[Linux]NIS: 集中化認(rèn)證服務(wù)

在本篇博文中，我們來(lái)看下經(jīng)常和NFS搭配使用的NIS服務(wù)的配置和使用方法。NIS(Network Information Services)允許賬號(hào)登錄和其它服務(wù)諸如：主機(jī)名解析，xinetd網(wǎng)絡(luò)服務(wù)配置等等可以在一臺(tái)NIS Server服務(wù)器上集中完成，極大方便了企業(yè)運(yùn)維管理人員。本文主要著眼于NIS用戶賬號(hào)登錄認(rèn)證的的使用和配置。需要注意的是：NIS的客戶端和服務(wù)器端進(jìn)行通信的時(shí)候并未使用加密算法，因而建議僅僅在獨(dú)立網(wǎng)絡(luò)或者是有防火墻防護(hù)的私有網(wǎng)絡(luò)使用NIS。

NIS簡(jiǎn)介

NIS服務(wù)將許多原本需要在本地提供的文件移至了服務(wù)器端，而每當(dāng)客戶端需要使用這些文件的時(shí)候，它可以向服務(wù)器端發(fā)起申請(qǐng)從而獲得這些文件。通常而言，常用的文件有：/etc/passwd,/etc/shadow,/etc/groups,/etc/hosts,/etc/services,/etc/networks,/etc/rpc,/etc/protocols,/etc/aliases等等。由NIS Server和NIS Client所組成的集群我們稱之為一個(gè)NIS域。而每一個(gè)NIS域中必須進(jìn)行時(shí)間同步，通常而言，這可以通過(guò)使用NTP服務(wù)實(shí)現(xiàn)。

事實(shí)上，隨著科技的發(fā)展，在集中化認(rèn)證服務(wù)上，LDAP已經(jīng)逐步取代了NIS成為越來(lái)越多的企業(yè)的選擇，因?yàn)?/span>LDAP相較NIS而言，具有跨平臺(tái)、更好的web客戶端支持及桌面應(yīng)用支持的優(yōu)勢(shì)。想要了解的朋友可以自行百度。

NIS服務(wù)器端配置

NIS服務(wù)器端配置需要的RPM包有：

l   Ypbind          rpc端口綁定服務(wù)

l   Portmap        rpc端口映射服務(wù)，在centos6上已經(jīng)被rpcbind服務(wù)取代

l   Ypserv           NIS server服務(wù)

l   Yp-tools        NIS支持命令（ypcat,yppasswd,ypwhich…）

l   Nscd             處理密碼和組查詢功能并且進(jìn)行緩存。LDAP和NIS均需要用到該服務(wù)。它定義了NIS支持查詢的文件，比如說(shuō)，認(rèn)證需要passwd shadow和group文件的支持。其配置文件位于/etc/ncsd.conf中。

NIS SERVER端需要修改的配置文件

?   /etc/sysconfig/network—該文件主要用來(lái)設(shè)定NISDOMAIN的域名

例如：

NETWORKING=yes

HOSTNAME=nisServerName

NISDOMAIN=lab2

?   /etc/yp.conf  ----該文件主要用來(lái)設(shè)定NIS Server的IP地址，及本身所處的NIS domain域，該文件主要應(yīng)在client端設(shè)定，如果server本身也擬作NIS認(rèn)證，則在Server端也需要做這些設(shè)置。

例如：domain lab2 server 127.0.0.1

在這個(gè)例子中，假設(shè)NIS Server本身登錄時(shí)也要做nis認(rèn)證，因此將server的地址更改為自身的loopback地址，lab2即為NISDOMAIN域的域名。

?   /etc/nsswitch.conf----該文件定義系統(tǒng)登錄時(shí)查找相應(yīng)賬戶信息的查找順序

passwd: files nis

shadow: files nis

group: files nis

上述配置文件的含義為：當(dāng)系統(tǒng)登錄時(shí)，首先查找本地的/etc/passwd（/etc/shadow,/etc/group），如果沒(méi)有找到相關(guān)的認(rèn)證信息則就會(huì)到NIS服務(wù)器上查找相應(yīng)的配置文件。

/etc/ypserv.conf這個(gè)文件用于設(shè)置1）NIS Server的相關(guān)屬性，2）自身哪些文件可以被哪些客戶端訪問(wèn)。各項(xiàng)含義說(shuō)明如下：

