마스터 서버 준비

다음 절에서는 마스터 서버에 대한 소스 파일과 passwd 파일을 준비하는 방법에 대해 설명합니다.

소스 파일 디렉토리

소스 파일은 대체로 마스터 서버의 /etc 디렉토리에 있습니다. 그러나 /etc에 그대로 두면 맵의 내용이 마스터 서버의 로컬 파일 내용과 동일하기 때문에 바람직하지 않습니다. 모든 사용자가 마스터 서버 맵에 액세스할 수 있고 root 암호가 passwd 맵을 통해 모든 NIS 클라이언트에 전달되기 때문에 passwd 및 shadow의 경우 특히 문제가 됩니다. 자세한 내용은 passwd 파일 및 이름 공간 보안을 참조하십시오.

그러나 다른 디렉토리에 소스 파일을 배치하는 경우 DIR=/etc 라인을 DIR=/ your-choice로 변경하여 /var/yp의 Makefile을 수정해야 합니다. 여기서 your-choice는 소스 파일을 저장하는 데 사용할 디렉토리의 이름입니다. 이렇게 하면 서버의 로컬 파일을 클라이언트의 파일처럼 처리할 수 있습니다. 먼저 원본 Makefile의 복사본을 저장하는 것이 좋습니다.

또한 기본값이 아닌 디렉토리에서 audit_user, auth_attr, exec_attr 및 prof_attr NIS 맵을 만들어야 합니다. RBACDIR =/etc/security를 RBACDIR=/your-choice로 변경하여 /var/yp/Makefile을 수정합니다.

passwd 파일 및 이름 공간 보안

보안상, 권한 없는 루트 액세스를 방지하기 위해 NIS 암호 맵을 작성하는 데 사용되는 파일에는 root에 대한 항목을 포함하면 안됩니다. 따라서 마스터 서버의 /etc 디렉토리에 있는 파일에서 암호 맵을 작성하면 안됩니다. 암호 맵을 작성하는 데 사용되는 암호 파일에서 root 항목을 제거하고 허용되지 않은 액세스로부터 보호할 수 있는 디렉토리에 배치해야 합니다.

예를 들어, 파일 자체가 다른 파일에 대한 링크가 아니거나 해당 위치가 Makefile에 지정된 경우 마스터 서버 암호 입력 파일을 /var/yp 등의 디렉토리나 선택한 모든 디렉토리에 저장해야 합니다. Makefile에 지정된 구성에 따라 올바른 디렉토리 옵션이 자동으로 설정됩니다.

---

주의 - PWDDIR에 지정된 디렉토리의 passwd 파일에 root에 대한 항목이 포함되지 않도록 합니다.

---

소스 파일이 /etc 이외의 디렉토리에 있는 경우 passwd 및 shadow 파일이 있는 디렉토리를 참조하도록 /var/yp/Makefile의 PWDIR 암호 매크로를 변경해야 합니다. PWDIR=/etc 라인을 PWDIR=/ your-choice로 변경합니다. 여기서 your-choice는 passwd 맵 소스 파일을 저장하는 데 사용할 디렉토리의 이름입니다.

변환할 소스 파일을 준비하는 방법

이 절차에서는 NIS 맵으로 변환할 소스 파일을 준비하는 방법에 대해 설명합니다.

1. 관리자로 전환합니다.

   자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.

2. 마스터 서버의 소스 파일을 검사하여 시스템이 반영되는지 확인합니다.

   다음 파일을 확인합니다.

   • audit_user

   • auth_attr

   • auto.home 또는 auto_home

   • auto.master 또는 auto_master

   • bootparams

   • ethers

   • exec_attr

   • group

   • hosts

   • ipnodes

   • netgroup

   • netmasks

   • networks

   • passwd

   • protocols

   • rpc

   • service

   • shadow

   • user_attr

3. passwd 및 shadow를 제외하고 이러한 소스 파일을 모두 선택한 소스 디렉토리에 복사합니다.

   소스 디렉토리는 DIR 매크로에 의해 /var/yp/Makefile에서 정의됩니다.

4. passwd 및 shadow 파일을 선택한 암호 소스 디렉토리에 복사합니다.

   암호 소스 디렉토리는 PWDIR 매크로에 의해 Makefile에서 정의됩니다.

5. audit_user, auth_attr, exec_attr 및 prof_attr 파일을 선택한 RBAC 소스 디렉토리에 복사합니다.

   RBAC 소스 디렉토리는 RBACDIR 매크로에 의해 /var/yp/Makefile에서 정의됩니다. 원하는 경우 복사하기 전에 /etc/security/auth_attr.d 디렉토리에 있는 파일 내용을 auth_attr 파일의 복사본에 병합합니다. 마찬가지로, 원하는 경우 exec_attr.d 및 prof_attr.d 디렉토리에 있는 파일을 exec_attr 및 prof_attr과 결합합니다.

   ---

   주의 - 시스템을 업그레이드할 때마다 이러한 파일을 다시 병합해야 하므로 /etc/security/*.d 디렉토리의 릴리스 파일과 로컬 파일을 별도로 유지합니다.

