Fw: Instalacao do NIS+ nos clientes linux
Mauricio Brigato
mauricio at bit.fmrp.usp.br
Mon Sep 2 23:27:59 EST 2002
Prezados,
Para facilitar a leitura das instrucoes para instalacao do NIS+
estamos repassando este e-mail.
Mauricio.
=======================================================================
README.txt para clientes linux com NIS+
gordon:/usr/local/nfs/nis+/linux/README.txt
Data da escrita : 23/08/02
Ultima atualizacao: 30/08/02
Instalacao do NIS+ nos clientes linux Red Hat (>= 7.2) e possivelmente
nos clientes Conectiva (7.0). Os testes foram efetuados com sucesso em
maquina com sistema operacional Red Hat 7.2.
=======================================================================
1) Sobre NIS+
=============
NIS+ foi projetado para substituir NIS e e' um servico de nome padrao
para Solaris. NIS+ pode prover suporte limitado para clientes NIS atraves
de um modo compatibilidade YP. NIS+ foi principalmente projetado para
resolver problemas que o NIS nao poderia.
Nao ha' nenhuma relacao entre NIS+ e NIS. Os comandos e toda a estrutura
do NIS+ sao diferentes do NIS. Inclusive, um pouco da sintaxe de comando
em NIS+ e' diferente dos comandos NIS.
2) FASE DE TRANSICAO DO NIS para NIS PLUS (NIS+)
================================================
Esta primeira etapa preve a configuracao de todas as maquinas clientes para
rodarem NIS PLUS (NIS+) no modo compatibilidade, ou seja, o servidor NIS
(Madhatter) continuara' ativo por mais algum tempo, ate' ser desativado
completamente, em paralelo com o servidor NIS+ Gordon. O servidor NIS+ esta'
rodando no modo compatibilidade.
Na fase seguinte, retiraremos o servidor NIS, quando teremos somente o
servidor
NIS+ ativo.
O ideal eh que retiremos o NIS o quanto antes. Portanto, quem puder desabilite
o servico NIS de sua maquina.
O servidor NIS+ (root master server NIS+) e' o Gordon (IP 143.107.223.151).
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Configurando seu Red Hat 7.2 (ou 7.3) e Conectiva para NIS PLUS+
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
3) BACKUP
=========
- Faca um login como root na maquina a ser configurada;
- Faca um backup de todos os arquivos que sofrerao alteracoes, ou seja,
/etc/pam.d/login, /etc/pam.d/system-auth e /etc/nsswitch.conf.
Assim, em caso de problemas, facilmente voce retornara' seu sistema a uma
condicao operacional.
4) Substituicao de arquivos do sistema e instalacao de pacotes
==============================================================
- Copie todos os arquivos montados do diretorio NFS do servidor Gordon
/usr/local/nfs/nis+/linux para um diretorio (ex.:/usr/local/nis+);
- Instale o pacote nis-utils-1.4.1.-0.i386.rpm;
#rpm -iv nis-utils-1.4.1.-0.i386.rpm
- Instale o pacote pam_unix2-1.7-0.i386.rpm;
#rpm -iv pam_unix2-1.7-0.i386.rpm;
- Voce DEVE ter o rpm pam_unix2 instalado!
