swindler's board

리눅스 기타 자료

제목	[참고] Debian의 NIS 1999/01/18 (14:30)
이름	김효원
번호	138
조회	528
본문	nis.debian.howto 3.2.1-3 miquels@cistron.nl 02-Mar-1998 번역 : 이범석 shinsuk@ai-cse.sch.ac.kr 12-Dec-1998 0. 소개 이 HOWTO는 다음에 대해 설명합니다. 1. NIS client-only 시스템을 어떻게 설정하는가 2. NIS를 통해 자원을 어떻게 이용하는가 3. NIS master 서버를 어떻게 설정하는가 4. shadow passwords 5. NIS slave 서버를 어떻게 설정하는가 1. 지역 NIS 클라이언트를 어떻게 설정하는가 1.1 netbase, netstd, nis 패키지를 설치합니다. 1.2 설치과정에서 NIS domainname 을 묻습니다. 이것은 NIS를 사용할 시스템들의 그룹을 나타내는 이름으로 hostname과는 다릅니다. 1.3 만약 NIS 서버가 지역 네트워크 안에 있지 않으면 몇가지 미세 조정이 필요합니다. ypbind 프로세스는 /etc/yp.conf 라는 설정 파일을 가지고 있습니다. 여기에 NIS 서버의 이름을 적습니다. - 더 자세한 정보는 ypbind(8) 메뉴얼을 보십시오. 1.4 NIS를 시작합니다. /etc/init.d/nis stop /etc/init.d/nis start 2. NIS를 통해 자원을 어떻게 이용하는가 2.1 FOR LIBC6 /etc/nsswitch.conf 파일의 passwd, group, shadow, netgroup 엔트리를 다음과 같이 바꿉니다. passwd: compat group: compat shadow: compat netgroup: nis libc6은 파일로부터 netgroup 정보를 읽는데 몇가지 문제를 가지고 있습니다. 그러니 netgroup 엔트리에 "db" 나 "files" 를 쓰지 마십시오. 모든 netgroup 정보는 NIS 서버를 통해 얻어지게 됩니다. 2.2 USERS: NIS clients 의 /etc/passwd 에 다음 줄을 추가합니다. +:::::: 사용자(user)의 포함/차단을 위해 + 와 - 기호를 사용할 수 있습니다. 사용자 guest를 제외려면 /etc/passwd 파일에 -guest 를 추가합니다. 사용자 linux가 다른 쉘 (e.g. ksh)을 사용하길 원한다면 /etc/passwd 에 +linux::::::/bin/ksh 를 추가해 주면 됩니다. 변경을 원하지 않는 필드는 빈채로 놔둡니다. 예로, miquels, dth, ed 만 로그인을 허락하고 다른 사용자의 계정 정보만을 유지하려면: +miguels:::::: +ed:::::: +dth:::::: +:::::::/etc/NoShell 예에서와 같이 리눅스에서는 패스워드 필드도 override 할 수 있습니다. 2.3 GROUPS: /etc/group 에 다음 줄을 추가합니다. +::: 2.4 HOSTS: 보통 NIS를 통해 host lookup은 하지않고 DNS를 사용합니다. 꼭 NIS를 통해 해야 한다면 여기서 하십시오. 2.4.1 For libc5 applications: NIS 서버의 NIS host 맵을 사용하려면 /etc/host.conf를 수정해야 합니다. 다음과 같이 order 줄에 nis라는 단어를 추가합니다: order hosts,nis multi on 2.4.2 For libc6 applications: /etc/nsswitch.conf 의 hosts 엔트리를 수정합니다: hosts: nis files 3. NIS master 서버를 어떻게 설정하는가 3.1 nis 패키지를 설치합니다. RPC daemon 들 (rpc.portmap)을 설치하기 위해 netbase 와 netstd 도 설치해야 합니다. 3.2 master, slave 구분없이 NIS 서버로 사용될 모든 시스템의 이름이 /etc/hosts 파일내에 있어야 합니다. 