搭建NIS服務(wù)器實(shí)現(xiàn)用戶(hù)集中化認(rèn)證

搭建NIS服務(wù)器實(shí)現(xiàn)用戶(hù)集中化認(rèn)證

NIS服務(wù)器概述

NIS網(wǎng)絡(luò)信息服務(wù)，模式是C/S 模式。NIS是集中控制幾個(gè)系統(tǒng)管理數(shù)據(jù)庫(kù)的網(wǎng)絡(luò)產(chǎn)品。NIS簡(jiǎn)化了UNIX和LINUX桌面客戶(hù)的管理工作，客戶(hù)端利用它可以使用中心服務(wù)器的管理文件。桌面系統(tǒng)的用戶(hù)無(wú)需建立他們自己的/etc/passwd。管理員只需要簡(jiǎn)單的使用維護(hù)NIS服務(wù)器的文件即可。 

    Linux系統(tǒng)中用戶(hù)按地域分兩類(lèi)： 本地用戶(hù)， 遠(yuǎn)程用戶(hù)（ＮＩＳ，ＬＤＡＰ，ＡＤ） 

ypbind是定義NIS服務(wù)器的客戶(hù)端進(jìn)程。一旦確定了服務(wù)器位置，客戶(hù)機(jī)綁定到了服務(wù)器上，所有客戶(hù)端的查詢(xún)都發(fā)往NIS服務(wù)器。 

ypserv是回答客戶(hù)端查詢(xún)的服務(wù)器進(jìn)程。 

使用的場(chǎng)景：

 在一個(gè)大型的網(wǎng)域當(dāng)中，如果有多部 Linux 主機(jī)，萬(wàn)一要每部主機(jī)都需要設(shè)定相同的賬號(hào)與密碼時(shí)，如果能夠有一部賬號(hào)主控服務(wù)器來(lái)管理網(wǎng)域中所有主機(jī)的賬號(hào)， 當(dāng)其他的主機(jī)有用戶(hù)登入的需求時(shí)，才到這部主控服務(wù)器上面要求相關(guān)的賬號(hào)、密碼等用戶(hù)信息， 如此一來(lái)，如果想要增加、修改、刪除用戶(hù)數(shù)據(jù)，只要到這部主控服務(wù)器上面處理即可， 這樣就能夠降低重復(fù)設(shè)定使用者賬號(hào)的步驟了!

NIS工作流程

    NIS服務(wù)的應(yīng)用結(jié)構(gòu)分為NIS服務(wù)器和NIS客戶(hù)機(jī)兩種角色，NIS服務(wù)器集中維護(hù)用戶(hù)的帳號(hào)信息（數(shù)據(jù)庫(kù)）供NIS客戶(hù)機(jī)進(jìn)行查詢(xún)，用戶(hù)登錄任何一臺(tái)NIS客戶(hù)機(jī)都會(huì)從NIS服務(wù)器進(jìn)行登錄認(rèn)證，可實(shí)現(xiàn)用戶(hù)帳號(hào)的集中管理。
    1.Nis Master先將帳號(hào)密碼相關(guān)文件制作成數(shù)據(jù)庫(kù)文件；
    2.若有帳號(hào)密碼變動(dòng)時(shí)，需要重新制作數(shù)據(jù)庫(kù)文件并重新同步Master/Slave。
    3.NIS client 若有登入需求時(shí)，會(huì)先查詢(xún)其本機(jī)的 /etc/passwd, /etc/shadow 等檔案； 
    4.若在 NIS Client 本機(jī)找不到相關(guān)的賬號(hào)數(shù)據(jù)，才開(kāi)始向整個(gè) NIS 網(wǎng)域的主機(jī)廣播查詢(xún)； 
    5.每部 NIS server (不論 master/slave) 都可以響應(yīng)，基本上是『先響應(yīng)者優(yōu)先』

一：實(shí)驗(yàn)?zāi)繕?biāo) 

實(shí)戰(zhàn)：配置NIS服務(wù)器實(shí)現(xiàn)集中化認(rèn)證。 

實(shí)戰(zhàn)：在客戶(hù)端自動(dòng)掛載NIS用戶(hù)家目錄 

二：實(shí)驗(yàn)環(huán)境

NIS服務(wù)端  ：xuegod63   IP：192.168.1.63

Web服務(wù)端 ：xuegod64   IP：192.168.1.64

客戶(hù)端     ：xuegod62   IP：192.168.1.62

三：實(shí)驗(yàn)代碼

1、環(huán)境搭建

1）NIS服務(wù)器：xuegod63： 

[root@xuegod63 ~]# rpm -ivh /mnt/Packages/ypserv-2.19-22.el6.x86_64.rpm

#NIS服務(wù)的主程序包。

[root@xuegod63 ~]# service iptables stop

2）NIS客戶(hù)端：xuegod64

[root@xuegod64 ~]# rpm -ivh /mnt/Packages/ypbind-1.20.4-29.el6.x86_64.rpm #NIS客戶(hù)端，ypind進(jìn)程包