- Substitua os arquivos "login" e "system-auth" do diretorio /etc/pam.d pelos
do diretorio /usr/local/nis+;
- Substitua o arquivo /etc/nsswitch.conf pelo novo "nsswitch.conf" do
diretorio /usr/local/nis+;
- Coloque o arquivo "nisplus" no diretorio /etc/init.d para iniciar os
servicos "nisplus";
- Altere os privilegios de leitura, gravacao e execucao do arquivo nisplus
para 755 (chmod 755 nisplus);
- Copie o arquivo /usr/local/nfs/nis+/linux/NIS_COLD_START para dentro de
/var/nis;
- Execute nisdefaults (comando) para confirmar que o "principal name" nao esta
autenticado;
- Execute nismatch <algum usuario> passwd.org_dir para certificar que o
nisplus pode obter detalhes
de password de usuarios, incluindo senha criptografada;
- Execute /usr/sbin/ntsysv (ou outro) para ter certeza de que os seguintes
servicos/scripts serao iniciados/nao
(desabilite) na proxima vez que sua maquina for iniciada:
- autofs
- desabilite ipchains
- desabilite iptables
- nisplus
- nscd
- portmap
5) Inicializacao de servicos/daemons
====================================
Apos copiar os arquivos em seus locais, execute a sequencia de comandos abaixo
para iniciar os servicos e daemons no cliente:
- Sincronize a hora do cliente com a hora do servidor NIS+:
# rdate -s gordon
(Posteriormente, utilizaremos servico de tempo (ntp));
- Crie arquivo /etc/defaultdomain com o conteudo bit.fmrp.usp.br. ;
- Defina o dominio com o comando abaixo, inclusive o ponto (.) .
# domainname bit.fmrp.usp.br.
- Torne o dominio permanente:
edite (com vi ou emacs) /etc/sysconfig/network e insira:
NISDOMAIN=bit.fmrp.usp.br.
HOSTNAME="nome.da.sua.maquina"
Seu hostname nao pode estar completamente qualificado, ou seja,
hostname.bit.fmrp.usp.br. ,
devendo ficar, aqui, apenas "nome.da.sua.maquina".
- Crie script de startup para definir o dominio do NIS+ (domainname) para
bit.fmrp.usp.br.
#echo domainname bit.fmrp.usp.br. > /etc/rc.d/init.d/domainname
#chmod 755 /etc/rc.d/init.d/domainname
#ln -s /etc/rc.d/init.d/domainname /etc/rc.d.rc5.d/S11domainname
/etc/rc.d/init.d/domainname
- Inicialize portmap se nao estiver rodando e assegure que ele sera iniciado
no "reboot"
#mv /etc/rc.d/rc5.d/K13portmap /etc/rc.d/rc5.d/S13portmap
* Inicializando o cliente NIS+ *
--------------------------------
- Insira o IP 143.107.223.151 no /etc/hosts;
- Execute:
#nisinit -c -H 143.107.223.151
* Inicializando o daemon nscd *
-------------------------------
- Execute o daemon nscd (name service cache daemon ou daemon de cache para
servico de nome):
#nscd
* Inicializando credenciais NIS+ para o cliente *
-------------------------------------------------
- Execute /usr/lib/nis/nisclient -i -d bit.fmrp.usp.br. -h 143.107.223.151
Esta script foi escrita para distribuicao SuSE, mas, apesar de haver algumas
mensagens
de "warnings" sobre arquivos nao encontrados, como rc.config, killproc e
startproc,
parece que elas podem sem seguramente ignoradas.
