NFS (Network File System) Và NIS (Network Information Service)

Có thể bạn quan tâm

Tải bản đầy đủ (.docx) (21 trang)

Trang chủ

Công Nghệ Thông Tin

Quản trị mạng

NFS (Network File System) và NIS (Network Information Service)

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (891.33 KB, 21 trang )

MỤC LỤCCHƯƠNG 1: NFS – Network File System...........................................................21.1. Giới thiệu sơ lược về NFS..............................................................................21.2. Cài đặt và cấu hình NFS Server.....................................................................21.2.1. File cấu hình, câu lệnh cơ bản.................................................................21.2.2. Khởi động các dịch vụ có liên quan........................................................31.2.3. Cập nhật thay đổi cho /etc/exports..........................................................41.3. Minh họa việc cấu hình NFS..........................................................................51.3.1. Thiết lập trên server:................................................................................51.3.2. Thiết lập trên client..................................................................................61.4. Bảo mật...........................................................................................................71.4.1. Tổng quan................................................................................................71.4.2. The Portmapper-quản lý các kết nối........................................................81.4.3. Server security: nfsd and mountd............................................................91.4.4. NFS và tường lửa..................................................................................10CHƯƠNG 2: NIS – Network Information Service.............................................112.1. Giới thiệu sơ lược về NIS.............................................................................112.2. Cài đặt và cấu hình NIS................................................................................132.2.1. Cài đặt và cấu hình NIS Server.............................................................132.2.2. Cài đặt và cấu hình NIS Client..............................................................172.3. Bảo mật.........................................................................................................19BẢNG PHÂN CÔNG NHIỆM VỤThành viênTrần Nghĩa HưngTrịnh Thị GáiNguyễn Thế HùngLê Hoàng Long(nhóm trưởng)Nhiệm vụTìm hiểu chung NIS, NFSLàm báo cáoCấu hình và cài đặt NFS serverLàm demoCấu hình và cài đặt NIS serverLàm demoCấu hình và cài đặt NFS server,Cấu hình và cài đặt NIS serverLàm slideLỜI NÓI ĐẦUHiện nay hệ điều hành Linux đang ngày càng được ứng dụng trong nhiềungành khoa học cũng như phục vụ cuộc sống thường ngày, từ ứng dụng trongcác hệ thống chuyên biệt phục vụ trong y tế, quân đội tới phục vụ trong hệ thốnggiáo dục và ứng dụng văn phòng cho người dùng cuối…Trong những năm gần đây hệ điều hành Linux từng bước được đưa vào sửdụng tại Việt Nam. Nhiều tổ chức, công ty và các dự án tin học đã chọn Linux làmôi trường để phát triển các ứng dụng của mình.Chính vì thế nhu cầu tìm hiểu hệ điều hành này đang trở nên rất quantrọng và cần thiết.