【申請加精】來自UC的《Solaris 10紅寶書》系列在線課程

luren04

23.1 DNS概述   
域名服務(wù)（DNS）是一種分布式數(shù)據(jù)庫，它提供規(guī)范機(jī)器名（如host1.paulwatters.com）到數(shù)字IP地址（如202.97.33.56）的映射。

在Internet的早期，網(wǎng)絡(luò)中的每臺主機(jī)都有一個(gè)稱為hosts.txt的文件，它包含了各種已知的主機(jī)名和地址之間的映射。當(dāng)時(shí)，為了維護(hù)這一文件，系統(tǒng)管理員需要定期上載一個(gè)網(wǎng)絡(luò)新增主機(jī)的列表。

但隨著Internet的發(fā)展，這種以文本數(shù)據(jù)庫維護(hù)的形式就變得不太實(shí)際了。解決方案就是采用DNS服務(wù)器系統(tǒng)。與主機(jī)表不一樣，DNS服務(wù)器不依賴一個(gè)大型映射文件，DNS服務(wù)器只包含有限的信息，因?yàn)樗鼈冎�道到哪里能找到它們想知道的域的�?xì)節(jié)。如果DNS服務(wù)器得到對某個(gè)主機(jī)的請求，而該請求的主機(jī)又并不在其緩沖內(nèi)，那么DNS服務(wù)器只是知道了這件事然后去詢問知道答案的“某計(jì)算機(jī)”。這臺計(jì)算機(jī)是一種授權(quán)服務(wù)器，負(fù)責(zé)維護(hù)DNS信息。如果某臺服務(wù)器在被詢問到其域內(nèi)的某個(gè)地址時(shí)它可以明確地指出該地址存在，那么這臺服務(wù)器就是所謂的授權(quán)服務(wù)器。

如果接觸的服務(wù)器并不包含有關(guān)的域名信息，該服務(wù)器就會將請求傳遞給接觸鏈路上更高級別的授權(quán)服務(wù)器，這樣就形成了一系列查詢，直到最后找到需要的信息。實(shí)際上，這意味著請求可以被任意數(shù)量的服務(wù)器處理，在Internet上這種來來回回的行為每時(shí)每刻都在發(fā)生。最早發(fā)出請求的服務(wù)器將緩沖信息以滿足未來的需求而無須向授權(quán)服務(wù)器再發(fā)請求。DNS服務(wù)器的管理員為這些信息設(shè)置了超時(shí)限制，以避免緩沖中充滿了名字請求的舊數(shù)據(jù)的情況。

DNS轉(zhuǎn)換不會花費(fèi)太多的時(shí)間，但它確實(shí)增加了你的請求到達(dá)遠(yuǎn)端計(jì)算機(jī)的時(shí)間。你可以自己做個(gè)快速測試（雖然很簡單）：首先用域名，比如www.microsoft.com來訪問對應(yīng)的Web站點(diǎn)，然后用IP地址198.105.232.4再試驗(yàn)一下。如果你要這么做，則請務(wù)必關(guān)閉你的瀏覽器然后再重新打開以初始化新的會話；否則你不過是載入了頁面的緩沖版本（記住裝載頁面的延遲原因可能來自許多因素，所以對結(jié)果要有所保留）。

DNS服務(wù)的最常用軟件是Berkeley Internet Name Domain，也就是BIND，它源自U.C. Berkeley，但現(xiàn)在則由Internet Software Consortium負(fù)責(zé)。BIND提供了解析器和名字服務(wù)器軟件，解析器做實(shí)際的查詢工作而名字服務(wù)器則提供響應(yīng)。BIND將名字服務(wù)器分成三個(gè)部分：主服務(wù)器包含了有關(guān)一個(gè)域的全部數(shù)據(jù)；次服務(wù)器則有效地從主服務(wù)器拷貝DNS數(shù)據(jù)庫；唯緩沖服務(wù)器通過緩沖查詢來建立例外的DNS數(shù)據(jù)庫。只有主服務(wù)器和次服務(wù)器才被當(dāng)做涉及特定域的授權(quán)服務(wù)器。

要理解DNS服務(wù)器怎么操作，就有必要理解域名層次。在域名層次的頂部是根域。這一域上的信息駐留在從整個(gè)Internet中所選的一些根服務(wù)器上。在根域下面是頂級域，也就是國家代碼或機(jī)構(gòu)代碼。國家代碼的例子有SG（新加坡）和CA（加拿大）等。而機(jī)構(gòu)代碼則包括眾所周知的COM（商業(yè)機(jī)構(gòu)）、EDU（教育機(jī)關(guān)）、GOV（政府機(jī)構(gòu)）和NET（網(wǎng)絡(luò)機(jī)構(gòu)）等（注意在美國以外的頂級域通常是國家編碼，但是基于美國的地點(diǎn)通常省略國家編碼）。在頂級域下面是次級域（whitehouse.gov、microsoft.com、inforamp.net等諸如此類），然后是第3級域，依次類推。

如果你想在中國建立域名，那么你必須聯(lián)系網(wǎng)絡(luò)信息中心CNNIC。在它同意你的請求以前，你首先要保證你想要的名字還沒被使用，其次要保證目前至少有2臺服務(wù)器可以提供新域名的服務(wù)。當(dāng)CNNIC最后同意請求時(shí)，它將承認(rèn)你的次級域，并將指向該名字的指針放到頂級域所在的服務(wù)器內(nèi)。例如，如果你請求域名mybiz.com，那么你必須首先讓Internet上的2臺名字服務(wù)器提供信息服務(wù)（你的ISP的服務(wù)器能做到這一點(diǎn)），然后NIC將把mybiz 放到COM域服務(wù)器系統(tǒng)內(nèi)，其指針將指向那2臺特定服務(wù)器。

一旦設(shè)置了適當(dāng)?shù)闹饔�，你就可以增加所希望的任何�?shù)量的子域。你可能想要命名你的計(jì)算機(jī)為sales.mybiz.com，而另一臺則被叫做techsupport.mybiz.com等。這些工作可就不需要CNNIC的同意了，而且，事實(shí)上CNNIC也不管這事。但是，如果你想要任何人都能實(shí)地訪問你的子域，那么你最好將有關(guān)子域的信息盡快地放到上級域內(nèi)。在特定的情況下，關(guān)于sales.mybiz.com和techsupport.mybiz.com的IP信息必須放在mybiz.com服務(wù)器上。這一層次中的每臺服務(wù)器都包含了一個(gè)DNS數(shù)據(jù)庫，其入口被稱為NS記錄，每條這樣的記錄包含了域或子域的名字，此外還加上作為域或者子域服務(wù)器的主機(jī)的名字。在我們的例子中，我們將告訴根服務(wù)器它能在我們的DNS服務(wù)器上找到mybiz.com及其全部子域的信息，而這些信息則位于details.mybiz.com這臺計(jì)算機(jī)上。

現(xiàn)在我們來看看這一切是如何運(yùn)作的。某所大學(xué)的某人在指向你的最新子域的網(wǎng)頁上看見了一個(gè)鏈接techsupport.mybiz.com。然后她單擊該鏈接，于是她的本地DNS服務(wù)器（很可能位于這所大學(xué)的某臺計(jì)算機(jī)上）開始工作。首先，服務(wù)器搜索它自己的DNS數(shù)據(jù)庫以轉(zhuǎn)換信息，但是，因?yàn)樗�以前從來沒遇見過techsupport.mybiz.com，所以服務(wù)器沒有該域存在的記錄而且不能解析IP地址。不過，它的DNS數(shù)據(jù)庫包含了一個(gè)根服務(wù)器的地址（所有的DNS服務(wù)器必須設(shè)置該索引）。于是本地DNS服務(wù)器就到Internet上查詢該根服務(wù)器。根服務(wù)器在其DNS 數(shù)據(jù)庫里查找COM頂級域，然后它用NS記錄回復(fù)該大學(xué)的DNS服務(wù)器，告訴它可以從details.mybiz.com處查詢到mybiz.com的信息。大學(xué)的服務(wù)器就這樣做了，而且從details.mybiz.com那里知道了techsupport.mybiz.com的對應(yīng)IP地址。在這一過程中最根本的階段是，大學(xué)的DNS服務(wù)器緩沖了該NS記錄，結(jié)果下次該大學(xué)的任何人在需要涉及mybiz.com、details.mybiz.com、ortechsupport.mybiz.com等對應(yīng)的IP地址轉(zhuǎn)換時(shí)，相關(guān)信息在本地即可獲得。