* Atualizando informacoes de runlevel para servicos do sistema *
----------------------------------------------------------------
- Execute chkconfig --level 345 nisplus on
- Execute chkconfig --level 2345 iptables off
- Execute chkconfig --level 2345 ipchains off
* Atualizando o Mapa Mestre para o Automounter *
------------------------------------------------
- Execute echo "/home nisplus:auto_home rsize=8192,wsize=8192,timeo=14,intr"
>> /etc/auto.master
Entao, pare e inicie o "autofs":
#/etc/init.d/autofs stop
#/etc/init.d/autofs start
- Certifique-se de que autofs sera' iniciado no reboot:
#mv /etc/rc.d/rc5.d/K28autofs /etc/rc.d/rc5.d/S28autofs
- Obtenha o pid do processo keyserv:
#ps -ef | grep keyserv
Mate o processo keyserv:
#kill -9 <keyserv.pid>
- Inicie keyserv e assegure-se de que ele sera iniciado imediatamente apos
portmap no "reboot":
#keyserv
#echo keyserv > /etc/rc.d/init.d/keyserv
#chmod 755 /etc/rc.d/init.d/keyserv
#ln -s /etc/rc.d/init.d/keyserv /etc/rc.d/rc5.d/S14keyserv
#mv /etc/rc.d/rc5.d/S14nfslock /etc/rc.d/rc5.d/S15nfslock
* Inicializando o utilitario nis_cachemgr para manter o arquivo cache
compartilhado (ttl) *
-------------------------------------------------------------------------------------------
- Execute /usr/sbin/nis_cachemgr -i
* Decriptografando e armazenando a chave secreta com keyserv *
--------------------------------------------------------------
- Execute (ainda como root):
#rm -rf /etc/.rootkey
#keylogin -r (responsavel pela autenticacao no NIS+)
Password: (pergunte ao administrador)
(resultado da operacao)
Wrote secret key into /etc/.rootkey
(Se voce obtiver um "core dump" aqui, verifique o arquivos substituidos do
dentro do sub-diretorio /etc/pam.d)
- Certifique-se de que voce colocou o "hostname" dentro do arquivo /etc/hosts:
143.107.223.x clientbit.bit.fmrp.usp.br. clientbit localhost.localdomain
localhost
- CUIDADO: Se voce nao fizer isto, o sistema ira' travar no "boot"!
- Reinicie o sistema ...
#reboot
- Boa sorte.
6) Autenticacao, Senhas, KEYLOGIN e CHKEY
=========================================
NIS+ aumenta seguranca ao usar um metodo de autenticacao adicional.
Usuarios ainda terao suas SENHAS de LOGIN padrao (LOGIN PASSWORD)
que lhes darao acesso ao sistema. Eles tambem terao uma SECURE RPC PASSWORD
ou NETWORK PASSWORD.
Esta nova senha e' necessaria para efetivamente acessar NIS+, e e' o que
prove a nova seguranca. Usualmente, uma LOGIN PASSWORD de um usuario e uma
NETWORK PASSWORD serao a MESMA, e o usuario automaticamente tera' acesso a
toda funcionalidade NIS+ quando ele fize um "login" com sua LOGIN PASSWORD.
Entretanto, se elas forem diferentes, um usuario tera' que efetuar um KEYLOGIN
e digitar sua senha de rede (NETWORK PASSWORD) para ter acesso ao NIS+.
Portanto, RECOMENDO que igualem as senhas dos sistemas linux e Solaris e do
NIS+.
Como Mudar uma senha de um usuario NIS+
=======================================
A senha para um usuario normal pode ser alterada por ele executando o comando
nispasswd:
#nispasswd
Isto atualiza o passwd na tabela passwd e tambem atualiza a tabela de
credenciais.
Autenticacao no NIS+
====================
Voce pode usar o comando niscat para determinar se esta AUTENTICADO ou nao:
#niscat passwd.org_dir
E tambem nisdefaults:
#nisdefaults
KEYLOGIN e CHKEY
================
Se voce pode ver senhas criptografadas, entao voce esta' autenticado. Se voce
ve
*NP* no lugar de senhas criptografadas, entao voce (usuario) nao tem permissao
para ler
a coluna de passwd. Neste caso, voce poderia executar 'keylogin' para tentar
reautenticar
o usuario. Se funcionar, o usuario poderia necessitar executar 'chkey -p' para
sincronizar
suas SENHAS de LOGIN e de REDE.
Qualquer duvida/problema favor falar com Mauricio.
==========================================================================
by Mauricio Brigato
System Administrator
BIT - Bioinformatic Team
Fundacao Hemocentro de Ribeirao Preto
Faculdade de Medicina de Ribeirao Preto
USP - Universidade de Sao Paulo
e-mail: mauricio at bit.fmrp.usp.br
http://bit.fmrp.usp.br
==========================================================================
---------- Forwarded Message -----------
From: "Mauricio Brigato" <mauricio at bit.fmrp.usp.br>
To: "lista do bit" <bit at gordon.fmrp.usp.br>
Sent: Fri, 30 Aug 2002 15:52:41 -0300
Subject: Instalacao do NIS+ nos clientes linux
Prezados desenvolvedores linux:
Todos deverao instalar os pacotes e proceder
`as configuracoes detalhadas no arquivo LEIAME.txt,
localizada no sub-diretorio NFS gordon:/usr/local/nfs/nis+/linux.
