NIS / YP

Network Information System

 

Inhalt

- Was ist NIS? -
- Wie funktioniert NIS? -
- Beteiligte Daemonen -
- Änderung der passwd -
- Master-Installation -
- Client-Installation -
- Sicherheitsaspekte -

 

Erstellt von Oliver Fromme
Copyright © 2002-2006
secnetix GmbH & Co KG

Änderung der passwd

Unter FreeBSD werden alle Benutzerinformationen in der Datei /etc/master.passwd abgelegt. Diese Datei darf niemals direkt editiert werden, sondern nur mit dem Kommando vipw! Es sorgt dafür, daß die zugehörigen Datenbankdateien und die Kompatibilitätsdatei /etc/passwd automatisch aktualisiert werden. Außerdem führt es eine einfache Syntaxprüfung durch.

Bei Verwendung von NIS werden alle Benutzer-Accounts, die per NIS verwaltet werden, aus /etc/master.passwd entfernt. Stattdessen wird ein spezieller Eintrag gemacht, der aus einem Plus-Zeichen besteht: 

   +:::::::::

Das bedeutet, daß an dieser Stelle die Daten aus der NIS-Map eingefügt werden sollen. Daneben kann es weiterhin lokale Accounts geben, d.h. es müssen nicht unbedingt alle User per NIS verwaltet werden. Typisches Beispiel sind diverse Pseudo-User, insbesondere root, die man meistens lokal haben möchte und nicht per NIS. Für die Benutzer ist dies völlig transparent, d.h. sie merken praktisch nichts davon, ob ihre Daten per NIS kommen oder nicht.

Man kann einzelne Felder im NIS-Eintrag überschreiben. Beispiel: 

   +:*::::::::/sbin/nologin

Hier wird das Paßwort-Feld und das Login-Shell-Feld überschrieben, so daß die Accounts zwar auf diesem Client vorhanden sind, die Benutzer sich aber nicht einloggen können (kein gültiges Paßwort und keine Login-Shell). Dies könnte zum Beispiel für einen Mailserver oder Fileserver nützlich sein. Denkbar wäre auch, das Paßwort-Feld zu überschreiben, wenn man möchte, daß sich die Benutzer nicht per Paßwort einloggen sollen, sondern etwa per SSH-Key oder per One-Time-Paßwort (S/Key).

Darüberhinaus kann man Benutzer in unterschiedliche Gruppen einteilen (sogenannte Netgroups; diese haben nichts mit den UNIX-Groups aus /etc/group zu tun), um diese mit unterschiedlichen Eigenschaften zu importieren. Beispiel: 

   +@ADMINS:::::::::
   +@LUSERS:*::::::::/sbin/nologin

Hier gibt es zwei Netgroups namens ADMINS und LUSERS. Benutzer, die in ADMINS sind, werden mit ihren Originaldaten importiert und dürfen sich einloggen. Benutzer in der Netgroup LUSERS dagegen sind zwar dem System bekannt, können sich aber nicht einloggen. Netgroups werden ebenfalls per NIS-Maps verwaltet. Im folgenden wird aber nicht näher auf Netgroups eingegangen.

Es ist außerdem möglich, bestimmte Benutzer von einem Import ausnzumehmen. Auf diesen Weise kann man Ausnahmen definieren: 

   +:::::::::
   -pogojoe
   -billyboy

Auf diesem Rechner wird die komplette NIS-Map importiert, bis auf die beiden Benutzer pogojoe und billyboy. Das System verhält sich so, als seien diese beiden Benutzer unbekannt.

 

[Valid XHTML 1.0]