Le client et serveur NIS module gère l'utilisation de NIS, Network Information Service qui est un protocole de partage d'utilisateurs, de groupes et d'autres informations entre plusieurs systèmes. Ce chapitre explique comment fonctionne NIS et comment configurer votre système en tant que client ou serveur à l'aide de Webmin. Cependant, NIS est un protocole ancien et intrinsèquement non sécurisé qui peut facilement conduire à des systèmes compromis. Un pare-feu doit être configuré correctement pour empêcher tout accès non autorisé.
Module client et serveur NISIntroduction au NIS
NIS est un protocole de partage d'utilisateur, de groupe, de nom d'hôte et d'autres informations entre plusieurs systèmes Unix. Il a été initialement développé par Sun Microsystems, mais est maintenant disponible sur Linux et de nombreux autres systèmes d'exploitation Unix. Son nom d'origine était YP (Pages Jaunes ), c'est pourquoi de nombreuses commandes NIS commencent par yp.
Sur un réseau comportant de nombreux systèmes, les utilisateurs peuvent être autorisés à se connecter à l'un de ces systèmes. Généralement, pour éviter d'avoir à créer et à mettre à jour des utilisateurs sur chaque système séparément, NIS peut être utilisé pour distribuer une liste principale d'utilisateurs et de groupes à tous les hôtes. Bien que la distribution d'informations sur les utilisateurs et les groupes soit l'utilisation la plus courante de NIS, il peut également être utilisé pour partager des noms d'hôte et des adresses IP, des cartes de montage automatique, des services Internet et des groupes réseau.
Un serveur NIS est un système qui stocke des tableaux d'utilisateurs, de groupes et d'autres informations. Un système client se connecte à un serveur et lui demande des informations stockées, généralement en recherchant des noms d'utilisateur, des noms d'hôte, etc. Normalement, un système serveur est également l'un de ses propres clients, de sorte qu'il a accès aux utilisateurs et aux autres données de ses propres tables.
Chaque serveur est responsable d'un seul domaine NIS et chaque client est membre d'un domaine. Un domaine a un nom court, comme marketing ou foo.com, qui n'est pas lié ou nécessairement identique au domaine DNS du réseau. Lorsque NIS est démarré sur un système client, il peut soit diffuser pour n'importe quel serveur du réseau pour son domaine, soit se connecter à des adresses IP de serveur spécifiques. Un même réseau peut avoir plusieurs serveurs NIS pour différents domaines, chacun fournissant des tables différentes.
Afin de réduire la charge sur le serveur NIS, un réseau peut contenir plusieurs serveurs qui ont tous des copies des mêmes tables. L'un est le serveur maître et les autres sont des esclaves, qui reçoivent simplement des informations du maître chaque fois qu'elles sont modifiées. Un client peut alors se connecter au maître ou à un esclave et interroger les mêmes tables.
Ces dernières années, une nouvelle version de l'ancien protocole NIS a été développée, appelée NIS+. Il résout de nombreux problèmes avec le protocole d'origine, le plus important étant son manque de sécurité. Cependant, il est plus complexe à configurer et moins disponible. Pour ces raisons, Webmin ne prend en charge que la configuration des clients et serveurs NIS.
Le fichier /var/yp/Makefile est généralement le fichier de configuration principal d'un serveur NIS, ainsi qu'un script make qui génère des données de table au format binaire à partir de fichiers texte source. Le serveur lit également les fichiers /var/yp/securenets et /etc/ypserv.conf pour contrôler quels clients sont autorisés à se connecter et quelles tables ils peuvent interroger. Webmin met directement à jour tous ces fichiers, ainsi que les fichiers source de la table lorsque vous configurez NIS. Le programme serveur NIS principal s'appelle ypserv , mais d'autres comme yppasswd (pour traiter les demandes de changement de mot de passe des clients) et ypxfrd (pour envoyer des tables aux esclaves) peut également être exécuté.
