Lähiverkot -erikoistyökurssi Maiju Kansanen 1 NIS Network Information System
Lähiverkot -erikoistyökurssi Maiju Kansanen2 Esityksen kulku Johdanto Vaihtoehdot NIS:n toiminta Kartat NIS –käyttöalue (domain) Palvelin-asiakas-malli Asennus Yhteenveto
Lähiverkot -erikoistyökurssi Maiju Kansanen3 NIS - Network Information System Sun Microsystemsin kehittämä palvelu, joka tarjoaa hajautetun tietokantajärjestelmän verkon yhteisille konfiguraatiotiedostoille kuten /etc/passwd Esim. keskitetty käyttäjienhallinta on yksi NIS:n tehtävistä
Lähiverkot -erikoistyökurssi Maiju Kansanen4 NIS - Network Information System Järjestelmä koostuu palvelimista ja asiakkaista Sopii esimerkiksi oppilaitoksen tai yrityksen verkkoon NIS:n tietoturva ei ole hyvä
Lähiverkot -erikoistyökurssi Maiju Kansanen5 Vaihtoehdot NIS:lle NIS+ Parempi tietoturva kuin NIS:ssä Heikkous palvelimien vaikea hallinnointi Linuxille ei toimivaa versiota Kehitys Linuxille on lopetettu
Lähiverkot -erikoistyökurssi Maiju Kansanen6 Vaihtoehdot NIS:lle LDAP(Lightweight Directory Access Protocoll) Käyttäjien autentikointi sekä koneille pääsy turvattu hyvin Toiminta on NIS:ä tehokkaampaa ja etenkin järjestelmän muutoksia on helpompi hallita
Lähiverkot -erikoistyökurssi Maiju Kansanen7 NIS - toiminta NIS-käyttöalue (domain)= niiden koneiden muodostama kokonaisuus, jossa administratiivista dataa jaetaan NIS:n avulla. Kartat (maps) ovat NIS:n tietokantatiedostoja, joiden avulla korvataan tai laajennetaan koneiden omia konfiguraatiotiedostoja kuten /etc/passwd
Lähiverkot -erikoistyökurssi Maiju Kansanen8 NIS - toiminta Pohjautuu palvelin-asiakas-malliin NIS-palvelimeksi kutsutaan konetta, joka sisältää NIS-tiedostot eli kartat Palvelimia on kahdenlaisia: Pääpalvelimet (master servers) Sivupalvelimet (slave servers) Asiakkaat ovat koneita, jotka kyselevät palvelimelta tietoa kartoista
Lähiverkot -erikoistyökurssi Maiju Kansanen9 NIS - toiminta Pääpalvelin on vastuussa karttojen ylläpidosta ja niiden tiedonjaosta sivupalvelimille Asiakkaat voivat olla yhteydessä joko pääpalvelimeen tai sivupalvelimeen NIS pääpalvelin NIS sivupalvelin asiakas Karttojen siirrot NIS kyselyt Palvelimen ja asiakkaan välinen kommunikointi tapahtuu RPC-protokollan (Remote Procedure Call) avulla
Lähiverkot -erikoistyökurssi Maiju Kansanen10 Palvelimen ja asiakkaan taustaprosessit (daemons) Palvelimen taustaprosessi on nimeltään ypserv Se käsittelee asiakkaiden kyselyjä Huolehtii seuraavista tehtävistä: Asiakkaan tarvitseman tiedon etsiminen kartoista Karttojen ylläpito
Lähiverkot -erikoistyökurssi Maiju Kansanen11 Palvelimen ja asiakkaan taustaprosessit (daemons) Asiakkaan taustaprosessi on nimeltään ypbind Yhdistää asiakkaan palvelimeen Yhdistäminen voidaan tehdä: Tiedustelemalla palvelimia lähettämällä broadcast- viesti paikalliseen verkkoon (tietoturvaongelma) Määrittelemällä palvelimet manuaalisesti ypbind:n konfiguraatiotiedostoon /etc/yp.conf
Lähiverkot -erikoistyökurssi Maiju Kansanen12 Asennus Asennuksessa käytettiin ohjeena verkosta löytyvää Debian NIS howto- opasta Asennukset tehtiin office-verkkoon NIS-pääpalvelin/asiakas: Office3 NIS-sivupalvelin/asiakas:Office2 NIS-asiakas: Office4