각 IP 주소 뒤에 첫번째 hostname이 FQDN (Fully Qualified Domain Name) 이어야 하고, 그에 이어 domainname 을 제외한 hostname 만을 기입합니다. 예를 들면: 192.168.88.10 troi.cistron.nl troi NIS는 DNS를 사용하지 않기 때문에 NIS server 내의 NIS host file (보통 /etc/hosts) 도 이 설정을 해야합니다. 3.3 /etc/defaultdomain 에 NIS domain을 설정합니다. NIS domain은 NIS 를 사용하는 시스템들의 그룹을 나타내는 이름으로 hostname 과는 다릅니다. 이것은 보통 DNS domainname을 이것에도 사용합니다. 이것은 많은 사람들에 의해 보안 위험을 지적되고 있습니다. domainname 을 아는 것만으로 원격지에서 NIS server에 query를 보내고 NIS 맵들을 받을 가능성이 있기 때문입니다. 이것을 막기위해 모호한 domainname 을 선택해서는 안됩니다. 단지 /etc/ypserv.securenets 와 /etc/ypserv.conf 을 적당히 설정하여 지역 네트워크 이외에서 NIS 서버에 접근할 수 없도록 하면 됩니다. 3.4 /etc/init.d/nis 파일내의 ypserv를 master로 (ypserv=master) 설정합니다. 3.5 위에서 말한 것과 같이, 지역 네트워크 번호를 /etc/ypserv.securenets 에 추가합니다. 기본값으로 모든 시스템이 NIS server 에 접근 할 수 있도록 되어 있지만 이렇게 하지 않는 것을 권장합니다. 보안의 강화를 위해 /etc/ypserv.conf 파일을 수정하여 password 를 나오지 않도록(mangle) 할 수 있습니다. (네트워크 내에 데비안이 아닌 slave server 들이 있을 때에는 이것을 사용해서는 안됩니다.) 3.6 "/usr/lib/yp/ypinit -m" 을 입력하여 서버를 설정합니다. 3.7 다음을 입력하여 서버를 시작합니다. /etc/init.d/nis stop /etc/init.d/nis start 서버 (ypserv)와 패스워드 데몬 (yppasswdd)이 시작됩니다. NIS 서버에의 접근을 제한하기를 원하면 NIS 서버를 클라이언트와 마찬가지로 ypbind 를 실행하고 /etc/passwd 파일의 중간에 plus-entries를 추가하여 설정합니다. 라이브러리 함수는 첫번째 NIS entry 후의 모든 normal entries 를 무시하고, 나머지를 NIS를 통해 얻게 됩니다. 이 방법은 NIS에의 접근 규칙을 관리하는 방법입니다. 예: root:x:0:0:root:/root:/bin/bash daemon::1:1:daemon:/usr/sbin: bin::2:2:bin:/bin: sys::3:3:sys:/dev: sync::4:100:sync:/bin:/bin/sync games::5:100:games:/usr/games: man::6:100:man:/var/catman: lp::7:7:lp:/var/spool/lpd: mail::8:8:mail:/var/spool/mail: news::9:9:news:/var/spool/news: uucp::10:50:uucp:/var/spool/uucp: nobody::65534:65534:noone at all,,,,:/dev/null: +miquels:::::: +::::::/etc/NoShell [ All normal users AFTER this line! ] tester::299:10:Just a test account:/tmp: miquels:1234567890123:101:10:Miquel van Smoorenburg:/home/miquels:/bin/zsh 사용자 tester 는 존재하지만, 쉘이 /etc/NoShell 로 지정되어 있고, miguels 는 보통 접근을 갖게 됩니다. 다른 방법으로, /var/yp/Makefile 을 수정하고 NIS 가 다른 패스워드 파일을 사용하도록 설정할 수 있습니다. 