Sur les systèmes clients, le fichier /etc/yp.conf stocke le nom de domaine et les adresses IP du serveur NIS. Les informations sur les services pour lesquels interroger NIS sont stockées dans /etc/nsswitch.conf . Tous les clients exécutent le programme ypbind , qui transmet les requêtes d'utilisateur, de groupe et d'autres informations des programmes locaux au serveur NIS.
Le module Webmin Client et Serveur NIS vous permet de configurer votre système en tant que client et/ou serveur NIS. Lorsque vous y accédez à partir de la catégorie Réseau, la page principale affiche simplement cinq icônes pour les différents domaines de la configuration du client et du serveur. Si Webmin détecte que les programmes clients NIS sont absents de votre système, la page principale affichera à la place un message d'erreur - si cela se produit, vérifiez votre CD de distribution Linux ou votre site Web pour un package nommé quelque chose comme ypbind.
Le module n'est pas pris en charge sur toutes les versions de Linux. Au moment de la rédaction, seuls Redhat, Mandrake, OpenLinux, Debian, SuSE, UnitedLinux et MSC.Linux pouvaient l'utiliser. Étant donné que chaque distribution utilise des fichiers de configuration légèrement différents pour NIS, il peut y avoir des différences dans l'interface utilisateur et les paramètres par défaut entre les différentes distributions, en particulier sur les services client et Serveur NIS pages.
Devenir client NIS
Pour configurer votre système en tant que client NIS, un serveur NIS doit déjà être en cours d'exécution et être accessible sur votre réseau. Si ce n'est pas le cas, consultez la section « Configuration d'un serveur NIS » ci-dessous pour savoir comment en démarrer un. En supposant qu'un serveur NIS soit en cours d'exécution et que vous connaissiez son nom de domaine NIS, les étapes pour devenir client sont :
- Installez les modules nécessaires :ypbind yp-tools et rpc-bind;
- Démarrer le ypbind un service;
- Sur la page principale du module, cliquez sur Client NIS icône. Cela vous mènera à un formulaire pour entrer le nom de domaine et les adresses IP du serveur NIS.
- Dans le domaine NIS , saisissez le nom du domaine NIS de votre réseau.
- Si vous ne connaissez pas l'adresse IP d'un serveur NIS, définissez les serveurs NIS option pour Rechercher par diffusion . Cela ne fonctionnera que si le serveur est sur le même LAN que votre système - sinon, la diffusion ne pourra pas l'atteindre. Si vous connaissez l'adresse d'un serveur NIS, sélectionnez Liste ci-dessous option et entrez toutes les adresses de serveur maître et esclave dans la zone de texte. Plus vous entrez, mieux c'est, car votre système essaiera d'interroger chacun d'eux à tour de rôle lorsque NIS est activé. Cependant, il est préférable de saisir d'abord le serveur le plus proche afin qu'un serveur plus éloigné et donc plus lent ne soit pas toujours interrogé.
- Cliquez sur Enregistrer et appliquer pour enregistrer vos paramètres et les activer immédiatement. Si votre système ne parvient pas à contacter un serveur pour le domaine NIS, un message d'erreur s'affichera – sinon, le navigateur reviendra à la page principale du module.
- Maintenant que vous êtes connecté à un serveur NIS, vous devez configurer le système pour qu'il interroge réellement les utilisateurs, les groupes et d'autres informations. Pour cela, cliquez sur les Services Clients icône qui vous amènera au formulaire montré dans la Figure Module Client et Serveur NIS .
- Chaque ligne du formulaire des services client contrôle ce que votre système demandera lors de la recherche d'un service particulier. Pour chacune, vous pouvez sélectionner plusieurs sources qui seront vérifiées dans l'ordre jusqu'à ce que l'on trouve une correspondance. Les sources disponibles sont :
- Fichiers
- Fichiers de configuration locaux, tels que /etc/passwd ou /etc/hosts.
- NIS
- Ce serveur NIS auquel votre système est actuellement connecté.
- NIS+
- Le serveur NIS+ auquel votre système est connecté. Cependant, la configuration de NIS+ n'est pas prise en charge par Webmin.
