Ignorer les liens de navigation | |
Quitter l'aperu | |
Utilisation des services de noms et d'annuaire dans Oracle Solaris 11.1 Oracle Solaris 11.1 Information Library (Français) |
Partie I A propos des services d'annuaire et de noms
1. Services d'annuaire et de noms (présentation)
2. Commutateur du service de noms (présentation)
4. Configuration des clients Active Directory Oracle Solaris (tâches)
Partie II Configuration et administration NIS
5. Service d'information réseau (présentation)
6. Définition et configuration du service NIS (tâches)
7. Administration de NIS (tâches)
Fichiers de mots de passe et sécurité de l'espace de noms
Administration des utilisateurs NIS
Ajout d'un nouvel utilisateur NIS à un domaine NIS
Obtention d'informations de carte
Changement du serveur maître de la carte
Changement du serveur maître d'une carte
Modification des fichiers de configuration
Modification des fichiers de configuration
Modification et utilisation de /var/yp/Makefile
Utilisation du fichier makefile
Modification des macros/variables makefile
Modification des entrées Makefile
Modification du fichier /var/yp/Makefile pour utiliser des bases de données spécifiques
Modification du fichier makefile pour supprimer des bases de données
Mise à jour et modification des cartes existantes
Mise à jour des cartes fournies avec l'ensemble par défaut
Maintenance des cartes mises à jour
Utilisation de la commande cron pour les transferts de cartes
Utilisation de scripts shell avec cron et ypxfr
Appel direct de la commande ypxfr
Journalisation de l'activité ypxfr
Modification des cartes qui ne font pas partie des cartes par défaut
Création de cartes à partir de fichiers texte
Ajout d'entrées dans une carte basée sur les fichiers
Création de cartes à partir de l'entrée standard
Modification de cartes créées à partir de l'entrée standard
Liaison à un serveur NIS spécifique
Définition d'un nom de domaine NIS de machine
Configuration de la recherche de noms d'hôte et d'adresses de machine via NIS et DNS
Désactivation des services NIS
Partie III Service de noms LDAP
9. Introduction aux services de noms LDAP (présentation)
10. Exigences de planification pour les services de noms LDAP (tâches)
11. Configuration de Oracle Directory Server Enterprise Edition avec les clients LDAP (tâches)
12. Configuration des clients LDAP (tâches)
13. Dépannage LDAP (référence)
14. Service de noms LDAP (référence)
Cette section comprend des informations sur la définition des mots de passe utilisateur, l'ajout de nouveaux utilisateurs à un domaine NIS et l'affectation d'utilisateurs aux netgroups.
Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
# useradd userID
Remplacez userID par l'ID de connexion du nouvel utilisateur. Cette commande crée des entrées dans les fichiers /etc/passwd et /etc/shadow sur le serveur NIS maître.
Pour créer le mot de passe avec lequel le nouvel utilisateur se connectera pour la première fois, exécutez la commande passwd.
# passwd userID
Remplacez userID par l'ID de connexion du nouvel utilisateur. Vous serez invité à saisir le mot de passe à affecter à cet utilisateur.
Cette étape est nécessaire, car l'entrée du mot de passe créée par la commande useradd est verrouillée, empêchant le nouvel utilisateur de se connecter. En spécifiant un mot de passe initial, vous déverrouillez l'entrée.
Les fichiers source de carte sur le serveur maître doivent résider dans un autre répertoire que le répertoire /etc. Copiez et collez les nouvelles lignes des fichiers /etc/passwd et /etc/shadow dans les fichiers d'entrée de carte passwd sur le serveur. Pour plus d'informations, reportez-vous à la section Fichiers de mots de passe et sécurité de l'espace de noms.
Par exemple, si vous avez ajouté le nouvel utilisateur brown, la ligne de /etc/passwd que vous devez copier dans le fichier d'entrée passwd se présente comme suit.
brown:x:123:10:User brown:/home/brown:/bin/csh:
La ligne pour brown qu'il faut copier de /etc/shadow se présente comme suit :
brown:$5$YiFpYWXb$6jJkG/gKdfkKtlTbemORnbeH.qsvO9MwBD3ulTihq9B:6445::::::
Pour des raisons de sécurité, ne conservez pas d'entrées utilisateur dans les fichiers /etc/passwd et /etc/shadow du serveur NIS maître. Après avoir copié les entrées pour le nouvel utilisateur dans les fichiers source de carte NIS qui sont stockés dans un autre répertoire, exécutez la commande userdel sur le serveur maître pour supprimer le nouvel utilisateur.
Par exemple, pour supprimer le nouvel utilisateur brown des fichiers /etc du serveur maître, vous devez entrer les informations suivantes.
# userdel brown
Pour plus d'informations sur userdel, reportez-vous à la page de manuel userdel(1M).
Après avoir mis à jour le fichier d'entrée passwd sur le serveur maître, mettez à jour les cartes passwd en exécutant la commande make dans le répertoire qui contient le fichier source.
# userdel brown # cd /var/yp # make passwd
Après la connexion, le nouvel utilisateur peut exécuter passwd à tout moment afin d'établir un autre mot de passe.
Les utilisateurs exécutent la commande passwd pour modifier leur mot de passe.