[root@xuegod64 ~]# rpm -ivh /mnt/Packages/yp-tools-2.9-12.el6.x86_64.rpm #NIS客戶(hù)端工具，用來(lái)查詢(xún)數(shù)據(jù)庫(kù)信息。

[root@xuegod63 ~]# rpm -qf `which yppasswd ` #使用yppasswd可以遠(yuǎn)程修改NIS服務(wù)器用戶(hù)的密碼

yp-tools-2.9-12.el6.x86_64

[root@xuegod64 ~]# service iptables stop

實(shí)戰(zhàn)：配置NIS服務(wù)器實(shí)現(xiàn)集中化認(rèn)證

通過(guò)NIS服務(wù)器可以使用帳號(hào)nisuser1，登錄公司的samba服務(wù)器、郵件服務(wù)器、WEB服務(wù)器等

認(rèn)證過(guò)程：

NIS服務(wù)器的域名：NIS

服務(wù)端主機(jī)名：xuegod63.cn

客戶(hù)端主機(jī)名：xuegod64.cn

1、安裝NIS服務(wù)器 ：xuegod63

1）創(chuàng)建nis用戶(hù)專(zhuān)用目錄（方便后期實(shí)現(xiàn)：NIS+autofs的功能）

[root@xuegod63 ~]# mkdir  /home/nishome/

[root@xuegod63 ~]# useradd -d /home/nishome/nisuser1 nisuser1  

[root@xuegod63 ~]# useradd -d /home/nishome/nisuser2 -s /sbin/nologin nisuser2 #后期測(cè)試是否可以使用此帳號(hào)能否登錄其它系統(tǒng)

[root@xuegod63 ~]#  echo 123456 | passwd --stdin nisuser1

[root@xuegod63 ~]#  echo 123456 | passwd --stdin nisuser2

2）設(shè)置NIS域名

NIS是會(huì)通過(guò)域名來(lái)分辨不通賬號(hào)的密碼數(shù)據(jù)，因此必須要在服務(wù)器與客戶(hù)端都指定相同的NIS域名才行。

[root@xuegod63 ~]# nisdomainname

(none)

方法1：永久生效，需要重啟機(jī)器

[root@xuegod63 ~]# vim /etc/sysconfig/network #在文件最后，添加以下內(nèi)容

cat /etc/sysconfig/network

NETWORKING=yes

HOSTNAME=xuegod63.cn

NISDOMAIN=xuegod.cn

[root@xuegod63 ~]# service network restart

方法2：臨時(shí)生效

[root@xuegod63 ~]# nisdomainname xuegod.cn #臨時(shí)生效，和hosname用法一樣

[root@xuegod63 ~]# nisdomainname

xuegod.cn

3）配置hosts文件：主機(jī)名與IP的對(duì)應(yīng)

[root@xuegod63 ~]# vim /etc/hosts

127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4

::1 localhost localhost.localdomain localhost6 localhost6.localdomain6

192.168.1.63 xuegod63.cn

192.168.1.64 xuegod64.cn 

4）設(shè)置/etc/ypserv.conf主配置文件

[root@xuegod63 ~]#vim /etc/ypserv.conf 

配置：允許所有內(nèi)網(wǎng)客戶(hù)端可以連接NIS服務(wù)器，除此之外的客戶(hù)端都拒絕連接。

如圖：

 ypserv.conf文件是逐行解釋執(zhí)行，所以要注意設(shè)置順序

5）建立NIS數(shù)據(jù)庫(kù)

（1）首先要啟動(dòng)ypserv服務(wù)，否則建立NIS數(shù)據(jù)庫(kù)會(huì)報(bào)錯(cuò)

[root@xuegod63 ~]# service ypserv start

（2）創(chuàng)建數(shù)據(jù)庫(kù)：

[root@xuegod63 ~]# ll /usr/lib64/yp/ypinit #使用這個(gè)命令，必須寫(xiě)絕對(duì)路徑

-rwxr-xr-x 1 root root 4088 Aug 31 2011 /usr/lib64/yp/ypinit

[root@xuegod63 ~]# echo $PATH #沒(méi)有在PATH中

/usr/lib64/qt-3.3/bin:/usr/local/sbin:/usr/sbin:/sbin:/usr/local/bin:/usr/bin:/bin:/root/bin

[root@xuegod63 conf]# /usr/lib64/yp/ypinit -m  # 這里必須是全路徑，m - master

next host to add: xuegod63.cn

next host to add: #Ctrl+D結(jié)束輸入

Is this correct? [y/n: y] y 

We need a few minutes to build the databases...

