[LinuxFocus-icon]
Ev  |  Eri�imd�zeni  |  ��indekiler  |  Arama
Duyumlar | Belgelikler | Ba�lant�lar | LF Nedir
Bu makalenin farkl� dillerde bulundu�u adresler: English  Castellano  Deutsch  Francais  Nederlands  Portugues  Turkce  

convert to palmConvert to GutenPalm
or to PalmDoc

[Frederic]
taraf�ndan Frédéric Raynal
<pappy(at)users.sourceforge.net>

Yazar hakk�nda:
Frédéric RaynalINRIA 'da bilgisayar bilimlerinde final tezini haz�rl�yor. S�k s�k "16 Horse Power" '�n son alb�m�n� (�ok iyi ve g��l�) ve "The for carnation" dinliyor, biraz a��r ama olduk�a iyi.

T�rk�e'ye �eviri:
Ceyhun Elmas <ceyhun.elmas(at)linuxfocus.org>

��erik:

 

Sar� Sayfalar 3: Sunucu Taraf�

[Illustration]

�zet:

Bu yaz�da ad�m ad�m NIS sunucusunun nas�l kuruldu�unu g�rece�iz. Gerekli yaz�l�mlara , yap�land�rma dosyalar�na ve veri taban�n�n nas�l olu�turuldu�una bakaca��z.


 

Introduction

Bir �nceki yaz�da NIS istemcinin nas�l yap�land�r�ld���n� g�rd�k. Bu servis �al��t�r�ld���nda olu�abilecek g�venlik a��klar�ndan bahsettik. Ger�ekten bir g�venlik a���� gerekli mi sorusu sorulabilir. Bence NIS'in geli�tiricileri NIS tasarland���nda LAN ve a� da��l�m�n� ate�duvarlar�yla kapat�yorlard� ve g�venlikten ger�ek anlamda s�zedilmiyordu.

Bu yaz�da sunucu taraf�n�n nas�l yap�land�r�ld���n� g�rece�iz ve NIS'in kullan�m�yla ilgili baz� ipu�lar� verece�iz.

 

NIS ve NYS

NIS'in iki bi�imi bulunuyor, "geleneksel NIS" ve NYS - ancak pek �ok insan her ikisine de NIS diyor. Y�netici i�in sunucu ve istemcinin ayn� yolla yap�land�r�ld���ndan beri her ikisi aras�nda b�y�k bir ay�r�m yoktu. Yeni s�r�m, NYS, "g�lge �ifreler" gibi baz� �zellikleri destekliyor.

Bu yaz�da ypserv'in yeni s�r�m�nden bahsedece�iz. �nerdi�imiz s�r�m g�lge �ifreleri destekledi�inden beri 1.3.2'den sonras�. Di�er bir deyi�le, biz ger�ekten NYS'den bahsedece�iz, "geleneksel NIS" de�il, hernekadar t�m yaz�da NIS s�zc��� kullansak da...

 

NIS sunucu

�ki sunucu var : ypserv ve yps.NIS-HOWTO'nun yazar�na g�re ikisi aras�nda ger�ek bir fark yok, ancak bu yazar yps'den �ok bahsetmiyor, bu nedenle biz yaln�zca ypserv'den bahsedece�iz.

�lk olarak y�kleme i�in gerekli ad�mlar� a��klayaca��z. Bu yaz�da "charly" olarak adland�r�lan konak �zerinde �al��aca��z. NIS alan ad� "bosley" ve k�le sunucular "iron1", "iron2" ve "iron3".

 

Kurulum

�lk ad�m olarak,portmap daemon �al��t���ndan emin olmal�y�z. E?er �al��m�yorsa ba�latmak zorundas�n�z.

Sonra, NIS alan ad�na karar vermelisiniz. Bu DNS'den bir alan de�il ama Sari Sayfalar b�lgesi i�in bir isim olmal�. G�venlik nedenleriyle bu isim NIS sunucusunun isminden farkl� olmal�.

Alan domainname komutu ile isimlendirilir. :-) Bizim �rnerimizde :

root@charly >> /bin/domainname bosley
Bu komut NIS alan ad�n� yaln�zca RAM'de tutar.Kal�c� yapmak i�in a�a��daki sat�r� /etc/sysconfig/network dosyas�na eklemelisiniz:
NISDOMAIN=bosley
Bu birsonraki a��l��ta NIS alan ad�n� otomatik olarak verecektir.