正如其他的Internet協(xié)議一樣，DNS由幾個(gè)Internet的RFC規(guī)范（最初是RFC 882、883和973）。不過要理解DNS服務(wù)器的工作原理最好的標(biāo)準(zhǔn)還是RFC 1035。你可以在Internet上的好幾個(gè)地方找到RFC 1035，比如在http://www.crynwr.com/crynwr/rfc1035/就有一個(gè)不錯(cuò)的HTML版本。正如你可能想到的那樣，RFC具有相當(dāng)?shù)募夹g(shù)性，你不大可能會對超出DNS服務(wù)器一般操作的細(xì)節(jié)感興趣。但是如果你想做個(gè)服務(wù)器管理員，那么就記住RFC吧。

luren04

23.2 DNS客戶端的設(shè)置   
在Solaris環(huán)境下，DNS客戶端程序的配置非常容易，它只需要幾個(gè)簡單的步驟就可以完成。

（1）除了對/etc/inet/hosts文件或NIS/NIS+的主機(jī)名映射或者主機(jī)名（hostnames）表文件進(jìn)行檢查以外，還必須配置命名服務(wù)開關(guān)文件（/etc/nsswitch.conf），指定域名解析服務(wù)向DNS進(jìn)行查詢。為了確保DNS的正常工作，在/etc/nsswitch.conf文件中必須包括下行的內(nèi)容：

hosts: files dns

這行的意思是如果需要命名服務(wù)，首先查找/etc/inet/hosts文件，如果找不到，就到DNS中去查找。

（2）我們需要將主機(jī)的本地域名輸入到/etc/defaultdomain文件中。例如，主機(jī)www.chinaunix.net的/etc/defaultdomain文件應(yīng)有如下的輸入項(xiàng)：

chinaunix.net

（3）我們需要在/etc/resolv.conf文件中包含本地域名、本地基本DNS服務(wù)器的IP地址，以及輔助的DNS服務(wù)器的IP地址。這意味著本地DNS服務(wù)器出現(xiàn)故障，我們?nèi)钥梢酝ㄟ^輔助的NDS服務(wù)器來提供最新的外部主機(jī)信息，而不必依賴/etc/hosts文件中的數(shù)據(jù)來解析本地地址。例如，/etc/resolv.conf文件的內(nèi)容可能是這樣：

domain chinaunix.net

nameserver 202.106.0.20

nameserver 53.58.34.2

它表明本地域是chinaunix.net，本地域有兩臺基本DNS服務(wù)器。其中，202.106.0.20為主DNS服務(wù)器，53.58.34.2為輔助DNS服務(wù)器。

（4）下面我們可以啟動(dòng)DNS客戶端軟件了。

#svcadm enable svc:/network/dns/client

（5）使用nslookup命令來檢查DNS客戶端配置是否正確。

#nslookup

> www.chinaunix.net

Server: ns4.bta.net.cn

Address: 202.106.0.20




Non-authoritative answer:

Name: www.chinaunix.net

Address: 222.36.44.6

有這樣的反饋結(jié)果說明DNS客戶端設(shè)置成功。

luren04

23.3 DNS服務(wù)器的設(shè)置   
DNS服務(wù)器是為了網(wǎng)絡(luò)上的主機(jī)提供域名解析的服務(wù)的服務(wù)器。Solaris 10雖然自帶了BIND 9.2.4版本，但它并不是Sun公司的產(chǎn)品，Internet Software Consortium負(fù)責(zé)BIND軟件的更新，我們不妨到www.isc.org網(wǎng)站下載最新版本的BIND軟件，因?yàn)樾碌陌姹镜能浖�可以防止某些漏洞�?br />
下面我們來介紹如何配置DNS服務(wù)器。如果你使用Solaris 10系統(tǒng)自帶的軟件，請從第7步看起。

（1）為了下載最新的BIND軟件，我們到http://www.isc.org/products/BIND/ 下載，本例子下載的是bind-9.3.1.tar.gz。

（2）將下載的軟件放到系統(tǒng)中的某個(gè)目錄下，本例中放在/home/bind目錄下。

#cd/home/bind

（3）進(jìn)入軟件存放目錄，對軟件解壓縮到/usr/local/src。

#tar -xzfz bind-9.3.1.tar.gz -C /usr/local/src

（4）進(jìn)入安裝目錄。

# cd bind-9.3.1

（5）編譯BIND軟件。

# ./configure

# make

# make install

（6）生成的可執(zhí)行文件位于/usr/local/sbin目錄下。最重要的可執(zhí)行文件為named和rndc。

（7）在/usr/sbin目錄中創(chuàng)建可執(zhí)行文件的軟鏈接。

# ln -s /usr/local/sbin/rndc /usr/sbin/rndc

# ln -s /usr/local/sbin/named /usr/sbin/named

（8）在BIND9命名服務(wù)控制工具rndc和BIND8的控制工具ndc不兼容，rndc有一個(gè)控制文件，就是rndc.conf文件，其作用就是指定管理服務(wù)器和使用的加密算法。它是由rndc-confgen命令所產(chǎn)生的。下面就是創(chuàng)建rndc.conf配置文件的步驟：

# /usr/local/sbin/rndc-confgen > /etc/rndc.conf

# cat /etc/rndc.conf

輸出為：

# Start of rndc.conf

key "rndc-key" {

algorithm hmac-md5;

secret "y9xvvfQjdWv9f/Fo7wquBg==";

};



options {

default-key "rndc-key";

default-server 127.0.0.1;

default-port 953;

};

# End of rndc.conf



# Use with the following in named.conf, adjusting the allow list as needed:

# key "rndc-key" {

# algorithm hmac-md5;

# secret "y9xvvfQjdWv9f/Fo7wquBg==";

# };

#

# controls {

# inet 127.0.0.1 port 953

# allow { 127.0.0.1; } keys { "rndc-key"; };

# };

# End of named.conf

（9）創(chuàng)建rndc.key文件。將rndc.conf文件中注釋部分拷貝生成如下文件：

# vi /etc/rndc.key

key "rndc-key" {

algorithm hmac-md5;

secret "y9xvvfQjdWv9f/Fo7wquBg==";

};




controls {

inet 127.0.0.1 port 953

allow { 127.0.0.1; } keys { "rndc-key"; };

};

檢查rndc是否正常工作：

#/usr/local/sbin/named -g

Jan 11 11:56:45.075 starting BIND 9.2.3 -g

Jan 11 11:56:45.076 using 1 CPU

Jan 11 11:56:45.079 loading configuration from '/etc/named.conf'

......

#/usr/local/sbin/rndc status

（10）編輯named.conf配置文件。

# vi /etc/named.conf

第一段的內(nèi)容如下：

// generated by named-bootconf.pl

options {

directory "/var/named";

/*

* If there is a firewall between you and nameservers you want

* to talk to, you might need to uncomment the query-source

* directive below. Previous versions of BIND always asked

* questions using port 53, but BIND 8.1 uses an unprivileged

* port by default.