Building /var/yp/xuegod.cn/ypservers...

Running /var/yp/Makefile... # 生成哪個(gè)NIS數(shù)據(jù)庫(kù)文件 

gmake[1]: Leaving directory `/var/yp/xuegod.cn'

xuegod63.cn has been set up as a NIS master server.

Now you can run ypinit -s xuegod63.cn on all slave server.

[root@xuegod63 ~]# ls /var/yp #生成一個(gè)xuegod.cn 目錄。

binding Makefile nicknames xuegod.cn ypservers

說(shuō)明： 每次手動(dòng)更改數(shù)據(jù)庫(kù)內(nèi)容后，（比如更新用戶(hù)密碼） 。 就需要執(zhí)行： /usr/lib64/yp/ypinit  -m

6）重啟服務(wù)： 不重啟，否則添加新數(shù)據(jù)將無(wú)法生效

[root@xuegod63 ~]# service ypserv restart

[root@xuegod63 ~]# /etc/init.d/yppasswdd restart

[root@xuegod63 ~]# chkconfig ypserv on

[root@xuegod63 ~]# chkconfig yppasswdd on

2、配置客戶(hù)端：xuegod64

1）安裝NIS客戶(hù)端具

[root@xuegod64 ~]# rpm -ivh /mnt/Packages/ypbind-1.20.4-29.el6.x86_64.rpm [root@xuegod64 ~]# rpm -ivh /mnt/Packages/yp-tools-2.9-12.el6.x86_64.rpm

2）加入域

[root@xuegod64 ~]# system-config-authentication #此命令需要在圖形界面執(zhí)行

在“User Account Configuration”出選擇“NIS”，填入相應(yīng)的NIS信息，如下圖

點(diǎn)擊“Apply”之后，如下圖測(cè)試：

注：這里要是綁定失敗，應(yīng)該是防火墻的問(wèn)題，要將防火墻關(guān)閉的

（1）查看執(zhí)行system-config-authentication后，修改的內(nèi)容： 

[root@xuegod64 Desktop]# cat /etc/sysconfig/network

HOSTNAME=xuegod64.cn

NETWORKING=yes

NISDOMAIN=xuegod.cn 

[root@xuegod64 Desktop]#

[root@xuegod64 Desktop]# vim /etc/nsswitch.conf # 修改密碼驗(yàn)證方式

33 passwd: files nis

34 shadow: files nis

35 group: files nis

3、測(cè)試登錄

1）xuegod63上遠(yuǎn)程登錄：

[root@xuegod63 ~]# ssh nisuser1@192.168.1.64

nisuser1@192.168.1.64's password:

Could not chdir to home directory /home/nishome/nisuser1: No such file or directory

-bash-4.1$

2）在xueogd64上測(cè)試：

[root@xuegod64 Desktop]# su - nisuser1

su: warning: cannot change directory to /home/nishome/nisuser1: No such file or directory

-bash-4.1$

#能使用NIS帳號(hào)登錄系統(tǒng)，說(shuō)明配置成功。

3）查看NIS客戶(hù)服務(wù)ypbind的配置文件

[root@xuegod64 ~]# tail /etc/yp.conf #指定了NIS服務(wù)器地址 ，查看最后一行，在客戶(hù)端/etc/yp.conf文件中設(shè)置NIS服務(wù)器的主機(jī)名和NIS域名

domain xuegod.cn server 192.168.1.63

4）重新啟動(dòng)ypbind服務(wù)

[root@xuegod64 Desktop]# service ypbind restart 重新啟勱ypbind服務(wù)

[root@xuegod64 Desktop]# chkconfig ypbind on 設(shè)置開(kāi)機(jī)啟勱ypbind服務(wù)

5）測(cè)試修改密碼

yppasswd 客戶(hù)端可以使用yppasswd命令修改帳號(hào)和密碼

注意：密碼長(zhǎng)度不能少于6位。此外使用yppasswd命令可以自勱更新NIS數(shù)據(jù)庫(kù)中內(nèi)容。：通過(guò)yppasswd（1）修改密碼

[root@xuegod63 ~]# ssh nisuser1@192.168.1.64

-bash-4.1$ yppasswd

Changing NIS account information for nisuser1 on xuegod63.cn.

Please enter old password:123456

Changing NIS password for nisuser1 on xuegod63.cn.

Please enter new password:123456789

Please retype new password:123456789

The NIS password has been changed on xuegod63.cn.

