Chapitre 32 : Authentification des comptes utilisateurs

Transcription

1 Authentification des comptes utilisateurs Chapitre 32 : Authentification des comptes utilisateurs Un compte utilisateur : définition de son identification pour le système définition d un environnement utilisateur Opérations possibles : création modifications destruction Formation permanente ARS 1 Authentification des comptes utilisateurs Le fichier /etc/passwd 32.1 Le fichier /etc/passwd Il contient les informations sur les identifications des utilisateurs. Exemple : root:u/oecqo.cmnyc:0:1:operator:/root:/bin/csh nobody:*:65534:65534::/: daemon:*:1:1::/: sys:*:2:2::/:/bin/csh bin:*:3:3::/bin: besancon:vshntkfqz8mek:4332:1000::/users/adm/besancon:/bin/bash... Formation permanente ARS 2

2 Authentification des comptes utilisateurs Format du fichier /etc/passwd, <pwd.h> 32.2 Format du fichier /etc/passwd, <pwd.h> Le format est composé de 7 champs séparés par le caractére : : login : mot de passe : UID : GID : gecos : homedir : shell Pour la définition exacte sur sa machine, se reporter à <pwd.h>. Par exemple sur Linux : /* The passwd structure. */ struct passwd { char *pw_name; /* Username. */ char *pw_passwd; /* Password. */ uid_t pw_uid; /* User ID. */ gid_t pw_gid; /* Group ID. */ char *pw_gecos; /* Real name. */ char *pw_dir; /* Home directory. */ char *pw_shell; /* Shell program. */ }; Formation permanente ARS 3 Authentification des comptes utilisateurs Format du fichier /etc/passwd, <pwd.h> champ 1 : login Nom sous lequel un ordinateur connait un individu. 8 caractères en général. Pour plus, vérifier Sur Linux, on peut avoir des noms plus longs que 8. Conseils : pas de majuscules, éviter les caractères accentués. champ 2 : mot de passe Mot de passe de l utilisateur stocké sous forme chiffrée non déchiffrable. Nécessité d éduquer les utilisateurs pour choisir un bon mot de passe. Les logiciels de crack de mots de passe ne déchiffrent pas les mots de passe : ils font des essais à base de dictionnaires. crack : ftp://ftp.lip6.fr/pub/unix/security/crack5.0.tar.gz john : ftp://ftp.false.com/pub/security/john/john-1.6.tar.gz Formation permanente ARS 4

3 Authentification des comptes utilisateurs Format du fichier /etc/passwd, <pwd.h> champ 3 : UID Identificateur numérique compris entre 0 et (short int a priori). Sur Linux, c est un uid_t, un unsigned int. Cette valeur doit être unique au sein des utilisateurs. champ 4 : GID Identificateur numérique compris entre 0 et (short int a priori). Sur Linux, c est un gid_t, un unsigned int. Cette valeur doit être unique au sein des groupes. % ls -ln -rw-r--r Sep 15 22:47 cours.dvi -rw-r--r Sep 15 22:27 cours.tex % ls -l -rw-r--r-- 1 besancon software 5928 Sep 15 22:49 cours.dvi -rw-r--r-- 1 besancon software 940 Sep 15 22:27 cours.tex Formation permanente ARS 5 Authentification des comptes utilisateurs Format du fichier /etc/passwd, <pwd.h> champ 5 : gecos Identité en clair de l utilisateur. Les systèmes BSD y ont stockés d autres informations comme le numéro de téléphone, le numéro de bureau etc. La commande chfn (change finger) permet de modifier ce champs. champ 6 : homedir Répertoire par défaut. champ 7 : shell Shell par défaut. Si le champ est vide, on prend /bin/sh par défaut. Le shell déterminera les fichiers de configuration à installer chez l utilisateur. La commande chsh (change shell) permet de choisir parmi les shells mentionnés dans /etc/shells. Formation permanente ARS 6

