Ignorer les liens de navigation | |
Quitter l'aperu | |
Utilisation des services de noms et d'annuaire dans Oracle Solaris 11.1 Oracle Solaris 11.1 Information Library (Français) |
Partie I A propos des services d'annuaire et de noms
1. Services d'annuaire et de noms (présentation)
2. Commutateur du service de noms (présentation)
4. Configuration des clients Active Directory Oracle Solaris (tâches)
Partie II Configuration et administration NIS
5. Service d'information réseau (présentation)
6. Définition et configuration du service NIS (tâches)
Configuration de la liste des tâches NIS
Avant de commencer à configurer NIS
NIS et SMF (Service Management Facility, utilitaire de gestion des services)
Identification des serveurs et clients NIS
Répertoire des fichiers source
Fichiers passwd et sécurité de l'espace de noms
Préparation des fichiers source pour la conversion
Préparation de /var/yp/Makefile
Installation du package du serveur NIS maître
Configuration du serveur maître
Prise en charge de plusieurs domaines NIS sur un serveur maître
Démarrage et arrêt des services NIS sur un serveur NIS
Démarrage automatique du service NIS
Activation manuelle des services du serveur NIS
Désactivation des services de serveur NIS
Actualisation des services du serveur NIS
Configuration des serveurs esclaves NIS
Préparation d'un serveur esclave
Configuration d'un serveur esclave
Démarrage de NIS sur un serveur esclave
Ajout d'un nouveau serveur esclave
Administration des clients NIS
Configuration d'un client NIS en mode Diffusion
Configuration d'un client NIS à l'aide de serveurs NIS spécifiques
Désactivation des services client NIS
7. Administration de NIS (tâches)
Partie III Service de noms LDAP
9. Introduction aux services de noms LDAP (présentation)
10. Exigences de planification pour les services de noms LDAP (tâches)
11. Configuration de Oracle Directory Server Enterprise Edition avec les clients LDAP (tâches)
12. Configuration des clients LDAP (tâches)
13. Dépannage LDAP (référence)
14. Service de noms LDAP (référence)
Les sections suivantes décrivent comment préparer les fichiers source et les fichiers passwd pour le serveur maître.
Les fichiers source sont généralement situés dans le répertoire /etc sur le serveur maître. Il n'est pas souhaitable de les conserver sous /etc, car le contenu des cartes est alors identique à celui des fichiers locaux sur le serveur maître. Ce problème concerne spécialement les fichiers passwd et shadow, car tous les utilisateurs ont accès aux cartes du serveur maître et le mot de passe root est transmis à tous les clients NIS par le biais de la carte passwd. Pour plus d'informations, reportez-vous à la section Fichiers passwd et sécurité de l'espace de noms.
Toutefois, si vous placez les fichiers source dans un autre répertoire, vous devez modifier le fichier makefile dans /var/yp en remplaçant la ligne DIR=/etc par DIR=/ your-choice où your-choice est le nom du répertoire de stockage des fichiers source. Ainsi, vous pouvez traiter les fichiers locaux sur le serveur comme s'il s'agissait de ceux d'un client. (Il est conseillé d'enregistrer d'abord une copie du fichier Makefile d'origine.)
En outre, il faut créer les cartes NIS audit_user, auth_attr, exec_attr et prof_attr à partir d'un autre répertoire que le répertoire par défaut. Modifiez /var/yp/Makefile en remplaçant RBACDIR =/etc/security par RBACDIR=/your-choice.
Pour des raisons de sécurité, les fichiers utilisés pour créer les cartes de mot de passe NIS ne doivent pas contenir une entrée root, afin d'empêcher un accès root non autorisé. Par conséquent, les cartes de mot de passe ne doivent pas être créées à partir des fichiers situés dans le répertoire /etc du serveur maître. Il faut supprimer l'entrée root des fichiers de mot de passe que vous utilisez pour créer des cartes et ces derniers doivent être situés dans un répertoire protégé contre les accès non autorisés.
Par exemple, les fichiers d'entrée de mot de passe du serveur maître doivent être stockés dans un répertoire tel que /var/yp ou tout autre répertoire de votre choix, à condition que le fichier lui-même ne soit pas un lien vers un autre fichier et que son emplacement soit indiqué dans le fichier makefile. L'option de répertoire appropriée est définie automatiquement en fonction de la configuration spécifiée dans le fichier Makefile.
Attention - Assurez-vous que le fichier passwd dans le répertoire spécifié par PWDDIR ne contient pas d'entrée pour root. |
Si vos fichiers source se trouvent dans un autre répertoire que /etc, modifiez la macro de mot de passe PWDIR dans /var/yp/Makefile pour faire référence au répertoire où les fichiers passwd et shadow résident. Remplacez la ligne PWDIR=/etc par PWDIR=/ your-choice, où your-choice correspond au nom du répertoire dans lequel stocker les fichiers source de la carte passwd.
