- •Предмет совместного использования
- •Копирование файлов
- •Install опции [каталог-адресат];
- •Вытягивание Файлов: система expect
- •Сетевая информационная служба
- •"Волшебные ключики" nis
- •Сетевые группы
- •Пренмушества и недостаткн nis
- •Обзор системы nis
- •Конфигурирование клиентов nis
- •Другие системы управления базами аанных
- •Назначение приоритетов источникам административной информации
Конфигурирование клиентов nis
Второй этап — информирование всех машин о том, что они стали членами нового домена, и конфигурирование их таким образом, чтобы они использовали сетевые версии файлов /etc/passwd и /etc/group. Серверы домена, как правило, являются одновременно и клиентами. Файлы /etc/passwd и /etc/group на главном сервере — это файлы, из которых строятся NIS-карты; "волшебные ключики" в них вставлять не нужно.
Команда domainname задает NIS-домен машины. Обычно ее выполняют во время начальной загрузки из одного из сценариев запуска. Некоторые системы проверяют, существует ли файл /etc/defaultdomain, и если да, считывают из него имя домена. Эта схема позволяет задавать имя домена, не редактируя сценарии запуска.
Большинство систем, поддерживающих NIS, также проверяют, является ли текущая машина сервером NIS. Если является, то автоматически запускается демон ypserv. Связанные с NIS команды запуска выглядят примерно следующим образом:
# Tell the local machine what domain it's in
/usr/bin/domainname cssuns
# Check to see if local machine serves that domain
if [-f /etc/ypserv -a -d /var/yp/'domainname']; then
/etc/ypserv; (echo -n ' ypserv') > /dev/console
fi
# Start ypbind
if [ -f /etc/ypbind ]; then
etc/ypbind; (echo -n ' ypbind') >/dev/console
fi
У каждого клиента должна быть минимальная личная версия файлов passwd, group и hosts. Файлы passwd и group необходимы для того, чтобы привилегированный пользователь мог войти в систему при отсутствии сервера NIS. Они должны содержать стандартные системные бюджеты и группы: root, bin, daemon, wheel и т.д. Файл hosts нужен для того, чтобы отвечать на запросы во время начальной загрузки, пока NIS не начала работать. В большинстве систем файлы /etc/passwd и /etc/group должны содержать "волшебный ключик" +, чтобы можно было использовать NIS в качестве источника информации.
NIS+, потомок NIS
Система NIS+, или "NIS на стероидах", в которую больше никто никогда не бросит камень", предназначена для устранения недостатков NIS и введения своих собственных. Она работает с большими компьютерными сетями. В ней предусмотрены встроенны» средства защиты. Она позволяет управлять группами доменов из любой точки сети. Она эффективно пересылает корректировки. Она является распределенной базой данных и отличным десертом; она поет, танцует и рассказывает анекдоты. К сожалению, она слишком сложна для того, чтобы ее можно было описать здесь достаточно подробно.
Хотя серверы NIS+ и могут обслуживать клиентов NIS (с некоторым снижением уровня безопасности), NIS+ — новая система, у которой нет общего с NIS кода. Между NIS и NIS+ имеется несколько существенных различий.
