GNU/Linux >> LINUX-Kenntnisse >  >> Panels >> Webmin

NIS-Client und -Server

Der NIS-Client und -Server Modul behandelt die Verwendung von NIS, Network Information Service Dabei handelt es sich um ein Protokoll zum Teilen von Benutzern, Gruppen und anderen Informationen zwischen mehreren Systemen. Dieses Kapitel erklärt, wie NIS funktioniert und wie Sie Ihr System mit Webmin entweder als Client oder als Server einrichten. NIS ist jedoch ein altes und von Natur aus unsicheres Protokoll, das leicht zu kompromittierten Systemen führen kann. Eine Firewall muss korrekt konfiguriert werden, um unbefugten Zugriff zu verhindern.

NIS Client- und Servermodul

Einführung in NIS

NIS ist ein Protokoll zum Teilen von Benutzer-, Gruppen-, Hostnamen- und anderen Informationen zwischen mehreren Unix-Systemen. Es wurde ursprünglich von Sun Microsystems entwickelt, ist aber jetzt für Linux und viele andere Unix-Betriebssysteme verfügbar. Sein ursprünglicher Name war YP (Yellow Pages). ), weshalb viele der NIS-Befehle mit yp beginnen.

In einem Netzwerk mit vielen Systemen können Benutzer sich bei jedem dieser Systeme anmelden. Um zu vermeiden, dass Benutzer auf jedem System separat erstellt und aktualisiert werden müssen, kann NIS normalerweise verwendet werden, um eine Hauptliste von Benutzern und Gruppen an alle Hosts zu verteilen. Obwohl das Verteilen von Benutzer- und Gruppeninformationen die häufigste Verwendung von NIS ist, kann es auch verwendet werden, um Hostnamen und IP-Adressen, Automounter-Maps, Internetdienste und Netzgruppen gemeinsam zu nutzen.

Ein NIS-Server ist ein System, das Tabellen mit Benutzer-, Gruppen- und anderen Informationen speichert. Ein Client-System verbindet sich mit einem Server und fragt ihn nach gespeicherten Informationen ab, normalerweise durch Nachschlagen von Benutzernamen, Hostnamen und so weiter. Normalerweise ist ein Serversystem auch einer seiner eigenen Clients, sodass es Zugriff auf die Benutzer und andere Daten in seinen eigenen Tabellen hat.

Jeder Server ist für eine einzelne NIS-Domäne verantwortlich, und jeder Client ist Mitglied einer Domäne. Eine Domäne hat einen Kurznamen wie Marketing oder foo.com, der nicht mit der DNS-Domäne des Netzwerks verwandt oder notwendigerweise mit ihr identisch ist. Wenn NIS auf einem Client-System gestartet wird, kann es entweder für jeden Server im Netzwerk für seine Domäne senden oder sich mit bestimmten Server-IP-Adressen verbinden. Ein einzelnes Netzwerk kann mehrere NIS-Server für verschiedene Domänen haben, von denen jeder unterschiedliche Tabellen bereitstellt.

Um die Last auf dem NIS-Server zu reduzieren, kann ein Netzwerk mehrere Server enthalten, die alle Kopien derselben Tabellen haben. Einer ist der Master-Server und der Rest sind Slaves, die nur Informationen vom Master erhalten, wenn sie geändert werden. Ein Client kann sich dann entweder mit dem Master oder einem Slave verbinden und dieselben Tabellen abfragen.

In den letzten Jahren wurde eine neue Version des alten NIS-Protokolls namens NIS+ entwickelt. Es löst viele Probleme mit dem ursprünglichen Protokoll, das größte ist der Mangel an Sicherheit. Es ist jedoch komplexer zu konfigurieren und nicht so weit verbreitet. Aus diesen Gründen unterstützt Webmin nur die Konfiguration von NIS-Clients und -Servern.

Die Datei /var/yp/Makefile ist normalerweise die primäre Konfigurationsdatei für einen NIS-Server sowie ein make-Skript, das Tabellendaten im Binärformat aus Quelltextdateien generiert. Der Server liest auch die Dateien /var/yp/securenets und /etc/ypserv.conf um zu steuern, welche Clients sich verbinden dürfen und welche Tabellen sie abfragen können. Webmin aktualisiert alle diese Dateien zusammen mit den Tabellenquelldateien direkt, wenn Sie NIS konfigurieren. Das primäre NIS-Serverprogramm heißt ypserv , aber andere wie yppasswd (zur Verarbeitung von Passwortänderungsanfragen von Clients) und ypxfrd (zum Senden von Tabellen an Slaves) kann ebenfalls ausgeführt werden.

Auf Client-Systemen ist die Datei /etc/yp.conf speichert den Domänennamen und die IP-Adressen des NIS-Servers. Informationen darüber, nach welchen Diensten NIS abgefragt werden soll, sind in /etc/nsswitch.conf gespeichert . Alle Clients führen das Programm ypbind aus , das Anfragen nach Benutzer-, Gruppen- und anderen Informationen von lokalen Programmen an den NIS-Server weiterleitet.

