[ Pobierz całość w formacie PDF ]
.Je¿eli podasz nazwê hosta, serwer bêdzie próbowa³ j¹ rozwi¹zaæ,ale resolver z kolej wywo³a ypserv i wejdziesz w nieskoñczon¹ pêtlê.Aby skonfigurowaæ bezpieczeñstwosecurenetsza pomoc¹ metody /etc/ypserv.securenets, musisz stworzyæ plik konfiguracyjny /etc/ypserv.securenets.Ten plik konfi-guracyjny ma prost¹ strukturê.Ka¿dy wiersz opisuje host lub sieæ, które maj¹ dostêpdo serwera.Wszelkie adresy nie opisane przez wpisy w tym pliku nie bêd¹ mia³ydostêpu do serwera.Wiersz rozpoczynaj¹cy siê do znaku # bêdzie traktowany jakokomentarz.Przyk³ad 13-1 pokazuje, jak wygl¹da prosty plik /etc/ypserv.securenets.* W³¹czenie metody /etc/hosts.allow mo¿e wymagaæ ponownej kompilacji serwera.Przeczytaj instrukcjezawarte w pliku README do³¹czonym do pakietu dystrybucyjnego.236 Rozdzia³ 13: System informacji sieciowejPrzyk³ad 13-1.Przyk³adowy plik ypserv.securenets# dopuszczenie po³¹czeñ z lokalnego hosta - potrzebnehost 127.1# to samo co 255.255.255.255 127.1## dopuszczenie po³¹czeñ z dowolnego hosta z sieci browaru# wirtualnego255.255.255.0 172.16.1.0#Pierwszy wpis w ka¿dym wierszu to maska sieci, a s³owo kluczowehostjest trak-towane jako "maska sieci 255.255.255.255.Drugi wpis w ka¿dym wierszu to adresIP, którego dotyczy maska sieci.Trzecia mo¿liwoSæ to u¿ycie bezpiecznego portmappera zamiast securenets w ypserv.Bezpieczny portmapper (portmap-5.0) wykorzystuje tak¿e schemat hosts.allow, aleudostêpnia go dla wszystkich serwerów RPC, a nie tylko dla ypserv*.Jednak nie powi-nieneS u¿ywaæ jednoczeSnie opcji securenets i bezpiecznego portmappera, poniewa¿spowoduje to nadmiar uwierzytelniania.Konfigurowanie klienta NIS z GNU libcOpiszemy teraz i omówimy konfiguracjê klienta NIS-a wykorzystuj¹cego bibliotekêGNU libc.Pierwszym krokiem powinno byæ powiadomienie klienta NIS, którego serwera mau¿ywaæ.WspomnieliSmy wczeSniej, ¿e to ypbind dla Linuksa pozwala ci na skonfigu-rowanie w³aSciwego serwera NIS.DomySlne zachowanie polega na szukaniu serwe-ra w sieci lokalnej.Je¿eli istnieje prawdopodobieñstwo, ¿e konfigurowany host (naprzyk³ad laptop) bêdzie przenoszony z jednej domeny do drugiej, powinieneS pozo-stawiæ plik /etc/yp.conf pusty i poszukiwaæ serwera w sieci lokalnej.Bezpieczniejsza konfiguracja hostów polega na ustawieniu nazwy serwera w plikukonfiguracyjnym /etc/yp.conf.Bardzo prosty plik dla hosta z sieci winiarni mo¿ewygl¹daæ tak:# yp.conf - Konfiguracja YP dla biblioteki GNU libc#ypserver vbardolinoDyrektywaypservermówi twojemu hostowi, by u¿ywa³ podanej nazwy jako ser-wera NIS dla domeny lokalnej.W tym przyk³adzie podaliSmy serwer NIS vbardoli-no.OczywiScie w pliku hosts musi znajdowaæ siê adres IP odpowiadaj¹cy vbardoli-no.Mo¿esz równie¿ u¿yæ samego adresu IP jako argumentuserver.W postaci pokazanej w przyk³adzie polecenie ypserver informuje ypbind, aby u¿y-wa³o serwera o zadanej nazwie bez wzglêdu na to, jaka jest aktualna domena NIS.Je-¿eli jednak czêsto przenosisz swój komputer pomiêdzy ró¿nymi domenami NIS,warto zachowaæ w pliku yp.conf informacje o serwerach dla kilku domen.Umiesz-* Bezpieczny portmapper jest dostêpny przez anonimowy serwer FTP pod adresem ftp.win.tue.nl wka-talogu /pub/security/Konfigurowanie klienta NIS z GNU libc 237czasz je tam za pomoc¹ dyrektywydomain.Na przyk³ad móg³byS zmieniæ po-przedni przyk³adowy plik, aby dla laptopa wygl¹da³ tak:# yp.conf - Konfiguracja YP dla biblioteki GNU libc#domain winery server vbardolinodomain brewery server vstoutPozwala ci to pod³¹czyæ laptopa do dowolnej z dwóch domen przez