Система доменов NIS+ имеет иерархическую структуру, подобную} иерархии доменной системы имен (DNS). Как и в случае использования NIS, по машинам каждого домена рассылается административная информация различных видов. С целью делегирования административных полномочий домены можно подразделять на поддомены. Каждая машина относится к одному домену, но домены могут обращаться к данным друг друга, что позволяет машинам получать информацию из нескольких доменов. NIS+ больше похожа на базу данных, чем NIS, и позволяет осуществлять поиск в картах (которые здесь называют таблицами) по любому} полю. Благодаря этому устраняется необходимость в ведении для каждого системного файла нескольких карт; в NIS+ каждый файл трактуется как одна таблица. Таблицу можно представить себе как документ, в верхней части которого расположены имена полей, при этом каждая строка представляет собой отдельный элемент файла, В отличие от NIS, в NIS+ не используются обычные файлы. Можно переслать в NIS+ данные из UNIX-файла (или NIS-карты), но после этого NIS+ будет считаться авторитетным источником переданной ей информации; при последующем изменении файла она не станет обновлять свою копию этого файла автоматически. Для внесения изменений нужно пользоваться командой, которая редактирует информацию в таблицах NIS+ непосредственно, NIS+ гораздо эффективнее NIS в ведении подчиненных серверов, которые в NIS+ называют репродукторами (replica). Обычно пересылается только информация о последних произошедших изменениях, а изящная схема регистрации позволяет поддерживать репродукторы, которые вступают в контакт с главным сервером или прекращают контакт с ним. Главный сервер может переслать на репродуктор всю свою базу данных NIS+, если посчитает, что этот репродуктор слишком устарел для пошагового обновления,
NIS+ построена на базе надежной системы вызова удаленных процедур RPC, которая, помимо стандартной аутентификации, обеспечивает аутентификацию на основе метода открытого ключа. Серверы NIS+ можно настроить либо так, чтобы они требовали зашифрованный "мандаты", либо выполняли обычные правила UNIX. Как и обычные файлы, каждый объект NIS+ (таблица, столбец, элемент) имеет владельца и группу; права доступа к объекту устанавливаются отдельно для владельца, группы и прочих пользователей. Те, кто не может предъявить мандаты (это, например, клиенты NIS), могут получить доступ с правами пользователя nobody. "Принципалами" RPC, удовлетворяющими требованиям безопасности системы (объектами, которые могут предъявить мандаты) могут быть и пользователи, и машины. Когда Вы обращаетесь к NIS+ как привилегированный пользователь, вместо мандата привилегированного пользователя используется мандат Вашей машины.
С точки зрения клиента NIS+ выглядит почти так же, как любая другая система управления административной базой данных. Доступ к большинству данных осуществляется посредством обычных библиотечных подпрограмм, и сложный мир доменов, таблиц, прав доступа и путей поиска в конечном итоге сводится к обычным исходным UNIX-файлам.
NIS+ не имеет никакого отношения к DNS, за исключением одинаковой схемы именования. DNS и NIS+ используют имена, обратные путевым именам, используемым в файловой системе; читая имя слева направо, Вы поднимаетесь в иерархии по направлению к корню. Например, cs.colorado.edu — поддомен домена Colorado, edu. Машина в этом домене может иметь имя anchor.cs.colorado.edu.
По соглашению для корня Вашей иерархии NIS+ используется то же имя, что и для DNS-домена верхнего уровня Вашей организации. Если DNS-домен — хог.соm, то корневой домен NIS+ тоже будет называться xor.com, а marketing.xor.com будет, к примеру, поддоменом для отдела маркетинга. Поскольку DNS и NIS+ не взаимодействуют, то, используя одинаковые имена. Вы рискуете только здравостью собственного рассудка.
Формально NIS+ не поддерживает концепции доменов и никому ее не навязывает. В ней просто предлагается базовый метод создания иерархии каталогов NIS+, создания в этих каталогах разных таблиц и привязки частей этой иерархии к различным главным серверам. По соглашению, однако, "домен" в NIS+ — это каталог, который содержит подкаталоги org_dir и groups_dir. Административные данные этого домена помешаются в таблицы, находящиеся в подкаталоге org_dir, а мандаты принципалов NIS+ данного домена определяются в подкаталоге groups_dir. Теоретически в обоих названных подкаталогах могут быть другие подкаталоги, но обычно этого избегают.
Например, org_dir.marketing.xor.com — имя каталога, содержащего системные таблицы домена marketing.xor.com. В плане синтаксиса обращение к таблицам производится как к каталогам: строка hosts.org_dir.marketing.xor.com обозначает NIS+-эквивалент файла /etc/hosts для данного домена. Для обращения к элементу таблицы используется другой синтаксис (здесь он не рассматривается),
В командах NIS+ в качестве аргумента можно задавать и относительные, и полностью определенные имена. Последние оканчиваются точкой и, так же как полностью определенные путевые имена файлов, начинаются с косой черты. Относительные имена проверяются на предмет того, обозначают ли они легитимный объект NIS+ в домене, принимаемом по умолчанию для данной машины; если нет, то по очереди просматриваются все ' родительские каталоги домена.
Например, если сослаться на файл hosts.org_dir на машине, расположенной в домене creative.marketing.xor.com, служба NIS+ будет искать его в трех местах:
hosts.org_dir.creative.marketing.xor.com;
hosts.org_dir.marketing.xor.com; hosts.org_dir.xor.com;
Эти домены будут проверяться в том порядке, в котором они перечислены.