Lähiverkot -erikoistyökurssi Maiju Kansanen13 Asennus - Pääpalvelin # aptitude install nis//asentaa ohjelman /etc/hosts //tiedostoon lisättiin kaikki systeemit, //joihin tulee NIS office3. lahiverkot office3 //pääpalvelin office3. lahiverkot office3 //pääpalvelin office2.lahiverkot office2 //sivupalvelin office4.lahiverkot office4 //asiakas NIS-kohdealue (domain) tiedostoon /etc/defaultdomain lahiverkot// valittiin lahiverkot NIS- // kohdealueen nimeksi
Lähiverkot -erikoistyökurssi Maiju Kansanen14 Asennus- Pääpalvelin /etc/default/nis // NIS-taustaprosessien // konfiguraatiot Tiedosto : /etc/default/nis // NIS-taustaprosessien // konfiguraatiot # Are we a NIS server and if so what kind (values: false, slave, master) # Are we a NIS server and if so what kind (values: false, slave, master) NISSERVER=master // office 3 koneesta tehtiin pääpalvelin # Are we a NIS client (i.e. start ypbind?) NISCLIENT=true// toimii myös NIS-asiakkaana Tiedosto: /etc/ypserv.securenetslisää seuraava rivi: # This line gives access to everybody. PLEASE ADJUST! # This line gives access to everybody. PLEASE ADJUST! #sallitaan kaikki koneet office-verkosta #sallitaan kaikki koneet office-verkosta // tietoturvan takia // tietoturvan takia
Lähiverkot -erikoistyökurssi Maiju Kansanen15 Asennus - Pääpalvelin Näillä komennoilla käynnistetään NIS-palvelin (ypserv) sekä salasanataustaprosessi (yppasswdd) /etc/init.d/nis stop /etc/init.d/nis stop /etc/init.d/nis start Komento /usr/lib/yp/ypinit –m aloittaa palvelimen/palvelimien asettamisen Sitä ennen pitää tarkistaa onko olemassa tiedosto /etc/networks. Jos tiedostoa ei ole, luo tyhjä komennolla touch /etc/networks Sitä ennen pitää tarkistaa onko olemassa tiedosto /etc/networks. Jos tiedostoa ei ole, luo tyhjä komennolla touch /etc/networks /usr/lib/yp/ypinit –m pyytää käyttäjää antamaan kaikkien NIS palvelimien verkko-osoitteet. Annettiin (office3). Muita verkko-osoitteita ei vielä annettu, koska ohjelmaa ei ole asennettu muihin verkon koneisiin.
Lähiverkot -erikoistyökurssi Maiju Kansanen16 Asennus - Asiakas # aptitude install nis // asentaa ohjelman Asennus kysyy käyttäjältä suoraan NIS-käyttöaluetta, tähän annetaa sama käyttöalue kun mikä on asetettu palvelimella eli lahiverkot Asiakkaan käynnistäminen: /etc/init.d/nis stop /etc/init.d/nis start Ypbind-taustaprosessi ei käynnistynyt ensimmäisellä kerralla, koska käynnistämiseen tarvittava Portmapper (porttikartoittaja) ei ollut päällä. Komento rpcinfo –p localhost kertoo rpc:n tilasta kyseisellä koneella. Portmapperin (porttikartoittajan) pitäisi olla päällä, mutta jos se ei ole sen saa käynnistettyä komennolla /sbin/portmap
Lähiverkot -erikoistyökurssi Maiju Kansanen17 Asennus - Sivupalvelin Pääpalvelimeen: /var/yp/Makefile asetettiin: NOPUSH="false". Tämän avulla NIS pääpalvelimelle kerrotaan, että sillä on sivupalvelin(slave). Näin kaikki karttamuutokset jaetaan pääpalvelimelta sivupalvelimille. office 2 koneesta tehtiin sivupalvelin kirjoittamalla tiedostoon /etc/default/nis kohtaan NISSERVER=slave ja kohtaan NISCLIENT=true /etc/defaults/nis tiedostoon: masterserver= pääpalvelimen osoite. Tämän avulla, joka kerta kun sivupalvelin käynnistetään, ajetaan myös ypinit –s , jonka avulla kartat siirretään pääpalvelimelta sivupalvelimelle. masterserver= pääpalvelimen osoite. Tämän avulla, joka kerta kun sivupalvelin käynnistetään, ajetaan myös ypinit –s , jonka avulla kartat siirretään pääpalvelimelta sivupalvelimelle.