4 Authentification des comptes utilisateurs Format du fichier /etc/passwd, <pwd.h> Quelques conseils : Il faut toujours trier les lignes de /etc/passwd selon l ordre numérique des UID : # sort -t : +2n -3 /etc/passwd Il ne faut jamais laisser de comptes sans mot de passe. Formation permanente ARS 7 Authentification des comptes utilisateurs Chiffrement des mots de passe, crypt() 32.3 Chiffrement des mots de passe, crypt() Les mots de passe sont stockés sur une forme chiffrée, mathématiquement non réversible. Algorithme de chiffrement : DES, standard fédéral de l administration américaine Ce chiffrement non réversible est dit hashing (le mot de passe chiffré est dit hashed). Disponible sur Unix via la fonction C crypt() : premier paramètre : la chaine à chiffrer second paramètre : la graine (dite salt en anglais) composée de 2 caractères résultat renvoyé : une chaine dont les 2 premiers caractères reprennent le salt Ainsi crypt("qwerty", "NU") renvoit NUMVcLVD/dM12 Formation permanente ARS 8

5 Authentification des comptes utilisateurs Chiffrement des mots de passe, crypt() Exemple de programme C complet : #include<stdio.h> main(int argc, char *argv[]) { printf("=> %s\n", crypt(getpass("chaine a chiffrer :"), argv[1])); } Une fois compilé, le programme montre : %./textcrypt NU Chaine a chiffrer : XXXXXXXX => NUMVcLVD/dM12 <-- QWERTY pour l exemple Formation permanente ARS 9 Authentification des comptes utilisateurs Cycle du mot de passe et commande passwd 32.4 Cycle du mot de passe et commande passwd La commande pour changer de mot de passe d un utilisateur dans /etc/passwd est passwd. Elle appelle crypt() avec un nouveau salt tiré au hasard et avec le nouveau mot de passe entré. passwd crypt() hashed password randomseed or "salt" serveur /etc/passwd (/etc/shadow) Formation permanente ARS 10

6 Authentification des comptes utilisateurs Cycle du mot de passe et commande passwd Comportement lorsqu un utilisateur change un mot de passe % passwd passwd: Changing password for besancon Enter login password: XXXXXXXX New password: ZZZZZZZZ Re-enter new password: ZZZZZZZZ passwd (SYSTEM): passwd successfully changed for besancon On tache de vérifier l identité de la personne en demandant le mot de passe initial. Formation permanente ARS 11 Authentification des comptes utilisateurs Cycle du mot de passe et commande passwd Comportement lorsque l administrateur root change un mot de passe # passwd besancon New password: XXXXXXXX Re-enter new password: ZZZZZZZZ passwd (SYSTEM): passwd successfully changed for besancon Root n a jamais besoin de connaître le mot de passe d un utilisateur pour en changer le mot de passe. Lorsqu un utilisateur a perdu son mot de passe : root ne peut pas déchiffrer la chaine chiffrée dans /etc/passwd root peut changer le mot de passe par passwd groslourd Formation permanente ARS 12

7 Authentification des comptes utilisateurs Cycle du mot de passe et commande passwd La commande passwd peut comporter plus ou moins de règles de vérification de la sûreté du mot de passe : % passwd besancon Enter login password: XXXXXXXX New password: XXXXXXXX <-- on entre exprès le même mot de passe passwd(system): Passwords must differ by at least 3 positions New password: YYYYYYYY <-- mélange de lettres minuscules et majuscules passwd(system): The first 6 characters of the password must contain at least two alphabetic characters and at least one numeric or special character. passwd(system): Too many failures - try later. Permission denied Formation permanente ARS 13 Authentification des comptes utilisateurs Cycle du mot de passe et commande login 32.5 Cycle du mot de passe et commande login La commande lancée par le système pour se connecter est la commande login. Elle va devoir vérifier si les mots de passe entré et stocké sont identiques, sachant que le mot de passe est stocké sous une forme hashée. 1. L utilisateur entre login et mot de passe 2. On recupère la structure pwd de l utilisateur login 3. On extrait le salt 4. crypt() des données entrées 5. On extrait le passwd serveur /etc/passwd (ou /etc/shadow) 6. Comparaison hash stocké et hash calculé 7a. comparaison OK : connexion acceptée 7b. comparaison fausse : Formation permanente ARS connexion refusée 14

