NIS の要素

ドキュメントの品質向上のためのご意見をください

Your rating has been updated

貴重なご意見を有り難うございました!

あなたの貴重なご意見はより良いドキュメント作成の手助けとなります内容の品質向上と追加コメントのためのアンケートに参加されますか？

NIS ネームサービスは、次の要素から構成されています。

ドメイン (「NIS ドメイン」を参照)
デーモン (「NIS デーモン」を参照)
コマンド (「NIS コマンド」を参照)
マップ (「NIS マップ」を参照)

NIS ドメイン

NIS ドメインは、NIS マップの共通のセットを共有するホストの集まりです。各ドメインにはドメイン名があり、マップの共通のセットを共有する各マシンがそのドメインに属しています。

NIS ドメインと DNS ドメインは、必ずしも同じではありません。一部の環境では、NIS ドメインは、企業全体にわたるネットワークサブネット管理レイアウトに基づいて定義されます。DNS 名と DNS ドメインは、インターネットの DNS ネーミング標準および階層によって定義されます。2 つのネームドメインネームシステムは、同じになるように構成される場合も、されない場合もあります。2 つのサービスのドメイン名は個別に制御されるため、異なった方法で構成される可能性があります。

ある特定のドメインのマップ用のサーバーが同じネットワークまたはサブネット内に存在するかぎり、どのホストもそのドメインに属することができます。NIS ドメインの検索では、リモート手続き呼び出し (RPC) が使用されます。そのため、NIS では、すべてのクライアントと、それらのクライアントに直接サービスを提供するすべてのサーバーマシンが同じアクセス可能なサブネット上に存在する必要があります。各管理サブネットを個別の (企業全体にわたる DNS ドメインとは異なる) NIS ドメインとして、ただし、共通のマスターマシンから管理された共通データベースを使用して管理することは、珍しいことではありません。NIS ドメイン名および共有されたすべての NIS 構成情報は、svc:/network/nis/domain SMF サービスによって管理されます。

NIS デーモン

NIS サービスは、次の表に示すデーモンによって提供されます。NIS サービスは SMF によって管理されます。このサービスに関する有効化、無効化、再起動などの管理アクションは svcadm コマンドを使用して実行できます。SMF の概要については、『Oracle Solaris 11.1 でのサービスと障害の管理』の第 1 章「サービスの管理 (概要)」を参照してください。また、詳細については svcadm(1M) および svcs(1) のマニュアルページも参照してください。

表 5-1 NIS デーモン

デーモン	機能
`nscd`	ほとんどのネームサービスリクエストにキャッシュを提供する、`svc:/system/name-service/cache` サービスによって管理されるクライアントサービス
`rpc.yppasswdd`	`svc:/network/nis/passwd` サービスによって管理される NIS パスワード更新デーモン注 - `rpc.yppasswdd` デーモンは、`r` で始まるすべてのシェルを制限付きと見なします。たとえば、`/bin/rksh` で作業している場合は、そのシェルから別のシェルへの変更を許可されません。`r` で始まるシェルを持っているが、そのような制約を受けたくない場合は、第 8 章NIS のトラブルシューティングの対処方法を参照してください。
`rpc.ypupdated`	`publickey` などのほかのマップを変更する、`svc:/network/nis/update` サービスによって管理されるデーモン
`ypbind`	`svc:/network/nis/client` サービスによって管理されるバインドプロセス
`ypserv`	`svc:/network/nis/server` サービスによって管理されるサーバープロセス
`ypxfrd`	`svc:/network/nis/xfr` サービスによって管理される高速マップ転送デーモン