Mit dem NIS-Client- und -Server-Webmin-Modul können Sie Ihr System als NIS-Client und/oder -Server einrichten. Wenn Sie es aus der Kategorie Netzwerk aufrufen, zeigt die Hauptseite einfach fünf Symbole für die verschiedenen Bereiche der Client- und Serverkonfiguration. Wenn Webmin feststellt, dass die NIS-Client-Programme auf Ihrem System fehlen, zeigt die Hauptseite stattdessen eine Fehlermeldung an – suchen Sie in diesem Fall auf Ihrer Linux-Distributions-CD oder Website nach einem Paket mit dem Namen „ypbind“.

Das Modul wird nicht auf allen Versionen von Linux unterstützt. Zum Zeitpunkt des Schreibens konnten nur Redhat, Mandrake, OpenLinux, Debian, SuSE, UnitedLinux und MSC.Linux es verwenden. Da jede Distribution leicht unterschiedliche Konfigurationsdateien für NIS verwendet, kann es einige Unterschiede in der Benutzeroberfläche und den Standardeinstellungen zwischen verschiedenen Distributionen geben, insbesondere bei den Client-Diensten und NIS-Server Seiten.

Ein NIS-Kunde werden

Um Ihr System als NIS-Client einzurichten, muss bereits ein NIS-Server laufen und in Ihrem Netzwerk erreichbar sein. Wenn nicht, lesen Sie den Abschnitt „Einrichten eines NIS-Servers“ weiter unten, um Informationen zum Starten eines Servers zu erhalten. Angenommen, es läuft ein NIS-Server und Sie kennen seinen NIS-Domänennamen, sind die Schritte, um ein Client zu werden, wie folgt:

  1. Notwendige Module installieren:ypbind yp-tools und rpc-bind;
  2. Starten Sie das ypbind Service;
  3. Klicken Sie auf der Hauptseite des Moduls auf den NIS-Client Symbol. Dadurch gelangen Sie zu einem Formular zur Eingabe des Domänennamens und der NIS-Server-IP-Adressen.
  4. In der NIS-Domäne Geben Sie im Feld den Namen der NIS-Domäne Ihres Netzwerks ein.
  5. Wenn Sie die IP-Adresse eines NIS-Servers nicht kennen, stellen Sie die NIS-Server ein Option zum Suchen nach Sendung . Dies funktioniert nur, wenn sich der Server im selben LAN wie Ihr System befindet – andernfalls kann der Broadcast ihn nicht erreichen. Wenn Sie die Adresse eines NIS-Servers kennen, wählen Sie Unten aufgelistet aus Option und geben Sie alle Master- und Slave-Serveradressen in das Textfeld ein. Je mehr Sie eingeben, desto besser, da Ihr System versucht, alle nacheinander abzufragen, wenn NIS aktiviert ist. Am besten ist es jedoch, zuerst den nächstgelegenen Server einzutragen, damit nicht immer ein weiter entfernter und damit langsamerer Server abgefragt wird.
  6. Klicken Sie auf Speichern und anwenden Schaltfläche, um Ihre Einstellungen zu speichern und sofort zu aktivieren. Wenn Ihr System keinen Server für die NIS-Domäne erreichen kann, wird eine Fehlermeldung angezeigt – andernfalls kehrt der Browser zur Hauptseite des Moduls zurück.
  7. Nachdem Sie nun mit einem NIS-Server verbunden sind, müssen Sie das System konfigurieren, um es tatsächlich nach Benutzern, Gruppen und anderen Informationen abzufragen. Klicken Sie dazu auf die Kundendienste Symbol, das Sie zu dem in Abbildung NIS-Client- und Servermodul gezeigten Formular bringt .
  8. Jede Zeile des Client-Services-Formulars steuert, was Ihr System abfragt, wenn es etwas für einen bestimmten Service sucht. Für jede können Sie mehrere Quellen auswählen, die der Reihe nach überprüft werden, bis eine Übereinstimmung gefunden wird. Die verfügbaren Quellen sind:
    Dateien
    Lokale Konfigurationsdateien wie /etc/passwd oder /etc/hosts.
    NIS
    Dieser NIS-Server, mit dem Ihr System derzeit verbunden ist.
    NIS+
    Der NIS+-Server, mit dem Ihr System verbunden ist. Die Konfiguration von NIS+ wird jedoch nicht von Webmin unterstützt.
    NIS und Dateien
    Diese Option funktioniert nur für *Unix-Benutzer und Unix-Gruppen Dienstleistungen. Falls ausgewählt, spezielle Zeilen in /etc/passwd und /etc/group beginnend mit + oder – kann verwendet werden, um anzugeben, dass einige oder alle NIS-Benutzer eingeschlossen werden sollen. Dies ist tatsächlich flexibler als nur die Auswahl des NIS source, da spezielle +- und –-Zeilen verwendet werden können, um nur einige Benutzer und Gruppen einzufügen oder die Attribute der eingeschlossenen zu ändern.
    DNS
    Diese Option ist nur für die Hostadressen sinnvoll Quelle. Es weist das System an, einen DNS-Server abzufragen, wenn es nach Hostnamen sucht, was fast immer das ist, was Sie tun möchten. Normalerweise sollten Sie jeden der Dienste, für die Sie NIS verwenden möchten (z. B. Unix-Benutzer und Unix-Gruppen ) zu Dateien und NIS . Alles andere sollte nur auf Dateien eingestellt bleiben , oder im Fall von Hostadressen nur Dateien und DNS . Ihr System wird dann zuerst in der lokalen Systemkonfigurationsdatei (zB /etc/passwd) nachsehen und dann den NIS-Server abfragen.
  9. Wenn Sie fertig sind, klicken Sie auf Speichern Taste. Ihre Änderungen werden sofort in allen Programmen wirksam, und alle NIS-Benutzer sollten sich wie lokale Benutzer anmelden können.