8 Authentification des comptes utilisateurs Cycle du mot de passe et commande login Si le mot de passe hashé est saelydiafuf5o, on réalisera donc au login la comparaison C : strcmp("saelydiafuf5o", crypt("xxxxxxxx", "sa")) avec XXXXXXXX le mot de passe en clair. Formation permanente ARS 15 Authentification des comptes utilisateurs Shadow Passwords, /etc/shadow, <shadow.h> 32.6 Shadow Passwords, /etc/shadow, <shadow.h> L idée part de la constatation que, si beaucoup de programmes accèdent au contenu de /etc/passwd pour les informations concernant UID, homedir, shell, peu en revanche l accèdent pour le mot de passe. On supprime donc le mot de passe chiffré du fichier pour le stocker dans un fichier à accès plus restreints. -rw-r--r-- -rw root wheel Sep 15 22:51 /etc/passwd root wheel Sep 15 22:50 /etc/master.passwd L ancien mot de passe chiffré est remplacé par exemple par un caractère comme * ou x : besancon:x:4332:1000::/users/adm/besancon:/bin/bash Formation permanente ARS 16

9 Authentification des comptes utilisateurs Shadow Passwords, /etc/shadow, <shadow.h> Plusieurs formats de fichiers shadow sont utilisés par les constructeurs qui ne se sont pas mis d accord. Linux Fichiers /etc/passwd et /etc/shadow # cat /etc/passwd root:x:0:0:root:/root:/bin/bash bin:x:1:1:bin:/bin: daemon:x:2:2:daemon:/sbin: adm:x:3:4:adm:/var/adm:... # cat /etc/shadow root:fuqzjkzpwaytc:11237:0:99999:7:-1:-1: bin:*:11237:0:99999:7::: daemon:*:11237:0:99999:7::: adm:*:11237:0:99999:7:::... Formation permanente ARS 17 Authentification des comptes utilisateurs Shadow Passwords, /etc/shadow, <shadow.h> Solaris Fichiers /etc/passwd et /etc/shadow # cat /etc/passwd root:x:0:1:super-user:/:/sbin/sh daemon:x:1:1::/: bin:x:2:2::/usr/bin:... boumaiza:x:1001:1000:lyazid Boumaiza:/net/serveur/home/ars/boumaiza:/bin/tcsh corsini:x:1002:1000:franck Corsini:/net/serveur/home/ars/corsini:/bin/tcsh... # cat /etc/shadow root:y8fpbbq414tbu:6445:::::: daemon:np:6445:::::: bin:np:6445::::::... boumaiza:aaljcbuvx/xem:11255:::::: corsini:5ag56r/m.kd9a:10912::::::... Formation permanente ARS 18

10 Authentification des comptes utilisateurs Le fichier /etc/group, <grp.h> 32.7 Le fichier /etc/group, <grp.h> Le format est composé de 4 champs séparés par le caractére : : group : mot de passe : GID : membres Pour la définition exacte sur sa machine, se reporter à <grp.h>. Par exemple, sur une machine Linux : /* The group structure. */ struct group { char *gr_name; /* Group name. */ char *gr_passwd; /* Password. */ gid_t gr_gid; /* Group ID. */ char **gr_mem; /* Member list. */ }; Formation permanente ARS 19 Authentification des comptes utilisateurs Le fichier /etc/group, <grp.h> champ 1 : group Nom du groupe apparaissant par ls -lg. champ 2 : mot de passe Mot de passe du groupe. champ 3 : GID Identificateur numérique compris entre 0 et Sur Linux, c est un gid_t, un unsigned int. Cette valeur doit être unique au sein des groupes. champ 4 : membres Liste de noms de login séparés par des virgules. Formation permanente ARS 20

11 Authentification des comptes utilisateurs Création d un nouveau compte 32.8 Création d un nouveau compte Action mécanique automatisable. Selon le système, elle est déjà automatisée sous la forme d une commande d administration : Système AIX HP-UX Solaris FreeBSD Program smit sam admintool adduser etc. Formation permanente ARS 21 Authentification des comptes utilisateurs Création d un nouveau compte Exemple d interface graphique de création de compte : Problème : comment créer 3000 comptes en une après-midi avec cette interface? Problème : comment personnaliser cette interface? Formation permanente ARS 22