ustawieniew czasie inicjacji komputera odpowiedniej domeny NIS poleceniem domainname.Klient NIS u¿ywa serwera odpowiedniego dla danej domeny.Istnieje trzecia mo¿liwoSæ, która mo¿e siê przydaæ.Dotyczy sytuacji, gdy nie znaszani nazwy, ani adresu IP serwera u¿ywanego w okreSlonej domenie, ale obstajeszprzy u¿ywaniu sta³ej nazwy w pewnych domenach.Wyobraxmy sobie, ¿e chcemywymusiæ korzystanie z zadanego serwera w domenie winiarni, ale w domenie bro-waru chcemy szukaæ serwera w sieci.MoglibySmy zmodyfikowaæ nasz plik yp.confdo takiej postaci:# yp.conf - Konfiguracja YP dla biblioteki GNU libc#domain winery server vbardolinodomain brewery broadcastS³owo kluczowebroadcastmówi ypbind, by u¿ywa³ w domenie dowolnego, zna-lezionego serwera NIS.Po stworzeniu tego podstawowego pliku konfiguracyjnego i upewnieniu siê, ¿e jeston czytelny dla wszystkich, powinieneS wykonaæ swój pierwszy test pod³¹czenia siêdo serwera.Sprawdx, czy korzystasz z map rozpowszechnianych przez twój serwer,jak hosts.byname, i spróbuj je odczytaæ za pomoc¹ narzêdzia ypcat:# ypcat hosts.byname172.16.2.2 vbeaujolais.vbrew.com vbeaujolais172.16.2.3 vbardolino.vbrew.com vbardolino172.16.1.1 vlager.vbrew.com vlager172.16.2.1 vlager.vbrew.com vlager172.16.1.2 vstout.vbrew.com vstout172.16.1.3 vale.vbrew.com vale172.16.2.4 vchianti.vbrew.com vchiantiUzyskany wynik powinien przypominaæ to, co pokazaliSmy powy¿ej.Je¿eli pojawi³siê komunikat b³êdu o treSciCan'tbindtoserverwhichservesdomain, toalbo ustawiona przez ciebie nazwa domeny NIS nie ma serwera zdefiniowanegow pliku yp.conf, albo serwer z jakiegoS powodu jest nieosi¹galny.W tym drugimprzypadku sprawdx, czy ping do hosta daje pozytywny wynik, i czy serwer NIS rze-czywiScie dzia³a.Mo¿esz to sprawdziæ, u¿ywaj¹c polecenia rpcinfo, które powinno po-kazaæ nastêpuj¹cy wynik:# rpcinfo -u serwer ypservprogram 100004 version 1 ready and waitingprogram 100004 version 2 ready and waiting238 Rozdzia³ 13: System informacji sieciowejWybór odpowiednich mapJe¿eli jesteS w stanie skomunikowaæ siê z serwerem NIS, musisz zdecydowaæ, którepliki konfiguracyjne zast¹piæ innymi, a do których dodaæ mapy NIS-a.Przewa¿niebêdziesz chcia³ u¿ywaæ dwóch map NIS-a: do przeszukiwania hostów i do przeszu-kiwania hase³.Pierwsza jest szczególnie przydatna, je¿eli nie masz us³ugi nazewni-czej BIND.Druga pozwala na logowanie siê wszystkich u¿ytkowników na kontaz dowolnego systemu nale¿¹cego do domeny NIS.Ma to szczególne znaczenie, je-¿eli posiadasz centralny katalog /home, który hosty wspó³dziel¹ przez NFS.Mapa ha-se³ zostanie szczegó³owo omówiona w nastêpnym podrozdziale.Inne mapy, takie jak services.byname, nie daj¹ tak znacznych korzySci, ale pozwalaj¹zaoszczêdziæ nieco pracy edycyjnej.Mapa services.byname jest cenna, je¿eli instalu-jesz jakieS aplikacje sieciowe wykorzystuj¹ce us³ugi o nazwach, których nie maw standardowym pliku services.Zapewne chcia³byS mieæ jakiS wybór pomiêdzy tym, czy funkcja wyszukiwania u¿y-wa plików lokalnych, zapytuje serwer NIS, czy u¿ywa innych serwerów, jak np.DNS.GNU libc pozwala ci skonfigurowaæ kolejnoSæ, w której funkcja uzyskuje do-stêp do tych us³ug.Jest to kontrolowane przez plik /etc/nsswitch.conf, którego nazwajest skrótem od Name Service Switch.Plik ten oczywiScie nie jest ograniczony dous³ugi nazewniczej.Mo¿e zawieraæ wiersze dla dowolnych us³ug wyszukiwania da-nych, obs³ugiwanych przez GNU libc.Poprawna kolejnoSæ us³ug zale¿y od typu danych, oferowanych przez ka¿d¹z us³ug.Jest ma³o prawdopodobne, by mapa services
[ Pobierz całość w formacie PDF ]