Sobald Sie Webmin verwendet haben, um Ihr System zu einem NIS-Client zu machen, versucht es, sich beim Booten mit einem Server zu verbinden. Wenn keine Verbindung hergestellt werden kann, kann das System während des Startvorgangs hängen bleiben und darauf warten, dass der Server verfügbar wird. Wenn der Server ausfällt, während Ihr System verbunden ist, kann es sein, dass jedes Programm, das Benutzerinformationen sucht, ebenfalls hängen bleibt.

Um zu verhindern, dass Ihr System ein NIS-Client ist, müssen Sie folgende Schritte ausführen:

  1. Klicken Sie auf der Hauptseite des Moduls auf den NIS-Client Symbol, um zur Seite mit den Clientoptionen zu gelangen.
  2. Legen Sie die NIS-Domäne fest Feld auf Keine (NIS deaktiviert) .
  3. Klicken Sie auf Speichern und anwenden Taste. Das System verwendet NIS nicht mehr, um nach Informationen zu suchen, und stellt beim Booten keine Verbindung her. Alle Dienste, die für die Verwendung einer NIS-Quelle auf den Client-Diensten konfiguriert sind Seite wird diese Quelle einfach überspringen und stattdessen höchstwahrscheinlich nur lokale Dateien verwenden.

Inhalt

Einrichten eines NIS-Masterservers

Bevor Ihr System zu einem NIS werden kann, müssen zunächst die entsprechenden Serverprogramme installiert werden – falls nicht, klicken Sie auf den NIS Server Symbol wird eine Fehlermeldung angezeigt. Suchen Sie auf Ihrer Linux-Distributions-CD oder -Website nach einem ypserv- oder nis-server-Paket, das alle erforderlichen Befehle und Dateien enthalten sollte.

Der erste Schritt zur Einrichtung eines NIS-Servers ist die Entscheidung für einen Domänennamen. Normalerweise ist dies dieselbe wie Ihre Internetdomain (z. B. foo.com), aber alles, was aus Buchstaben, Zahlen und Punkten besteht, ist erlaubt. Nach der Entscheidung sind die folgenden Schritte auszuführen:

  1. Installieren Sie notwendige Module:ypserv ypbind yp-tools und rpc-bind;
  2. Starten Sie den ypserv Dienst beim Booten und Herunterfahren
  3. Stellen Sie sicher, dass die Firewall den Zugriff von NIS-Clients zulässt
    firewall-cmd --zone=trusted --add-source=192.168.100.0/24 --permanent
    (vorausgesetzt, andere Server befinden sich im Segment 192.168.100.xxx)
  4. Klicken Sie auf der Hauptseite des Moduls auf NIS Server Symbol. Dadurch gelangen Sie zu einem Formular zum Aktivieren des Servers und zum Konfigurieren anderer Optionen, wie in Abbildung NIS - Konfiguration gezeigt . Das Formular wird auf den meisten Linux-Distributionen gleich aussehen, aber Calderas OpenLinux wird weitaus weniger Optionen haben.
  5. Stellen Sie NIS-Server aktivieren? ein Option auf Ja . Beim Speichern des Formulars werden die Serverprozesse sofort und bei jedem weiteren Neustart gestartet.
  6. Geben Sie Ihre gewählte Domain in die Serve NIS domain ein Feld. Dies ist besser, als die Option *Same as client * zu wählen, selbst wenn sie gleich sein werden.
  7. Belassen Sie den Servertyp auf Master-Server setzen . Informationen zum Einrichten eines Slave-Servers finden Sie im Abschnitt „Einrichten eines NIS-Slave-Servers“ weiter unten.
  8. Wenn NIS-Clients Hosts und Adressen im DNS nicht selbst nachschlagen können, aktivieren Sie die Option Fehlende Hosts im DNS suchen? Option, den Master-Server nach ihnen suchen zu lassen. Nur sehr alte Client-Betriebssysteme wie SunOS 4 benötigen dies.
  9. In den zu bedienenden NIS-Tabellen Wählen Sie im Feld alle Tabellen aus, die Sie Clients zur Verfügung stellen möchten. Einige der am häufigsten verwendeten Tabellen und ihre Zwecke sind :passwd Unix-Benutzer, wie in der Datei /etc/passwd gespeichert. Normalerweise enthält diese auch Passwörter, anstatt sie in einer separaten Schattentabelle zu speichern. Gruppe Unix-Gruppen, wie sie normalerweise in der Datei /etc/group zu finden sind. Gastgeber Hosts und IP-Adressen, wie sie in der Datei /etc/hosts zu finden sind. Obwohl NIS zum Speichern und Suchen von Hostnamen und Adressen verwendet werden kann, ist es fast immer besser, stattdessen einen DNS-Server einzurichten. Schatten Zusätzliche Benutzerinformationen, einschließlich Passwörter. Wenn diese Tabelle und passwd ausgewählt sind, können Sie abhängig von Ihrer NIS-Makefile-Konfiguration möglicherweise erweiterte Benutzerinformationen wie Ablauf- und Warndaten bearbeiten. netgrp Netzgruppen, die Gruppen von Hosts sind. Diese können beim Exportieren von Verzeichnissen über NFS verwendet werden, wie in Kapitel 6 erklärt.
  10. Wenn Ihr Netzwerk Slave-Server haben wird, ist es ratsam, die Option Push-Updates an Slaves? einzustellen Option auf Ja . Auf diese Weise werden bei jeder Änderung an einer der NIS-Tabellen alle Slave-Server sofort benachrichtigt, damit sie synchron sind.
  11. Tragen Sie die IP-Adressen beliebiger Slaves (durch Leerzeichen getrennt) in die Slave-Server ein Feld.
  12. In den Master-NIS-Dateien Abschnitt können Sie auswählen, welche Dateien als Quellen für die NIS-Tabellen verwendet werden. Häufig werden standardmäßig die normalen Benutzer-, Gruppen-, Host- und andere Konfigurationsdateien in /etc verwendet, wie etwa /etc/passwd, /etc/group und /etc/hosts. Dies ist jedoch keine gute Idee – stattdessen sollten Sie die Dateien für die Tabellen, die Ihr Server bereitstellt, in ähnliche Dateinamen im /var/yp-Verzeichnis ändern, z. B. /var/yp/passwd und /var/yp/group. Sobald der Server läuft, kann er so konfiguriert werden, dass er einer seiner eigenen Clients wird und so über NIS auf alle Datensätze in diesen Dateien zugreifen kann, anstatt lokal darauf zuzugreifen.
  13. Wenn Sie fertig sind, klicken Sie auf Speichern und anwenden Taste. Dieser NIS-Server wird auf Ihrem System gestartet und so konfiguriert, dass er in Zukunft beim Booten gestartet wird.
NIS - Konfiguration

Jetzt, da der Server läuft, können Sie ihn testen, indem Sie ein anderes System als NIS-Client für die gewählte Domäne konfigurieren. Servereinstellungen auf dem Formular können jederzeit geändert werden, indem Sie einfach dieselben Schritte wiederholen, und sie werden sofort wirksam.

Gehen Sie wie folgt vor, um Ihren NIS-Server herunterzufahren:

  1. Stellen Sie sicher, dass keine Clients Ihr System mehr als Server verwenden, indem Sie entweder NIS auf ihnen ganz ausschalten oder sie einen anderen Server verwenden lassen.
  2. Klicken Sie auf der Hauptseite des Moduls auf NIS Server Symbol, um zum Serveroptionen-Formular zu gelangen.
  3. Stellen Sie NIS-Server aktivieren? ein Feld auf Nein .
  4. Klicken Sie auf Speichern und anwenden Taste. Die Serverprozesse auf Ihrem System werden heruntergefahren und in Zukunft am Starten beim Booten gehindert.

Bearbeiten von NIS-Tabellen

Sobald Ihr System als NIS-Masterserver läuft, können Sie dieses Webmin-Modul verwenden, um Datensätze in den Tabellen zu bearbeiten, die es bedient. Um die bearbeitbaren Tabellen anzuzeigen, klicken Sie auf die NIS-Tabellen Symbol, das Sie zu einer Seite mit einem Menü aller Tabellen und dem Inhalt einer angezeigten führt. Andere Tabellen können angezeigt werden, indem Sie eine davon aus der Liste auswählen und auf NIS-Tabelle bearbeiten klicken Taste.