12 Authentification des comptes utilisateurs Création d un nouveau compte Actions schématiques à accomplir lors de la création d un compte : 1. choix de l UID et du GID en fonction du service d appartenance de la personne 2. choix du homedir (en fonction du service?) 3. choix du nom de login selon la politique locale 4. choix du shell de login 5. incorporation de ces informations dans la base de données des comptes (/etc/passwd ou NIS selon la politique du service) ; * comme mot de passe par défaut Formation permanente ARS 23 Authentification des comptes utilisateurs Création d un nouveau compte 6. ajout de l utilisateur dans /etc/group 7. création du homedir 8. copie des fichiers de configuration de l environnement (.profile,.cshrc,.xsession etc.) 9. attribuer le homedir créé à l utilisateur par chown + chgrp 10. initialisation du mot de passe si l utilisateur est présent L étape délicate dans une automatisation de création de compte est bien sûr l incorporation d une nouvelle ligne dans la base de données. Formation permanente ARS 24

13 Authentification des comptes utilisateurs Compte root 32.9 Compte root Sa particularité vient de son UID == 0. Quelques règles : 1. L utilisateur root n a pas. dans son PATH (précédence de la commande locale par rapport à la commande système). 2. L utilisateur root a 022 pour umask (accessibilité indispensable de certains fichiers par les utilisateurs normaux). 3. Eviter d avoir / comme homedir pour root (pollution de / par les fichiers de configuration en.foorc ). Formation permanente ARS 25 Authentification des comptes utilisateurs Comptes fictifs Comptes fictifs Exemple de Linux : root:x:0:0:root:/root:/bin/bash bin:x:1:1:bin:/bin: daemon:x:2:2:daemon:/sbin: adm:x:3:4:adm:/var/adm: lp:x:4:7:lp:/var/spool/lpd: sync:x:5:0:sync:/sbin:/bin/sync shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown halt:x:7:0:halt:/sbin:/sbin/halt mail:x:8:12:mail:/var/spool/mail: news:x:9:13:news:/var/spool/news: uucp:x:10:14:uucp:/var/spool/uucp: operator:x:11:0:operator:/root: games:x:12:100:games:/usr/games: gopher:x:13:30:gopher:/usr/lib/gopher-data: ftp:x:14:50:ftp User:/home/ftp: nobody:x:99:99:nobody:/: xfs:x:43:43:x Font Server:/etc/X11/fs:/bin/false... Formation permanente ARS 26

14 Authentification des comptes utilisateurs Comptes fictifs Ces utilisateurs fictifs sont essentiellement des propriétaires de fichiers. Par exemple bin est le propriétaire de la plupart des exécutables : -rwxr-xr-x 1 bin bin Aug stty* -rws--x--x 1 root bin Aug su* -rwxr-xr-x 1 bin bin Aug sum* A noter l emploi du bit s sur la commande su. µ son exécution se fait au nom du propriétaire du fichier, ici root. Formation permanente ARS 27 Authentification des comptes utilisateurs Commandes id, groups Commandes id, groups La commande id renvoit votre UID et vos GID, primaire et secondaires : % id uid=1000(besancon) gid=4(adm) groups=4(adm),0(root),3(sys),\ 12(daemon),1000(sae3),1002(www) La commande groups renvoit vos GID d appartenance : % groups adm root sys daemon sae3 www Formation permanente ARS 28

15 Authentification des comptes utilisateurs Commande su Commande su La commande su permet de changer d identité : su [-] utilisateur2 Vérification par demande du mot de passe de l utilisateur destination. Pour hériter complètement de l identité, utiliser l option "-" de la commande "su". Formation permanente ARS 29 Authentification des comptes utilisateurs Commande su Quand on se trompe sur le mot de passe : % id uid=4332(besancon) gid=1000(software) groups=1000(software) % su besancon Password: Sorry Quand on donne le bon mot de passe : % id uid=4332(besancon) gid=1000(software) groups=1000(software) % su beurnez Password: % id uid=8520(beurnez) gid=8506(lps-06) groups=8506(lps-06) Formation permanente ARS 30