% passwd username
Pour que les utilisateurs puissent modifier leur mot de passe, il faut démarrer le démon rpc.yppasswdd sur le serveur maître pour mettre à jour le fichier de mot de passe.
Le démon rpc.yppasswdd démarre automatiquement sur le serveur maître. Lorsque l'option -m est attribuée à rpc.yppasswdd, la commande make est exécutée dans /var/yp immédiatement après toute modification du fichier. Pour éviter que la commande make ne soit exécutée à chaque modification du fichier passwd, supprimez l'option -m de la commande rpc.yppasswd dans le script ypstart et contrôlez le transfert des cartes passwd via le fichier crontab.
Les groupes réseau NIS sont des groupes (ensembles) d'utilisateurs ou de machines que vous définissez à des fins d'administration. Par exemple, vous pouvez créer des groupes réseau qui effectuent les opérations suivantes :
Définir un ensemble d'utilisateurs qui peuvent accéder à une machine spécifique ;
Définir un ensemble de machines client NFS auxquelles donner un accès spécifique au système de fichiers ;
Définir un ensemble d'utilisateurs qui doivent posséder les privilèges d'administrateur sur toutes les machines dans un domaine NIS spécifique.
Chaque groupe réseau reçoit un nom de groupe réseau. Les groupes réseau ne définissent pas directement les autorisations ou droits d'accès. En revanche, les noms de groupe réseau sont utilisés par d'autres cartes NIS là où un nom d'utilisateur ou de machine serait normalement utilisé. Par exemple, supposons que vous ayez créé un groupe réseau d'administrateurs nommé netadmins. Pour accorder à tous les membres du groupe réseau netadmins l'accès à une machine donnée, il suffit d'ajouter une entrée netadmin dans le fichier /etc/passwd de cette machine. Vous pouvez également ajouter des noms de groupe réseau dans le fichier /etc/netgroup et les propager à la carte netgroup NIS. Pour plus d'informations sur l'utilisation des groupes réseau, reportez-vous à la page de manuel netgroup(4).
Sur un réseau NIS, le fichier d'entrée netgroup d'un serveur NIS maître est utilisé pour générer trois cartes : netgroup, netgroup.byuser et netgroup.byhost. La carte netgroup contient les informations de base du fichier d'entrée netgroup. Les deux autres cartes NIS contiennent des informations dans un format qui accélère les recherches d'informations de groupe réseau, en fonction de la machine ou du nom d'utilisateur.
Le format des entrées dans les fichiers d'entrée netgroup est le suivant : name ID, où name est le nom que vous donnez à un groupe réseau et ID identifie une machine ou un utilisateur qui appartient à ce groupe réseau. Vous pouvez spécifier autant d'ID (membres) à un groupe réseau que vous le souhaitez, en les séparant par une virgule. Par exemple, pour créer un groupe réseau de trois membres, le format du fichier d'entrée netgroup est le suivant : name ID, ID, ID. Les ID de membre dans un fichier d'entrée netgroup respectent le format suivant.
([-|machine], [-|user], [domain])
machine correspond à un nom de machine, user à un ID d'utilisateur et domain au domaine NIS de la machine ou de l'utilisateur. L'élément domain est facultatif et doit uniquement être utilisé pour identifier les machines ou utilisateurs dans un autre domaine NIS. Les éléments machine et user de chaque entrée de membre sont nécessaires, mais un tiret (-) permet de désigner une valeur nulle. Aucune relation entre les éléments machine et user d'une entrée n'est nécessaire.
Vous trouverez ci-dessous deux exemples d'entrées de fichier d'entrée netgroup, créant chacun un groupe réseau nommé admins et composé des utilisateurs hauri et juanita résidant dans le domaine distant sales et des machines altair et sirius.
admins (altair, hauri), (sirius,juanita,sales) admins (altair,-), (sirius,-), (-,hauri), (-,juanita,sales)
Divers programmes utilisent les cartes NIS de groupe réseau pour vérifier les autorisations lors de la connexion, du montage à distance, de la connexion à distance et de la création du shell distant. Ces programmes incluent mountd et login. La commande login consulte les cartes de groupe réseau pour la classification des utilisateurs lorsqu'elle rencontre des noms de groupe réseau dans la base de données passwd. Le démon mountd consulte les cartes de groupe réseau pour les classifications des machines s'il rencontre des noms de groupe réseau dans le fichier /etc/dfs/dfstab. En fait, tous les programmes qui utilisent l'interface ruserok vérifient les cartes de groupe réseau pour la classification des utilisateurs et des machines s'ils rencontrent des noms de groupe réseau dans le fichier /etc/hosts.equiv ou .rhosts
Si vous ajoutez un nouvel utilisateur ou une nouvelle machine NIS à votre réseau, assurez-vous de l'ajouter aux groupes réseau qui conviennent dans le fichier d'entrée netgroup. Exécutez ensuite les commandes make et yppush pour créer les cartes de groupe réseau et les transférer à l'ensemble de vos serveurs NIS. Pour plus d'informations sur l'utilisation des groupes réseau et de la syntaxe du fichier d'entrée de groupe réseau, reportez-vous à la page de manuel netgroup(4).