�nce ypserv daemon'u ba�latabiliriz, bunu /etc/ypserv.conf dosyas�n� de�i�tirerek yap�land�rmal�y�z. Bu a�a��daki dizgide bir ASCII dosyas�d�r:

  1. Komutlar: bu sat�rlar #-i�areti ile ba�lar.
  2. Daemon i�in se�enekler: S�z dizimi a�a��da g�r�n�yor.
    option: [yes|no]
    Olas� se�enekler dns, sunucu FONT face= "Courier New, Courier, monospace">hosts-maps dosyas�nda olmayan istemciyi bulmak i�in DNS'e soracakt�r. sunos_kludge, eski ve xfr_check_port sunucu i�in a�a��daki 1024 portu kullanmaya (benimsenmi� de�er evet).
  3. �leri kurallar: Bi�imi:
    host:map:security:mangle[:field]
    Bu kurallar hangi bilginin g�r�lebilece�ine karar verir.
ypserv.conf'un man sayfalar� t�m se�enekleri ve olas�l�klar� �ok anla��l�r bi�imde a��kl�yor.

�imdi sunucuyu ba?latabiliriz:

root@charly >> /etc/rc.d/init.d/ypserv start
A��l��ta sunucunun otomatik olarak ko�mas� i�in rc.d dosyas�n� d�zenlemelisiniz ya da Redaht alt�nda bu komutu �al��t�rmal�s�n�z:
root@charly >> /sbin/chkconfig --level 345 ypserv on
Her�eyin �al��t���n� denetlemek i�in:
root@charly >> /usr/sbin/rpcinfo -u localhost ypserv
program 100004 version 1 ready and waiting
program 100004 version 2 ready and waiting
Ayr�nt�lara girmeden �nce ilk yaz�da ��rendiklerimizi hat�rlamal�y�z. �ki �e�it sunucu var : efendi(master) ve k�le(slave). K�le sunucular yaln�zca efendi sunucunun veritban�n�n bir kopyas�na sahiptir. Bu sunucular istemci taleplerinin kar��lanmas� uzun zaman ald���nda ya da efendi sunucu g��t���nde devreye girerler.Veritaban� yaln�zca efendi taraf�ndan y�netilmelidir. Bu istemciler �zerine kopyalan�r.

�imdi her�ey haz�r ... veritaban� d���nda. �lk olarak bunu olu�turmal�y�z. Olu�turmaktan kas�t,Makefile kullanmakt�r ;-] Makefile bir �nhaz�rl�kt�r ve bundan sonra yaln�zca bir ka� sat�r� de�i�tirmemiz gerekiyor.Makefile /var/yp dizini alt�ndad�r ve a��k bir komuttur. En �nemli sat�r map'lerin tan�mland��� yerdir :

all: passwd group hosts rpc services netid protocols mail shadow
# netgrp publickey
# networks ethers bootparams printcap \
# amd.home auto.master auto.home passwd.adjunct
Benimsenmi� de�ere g�lge �ifreyi elle eklemelisiniz. Bunu yapmak i�in "passwd" ve "shadow" dosyalar�n listesine eklemelisiniz ve de�i�kenin de�erini vermelisiniz MERGE_PASSWD do�ru. MERGE_PASSWD karar verir e�er /etc/passwd ve /etc/shadow dosyalar� birle�mi�se.

Sunucuyu ba�latmadan �nce son ayr�nt�: Yazma haklar�. Haklar� denetlemk i�in iki yol vard�r. Bunlardan biri ypserv'in kendi yolu di�eri de tcp_wrapper. Biz ypserv'in kendi g�venlik y�ntemlerinden bahsedece�iz.