- NIS et Fichiers
- Cette option ne fonctionne que pour les *utilisateurs Unix et groupes Unix prestations de service. Si choisi, des lignes spéciales dans /etc/passwd et /etc/group commençant par + ou – peut être utilisé pour indiquer que certains ou tous les utilisateurs NIS doivent être inclus. C'est en fait plus flexible que de simplement choisir le NIS source, car les lignes spéciales + et - peuvent être utilisées pour n'apporter que certains utilisateurs et groupes, ou modifier les attributs de ceux qui sont inclus.
- DNS
- Cette option n'a de sens que pour les adresses hôtes la source. Il indique au système d'interroger un serveur DNS lors de la recherche de noms d'hôte, ce qui est presque toujours ce que vous voulez faire. En règle générale, vous devez définir chacun des services pour lesquels vous souhaitez utiliser NIS (tels que les utilisateurs Unix et groupes Unix ) vers Fichiers et NIS . Tout le reste doit être défini sur Fichiers uniquement , ou dans le cas des adresses d'hôte juste des fichiers et DNS . Votre système cherchera alors d'abord dans le fichier de configuration du système local (tel que /etc/passwd) puis interrogera le serveur NIS.
- Lorsque vous avez terminé, cliquez sur Enregistrer bouton. Vos modifications prendront effet immédiatement dans tous les programmes, et tous les utilisateurs NIS devraient pouvoir se connecter comme le feraient les utilisateurs locaux.
Une fois que vous avez utilisé Webmin pour faire de votre système un client NIS, il tentera de se connecter à un serveur au démarrage. L'échec de la connexion peut entraîner le blocage du système à mi-chemin du processus de démarrage, en attendant que le serveur soit disponible. Si le serveur tombe en panne alors que votre système est connecté, tout programme qui recherche des informations sur l'utilisateur peut également se bloquer.
Pour empêcher votre système d'être un client NIS, les étapes à suivre sont :
- Sur la page principale du module, cliquez sur Client NIS icône pour accéder à la page des options du client.
- Définir le domaine NIS champ à Aucun (NIS désactivé) .
- Cliquez sur Enregistrer et appliquer bouton. Le système n'utilisera plus NIS pour rechercher des informations et ne se connectera pas au démarrage. Tous les services configurés pour utiliser une source NIS sur les services client la page ignorera simplement cette source et n'utilisera probablement que des fichiers locaux à la place.
Contenu
Configuration d'un serveur maître NIS
Avant que votre système puisse devenir un NIS, les programmes serveur appropriés doivent d'abord être installés - s'ils ne le sont pas, cliquez sur le Serveur NIS icône un message d'erreur s'affiche. Vérifiez votre CD de distribution Linux ou votre site Web pour un package ypserv ou nis-server, qui devrait contenir toutes les commandes et tous les fichiers nécessaires.
La première étape de la configuration d'un serveur NIS consiste à choisir un nom de domaine. En règle générale, ce sera le même que votre domaine Internet (tel que foo.com), mais tout ce qui est composé de lettres, de chiffres et de points est autorisé. Après avoir décidé, les étapes à suivre sont :
- Installez les modules nécessaires :ypserv ypbind yp-tools et rpc-bind;
- Démarrer ypserv service au démarrage et à l'arrêt
- Assurez-vous que le pare-feu autorise l'accès depuis les clients NIS
firewall-cmd --zone=trusted --add-source=192.168.100.0/24 --permanent
(en supposant que d'autres serveurs se trouvent sur le segment 192.168.100.xxx) - Sur la page principale du module, cliquez sur le Serveur NIS icône. Cela vous mènera à un formulaire pour activer le serveur et configurer d'autres options, comme illustré à la Figure NIS - Configuration . Le formulaire aura le même aspect sur la plupart des distributions Linux, mais OpenLinux de Caldera aura beaucoup moins d'options.
- Définissez Activer le serveur NIS ? option sur Oui . Lorsque le formulaire est enregistré, les processus du serveur seront lancés immédiatement et à chaque redémarrage ultérieur.
- Saisissez le domaine que vous avez choisi dans le champ Servir le domaine NIS domaine. C'est mieux que de choisir l'option *Identique au client *, même s'ils seront identiques.