Bei den meisten Tabellentypen analysiert Webmin den Inhalt ihrer Dateien und zeigt ihn als Tabelle auf der Seite mit einem Datensatz pro Zeile an. Sie können jeden Datensatz bearbeiten, indem Sie auf seinen Namen in der ersten Spalte klicken, oder einen neuen hinzufügen, indem Sie auf Neuen Datensatz hinzufügen klicken Verknüpfung. Einige Tabellen haben jedoch ein Format, das Webmin unbekannt ist, und werden daher stattdessen als Rohtext in einem Textfeld angezeigt. Wenn Sie das richtige Format kennen, kann die Tabelle manuell bearbeitet und mit der Schaltfläche *Speichern und Übernehmen* gespeichert werden. Sie können jede Tabelle auch in den manuellen Modus umschalten, indem Sie auf Tabelle manuell bearbeiten klicken Link, wenn Sie lieber mit dem Rohtext arbeiten möchten.

Die Felder, die in jedem Datensatz vorhanden sind, und das Formular zu ihrer Bearbeitung sind für jeden Tabellentyp unterschiedlich. Die nachstehenden Anweisungen erläutern, wie Datensätze in mehreren häufig verwendeten Tabellen hinzugefügt, gelöscht und geändert werden. Eine Gemeinsamkeit besteht darin, dass alle Änderungen dazu führen, dass die NIS-Tabelle automatisch aus den geänderten Quelldateien neu erstellt und an die Slave-Server übertragen wird, falls dies konfiguriert ist.

Gehen Sie wie folgt vor, um einen neuen Unix-Benutzer für NIS-Clients zu erstellen:

  1. Wählen Sie die Unix-Benutzer aus Tabelle aus dem Menü und klicken Sie auf die Schaltfläche *NIS-Tabelle bearbeiten*.
  2. Klicken Sie auf Neuen Datensatz hinzufügen Link über oder unter der Tabelle der vorhandenen Benutzer, der Sie zum Benutzererstellungsformular führt.
  3. Geben Sie den Namen des Benutzers in das Feld Benutzername ein Feld und eine ID-Nummer für den neuen Benutzer in die Benutzer-ID Feld. Anders als im Modul „Benutzer und Gruppen“ wird die ID nicht automatisch für Sie ausgewählt, stellen Sie also sicher, dass sie eindeutig ist.
  4. Geben Sie den vollständigen Namen des Benutzers in das Feld Echter Name ein Feld.
  5. Geben Sie ein Home-Verzeichnis in das Home-Verzeichnis ein Feld. Anders als im Modul Benutzer und Gruppen wird dieses nicht für Sie erstellt und es werden keine Dateien hineinkopiert.
  6. Wählen Sie eine Shell aus der Shell aus Menü oder wählen Sie Andere Option und geben Sie den Pfad zum Shell-Programm in das Feld darunter ein.
  7. Wählen Sie das Normale Passwort Option für das Passwort Feld und geben Sie das Passwort des neuen Benutzers in das Textfeld daneben ein.
  8. Geben Sie die numerische ID der Benutzergruppe in das Feld *Primäre Gruppen-ID* ein.
  9. Wenn die Schatten-NIS-Tabelle aktiviert ist, können Sie das optionale Ablaufdatum festlegen , Mindesttage , Maximale Tage , *Warntage* und Inaktive Tage Felder. Diese haben alle dieselbe Bedeutung wie im Modul Benutzer und Gruppen
  10. Wenn Sie fertig sind, klicken Sie auf Erstellen Schaltfläche, um den neuen Benutzer zur Tabelle hinzuzufügen.

Bestehende Unix-Benutzer können bearbeitet werden, indem Sie auf ihre Namen in der Tabelle klicken, wodurch Sie zu einem Bearbeitungsformular mit denselben Feldern wie oben beschrieben gelangen. Ändern Sie beliebige Felder und klicken Sie auf Speichern Schaltfläche – oder um den Benutzer zu löschen, klicken Sie auf Löschen Schaltfläche am unteren Rand des Formulars. Beim Löschen wird das Home-Verzeichnis des Benutzers nicht berührt, daher müssen Sie es möglicherweise manuell löschen.

Um eine neue Unix-Gruppe in NIS zu erstellen, gehen Sie wie folgt vor:

  1. Wählen Sie die Unix-Gruppen aus Tabelle aus dem Menü und klicken Sie auf NIS-Tabelle bearbeiten Taste.
  2. Klicken Sie auf Neuen Datensatz hinzufügen Link über oder unter der Tabelle der bestehenden Gruppen, der Sie zum Benutzererstellungsformular führt.
  3. Geben Sie einen Namen für die neue Gruppe in das Feld Gruppenname ein Feld und eine numerische ID in die Gruppen-ID Feld. Stellen Sie sicher, dass die ID von keiner anderen vorhandenen Gruppe verwendet wird.
  4. Das Passwort kann unangetastet bleiben, da Gruppenkennwörter fast nie verwendet werden.
  5. Füllen Sie die Gruppenmitglieder aus Feld mit den Benutzernamen der Benutzer, die Mitglieder der Gruppe sein werden, einer pro Zeile.
  6. Wenn Sie fertig sind, klicken Sie auf Erstellen Schaltfläche, um die neue Gruppe zur Tabelle hinzuzufügen.

