Este artigo está disponível em: English Deutsch Francais Nederlands Portugues Russian Turkce

por Frédéric Raynal
<pappy(at)users.sourceforge.net>

Sobre o autor:
Frederic Raynal prepara uma tese em informática no INRIA. Ele gosta também ler (tanto Tolkien como Balzac) e ouvir musica (de Mozart a Philip Glass e de Led Zeppelin a Massive Attack passando por Björk e Boris Vian, mas evitando cautelosamente o rap, a techno e outros ruídos ;-)

Traduzido para Português por:
Patrick Carpalhoso <carpalhoso(at)mail.telepac.pt>

Conteúdo:

Yellow Pages 2 : Do lado do cliente

Abstrato:

O artigo anterior era uma introdução aos conceitos girando a volta das yellow pages (YPs). Neste artigos iramos ver como configurar o cliente, um exemplo pratico de funcionamento do cliente e uma apresentação das diferentes ferramentas que vem juntas. Por fim, veremos um pouco o NIS+

Introdução

O lado cliente dos serviços ligados as yellow pages é baseado essencialmente sobre o demónio ypbind : ele emite os pedidos para o servidor das YPs. Em primeiro veremos ao pormenor o seu funcionamento e explicaremos como configura-lo. Depois veremos também como funciona o protocolo NIS. E na ultima parte deste artigo mostrara as diferentes ferramentas presentes no lado do cliente das YPs (as yp-tools).

Configurar o seu cliente NIS

A única coisa a fazer para por a funcionar um cliente NIS numa maquina é de executar o demónio ypbind.

ypbind

ypbind estabelece uma ligação entre o cliente e o servidor NIS (to bind significa, entre outra coisa, ligar ou atar em inglês). Essa ligação é visível na directoria /var/yp/binding¹ pelo o ficheiro convencional chamado domainname.version. A única versão actualmente suportada é a versão 2. Então se o nome do meu domínio NIS é "messie", o ficheiro sera messie.2

O programa ypbind pertence ao super-utilizador (i.e. root), ele deve de estar então no /sbin, ou no /usr/sbin.

Quando é executado, ypbind vai buscar as suas instruç�es no ficheiro /etc/yp.conf. As entradas nesse ficheiro são :

domain nisdomain server hostname : o cliente dirige-se ao hostname para o domínio nisdomain ;
domain nisdomain broadcast : o cliente faz um broadcast sobre a rede local para o que diz respeito ao domínio nisdomain ;
ypserver hostname : o cliente dirige-se directamente ao hostname para o domínio local. Nessa configuração o endereço IP do servidor tem de estar no ficheiro /etc/hosts.

Se esse ficheiro de configuração esta incorrecto ou não existe, ypbind broadcast² sobre toda a rede local a pesquisa de um servidor NIS para o domínio local.

Algumas operaç�es básicas permitam de verificar que ypbind esta correctamente configurado.

criar o seu ficheiro /etc/yp.conf ;
verificar que portmap funciona (ps aux | grep portmap). Se não for o caso, executa-lo. Esse programa associa as ports TCP/IP (ou UDP/IP) do computador aos programas. A inicializaç�es de um servidor RPC, este assinala ao portmap as portas que ele escuta e os números dos programas que ele é susceptível de executar. Quando um cliente faz um pedido RPC para um numero de programa, ele contacta em primeiro portmap para saber a porta para a qual os pacotes RPC devem ser enviados. Como o descreve o funcionamento anterior, é então necessário que portmap seja inicializado antes ypbind ;
criar o directório /var/yp ;
executar ypbind ;

utilizar o comando rpcinfo para se assegurar que ypbind funciona correctamente :

"rpc -p localhost" deveria dar :

program	vers	proto	port
100000	2	tcp	111	portmapper
100000	2	udp	111	portmapper
100007	2	tcp	637	ypbind
100007	2	udp	639	ypbind

program	vers	proto	port
100000	2	tcp	111	portmapper
100000	2	udp	111	portmapper
100007	2	udp	758	ypbind
100007	1	udp	758	ypbind
100007	2	tcp	761	ypbind
100007	1	tcp	761	ypbind

ou então

"rpcinfo -u localhost ypbind" tem de mostrar :

program 100007 version 2 ready and waiting
ou

program 100007 version 1 ready and waiting

program 100007 version 2 ready and waiting

em função da versão de ypbind. A mensagem importante é aquela sobre a versão 2.