Lähiverkot -erikoistyökurssi Maiju Kansanen18 Konfigurointi Jokaisen asiakkaan konfiguraatiotiedostoon /etc/yp.conf lisättiin molempien palvelimien osoitteet manuaalisesti # ypserver ypserver.network.com ypserver ypserver Tämä on konfiguraatio ypbind-prosessille. Jos palvelimia ei määriteltäisi täällä, ypbind etsisi niitä broadcast- viestien avulla.
Lähiverkot -erikoistyökurssi Maiju Kansanen19 Konfigurointi Asiakkaan tiedostossa Asiakkaan tiedostossa /etc/nsswitch.conf on oltava seuraavanlaiset rivit: LIBC6:ta varten passwd: compat group: compat shadow: compat netgroup: nis USERS: Lisätään seuraava rivi NIS-asiakkaan tiedoston-/etc/passwd loppuun: +::::::
Lähiverkot -erikoistyökurssi Maiju Kansanen20 Konfigurointi SHADOW: Lisätään seuraava rivi NIS-asiakkaan tiedoston-/etc/shadow loppuun: +:::::::: GROUP: Lisätään seuraava rivi NIS-asiakkaan tiedoston-/etc/group loppuun: +::: Näiden avulla kerrotaan kyseisille tiedostoille, että niitä laajennetaan NIS-kartalla
Lähiverkot -erikoistyökurssi Maiju Kansanen21 Esimerkki /etc/passwd -tiedostosta root:x:0:0:root:/root:/bin/bashdaemon:x:1:1:daemon:/usr/sbin:/bin/shbin:x:2:2:bin:/bin:/bin/shsys:x:3:3:sys:/dev:/bin/shsync:x:4:65534:sync:/bin:/bin/syncgames:x:5:60:games:/usr/games:/bin/shman:x:6:12:man:/var/cache/man:/bin/shlp:x:7:7:lp:/var/spool/lpd:/bin/shmail:x:8:8:mail:/var/mail:/bin/shnews:x:9:9:news:/var/spool/news:/bin/sh lahi:x:1000:1000:Herra Kokeilija,,,:/home/lahi:/bin/bash +::::::// lisää NIS-kartan /etc/passwd tiedostoon
Lähiverkot -erikoistyökurssi Maiju Kansanen22 Ylläpito Käynnistys ja sammutus tapahtuu komennoilla: /etc/init.d/nis stop /etc/init.d/nis stop /etc/init.d/nis start /etc/init.d/nis restart /etc/init.d/nis restart Seuraavassa on muutamia komentoja, joiden avulla saadaan tietoa NIS:n tilasta: rpcinfo –p localhost -komennolla voidaan selvittää, ovatko NIS:n prosessit kuten ypbind tai ypserv käynnissä ypwhich –komennolla voidaan asiakkaassa testata, mihin palvelimeen se on yhdistynyt ypcat passwd saadaan näytölle tulostettua NIS-salasanakartta ypmatch käyttäjätunnus passwd –tulostaa kyseisen käyttäjän /etc/passwd tiedot ruudulle
Lähiverkot -erikoistyökurssi Maiju Kansanen23 Ylläpito Uusien käyttäjien lisääminen pääpalvelimella tapahtuu komennolla adduser käyttäjätunnus Karttoihin tehdyt muutokset siirretään pääpalvelimelta sivupalvelimille seuraavalla komennolla: cd /var/yp //siirrytään hakemistoon make// siellä ajetaan make
Lähiverkot -erikoistyökurssi Maiju Kansanen24 Yhteenveto NIS on edelleen käytössä useissa paikoissa, vaikka onkin jo vanha järjestelmä Suurin heikkous on tietoturvan puute NIS:n tilalle kehitetty tehokkaampia ja tietoturvaltaan parempia järjestelmiä kuten NIS+ ja LDAP NIS:n implementointi on suhteellisen yksinkertraista