« Le système d'exploitation GNU-Linux/Le partage de fichiers NFS » : différence entre les versions
rajout de NIS |
|||
| Ligne 97 : | Ligne 97 : | ||
== Authentification centralisée avec NIS == |
|||
''En construction !'' |
|||
== NIS == |
|||
Pour installé sous Débian, utilisez la commande |
|||
# Apt-get install nis |
|||
Pour résoudre le problème des UID / GID non identiques, la solution consiste à déployer NIS. |
|||
Lors de l'installation vous aurez le choix du domaine, il peut être différent du domaine internet. |
|||
Pour installer NIS sous Débian, utiliser la commande suivante : |
|||
Le document d'aide pour la configuration du serveur et du client |
|||
# cat /usr/share/doc/nis/nis.debian.howto.gz |
|||
# apt-get install nis |
|||
'''Le serveur''' |
|||
Lors de l'installation il faut indiquer le domaine NIS, ce dernier peut être différent du domaine internet. |
|||
Les 2 premières étapes de l'installation du serveur ont été réalisés lors des précédentes manipulations. |
|||
Pour la troisième |
|||
# cat /etc/host |
|||
Vous devez normalement avoir votre ip et votre host. |
|||
Pour le déploiement du serveur et des clients NIS, on va suivre la procédure Debian décrite dans le fichier '''/usr/share/doc/nis/nis.debian.howto.gz''' : |
|||
# zmore /usr/share/doc/nis/nis.debian.howto.gz |
|||
Dans etc/defaultdomain , vérifier que le domaine choisis lors de l'installation est présent. |
|||
=== Configuration du serveur NIS === |
|||
Pour les restriction : |
|||
# vi /etc/ypserv.securenets |
|||
Il faut tout d'abord vérifier que le fichier '''/etc/hosts''' contient l'adresse IP et est le nom FQDN du serveur : |
|||
# |
|||
# securenets This file defines the access rights to your NIS server |
|||
# for NIS clients (and slave servers - ypxfrd uses this |
|||
# file too). This file contains netmask/network pairs. |
|||
# A clients IP address needs to match with at least one |
|||
# of those. |
|||
# |
|||
# One can use the word "host" instead of a netmask of |
|||
# 255.255.255.255. Only IP addresses are allowed in this |
|||
# file, not hostnames. |
|||
# |
|||
# Always allow access for localhost |
|||
255.0.0.0 127.0.0.0 |
|||
# cat /etc/hosts |
|||
# This line gives access to everybody. PLEASE ADJUST! |
|||
... |
|||
255.255.255.0 192.168.30.0 |
|||
192.168.30.230 pc230.mondomaine.fr pc230 |
|||
Il faut ensuite vérifier que le fichier '''/etc/defaultdomain''' contienne le domaine NIS : |
|||
# cat /etc/defaultdomain |
|||
# vi /etc/default/nis -> NISSERVER=master |
|||
DOMAINENIS |
|||
Dans le fichier '''/etc/ypserv.securenets''', on restreint l'utilisation du domaine NIS au domaine du réseau local. On remplace la ligne '''0.0.0.0 0.0.0.0''' par : '''255.255.255.0 192.168.30.0'''. |
|||
# /etc/init.d/nis restart |
|||
# vi /etc/ypserv.securenets |
|||
Long la premiere fois |
|||
... |
|||
255.255.255.0 192.168.30.0 |
|||
On modifie ensuite '''/etc/default/nis''' pour indiquer qu'il s'agit du serveur NIS : |
|||
# vi /etc/default/nis |
|||
... |
|||
NISSERVER=master |
|||
... |
|||
On relance le serveur NIS : |
|||
# /etc/init.d/nis restart |
|||
Cette étape peut prendre un certain temps ... |
|||
On lance ensuite la création des bases de données NIS avec la commande suivante : |
|||
# /usr/lib/yp/ypinit -m |
|||
Ceci va créer les fichiers partagés dans le répertoire '''/var/yp/DOMAINENIS'''. |
|||
=== Configuration du client NIS === |
|||
On vérifie que le fichier '''/etc/defaultdomain''' contienne le domaine NIS : |
|||
# cat /etc/defaultdomain |
|||
DOMAINENIS |
|||
Dans le fichier '''/etc/yp.conf''', on indique l'adresse IP du serveur NIS : |
|||
# vi /etc/yp.conf |
|||
... |
|||
ypserver 192.168.30.230 |
|||
On démarre le client NIS : |
|||
# /etc/init.d/nis start |
|||
On vérifie que le fichier '''/etc/nsswitch.conf''' contient bien les lignes suivantes : |
|||
# cat /etc/nsswitch.conf |
|||
... |
|||
passwd: compat |
|||
group: compat |
|||
shadow: compat |
|||
... |
|||
netgroup: nis |
|||