Agora que ypbind funciona correctamente, a vossa maquina passou a cliente NIS. Você já pode utiliza-lo para efectuar pedidos a vosso servidor. Por exemplo, "ypcat passwd.byname" renvio todas as palavras-chave, ordenado por nome de utilizador presente na map correspondente.

Ultimos detalhes

Alguns ficheiros devem ainda ser ligeiramente alterados para que as YPs funcionam de maneira eficaz :

/etc/host.conf : adicionar "nis" para a pesquisa dos hosts ;
/etc/passwd : é necessário adicionar a linha
+::::::
Isso autoriza todas as pessoas presentes na map do servidor a conectar-se sobre o cliente. Podemos afinar essas autorizaç�es com a ajuda dos símbolos + e - para autorizar ou proibir o acesso ao cliente. Por exemplo, para proibir o utilizador guest, é necessário adicionar a linha
-guest::::::
Os campos que não desejamos para modificar devem ficar vazios. Todavia podemos sobrecargar :
+moi::::::/bin/ksh
O utilizador "moi" utilizara ksh em vez do seu shell habitual (definido no /etc/passwd do servidor NIS).
Ultimo ponto importante, NIS suporta perfeitamente a utilização das netgroups³
+@sysadmins:::::::
autorizara as conex�es dos membros do netgroup sysadmin.
/etc/group (e/ou /etc/shadow para algumas vers�es da libc) : como para /etc/passwd, é necessário adicionar
+:
Podemos igualmente brincar com as autorizaç�es sobre os grupos com a ajuda de + et -.

/etc/nsswitch.conf : o Network Services Switch permita de definir a ordem na qual as informaç�es devem ser pesquisadas, da mesma maneira que /etc/host.conf. As escolhem são entrem :

nisplus	pesquisar via NIS+ (i.e. NIS versão 3, uma versão segura de NIS)
nis	pesquisa via NIS (NIS version 2, alias as YPs
dns	pesquisa via um DNS (Domain Name Server)
files	pesquisar nos ficheiros locais
db	pesquisar na base /var/db

Após cada opção de pesquisa, podemos utilizar um comando da forma
`[' ( `!'? STATUS `=' ACTION )+ `]'
com :

STATUS => "success" ou "notfound" ou "unavail" ou "tryagain"
ACTION => "return" ou "continue"

Em função da libc utilizada, as pesquisas não são todas as mesmas. Por exemplo, as shadow passwords não são geradas com a libc5. Os serviços suportados sobre uma maquina utilizam uma libraria /lib/libnss_SERVICE.so.X Para mais informação sobre esse serviço, ver a pagina man de nsswitch.conf

O que diz respeito as shadow passwords via NIS, o seu suporte só é possível com a glibc2.x. É então necessário pensar a especificá-lo no ficheiro nsswitch.conf

O protocolo NIS

Agora que o nosso cliente NIS esta completamente operacional, vamos ver como ele faz para recuperar as informaç�es que ele necessita.

Quando um cliente necessita uma informação numa map das YPs, ele começa por pesquisar no servidor YP. Para o encontrar, ele abre uma conexão TCP para o ypbind local. O cliente informe-o do domínio (falamos aqui do domínio NIS) onde ele pertence ypbind broadcast via a função RPC YPPROC_DOMAIN_NOACK. Os servidores NIS que servem esse domínio respondem com um ACK, os outros fazem de orelhas surdas.

ypbind reenvia ao cliente o resultado da pesquisa (falhanço ou sucesso) e, se ele a tiver, o endereço do primeiro servidor YP que lhe respondeu. O cliente pode agora fazer o pedido a esse servidor, composto do domínio, da map e da chave.

Esse protocolo é relativamente lente porque ele utiliza as conex�es RCP. Ainda mais, ele utiliza também muitas sockets. Para evitar essa situação, ypbind não espera que o cliente o contacta para encontrar os servidores. Na realidade ele guarda no ficheiro /var/yp/binding/. uma lista de servidor para cada domínio e verifica regularmente que eles funcionam correctamente.

As yp-tools

Esta secção apresenta muito rapidamente algumas ferramentas do package yp-tools. Para saber mais, cada uma das instruç�es disp�em de uma página man muita detalhada ;-P

domainname : reenvia (ou fixa segunda a opção) o nome do domínio NIS ;
ypcat : mostra os valores de todas as chaves de uma map NIS ;
ypmatch : mostra os valores de uma ou varias chaves de uma map NIS ;
ypset : permite de definir a que servidor NIS ypbind tem de se conectar ;
ypwhich : reenvia o nome do servidor NIS. Com o argumento -m seguido do nome do map, reenvia o nome da map master.
yppoll : pega numa map em argumento e reenvia o nome do domínio e o servidor master.