- Laissez le type de serveur défini sur Serveur maître . Pour configurer un serveur esclave, consultez la section "Configuration d'un serveur esclave NIS" ci-dessous.
- Si les clients NIS sont incapables de rechercher eux-mêmes les hôtes et les adresses dans le DNS, activez l'option Rechercher les hôtes manquants dans le DNS ? option pour que le serveur maître fasse des recherches pour eux. Seuls les très anciens systèmes d'exploitation clients comme SunOS 4 en ont besoin.
- Dans les tables NIS à servir , sélectionnez toutes les tables que vous souhaitez mettre à la disposition des clients. Certaines des tables les plus couramment utilisées et leurs objectifs sont :passwd Utilisateurs Unix, tels que stockés dans le fichier /etc/passwd. Normalement, cela contient également des mots de passe, au lieu de les stocker dans une table fantôme séparée. groupe Les groupes Unix, tels qu'ils se trouvent normalement dans le fichier /etc/group. hôtes Hôtes et adresses IP, tels qu'ils se trouvent dans le fichier /etc/hosts. Même si NIS peut être utilisé pour stocker et rechercher des noms d'hôte et des adresses, il est presque toujours préférable de configurer un serveur DNS à la place. ombre Informations supplémentaires sur l'utilisateur, y compris les mots de passe. Si cette table et passwd sont sélectionnés, en fonction de votre configuration NIS Makefile, vous pourrez peut-être modifier des informations utilisateur étendues, telles que les dates d'expiration et d'avertissement. netgrp Netgroups, qui sont des groupes d'hôtes. Ceux-ci peuvent être utilisés lors de l'exportation de répertoires via NFS, comme expliqué au chapitre 6.
- Si votre réseau aura des serveurs esclaves, il est conseillé de définir l'option Pousser les mises à jour aux esclaves ? option sur Oui . De cette façon, chaque fois qu'une modification est apportée à l'une des tables NIS, tous les serveurs esclaves seront immédiatement notifiés afin qu'ils soient synchronisés.
- Entrez les adresses IP de tous les esclaves (séparés par des espaces) dans les serveurs esclaves domaine.
- Dans les fichiers NIS principaux , vous pouvez choisir les fichiers qui seront utilisés comme sources pour les tables NIS. Souvent, par défaut, l'utilisateur normal, le groupe, l'hôte et d'autres fichiers de configuration dans /etc seront utilisés, tels que /etc/passwd, /etc/group et /etc/hosts. Ce n'est pas une bonne idée cependant - à la place, vous devriez changer les fichiers des tables que votre serveur sert avec des noms de fichiers similaires dans le répertoire /var/yp, tels que /var/yp/passwd et /var/yp/group. Une fois que le serveur est en cours d'exécution, il peut être configuré pour devenir l'un de ses propres clients et ainsi avoir accès via NIS à tous les enregistrements de ces fichiers, au lieu d'y accéder localement.
- Lorsque vous avez terminé, cliquez sur Enregistrer et appliquer bouton. Ce serveur NIS sera démarré sur votre système et sera configuré pour démarrer au démarrage à l'avenir.
Maintenant que le serveur est en cours d'exécution, vous pouvez le tester en configurant un autre système en tant que client NIS pour le domaine choisi. Les paramètres du serveur sur le formulaire peuvent être modifiés à tout moment en répétant simplement les mêmes étapes, et ils entreront en vigueur immédiatement.
Pour arrêter votre serveur NIS, les étapes à suivre sont :
- Assurez-vous qu'aucun client n'utilise plus votre système en tant que serveur, soit en désactivant complètement NIS sur eux, soit en leur faisant utiliser un autre serveur.
- Sur la page principale du module, cliquez sur le Serveur NIS icône pour accéder au formulaire d'options du serveur.
- Définissez Activer le serveur NIS ? champ sur Non .
- Cliquez sur Enregistrer et appliquer bouton. Les processus serveur de votre système seront arrêtés et ne pourront plus démarrer au démarrage à l'avenir.
