<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN">
<HTML>
<HEAD>
<META NAME="GENERATOR" CONTENT="SGML-Tools 1.0.9">
<TITLE>The Linux NIS(YP)/NYS/NIS+ HOWTO: Cos'è necessario fare per mettere su un NIS?</TITLE>
<LINK HREF="NIS-HOWTO-7.html" REL=next>
<LINK HREF="NIS-HOWTO-5.html" REL=previous>
<LINK HREF="NIS-HOWTO.html#toc6" REL=contents>
</HEAD>
<BODY>
<A HREF="NIS-HOWTO-7.html">Avanti</A>
<A HREF="NIS-HOWTO-5.html">Indietro</A>
<A HREF="NIS-HOWTO.html#toc6">Indice</A>
<HR>
<H2><A NAME="s6">6. Cos'è necessario fare per mettere su un NIS?</A><!--NIS!setting up--></H2>
<H2><A NAME="ss6.1">6.1 Determinare se si è server, slave o client</A>
<!--NIS!determining system type--></H2>
<P>Per rispondere a questa domanda si debbono considerare due casi:
<P>
<OL>
<LI>La propria macchina sta per diventare parte di una rete dove
esiste già un server NIS</LI>
<LI>Non si ha ancora nessun server NIS nella propria rete</LI>
</OL>
<P>Nel primo caso, si ha bisogno solo dei programmi client (ypbind,
ypwhich, ypcat, yppoll, ypmatch). Il programma più importante è
ypbind. Questo programma dev'essere sempre in esecuzione, ovvero deve
sempre apparire nella lista dei processi. È un cosiddetto processo
demone e deve essere avviato nei file di avvio del sistema
(eg. /etc/init.d/nis, /sbin/init.d/ypclient, /etc/rc.d/init.d/ypbind,
/etc/rc.local). Prima si ha ypbind in esecuzione, prima la propria
macchina diventa un cliente NIS.
<P>Nel secondo caso, se non si ha un server NIS, allora si avrà bisogno
anche del programma NIS per il server (solitamente chiamato ypserv).
La sezione
<A HREF="NIS-HOWTO-8.html#ypserv">Configurare un Server NIS</A> descrive
come mettere su un server NIS nella propria macchina Linux usando
l'implementazione di ``ypserv'' di Peter Eriksson e Thorsten Kukuk. Si
noti che a partire dalla versione 0.14 questa implementazione supporta
il concetto di master-slave di cui si è parlato nella sezione 4.1.
<P>Esiste un altro server NIS libero, chiamato ``yps'', scritto da Tobias
Reber in Germania che supporta il concetto di master-slave, ma ha
altre limitazioni oltre a non essere più supportato da molto tempo.
<P>
<P>
<H2><A NAME="ss6.2">6.2 Il software</A>
<!--NIS!library requirements--></H2>
<P>La libreria di sistema ``/usr/lib/libc.a'' (versione 4.4.2 e superiore)
o la libreria condivisa ``/lib/libc.so.x'' contengono tutte le system
call necessarie per portare a buon fine la compilazione del software
NIS per client e server. Con la GNU C Library 2 (glibc 2.x) serve
anche /lib/libnsl.so.1.
<P>Alcuni hanno riportato che NIS funziona solo con una versione di
"/usr/lib/libc.a'' 4.5.21 o superiore, e quindi se si vuole andare sul
sicuro non si usino libc più vecchie. Il software per un client NIS
può essere ottenuto da:
<P>
<BLOCKQUOTE><CODE>
<PRE>
Sito Directory Nome File
ftp.kernel.org /pub/linux/utils/net/NIS yp-tools-2.2.tar.gz
ftp.kernel.org /pub/linux/utils/net/NIS ypbind-mt-1.4.tar.gz
ftp.kernel.org /pub/linux/utils/net/NIS ypbind-3.3.tar.gz
ftp.kernel.org /pub/linux/utils/net/NIS ypbind-3.3-glibc5.diff.gz
ftp.uni-paderborn.de /linux/local/yp yp-clients-2.2.tar.gz
</PRE>
</CODE></BLOCKQUOTE>
<P>Una volta scaricato il software, si seguano le istruzioni distribuite
con quest'ultimo. yp-clients 2.2 è per l'uso con libc4 e libc5 fino
alla versione 5.4.20. libc 5.4.21 e glibc 2.x hanno bisogno di
yp-tools 1.4.1 o successivi. I nuovi yp-tools 2.2 dovrebbero
funzionare con qualsiasi libc per Linux. Poiché ci sono alcuni bug
nel codice NIS, non si dovrebbe usare la libc 5.4.21-5.4.35. Si usi
invece la libc 5.4.36 o successiva, o la maggior parte dei programmi
YP non funzionerà. ypbind 3.3 funzionerà anche lui con tutte le
librerie. Se si usa gcc 2.8.x o successivo, egcs o glibc 2.x, si deve
aggiungere la patch ypbind-3.3-glibc5.diff a ypbind-3-3. Non si
dovrebbe mai usare ypbind distribuito assieme a yp-clients 2.2.