Wie bei Benutzern können Sie eine Gruppe jederzeit bearbeiten, indem Sie in der Tabelle auf ihren Namen klicken, wodurch Sie zu einem Bearbeitungsformular gelangen. Nehmen Sie die gewünschten Änderungen vor und klicken Sie auf Speichern Schaltfläche, um sie zu speichern – oder verwenden Sie die Schaltfläche Löschen Schaltfläche, um die Gruppe zu entfernen. Es wird jedoch nicht überprüft, ob es sich um die primäre Gruppe vorhandener Benutzer handelt.

Wie die Anweisungen zum Bearbeiten von Benutzern und Gruppen zeigen, ist der Vorgang zum Bearbeiten einer der unterstützten Tabellen ziemlich ähnlich. Derzeit können Sie Unix-Benutzer bearbeiten , Unix-Gruppen , Hostadressen , Netzwerke , Dienste , Protokolle , Netzgruppen , *Ethernet-Adressen*, RPC-Programme , Netzmasken und Aliase für E-Mail mit Formularen in Webmin. Alle anderen Tabellen müssen manuell bearbeitet werden.

Ihren NIS-Server sichern

Standardmäßig erlaubt ein NIS-Server jedem Client, sich mit ihm zu verbinden und Tabellen abzufragen, solange der Client den Domänennamen kennt. Wenn Ihr System mit dem Internet verbunden ist, könnte ein Angreifer die NIS-Domäne erraten und eine Liste aller NIS-Benutzer anfordern. Obwohl ihre Passwörter in verschlüsseltem Format gespeichert sind, ist es dennoch möglich, dass offensichtliche Passwörter oder Wörter aus dem Wörterbuch durch einen Brute-Force-Angriff auf die Passwortverschlüsselung entdeckt werden.

Aus diesem Grund ist es ratsam, die Adressen von Clients, die sich mit dem Server verbinden, auf diejenigen Unix-Systeme zu beschränken, die wirklich Clients sind. Gehen Sie wie folgt vor, um dies einzurichten:

  1. Klicken Sie auf der Hauptseite des Moduls auf Serversicherheit Symbol, das Sie zu dem in Abbildung Serversicherheit gezeigten Formular bringt .
  2. Die Zeilen in den Zugelassenen Clients Tabelle steuern, welche Clients sich verbinden dürfen. Sie können jeden der vorhandenen Einträge ändern oder die leere Zeile unten verwenden, um einen neuen hinzuzufügen. Um mehr als eine Zeile hinzuzufügen, müssen Sie sie einzeln hinzufügen und das Formular für jede Zeile speichern und öffnen. Zugriff auf einen einzelnen Host unter der Netzmaske gewähren Spalte wählen Sie *Einzelner Host* und geben Sie dessen IP-Adresse unter Netzwerk-/Hostadresse ein . Um Zugriff auf ein gesamtes IP-Netzwerk zu gewähren, wählen Sie Netzmaske und geben Sie in das Feld daneben eine Netzmaske (z. B. 255.255.255.0) und unter Netzwerk-/Hostadresse die Netzwerkadresse ein Säule. Um allen Clients Zugriff zu gewähren, wählen Sie einfach die Option Beliebiger Host unter der Netzmaske Säule.
  3. Wenn Sie fertig sind, klicken Sie auf Speichern und anwenden Taste. Die neuen Einschränkungen treten sofort in Kraft und Sie kehren zur Hauptseite des Moduls zurück.
NIS-Server-Sicherheit

Es ist eine gute Idee, sich nur mit Clients in Ihrem eigenen Netzwerk zu verbinden und alle anderen abzulehnen. Eine noch sicherere Alternative wäre, nur die Systeme zuzulassen, von denen Sie wissen, dass sie NIS-Clients sind, vorausgesetzt, sie haben feste IP-Adressen und ändern sich nicht oft.

Selbst wenn Sie den Zugriff auf vertrauenswürdige Clientsysteme beschränken, können Benutzer, die sich über SSH oder Telnet bei diesen Systemen anmelden können, möglicherweise dennoch eine Liste aller NIS-Benutzer und ihrer verschlüsselten Passwörter abrufen. Um dies zu verhindern, ist es möglich, den Server so zu konfigurieren, dass nur Clients, die vertrauenswürdige Ports verwenden, auf bestimmte Tabellen oder Felder innerhalb von Tabellen zugreifen können. Da auf Unix-Systemen nur der Root-Benutzer TCP- oder UDP-Sockets mit Portnummern unter 1024 erstellen kann, gelten diese niedrigen Ports als vertrauenswürdig und sind vor der Verwendung durch normale Benutzer sicher.