*/

// query-source address * port 53;

};

先讓我們了解這個(gè)文件上面用來做注解的符號是“//”，而不是一般Shell script的“#”；另外，“/*”與“*/”之間則注解一整段文字。同時(shí)，每一個(gè)完整的設(shè)定都以“ ；”結(jié)尾。

上面的部分是在這個(gè)文件開頭的options設(shè)定的，首先用directory指定了named的資源記錄（RR - Resource Record文件目錄所在位置為：“/var/named”。也就是說，它會到這個(gè)目錄下面尋找DNS記錄文件）。所以，我們在后面部分所指定的文件，就無須使用絕對路徑了，但它們一定要放在這個(gè)目錄下面。

那一段被注釋文字，如果你仔細(xì)閱讀一下，它大致意思是如果你要設(shè)定的 DNS 伺服器和client之間隔著防火墻的話，要將“//query-source address * port 53;”前面的注解符號“//”拿掉（當(dāng)然，也必須要設(shè)定好你的火墻）。不過，這只對早期的版本有影響，而在bind 8.1之后則無須擔(dān)心這個(gè)設(shè)定。

接下來再讓我們看下一段句子：

//

// a caching only nameserver config

//

zone "." IN {

type hint;

file "named.root";

};

通過這幾行語句，我們?yōu)閚amed定義了DNS系統(tǒng)中的根區(qū)域“.”（root zone）的設(shè)定，同時(shí)它是一個(gè)internet(IN)的區(qū)域類別。這里還指定了root zone的服務(wù)器種類（type）為“hint”（也只有這個(gè)zone會使用這樣的種類）。最后，用file指定這個(gè)區(qū)域記錄文件為：“named.root”，也就是“/var/named/named.root”文件。

在root zone后面，你應(yīng)該還會看到如下這兩段：

zone "localhost" IN {

type master;

file "localhost.zone";

allow-update { none; };

};




zone "0.0.127.in-addr.arpa" IN {




type master;

file "named.local";

allow-update { none; };

};

這里是定義出關(guān)于本機(jī)名稱的DNS解釋：第一個(gè)zone是localhost的正解zone，其服務(wù)器種類是master，記錄檔名稱是localhost.zone（在/var/named目錄下面），但這個(gè)zone不允許客戶主機(jī)（或服務(wù)器）自行更新DNS的記錄。而第二個(gè)zone則是本機(jī)區(qū)域的反向解析zone。

再看下面的兩段，這兩段是duanfenglei.com域的正向和反向解析。

zone "duanfenglei.com" IN { //新加duanfenglei.com的域

type master;

file "duanfenglei.com.zone";

allow-update { none; };

};




zone "9.168.192.in-addr.arpa" IN { //新加域的反向解析

type master;

file "named.192.168.9";

allow-update { none; };

};

最后一行是bind 9.x版本的新功能，用來進(jìn)行區(qū)域轉(zhuǎn)移或DNS更新所用的加密處理。

include "/etc/rndc.key";

（11）創(chuàng)建/var/named目錄。

# mkdir /var/named

# cd /var/named

（12）匿名登錄到ftp站點(diǎn)FTP.RS.INTERNIC.NET，獲取/domain目錄下的named.root文件，將該文件置于/var/named目錄下。

（13）創(chuàng)建localhost.zone文件。

# vi /var/named/localhost.zone

$TTL 86400

$ORIGIN localhost.

@ 1D IN SOA @ root (

42 ; serial (d. adams)

3H ; refresh

15M ; retry

1W ; expiry

1D ) ; minimum




1D IN NS @

1D IN A 127.0.0.1

（14）創(chuàng)建named.local文件。

# vi named.local

$TTL 86400

@ IN SOA localhost. root.localhost. (

2005022700 ; Serial

28800 ; Refresh

14400 ; Retry

3600000 ; Expire

86400 ) ; Minimum

IN NS localhost.




1 IN PTR localhost.




[root@Linux etc]# mkdir /var/named

//進(jìn)入/var/named

[root@Linux etc]# cd /var/named

//建立localhost.zone文件

[root@Linux named]#vi localhost.zone

$TTL 86400

$ORIGIN localhost.

@ 1D IN SOA @ root (

42 ; serial (d. adams)

3H ; refresh

15M ; retry

1W ; expiry

1D ) ; minimum




1D IN NS @

1D IN A 127.0.0.1




//建立named.local文件

[root@Linux named]#vi named.local

$TTL 86400

@ IN SOA localhost. root.localhost. (

1997022700 ; Serial

28800 ; Refresh

14400 ; Retry

3600000 61.177.252 ; Expire

86400 ) ; Minimum

IN NS localhost.




1 IN PTR localhost.

（15）創(chuàng)建duanfenglei.com.zone文件。

# vi duanfenglei.zone

$TTL 1D

@ IN SOA duanfenglei.com. root.duanfenglei.com. (




1053891162

3H

15M

1W

1D )




IN NS duanfenglei.com.

IN MX 5 duanfenglei.com.

www IN A 192.168.9.9

（16）創(chuàng)建named.192.168.9文件。

# vi named.192.168.9

$TTL 86400

@ IN SOA duanfenglei.com. root.duanfenglei.com.(

20031001;

7200;

3600;

43200;

86400);

@ IN NS duanfenglei.com.

9 IN PTR dns.duanfenglei.com.

（17）在Solaris 10操作系統(tǒng)中啟動(dòng)DNS服務(wù)。

#svcadm enable /network/dns/server

查看：

# svcs -l /network/dns/server

fmri svc:/network/dns/server:default

name Internet domain name server (DNS)

enabled true

state online

next_state none

restarter svc:/system/svc/restarter:default

contract_id 25

dependency require_all/none svc:/system/filesystem/minimal (online)

dependency require_all/none file://localhost/etc/named.conf (online)

dependency require_any/error svc:/network/loopback (online)

dependency optional_all/error svc:/network/physical (online)

（18）測試DNS反向解析是否成功。

# host 192.168.9.9

9.9.168.192.in-addr.arpa domain name pointer dns.duanfenglei.com.

（19）測試DNS解析是否成功。

# nslookup

> www.duanfenglei.com

Server: 192.168.9.9

Address: 192.168.9.9#53




Name: www.duanfenglei.com

Address: 192.168.9.9

>

出現(xiàn)上面的提示，說明DNS服務(wù)已經(jīng)啟動(dòng)成功。

luren04

第24章 NIS+服務(wù)   
在第23章中，我們介紹了域名服務(wù)。與域名服務(wù)類似的網(wǎng)絡(luò)信息服務(wù)（NIS）是Sun公司自己開發(fā)的，這章我們介紹的就是NIS服務(wù)的改進(jìn)版本NIS+。

NIS+是由一個(gè)集中的知識庫組成的，知識庫包括關(guān)于主機(jī)、網(wǎng)絡(luò)、服務(wù)及本地局域網(wǎng)協(xié)議等的信息。這些信息被物理地存儲在一組映射中，這些映射用來取代通常保存在服務(wù)器/etc目錄下的網(wǎng)絡(luò)配置文件。NIS網(wǎng)絡(luò)上所有映射的集合被稱為命名空間。

luren04

24.1 NIS基本概念   
NIS+是Solaris的一種網(wǎng)絡(luò)信息服務(wù)，它的基本目標(biāo)是實(shí)現(xiàn)各種用戶、主機(jī)、網(wǎng)絡(luò)、服務(wù)和協(xié)議的管理。NIS+并沒有取代DNS的功能，它的主機(jī)尋址和識別仍需要通過DNS來實(shí)現(xiàn)。

NIS+提供的網(wǎng)絡(luò)功能要比DNS多：NIS+的命名空間可以實(shí)現(xiàn)共享網(wǎng)絡(luò)信息的集中存儲，從而對大型網(wǎng)絡(luò)實(shí)行更有效的管理。