A la fin du fichier '''/etc/passwd''', on rajoute la ligne suivante : |
|||
# echo "+::::::" >> /etc/passwd |
|||
A la fin du fichier '''/etc/shadow''', on rajoute la ligne suivante : |
|||
# echo "+::::::::" >> /etc/shadow |
|||
# /usr/lib/yp/ypinit -m |
|||
Création des fichiers dans var/lib/nis |
|||
A la fin du fichier '''/etc/group''', on rajoute la ligne suivante : |
|||
'''Le client''' |
|||
# echo "+:::" >> /etc/shadow |
|||
domain /etc/defaultdomain |
|||
Lancez le client |
|||
/etc/init.d/nis start |
|||
cat /etc/nsswitch.conf |
|||
# /etc/nsswitch.conf |
|||
# |
|||
# Example configuration of GNU Name Service Switch functionality. |
|||
# If you have the `glibc-doc-reference' and `info' packages installed, try: |
|||
# `info libc "Name Service Switch"' for information about this file. |
|||
Pour tester, on lance la commande suivante : |
|||
passwd: compat |
|||
group: compat |
|||
shadow: compat |
|||
# ypcat passwd.byname |
|||
hosts: files dns |
|||
networks: files |
|||
On doit voir afficher le fichier '''/etc/passwd''' partagé. |
|||
protocols: db files |
|||
services: db files |
|||
ethers: db files |
|||
rpc: db files |
|||
netgroup: nis |
|||
Sur le serveur NIS, on rajoute un utilisateur : |
|||
# vipw |
|||
Séparation des utilisateurs locaux et les utilisateurs du réseau. |
|||
# adduser jack |
|||
'''Test:''' |
|||
... |
|||
On met à jour la base de données NIS : |
|||
# id jack |
|||
Résultat: |
|||
id: jack: usager inexistant. |
|||
# /usr/lib/yp/ypinit -m |
|||
Ajoutez le groupe et l'utilisateur |
|||
# addgroup --gid 1100 grpjack |
|||
# adduser --uid 1100 --gid 1100 jack |
|||
Si tout fonctionne, on doit pouvoir se logger sur le client NIS avec l'utilisateur '''jack'''. |
|||
Mise a jours du var/yp/DOMAINE |
|||
Version du 12 février 2008 à 18:10
Le protocole NFS (Network File System) permet de partager des fichiers dans les réseaux Unix.
Installation du serveur NFS
Pour installer le serveur NFS sous Debian, il suffit de taper la commande suivante :
# apt-get install nfs-kernel-server
Configuration du serveur NFS
La configuration du serveur NFS est stockée dans le fichier /etc/exports.
Ce fichier de configuration dispose d'une page de manuel :
# man exports
Voici quelques exemples extrait du manpage :
$ cat /etc/exports # fichier exemple /etc/exports / master(rw) trusty(rw,no_root_squash) /projects proj*.local.domain(rw) /usr *.local.domain(ro) @trusted(rw) /home/joe pc001(rw,all_squash,anonuid=150,anongid=100) /pub (ro,insecure,all_squash)
- La première ligne exporte l’ensemble du système de fichiers vers les machines « master » et « trusty ». En plus des droits d’écriture, toute transformation d’UID est désactivée pour l’hôte « trusty ».
- Les deuxième et troisième lignes montrent des exemples de noms de machines avec caractères jokers, et de groupes de machines (« @trusted »).
- La quatrième ligne montre comment mapper tous les utilisateurs vers UID et GID particulier.
- La dernière ligne partage un répertoire /pub, à toutes les machines dans le monde, en effectuant les requêtes sous le compte anonyme. L’option insecure permet l’accès aux clients dont l’implémentation NFS n’utilise pas un port réservé.
A chaque modification du fichier /etc/exports, il faut relancer le serveur NFS pour que les modifications soient pris en compte :
# /etc/init.d/nfs-kernel-server restart
On peut également utiliser la commande exportfs :
# exportfs -ra
Options d'exportation
Voici les options d'exportation les plus courantes :
- secure : cette option impose l’utilisation d’un port réservé (inférieur à 1024) comme origine de la requête.
- rw : exporte le répertoire en lecture / écriture
- ro : exporte le répertoire en lecture seule
- async : le serveur NFS va pouvoir répondre que le fichier a été écrit sur le support de stockage, même si cela n'a pas encore été fait. Améliore les performances du serveur.
- sync : le serveur NFS va écrit physiquement les fichiers sur le support de stockage avant de répondre. Réduit les performances du serveur.