（2）使用新密碼登錄：

[root@xuegod64 ~]# ssh nisuser1@192.168.1.64

nisuser1@192.168.1.64's password: 123456789

Last login: Thu Apr 16 20:11:20 2015 from xuegod64.cn

Could not chdir to home directory /home/nishome/nisuser1: No such file or directory

-bash-4.1$

方法二： 

[root@xuegod63 ~]# ssh nisuser1@192.168.1.64

-bash-4.1$ passwd #直接使用passwd命令，新密碼要復(fù)雜一些

實(shí)戰(zhàn)：在客戶(hù)端實(shí)現(xiàn)自動(dòng)掛載NIS用戶(hù)家目錄

描述： xuegod63 配置NFS，把NIS用戶(hù)的家目錄共享出去， NIS用戶(hù)在客戶(hù)端登錄，使用autofs自動(dòng)掛載NIS用戶(hù)家目錄。

:

1、xuegod63 配置NFS

1）安裝 xuegod63，配置NFS：

[root@xuegod63 ~]# rpm -ivh /mnt/Packeges/nfs-utils-1.2.3-15.el6.x86_64

[root@xuegod63 ~]# ls /home/nishome/

nisuser1 nisuser2

[root@xuegod63 ~]# vim /etc/exports #寫(xiě)入以下內(nèi)容

/home/nishome 192.168.1.0/255.255.255.0(rw,sync)

2）啟動(dòng)服務(wù)并設(shè)置開(kāi)機(jī)自啟動(dòng)

[root@xuegod63 ~]# /etc/init.d/nfs restart  

[root@xuegod63 ~]# showmount -e 192.168.1.63

Export list for 192.168.1.63:

/home/nishome 192.168.1.0/255.255.255.0、

[root@xuegod63 ~]# chkconfig nfs on

2、xuegod64 所有的NIS客戶(hù)端，安裝autofs

1）安裝autofs

[root@xuegod64 Desktop]# rpm -qf /etc/init.d/autofs

autofs-5.0.5-39.el6.x86_64

[root@xuegod64 Desktop]# yum install -y autofs

2）配置autofs

[root@xuegod64 Desktop]# vim /etc/auto.master #autofs服務(wù)主配置文件

8  /home/nishome  /etc/auto.nishome  #/home/nishome 掛載點(diǎn)

#如果要自動(dòng)掛載/home/nishome，就去找/etc/auto.nishome這個(gè)配置文件。

3）修改配置文件

[root@xuegod64 ~]# vim /etc/auto.nishome  

* -rw 192.168.1.63:/home/nishome/& # 目下的所有文件，

#autofs支持掛載目錄使用通配符“*”表示，而網(wǎng)絡(luò)路徑中的用戶(hù)名使用“&”表示 如果進(jìn)入本地的/home/nishome中，（這個(gè)前綴已經(jīng)在剛才的/etc/auto.master中挃定了），就會(huì)把192.168.1.63上/home/nishome/上對(duì)應(yīng)的目錄掛過(guò)來(lái)。

4）重啟服務(wù)并開(kāi)機(jī)啟動(dòng)： 

[root@xuegod64 ~]# /etc/init.d/autofs restart

[root@xuegod64 ~]# chkconfig autofs on

3、測(cè)試： 

1）Xuegod63上測(cè)試遠(yuǎn)程登錄

[root@xuegod63 ~]# ssh nisuser1@192.168.1.64

nisuser1@192.168.1.64's password: 123456

Last login: Thu Apr 16 22:04:25 2015 from xuegod63.cn

[nisuser1@xuegod64 ~]$

、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、

Nis不僅僅是做集中化認(rèn)證，還有其他的作用

#在不同的用戶(hù)家目錄下放不同的軟件和工具： 登錄不同帳號(hào)，就可以擁有對(duì)應(yīng)的軟件或腳本

[root@xuegod63 ~]# echo " cp -rv /var/www/html /tmp/" > /home/nishome/nisuser1/auto-back.sh

[root@xuegod63 ~]# chmod +x !$

chmod +x /home/nishome/nisuser1/auto-back.sh

（1）讓nisuser1作為專(zhuān)門(mén)備份用戶(hù)： 

[root@xuegod63 ~]# ssh nisuser1@192.168.1.64

nisuser1@192.168.1.64's password:

[nisuser1@xuegod64 ~]$ ./auto-back.sh

`/var/www/html' -> `/tmp/html'

`/var/www/html/index.html' -> `/tmp/html/index.html'

（2）回顧： mount 掛載nfs文件：

[root@xuegod64 ~]# mount 192.168.1.63:/home/nishome  /opt/

[root@xuegod64 ~]# ls /opt/

nisuser1 nisuser2