NIS的實(shí)現(xiàn)主要是圍繞著映射的思想：映射通常是一個(gè)由兩列數(shù)據(jù)組成的數(shù)據(jù)庫，其中一列是主鍵，我們可以用它來提取相關(guān)數(shù)據(jù)。這種關(guān)聯(lián)的特點(diǎn)使得對于組、郵件、口令及以太網(wǎng)信息的存儲和提取在一些小型網(wǎng)絡(luò)環(huán)境下可以變得很快。但是，對于一些大型網(wǎng)絡(luò)來講，這些信息的管理將變得非常困難。相比之下，NIS+的信息存儲采用的是一種表的形式，這些表是由系統(tǒng)定義的，它們存儲著諸如服務(wù)器地址、時(shí)區(qū)和網(wǎng)絡(luò)信息服務(wù)等信息。

24.1.1 NIS+ 域的介紹
下面我們來了解一個(gè)使用NIS+的實(shí)例。在如圖24-1所示的例子中，chinaunix公司有北京和上海兩個(gè)分公司，整個(gè)公司的網(wǎng)絡(luò)由三個(gè)C類網(wǎng)組成。為了支持DNS功能，我們首先在公司總部設(shè)置一個(gè)全公司范圍內(nèi)的DNS服務(wù)器：ns.chinaunix.net；與此同時(shí)，在北京和上海兩個(gè)分公司內(nèi)也分別設(shè)置兩個(gè)DNS服務(wù)器：ns.bj.chinaunix.net和ns.sh. chinaunix.net。

圖24-1 DNS使用示例

現(xiàn)在，我們要說明的是NIS+域，卻舉了個(gè)DNS域的例子。不過，NIS+域確實(shí)與DNS域很相像。ChinaUNIX公司的NIS+域完全可以像圖24-2所示的那樣一一對應(yīng)到DNS配置上，但它們在命名方式上存在一些明顯的區(qū)別：作為慣例，DNS通常采用小寫字母命名，并且不以句點(diǎn)結(jié)尾；而NIS+域的每一個(gè)部分均以大寫字母開始，并以句點(diǎn)結(jié)尾。

圖24-2 NIS域使用示例

需要說明的是，DNS的二級域chinaunix.net在NIS+網(wǎng)絡(luò)中為“根域”，而三級域bj.chinaunix.net和sh.chinaunix.net在NIS+網(wǎng)絡(luò)中被稱為“非根域”。這里的每一個(gè)域都有一個(gè)相關(guān)的NIS+服務(wù)器，它們可以采用現(xiàn)有的DNS服務(wù)器來承擔(dān)。當(dāng)然，在實(shí)際的工作中，像ChinaUNIX這樣的公司NIS+網(wǎng)絡(luò)，通常每個(gè)域要有兩個(gè)服務(wù)器，即一個(gè)主服務(wù)器和至少一個(gè)復(fù)制服務(wù)器。

除了域和服務(wù)器之外，NIS+還可以滿足客戶機(jī)的需要，它的每臺客戶機(jī)都與特定的服務(wù)器和域相關(guān)聯(lián)。例如，在北京分公司的某臺客戶機(jī)（Test.Bj.Chinaunix.Net.）將作為Bj.Chinaunix.Net.域的一部分，由NIS+服務(wù)器Master. Bj.Chinaunix.Net.來提供服務(wù)。圖24-3展示了這個(gè)結(jié)構(gòu)。

現(xiàn)在，大家知道了NIS+域到底是怎么回事了。其實(shí)“域”只是命名空間（Namespace）所涉及的各種組件的一種。那么，什么是命名空間呢？

圖24-3 NIS使每臺客戶機(jī)都與特定的服務(wù)器和域相關(guān)聯(lián)

luren04

24.1.2 命名空間的介紹
命名空間就是信息存儲組織結(jié)構(gòu)。

命名空間的結(jié)構(gòu)像目錄，圖24-4是命名空間的結(jié)構(gòu)與目錄結(jié)構(gòu)的對比圖。


圖24-4 命名空間的結(jié)構(gòu)與目錄結(jié)構(gòu)的對比圖

可以看出組對象（Group object）和表對象（Table object）非常接近目錄中的子目錄。但是，命名空間和目錄還有以下的不同：

 盡管都有目錄（NIS+有目錄對象），但命名空間有表和組，而沒有文件。

 NIS+命名空間的管理只能由NIS+命令或Solaris管理控制臺（SMC）的圖形界面來管理，而不能用標(biāo)準(zhǔn)的UNIX命令來管理。

 UNIX文件系統(tǒng)的組成部分之間用“/”來分割，比如/usr/bin/src，但NIS+命名空間的組成部分之間用“.”來分割，比如doc.com等。

 在UNIX文件系統(tǒng)中，“根目錄”在目錄的左邊，比如/usr/src/files1，而在NIS+命名空間中，“根”在表示格式的右邊，比如sales.doc.com。

NIS+命名空間組件完整命名由以下幾部分組成：

 域（domain）；

 目錄對象（Directory Object）；

 表對象（Table Object）；

 組對象（Group Object）；

 NIS+委托者（NIS+ Principal）。

在圖24-5中，我們可以清楚地看到命名空間的組成結(jié)構(gòu)和組件的完整命名。

圖24-5 命名空間的組成結(jié)構(gòu)和組件完整命名

從圖24-5中得出，帶有*_dir的都應(yīng)該是目錄對象；而org_dir目錄中包含用于存儲網(wǎng)絡(luò)中用戶和系統(tǒng)有關(guān)信息的NIS+表對象；在groups_dir目錄中存儲關(guān)于域的NIS+組的信息。NIS+委托者是存儲在NIS+命名空間的用戶或系統(tǒng)，我們將在“NIS+的安全管理”中介紹。

圖24-5中命名空間結(jié)構(gòu)的另一種表示形式如圖24-6所示。

圖24-6 命名空間結(jié)構(gòu)的另一種表示形式

在org_dir中的表提供許多管理網(wǎng)絡(luò)需要的功能。盡管可以創(chuàng)建自己的表，但是使用org_dir中的表可以進(jìn)行大多數(shù)標(biāo)準(zhǔn)的NIS+表的管理。在表24-1中我們列出標(biāo)準(zhǔn)的NIS+管理表，并簡要描述了每個(gè)表的內(nèi)容。

表24-1 NIS org_dir下的表

表 名
描 述

aliases
關(guān)于域中郵件別名的信息

Auto_home
域中自動(dòng)加載的主目錄位置

Auto_master
自動(dòng)加載master映射

bootparams
域中每個(gè)無盤客戶的根、交換和復(fù)制分區(qū)的位置

cred
擁有對域中信息或?qū)ο笤L問權(quán)限的委托者的NIS +憑證

ethers
域中系統(tǒng)的以太網(wǎng)地址

group
域中每個(gè)UNIX組的組密碼、組ID和成員列表。注意該組表是UNIX組，不要和groups_ dir目錄中的NIS+組混淆

hosts
域中每個(gè)系統(tǒng)的網(wǎng)絡(luò)地址和主機(jī)名

netgroup
域中系統(tǒng)和用戶可能屬于的網(wǎng)絡(luò)組

netmasks
域中的網(wǎng)絡(luò)及其網(wǎng)絡(luò)掩碼

networks
域中的網(wǎng)絡(luò)及其規(guī)范的名字

passwd
域中每個(gè)用戶的密碼信息

protocols
域中使用的IP協(xié)議列表

RPC
域中可用的RPC服務(wù)器的RPC程序數(shù)

services
域中IP服務(wù)使用的名字及其端口號

timezone
域的時(shí)區(qū)


