NFS+NIS+LTSP - přihlašování na server

21. 4. 2005 | Zdeněk Štěpánek | Bezpečnost | 23598×

Ze serveru potřebujeme na stanici dostat dvě věci: uživatelův domácí adresář (/home) a seznam uživatelů s hesly. K prvnímu nám poslouží NFS (Network File System) a k druhému NIS (Network Information Service). Dříve se používalo označení YP (Yellow Pages) a dodnes je to patrné z názvu programů. Pro tento účel by šly použít i modernější technologie jako je LDAP, PAM atd. My se ale budeme zabývat NISem.

NFS

Co je NFS, snad není potřeba sáhodlouze popisovat, takže jen ve zkratce. Je to unixový síťový filesystém, která podporuje uživatelská práva ve formátu UGO (User Group Other), tedy to, co známe z Linuxu. Na rozdíl od většiny ostatních protokolů (FTP, SMB, ...) je to bezestavový protokol. Neexistuje nic jako navázané spojení, přihlašování se apod. Klient pouze pošle na server požadavek, např. "vylistuj ./", a server mu odpoví. Pokud je klient nečinný, vůbec nevadí, pokud server odpojíme nebo restartujeme, klient si toho prakticky ani nevšimne. Běda však, pokud pracujeme na stanici s /home přes NFS a server se odpojí - systém doslova zamrzne pod rukama. Po nahození serveru se vše rozjede bez problémů.

NIS

NIS je klient/server systém pro zpřístupnění dat ze serveru na klienty. Alespoň taková je obecná definice. Postupně se ale vyprofiloval do systému, který zpřístupňuje data související s přihlašováním, hesly apod. Konkrétně jsou to tyto soubory (přesněji mapy):

Jak je vidět, řada souborů se exportuje vícekrát; rozdíl je v interním řazení položek.

Cílem NIS serveru je exportovat uživatelská jména a hesla ze serveru na stanice tak, aby se na stanici mohl přihlásit uživatel, který tam nemá lokální účet - obdoba přihlašování do domény u Windows.

Nastavení NFS na serveru:

NFS vyžaduje podporu v jádře. Distribuční jádra ji snad mají všechny a pokud ne, tak ji stačí dokompilovat. Jsou tam volby "NIS server" a "NIS klient" a vedle toho ještě zapnutí podpory NFS v3. Verze 3 je zastaralá už teď, takže určitě zapnout. V posledních jádrech nebo v -mm, -ac apod. by už snad měl být NFS v4. Dále je potřeba několik balíčků do systému. V textu budu popisovat situaci, kde klient je slackware-current a server je Red Hat 9.0. Je potřeba nainstalovat služby "portmap" a "nfs".

Nastavení, které se bude exportovat (neboli sdílet) je v /etc/exports:

Syntaxe je následující:

• /home
  Adresář, který se bude exportovat.
• 192.168.5.143/255.255.255.255
  Kdo bude mít přístup.
• rw
  read/write
• no_root_squash
  roota nebude přemapovávat na bezpečné UID/GID.
• sync
  Bude pracovat synchronně.

NFS nemá žádné vlastní bezpečnostní mechanismy (vyjma squashování UID/GID), jako je jméno a heslo. Adresář může připojit každý, kdo se nachází v rozsahu povolených IP adres. Pokud to chcete povolit pro celou síť, asi použijete 192.0.0.0/255.0.0.0.

Squashování UID/GID znamená, že pokud se na adresář snaží přistoupit user s UID 100, tak na NFS serveru bude mít UID 65435. UID se překlopí ke konci rozsahu. Stejně to funguje i pro GID. Lze nastavit i konkrétní UID číslo, na které se budou všichni klienti přemapovávat. Tento bezpečnostní mechanismus lze využít při vytváření public adresáře, ale pro nás je to nepoužitelné. NFS rozlišuje mezi squashováním obyčejných uživatelů (all_squash) a roota (no_root_squash). Squashování pro uživatele je ve výchozím nastavení vypnuté a pro roota zapnuté. Já osobně jsem squashování pro roota vypnul, abych se jako lokální root na stanici dostal do všech složek na serveru, nicméně to není nezbytně nutné a samozřejmě to představuje jisté bezpečnostní riziko. Pokud by se k adresáři připojil někdo, kdo má na své stanici roota, získá tak rootovský přístup ke všem home adresářům.

Nyní můžeme NFS server pokusně spustit:

service portmap start
Starting portmapper:        [  OK  ]

service nfs start
Starting NFS services:      [  OK  ]
Starting NFS quotas:        [  OK  ]
Starting NFS daemon:        [  OK  ]
Starting NFS mountd:        [  OK  ]

Pokud vše dobře dopadne, nastavte automatické spouštění služeb portmap a nfs při bootu.

Nastavení NFS u klienta

Potřebujeme balíčky "nfs-utils" a "portmap".

Připojování NFS adresáře se nastavuje klasicky v /etc/fstab:

Syntaxe je následující:

• 192.168.1.2
  IP serveru.
• /home
  Adresář, který připojujeme.
• /home
  Kam ho připojíme na stanici.
• nfs
  Typ filesystému.
• defaults
  Parametry pro mount a NFS klienta.
• 0 0
  Klasické major a minor.

U klienta si lze pohrát s celou řadou parametrů. Vedle standardního "defaults" mohou mít zásadní vliv na rychlost spojení, nicméně nelze dát žádný obecný návod - musíte prohledat diskuze a zkoušet. How-to doporučuje parametry "hard,intr".

Zkusíme připojit /home na stanici. Na pokus se hodí buď testovací stroj, kde není žádný uživatel mimo roota, nebo připojovat do jiného adresáře, např /serverhome. Měly by být vidět všechny adresáře uvnitř i se správnými UID a GID; prozatím ale pouze jako čísla, protože na stanici nejsou uživatelé s těmito UID a GID.

/etc/rc.d/rc.portmap start
Starting RPC portmapper:  /sbin/rpc.portmap

/etc/rc.d/rc.nfsd start
Starting NFS services:
  /usr/sbin/exportfs -r
  /usr/sbin/rpc.nfsd 8
  /usr/sbin/rpc.mountd
  /usr/sbin/rpc.lockd
  /usr/sbin/rpc.statd

mount /home

Pokud vše dobře dopadne, nastavte automatické spouštění služeb portmap a nfs při bootu. Adresář /home se bude připojovat sám.

Více o NFS lze najít v Linux NFS-HOWTO.

Příště

V druhém díle bude práce dokončena nastavením NIS na serveru a u klienta a instalací LSTP.

Nástroje: Tisk bez diskuse