ypbind-mt è un nuovo demone multithread che ha bisogno di un kernel
Linux 2.2 e di glibc 2.1 o successiva.
<P>
<H2><A NAME="ss6.3">6.3 Il demone ypbind</A>
<!--NIS!ypbind daemon--><!--ypbind NIS daemon--><!--daemon!ypbind--></H2>
<P>Dopo aver compilato con successo il software si è pronti per
installarlo. Un posto adatto per il demone ypbind è la directory
/usr/sbin. Alcuni potrebbero affermare che non è necessario ypbind su
un sistema con NYS. Questo è sbagliato, in quanto ypwhich e ypcat ne
hanno bisogno.
<P>Ovviamente si deve fare tutto come root. Gli altri binari (ypwhich,
ypcat, yppoll, ypmatch) dovrebbero andare in una directory accessibile
a tutti gli utenti, solitamente /usr/bin.
<P>I più recenti ypbind hanno un file di configurazione chiamato /etc/yp.conf.
È possibile specificare al suo interno un server NIS. Per maggiori
informazioni si veda la pagina di manuale di ypbind(8). Questo file è
necessario anche per NYS. Un esempio:
<BLOCKQUOTE><CODE>
<PRE>
ypserver voyager
ypserver defiant
ypserver ds9
</PRE>
</CODE></BLOCKQUOTE>
<P>Se il sistema può risolvere il nome degli host senza NIS, si può
usare il nome, altrimenti bisogna usare l'indirizzo IP. ypbind 3.3 ha
un baco e userà solo l'ultima voce (ypserver ds9 nell'esempio).
Tutte le altre voci sono ignorate. ypbind-mt gestisce correttamente
questa cosa e usa il server che prima risponde.
<P>Può essere una buona idea testare ypbind prima di incorporarlo nei
file d'avvio. Per testare ypbind si faccia quanto segue:
<P>
<UL>
<LI>Assicurarsi si aver impostato il proprio nome di dominio YP. Se
non è impostato allora si usi il comando:
<BLOCKQUOTE><CODE>
<PRE>
/bin/domainname dominio.nis
</PRE>
</CODE></BLOCKQUOTE>
dove <CODE>dominio.nis</CODE> dovrebbe essere una qualche stringa,
solitamente NON associata con il nome di dominio DNS della
propria macchina! Il motivo è che così diventa un po' più
difficile per cracker esterni ottenere la base di dati delle password
dal proprio server NIS. Se non si sa qual è il nome di dominio
NIS della propria rete, si chieda al proprio amministratore di
sistema/rete.
</LI>
<LI>Avviare ``/usr/sbin/portmap'' se non è già in esecuzione.
</LI>
<LI>Creare la directory ``/var/yp'' se ancora non esiste.
</LI>
<LI>Avviare ``/usr/sbin/ypbind".
</LI>
<LI>Usare il comando ``rpcinfo -p localhost'' per controllare se
ypbind è stato in grado di registrare i suoi servizi con il
portmapper. L'output dovrebbe essere qualcosa del tipo:
<BLOCKQUOTE><CODE>
<PRE>
program vers proto port
100000 2 tcp 111 portmapper
100000 2 udp 111 portmapper
100007 2 udp 637 ypbind
100007 2 tcp 639 ypbind
</PRE>
</CODE></BLOCKQUOTE>
o
<BLOCKQUOTE><CODE>
<PRE>
program vers proto port
100000 2 tcp 111 portmapper
100000 2 udp 111 portmapper
100007 2 udp 758 ypbind
100007 1 udp 758 ypbind
100007 2 tcp 761 ypbind
100007 1 tcp 761 ypbind
</PRE>
</CODE></BLOCKQUOTE>
a seconda della versione di ypbind che si sta usando.