Đề tài này chỉ đề cập tới 2 ứng dụng rất nhỏ trong việc khai thác các dịchvụ quản trị mạng trên hệ điều hành linux đó là Network File System (NFS) vàNetwork Information Service (NIS).Tài liệu về Linux hiện nay rất nhiều tuy nhiên các tài liệu chuyên sâu về mộtmảng nào đó thì đa số vẩn là tiếng Anh và hơn nữa: Linux hiện nay có rất nhiềubản phân phối ( trên 30 bản phân phối tính đến tháng 4/2011 ), chính vì thế trongquá trình thực hiện đồ án, chúng em gặp không ít khó khăn khi tham khảo các tàiliệu với nhiều từ chuyên ngành, cũng như có sự sai khác giữa các bước thiết lậptrên từng bản phân phối. Từ thực tế đó chắc chắn đề tài này không tránh khỏi nhiềuthiếu sót và chưa chính xác. Rất mong nhận được sự đóng góp ý kiến của thầy.Cấu trúc báo cáo bao gồm 2 chương:- NFS – Network File System- NIS – Network Information Service1CHƯƠNG 1: NFS – NETWORK FILE SYSTEM1.1. Giới thiệu sơ lược về NFSNFS (Network File System) là hệ thống cung cấp dịch vụ chia sẻ file phổbiến hiện nay trong hệ thống mạng Linux và Unix.NFS được phát triển để cho phép các máy tính gắn kết tới 1 phân vùng đĩatrên 1 máy từ xa giống như nó là đĩa cục bộ (local disk) vậy nó cho phép việctruyền tải file qua mạng được nhanh và trơn tru hơn.Nó cũng tạo ra khả năng tìm tàng cho những người mà bạn không mongmuốn truy cập ổ cứng của bạn qua mạng (theo cách đó họ có thể đọc email, xóafile và làm sập hệ thống của bạn) nếu bạn cài đặt nó không chính xác.NFS sử dụng hệ thống mô hình client/server. Trên server có các ổ đĩa vậtlý chứa các file hệ thống được chia sẻ và một số dịch vụ chạy ngầm trên hệthống (daemon) phục vụ cho việc chia sẻ với client (gọi là quá trình export).Ngoài ra các dịch vụ chạy trên server cũng cung cấp chức năng bảo mật file vàquản lý lưu lượng sử dụng (file system quota). Các client muốn sử dụng các filesystem được chia sẻ trên Server chỉ đơn giản dùng giao thức NFS để mount (gắnkết) các file system đó lên hệ thống của mình.Hệ thống chia sẻ file NFS được sử dụng với nhiều chức năng khác nhau.Ví dụ thay vì mổi hệ thống client/server của bạn phải có một phân vùng/home/username của từng người dùng thì chỉ cần lưu trữ thư mục đó trên 1 máychủ trung tâm (NFS server), sau đó dùng giao thức NFS để mount thư mục/home/username tương ứng của từng người dùng khi họ đăng nhập hệ thống.Có vài sự khác biệt giữa các phiên bản 2 NFS, 3NFS, 4NFS. Bạn sẽ cần 3NFS nếu như cài đặt trên mộthệ thống lớn hay hệ thống chuyên biệt nào đấy,còn 2 NFS và 4 NFS thích hợp cho người dùng ngẫu nhiên, nhỏ lẻ.NFS (Network File System) hệ thống được phát triển để gán các phânvùng đĩa ở trên các máy từ xa như thể trên máy local. Cho phép chia sẻ filenhanh và tập trung trên mạng.1.2. Cài đặt và cấu hình NFS Server1.2.1. File cấu hình, câu lệnh cơ bảnThiết lập máy chủ sẽ được thực hiện theo hai bước: Thiết lập các tập tincấu hình cho NFS, và sau đó khởi động các dịch vụ NFS.Nội dung file cấu hình: /etc/exportsCác dòng text trong file cấu hình /etc/exports có cú pháp như sau:dir host1(options) host2(options) hostN(options) …2Trong đó: dir : thư mục hoặc file system muốn chia sẻ. host: một hoặcnhiều host được cho phép mount dir. có thể được định nghĩa là một tên, mộtnhóm sử dụng ký tự, * hoặc một nhóm sử dụng 1 dải địa chỉ mạng/subnetmask...options : định nghĩa 1 hoặc nhiều options khi mount. Cụ thể:- ro: thư mục được chia sẻ chỉ đọc được; client không thể ghi lên nó.- rw: client có thể đọc và ghi trên thư mục.