Cette procédure explique comment préparer les fichiers source en vue de leur conversion en cartes NIS.
Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
Vérifiez les fichiers suivants :
audit_user
auth_attr
auto.home ou auto_home
auto.master ou auto_master
bootparams
ethers
exec_attr
group
hosts
ipnodes
netgroup
netmasks
networks
passwd
protocols
rpc
service
shadow
user_attr
Le répertoire source est défini dans var/yp/Makefile par la macro DIR.
Le répertoire source de mot de passe est défini dans Makefile par la macro PWDIR.
Le répertoire source RBAC est défini dans var/yp/Makefile par la macro RBACDIR. Si vous le souhaitez, fusionnez le contenu des fichiers vers le répertoire /etc/security/auth_attr.d dans une copie du fichier auth_attr avant de copier ce fichier. De même, si vous le souhaitez, associez les fichiers des répertoires exec_attr.d et prof_attr.d à exec_attr et prof_attr.
Attention - Etant donné que ces fichiers devront être refusionnés à chaque mise à niveau du système, conservez les fichiers locaux à l'écart des fichiers de version dans les répertoires /etc/security/*.d. |
Contrairement à d'autres fichiers source, le fichier /etc/mail/aliases ne peut pas être déplacé dans un autre répertoire. Ce fichier doit résider dans le répertoire /etc/mail. Pour plus d'informations, reportez-vous à la page de manuel aliases(4).
Remarque - Vous pouvez ajouter un fichier d'alias de messagerie spécifique à NIS en faisant pointer l'entrée ALIASES = /etc/mail/aliases dans /var/yp/Makefile vers un autre emplacement. Lorsque vous exécutez ensuite la commande make, l'entrée ALIASES crée une carte mail.aliases. Outre le fichier /etc/mail/aliases, le service sendmail se sert de cette carte lorsque le fichier /etc/nsswitch.conf cible correctement nis en plus de files. Reportez-vous à la section Modification et utilisation de /var/yp/Makefile .
Il est possible d'effectuer ces opérations par le biais d'un script sed ou awk ou dans un éditeur de texte. Bien que /var/yp/Makefile nettoie automatiquement les fichiers, il est recommandé d'examiner et de nettoyer manuellement ces fichiers avant d'exécuter la commande make.
Les données de fichier source doivent être dans le format qui convient pour ce fichier particulier. Consultez les pages de manuel des différents fichiers pour vous assurez qu'ils se trouvent dans le format correct.
Après avoir vérifié et copié les fichiers source dans le répertoire de fichier source, convertissez-les en cartes au format ndbm utilisées par le service NIS. Cette opération est effectuée automatiquement lorsque ypinit est appelé sur le serveur maître, comme décrit dans la section Configuration du serveur maître.
Le script ypinit appelle le programme make qui utilise /var/yp/Makefile . Une copie par défaut du fichier est fournie dans le répertoire /var/yp et contient les commandes requises pour transformer les fichiers source en cartes au format ndbm de votre choix.
Vous pouvez utiliser Makefile en l'état ou le modifier. Si vous modifiez le fichier Makefile par défaut, veillez d'abord à copier et stocker le fichier Makefile par défaut d'origine dans le cas où vous souhaiteriez l'utiliser ultérieurement. Vous pouvez être amené à apporter une ou plusieurs des modifications suivantes au fichier Makefile :
Nondefault maps
Si vous avez créé vos propres fichiers source (autres que les fichiers par défaut) et que vous souhaitez les convertir en cartes NIS, il faut les ajouter au fichier Makefile.
DIR value
Si vous voulez que le fichier makefile utilise les fichiers source stockés dans un autre répertoire que /etc, comme expliqué dans Répertoire des fichiers source, il faut remplacer la valeur de DIR dans le fichier makefile par le répertoire souhaité. Lorsque vous modifiez cette valeur dans le fichier Makefile, ne mettez pas la ligne en retrait.
PWDIR value
Si vous voulez que Makefile utilise les fichiers source passwd, shadow et adjunct stockés dans un autre répertoire que /etc, il faut remplacer la valeur PWDIR du fichier Makefile par le répertoire souhaité. Lorsque vous modifiez cette valeur dans le fichier Makefile, ne mettez pas la ligne en retrait.