16 Authentification des comptes utilisateurs Commande su Pour devenir root, la commande est donc simplement : % su root ce qui peut se simplifier encore en : % su Formation permanente ARS 31 Authentification des comptes utilisateurs Commande su Pour hériter complètement de l identité, utiliser l option "-" de la commande "su". Exemple de transmission de données parasites de la premiére identité à la seconde identité : % id uid=4332(besancon) gid=1000(software) groups=1000(software) % pwd /users/adm/besancon % su beurnez % id uid=8520(beurnez) gid=8506(lps-06) groups=8506(lps-06) % pwd /users/adm/besancon % printenv... MAIL=/var/mail/besancon... Certaines variables d environnement font encore référence à l identité de départ! Formation permanente ARS 32

17 Authentification des comptes utilisateurs Commande su Exemple de non transmission de données parasites de la première identité à la seconde identité : % id uid=4332(besancon) gid=1000(software) groups=1000(software) % pwd /users/adm/besancon % su - beurnez % id uid=8520(beurnez) gid=8506(lps-06) groups=8506(lps-06) % pwd /users/stat/beurnez % printenv... MAIL=/var/mail/beurnez... Les variables d environnement font référence maintenant au second utilisateur exclusivement. Formation permanente ARS 33 Authentification des comptes utilisateurs Deviner des mots de passe Deviner des mots de passe L algorithme DES sert à hasher les mots de passe. Si l on a accès au contenu de /etc/shadow (ou /etc/passwd en mode non protégé), on peut utiliser certains outils pour vérifier la complexité des mots de passe en appliquant des dictionnaires et des règles d applications : John the ripper, disponible à Crack, disponible à Formation permanente ARS 34

18 NIS Chapitre 33 : NIS NIS Network Information Service Créé par SUN en 1985 Anciennement Yellow Pages µ certaines commandes ont un nom en "yp..." Version NIS+ vers 1992, radicalement différente (cf annexe) C est un protocole réseau d accès à des informations centralisées sur un ou plusieurs serveurs redondants. Utilisation la plus courante : partager la base des comptes Unix. Formation permanente ARS 35 NIS Architecture de NIS 33.1 Architecture de NIS Architecture construite en mode client / serveur : D A T A Maitre D A T A D A T A Esclave 1 Esclave 2 Mise a jour push / pull D A T A D A T A D A T A D A T A D A T A Client 1 Client 2 Client 3 Client 4 Formation permanente ARS 36

19 NIS Architecture de NIS Caractéristiques : Communications réseau via RPC (Remote Procedure Call) Propagation des données (maps) du master server aux slave servers en mode pull ou en mode push. Propagation des maps complètes Seul le master server peut modifier les données Les slave servers diffusent les données sans pouvoir les modifier Formation permanente ARS 37 NIS Données NIS : maps NIS, DBM, ypcat, ypmatch 33.2 Données NIS : maps NIS, DBM, ypcat, ypmatch Les données manipulées par NIS : maps Les maps contiennent des couples (clef, valeur). Il n y a que le serveur NIS maître qui peut changer le contenu d une map. Une map est au format DBM (cf man dbm) ; une map se compose de 3 fichiers : le fichier source le fichier de suffixe.pag le fichier de suffixe.dir Formation permanente ARS 38

20 NIS Données NIS : maps NIS, DBM, ypcat, ypmatch La commande makedbm permet de convertir le fichier source en les 2 fichiers constituant le DBM. % cat demo clef1 banane clef2 arbre % makedbm demo demo % ls -l demo test* -rw-r--r-- 1 besancon adm 23 Aug 15 11:56 demo -rw besancon adm 0 Aug 15 11:57 demo.dir -rw besancon adm 1024 Aug 15 11:57 demo.pag Dans le système NIS, les maps sont stockées sur le master server dans /var/yp/nom-du-domaine-nis : % cd /var/yp/nom-de-domaine-nis % ls -l passwd* -rw root other 4096 Nov 23 07:26 passwd.byname.dir -rw root other 8192 Nov 23 07:26 passwd.byname.pag -rw root other 4096 Nov 23 07:26 passwd.byuid.dir -rw root other 8192 Nov 23 07:26 passwd.byuid.pag Formation permanente ARS 39 NIS Données NIS : maps NIS, DBM, ypcat, ypmatch Les maps sont construites automatiquement à partir de tous les fichiers sources des maps : passwd.byname passwd.byuid /etc/hosts makedbm NIS MASTER hosts.byname hosts.byuid /etc/passwd Le fichier /var/yp/makefile automatise toutes les créations de maps et leur propagation aux slave servers (mode push). Formation permanente ARS 40