- no_root_squash: mặc định, bất kỳ file truy vấn được tạo bởi người chủ(root) máy trạm đều được xử lý tương tự nếu nó được tạo bởi user nobody (cácfile tạo ra trên hệ thống mà ko do người dùng can thiệp-tài khoản vô danh) trênmáy chủ. (truy vấn được ánh xạ phụ thuộc vào UID của user nobody trên serverchứ không phải trên client). Nếu no_root_squash được chọn, người quản trị caocấp trên client sẽ có cùng mức truy cập đến các file trên hệ thống giống nhưquản trị cao cấp trên server. Điều này có thể kéo theo nhiều vấn đề an ninhnghiêm trọng, mặc dù nó có thể là cần thiết nếu bạn muốn thực hiện công việcquản trị nào trên client-công việc đòi hỏi các thư mục phải được chia sẻ. Bạnkhông nên chỉ định lựa chọn này nếu không có lý do rõ ràng.- no_subtree_check: nếu chỉ 1 phần của ổ đĩa được chia sẻ, 1 đoạn chươngtrình gọi là “thẩm tra lại việc kiểm tra cây con” được yêu cầu từ phía client (nólà 1 file n m trong phân vùng được chia sẻ). Nếu toàn bộ ổ đĩa được chia sẻ, việcvô hiệu hóa sự kiểm tra này sẽ tăng tốc độ truyền tải.- sync: thông báo cho client biết 1 file đã được ghi xong- tức là nó đãđược ghi để lưu trữ an toàn-khi mà NFS hoàn thành việc kiểm soát ghi lên cácfile hệ thống. cách xử lí này có thể là nguyên nhân làm sai lệch dữ liệu nếuserver khởi động lại.Ví dụ về 1 file cấu hình mẫu /etc/exports:/usr/local *.ipmac.vn(ro)/home 192.168.1.0/255.255.255.0(rw)/var/tmp 192.168.1.1(rw)Dòng thứ nhất : cho phép tất cả các host với tên miền định dạng“somehost”.ipmac.vn được mount thư mục /usr/local với quyền chỉ đọc.Dòng thứ hai : cho phép bất kỳ host nào có địa chỉ IP thuộc subnet192.168.1.0/24 được mount thư mục /home với quyền đọc và ghi.Dòng thứ ba : chỉ cho phép host có địa chỉ IP là 192.168.1.1 được mountthư mục /var/tmp với quyền đọc và ghi.1.2.2. Khởi động các dịch vụ có liên quanĐể sử dụng dịch vụ NFS, cần có các daemon (dịch vụ chạy ngầm trên hệthống) sau:3- Portmap: Quản lý các kết nối, sử dụng cơ chế RPC (Remote ProcedureCall), dịch vụ chạy ở cả server và client.- NFS: Khởi động các tiến trình RPC khi được yêu cầu để phục vụ chochia sẻ file, dịch vụ chỉ chạy trên server.- NFS lock: Sử dụng cho client khóa các file trên NFS server thông quaPRC.1.2.2.1. Khởi động portmapperNFS phụ thuộc vào tiến trình ngầm quản lý các kết nối (portmap hoặcrpc.portmap), chúng cần phải được khởi động trước. Nó nên được đặt tại /sbinnhưng đôi khi trong /usr/sbin. Hầu hết các bản phân phối linux gần đây đều khởiđộng dịch vụ này trong, kịch bản khởi động‟ (boot scripts –tự khởi động khiserver khởi động) nhưng vẩn phải đảm bảo nó được khởi động đầu tiên trước khibạn làm việc với NFS (chỉ cần gõ lệnh netstat -anp |grep portmap để kiểm tra).1.2.2.2. Các tiến trình ngầmDịch vụ NFS được hỗ trợ bởi 5 tiến trình ngầm:- rpc.nfsd- thực hiện hầu hết mọi công việc.- rpc.lockd and rpc.statd-quản lý việc khóa các file.- rpc.mountd-quản lý các yêu cầu gắn kết lúc ban đầu.- rpc.rquotad-quản lý các hạn mức truy cập file của người sử dụng trênserver được truy xuất.- lockd được gọi theo yêu cầu của nfsd. Vì thế bạn cũng không cần quantâm lắm tới việc khởi động nó.