Eu instalei e configurei o NIS+ para sistema operacional linux Red Hat
7.2 com sucesso. O Philber instalou e configurou-o no Red Hat 7.3, tambem
com sucesso.
Tanto a maquina quanto o usuario linux autenticam no NIS+ root master server
(Gordon). Estou resolvendo o problema da alteracao de senha de rede pelo
usuario comum. Mas, voces ja' podem configurar o NIS+ em seus sistemas.
Solicito ao Marco e ao Israel que me informem (e-mail) se houver alguma
diferenca em relacao `as instrucoes que defini no arquivo LEIAME.txt para
que eu possa atualiza-lo, tendo em vista que somente voces possuem o
sistema Conectiva instalado, sendo que todas as instrucoes sao para o Red Hat
7.2 e 7.3.
Informo que nem todos os servidores e clientes estao no NIS+. Eles
estarao entrando gradativamente no NIS+.
Estou `a disposicao para eventuais duvidas e esclarecimentos
que se fizerem necessarios.
Boa sorte a todos!
Atenciosamente,
Mauricio.
---------------
Forwarded Message
---------------
From: "Mauricio Brigato" <mauricio at bit.fmrp.usp.br>
To: "Roberto Focosi Junior" <(philber at pegasus.fmrp.usp.br,rfocosi at ig.com.br)>
Sent: Fri, 23 Aug 2002 17:52:21 -0300
Subject: Instalacao do NIS+ no cliente linux
Philber,
Conforme ja lhe falei, como projeto-piloto NIS+-client,
monte o diretorio NFS abaixo em seu sistema numa area qualquer,
por exemplo, /tmp/nfs:
gordon:/usr/local/nfs/nis+/linux
Este subdiretorio possui todos os arquivos (inclusive LEIAME.txt)
necessarios `a instalacao e configuracao do NIS+ cliente para
sistemas linux Red Hat 7.x.
Siga as instrucoes do arquivo README.txt.
Em caso de duvidas, estarei `a disposicao.
Como elegi voce para o teste piloto, seria
interessante que voce o fizesse o quanto antes,
pois assim poderei liberar para todos os clientes linux
fazerem suas instalacoes e autenticacoes.
Aguardo seu retorno.
Atenciosamente,
-------------------------------------------------------------
Mauricio Brigato
Analista de Sistemas - Suporte BIT - BioInformatic Team
Fundação Hemocentro de Ribeirão Preto
Fone: +55 16 3963-9300 Fax: +55 16 3963-9309
E-mail: mauricio at bit.fmrp.usp.br
Homepage: http://bit.fmrp.usp.br/
-------------------------------------------------------------
------- End of Forwarded Message -------
-------------------------------------------------------------
Mauricio Brigato
System Administrator - BIT - BioInformatic Team
Fundação Hemocentro de Ribeirão Preto
Phone: +55 16 3963-9300 Fax: +55 16 3963-9309
E-mail: mauricio at bit.fmrp.usp.br
Homepage: http://bit.fmrp.usp.br/
-------------------------------------------------------------
mauricio at bit.fmrp.usp.br
------- End of Forwarded Message -------
-------------------------------------------------------------
Mauricio Brigato
System Administrator - BIT - BioInformatic Team
Fundação Hemocentro de Ribeirão Preto
Phone: +55 16 3963-9300 Fax: +55 16 3963-9309
E-mail: mauricio at bit.fmrp.usp.br
Homepage: http://bit.fmrp.usp.br/
-------------------------------------------------------------
mauricio at bit.fmrp.usp.br
More information about the linux-nisplus
mailing list