. „cron i at”. Jak za³o¿yæ i skonfigurowaæ wêze³ internetowy w oparciu o system Linux, dowiesz siê z rozdzia³u 47. „Konfigurowanie wêz³a internetowego”.