- statd thì cần phải được khởi động riêng.1.2.2.3. Xác minh các dịch vụ của NFS đang chạyĐể làm điều này, ta truy vấn portmapper với lệnh rpcinfo quota để tìm radịch vụ nào đang được cung cấp.1.2.3. Cập nhật thay đổi cho /etc/exportsNếu bạn thay đổi trong /etc/exports, các thay đổi đó có thể chưa có hiệulực ngay lập tức, bạn phải thực thi lệnh exportfs để bắt nfst cập nhật lại nội dungfile /etx/exports.Nếu bạn không tìm thấy lệnh exportfs thì bạn có thể kết thúc nfsd với lệnhHUD.Nếu các việc đó không hoạt động, đừng quên kiểm tra lại hosts.allow đểđảm bảo r ng bạn không quên việc khai báo danh sách các máy con trong đấy.Ngoài ra cũng nên kiểm tra danh sách các máy chủ trên bất kỳ hệ thống tườnglửa nào mà bạn đã thiết lập.41.3. Minh họa việc cấu hình NFSMô hình 2 máy để thực hiện việc cấu hình1.3.1. Thiết lập trên server:- Thiết lập địa chỉ IP tĩnh cho máy chủ là 192.168.0.3 bằng câu lệnh:[root@localhost ~]# vi /etc/sysconfig/network-scripts/ifcfg-eth0Thiết lập thông số như sau:- Sau đó cập nhật lại IP:[root@localhost ~]# ifdown eth0[root@localhost ~]# ifup eth0- Tắt tường lửa:- Tắt Selinux[root@localhost ~]# vi /etc/selinux/config- Tạo thư mục chia sẻ trên máy chủ tên “long”: mkdir long (/root/long)- Cấp quyền truy cập tới thư mục: chmod 777 –R /root/long- Chỉnh sửa file /etc/exports để cho phép gắn kết NFS của thư mục nàyvới các quyền truy cập. dùng lệnh vi /etc/exports5- Cập nhật bản ghi mới trong file /etc/exports ta dùng lệnh exportfs- Kiểm tra xem các dịch vụ NFS ,NFSlock, daemon portmap cũng hoạtđộng và tự khởi động mổi khi server khởi động lại hay không1.3.2. Thiết lập trên client- Thực hiện đặt IP cho client cùng dải mạng với server, tắt tường lửa vàSelinux như hướng dẫn ở phần trên. Kết quả là 2 máy thông nhau:- Tạo 1 thư mục trên client (sim) để mount tới thư mục trên server.- Mount 2 thư mục với nhau:6- Kiểm tra: tạo thêm file hung.txt trong thư mục chia sẻ /root/long tạiserver thì thư mục /root/sim tại client cũng xuất hiện file hung.txt- Cấu hình truy cập trong file /etc/fstab:- Sửa file /etc/fstab như sau:- Reboot lại hệ thống1.4. Bảo mật1.4.1. Tổng quanVới NFS, có 2 bước cần thiết để 1 client được truy cập đến tài nguyêntrên server.Bước đầu tiên là gắn kết truy cập. việc gắn kết truy cập đạt được là doclient cố gắng kết nối vào server.Nếu địa chỉ IP của các client khớp với 1 trong những địa chỉ trong “danhsách cho phép” thì client sẽ được gắn kết. Điều này không thật sự an toàn. Nếuai đó có khả năng bắt chước hay chiếm lấy 1 địa chỉ đáng tin cậy thì họ có thểtruy cập điểm gắn kết của bạn. Một ví dụ thực tế: Bạn gọi tới công ty sửa chữađường ống nước, sau đó một người đến và tự giới thiệu bản thân với bạn, bạn tinrằng người đó đúng là người do công ty kia gởi đến, bởi vì họ có đeo 1 cái thẻnhân viên của công ty trên. Tuy nhiên có thể người được cử đến là kẻ giả mạothì sao.Mỗi một máy tính gắn kết với 1 đĩa (volume), hệ điều hành của máy sẽ cóquyền truy cập đến mọi file trên đĩa và được ghi lên các file đó, nếu đĩa được thểhiện với tùy chọn rw.Bước thứ hai là việc truy cập file. Đây là chức năng điều khiển truy cậpfile thông thường trên client chứ không phải 1 chức năng đặc biệt của NFS. Mỗiổ đĩa được gắn với người sử dụng và nhóm những quyền hạn trên các file giớihạn quyền điều khiển truy cập.Một ví dụ: trên server người dùng có tên NEO được ánh xạ với ID 9999.NEO tạo ra 1 tập tin trên server mà người khác chỉ có quyền truy cập (tươngđương với việc chmod 600). Một máy client được gắn kết tới ổ đĩa chứa tệp tin7đó. Trên máy client người dùng tên XONE cũng có ID 9999. Điều này có nghĩarằng XONE có thể truy cập tới tệp tin của NEO – cái mà chỉ được quyền truyxuất