Modification des tables NIS
Une fois que votre système fonctionne en tant que serveur maître NIS, vous pouvez utiliser ce module Webmin pour modifier les enregistrements dans les tables qu'il dessert. Pour voir les tables modifiables, cliquez sur les Tables NIS icône, qui vous amènera à la page avec un menu de toutes les tables et le contenu de celui affiché. D'autres tables peuvent être affichées en sélectionnant l'une d'entre elles dans la liste et en cliquant sur Modifier la table NIS bouton.
Pour la plupart des types de tableaux, Webmin analysera le contenu de leurs fichiers et l'affichera sous forme de tableau sur la page, avec un enregistrement par ligne. Vous pouvez modifier n'importe quel enregistrement en cliquant sur son nom dans la première colonne, ou en ajouter un nouveau en cliquant sur Ajouter un nouvel enregistrement lien. Cependant, certains tableaux sont dans un format inconnu de Webmin et seront donc affichés sous forme de texte brut dans une zone de texte à la place. Si vous connaissez le format correct, le tableau peut être modifié manuellement et enregistré avec le bouton *Enregistrer et appliquer*. Vous pouvez également passer n'importe quel tableau en mode manuel en cliquant sur Modifier le tableau manuellement lien, si vous préférez travailler avec le texte brut.
Les champs qui existent dans chaque enregistrement et le formulaire pour les modifier sont différents pour chaque type de table. Les instructions ci-dessous expliquent comment ajouter, supprimer et modifier des enregistrements dans plusieurs tables couramment utilisées. Un point commun est que toute modification entraînera la reconstruction automatique de la table NIS à partir des fichiers source modifiés et sa diffusion vers les serveurs esclaves s'ils sont configurés.
Pour créer un nouvel utilisateur Unix pour les clients NIS, les étapes à suivre sont :
- Sélectionnez les utilisateurs Unix table dans le menu et cliquez sur le bouton *Modifier la table NIS*.
- Cliquez sur Ajouter un nouvel enregistrement lien au-dessus ou au-dessous du tableau des utilisateurs existants, qui vous amènera au formulaire de création d'utilisateur.
- Saisissez le nom de l'utilisateur dans le champ Nom d'utilisateur champ et un numéro d'identification pour le nouvel utilisateur dans le champ ID utilisateur domaine. Contrairement au module Utilisateurs et groupes, l'ID ne sera pas automatiquement choisi pour vous, alors assurez-vous qu'il est unique.
- Saisissez le nom complet de l'utilisateur dans le vrai nom domaine.
- Entrez un répertoire personnel dans le Répertoire personnel domaine. Contrairement au module Utilisateurs et groupes, celui-ci ne sera pas créé pour vous et les fichiers n'y seront pas copiés.
- Sélectionnez un shell dans le Shell ou sélectionnez le menu Autre option et entrez le chemin du programme shell dans le champ ci-dessous.
- Sélectionnez le Mot de passe normal option pour le Mot de passe et entrez le mot de passe du nouvel utilisateur dans le champ de texte à côté.
- Saisissez l'identifiant numérique du groupe de l'utilisateur dans le champ *ID de groupe principal*.
- Si la table NIS fantôme est activée, vous pouvez définir la date d'expiration facultative , Jours minimum , Nombre maximal de jours , *jours d'avertissement* et jours inactifs des champs. Ceux-ci ont tous la même signification que dans le module Utilisateurs et Groupes
- Lorsque vous avez terminé, cliquez sur Créer bouton pour ajouter le nouvel utilisateur au tableau.
Les utilisateurs Unix existants peuvent être modifiés en cliquant sur leurs noms dans le tableau, ce qui vous amènera à un formulaire d'édition avec tous les mêmes champs que ceux décrits ci-dessus. Modifiez l'un des champs et cliquez sur Enregistrer bouton - ou pour supprimer l'utilisateur, cliquez sur le bouton Supprimer bouton en bas du formulaire. Lors de la suppression, le répertoire personnel de l'utilisateur ne sera pas touché, vous devrez donc peut-être le supprimer manuellement.