E�er ypserv'in yaln�zca ikili kod dosyas�na sahipseniz -v se�ene�i ypserv 'in derlendi�i yap�land�rma se�eneklerini g�sterecektir. ypserv'in kendi hak denetimi kullanmak i�in "securenets" se�ene�ine gereksinimimiz var.

root@charly >> /usr/sbin/ypserv -v
ypserv - NYS YP Server version 1.3.9 (with securenets)
/var/yp/securenets dosyas� sunucu eri�im haklar�n� denetleyebilece�imiz netmask/network �iftinin say�lar�n� i�erir. Benimsenmi� de�eri:
0.0.0.0          0.0.0.0
Bu d�nyadaki herkes i�in eri�im hakk� sa�lar. Bunu de�i�tirmek zorunday�z. 131.234.223.0 a��ndan sa�lanan her konak ba�lant�s� i�in bunu yazabilirisiniz :
255.255.255.0      131.234.223.0
Bu dosyada yaln�zca IP adreslerine sahip oldu�unuza dikkat edin. Konak isimlerini kullanmak olanakl� de�il.

?imdi NIS-Veritaban�n� ypinit komutuyla olu�turabiliriz. Benimsenmi� de�er taraf�ndan (Makefile i�inde tan�mlan�r) dosyalar� /etc alt�ndan okuyacakt�r ve /var/yp alt�na yazacakt�r. Dosyalar kendi veritaban�m�z i�ine gidecektir ; /etc/passwd, /etc/group, /etc/hosts, /etc/networks, /etc/services, /etc/protocols, /etc/netgroup, /etc/rpc.

-m se�ene�i sunucunuzu karakter verisi olarak ba�latmay� sa�lar (-m efendi sunucu i�indir), -s se�ene�i efendi veritaban�n� k�leye kopyalar (-s k�le sunucu i�in).

Kendi veritaban�m�z� a�a��daki gibi ba�latabiliriz :

root@charly >> /usr/lib/yp/ypinit -m

Bu noktada ,�zerinde NIS ko�acak konaklar�n listesine sahip olmal�y�z.
servers.  localhost NIS sunucunun konak listesi i�indedir.   L�tfen eklemeye devam edin
di�er konaklar�n isimleri, her sat�ra bir adet. 
listeyi <control D>. ile bitiriyorsunuz
        next host to add:  localhost
        next host to add:  iron1
        next host to add:  iron2
        next host to add:  iron3
        next host to add:
NIS sunucular�n mevcut listesi b�yle g�r�n�r:

localhost
iron1
iron2
iron3

Bu do�ru mu?  [y/n: y]  y
Veritaban�n� olu�turmak i�in  bir ka� dakikaya gereksinimimiz var...
Building /var/yp/bosley/ypservers...
Running /var/yp/Makefile...
gmake[1]: Entering directory `/var/yp/bosley'
Updating passwd.byname...
Updating passwd.byuid...
Updating group.byname...
Updating group.bygid...
Updating hosts.byname...
Updating hosts.byaddr...
Updating rpc.byname...
Updating rpc.bynumber...
Updating services.byname...
Updating netid.byname...
Updating protocols.bynumber...
Updating protocols.byname...
Updating mail.aliases...
Updating shadow.byname...
# shadow publickey # networks ethers bootparams printcap \
# amd.home auto.master auto.home passwd.adjunct
gmake[1]: Leaving directory `/var/yp/bosley'

i�te, veritaban� haz�r :). Her k�le sunucuda a�a��daki komutu �al��t�rman�z gerekiyor:
root@iron3 >> /usr/lib/yp/ypinit -s charly
Sistemi test etmek i�in sunuculardan birisini istemci gibi kullan�n ve talepte bulunun :
root@iron3 >> ypcat passwd mulder:x:500:100::/home/mulder:/bin/csh scully:x:501:100::/home/scully:/bin/bash
Ayr�ca g�lge �ifrelerin �al��t���n� da g�rebilirsiniz. �ifrenin olmas� gereken yerlerde "x" var. b�yle olmal� :)
NIS-Sunucunun y�klenmesi
  1. Ba?latma portmap
  2. NIS-Alan ismi tan�mlama
  3. NIS sunucusu �zerinde yap�land�rma dosyalar�n� haz�rlama: /etc/ypserv.conf
  4. ypserv daemon ba�latma
  5. /var/yp/Makefile i�inde map'ler tan�mlama
  6. /var/yp/securenets i�inde NIS sunucu eri�im haklar�n� belirleme
  7. ypinit -mkomutuyla NIS efendi sunucu veritaban�n� olu�turma
  8. ypinit -s <master server>komutuyla NIS k�le sunucu olu�turma
 

NIS veritaban�n�n g�ncellenmesi

Yak�n bir zaman i�inde map'lerden birisi de�i�ebilir, �rne�in yeni bir sunucu ya da kullan�c� eklendi�inde NIS veritaban� g�ncellenmelidir.

