局域网内的NIS服务器器搭建管理

NIS(网络信息服务),用来集中账号信息管理。类似LDAP一样的功能哦,一般可以作为LAN内的用户认证服务器吧!

NIS服务器提供的数据:

/etc/passwd           提供用户账号UID GID 用户主目录位置 shell等

/etc/group               提供GID以及组成员

/etc/hosts                本地的解析

/etc/services              服务端口

/etc/protocols              基础的协议数据包

/etc/rpc                         每种RPC服务器所对应的程序号码

/var/yp/ypservers          NIS所提供的数据库

架构

NIS Server 在整个网域之中,一般比较小型的网域常见的方法。万一,如果网域里面有几乎100 部以上的主机,这个时候,只有一部NIS Server 可能无法提供快速的数据查寻与响应的状态!这时需要 NIS Sever的 master 与 slave 的架构。

slave藉由将来自 master主机的 数据加以更新到自己的数据库当中,并且提供与master 相同的查寻功能!这个 NIS 的 master 与 slave 架构则完全相同。NIS Server 的 master 先将自己的账号、密码相关档案制作成为数据库档案(databasefile);NIS Server 的 master 将自己的数据库档案传送到 slave上面;NIS Server 的 slave 接收来自『信任的 NIS Server master主机』的数据后,更新自己的数据库,使自己的数据库与 master 主机的数据同步;网域当中的所有 NIS Client 查寻 NIS Server 时,会找寻『最先回应的那一部NIS 主机的数据库内容』。

所以,我们可以知道的是,NIS 的 master 与 slave 架构主要在分散查寻 NIS时候的主机负荷,因此,除非您的网域真的很大,否则是没有必要架设 NIS Slave与 master 的架构的啦!底下我们没有架设 master 与 slave 。只有一部主要的master 而已。

NIF使用数据库文件系统来记录数据。在大的局域网中可以使用Master/Slave架构哦!

基于上面的流程,client在查询账号时,会首先在本地进行账号查询,进而在slave和master上查询所需要的用户登录数据。因此在实际应用中,应该将本地的普通用户主动拿掉。

2. NFS server端的设置                                   

软件所需:yp-tools;ypind;ypserv;rpcbind

2.1设置NIS服务的域名

#vim /etc/sysconfig/network

NISDOMAIN=xxbandy                                    设置NIS域 YPSERV_ARGS="-p 1011"                                定义固定端口

2.2 主要配置文件

 #vim /etc/ypserv.conf

dns: no                                            不使用dns(用/etc/hosts) files: 30                                            默认会有30个数据库呗读入内存 xfr_check_port: yes

[主机名或网段]     [NIS域名]   [可用数据库名称]  [安全限制]

{安全限制,none表示无,port表示仅能使用小于1024端口;deny表示拒绝}

*                          : *       : shadow.byname    : port *                          : *       : passwd.adjunct.byname : port

2.3设置主机名与IP的对应

#vim /etc/hosts

192.168.0.143   www.xxbandy.com                            定义NIS服务器的主机

192.168.0.25     client.xxbandy.com

注意:主机名和NIS的主机名最好一致

2.4启动与查勘相关的服务

#vim  /etc/sysconfig/yppasswdd

YPPASSWDD_ARGS="--port 1012"                                定义端口

#/etc/init.d/ypserv restart                                   (注意服务的开机自动启动啊#chkconfig ypserv/yppasswdd on)

#/etc/init.d/yppasswdd restart 

#rpcinfo -p localhost                                               查看当前端口和服务(必要时设置防火墙)

2.5创建用户并且建立数据库

#useradd -u 1001 user1

#useradd -u 1001 user2

#echo westos | passwd --stdin user1(2)

#/var/lib64/yp/ypinit -m                                                将生成的用户密码转换成数据库文件

At this point, we have to construct a list of the hosts which will run NIS servers.  instractor is in the list of NIS server hosts.  Please continue to add the names for the other hosts, one per line.  When you are done with the list, type a <control D>.         next host to add:  instractor         next host to add:  control+d继续 The current list of NIS servers looks like this: instractor                              自动检测的NIS服务 Is this correct?  [y/n: y]  y We need a few minutes to build the databases... Building /var/yp/xxbandy/ypservers...

  gethostbyname(): Success

Running /var/yp/Makefile... gmake[1]: Entering directory `/var/yp/xxbandy'

instractor has been set up as a NIS master server. Now you can run ypinit -s instractor on all slave server

至此,你就可以使用NIS服务器了!

如果鉴于安全机制,可以使用防火墙自己设置哦!

客户端可以使用setup进行设置NIS服务!