Pour créer un nouveau groupe Unix dans NIS, le processus est le suivant :
- Sélectionnez les groupes Unix table dans le menu et cliquez sur Modifier la table NIS bouton.
- Cliquez sur Ajouter un nouvel enregistrement lien au-dessus ou au-dessous du tableau des groupes existants, qui vous redirigera vers le formulaire de création d'utilisateur.
- Saisissez un nom pour le nouveau groupe dans le champ Nom du groupe champ et un identifiant numérique dans l'identifiant de groupe domaine. Assurez-vous que l'ID n'est utilisé par aucun autre groupe existant.
- Le Mot de passe peut rester intact, car les mots de passe de groupe ne sont presque jamais utilisés.
- Renseignez les membres du groupe champ avec les noms d'utilisateurs des utilisateurs qui seront membres du groupe, un par ligne.
- Lorsque vous avez terminé, cliquez sur Créer pour ajouter le nouveau groupe au tableau.
Comme pour les utilisateurs, vous pouvez modifier un groupe à tout moment en cliquant sur son nom dans le tableau, ce qui vous amènera à un formulaire de modification. Apportez les modifications souhaitées, puis cliquez sur Enregistrer bouton pour les enregistrer - ou utilisez le bouton Supprimer bouton pour supprimer le groupe. Cependant, aucune vérification ne sera effectuée pour voir s'il s'agit du groupe principal d'utilisateurs existants.
Comme le montrent les instructions de modification des utilisateurs et des groupes, le processus de modification de l'une des tables prises en charge est assez similaire. Actuellement, vous pouvez modifier les utilisateurs Unix , groupes Unix , Adresses des hôtes , Réseaux , Services , Protocoles , Netgroups , *Adresses Ethernet*, Programmes RPC , Masques réseau et Alias pour les e-mails à l'aide de formulaires dans Webmin. Toutes les autres tables doivent être modifiées manuellement.
Sécuriser votre serveur NIS
Par défaut, un serveur NIS permet à n'importe quel client de s'y connecter et d'interroger des tables, tant que le client connaît le nom de domaine. Si votre système est connecté à Internet, un attaquant pourrait deviner le domaine NIS et demander une liste de tous les utilisateurs NIS. Même si leurs mots de passe sont stockés dans un format crypté, il est toujours possible que des mots de passe évidents ou des mots de dictionnaire soient découverts par une attaque par force brute sur le cryptage du mot de passe.
Pour cette raison, il est sage de limiter les adresses des clients qui se connectent au serveur aux seuls systèmes Unix qui sont réellement des clients. Pour le configurer, les étapes à suivre sont :
- Sur la page principale du module, cliquez sur Sécurité du serveur icône qui vous mènera au formulaire illustré à la figure Sécurité du serveur .
- Les lignes dans les Clients autorisés table contrôle quels clients sont autorisés à se connecter. Vous pouvez modifier n'importe laquelle des entrées existantes ou utiliser la ligne vide en bas pour en ajouter une nouvelle. Pour ajouter plus d'une ligne, vous devrez les ajouter une à la fois, en sauvegardant et en ouvrant le formulaire pour chacune. Pour accorder l'accès à un seul hôte, sous le Netmask colonne sélectionnez *Hôte unique* et entrez son adresse IP sous Adresse réseau/hôte . Pour accorder l'accès à un réseau IP entier, sélectionnez Netmask et entrez un masque de réseau (tel que 255.255.255.0) dans le champ à côté, et l'adresse réseau sous Adresse réseau/hôte colonne. Pour accorder l'accès à tous les clients, sélectionnez simplement l'option N'importe quel hôte sous le Netmask colonne.
- Lorsque vous avez terminé, cliquez sur Enregistrer et appliquer bouton. Les nouvelles restrictions entreront en vigueur immédiatement et vous serez renvoyé à la page principale du module.
C'est une bonne idée de ne connecter que les clients de votre propre réseau et de refuser tous les autres. Une alternative encore plus sûre serait de n'autoriser que les systèmes dont vous savez qu'ils sont des clients NIS, en supposant qu'ils ont des adresses IP fixes et ne changent pas souvent.