bởi chính NEO. Tệ hại hơn, nếu người nào đó trở thành superuser (siêungười dùng- Là một tài khoản người dùng đặc biệt trên UNIX có quyền truy cậptới Root) trên máy client thì họ có thể dùng lệnh su – username (để thay đổi têntài khoản) và trở thành bất kỳ ai. Lúc này NFS không còn là sự lựa chọn sángsuốt.1.4.2. The Portmapper-quản lý các kết nốiThe Portmapper (quản lý tiến trình) giữ 1 danh sách những dịch vụ đangchạy trên các cổng. Danh sách này được sử dụng bởi 1 máy tính có kết nối đểthấy được những cổng nào mà nó (máy tính) muốn truy cập tới các dịch vụ nàođấy.Portmapper không còn tệ như vài năm trước đây nhưng nó vẩn là 1 điểmđáng lo đối với nhiều người quản trị hệ thống. portmapper giống như NIS vàNFS, thật sự không nên có những kết nối ra bên ngoài 1 mạng LAN. Nếu bạnbắt buộc phải chia sẻ chúng ra bên ngoài – hãy cẩn thận và duy trùy thườngxuyên việc kiểm tra hệ thống.Không phải bản phân phối linux nào cũng được tạo ra giống nhau. Mộtvài bản phân phối không kèm theo 1 portmapper đáng tin cậy. Cách đơn giản đểkiểm tra portmapper của bạn có đảm bảo hay không là thực thi lệnh : strings/sbin/portmap | grep hosts. Nó sẽ đọc file hosts.allow và hosts.deny.Giả sử portmapper đặt tại /sbin/portmap bạn có thể kiểm tra nó với lệnhsau cùng kết quả trả về tương tự thế này:# strings /sbin/portmap | grep hosts./etc/hosts.allow/etc/hosts.denyTrước tiên, hãy chỉnh sửa /etc/hosts.deny . Thêm dòng sau vào tập tin:portmap: ALLĐiều này sẽ chặn truy cập đến mọi người. Sau đó, trong lúc các truy cậpbị chặn thì chạy lệnh rpcinfo –p nh m kiểm tra xem portmap của bạn có thật sựđọc và tuân theo file này hay không. Kết quả trả về có thể không có gì, hoặc cóthể là 1 thông báo lổi. Hai file hosts.allow và hosts.deny có hiệu lực ngay lập tứcsau khi bạn lưu lại chúng. Không dịch vụ nào (daemon) cần được khởi động lại.Việc chặn mọi quản lý truy cập với tất cả mọi người có hơi mạnh tay, vìvậy chúng ta mở lại truy cập b ng cách edit file /etc/hosts.allow. Nhưng trướctiên ta phải tìm hiểu những gì chứa bên trong nó. Về cơ bản, nó liệt kê tất cả cácmáy tính được quyền truy cập portmap.8Những máy cần truy cập các dịch vụ trên máy của bạn cần được chấp thuậnđể làm điều đấy. Giả dụ máy bạn có địa chỉ 192.168.0.254, thuộc mạng con192.168.0.0 và các máy trong mạng con có thể truy cập đến nó (192.168.0.254).Để thực hiện điều trên thay vì portmap: ALL ta sẽ viết lại là portmap:192.168.0.0/255.255.255.0 (Nếu bạn không chắc chắn về địa chỉ mạng/mặt nạmạng, bạn có thể sử dụng lênh ifconfig hay netstat để xác minh lại).1.4.3. Server security: nfsd and mountdTrên máy chủ, chúng ta không hề muốn tin cậy vào bất cứ yêu cầu truy vấn nàođược tạo ra như trường hợp người quản lý cao cấp trên máy trạm (với quyềnroot có thể toàn quyền truy cập trên client, điều này thì không được phép xảy ratrên một máy chủ). Chúng ta có thể ngăn chặn điều này b ng tùy chọnroot_squash trong /etc/exports /home slave1(rw,root_squash) (tùy chọn dùngđể hạn chế quyền root). Thiết lập này nên luôn được bật sẵn, chỉ khi có 1 lý docực kỳ cấp bách thì chúng ta mới hủy thiết lập trên, b ng tùy chọnno_root_squash.Bây giờ nếu 1 user có UID 0 (tức ID của người quản trị cao cấp) thử truy cập(đọc, ghi, xóa) các tập tin hệ thống, máy chủ sẽ thay thế b ng UID của tài khoảnvô danh (nobody user). Điều này nghĩa là người quản trị cao cấp (root user) trênmáy trạm không thể