NIS コマンド

NIS サービスは、次の表で説明されているいくつかのコマンドによってサポートされます。

表 5-2 NIS コマンドのサマリー

コマンド	説明
`make`	`/var/yp/Makefile` を読み取ることによって NIS マップを更新します (このコマンドが `/var/yp` ディレクトリ内で実行されている場合)。`make` を使うと、入力ファイルに基づいてすべてのマップを更新したり、個々のマップを更新したりできます。NIS のための `make` の機能については、`ypmake`(1M) のマニュアルページで説明されています。
`makedbm`	入力ファイルを取得し、それを `dbm.dir` および `dbm.pag` ファイルに変換します。NIS は、有効な `dbm` ファイルをマップとして使用します。また、マップを構成する鍵と値のペアを表示できるように、`makedbm` `-u` を使用してそのマップを分解することもできます。
`ypcat`	NIS マップの内容を表示します。
`ypinit`	自動的に入力ファイルから NIS サーバーのマップを作成します。また、クライアント上で初期の `/var/yp/binding/domain/ypservers` ファイルを作成するためにも使用できます。`ypinit` は、NIS マスターサーバーとNIS スレーブサーバーをはじめて設定するために使用します。
`ypmatch`	NIS マップ内の指定された 1 つ以上の鍵の値を出力します。システム管理者は、NIS サーバーマップのバージョンを指定することはできません。
`yppoll`	指定したサーバー上でどのバージョンの NIS マップが実行されているを示します。yppoll はまた、NIS マップのマスターサーバーを一覧表示します。
`yppush`	NIS マップの新バージョンを NIS マスターサーバーからそのスレーブサーバーにコピーします。`yppush` コマンドは、NIS マスターサーバー上で実行できます。
`ypset`	指定された NIS サーバーにバインドするよう `ypbind` プロセスに指示します。このコマンドは気軽に使用するものではなく、セキュリティーへの影響から、使用しないことが推奨されます。`ypbind` プロセスの `ypset` および `ypsetme` オプションについては、`ypset`(1M) および `ypbind`(1M) のマニュアルページを参照してください。
`ypwhich`	クライアントが現時点で NIS サービスのためにどの NIS サーバーを使用しているかを示します。`-m` `mapname` オプションを指定して起動されると、このコマンドは、どの NIS サーバーが各マップのマスターであるかを示します。`-m` のみが使用されている場合、このコマンドは、使用可能なすべてのマップの名前と、それらに対応するマスターサーバーを表示します。
`ypxfr`	NIS 自体をトランスポートメディアとして使用して、NIS マップをリモートサーバーからローカルの `/var/yp/domain` ディレクトリに取り込みます。`ypxfr` は対話的に実行するか、または `crontab` ファイルから定期的に実行できます。また、`ypxfr` が ypserv によって呼び出されると、転送が開始されます。

NIS マップ

NIS マップ内の情報は、ndbm 形式で格納されます。マップファイルの形式については、ypfiles(4) および ndbm(3C) のマニュアルページで説明されています。

NIS マップは、UNIX の /etc データやその他の構成ファイル (passwd、shadow、group など) へのアクセスを、システムのネットワーク間で同じデータを共有できるように拡張します。これらのファイルの共有によって、これらのデータファイルの管理上の更新や管理が簡略化されます。NIS は、最小の労力で配備できます。ただし、より大規模な企業、特にセキュリティー要件を満たす必要のある企業は、代わりに LDAP ネームサービスの使用を考慮するべきです。NIS が動作しているネットワーク上では、各 NIS ドメインの NIS マスターサーバーは、照会されるドメイン内のほかのマシンの NIS マップセットを保持します。NIS スレーブサーバーは、NIS マスターサーバーのマップのコピーを保持します。NIS クライアントマシンは、マスターサーバーまたはスレーブサーバーから名前空間情報を取得できます。

NIS マップは基本的に、2 つの列からなるテーブルです。1 つの列は鍵であり、もう 1 つの列は鍵に関連する情報です。NIS は、鍵を検索してクライアントに関する情報を見つけます。各マップでは異なる鍵が使われるので、一部の情報はいくつかのマップに保存されます。たとえば、マシン名とアドレスは、 hosts.byname および hosts.byaddr という 2 つのマップに保存されます。サーバーがマシンの名前を持っており、そのマシンのアドレスを見つける必要がある場合は、サーバーは hosts.byname マップを調べます。アドレスを持っていて、名前を見つける必要がある場合は、hosts.byaddr マップを調べます。