21 NIS Données NIS : maps NIS, DBM, ypcat, ypmatch Extrait de /var/yp/makefile :... hosts.time: $(B) -l $(DIR)/hosts $(CHKPIPE)) \ (awk BEGIN { OFS="\t"; } $$1!~ /^#/ { print $$1, $$0 } $(CHKPIPE)) \ $(MAKEDBM) $(B) - "updated [! $(NOPUSH) ]; then $(YPPUSH) -d $(DOM) hosts.byname; [! $(NOPUSH) ]; then $(YPPUSH) -d $(DOM) hosts.byaddr; [! $(NOPUSH) ]; then echo "pushed hosts"; fi... La construction d une map se résume alors à (par exemple suite à une modification de /etc/hosts) : # vi /etc/hosts # cd /var/yp # make hosts updated hosts pushed hosts Formation permanente ARS 41 NIS Données NIS : maps NIS, DBM, ypcat, ypmatch La librairie DBM permet de créer des enregistrements de taille maximale 1024 octets : % man dbm SunOS/BSD Compatibility Library Functions dbm(3b) NAME... dbm, dbminit, dbmclose, fetch, store, delete, firstkey, nextkey - data base subroutines The sum of the sizes of a key/content pair must not exceed the internal block size (currently 1024 bytes). Moreover all key/content pairs that hash together must fit on a single block. store will return an error in the event that a disk block fills with inseparable data. Formation permanente ARS 42

22 NIS Données NIS : maps NIS, DBM, ypcat, ypmatch Quelques noms de maps : passwd.byname, passwd.byuid, group.byname, group.bygid, publickey.byname, hosts.byaddr, hosts.byname, mail.byaddr, mail.aliases, services.byname, services.byservicename, rpc.bynumber, rpc.byname, protocols.bynumber, protocols.byname, networks.byaddr, networks.byname, netmasks.bymask, netmasks.byaddr, ethers.byname, ethers.byaddr, bootparams, auto.master, auto.home, auto.direct, auto.src dont les plus utiles sont : map passwd map group map hosts map netgroup Formation permanente ARS 43 NIS Données NIS : maps NIS, DBM, ypcat, ypmatch La commande ypcat permet de consulter une map NIS depuis n importe quel client. Syntaxe : ypcat map-nis La commande ypmatch permet de consulter la valeur d une ou plusieurs clefs dans une certaine map NIS depuis n importe quel client. Syntaxe : ypmap clef1 clef2... map-nis Formation permanente ARS 44

23 NIS Client NIS, domainname, ypbind, ypwhich, ypset 33.3 Client NIS, domainname, ypbind, ypwhich, ypset Un client NIS doit se connecter à un serveur NIS. C est l action de binding. Le binding nécessite : de fournir un nom de domaine NIS, le domainname ; une machine se déclare comme membre du groupe servi par les serveurs NIS de préciser la méthode de localisation du serveur NIS : broadcast ou explicite Formation permanente ARS 45 NIS Client NIS, domainname, ypbind, ypwhich, ypset Nom de domaine La commande activant le nom de domaine est domainname. Pour consulter le nom de domaine : domainname Pour configurer manuellement le nom de domaine : domainname nom-du-domaine-nis Configuration du domainname automatique au démarrage : Sur Solaris : renseigner le fichier /etc/defaultdomain Sur Linux : renseigner le fichier /etc/sysconfig/network NETWORKING=yes FORWARD_IPV4=false HOSTNAME=pcars6.formation.jussieu.fr DOMAINNAME=formation.jussieu.fr GATEWAY= GATEWAYDEV=eth0 NISDOMAIN=real.world Formation permanente ARS 46