truy cập hay thay đổi các file đó, chỉ có người quản trị caocấp trên server mới có được quyền đấy mà thôi. Điều này rất tốt và có lẽ bạn nêndùng root_squash trên tất cả các file hệ thống mà bạn cho truy cập đến.Vẩn tồn tại câu hỏi r ng “ liệu người quản trị cao cấp trên máy trạm có thể dùnglệnh su để mạo danh thành người dùng bất kỳ và cố gắng truy cập, thay đổi cácfile hệ thống trên máy chủ hay không ”. Câu trả lời là có, và đó thật sự là nhữnggì sẻ diển ra (trên 1 hệ thống chạy linux với NFS). Ở đây có 1 chú ý: tất cả cácfile quan trọng nên được sở hữu bởi người quản trị cao cấp vì tài khoản duy nhấtmà người quản trị cao cấp trên máy trạm không thể giả mạo chính là tài khoảnquản trị cao cấp của máy chủ.Các cổng TCP từ 1-1024 được dành riêng cho công việc của người quản trị caocấp (đó là lí do mà đôi khi nó được gọi là “cổng an toàn”). Những người dùngkhác không thể ghép nối tới các cổng này. Bổ sung thêm tùy chọn secure trong/etc/exports nghĩa là nó sẽ chỉ liệt kê các truy vấn đến từ các cổng 1-1024 trênmáy khách, do đó mối nguy hiểm từ những người dùng không phải là quản trịcao cấp trên máy trạm không thể xuất hiện và mở ra 1 sự tương tác giả mạo trên1 cổng không được bảo mật. Tùy chọn này được thiết lập mặc định.1.4.4. NFS và tường lửaKhi 1 dịch vụ chạy ngầm khởi động, nó yêu cầu 1 cổng còn trống từ bản đồ ánhxạ. Portmapper đưa ra 1 cổng cho tiến trình và ghi lại dấu vết của cổng đó. Khicác máy chủ hoặc những tiến trình khác cần giao tiếp với tiến trình ngầm, chúngyêu cầu số cổng từ portmapper để truy tìm tiến trình. Vì thế các cổng sẽ không9ngừng bị thả nổi, vì các cổng khác nhau có thể rảnh vào các thời điểm khác nhauvà vì thế portmapper sẽ phân bổ chúng (port) mỗi lần mỗi khác. Đây là vấn đềđau đầu cho việc thiết lập tường lửa nếu như bạn chưa bao giờ biết được khuvực mà các tiến trình sẽ diễn ra, sau đó không biết chính xác những cổng nào đểcho phép truy cập. Đây không hẳn là một vấn đề lớn đối với nhiều người đangchạy trên mạng LAN được bảo vệ hoặc bị cô lập. Với người dùng trên mạngcông cộng thì điều này thật khủng khiếp.Trong phiên bản nhân 2.4.13 và sau này bạn không còn phải lo lắng về việc thảnổi của các cổng. Bây giờ tất cả các tiến trình ngầm liên quan đến NFS có thểđược “đính” với 1 cổng. Hầu hết chúng dể dàng thực hiện k m tùy chọn –p khiđược khởi động. Các tiến trình ngầm đó được khởi động với 1 vài đối số hoặctùy chọn, chúng được mô tả sau đây:Portmap luôn sử dụng cổng 111 trên giao thức tcp và udp. Nfsd trên cổng2049(tcp/udp).Một số tiến trình khác: statd, mountd, lockd, rquotad thường sẽ được chuyểntới cổng khả dụng đầu tiên do portmapper chỉ định.Để những tác động của statd kết hợp với 1 cổng cụ thể, sử dụng tùy chọn –p sốcổng. Để những tác động của statd đáp ứng trên 1 cổng cụ thể, thêm vào tùychọn –o số cổng khi khởi động nó.Để những tác động của mountd kết hợp với cổng cụ thể, sử dụng thuộc tính –psố cổng10CHƯƠNG 2: NIS – NETWORK INFORMATION SERVICE2.1. Giới thiệu sơ lược về NISDịch vụ thông tin mạng NIS cho phép bạn tạo ra các tài khoản có khảnăng chia sẻ trên mọi hệ thống trong mạng của bạn.NIS là 1 dịch vụ cho phép chứng thực user tập trung:Các tài khoản người dùng chỉ được tạo ra trên NIS server. Các NIS clienttải thông tin và mật khẩu cần thiết từ NIS server để chứng thực mỗi khi userđăng nhập.Một lợi thế của NIS là người sử dụng cần phải thay đổi mật khẩu