NIS Makefile は、インストール時に NIS サーバーとして指定されたマシンの /var/yp ディレクトリ内に格納されます。そのディレクトリ内で make を実行すると、makedbm が入力ファイルからデフォルトの NIS マップを作成するか、または変更します。

注 - マップは必ずマスターサーバー上で作成してください。スレーブサーバーで作成したマップはマスターサーバーに自動的に格納されません。

デフォルトの NIS マップ

Oracle Solaris システムには、NIS マップのデフォルトセットが用意されています。システム管理者は、これらのマップをすべて使用することも一部だけを使用することもできます。また、ほかのソフトウェア製品のインストール時にシステム管理者が作成または追加したマップもすべて NIS で使用できます。

NIS ドメインのデフォルトのマップは、各サーバーの /var/yp/domain–name ディレクトリ内にあります。たとえば、ドメイン test.com に属しているマップは、各サーバーの /var/yp/test.com ディレクトリ内にあります。

次の表では、デフォルトの NIS マップについて説明し、各マップに対応するソースファイル名の一覧を示しています。

表 5-3 NIS マップの説明

マップ名	対応するソースファイル	説明
`audit_user`	`audit_user`	ユーザー監査の事前選択データを含みます。
`auth_attr`	`auth_attr`	承認名と説明を含みます。
`bootparams`	`bootparams`	ブート中にクライアントに必要なファイルのパス名を含みます (ルート、スワップなど)。
`ethers.byaddr`	`ethers`	マシン名と Ethernet アドレスを含みます。Ethernet アドレスはマップ内の鍵です。
`ethers.byname`	`ethers`	`ethers.byaddr` と同じです。ただし鍵は、Ethernet アドレスではなくマシン名です。
`exec_attr`	`exec_attr`	プロファイルの実行属性を含みます。
`group.bygid`	`group`	グループセキュリティー情報を含みます。鍵はグループ ID です。
`group.byname`	`group`	グループセキュリティー情報を含みます。鍵はグループ名です。
`hosts.byaddr`	`hosts`	マシン名と IP アドレスを含みます。鍵は IP アドレスです。
`hosts.byname`	`hosts`	マシン名と IP アドレスを含みます。鍵はマシン (ホスト) 名です。
`mail.aliases`	`aliases`	エイリアスとメールアドレスを含みます。鍵はエイリアスです。
`mail.byaddr`	`aliases`	メールアドレスとエイリアスを含みます。鍵はメールアドレスです。
`netgroup.byhost`	`netgroup`	グループ名、ユーザー名、マシン名を含みます。キーはマシン名です。
`netgroup.byuser`	`netgroup`	`netgroup.byhost` と同じです。ただし、鍵はユーザー名です。
`netgroup`	`netgroup`	`netgroup.byhost` と同じです。ただし、鍵はグループ名です。
`netid.byname`	`passwd`、`hosts` `group`	UNIX スタイルの認証に使用されます。マシン名とメールアドレスを含みます (ドメイン名も含む)。`netid` ファイルがある場合には、ほかのファイルを使用して利用できるデータのほかにそれが参照されます。
`publickey.byname`	`publickey`	Secure RPC によって使用される公開鍵データベースを含みます。
`netmasks.byaddr`	`netmasks`	IP 送出時に使用するネットワークマスクを含みます。鍵はアドレスです。
`networks.byaddr`	`networks`	システムに認識されているネットワーク名、および IP アドレスを含みます。鍵は IP アドレスです。
`networks.byname`	`networks`	`networks.byaddr` と同じです。ただし、鍵はネットワーク名です。
`passwd.adjunct.byname`	`passwd` および `shadow`	C2 クライアント用の監査情報と隠蔽されたパスワード情報を含みます。
`passwd.byname`	`passwd` および `shadow`	パスワード情報を含みます。鍵はユーザー名です。
`passwd.byuid`	`passwd` および `shadow`	`passwd.byname` と同じです。ただし、鍵はユーザー ID です。
`prof_attr`	`prof_attr`	実行プロファイルの属性を含みます。
`protocols.byname`	`protocols`	システムに認識されているネットワークプロトコルを含みます。
`protocols.bynumber`	`protocols`	`protocols.byname` と同じです。ただし、鍵はプロトコル番号です。
`rpc.bynumber`	`rpc`	システムに認識されている RPC のプログラム番号と名前を含みます。鍵は RPC のプログラム番号です。
`services.byname`	`services`	ネットワークに認識されているインターネットサービスを一覧表示します。鍵はポートまたはプロトコルです。
`services.byservice`	`services`	ネットワークに認識されているインターネットサービスを一覧表示します。鍵はサービス名です。
`user_attr`	`user_attr`	ユーザーと役割に関する拡張属性を含みます。
`ypservers`	該当なし	ネットワークに認識されている NIS サーバーを一覧表示します。