==========NIS SERVER的相關(guān)屬性===================

dns: no                                                    是否使用dns解析主機(jī)名

files: 30                                                     緩存文件個(gè)數(shù)

slp: no                                                     是否使用slp

slp_timeout: 3600                                      slp超時(shí)時(shí)間

xfr_check_port: yes                                    是否對(duì)xfr使用的端口進(jìn)行檢查

================訪問(wèn)規(guī)則==========================

* : * : shadow.byname : port                      

* : * : passwd.adjunct.byname : port

訪問(wèn)規(guī)則的形式如下：

host:domain:map:security

host: 定義可以使用NIS服務(wù)的終端主機(jī)的地址范圍 *代表允許所有主機(jī)訪問(wèn)

domain:定義了該條規(guī)則應(yīng)用于那個(gè)domain域 *代表所有NIS domain域

map: 映射文件的名稱，*代表所有映射文件

security：總共有三個(gè)選項(xiàng)none,port,deny

none:允許所有訪問(wèn)

port:如果訪問(wèn)端口號(hào)來(lái)源小于1024則允許訪問(wèn)，否則不允許訪問(wèn)。

Deny:不允許訪問(wèn)此條映射

所以如果nis client端調(diào)試不通的時(shí)候，可以編制訪問(wèn)規(guī)則：

*:*:*:none 測(cè)試是否是由于策略問(wèn)題，導(dǎo)致無(wú)法訪問(wèn)NIS Server。

設(shè)置完成后以root用戶執(zhí)行如下命令：

# nisdomainname name-of-domain ---設(shè)置nis domain域名，即時(shí)生效，重啟失效

# service rpcbind start    

# service yppasswdd start

# service ypserv start

# /usr/lib64/yp/ypinit -m

ypint -m命令使用-m參數(shù)將本臺(tái)NIS Server配置為一臺(tái)主NIS Server ,這會(huì)將本機(jī)的/etc/passwd，/etc/shadow, /etc/hosts等等文件轉(zhuǎn)換成NIS GNU dbm數(shù)據(jù)庫(kù)格式，并且產(chǎn)生一個(gè)make文件。

最后，我們可以使用rpcinfo –p localhost命令檢查本機(jī)rpcbind及ypserv等等服務(wù)是否已經(jīng)使能并運(yùn)行。

以上就是NIS 服務(wù)器端的配置，下面我們看一下NIS Client端的配置。

NIS客戶端配置

需要的RPM包：

ypbind 

rpcbind

yp-tools

修改配置文件：/etc/sysconfig/network， /etc/yp.conf， /etc/nsswitch.conf等等與server端的修改相似，不再贅述。

而后運(yùn)行命令：

       service rpcbind restart

       service ypbind restart   

       運(yùn)行命令:rpcinfo –u localhost ypbind查看portmapper服務(wù)是否成功啟動(dòng)并且ypbind已經(jīng)成功注冊(cè)。事實(shí)上，對(duì)于客戶端的配置有個(gè)圖形化的配置工具authconfig-tui，使用起來(lái)非常簡(jiǎn)單，僅需簡(jiǎn)單的啟用NIS，并設(shè)置好NIS服務(wù)器的主機(jī)名即可。

通過(guò)上述幾個(gè)步驟，就可以設(shè)置好NIS Server端和Client端的配置，而后就可以通過(guò)ssh client端的地址進(jìn)行測(cè)試，查看是否成功設(shè)置了NIS服務(wù)。此時(shí)，有一個(gè)小問(wèn)題，因?yàn)楫?dāng)客戶端成功通過(guò)服務(wù)器端驗(yàn)證并登陸后，其會(huì)在本地查找用戶家目錄，但此時(shí)我們?cè)诳蛻舳瞬⑽从邢鄳?yīng)的用戶家目錄，因此會(huì)有一點(diǎn)小問(wèn)題，解決方案也很簡(jiǎn)單，即在服務(wù)器端通過(guò)NFS將用戶的家目錄/home導(dǎo)出，并在客戶端進(jìn)行掛載即可，這也是NFS和NIS搭配使用的一個(gè)原因。

       好了，關(guān)于NIS，就先分享到這里，有不對(duì)的地方歡迎批評(píng)指正！