củamình duy nhất trên máy chủ của NIS, thay vì mỗi hệ thống trên mạng. Điều nàylàm cho NIS phổ biến trong các phòng thí nghiệm đào tạo máy tính, các dự ánphát triển phần mềm hoặc là giải pháp cho nhóm người đã chia sẻ nhiều máytính khác nhau.Nhưng nhược điểm đó là NIS không mã hóa các thông tin tên người dùngvà mật khẩu khi các máy client đăng nhập và tất cả người dùng có thể truy cậpcác mật khẩu mã hóa được lưu trữ trên máy chủ của NIS.Một vấn đề lớn trong việc điều hành một môi trường máy tính là việc bảotrì riêng biệt các bản copies của file cấu hình thông thường như password,group, và hosts files. Tốt nhất, mạng phải nhất quán trong cấu hình của nó, dođó người dùng không phải bận tâm về nơi cất dấu tài khoản của họ hoặc nếu họcó thể tìm thấy một máy tính khác trên mạng. Mỗi tập tin này phải được nhânbản để mỗi máy chủ lưu trữ trên mạng. Trong môi trường mạng nhỏ (Lan chỉchứa vài máy), thì việc này có vẻ đơn giản, nhưng trong môi trường mạng lớnvới hàng trăm, nghìn máy thì để làm việc này thủ công là việc vô cùng khókhăn.NIS được xây dựng trên mô hình client-server:Một server NIS là một host mà chứa các file dữ liệu NIS, gọi là maps.Client là những host truy vấn thông tin từ các maps này. Server phải phân chianhiều hơn nửa để quản lý và phục vụ tích cực. Các máy chủ (master server) là11chủ thực sự của các maps dữ liệu. Slave NIS xử lý các yêu cầu của client, nhưngchúng không thay đổi các NIS maps. Các máy chủ chịu trách nhiệm tổng thể chotất cả các map bảo dưỡng và phân phối đến các máy chủ slaver của nó. Khi mộtNIS map được xây dựng trên máy chủ có 1 sự thay đổi, các tập tin map mới nàyđược phân phối cho các máy slave server. Các máy NIS client "nhìn thấy" nhữngthay đổi này khi thực hiện truy vấn trên các tập tin map, không phân biệt là nóđang giao tiếp với master server hay là slave server, vì khi các map được phânphối thì tất cả các máy server đều nhận được thông tin như nhau.Mối quan hệ giữa các máy slave, master và client:Quá trình chứng thực user không được mã hóaNIS không mã hóa thông tin tài khoản và mật khẩu gởi tới máy trạm vàomổi lúc đăng nhập. Mọi người sử dụng đều có quyền truy cập đến nơi NISserver chứa file mã hóa mật khẩu.Quá trình chứng thực user được thể hiện như hình sau:122.2. Cài đặt và cấu hình NISMột số lệnh cơ với NIS:ypcat - Cho phép in ra một số giá trị trong NIS map.ypwhich - Tìm kiếm server hiện tại cho host đang sử dụng.ypclnt - Cung cấp một giao diện đồ họa cho YP (Yellow Pages) cho hệthống con.yppasswd - Đổi lại password cho NIS Domainypmake - Tạo mới một hash map.ypinit - Cấu hình hostyppush - update version cho map.trởthànhServerorclient.2.2.1. Cài đặt và cấu hình NIS ServerKiểm tra gói ypserv*.rpm đã được cài đặt chưa. Nếu chưa, tiến hành càiđặt như sau:13Thay đổi file /etc/sysconfig/network để khởi tạo NIS server.Bạn phải thêm NIS domain mà bạn muốn dùng vào cuối file trên, ví dụdomain đó là srv.worldĐiền HOSTNAME và NISDOMAIN vào cuối.Chỉnh sửa file /var/yp/Makefile để bắt đầu khởi tạo những thông tin màNIS sẽ phục vụ cho Domain.Tìm sửa NOPUSH=trueTìm lại NOPUSH = trueĐưa thông tin pass shadow vào file /etc/passwd trên NIS14MERGE_PASWD=trueĐưa thông tin Group vào file /etc/passwd trên NISMERGE_GROUP=trueNhững thông tin được chia sẻ qua NIS15Khởi động các dịch vụ của goi ypserv và rpcbind. Nếu đã bật rối các bạnhãy khơi động lại các dịch vụ này như hình