24 NIS Client NIS, domainname, ypbind, ypwhich, ypset Réalisation du binding Un client NIS fait tourner le démon ypbind qui se connecte à un serveur NIS que l on trouve selon 2 méthodes possibles : découverte par broadcast ; c est le mode par défaut. Sur Solaris, /usr/lib/netsvc/yp/ypbind -broadcast En pratique il y a une map ypservers qui contient les noms des serveurs. Cf /var/yp/binding/nom-de-domaine-nis/ypservers demande de connexion explicite Sur Solaris faire : # ypbind -ypsetme # ypset nom-du-serveur-nis-voulu La commande ypwhich affiche le nom du serveur NIS utilisé. Formation permanente ARS 47 NIS Client NIS, domainname, ypbind, ypwhich, ypset On peut controler un peu quels sont les clients qui se bindent aux servers. Pour cela, remplir sur les slave servers et sur le master server le fichier /var/yp/securenets. Il liste les machines autorisées, sous forme adresses et netmasks. Par exemple : Signification : seules les machines des réseaux /16 et /24 sont autorisées à se binder. Formation permanente ARS 48

25 NIS Client NIS, domainname, ypbind, ypwhich, ypset Consultation des maps Un client NIS doit indiquer quels maps il utilisera. La plus courante est la map passwd dont on indique l utilisation par l ajout d une ligne en fin de fichier /etc/passwd : +::65534:65534::: Signification de cette ligne supplémentaire (à vérifier sur chaque système car il existe des différences) : Tout champ renseigné de cette ligne + remplace le même champ de la map inconditionnellement sauf pour UID et GID. Pour UID et GID, les valeurs mentionnées s activeront si ces champs sont absents de la map (c est-à-dire quand la map est vérolée ce qui indique un problème de fichier source vérolé). Formation permanente ARS 49 NIS Client NIS, domainname, ypbind, ypwhich, ypset Exemple : +:*LK*:65534:65534:::/usr/local/bin/tcsh Signification : le passwd chiffré des utilisateurs de la map passwd est *LK* l UID sera si l entrée de la map ne précise pas d UID le GID sera si l entrée de la map ne précise pas de GID le shell de login est mis automatiquement à /usr/local/bin/tcsh Formation permanente ARS 50

26 NIS Slave server NIS, ypserv, ypxfr 33.4 Slave server NIS, ypserv, ypxfr Un serveur NIS esclave fait tourner plusieurs démons : ypserv ypbind Le démon ypserv est là pour répondre aux requêtes des client NIS qui se sont bindés sur lui. Le démon ypbind n est là que pour faire du slave server un client NIS aussi (mais ce n est pas obligatoire). Il n est pas garanti que le slave server soit client NIS de lui même. Il peut se binder sur un autre serveur NIS du même domaine. Formation permanente ARS 51 NIS Slave server NIS, ypserv, ypxfr Un slave server peut être down au moment où un master slave fait un push des maps. µ besoin pour le slave server de se resynchroniser avec le master server ; pull des maps de la part du slave server Cela se fait au moyen de shell scripts lancés périodiquement via la crontab : 30 * * * * /usr/lib/netsvc/yp/ypxfr_1perhour 31 1,13 * * * /usr/lib/netsvc/yp/ypxfr_2perday 32 1 * * * /usr/lib/netsvc/yp/ypxfr_1perday Ces scripts récupérent plus ou moins de maps suivant la fréquence de leur lancement. Exemple de l un de ces shell scripts, ypxfr_1perhour : #! /bin/sh # ypxfr_1perhour.sh - Do hourly NIS map check/updates PATH=/bin:/usr/bin:/usr/lib/netsvc/yp:$PATH export PATH ypxfr passwd.byname ypxfr passwd.byuid Formation permanente ARS 52