   ---

6. /etc/mail/aliases 파일을 확인합니다.

   다른 소스 파일과 달리, /etc/mail/aliases 파일은 다른 디렉토리로 이동할 수 없습니다. 이 파일은 /etc/mail 디렉토리에 있어야 합니다. 자세한 내용은 aliases(4) 매뉴얼 페이지를 참조하십시오.

   ---

   주 - /var/yp/Makefile의 ALIASES = /etc/mail/aliases 항목에서 다른 위치를 가리켜 NIS 관련 메일 별칭 파일을 추가할 수 있습니다. make 명령을 실행하면 ALIASES 항목은 mail.aliases 맵을 만듭니다. /etc/nsswitch.conf 파일이 files 외에도 nis를 올바르게 대상으로 지정하는 경우 sendmail 서비스는 /etc/mail/aliases 파일은 물론 이 맵도 사용합니다. /var/yp/Makefile 수정 및 사용을 참조하십시오.

   ---

7. 소스 파일에서 모든 주석과 기타 관련 없는 라인과 정보를 정리합니다.

   sed 또는 awk 스크립트를 통해 또는 텍스트 편집기를 사용하여 이러한 작업을 수행할 수 있습니다. /var/yp/Makefile은 일부 파일 정리를 자동으로 수행하지만 make 명령을 실행하기 전에 수동으로 이러한 파일을 검사하고 정리하는 것이 좋습니다.

8. 모든 소스 파일의 데이터 형식이 올바른지 확인합니다.

   소스 파일 데이터는 해당 특정 파일에 올바른 형식이어야 합니다. 여러 파일의 매뉴얼 페이지를 참조하여 각 파일이 올바른 형식인지 확인합니다.

/var/yp/Makefile 준비

소스 파일을 검사하고 소스 파일 디렉토리로 복사한 후 이제 소스 파일을 NIS 서비스에서 사용되는 ndbm 형식 맵으로 변환해야 합니다. 마스터 서버를 설정하는 방법에 설명된 대로 마스터 서버에서 호출하면 ypinit에서 자동으로 이 작업을 수행합니다.

ypinit 스크립트는 /var/yp/Makefile을 사용하는 make 프로그램을 호출합니다. 기본 파일 복사본은 /var/yp 디렉토리에 제공되며 소스 파일을 원하는 ndbm 형식 맵으로 변환하는 데 필요한 명령을 포함합니다.

기본 Makefile을 그대로 사용하거나 수정할 수 있습니다. 기본 Makefile을 수정하는 경우 나중에 필요한 경우를 위해 원래 기본 Makefile을 먼저 복사하고 저장해야 합니다. Makefile에 대해 다음 수정 작업 중 하나 이상을 수행해야 할 수도 있습니다.

• 기본 맵이 아닌 맵

  기본 파일이 아닌 소스 파일을 만들었으며 해당 파일을 NIS 맵으로 변환하려는 경우 이러한 소스 파일을 Makefile에 추가해야 합니다.

• DIR 값

  소스 파일 디렉토리에 설명된 대로 Makefile에서 /etc 이외의 디렉토리에 저장된 소스 파일을 사용하려는 경우 Makefile의 DIR 값을 사용하려는 디렉토리로 변경해야 합니다. Makefile에서 이 값을 변경하는 경우 라인을 들여쓰지 마십시오.

• PWDIR 값

  Makefile에서 /etc 이외의 디렉토리에 저장된 passwd, shadow 및 adjunct 소스 파일을 사용하려는 경우 Makefile의 PWDIR 값을 사용하려는 디렉토리로 변경해야 합니다. Makefile에서 이 값을 변경하는 경우 라인을 들여쓰지 마십시오.

• RBACDIR 값

  Makefile에서 /etc 이외의 디렉토리에 저장된 audit_user, auth_attr, exec_attr 및 prof_attr 소스 파일을 사용하려는 경우 Makefile의RBACDIR 값을 사용하려는 디렉토리로 변경해야 합니다. Makefile에서 이 값을 변경하는 경우 라인을 들여쓰지 마십시오.

• 도메인 이름 분석기

  NIS 서버에서 현재 도메인에 없는 시스템에 도메인 이름 분석기 사용하려는 경우 Makefile의 B= 라인을 주석 처리하고 B=- b 라인의 주석 처리를 해제합니다.

Makefile의 기능은 all 아래에 나열된 각 데이터베이스에 적합한 NIS 맵을 만드는 것입니다. makedbm을 통과한 후 mapname.dir 및 mapname.pag의 두 파일에 데이터가 수집됩니다. 두 파일은 마스터 서버의 /var/yp/domainname 디렉토리에 있습니다.

Makefile은 /PWDIR/passwd, /PWDIR/shadow 및 /PWDIR/security/passwd.adjunct 파일에서 passwd 맵을 적절하게 작성합니다.