</LI>
<LI>Si può anche eseguire ``rpcinfo -u localhost ypbind". Questo
comando dovrebbe produrre qualcosa di simile a
<BLOCKQUOTE><CODE>
<PRE>
program 100007 version 2 ready and waiting
</PRE>
</CODE></BLOCKQUOTE>
o
<BLOCKQUOTE><CODE>
<PRE>
program 100007 version 1 ready and waiting
program 100007 version 2 ready and waiting
</PRE>
</CODE></BLOCKQUOTE>
L'output dipende dipende dalla versione di ypbind installata.
L'importante è solo il messaggio ``version 2".</LI>
</UL>
<P>A questo punto si dovrebbe essere in grado di usare i programmi client
NIS come ypcat, ecc... Per esempio, ``ypcat passwd.byname'' dovrebbe
restituire l'intera base di dati NIS delle password.
<P>IMPORTANTE: Se si è saltata la procedura di test allora ci si assicuri
di aver impostato il nome di dominio e di aver creato la directory
<P>
<BLOCKQUOTE><CODE>
<PRE>
/var/yp
</PRE>
</CODE></BLOCKQUOTE>
<P>Questa directory DEVE esistere affinché ypbind si avvii con successo.
<P>Per controllare se il nome di dominio è impostato correttamente, si
usi /bin/ypdomainname degli yp-tools 2.2. Questo usa la funzione
yp_get_default_domain(), che è più restrittiva. Per esempio non
permette il nome di dominio ``(none)'', che è quello predefinito sotto
Linux e che crea un sacco di problemi.
<P>Se il test funziona ora si possono modificare i file di avvio in modo
che ypbind sia avviato al boot del sistema e che quest'ultimo funzioni
come client NIS. Ci si assicuri che il nome di dominio sia impostato
prima di avviare ypbind.
<P>Bene, è tutto. Si riavvii la macchina e si controllino i messaggi di
boot per vedere se ypbind è realmente avviato.
<P>
<P>
<H2><A NAME="ss6.4">6.4 Impostare un client NIS usando il NIS tradizionale</A>
<!--NIS!client setup--></H2>
<P>Per la ricerca degli host si deve impostare (o aggiungere) ``nis''
alla riga relativa all'ordine di ricerca nel proprio file
/etc/host.conf. Si invita a leggere la pagina man di ``resolv+.8'' per
ulteriori dettagli.
<P>Aggiungere le seguenti righe al proprio file /etc/passwd dei propri
client NIS:
<P>
<BLOCKQUOTE><CODE>
<PRE>
+::::::
</PRE>
</CODE></BLOCKQUOTE>
<P>Si possono usare anche i caratteri + e - per includere/escludere o
modificare utenti. Se si vuole escludere l'utente guest semplicemente
si aggiunga -guest nel proprio file /etc/passwd. Si vuole usare una
shell diversa (e.g. ksh) per l'utente ``linux''? Nessun problema,
si aggiunga semplicemente ``+linux::::::/bin/ksh'' (senza le virgolette)
al proprio /etc/passwd. I campi che non si vogliono modificare
dovrebbero essere lasciati vuoti. Si possono anche usare i Netgroups
(``gruppi di rete'') per il controllo degli utenti.
<P>Per esempio, per permettere l'accesso di login a miquels, dth e ed, e a
tutti i membri del netgroup sysadmin, pur mantenendo disponibili i
dati di account di tutti gli altri utenti:
<P>
<BLOCKQUOTE><CODE>
<PRE>
+miquels:::::::
+ed:::::::
+dth:::::::
+@sysadmins:::::::
-ftp
+:*::::::/etc/NoShell
</PRE>
</CODE></BLOCKQUOTE>
<P>Si noti che in Linux si può anche ridefinire il campo password, come
si è fatto in questo esempio. Si è rimossa la login ``ftp'', cosicché
non sia più nota e non funzioni più l'ftp anonimo.