Algumas palavras sobre NIS+

Ao longo deste artigo, em nenhum momento abordamos uma variante de NIS, a saber NIS+. Numa rede, NIS causa enormes problemas em termo de segurança. Por exemplo, se o servidor NIS esta mal protegido e que uma pessoa mal intencionada descobre :

o nome do domínio NIS
o endereço IP de um cliente NIS

só lhe resta então fazer passar-se por a maquina com o IP do cliente e enviar um ypcat passwd para recuperar de uma forma descansada o ficheiro das palavras-chave :-(

NIS+ ofereça uma camada suplementar de segurança integrando um protocolo de autentificação baseado sobre uma troca de chaves e suportando a numeração dos dados.

Os dados são armazenados em tabelas, que são por elas colocadas em directorias diferentes. Cada coluna de uma tabela disp�em de um qualificativo definindo, por exemplo, se os dados são "case sensitive", em formato binário, etc ...

A estrutura descrita permita simplesmente gerir os direitos de acceso sobre as directorias e as tabelas, mas também sobre as colunas das tabelas. Isso implica que podemos proibir o acesso a tabelas das palavras-chaves a todos os utilizadores que não são autenticados no servidor NIS+, mas autorizar a todos os utilizadores certificados a aceder a toda a tabela das palavras-chaves, excepto os campos "passwd". Só o proprietário do campo "passwd" podera vê-lo.

Existem 4 niveis de direitos :

Nobody (ninguém) : o utilizador não é autenticado ;
Owner (proprietário) : o utilizador é autenticado e ele é o proprietario ;
Group (groupe) : o utilizador é autenticado e ele esta no grupo para esse objecto ;
World (mondo) : o utilizador é autenticado mas ele não é nem proprietatio, nem no grupo para esse objecto.

Nessa configuração, root é um utilizador como os outros ... enfim, quase ;-) Se ele não tiver as permiss�es adequadas, ele não pode mais ver as palavras-chaves dos outros utilizadores. Ele não poderá mais se autentificar como um outro utilizador ... mas, ele poderá sempre fazer descansadamente um su :)

Os dados que transitam pela a rede não serão cryptados, a exepção das palavras-chaves : nenhuma palavra-chave transita em claro sobre a rede.

NIS+ é uma ferramenta potente ... mas complicado a implementar. Como Thorsten Kuduk (ele trabalha sobre NIS, NIS+, NIS-HOWTO ... enfim, uma pessoa que sabe do que se trata ;-) escreve :
"A escolhe emtre NIS e NIS+ é fácil de fazer : utiliza NIS quando não tem necessidade de segurança importante. NIS+ é bem mas problemático a administrar (particularmente do lado do servidor)"

Conclusão

Agora sabemos como inserir uma nova maquina numa rede existente e tendo um servidor NIS. Veremos, no próximo episódio, como configurar o servidor e o seu funcionamento.

Footnotes

... var/yp/binding¹: As localizaç�es dos ficheiros são raramente especificadas porque elas varient de uma distribuição a outra. Por exemplo, para ter um demónio ypbind inicializado ao arranque : /etc/init.d/nis, /sbin/init.d/ypclient, /etc/rc.d/init.d/ypbind, /etc/rc.local

... broadcast²: isso significa que a mensagem é emitida sobre todo a sub-rede sem destinatário especifico com um endereço do tipo X.Y.0.0

... netgroup³: O ficheiro /etc/netgroup define os grupos compostos dos triplets (host, user, domain) servem para verificar as permiss�es quando se utiliza os comandos "a distancia" (remote logins, shells ou mount por exemplo). Ver a página man para mais pormenor.

Forma de respostas para este artigo

Todo artigo tem sua própria página de respostas. Nesta página você pode enviar um comentário ou ver os comentários de outros leitores:

página de respostas

Páginas Web mantidas pelo time de Editores LinuxFocus
© Frédéric Raynal, FDL
LinuxFocus.org
Clique aqui para reportar uma falha ou para enviar um comentário para LinuxFocus

Informação sobre tradução:

fr --> -- : Frédéric Raynal <pappy(at)users.sourceforge.net>

fr --> pt: Patrick Carpalhoso <carpalhoso(at)mail.telepac.pt>

2001-10-20, generated by lfparser version 2.18