ageing.byname マッピングには、NIS から LDAP への移行が実装されたときに、yppasswdd デーモンがディレクトリ情報ツリー (DIT) との間のパスワード有効期限情報の読み取りと書き込みを行うために使用する情報が含まれています。パスワードの有効期限を使用しない場合は、この情報をマッピングファイルからコメントアウトします。NIS から LDAP への移行についての詳細は、第 15 章NIS から LDAP への移行 (タスク)を参照してください。

NIS マップの使用

NIS を使用すると、ネットワークデータベースの更新が /etc ファイルシステムを使用した場合よりはるかに簡単になります。ネットワーク環境を変更するたびに、すべてのマシン上で /etc 管理ファイルを変更する必要はなくなります。

ただし、NIS では、/etc ファイルで提供される以上のセキュリティーは追加されません。ネットワークデータベースへのアクセスの制限、SSL を使用したネットワーク経由での検索結果の送信、Kerberos でセキュリティー保護された検索などのより高度な機能の使用といった、追加のセキュリティーが必要な場合は、代わりに LDAP ネームサービスを使用するようにしてください。

たとえば、NIS を実行しているネットワークに新しいユーザーを追加する場合は、マスターサーバー内の入力ファイルを更新し、make コマンドを実行するだけで済みます。このコマンドは、passwd.byname および passwd.byuid マップを自動的に更新します。次に、これらのマップはスレーブサーバーに転送され、ドメインのクライアントマシンとそのプログラムのすべてで使用できるようになります。クライアントマシンまたはアプリケーションがユーザー名または UID を使用して情報をリクエストすると、NIS サーバーは必要に応じて passwd.byname または passwd.byuid マップを参照し、リクエストされた情報をクライアントに送信します。

ypcat コマンドを使用して、マップ内の値を表示できます。ypcat の基本的な使用形式は、次のとおりです。

% ypcat mapname

mapname は、調べたいマップ名またはその「ニックネーム」です。ypservers の場合のように、マップが鍵のみで構成されている場合は、ypcat -k を使用します。それ以外の場合、ypcat は空行を出力します。ypcat のその他のオプションについては、ypcat(1) のマニュアルページで説明されています。

ypwhich コマンドを使用すると、どのサーバーが特定のマップのマスターであるかを判定できます。次のように入力します。

% ypwhich -m mapname

mapname は、検索するマスターサーバーのマップ名またはニックネームです。mapname を入力すると、マスターサーバー名が表示されます。詳細は、ypwhich(1) のマニュアルページを参照してください。

NIS マップのニックネーム

「ニックネーム」は、マップのフルネームのエイリアスです。使用可能なマップのニックネーム (たとえば、passwd.byname の場合は passwd) を一覧表示するには、ypcat -x または ypwhich -x と入力してください。

ニックネームは、/var/yp/nicknames ファイル内に格納されます。このファイルには、マップのニックネームのあとにスペースで区切られてマップの完全指定名が含まれます。このリストは、追加または変更が可能です。ニックネーム数は現在、500 に制限されています。

ナビゲーションリンクをスキップ
印刷ビューの終了
	Oracle Solaris 11.1 でのネームサービスおよびディレクトリサービスの作業 Oracle Solaris 11.1 Information Library (日本語)