Même si vous limitez l'accès aux seuls systèmes clients de confiance, les utilisateurs qui peuvent se connecter à ces systèmes via SSH ou telnet peuvent toujours être en mesure d'obtenir une liste de tous les utilisateurs NIS et leurs mots de passe chiffrés. Pour éviter cela, il est possible de configurer le serveur pour autoriser uniquement les clients utilisant des ports approuvés à accéder à certaines tables ou champs dans les tables. Étant donné que sur les systèmes Unix, seul l'utilisateur root peut créer des sockets TCP ou UDP avec des numéros de port inférieurs à 1024, ces ports bas sont considérés comme fiables et sans danger pour les utilisateurs réguliers.
Il est également possible d'empêcher certains clients d'accéder à certaines tables NIS, tout en leur permettant d'accéder à d'autres. Par exemple, vous pouvez donner à tous les systèmes clients l'accès aux adresses hôtes table, mais seuls quelques-uns ont fait confiance aux droits des utilisateurs Unix table.
Pour restreindre l'accès aux tables sur votre serveur, les étapes à suivre sont :
- Sur la page principale du module, cliquez sur Sécurité du serveur icône pour accéder au formulaire illustré à la figure Sécurité du serveur .
- Les restrictions de la carte client table contrôle les tables NIS auxquelles certains systèmes clients peuvent accéder et qui, sur ces systèmes, peut y accéder. Chaque ligne spécifie une règle qui s'applique à certains ou à tous les clients et peut autoriser l'accès, le bloquer entièrement ou filtrer une table interrogée. Les champs et leurs significations sont :
- Hôtes
- Une adresse IP ou une adresse IP partielle (comme 192.168.1. ) auxquels cette restriction s'applique. Saisie de * appliquera la restriction à tous les clients.
- Tableaux NIS
- Sélectionner tout option pour que la restriction s'applique à toutes les tables, ou entrez un nom de table unique. En interne, le serveur NIS ajoute quelque chose comme .byname ou .byuid aux noms de table pour indiquer qu'ils sont indexés par. Le nom de table que vous entrez doit utiliser ce nom interne, tel que passwd.byuid ou hosts.byaddr . *Restriction *Ce champ contrôle ce que fait le serveur si une requête client correspond. Sélectionnez Aucun pour autoriser la demande, Refuser l'accès pour le bloquer complètement, ou Port de confiance à bloquer si le client utilise un port non approuvé. Champ mangle *Si vous utilisez le *port de confiance restriction, vous pouvez utiliser cette option pour ne masquer qu'un seul champ de la table demandée au client. Sélection Aucun bloquera complètement l'accès à la table, mais la saisie d'un numéro de champ entraînera le remplacement de son contenu par un x. La seule utilisation pratique de cette option consiste à masquer les mots de passe dans les tables passwd.byname, passwd.byuid ou shadow.byname, qui se trouvent dans le champ
- De nouvelles restrictions peuvent être ajoutées à l'aide de la ligne vide en bas du tableau. Pour ajouter plus d'une restriction, vous devrez enregistrer et rouvrir le formulaire plusieurs fois. Lorsqu'un client demande une table, le serveur NIS recherche la première ligne de la table qui correspond et utilise la restriction définie. Pour cette raison, vous devez vous assurer que toute nouvelle ligne que vous ajoutez se trouve avant celle qui accorde l'accès à tous les clients et tables, qui existe généralement par défaut.
- Lorsque vous avez terminé, cliquez sur Enregistrer et appliquer bouton. Le navigateur reviendra à la page principale du module et toute modification des restrictions prendra effet immédiatement.
L'utilisation la plus utile des restrictions de carte client table est d'ajouter une ligne pour tous les clients sur la table passwd.byname avec la restriction définie sur Port de confiance et le champ Mangle option définie sur 2. Ajoutez ensuite une autre ligne pour la table passwd.byuid, avec toutes les autres options identiques. Ceux-ci empêcheront les utilisateurs non root de voir le mot de passe crypté, tout en autorisant les programmes exécutés en tant que root tels que le serveur telnet ou SSH.