NIS 마스터 서버 패키지를 설치하는 방법

일반적으로 NIS 마스터 서버 패키지는 필요한 경우 Oracle Solaris 릴리스와 함께 설치됩니다. 시스템을 설치할 때 패키지가 포함되지 않은 경우 다음 절차에 따라 패키지를 설치합니다.

1. 관리자로 전환합니다.

   자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.

2. NIS 마스터 서버 패키지를 설치합니다.

   # pkg install pkg:/service/network/nis

마스터 서버를 설정하는 방법

ypinit 스크립트는 마스터 서버 및 슬레이브 서버와 NIS를 사용할 클라이언트를 설정합니다. 또한 초기에 make 명령을 사용하여 마스터 서버에 맵을 만듭니다.

ypinit 명령을 사용하여 마스터 서버에 새로운 NIS 맵 세트를 작성하려면 다음 절차를 완료합니다.

1. NIS 마스터 서버의 관리자로 전환합니다.

   자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.

2. /etc/inet/hosts 파일을 편집합니다.

   각 NIS 서버의 호스트 이름 및 IP 주소를 추가합니다. IPaddress FQDN-hostname aliases 형식을 사용합니다.

   예를 들면 다음과 같습니다.

   129.0.0.1    master.example.com master
   129.0.0.2    slave1.example.com slave1
   129.0.0.3    slave2.example.com slave2

3. 마스터 서버에서 새 맵을 작성합니다.

   # /usr/sbin/ypinit -m

4. NIS 서버의 이름을 입력합니다.

   ypinit가 NIS 슬레이브 서버로 사용할 다른 시스템 목록을 묻는 메시지를 표시하면 작업 중인 서버의 이름을 /etc/inet/hosts 파일에서 지정한 NIS 슬레이브 서버의 이름과 함께 입력합니다.

5. NIS 도메인 이름이 설정되었는지 확인합니다.

   # domainname
   example.com

6. y를 입력하여 치명적이지 않은 오류가 발생할 경우 프로세스를 중지합니다.

   ypinit에서 치명적이지 않은 첫번째 오류가 발생할 때 절차를 종료할지, 아니면 치명적이지 않은 오류에 관계없이 계속할지 물을 경우 y를 입력합니다. y를 선택하면 첫번째 문제가 발생할 때 ypinit가 종료됩니다. 그런 다음 문제를 해결하고 ypinit를 다시 시작할 수 있습니다. ypinit를 처음 실행 중인 경우에 권장됩니다. 계속하려는 경우 발생하는 모든 문제를 수동으로 해결한 다음 ypinit를 다시 시작할 수 있습니다.

   ---

   주 - 맵 파일 중 일부가 없으면 치명적이지 않은 오류가 발생할 수 있습니다. 이것은 NIS 작동에 영향을 주는 오류가 아닙니다. 자동으로 생성되지 않은 경우 수동으로 맵을 추가해야 할 수도 있습니다. 모든 기본 NIS 맵에 대한 설명은 기본 NIS 맵을 참조하십시오.

   ---

7. 소스 파일을 삭제해야 하는지 여부를 선택합니다.

   ypinit 명령은 /var/yp/domain-name 디렉토리의 기존 파일을 삭제할 수 있는지 여부를 묻습니다. 이 메시지는 NIS가 이전에 설치된 경우에만 표시됩니다. 일반적으로 이전 설치의 파일을 정리하려는 경우 소스 파일을 삭제하도록 선택합니다.

8. ypinit 명령이 서버 목록을 생성한 후 make 명령을 호출합니다.

   이 프로그램은 /var/yp에 있는 Makefile(기본 파일 또는 수정한 파일)에 포함된 지침을 사용합니다. make 명령은 지정한 파일에서 나머지 주석 라인을 정리합니다. 또한 파일에서 makedbm을 실행하여 적절한 맵을 만들고 각 맵에 대한 마스터 서버의 이름을 설정합니다.

   Makefile에 의해 푸시되는 맵이 마스터의 domainname 명령에 의해 반환된 것과 다른 도메인에 해당하는 경우 다음과 같이 DOM 변수의 올바른 ID로 ypinit 셸 스크립트에서 make를 시작하여 올바른 도메인으로 푸시되도록 할 수 있습니다.

   # make DOM=domain-name passwd

   이 명령은 마스터가 속하는 도메인이 아니라 의도한 도메인으로 passwd 맵을 푸시합니다.

9. 필요한 경우 이름 서비스 스위치를 변경합니다.

   이름 서비스 스위치 관리를 참조하십시오.

한 마스터 서버에서 여러 NIS 도메인을 지원하는 방법

일반적으로 NIS 마스터 서버는 NIS 도메인 1개만 지원합니다. 그러나 마스터 서버를 사용하여 다중 도메인을 지원 중인 경우 추가 도메인에 서비스를 제공하도록 서버를 설정할 때 마스터 서버를 설정하는 방법에 설명된 대로 단계를 약간 수정해야 합니다.

1. NIS 마스터 서버의 관리자로 전환합니다.

   자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.

2. NIS 도메인 이름을 변경합니다.

   # domainname sales.example.com

3. NIS 파일을 작성합니다.

   # make DOM=sales.example.com