如果没有卡主,直接运行成功了。

在server端

#tail -f /var/log/messages                 可以查看下客户端的链接情况

查看下载客户端都做了什么动作:

[root@desktop ~]# cat /etc/sysconfig/network NISDOMAIN=xxbandy                                        增加了一个NIS域

[root@desktop ~]# cat /etc/yp.conf

 domain xxbandy server 192.168.0.143                    增加了NIS服务器的信息

[root@desktop ~]# vim /etc/nsswitch.conf 

passwd:     files nis                                                      用户文件都启用了nis shadow:     files nis group:      files nis hosts:      files nis dns

NIS client端的验证功能:

yptest,验证数据库  ypwhich 检查数据库数量   ypcat读取数据库内容

用户参数修改yppasswd 修改密码   

登录测试,发现没有权限和用户主目录:

[root@desktop ~]# su - user2 su: warning: cannot change directory to /home/user2: No such file or directory -bash-4.1$ ls ls: cannot open directory .: Permission denied

发现用户登录没有家目录,并且没有权限!!!!

NIS+NFS实例

为了解决这一问题,我们可以使用nfs远程挂载一个用户家目录,即结合NFS和NIS

SERVER端:

[root@instractor ~]# mkdir /nishome

[root@instractor ~]# useradd -u 2001 -d /nishome/user1 user1

[root@instractor ~]# useradd -u 2002 -d /nishome/user2 user2

[root@instractor ~]# echo westos | passwd --stdin user1

[root@instractor ~]# echo westos | passwd --stdin user2

[root@instractor ~]# vim /etc/sysconfig/network

NISDOMAIN=xxbandy                                                

[root@instractor ~]# nisdomainname xxbandy

[root@instractor ~]# /etc/init.d/ypserv restart;/etc/init.d/yppasswdd restart

[root@instractor ~]# /usr/lib64/yp/ypinit -m

注意:上述四个命令有依赖性关系,因此不能打乱

NFS的设置:

 [root@instractor ~]#vim /etc/exports 

/nishome   192.168.0.0/24(rw,no_root_squash)

 [root@instractor ~]#/etc/init.d/nfs restart                                        注意:必须先启动rpcbind

 [root@instractor ~]#showmount -e localhost      发现nfs的共享设备

client端挂载操作:

(前提是NIS认证已经设置了)

[root@desktop home]# mkdir /nishome 

[root@desktop home]# mount 192.168.0.143:/nishome /nishome

[root@desktop home]# su - user1 [user1@desktop ~]$ ls

现在就可以登录用户家目录,并且可以查看!

使用instroctor主机就可以管理客户机账号,多方便的啊,不过要注意,尽量不要再客户端有相同的账号什么的账户信息!

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏玄魂工作室

CTF实战20 渗透测试-后渗透攻击

一般情况下Linux的本地提权要用nc反弹出来,因为Linux下提升权限后得到的是交互式shell,需反弹才能进行下一步命令的执行

30640
来自专栏安恒信息

安全部门监测发现恶意后门程序新变种

国家网络安全部门通过对互联网的监测发现,近期出现一种恶意后门程序变种Backdoor_Parite.B. 该变种是一个远程控制程...

33270
来自专栏游戏杂谈

手工编译Flex SDK 3.4的多国语言包

默认的Flex sdk 3.4只提供了日文(ja_JP)、英文语言包(en_US),如图所示:

11720
来自专栏blackpiglet

查杀 libudev.so 和 XMR 挖矿程序记录

这两天使用的公网服务器被入侵了,而且感染了不止一种病毒:一种是 libudev.so,是 DDoS 的客户端,现象就是不停的向外网发包,也就是超目标发起 DDo...

22250
来自专栏信安之路

windows 应急流程及实战演练

当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵...

69840
来自专栏walterlv - 吕毅的博客

安装 Windows 需要知道的 256 个问题

2018-02-22 12:57

7110
来自专栏FreeBuf

绿盟科技威胁分析报告:那些年,那些 Apache Struts2 的漏洞

每次 Apache Struts2 漏洞爆发都在互联网上掀起腥风血雨,我们整理了近年来 Apache Struts2 高风险漏洞的信息供大家参考。针对此次 Ap...

320100
来自专栏FreeBuf

攻击者侵入系统后如何提升账户权限:提权技术详细分析

提权 通常而言,恶意攻击者侵入到某个系统最初往往只能获取到一个普通权限的账户。但这无疑给进一步的渗透带来了阻碍,因此攻击者会开始尝试通过各种手段来提升自己的账户...

36030
来自专栏blackpiglet

Discourse 搭建

Discourse 是由 Stack Overflow 创始人之一的 Jeff Atwood 主导的开源论坛项目,使用时能感受到和 Stack Overflow...

38620
来自专栏丿King科技-老李博客

服务器SSH暴力破解的解读与防御

刚才一看 IP地址为43.254.168.235 这位兄弟在用暴力破解跑字典攻击服务器 所以想起来,发一篇这样的文章,也是提醒下广大站长。

36130

扫码关注云+社区

领取腾讯云代金券