Options liées aux correspondances de UID et de GID (UID et GID mapping)
Le principal problème avec NFS est la correspondance des UID et des GID. Effectivement, l'utilisateur alex peut avoir le UID 1000 sur le client et un UID différent sur le serveur. NFS travaille avec les UID et GID numérique, il va donc par défaut enregistrer sur le serveur que le fichier appartient à l'utilisateur 1000, et non à l'utilisateur alex.
Pour pallier à ces problèmes, NFS fournit des mécanismes pour transformer les UID et les GID.
Le problème ce pose également avec le super-utilisateur root qui dispose du UID 0. Pour des raisons de sécurité, NFS va transformer par défaut les fichiers posés par le root vers le UID et le GID du compte anonyme (nobody.nogroup).
- root_squash : option par défaut. transforme les requètes provenant de l'UID 0 / GID 0 vers le UID et GID du compte anonyme.
- no_root_squash : ne transforme pas les requètes provenant de l'UID 0 / GID 0. A utiliser avec précaution.
- all_squash : transforme tous les UID/GID vers le UID/GID de l’utilisateur anonyme.
- anonuid : permet de spécifier le UID de l'utilisateur anonyme.
- anongid : permet de spécifier le GID de l'utilisateur anonyme.
Utilisation de NFS depuis un poste client
La commande mount permet à un poste client d'accéder à un répertoire partagé par un serveur NFS.
Synopsis :
# mount -t nfs <nom ou adresse IP du serveur NFS>:<répertoire partagé> <point de montage>
Exemple :
# mount -t nfs pc230:/home/partage /mnt
Si on veut que ce répertoire soit accessible à chaque boot, il suffit de rajouter la ligne suivante dans le fichier /etc/fstab :
$ cat /etc/fstab ... pc230:/home/partage /mnt nfs defaults 0 0 ...
Authentification centralisée avec NIS
Pour résoudre le problème des UID / GID non identiques, la solution consiste à déployer NIS.
Pour installer NIS sous Débian, utiliser la commande suivante :
# apt-get install nis
Lors de l'installation il faut indiquer le domaine NIS, ce dernier peut être différent du domaine internet.
Pour le déploiement du serveur et des clients NIS, on va suivre la procédure Debian décrite dans le fichier /usr/share/doc/nis/nis.debian.howto.gz :
# zmore /usr/share/doc/nis/nis.debian.howto.gz
Configuration du serveur NIS
Il faut tout d'abord vérifier que le fichier /etc/hosts contient l'adresse IP et est le nom FQDN du serveur :
# cat /etc/hosts ... 192.168.30.230 pc230.mondomaine.fr pc230
Il faut ensuite vérifier que le fichier /etc/defaultdomain contienne le domaine NIS :
# cat /etc/defaultdomain DOMAINENIS
Dans le fichier /etc/ypserv.securenets, on restreint l'utilisation du domaine NIS au domaine du réseau local. On remplace la ligne 0.0.0.0 0.0.0.0 par : 255.255.255.0 192.168.30.0.
# vi /etc/ypserv.securenets ... 255.255.255.0 192.168.30.0
On modifie ensuite /etc/default/nis pour indiquer qu'il s'agit du serveur NIS :
# vi /etc/default/nis ... NISSERVER=master ...
On relance le serveur NIS :
# /etc/init.d/nis restart
Cette étape peut prendre un certain temps ...
On lance ensuite la création des bases de données NIS avec la commande suivante :
# /usr/lib/yp/ypinit -m
Ceci va créer les fichiers partagés dans le répertoire /var/yp/DOMAINENIS.
Configuration du client NIS
On vérifie que le fichier /etc/defaultdomain contienne le domaine NIS :
# cat /etc/defaultdomain DOMAINENIS
Dans le fichier /etc/yp.conf, on indique l'adresse IP du serveur NIS :
# vi /etc/yp.conf ... ypserver 192.168.30.230
On démarre le client NIS :
# /etc/init.d/nis start
On vérifie que le fichier /etc/nsswitch.conf contient bien les lignes suivantes :
# cat /etc/nsswitch.conf ... passwd: compat group: compat shadow: compat ... netgroup: nis
A la fin du fichier /etc/passwd, on rajoute la ligne suivante :
# echo "+::::::" >> /etc/passwd
A la fin du fichier /etc/shadow, on rajoute la ligne suivante :
# echo "+::::::::" >> /etc/shadow
A la fin du fichier /etc/group, on rajoute la ligne suivante :
# echo "+:::" >> /etc/shadow
Pour tester, on lance la commande suivante :
# ypcat passwd.byname
On doit voir afficher le fichier /etc/passwd partagé.
Sur le serveur NIS, on rajoute un utilisateur :
# adduser jack ...
On met à jour la base de données NIS :
# /usr/lib/yp/ypinit -m
Si tout fonctionne, on doit pouvoir se logger sur le client NIS avec l'utilisateur jack.