RBACDIR value
Si vous voulez queMakefile utilise les fichiers source audit_user, auth_attr, exec_attr et prof_attr stockés dans un autre répertoire que /etc, il faut remplacer la valeur RBACDIR du fichier Makefile par le répertoire souhaité. Lorsque vous modifiez cette valeur dans le fichier Makefile, ne mettez pas la ligne en retrait.
Domain name resolver
Si vous souhaitez que le serveur NIS utilise le résolveur de nom de domaine pour les machines qui ne se trouvent pas dans le domaine actuel, commentez la ligne Makefile B= et annulez le commentaire (activez) de la ligne B=-b.
La fonction du fichier Makefile est de créer les cartes NIS appropriées pour chacune des bases de données répertoriées sous all. Une fois la commande makedbm exécutée, les données sont recueillies dans deux fichiers ( mapname.dir et mapname.pag). Les deux fichiers résident dans le répertoire /var/yp/domainname sur le serveur maître.
Le fichier Makefile génère des cartes passwd à partir des fichiers /PWDIR/passwd, /PWDIR/shadow et /PWDIR/security/passwd.adjunct, en fonction des besoins.
De manière générale, le package de serveur NIS maître est installé au moment opportun avec la version d'Oracle Solaris. Si le package n'était pas inclus au moment de l'installation du système, suivez la procédure ci-après pour installer le package.
Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
# pkg install pkg:/service/network/nis
Le script ypinit configure le serveur maître, les serveurs esclaves et les clients en vue de l'utilisation de NIS. Il exécute également la commande make au départ pour créer les cartes sur le serveur maître.
Pour exécuter la commande ypinit afin de créer un nouvel ensemble de cartes NIS sur le serveur maître, suivez la procédure ci-dessous.
Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
Ajoutez le nom d'hôte et l'adresse IP de chaque serveur NIS. Respectez le format suivant : IPaddress FQDN-hostname aliases.
Par exemple :
129.0.0.1 master.example.com master 129.0.0.2 slave1.example.com slave1 129.0.0.3 slave2.example.com slave2
# /usr/sbin/ypinit -m
Lorsque ypinit demande la liste des autres machines qui doivent devenir des serveurs esclaves NIS, saisissez le nom du serveur sur lequel vous travaillez, ainsi que les noms des serveurs esclaves NIS spécifiés dans le fichier /etc/inet/hosts.
# domainname example.com
Lorsque ypinit vous demande si vous souhaitez que la procédure prenne fin dès la première erreur non fatale ou se poursuive malgré les erreurs non fatales, tapez y. Lorsque vous choisissez y, ypinit est suspendu au premier problème rencontré. Vous pouvez alors le résoudre puis redémarrer ypinit. Cette opération est recommandée si vous exécutez ypinit pour la première fois. Si vous préférez continuer, essayez de résoudre manuellement tous les problèmes qui se produisent, puis redémarrez ypinit.
Remarque - Une erreur non fatale peut s'afficher en l'absence de certains fichiers de carte. Cette erreur n'a pas d'incidence sur le fonctionnement de NIS. Vous pouvez être amené à ajouter les cartes manuellement si elles ne sont pas créées automatiquement. La section Cartes NIS par défaut contient une description de toutes les cartes NIS par défaut.
La commande ypinit demande si les fichiers figurant dans le répertoire /var/yp/domain-name peuvent être détruits. Ce message s'affiche uniquement si NIS a été précédemment installé. En temps normal, vous devez choisir de supprimer les fichiers source si vous souhaitez nettoyer les fichiers d'une précédente installation.
Ce programme utilise les instructions du fichier Makefile (le fichier par défaut ou celui que vous avez modifié) situé dans /var/yp. La commande make nettoie toute ligne de commentaire restante dans les fichiers indiqués. Elle exécute également makedbm sur les fichiers, et par là même crée la carte appropriée et établit le nom du serveur maître pour chaque carte.
Si les cartes déplacées par le fichier Makefile correspondent à un autre domaine que celui renvoyé par la commande domainname sur le maître, assurez-vous qu'elles sont implémentées sur le domaine approprié en démarrant make dans le script de shell ypinit en identifiant correctement la variable DOM, comme suit :
# make DOM=domain-name passwd
Cette commande transfère la carte passwd vers le domaine voulu, au lieu du domaine auquel le serveur maître appartient.
Reportez-vous à la section Gestion du commutateur du service de noms.
En général, un serveur NIS maître prend en charge un seul domaine NIS. Néanmoins, si vous utilisez un serveur maître pour prendre en charge plusieurs domaines, vous devez légèrement modifier les étapes de configuration du serveur, comme décrit à la section Configuration du serveur maître, afin qu'il prenne en charge les domaines supplémentaires.
Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
# domainname sales.example.com
# make DOM=sales.example.com