sau:Tạo cơ sở dữ liệu cho NIS server bằng lệnh sau:Khởi tạo cớ sở dữ liệu cho NIS Server bằng lệnh sau:Ấn ctrl+D và chọn Y để tạo cơ sở dữ liệu cho NIS Server16Sau đó update lại cấu hình cho NIS Server như hình sau:2.2.2. Cài đặt và cấu hình NIS ClientTương tự như bên Server, ở client ta cài đặt 2 gói là ypbind và rpcbindbằng lệnh yum install.Thay đổi file /etc/sysconfig/network để khởi tạo NIS server.Bạn phải thêm NIS domain mà bạn muốn dùng vào cuối file trên, ví dụdomain đó là srv.worldĐiền HOSTNAME và NISDOMAIN vào cuối.Chạy lệnh authconfig để tự động thiết lập các file của NIS như hình sau:Chỉnh sửa file /etc/pam.d/system-auth như hình sau:17Sau đó khởi động lại các dịch vụ rpcbind và ypbindSử dụng lệnh ipwhich để kiểm tra NIS Server nào đang phục vụ nhữngRequest NIS:Sử dụng lệnh ypcat paswd để liệt kê thông tin của một bản map(user vàpass) trên Server.182.3. Bảo mậtCách thông thường để thay đổi mật khẩu NIS là chạy lệnh yppasswd trênNIS lient. Lệnh này sử dụng giao thức yppasswd và cần tiến trìnhrpc.yppasswdd đang chạy trên máy NIS server. Giao thức này có điểm bất lợi,đó là các mật khẩu cũ sẽ được gởi đi dưới dạng văn bản thuần-clear text (khôngđược mã hóa) trên mạng. Điều này không có gì đáng bàn nếu việc thay đổi mậtkhẩu thành công, trong trường hợp này mật khẩu cũ sẽ được ghi đ bởi mật khẩumới. nhưng nếu trường hợp việc thay đổi mật khẩu thất bại giữa chừng, và kẻtấn công có thể bắt – sử dụng mật khẩu không được mã hóa đó để đăng nhậpmạng. Tồi tệ hơn: nếu người quản lý hệ thống thay đổi mật khẩu NIS cho một aiđấy, mật khẩu root (root password) của máy chủ NIS sẽ được truyền đi dướidạng văn bản thuần trên mạng. Để tránh tình trạng này, ta có thể sử dụng lệnhrpasswd trong gói pwdutils với tính an toàn cao hơn. rpasswd thay đổi mậtkhẩu của tài khoản người dùng trên máy chủ thông qua kết nối SSL an toàn. Mộtngười dùng bình thường chỉ có thể thay đổi mật khẩu của chính họ. Nếu ngườinào đó biết mật khẩu của người quản trị hệ thống (trong trường hợp này là rootpassword trên máy chủ NIS), người đó có thể thay đổi mật khẩu của bất kỳ tàikhoản nào nếu gọi lệnh rpasswd với tùy chọn.19

Tài liệu liên quan

GIỚI THIỆU TỔNG QUAN VỀ NGÂN HÀNG TMCP AN BÌNH CHI NHÁNH HÀ NỘI VÀ CÁC NHÂN TỐ ẢNH HƯỞNG TỚI NĂNG LỰC CẠNH TRANH TRONG CUNG CẤP DỊCH VỤ NGÂN HÀNG CHO CÁC DOANH NGHIỆP
- 30
- 2
- 13
PHƯƠNG HƯỚNG VÀ MỘT SỐ GIẢI PHÁP NÂNG CAO NĂNG LỰC CẠNH TRANH TRONG CUNG CẤP DỊCH VỤ NGÂN HÀNG CHO CÁC DOANH NGHIỆP TẠI NGÂN HÀNG TMCP AN BÌNH CHI NHÁNH HÀ NỘI GIAI ĐOẠN ĐẾN NĂM 2015
- 16
- 616
- 1
Tài liệu Những lưu ý khi chọn nhà cung cấp dịch vụ thiết kế và duy trì website docx
- 1
- 679
- 1
Dịch vụ chia sẻ file miễn phí cho xem trước tập tin tải về docx
- 3
- 337
- 0
5 dịch vụ chia sẻ dữ liệu miễn phí và không giới hạn dung lượng ppt
- 3
- 467
- 0
6 dịch vụ chia sẻ trực tuyến đơn giản và dễ sử dụng docx
- 3
- 334
- 0
tìm hiểu và đánh giá hệ thống cung cấp dịch vụ cho sản xuất nông nghiệp tại xã hương toàn - huyện hương trà – tỉnh thừa thiên huế
- 40
- 953
- 4
5 dịch vụ chia sẻ file được yêu thích nhất pot
- 4
- 350
- 0
CÁC YẾU TỐ TÁC ĐỘNG ĐẾN QUYẾT ĐỊNH LỰA CHỌN NHÀ CUNG CẤP DỊCH VỤ VẬN TẢI CONTAINER ĐƯỜNG BIỂN CỦA CÁC CÔNG TY XNK VÀ CÁC CÔNG TY FORWARDER TẠI TPHCM LUẬN VĂN THẠC S.PDF
- 122
- 1
- 11
Nghiên cứu và xây dựng hệ thống web GIS phục vụ chia sẻ thông tin cảnh báo ô nhiễm không khí
- 79
- 531
- 0