Partage de fichiers via NFS NFS : Net File System développé par Sun Microsystems Permet à une machine serveur de partager un système de fichiers avec des machines clientes Partage effectué dans un environnement supposé sécurisé (c à d utilisateurs et machines authentifiées)
NFS côté serveur 4 démons gèrent le partage côté serveur: nfsd répond aux requêtes nfs des clients montd gère les montage nfs lockd attribue des verrous sur les fichiers statd observation du réseau Un fichier de configuration /etc/exports /pub *.iut-orleans.fr(rw,no_root_squash) /doc bibli.iut-orleans.fr(ro,all_squash) squash = transformer l'utilisateur en anonyme
NFS côté client Deux démons: lockd et statd Montage du système de fichiers partagé: Montage temporaire mount -t nfs serveur:/pub /mnt/pub Montage au démarrage ajouter dans le fichier /etc/fstab serveur:/pub /mnt/pub nfs auto,rw
Authentification centralisée NIS NIS: Network Information Service (aussi appelé Yellow Pages) développé par Sun Microsystems Base de données permettant de centraliser des informations sur le réseau: Authentification des utilisateurs et des groupes Nom des machines et adresses IP Services et protocoles internet Alias mail
Serveur NIS Serveur NIS + ses clients = domaine NIS ce domaine n'est pas lié au domaine DNS Base de données stockée dans des maps dans le répertoire /var/yp/mondomaine Map : représentation d'une information partagée ex: passwd.byuid = map qui représente le fichier passwd trié par uid
Serveur NIS Principales informations généralement centralisées Les utilisateurs (passwd, shadow) Les groupes (group, gshadow) Le noms de machines (hosts)
Initialisation du serveur nis Définition du domain nis : domainname domainname iut.fr Initialisation des maps (à faire pour chaque mise à jour) cd /var/yp make cette opération va «compiler» les fichiers du serveur en maps nis. Demarrage du serveur service ypserv restart
Client NIS Affectation du nom de domaine domainname iut.fr Attachement au serveur ypbind Principales commandes ypcat <nomdelamap> affiche le contenu de la map ypwhich nom du serveur nis yppasswd changer son mot de passe sur le serveur nis
Schéma de partage NIS + NFS CLIENT SERVEUR / / bin etc home pub export pub bin etc home home var yp user1 user2 iut.fr Initialisation de la machine cliente
Schéma de partage NIS + NFS CLIENT SERVEUR / / bin etc home pub export pub bin etc home home var yp user1 user2 iut.fr Initialisation de la machine cliente Montage NFS (fstab) serv:/export/pub /pub nfs... Fichier /etc exports du serveur serv:/export/home /home nfs.../export/pub *.iut.fr(rw...) /export/home *.iut.fr(rw...)
Schéma de partage NIS + NFS CLIENT SERVEUR / / bin etc home pub export pub bin etc home home var yp user1 user2 iut.fr Initialisation de la machine cliente ypbind: jonction au domaine
Schéma de partage NIS + NFS / CLIENT bin etc home Demande la map Envoie la map authentification pub export pub user1 SERVEUR / bin etc home home user2 iut.fr var yp Connexion de l'utilisateur user1 Demande d'autentification par la map passwd
Client NIS jonction au domaine automatique Fichiers à modifier /etc/sysconfig/network ajouter NISDOMAINE=iut.fr /etc/yp.conf ajouter domain MonDomaine server Nom /etc/passwd ajouter +:::::: /etc/nsswitch ordre de recherche des infos (hosts, networks etc...) /etc/fstab Avoir une ligne pour monter automatiquement les répertoires principaux des utilisateurs "NIS"
Configuration serveur NIS Vérifier que le fichier /etc/sysconfig/network contient la ligne NISDOMAINE=iut.fr Vérifier que /etc/exports autorise le partage des répertoires principaux des utilisateurs Vérifier que le domaine est bien initialisé (make dans le répertoire /var/yp) Sécurité réseau dans /var/yp/securenets Sécurité et gestion serveur dans /etc/ypserv.conf
securenets Ce fichier permet de décrire la liste des machines autorisées à se joindre au domaine #autorise connexion de localhost host 127.0.0.1 #autorise le sous réseau 192.168.1 255.255.255.0 192.168.1.0
ypserv.conf Ce fichier permet de définir de politique de sécurité sur les maps # Host : Domain : Map : Security * : * : passwd.byname : port * : * : passwd.byuid : port Host indique les machines concernées Domain indique le domaine NIS Map indique la map Security indique le niveau de sécurité none pas de restriction port seul un acces pour les ports inférieurs à 1024 (± root) deny pas d'accès
Changement de mot de passe Comment changer le mot de passe sur le serveur NIS sans recompiler les maps NIS Côté client: commande yppasswd Côté serveur : c'est le démon yppasswdd qui s'occupe de la mise à jour de la map nis.
En guise de conclusion NIS Simple à mettre en oeuvre Securité limitée Perte de vitesse face à des outils plus généraux comme LDAP (OpenLdap sous linux) NFS Très simple à mettre en oeuvre Très bonnes performances Très bonne adéquation avec le monde unix Problèmes de sécurité