24.1.3 NIS+ 的安全管理
NIS+設(shè)計(jì)為保護(hù)其目錄和表中的信息不受非授權(quán)的訪問。例如，在NIS+域的目錄中，一個(gè)授權(quán)的用戶可以創(chuàng)建一個(gè)表，于是就可以限制部分人對該表的訪問。

和UNIX的目錄管理一樣，NIS+也同時(shí)以兩種方式控制對服務(wù)器、目錄和表的訪問：

 使用身份驗(yàn)證來驗(yàn)證NIS+的系統(tǒng)或用戶標(biāo)識。

 使用授權(quán)訪問權(quán)限來控制存儲在NIS+中的信息訪問。

除了上面介紹的身份驗(yàn)證和授權(quán)訪問權(quán)限外，NIS+服務(wù)器還有三種不同的安全級別，如表24-2所示。

表24-2 NIS+的安全級別

安全級別
描 述

0
完全不檢查委托者的憑證。允許任何客戶執(zhí)行任何操作。級別0設(shè)計(jì)為測試和設(shè)置初始值

1
檢查委托者的憑證并接受任何身份驗(yàn)證。由于一些憑證容易偽造，在網(wǎng)絡(luò)中不可信的服務(wù)器可能訪問的站點(diǎn)不要使用該級別

2
檢查委托者的憑證并且只接受DES身份驗(yàn)證。第2級是當(dāng)前提供的最高安全級，也是分配給NIS+服務(wù)器的默認(rèn)級別


1．NIS+身份驗(yàn)證
由NIS+委托者提交到NIS+服務(wù)器的請求。NIS+委托者可以是用戶或者工作站。身份驗(yàn)證是一個(gè)進(jìn)程，通過檢查委托者的憑證，來鑒別提交請求到NIS+服務(wù)器的委托者。這些憑證是基于NIS+域中cred表中加密的驗(yàn)證信息。

身份驗(yàn)證的目標(biāo)是獲得委托者的名字，這樣可以查找和驗(yàn)證在名字空間中的信息訪問權(quán)限。NIS+委托者和NIS+服務(wù)器之間的所有交互作用都經(jīng)過身份驗(yàn)證。

身份驗(yàn)證的好處是保護(hù)NIS+信息不被不可信的客戶訪問，它為NIS+服務(wù)器提供了更靈活和安全的管理。

委托者有兩種不同類型的憑證：LOCAL和DES。LOCAL憑證由NIS+委托者的UID組成。NIS+服務(wù)器使用LOCAL UID憑證查找發(fā)送請求的委托者的標(biāo)識，這樣NIS+服務(wù)器可以確定委托者訪問所請求的對象的訪問權(quán)限。

DES憑證則復(fù)雜得多，而且用戶和系統(tǒng)都可能有這種憑證。DES憑證由委托者的安全RPC網(wǎng)絡(luò)名和驗(yàn)證字段組成。

表24-3顯示cred表中各列，并描述存儲為LOCAL和DES的信息類型。

表24-3 cred表中的列

cname
Auto_type
Auto_name
Public_date
Private_date

客戶用戶的NIS+委托者名
LOCAL
GID
GID列表
無

客戶用戶或客戶系統(tǒng)的NIS+委托者名
DES
安全RPC網(wǎng)絡(luò)名
公共密鑰
加密的私人密鑰


第一列，cname包含NIS+委托者的全限定憑證名。當(dāng)身份驗(yàn)證類型為LOCAL，則第一列只能包含用戶名，因?yàn)榭蛻粝到y(tǒng)不能有LOCAL憑證。當(dāng)身份驗(yàn)證為DES時(shí)，委托者名字既可以是用戶名，也可以是系統(tǒng)名。

NIS+委托者有四種授權(quán)類別，如表24-4所示。

表24-4 NIS委托者的授權(quán)類別

描 寫
授 權(quán)
描 述

n
Nobody
所有非認(rèn)證用戶

o
對象所有者
單個(gè)NIS+委托者，是對象的創(chuàng)建者。可以使用nischown命令更改已有對象的所有者

g
組
NIS+委托者集合，調(diào)度到一起提供名字空間的訪問。當(dāng)對象創(chuàng)建時(shí)，默認(rèn)分配給NIS+委托者的默認(rèn)組。NIS+組信息存儲在每個(gè)NIS+域的group_dir子目錄的NIS+組對象中

w
World（所有認(rèn)證用戶）
由NIS+進(jìn)行身份驗(yàn)證的所有NIS+委托者


2．NIS+訪問權(quán)限
訪問權(quán)限就是要授予前述的四類NIS+委托者，這四類委托者的訪問權(quán)限包括讀、修改、創(chuàng)建和刪除，如表24-5所示。







表24-5

縮 寫
訪問權(quán)限
描 述

r
讀
委托者可以讀對象內(nèi)容

m
修改
委托者可以修改對象內(nèi)容

c
創(chuàng)建
委托者可以在表或目錄中創(chuàng)建新對象

d
刪除
委托者可以在表或目錄中刪除對象

-
無訪問
委托者不可以訪問對象內(nèi)容


24.1.4 NIS+ 的使用環(huán)境
Solaris系統(tǒng)默認(rèn)安裝時(shí)不帶有NIS+服務(wù)。在計(jì)算機(jī)中運(yùn)行NIS+服務(wù)，就需要了解NIS+的使用環(huán)境。

NIS+使用環(huán)境中最重要的是在以前章節(jié)中已經(jīng)多次提到過的命名服務(wù)開關(guān)。其次就是NIS+服務(wù)的文件和目錄在UNIX文件系統(tǒng)中的位置。下面進(jìn)行詳細(xì)的介紹。

1．命名服務(wù)開關(guān)
命名服務(wù)開關(guān)是一個(gè)非常有用的工具，它可以讓管理員指定用哪個(gè)命名服務(wù)來處理哪些特定類型的請求，并可以為每種請求指定多種服務(wù)。這樣，一旦某個(gè)請求在默認(rèn)服務(wù)上出現(xiàn)失敗，它還可以利用另外一種服務(wù)。例如，為了解析主機(jī)名，很多站點(diǎn)都會在/etc/hosts數(shù)據(jù)庫文件中保存一些本地主機(jī)名的靜態(tài)連接；還有很多連接Internet的站點(diǎn)使用了DNS來解析主機(jī)名；而相對復(fù)雜的NIS+命名空間和傳統(tǒng)的NIS映射又改放在哪里呢？回答是：文件、DNS、NIS及NIS+都可以在/etc/nsswitch.conf文件中進(jìn)行配置。

例如，對于如下的配置行：

hosts: files dns nisplus nis

它說明在進(jìn)行主機(jī)名解析時(shí)，系統(tǒng)會首先查詢/etc/hosts文件；如果在該文件中找不到主機(jī)名的匹配，則接著嘗試DNS；如果DNS的解析也失敗，再嘗試NIS+；作為最后的手段，系統(tǒng)還以嘗試NIS映射的主機(jī)名解析。這種配置對于那些使用Internet較多，且對NIS+和NIS的依賴較小的網(wǎng)絡(luò)比較有用。當(dāng)然，對于一些熱衷于NIS+的人來說，他們可能會推薦使用如下的配置：

hosts: nisplus files dns

因?yàn)樵谶@種配置下，系統(tǒng)將會首先選擇使用NIS+，其次才是/etc/hosts數(shù)據(jù)庫和DNS。

除了主機(jī)名解析，nsswitch.conf還可以進(jìn)行其他14個(gè)選項(xiàng)的配置，這些選項(xiàng)大致都是與NIS+表或NIS映射的內(nèi)容有關(guān)的。一個(gè)面向NIS+的nsswitch.conf配置文件的形式大致如下所示：

passwd: files nisplus

group: files nisplus

hosts: nisplus dns [NOTFOUND=return] files

services: nisplus dns [NOTFOUND=return] files

networks: nisplus dns [NOTFOUND=return] files

protocols: nisplus dns [NOTFOUND=return] files

rpc: nisplus dns [NOTFOUND=return] files

ethers: nisplus dns [NOTFOUND=return] files

netmasks: nisplus dns [NOTFOUND=return] files

bootparams: nisplus dns [NOTFOUND=return] files

publickey: nisplus

netgroup: nisplus

automount: nisplus files

aliases: nisplus files

sendmailvars: nisplus files

從上面的配置可以看出，在大多數(shù)情況下，系統(tǒng)都會首先查詢NIS+，只有口令和組信息的查詢是例外。而主機(jī)的解析方法，DNS被列在了NIS+之后。值得一提的是，在安裝任何NIS+服務(wù)之前，必須首先創(chuàng)建根域服務(wù)器，因?yàn)樗�主要�?fù)責(zé)NIS+命名空間的管理。