큰 시스템에서는, NIS 패스워드와 그룹파일을 일반적으로 /var/yp/ypfiles/ 에 저장합니다. 이것을 사용할 경우엔 패스워드 파일을 관리하는 "passwd", "chfn", "adduser"등의 일반 관리 도구를 더이상 사용할 수 없게되어 특별한 도구를 직접 만들어 사용해야 합니다. 그러나 yppasswd, ypchsh, ypchfn은 yppasswdd 를 -D 옵션으로 NIS 패스워드와 쉐도우의 위치를 지정하면 사용할 수 있습니다. 이 유틸리티들과 yppasswdd 데몬의 데비안 버전은 비표준 확장을 가지고 있습니다. "Root"는 root 패스워드를 사용하여 다른 사람들의 패스워드, finger 정보와 쉘을 변경할 수 있습니다. NIS 패스워드 파일을 직접 수정하거나 표준 /etc/passwd 파일을 사용한다면, NIS 소스 파일이 중의 하나라도 변경된 후 /var/yp 디렉토리에서 make 를 실행시켜 NIS 맵을 갱신해야 하는 것을 기억하십시오. 이것은 cron으로 밤에 수행시켜 최신의 NIS 맵을 유지하도록 하는 것이 적당합니다. 4. SHADOW PASSWORDS 리눅스 libc5 는 쉐도우 NIS 맵을 지원하지 않습니다. libc5에 종속적인 응용 프로그램을 사용할 경우엔 쉐도우 NIS 맵을 사용해서는 안됩니다. 대신 다음의 방법들을 사용할 수 있습니다. 4.1 SHADOW-LIKE SECURITY NIS가 패스워드를 찾는 것을 "mangling"하여 쉐도우와 비슷한 보안을 제공할 수 있습니다. "ypserv.conf" 맨패이지와 /etc/ypserv.conf 의 주석을 읽어보십시오. 4.2 REAL SHADOW SUPPORT libc6은 NIS 내에 쉐도우 지원이 포함되어 있습니다. 이것은 당신이 원하는 것과 같이 동작할 것 입니다; NIS 서버로부터 쉐도우를 받아 사용하기만 하면 됩니다. 쉐도우 맵은 makedbm에 옵션 "-s" (secure) 를 주면 만들어집니다. 이것은 현재의 모든 /var/yp/Makefile 내에서 자동으로 수행됩니다. 주) 쉐도우 패스워드를 사용하고 있다면 2.2 와 같은 "plus" entries를 /etc/passwd 와 /etc/shadow 모두에 추가시킬 필요가 있습니다. 올바른 형태로 추가하십시오; passwd 와 shadow 파일은 다른 필드들을 가지고 있습니다. 5. HOW TO SETUP A NIS SLAVE SERVER 5.1 먼저, 시스템을 NIS 클라이언트로 설정하십시오. (1을 보십시오) 5.2 이어서 위에 설명한대로 3.1 부터 3.5 까지 설정하되, 3.4에서 /etc/init.d/nis 파일내의 ypserv를 slave (ypserv=slave)로 설정하십시오. 5.3 데본을 실행하고 초기화하십시오. /etc/init.d/nis stop /etc/init.d/nis start /usr/lib/yp/ypinit -s <주 NIS 서버 이름> 5.4 이제 주 NIS 서버에 종 NIS 서버 지원을 설정합니다. 먼저 주 NIS 서버에 있는 NIS Makefile 을 조정하여 앞으로의 모든 갱신된 정보를 자동으로 종 NIS 서버에 전달하도록 합니다. /var/yp/Makefile 내의 NOPUSH 변수를 다음과 같이 설정하십시오. NOPUSH="false" 이제 주 서버는 "/usr/lib/yp/ypinit -m" 명령 실행으로 종 서버들의 정보를 전달합니다. 종 서버들의 이름을 입력하십시오. 맵을 다시 만들어 종 서버로 자료를 전달합니다. 5.5 종 서버의 루트 crontab에 다음을 추가합니다. (crontab -e) 20 * * * * /usr/lib/yp/ypxfr_1perhour 40 6 * * * /usr/lib/yp/ypxfr_1perday 55 6,18 * * * /usr/lib/yp/ypxfr_2perday 이것은 모든 NIS 맵들이 최신 정보로 갱신되도록 하며, 정보 갱신 시 종 서버의 다운으로 빠진 정보도 갱신됩니다.

1998 by swindler