<P>Il netgroup potrebbe essere qualcosa del tipo
<BLOCKQUOTE><CODE>
<PRE>
sysadmins (-,software,) (-,kukuk,)
</PRE>
</CODE></BLOCKQUOTE>
<P>IMPORTANTE: La funzionalità dei netgroup è implementata a partire da
libc 4.5.26. Se si ha una versione di libc precedente, qualsiasi
utente nella base di dati NIS delle password può accedere alla
macchina linux se è in esecuzione ``ypbind''!
<P>
<P>
<H2><A NAME="ss6.5">6.5 Impostare un client NIS usando NYS</A>
<!--NYS!client setup--></H2>
<P>Tutto ciò che serve è che il file di configurazione di NIS
(/etc/yp.conf) punti al/ai server corretto/i per le sue informazioni.
Inoltre deve essere correttamente impostato il file di configurazione
del Name Services Switch (/etc/nsswitch.conf).
<P>Si dovrebbe installare ypbind. Non è richiesto dalla libc, ma i tool
NIS(YP) ne hanno bisogno.
<P>Se si vuole usare la funzionalità di inclusione/esclusione utenti
(+/-guest/+@admins), si deve usare ``passwd: compat'' e ``group: compat''
in nsswitch.conf. Notare che non c'è un ``shadow: compat''! Si deve
usare ``shadow: files nis'' in questo caso.
<P>I sorgenti di NYS fanno parte dei sorgenti della libc 5. Quando si
lancia configure, rispondere ``NO'' la prima volta che appare la domanda
``Value correct'', e poi rispondere ``YES'' a ``Build a NYS libc from nys''.
<P>
<H2><A NAME="ss6.6">6.6 Impostare un client NIS usando glibc 2.x</A>
<!--NIS!client setup!using glibc 2.x--></H2>
<P>La glibc usa il ``NIS tradizionale", così si deve avviare ypbind. Il
file di configurazione del Name Services Switch (/etc/nsswitch.conf)
deve essere correttamente impostato. Se si usa la modalità compat per
passwd, shadow o group, si deve aggiungere il ``+'' alla fine di questi
file, e si può usare la funzionalità di inclusione/esclusione utenti.
La configurazione è esattamente identica a quella che si fa sotto
Solaris 2.x.
<P>
<H2><A NAME="ss6.7">6.7 Il File nsswitch.conf</A>
<!--nsswitch.conf file--><!--NIS!nsswitch.conf file--></H2>
<P>Il file del Network Services Switch /etc/nsswitch.conf determina
l'ordine delle ricerche (``lookup'') effettuate quando è richiesta una
data informazione, proprio come il file /etc/host.conf determina il
modo con il quale sono effettuate le ricerche degli host. Per
esempio, la riga:
<P>
<BLOCKQUOTE><CODE>
<PRE>
hosts: files nis dns
</PRE>
</CODE></BLOCKQUOTE>
<P>specifica che le funzioni di ricerca degli host dovrebbero prima
guardare nel file /etc/hosts locale, poi effettuare un lookup NIS e
alla fine una vera richiesta al domain name service (/etc/resolv.conf
e named), e a quel punto, se non viene trovata alcuna corrispondenza,
viene restituito un errore. Questo file deve essere leggibile per
qualsiasi utente! Si possono trovare maggiori informazioni nelle
pagine man nsswitch.5 e nsswitch.conf.5.
<P>Un buon /etc/nsswitch.conf per NIS è:
<BLOCKQUOTE><CODE>
<PRE>
#
# /etc/nsswitch.conf
#
# Un esempio di file di configurazione del Name Service Switch.
# Questo file dovrebbe essere ordinato in modo che i servizi più
# comuni siano all'inizio.
#
# La voce '[NOTFOUND=return]' indica che la ricerca di una voce
# dovrebbe fermarsi se la ricerca nella voce precedente non ha
# restituito niente. Si noti che se la ricerca fallisce per qualche
# altra ragione (come la mancata risposta del server NIS) allora la
# ricerca continua con la voce successiva.
#
# Le voci ammesse sono:
#
# nisplus Usa NIS+ (NIS versione 3)
# nis Usa NIS (NIS versione 2), detto anche YP
# dns Usa DNS (Domain Name Service)
# files Usa file locali
# db Usa la base di dati /var/db
# [NOTFOUND=return] Ferma la ricerca se prima non è stato
# trovato niente
#
passwd: compat
group: compat
# Con libc5 si deve usare shadow: files nis
shadow: compat
passwd_compat: nis
group_compat: nis
shadow_compat: nis
hosts: nis files dns
services: nis [NOTFOUND=return] files
networks: nis [NOTFOUND=return] files
protocols: nis [NOTFOUND=return] files
rpc: nis [NOTFOUND=return] files
ethers: nis [NOTFOUND=return] files
netmasks: nis [NOTFOUND=return] files
netgroup: nis
bootparams: nis [NOTFOUND=return] files
publickey: nis [NOTFOUND=return] files
automount: files
aliases: nis [NOTFOUND=return] files
</PRE>
</CODE></BLOCKQUOTE>
<P>passwd_compat, group_compat e shadow_compat sono supportate solo da
glibc 2.x. Se non ci sono regole shadow nel file /etc/nsswitch.conf,
glibc userà le regole passwd per le ricerche. Ci sono alcuni altri
moduli di ricerca per glibc, come hesoid. Per maggiori informazioni
si legga la documentazione di glibc.
<P>
<H2><A NAME="ss6.8">6.8 Le password shadow con NIS</A>
<!--NIS!shadow passwords--></H2>
<P>Le password shadow su NIS sono sempre una cattiva idea. Si perde la
sicurezza che shadow dà e sono supportate solo da poche librerie C per
Linux. Un buon modo per evitare le shadow password su NIS è di
mettere solo gli utenti locali del sistema in /etc/shadow. Si
rimuovano le voci degli utenti NIS dal database shadow e si rimettano
le password in passwd. In questo modo si può usare shadow per il
login di root e le password normali per gli utenti NIS. Questo ha il
vantaggio che funzionerà con qualsiasi client NIS.
<P>
<H3>Linux</H3>
<P>La sola libc per Linux che supporta le password shadow con NIS è la
GNU C Library 2.x. La libc5 per Linux non ha questo supporto. La
libc5 per Linux non ha il supporto per questa cosa. La libc5 per
Linux compilata con il NYS abilitato ha un po' di supporto. Ma tale
supporto è gravemente bacato e in qualche caso non funziona con tutte
le corrette voci shadow.
<P>
<H3>Solaris</H3>
<P>Solaris non supporta le password shadow con NIS.
<P>
<H3>PAM<!--PAM!shadow passwords--></H3>
<P>PAM non supporta le password shadow con NIS, in particolare
pam_pwdb/libpwdb non lo fa. Questo è un grosso problema per gli utenti di
RedHat 5.x. Se si ha glibc e PAM, è necessario modificare le voci in
/etc/pam.d/*. Si rimpiazzino tutte le regole pam_pwdb attraverso i
moduli pam_auth_unix_*. A causa di un baco nel modulo
pam_unix_auth.so module questa cosa non funzionerà sempre.
<P>Un esempio di file /etc/pam.d/login è questo:
<P>
<BLOCKQUOTE><CODE>
<PRE>
#%PAM-1.0
auth required /lib/security/pam_securetty.so
auth required /lib/security/pam_unix_auth.so
auth required /lib/security/pam_nologin.so
account required /lib/security/pam_unix_acct.so
password required /lib/security/pam_unix_passwd.so
session required /lib/security/pam_unix_session.so
</PRE>
</CODE></BLOCKQUOTE>
<P>Per ``auth'' è necessario usare il modulo pam_unix_auth.so, per
``account'' il modulo pam_unix_acct.so, per ``password'' il modulo
pam_unix_passwd.so e per ``session'' il modulo pam_unix_session.so.
<P>
<P>
<HR>
<A HREF="NIS-HOWTO-7.html">Avanti</A>
<A HREF="NIS-HOWTO-5.html">Indietro</A>
<A HREF="NIS-HOWTO.html#toc6">Indice</A>
</BODY>
</HTML>