2．NIS+服務(wù)的文件和目錄在UNIX文件系統(tǒng)中的位置
NIS+服務(wù)的文件和目錄在UNIX文件系統(tǒng)中的位置如表24-6所示。

表24-6 NIS+服務(wù)的文件和目錄在UNIX文件系統(tǒng)中的位置

所在UNIX目錄
所在計(jì)算機(jī)
NIS+所包含的內(nèi)容

/usr/bin
所有Solaris計(jì)算機(jī)
NIS+的用戶命令

/usr/lib/nis
所有Solaris計(jì)算機(jī)
NIS+的管理員命令

/usr/sbin
所有Solaris計(jì)算機(jī)
NIS+的后臺程序

/usr/lib
所有Solaris計(jì)算機(jī)
NIS+的庫文件

/var/nis/data
NIS+服務(wù)器
NIS+服務(wù)器使用的數(shù)據(jù)文件

/var/nis
NIS+服務(wù)器
NIS+的工作文件

/var/nis
NIS+客戶機(jī)
NIS+轉(zhuǎn)用文件

luren04

24.2 NIS+的設(shè)置   
設(shè)置NIS+服務(wù)有兩種方法：一種是使用腳本來設(shè)置NIS+服務(wù)；另一種就是直接使用NIS+命令來設(shè)置。腳本也是用一些NIS+命令寫成的，它定制了典型的幾種NIS+服務(wù)的設(shè)置方法。由于使用NIS+命令比較復(fù)雜，使用腳本方法設(shè)置NIS+服務(wù)是一種明智的做法。不過，在定制服務(wù)方面，還需要直接使用命令來做。本書限于篇幅，只介紹腳本的方法，對需要定制服務(wù)的讀者，可到docs.sun.com網(wǎng)站查找相關(guān)資料。

在本節(jié)中，我們將進(jìn)行一個(gè)NIS+服務(wù)的完整配置。在這個(gè)過程中，將討論主服務(wù)器的建立、NIS+表的創(chuàng)建、客戶機(jī)和服務(wù)器的配置，以及其他域的設(shè)置。

24.2.1 建立一個(gè)根域服務(wù)器
創(chuàng)建NIS+命名空間的第一步是為新的域創(chuàng)建一個(gè)根域的主服務(wù)器。比如我們要建立一個(gè)根域?yàn)镈oc.Com.的根域服務(wù)器�？梢赃M(jìn)行下列步驟：

（1）在超級用戶的環(huán)境變量中設(shè)置PATH時(shí)加入/usr/lib/nis目錄。

（2）（這步是可選的）默認(rèn)系統(tǒng)使用192位DES算法來加密，現(xiàn)在使用下面的命令可以改為640位DES加密：

nisauthconf dh640-0 des

（3）下面這個(gè)命令是超級用戶設(shè)置主服務(wù)器用的，-r選項(xiàng)是指根服務(wù)器將被選定，-d選項(xiàng)是指定域名。

master1# nisserver -r -d doc.com.

This script sets up this machine “master1” as a NIS+ root master

server for domain doc.com.

Domain name : doc.com.

NIS+ group : admin.doc.com.

NIS (YP) compatibility : OFF

Security level : 2=DES

Is this information correct? (type ’y’ to accept, ’n’ to change)

（4）如果信息顯示的正確，請鍵入“y”。

Is this information correct? (type ’y’ to accept, ’n’’ to change)

y

This script will set up your machine as a root master server for

domain doc.com. without NIS compatibility at security level 2.

Use "nisclient -r" to restore your current network service environment.

Do you want to continue? (type ‘y’ to continue, ‘n’ to exit the script)

（5）鍵入“y”，繼續(xù)進(jìn)行NIS+設(shè)置。

Do you want to continue? (type ’y’ to continue, ’n’ to exit the script)

y

setting up domain information “doc.com.” ...

setting up switch information ...

running nisinit ...

This machine is in the doc.com. NIS+ domain.

Setting up root server ...

All done.

starting root server at security level 0 to create credentials...

running nissetup ...

(creating standard directories & tables)

org_dir.doc.com. created

Enter login password:

（6）寫入本計(jì)算機(jī)的root用戶的口令。本例子中計(jì)算機(jī)名為“master1”。

Wrote secret key into /etc/.rootkey

setting NIS+ group to admin.doc.com. ...

restarting root server at security level 2 ...

This system is now configured as a root server for domain doc.com.

You can now populate the standard NIS+ tables by using the

nispopulate or /usr/lib/nis/nisaddent commands.

現(xiàn)在，根域的主服務(wù)器已經(jīng)設(shè)置完成了。下面該填充NIS+的標(biāo)準(zhǔn)表格了。

24.2.2 創(chuàng)建表格
在master1服務(wù)器上為Doc.Com.域創(chuàng)建了根域服務(wù)器之后，下一步的工作就是創(chuàng)建NIS+表，為此，需要使用nispopulate命令。

標(biāo)準(zhǔn)的NIS+表格有：auto_master, auto_home, ethers, group, hosts, networks, passwd, protocols, services, rpc, netmasks, bootparams, netgroup和aliases。

在創(chuàng)建NIS+表格之前需要做下面兩件事：

（1）啟動(dòng)根域主服務(wù)器。

# svcadm enable network/rpc/nisplus:default

（2）為了安全起見，將/etc目錄下的網(wǎng)絡(luò)和用戶配置文件都拷貝到另一目錄，然后從這個(gè)目錄進(jìn)行數(shù)據(jù)轉(zhuǎn)換工作。本例中拷貝到/etc/nis+file目錄。

創(chuàng)建NIS+表格的基本步驟如下：

（1）如果從文件中將數(shù)據(jù)移到NIS+表格中，使用下面命令。

master1# nispopulate -F -p /nis+files -d doc.com.

NIS+ domain name : doc.com.

Directory Path : /nis+files

Is this information correct? (type ’y’ to accept, ’n’ to change)

其中-F選項(xiàng)的意思是數(shù)據(jù)來源于文件；-p指明文件位置；-d選項(xiàng)指明NIS+域的名字。還要注意必須以root賬戶執(zhí)行這個(gè)命令。

（2）如果顯示信息正確，請鍵入“y”。

Is this information correct?

(type ’y’ to accept, ’n’ to change)

y

This script will populate the following NIS+ tables for domain doc.com. from

the files in /nis+files: auto_master auto_home ethers group hosts networks

passwd protocols services rpc netmasks bootparams netgroup aliases shadow

**WARNING: Interrupting this script after choosing to continue may leave

the tables only partially populated. This script does not do any automatic

recovery or cleanup.