Es ist auch möglich, bestimmten Clients den Zugriff auf einige NIS-Tabellen zu verwehren, ihnen aber dennoch den Zugriff auf andere zu erlauben. Beispielsweise möchten Sie möglicherweise allen Client-Systemen Zugriff auf die Hostadressen gewähren Tabelle, aber nur wenige vertrauenswürdige die Rechte an den Unix-Benutzern Tisch.

Gehen Sie wie folgt vor, um den Zugriff auf Tabellen auf Ihrem Server einzuschränken:

  1. Klicken Sie auf der Hauptseite des Moduls auf Serversicherheit Symbol, um zu dem in Abbildung Serversicherheit gezeigten Formular zu gelangen .
  2. Die Clientzuordnungseinschränkungen table steuert, auf welche NIS-Tabellen bestimmte Client-Systeme zugreifen können und wer auf diesen Systemen darauf zugreifen kann. Jede Zeile gibt eine Regel an, die für einige oder alle Clients gilt und den Zugriff entweder erlauben, vollständig blockieren oder eine abgefragte Tabelle filtern kann. Die Felder und ihre Bedeutung sind:
    Hosts
    Eine IP-Adresse oder Teil-IP-Adresse (wie 192.168.1. ), für die diese Einschränkung gilt. Eingabe von * wird die Einschränkung für alle Clients gelten.
    NIS-Tabellen
    Alle auswählen Option, um die Einschränkung für alle Tabellen gelten zu lassen, oder geben Sie einen einzelnen Tabellennamen ein. Intern hängt der NIS-Server so etwas wie .byname oder .byuid an Tabellennamen an, um anzuzeigen, dass sie indiziert sind. Der von Ihnen eingegebene Tabellenname muss diesen internen Namen verwenden, z. B. passwd.byuid oder hosts.byaddr . *Restriction *Dieses Feld steuert, was der Server tut, wenn eine Client-Anfrage übereinstimmt. Wählen Sie Keine aus um die Anfrage zuzulassen, Zugriff verweigern um ihn vollständig zu blockieren, oder Vertrauenswürdiger Port zu blockieren, wenn der Client einen nicht vertrauenswürdigen Port verwendet. Mangle-Feld *Bei Verwendung des *Vertrauenswürdigen Ports Einschränkung können Sie diese Option verwenden, um nur ein einzelnes Feld der angeforderten Tabelle vor dem Client auszublenden. Wählen Sie Keine aus blockiert den Zugriff auf die Tabelle vollständig, aber die Eingabe einer Feldnummer bewirkt, dass der Inhalt durch ein x ersetzt wird. Der einzige praktische Nutzen dieser Option ist das Verbergen von Passwörtern in den Tabellen passwd.byname, passwd.byuid oder shadow.byname, die sich im Feld
    befinden
  3. Neue Einschränkungen können über die leere Zeile am Ende der Tabelle hinzugefügt werden. Um mehr als eine Einschränkung hinzuzufügen, müssen Sie das Formular mehrmals speichern und erneut öffnen. Wenn ein Client eine Tabelle anfordert, findet der NIS-Server die erste passende Zeile in der Tabelle und verwendet die definierte Einschränkung. Aus diesem Grund müssen Sie sicherstellen, dass jede neue Zeile, die Sie hinzufügen, vor der Zeile steht, die Zugriff auf alle Clients und Tabellen gewährt, die normalerweise standardmäßig vorhanden ist.
  4. Wenn Sie fertig sind, klicken Sie auf Speichern und anwenden Taste. Der Browser kehrt zur Hauptseite des Moduls zurück und alle Änderungen an den Einschränkungen werden sofort wirksam.

Die nützlichste Verwendung der Clientkarteneinschränkungen Tabelle besteht darin, eine Zeile für alle Clients in der Tabelle passwd.byname hinzuzufügen, wobei die Einschränkung auf Vertrauenswürdiger Port gesetzt ist und das Mangle-Feld Option auf 2 gesetzt. Fügen Sie dann eine weitere Zeile für die passwd.byuid-Tabelle hinzu, wobei alle anderen Optionen gleich bleiben. Diese verhindern, dass Nicht-Root-Benutzer verschlüsselte Passwörter sehen, während Programme, die als Root ausgeführt werden, wie der Telnet- oder SSH-Server, weiterhin zugelassen werden.

Wenn Sie die separate Schattentabelle zum Speichern von Passwörtern und Ablaufinformationen verwenden, sollte die Einschränkung stattdessen für die Tabelle shadow.byname gelten. Bei vielen Linux-Distributionen ist eine solche Einschränkung standardmäßig vorhanden.

NIS - Tabellen

Einrichten eines NIS-Slave-Servers

Slave-NIS-Server werden auf ähnliche Weise wie sekundäre DNS-Server verwendet – sie behalten eine Kopie der Tabellen des Master-Servers und können von Clients verwendet werden, wenn der Master ausfällt oder nur langsam antwortet. Wenn Sie NIS in einem sehr großen Netzwerk verwenden, das über mehrere LANs verfügt, die durch langsame Verbindungen verbunden sind, kann es auch sinnvoll sein, in jedem LAN einen Slave-Server einzurichten, damit Clients ihn anstelle des Masters verwenden können.