27 NIS Master server NIS, ypxfrd, rpc.yppasswdd, yppasswd 33.5 Master server NIS, ypxfrd, rpc.yppasswdd, yppasswd Un serveur NIS maître fait tourner plusieurs démons : ypserv ypbind ypxfrd rpc.yppasswdd Même rôle pour ypserv que pour un slave server. Même rôle pour ypbind que pour un slave server. Le démon ypxfrd assure les transferts de maps demandés par les slave servers (mode pull). (en Unix, on rencontre souvent le mot xfr pour transfert) Le démon rpc.yppasswdd assure le changement des mots de passe. Formation permanente ARS 53 NIS Master server NIS, ypxfrd, rpc.yppasswdd, yppasswd Avec NIS, un client NIS ne peut pas modifier le contenu d une map. Pour changer un mot de passe, on va émuler le changement du mot de passe sur le master server dans son fichier source (/etc/passwd) puis la reconstruction de la map passwd et sa transmission en totalité aux slave servers. Ce processus se réalise en utilisant la commande yppasswd qui demande les mots de passe à l utilisateur puis appelle rpc.yppasswdd sur le master server qui simule la session interactive composée des commandes : # passwd # cd /var/yp # make passwd Formation permanente ARS 54

28 NIS Master server NIS, ypxfrd, rpc.yppasswdd, yppasswd Sur un client NIS Linux : % yppasswd Changing NIS account information for besancon on serveur. Please enter old password: ******** Changing NIS password for besancon on serveur. Please enter new password: ******** Please retype new password: ******** The NIS password has been changed on serveur. Sur un master server NIS Solaris : % yppasswd Enter login(nis) password: ******** New password: ******** Re-enter new password: ******** NIS passwd/attributes changed on serveur Formation permanente ARS 55 NIS Netgroups 33.6 Netgroups Le système NIS permet de définir des groupes d autorisation d accès : les netgroups. Ces groupes sont diffusés via la map netgroup. Un netgroup est un nom symbolique associé à un ensemble de triplets (je n ai jamais vu le troisième champ avoir une quelconque utilité en pratique) : nom-de-netgroup \ (machine, utilisateur, nom-de-domaine-nis) \ (machine, utilisateur, nom-de-domaine-nis) \... On définit en pratique des netgroups concernant des machines et des netgroups concernant des utilisateurs. On autorisera ainsi ou pas des groupes d utilisateurs ou de machines à accéder à certaines ressources. Formation permanente ARS 56

29 NIS Netgroups Exemple de netgroup de machines : nains \ (atchoum.phys.ens.fr,,physique) \ (dormeur.phys.ens.fr,,physique) \ (joyeux.phys.ens.fr,,physique) \ (grincheux.phys.ens.fr,,physique) \ (prof.phys.ens.fr,,physique) \ (timide.phys.ens.fr,,physique) \ (simplet.phys.ens.fr,,physique) Exemple de netgroup d utilisateurs : etudiants \ (,jean,) \ (,pierre,) \ (,valerie,) Formation permanente ARS 57 NIS Netgroups Exemple d utilisation d un netgroup d utilisateurs au niveau de /etc/passwd : field:password HERE:0:1:Field Service:/usr/field:/bin/csh operator:password HERE:5:28:Operator:/opr:/opr/opser sys:password HERE:2:3:Mr Kernel:/usr/sys: bin:password HERE:3:4:Mr Binary:/bin: pot:*:16:16:menupot:/users/staffs/pot: -@etudiants: +@net_administrateurs::0:0::: +@net_utilisateurs::65534:65534:::/bin/noshell Signification : On rejette les lignes de la map passwd dont le login est indiqué dans le netgroup etudiants On accepte les lignes de la map passwd dont le login est indiqué dans le netgroup net_administrateurs On accepte les lignes de la map passwd dont le login est indiqué dans le netgroup net_utilisateurs Formation permanente ARS 58

30 NIS Netgroups Exemple d utilisation d un netgroup de machines au niveau de l exportation de disques via NFS (fichier /etc/exports, cf chapitre sur NFS) : /usr/openwin -access=nains Formation permanente ARS 59 NIS Installation de NIS 33.7 Installation de NIS Master server Lancer ypinit -m Slave servers Lancer ypinit -s master-server Ajouter dans la crontab les appels aux scripts ypxfr_* Client NIS Spécifier le domainname Formation permanente ARS 60