Do you want to continue? (type ’y’ to continue, ’n’ to exit this script)




（3）如果顯示信息正確，請鍵入“y”。

Do you want to continue? (type ’y’ to continue, ’n’ to exit this script)

y

populating auto_master table from file /nis+files/auto_master

... auto_master table done.

populating auto_home table from file /nis+files/auto_home

... auto_home table done.

Credentials have been added for the entries in the hosts and passwd table(s).

Each entry was given a default network password (also known as a Secure-

RPC password). This password is: nisplus

Use this password when the nisclient script requests the network password.

Done!

請記住Secure-RPC password，在本例中為nisplus，在下面設(shè)置客戶機(jī)的時(shí)候需要用到這個(gè)口令。

現(xiàn)在所有數(shù)據(jù)都被轉(zhuǎn)移過來了。

（4）使用下面命令來檢查這個(gè)域。

master1# nisping -C doc.com.

Checkpointing replicas serving directory doc.com.

Master server is master1.doc.com.

Last update occurred at date

Master server is master1.doc.com.

checkpoint scheduled on master1.doc.com.

這一步說明，文件中的數(shù)據(jù)被轉(zhuǎn)化為表格后，已經(jīng)被域的服務(wù)所支持。

24.2.3 建立客戶機(jī)
因?yàn)楦�域的主服�?wù)器也是該域的客戶機(jī)，所以就沒有必要在主服務(wù)器上建立客戶機(jī)了。我們現(xiàn)在要做的是在另一臺計(jì)算機(jī)上建立客戶機(jī)。

我們同樣使用腳本命令來完成客戶機(jī)的設(shè)置。

（1）如果服務(wù)的加密是使用640位DES，客戶機(jī)也需要是640位DES加密。

#nisauthconf dh640dh-0 des

（2）使用下面命令來初始化客戶機(jī)的設(shè)置。

client1# nisclient -i -d doc.com. -h master1

Initializing client client1 for domain “doc.com.”.

Once initialization is done, you will need to reboot your machine.

Do you want to continue? (type ’y’ to continue, ’n’ to exit this script)

其中，-i選項(xiàng)是初始化設(shè)置客戶機(jī)；-d是接NIS+的域名；-h是接NIS+主域服務(wù)器的主機(jī)名。

（3）鍵入“y”后，接著鍵入主域服務(wù)器的IP地址。

Do you want to continue? (type ’y’ to continue, ’n’ to exit this script)

y

Type server master1’s IP address:

（4）鍵入正確的IP地址后按回車鍵。

Type server master1’s IP address: 123.123.123.123

setting up the domain information...

setting up the name service switch information...

At the prompt below, type the network password (also known as the

Secure-RPC password) that you obtained either from your administrator or

from running the nispopulate script.

Please enter the Secure-RPC password for root:

（5）鍵入“Secure-RPC”口令，還記得建立NIS+表格時(shí)設(shè)定為“nisplus”嗎？

（6）接著鍵入本機(jī)的root口令。

Please enter the login password for root:

Wrote secret key into /etc/.rootkey

Your network password has been changed to your login one.

Your network and login passwords are now the same.

Client initialization completed!!

Please reboot your machine for changes to take effect.

（7）最后重新啟動(dòng)客戶機(jī)。

NIS+的客戶機(jī)在名為client1的計(jì)算機(jī)上已經(jīng)建立起來了。下面我們需要在這個(gè)客戶機(jī)上添加一個(gè)用戶。

（1）在client計(jì)算機(jī)上建立一個(gè)普通用戶，以這個(gè)普通用戶登錄到Soalris系統(tǒng)中，運(yùn)行下面命令：

user1prompt% nisclient -u

At the prompt below, type the network password (also known as the

Secure-RPC password) that you obtained either from your administrator

or from running the nispopulate script.

Please enter the Secure-RPC password for user1:

（2）輸入Secure-RPC口令后，就創(chuàng)建了普通的NIS+用戶。

24.2.4 建立服務(wù)器
在創(chuàng)建了根域服務(wù)器之后，我們還希望為每個(gè)子域創(chuàng)建新的主服務(wù)器。比如前面我們介紹的根域Doc.Com.有個(gè)子域Sales.Doc.Com.，那么如何建立Sales.Doc.Com.子域的主服務(wù)器呢？答案是我們必須首先從根域主服務(wù)器來創(chuàng)建客戶機(jī)，然后再將它們轉(zhuǎn)為根域的復(fù)制服務(wù)器，隨后將它們修改為子域的非根主服務(wù)器。

下面我們將用實(shí)例來說明，這個(gè)例子將分四個(gè)部分，它們分別是：

 建立主服務(wù)器的復(fù)制服務(wù)器；

 將復(fù)制服務(wù)器轉(zhuǎn)為子域主服務(wù)器；

 為子域主服務(wù)器建立NIS+表格；

 建立子域主服務(wù)器的復(fù)制服務(wù)器。

由于上一節(jié)已經(jīng)建立了客戶機(jī)，我們就在客戶機(jī)的基礎(chǔ)上進(jìn)行。

第一部分，在客戶機(jī)client1上建立根域主服務(wù)器的復(fù)制服務(wù)器。

（1）首先應(yīng)該在客戶機(jī)client1上啟動(dòng)NIS+服務(wù)。

client1# svcadm enable /network/rpc/nisplus:default

（2）在根域主服務(wù)器上，使用下面命令將client1服務(wù)器變成根域服務(wù)器的復(fù)制服務(wù)器。

master1# nisserver -R -d doc.com. -h client1

This script sets up a NIS+ replica server for domain doc.com.

Domain name: :doc.com.

NIS+ server : :client1

Is this information correct? (type ’y’ to accept, ’n’ to change)

-R 建立復(fù)制服務(wù)器。

-d 指定根域。

-h 復(fù)制服務(wù)器的名字。

（3）鍵入“y”，繼續(xù)。

Is this information correct? (type ’y’ to accept, ’n’ to change)

y

This script will set up machine “client1” as an NIS+ replica server for domain

doc.com. without NIS compatibility. The NIS+ server daemon, rpc.nisd, must

be running on client1 with the proper options to serve this domain.

Do you want to continue? (type ’y’ to continue, ’n’ to exit this script)

（4）鍵入“y”，繼續(xù)。

Is this information correct? (type ’y’ to continue, ’n’ to exit this script)

y

The system client1 is now configured as a replica server for domain doc.com..

The NIS+ server daemon, rpc.nisd, must be running on client1 with the proper

options to serve this domain. ...

通過上面的步驟，就在客戶機(jī)client1上建立根域主服務(wù)器的復(fù)制服務(wù)器。

下面進(jìn)行第二部分，將復(fù)制服務(wù)器轉(zhuǎn)為子域主服務(wù)器。步驟如下：

（1）在根域主服務(wù)器上，使用下面命令將client1服務(wù)器轉(zhuǎn)為Sales.Doc.Com子域的主服務(wù)器。

master1# nisserver -M -d sales.doc.com. -h client1

This script sets up a non-root NIS+ master server for domain sales.doc.com.

Domain name : sales.doc.com.

NIS+ server : client1

NIS+ group : admin.sales.doc.com.

NIS (YP) compatibility : OFF

Security level : 2=DES

Is this information correct? (type ’y’ to accept, ’n’ to change)

（2）鍵入“y”，繼續(xù)。

Is this information correct?

(type ’y’ to accept, ’n’ to change) y

This script sets up machine “client1” as an NIS+ non-root master

server for domain sales.doc.com.

Do you want to continue? (type ’y’ to continue, ’n’ to exit this script)

（3）鍵入“y”，繼續(xù)。

Do you want to continue? (type ’y’ to continue, ’n’to exit this script)

y

running nissetup ...

org_dir.sales.doc.com. created

groups_dir.sales.doc.com. created

...

...

setting NIS+ group admin.sales.doc.com. ...