Si vous utilisez la table shadow séparée pour stocker les mots de passe et les informations d'expiration, la restriction doit être sur la table shadow.byname à la place. Sur de nombreuses distributions Linux, une restriction comme celle-ci existe par défaut.
NIS - TableauxConfiguration d'un serveur esclave NIS
Les serveurs NIS esclaves sont utilisés de la même manière que les serveurs DNS secondaires - ils conservent une copie des tables détenues par le serveur maître et peuvent être utilisés par les clients si le maître échoue ou tarde à répondre. Si vous utilisez NIS sur un très grand réseau comportant plusieurs LAN connectés par des liaisons lentes, il peut également être judicieux de placer un serveur esclave sur chaque LAN afin que les clients puissent l'utiliser à la place du maître.
Sur OpenLinux, il n'y a aucun moyen de configurer un serveur esclave à l'aide de Webmin en raison des fichiers de configuration NIS uniques utilisés par la distribution. Sur toutes les autres versions de Linux, les étapes pour configurer un système en tant que serveur esclave :
- Sur la page principale du module, cliquez sur le Serveur NIS icône. Cela vous mènera au formulaire de configuration du serveur, illustré à la Figure 17-2.
- Définissez Activer le serveur NIS ? champ sur Oui .
- Entrez le domaine du serveur maître dans le domaine NIS domaine.
- Modifier le type de serveur à Esclave du serveur , et entrez l'adresse IP du maître dans le champ à côté. Aucun des autres champs n'a besoin d'être touché, car ils concernent tous l'exécution d'un serveur maître.
- Cliquez sur Enregistrer et appliquer bouton. Le serveur doit être démarré immédiatement et configuré pour démarrer au démarrage.
Assurez-vous que le serveur maître a l'adresse de cet esclave entré dans les serveurs esclaves sur le formulaire de configuration du serveur. Il devrait également avoir l'option Pousser les mises à jour vers les serveurs esclaves ? option activée, de sorte que toute modification des tables sera immédiatement envoyée aux esclaves. Sinon, vous pouvez utiliser la commande yppush pour envoyer le contenu d'une table NIS à certains ou à tous les serveurs esclaves.
Configuration du module client et serveur NIS
Le module a quelques options configurables qui peuvent être modifiées en cliquant sur le lien Module Config dans le coin supérieur gauche de la page principale. Ceux que vous pouvez modifier en toute sécurité sont :
Les autres options de la page de configuration du module sont définies automatiquement en fonction de votre système d'exploitation et n'ont généralement pas besoin d'être modifiées.
NIS sur Solaris
Le seul autre système d'exploitation sur lequel Webmin vous permet de configurer NIS est Solaris de Sun. Sous Solaris, les pages *Client NIS *et *Services Client* sont identiques à celles sous Linux et fonctionnent de la même manière. Cependant, le serveur NIS et les formulaires de sécurité du serveur sont légèrement différents :
- Sur le serveur NIS , le domaine que vous entrez sera également utilisé pour le client NIS. Il s'agit d'une limitation de Solaris, contrairement à Linux où un système peut être un serveur pour un domaine et un client pour un autre.
- Sur la page du serveur, vous ne pouvez pas spécifier directement les chemins d'accès aux fichiers de table individuels. Au lieu de cela, le répertoire des fichiers source NIS et répertoire des fichiers source des mots de passe NIS les champs contrôlent les répertoires dans lesquels ils sont stockés, généralement /var/yp.
- Il n'y a pas de restrictions de carte client tableau sur la sécurité du serveur page, et donc aucun moyen de contrôler les tables et les champs que les clients peuvent demander. Cependant, vous pouvez toujours autoriser ou refuser entièrement certains hôtes et réseaux à l'aide de l'option Autoriser les clients table.
- Les systèmes Solaris incluent en standard la prise en charge client et serveur de NIS+. Cependant, étant donné que ce protocole n'est pas pris en charge par Webmin, tenter d'utiliser ce module pour reconfigurer un système qui s'exécute déjà en tant que client ou serveur NIS+ ne fonctionnera pas et peut même entraîner des problèmes de configuration.