Yeni k�le sunucu eklemek i�in ,yeni sunucu �zerinde bu komutu kullanmal�s�n�z :
/usr/lib/yp/ypinit -s charly
ve efendi sunucu �zerinde /var/yp/ypservers dosyas�na yeni sunucuyu eklemelisiniz.

E?er yeni bir kullan�c� eklenirse pek �ok map bundan etkilenir(passwd, shadow, alias, etc ...).

Map de�i�tirildikten sonra /var/yp/ efendi sunucu �zerinde bu dizin alt�nda make komutunu �al��t�rmal�s�n�z. Bu veritaban�n� g�ncelleycek ve yeni veriyi k�le sunuculara da��tacakt�r.(k�llere da��tma i�lemini yppush) kullanarak yapacakt�r.

rpc.ypxfrd program� efendiden kopyalayarak ve k�lede yeniden olu�turarak efendi ve k�le sunucular aras�ndaki i�lemleri h�zland�rabilir. rpc.ypxfrd ypserv ile ayn� zamanda ba�lamal�d�r. E�er �ok b�y�k map'ler s�zkonusu ise bu programa gereksiniminiz olacakt�r.

 

Bir ka� yolg�sterme

Herkes NIS'in g�venli olmad���n� bilir. Bununla birlikte birden fazla kona��n oldu�u bir ortamda �ok kullan��l� bir servistir.Bu nedenle, baz� ileri g�venlik �nlemleri almal�s�n�z.

�ifrelerin bilinebilmesi gibi NIS alan ismi de tahmin edilebilir. Makina isimleri a��k olarak bellidir ve ypwhich komutuyla test edilebilir.

NIS alan ad� farkl� yerlerde g�r�nebilir, �zellikle /var/yp dizini alt�nda ve altdizinlerinde. Bunlar root d���ndaki kimselerce okunamamal�d�r ve NFS yoluyla payla�t�r�lmamal�d�r.

tcp_wrapper kullan�m� bunu k�rmaz ek olarak /var/yp/securenets pormap i�lemlerini denetlemelidir.

NIS sunucusu �zerinde bir defaultroute olmamas� ve istemci ve k�lelere ula�mada statik routing kullan�m� sizin i�in bir kazan�md�r. Bu yolla sunucu bilinmeyen konaklardan gelen talepleri yan�tlamaz.

Ate�duvar� k�s�tlamalar� da NIS sunuculara eri�imi denetleyen etkili bir yoldur.

Bu g�venlik yollar� NIS'in kendi g�venli�ini geli�tirmez ancak �al��ma alan� �evresinde bunu sa�lar. Bu problemlere kar��n NIS �ok de�erli bir ara�t�r.

 

Kaynaklar

  1. NIS-HOWTO : t�m HOWTO'lar gibi �ok iyi
  2. http://www.suse.de/~kukuk/ : NIS ve NIS+ �zerine �al���yor. Sayfas�nda pek �ok soru/cevap bulunuyor.
  3. The Network Administrators' Guide http://www.linuxdoc.org/LDP/nag adresinde bulunabilir.

 

Bu yaz� i�in g�r�� bildiriminde bulunabilirsiniz

Her yaz� kendi g�r�� bildirim sayfas�na sahiptir. Bu sayfaya yorumlar�n�z� yazabilir ve di�er okuyucular�n yorumlar�na bakabilirsiniz.
 talkback page 
G�rsely�re sayfalar�n�n bak�m�, LinuxFocus Edit�rleri taraf�ndan yap�lmaktad�r
© Frédéric Raynal, FDL
LinuxFocus.org
Buray� klikleyerek hatalar� rapor edebilir ya da yorumlar�n�z� LinuxFocus'a g�nderebilirsiniz
 �eviri bilgisi:
fr --> -- : Frédéric Raynal <pappy(at)users.sourceforge.net>
fr --> de: Bernhard Spanyar <bspa(at)gmx.de>
de --> en: Guido Socher (homepage)
en --> en: Lorne Bailey <sherm_pbody(at)yahoo.com>
en --> tr: Ceyhun Elmas <ceyhun.elmas(at)linuxfocus.org>

2001-12-07, generated by lfparser version 2.22