The system client1 is now configured as a non-root server for

domain sales.doc.com.

You can now populate the standard NIS+ tables by using the

nispopulate or /usr/lib/nis/nisaddent commands.

第三部分，為子域主服務(wù)器建立NIS+表格。

使用下面命令，具體過程請參考24.2.2節(jié)中建立表格的過程。

client1# nispopulate -F -p /nis+files -d sales.doc.com.

第四部分，建立子域主服務(wù)器的復(fù)制服務(wù)器。

使用下面命令，具體過程請參考第一部分建立主域主服務(wù)器的復(fù)制服務(wù)器的過程。

Client1# nisserver -R -d sales.doc.com. -h client2

luren04

24.3 NIS+的命令介紹   
在配置了NIS+的各種服務(wù)器和主要表之后，接下來看一下如何利用NIS+來實(shí)現(xiàn)域的主機(jī)和資源的有效管理。本節(jié)將介紹一些常用的NIS+命令，它們是用于本地客戶機(jī)系統(tǒng)NIS+設(shè)置顯示的nisdefault命令；用于NIS+對象的訪問權(quán)限設(shè)置的nischmod；用于對象查找和查詢的nisls命令；用于NIS+表格內(nèi)容顯示、查看NIS+對象的細(xì)節(jié)的niscat命令。

24.3.1 nisdefaults命令
nisdefaults命令可以用來顯示本地系統(tǒng)的當(dāng)前設(shè)置及活動(dòng)用戶狀態(tài)。該命令通常用于故障分析。下面就是nisdefaults命令的輸出：

master% nisdefaults

Principal Name : topadmin.doc.com.

Domain Name : doc.com.

Host Name : rootmaster.doc.com.

Group Name : salesboss

Access Rights : ----rmcdr---r---

Time to live : 12:00:00:00:00

Search Path : doc.com

下面對輸出進(jìn)行解釋：

 主用戶是topadmin，屬于NIS+域doc.com。

 基本域名為doc.com。

 本地系統(tǒng)的主機(jī)名為rootmaster.doc.com。

 用戶topadmin的基本用戶組為salesboss。

 生存期設(shè)置為12小時(shí)。

 搜索路徑是doc.com。

 訪問權(quán)限是所有者有rmcd（讀、修改、創(chuàng)設(shè)、刪除）的權(quán)限；組和所有認(rèn)證用戶有r（讀）的權(quán)限。

24.3.2 nischmod命令
大家已經(jīng)通過前面的介紹知道了NIS+命名空間的訪問權(quán)限和NIS+委托者有四種授權(quán)類別，它們分別是rmcd和nogw。下面我們將通過一些例子來說明如何通過這些操作服和操作參數(shù)的組合來構(gòu)成訪問權(quán)限的字符串。

下面的命令將刪除所有非認(rèn)證用戶（n）對于passwd表的修改（m）和創(chuàng)建（c）權(quán)限：

master1#nischmod n-cm passwd..org_dir

即使是非認(rèn)證用戶也需要有對passwd表的讀權(quán)限，以便進(jìn)行認(rèn)證。為此，可以通過如下的命令來進(jìn)行授權(quán)：

master1#nischmod n+r passwd.org_dir

為了將某個(gè)表的修改和創(chuàng)建的訪問權(quán)限同時(shí)賦給當(dāng)前用戶（本例中為root）及其基本用戶組，可以使用下面命令：

master1#nischmod og_cm passwd.org_dir

NIS+的訪問權(quán)限字符串雖然容易記憶，但是，當(dāng)我們需要同時(shí)對不同用戶進(jìn)行添加和刪除某些權(quán)限的操作時(shí)，要想將它們同時(shí)組合到一個(gè)命令中就比較困難了，這與Solaris文件系統(tǒng)采用八進(jìn)制代碼來指定文件的絕對訪問權(quán)限的情況有些不同。但我們也可以通過逗號將每個(gè)權(quán)限字符串隔開，從而構(gòu)成一種組合權(quán)限字符串。下面的這個(gè)命令就采用了這種復(fù)雜的權(quán)限字符串，它在說明了這種權(quán)限字符串的組合方式的同時(shí)表明了這種權(quán)限字符串的含義解釋是具有挑戰(zhàn)性的：

maser1#nischmod o=rmcd,g=rmc,w=rm,n=r hosts.org_dir

該命令將下列權(quán)限分別賦予了四種不同的用戶：

 所有者讀、修改、創(chuàng)建和刪除。

 用戶組讀和修改。

 world讀和修改。

 nobody只讀。

24.3.3 nisls命令
nisls命令是一種查找和查詢命令，它可以提供對NIS+目錄的查看功能。例如，為了查看所有用本地命名空間創(chuàng)建的NIS+目錄，可以使用如下nisls命令：

master# nisls

doc.com.:

org_dir

groups_dir

還可以接著查看org_dir目錄的內(nèi)容，org_dir目錄里有命名空間所建立的所有表：

master#nisls org_dir

org_dir.doc.com.:

auto_home

auto_master

bootparams

client_info

cred

ethers

group

hosts

mail_aliases

netgroup

netmasks

passwd

protocols

rpc

sendmailvars

services

timezone

在group目錄中，除了包含一個(gè)我們早先創(chuàng)建的admin組（它包括所有管理員的列表）外，還有當(dāng)前域中一些特殊的用戶組，它們是依據(jù)特定的組織結(jié)構(gòu)創(chuàng)建的：

master#nisls group_dir

group_dir.doc.com.:

admin

adverts

legal

media

24.3.4 niscat命令
niscat命令可以用來獲取域中對象的內(nèi)容，主要包含在NIS+表中的數(shù)據(jù)。例如，我們可以利用如下的命令來列出域中的所有主機(jī)：

master#niscat –h hosts.org_dir

client1.doc.com client1 192.168.3.4

client2.doc.com client2 192.168.9.9

另外，也可以利用niscat命令來檢查passwd表的內(nèi)容：

master#niscat passwd.org_dir

root:uop5Jji7N1T56:0:1:Super-User:/:/bin/csh:9841::::::

daemon:NP:1:1::/::6445::::::

bin:NP:2:2::/usr/bin::6445::::::

listen:*LK*:37:4:Network Admin:/usr/net/nls::::::::

nobody:NP:60001:60001:Nobody:/::6445::::::

noaccess:NP:60002:60002:No Access User:/::6445::::::

guest:NP:14:300:Guest:/hd2/guest:/bin/csh:10658::::::

syscd:qkPu7IcquHRRY:120:10::/usr/syscd:/bin/csh:::::::

peifyAkTGOg/2TCY:819:800ei Fei:/home/peif:/bin/csh:10491::::::

接下來，可以通過再次使用niscat命令來查看這些用戶都屬于哪些組：

master#niscat group.org_dir

root::0:root

staff::1:client1,client2

bin::2:root,bin,daemon

sys:*:3:root,bin,sys,adm

adm::4:root,adm,daemon

uucp::5:root,uucp

mail::6:root

所有構(gòu)成本地域的主機(jī)都可以根據(jù)它們的以太網(wǎng)地址來進(jìn)行查看。這些查看數(shù)據(jù)是從ethers表中提取的，它們的顯示結(jié)果如下所示：

master#niscat ethers.org_dir

1:4a:16:2f:13:b2 client1.doc.com

2f:13:b2:1:02:1e client2.doc.com

域中所定義的所有其他表都可以用niscat命令來查看。這里我們不再一一列舉。

luren04

終于發(fā)完了，向版主申請加為精華帖。

yuhuohu

LZ的轉(zhuǎn)貼精神真是可歌可泣，贊一個(gè)～

可惜圖片顯示不了啊。。。

[ 本帖最后由 yuhuohu 于 2008-4-14 18:34 編輯 ]