Unter OpenLinux gibt es aufgrund der einzigartigen NIS-Konfigurationsdateien, die von der Distribution verwendet werden, keine Möglichkeit, einen Slave-Server mit Webmin einzurichten. Bei allen anderen Linux-Versionen die Schritte zum Einrichten eines Systems als Slave-Server:

  1. Klicken Sie auf der Hauptseite des Moduls auf NIS Server Symbol. Dadurch gelangen Sie zum Serverkonfigurationsformular, das in Abbildung 17-2 gezeigt wird.
  2. Stellen Sie NIS-Server aktivieren? ein Feld auf Ja .
  3. Tragen Sie die Domain des Master-Servers in die NIS-Domain ein Feld.
  4. Ändern Sie den Servertyp zum Slave des Servers , und geben Sie die IP-Adresse des Masters in das Feld daneben ein. Keines der anderen Felder muss berührt werden, da sie sich alle auf den Betrieb eines Masterservers beziehen.
  5. Klicken Sie auf Speichern und anwenden Taste. Der Server sollte sofort gestartet und so konfiguriert werden, dass er beim Booten gestartet wird.

Stellen Sie sicher, dass der Master-Server die Adresse dieses Slaves in den Slave-Servern eingetragen hat Feld im Serverkonfigurationsformular. Es sollte auch die Option Push-Updates an Slave-Server? haben Option aktiviert, sodass Änderungen an Tabellen sofort an die Slaves gesendet werden. Wenn nicht, können Sie den yppush-Befehl verwenden, um den Inhalt einer NIS-Tabelle an einige oder alle Slave-Server zu senden.

Konfigurieren des NIS-Client- und -Servermoduls

Das Modul verfügt über einige konfigurierbare Optionen, die geändert werden können, indem Sie auf den Link Module Config in der oberen linken Ecke der Hauptseite klicken. Diejenigen, die Sie sicher ändern können, sind :

Die anderen Optionen auf der Modulkonfigurationsseite werden basierend auf Ihrem Betriebssystem automatisch eingestellt und müssen im Allgemeinen nicht geändert werden.

NIS auf Solaris

Das einzige andere Betriebssystem, auf dem Sie mit Webmin NIS konfigurieren können, ist Solaris von Sun. Unter Solaris sind die Seiten *NIS Client * und *Client Services* identisch mit denen unter Linux und funktionieren auf die gleiche Weise. Der NIS-Server und Server Security-Formulare unterscheiden sich geringfügig:

  • Auf dem NIS-Server Seite wird die von Ihnen eingegebene Domäne auch für den NIS-Client verwendet. Dies ist eine Einschränkung von Solaris, im Gegensatz zu Linux, wo ein System ein Server für eine Domäne und ein Client für eine andere sein kann.
  • Auf der Serverseite können Sie die Pfade zu einzelnen Tabellendateien nicht direkt angeben. Stattdessen das NIS-Quelldateiverzeichnis und Verzeichnis der NIS-Kennwortquelldateien Felder steuern, in welchen Verzeichnissen sie gespeichert werden, normalerweise /var/yp.
  • Es gibt keine Clientkarteneinschränkungen Tabelle auf der Serversicherheit Seite, und daher keine Möglichkeit zu steuern, welche Tabellen und Felder Clients anfordern können. Sie können jedoch weiterhin bestimmte Hosts und Netzwerke zulassen oder ablehnen, indem Sie Clients zulassen verwenden Tisch.
  • Solaris-Systeme enthalten standardmäßig Client- und Server-Unterstützung für NIS+. Da dieses Protokoll jedoch nicht von Webmin unterstützt wird, funktioniert der Versuch, dieses Modul zur Neukonfiguration eines Systems zu verwenden, das bereits als NIS+-Client oder -Server läuft, nicht und kann sogar zu Problemen mit seiner Konfiguration führen.

Webmin

  1. Einrichten eines NFS-Servers und -Clients unter CentOS 7.2

  2. NFS-Server- und Client-Installation auf CentOS 7

  3. Einrichten eines NFS-Servers und -Clients unter Debian 9 (Stretch)

  4. Einrichten eines NFS-Servers und -Clients unter OpenSUSE 12.2

  5. Anleitung zum Einrichten und Konfigurieren von YPServ Linux NIS Server und Client

So installieren Sie Telnet-Server und -Client unter Ubuntu

So konfigurieren Sie NFS-Client und -Server unter Linux

So konfigurieren Sie NTP-Server und -Client unter Debian 10

So richten Sie NTP-Server und -Client unter Debian 11 ein

Installieren Sie NFS-Server und -Client auf Ubuntu

LDAP-Client