【申请加精】来自UC的《Solaris 10红宝书》系列在线课程

luren04

23.1 DNS概述   
域名服务（DNS）是一种分布式数据库，它提供规范机器名（如host1.paulwatters.com）到数字IP地址（如202.97.33.56）的映射。

在Internet的早期，网络中的每台主机都有一个称为hosts.txt的文件，它包含了各种已知的主机名和地址之间的映射。当时，为了维护这一文件，系统管理员需要定期上载一个网络新增主机的列表。

但随着Internet的发展，这种以文本数据库维护的形式就变得不太实际了。解决方案就是采用DNS服务器系统。与主机表不一样，DNS服务器不依赖一个大型映射文件，DNS服务器只包含有限的信息，因为它们知道到哪里能找到它们想知道的域的细节。如果DNS服务器得到对某个主机的请求，而该请求的主机又并不在其缓冲内，那么DNS服务器只是知道了这件事然后去询问知道答案的“某计算机”。这台计算机是一种授权服务器，负责维护DNS信息。如果某台服务器在被询问到其域内的某个地址时它可以明确地指出该地址存在，那么这台服务器就是所谓的授权服务器。

如果接触的服务器并不包含有关的域名信息，该服务器就会将请求传递给接触链路上更高级别的授权服务器，这样就形成了一系列查询，直到最后找到需要的信息。实际上，这意味着请求可以被任意数量的服务器处理，在Internet上这种来来回回的行为每时每刻都在发生。最早发出请求的服务器将缓冲信息以满足未来的需求而无须向授权服务器再发请求。DNS服务器的管理员为这些信息设置了超时限制，以避免缓冲中充满了名字请求的旧数据的情况。

DNS转换不会花费太多的时间，但它确实增加了你的请求到达远端计算机的时间。你可以自己做个快速测试（虽然很简单）：首先用域名，比如www.microsoft.com来访问对应的Web站点，然后用IP地址198.105.232.4再试验一下。如果你要这么做，则请务必关闭你的浏览器然后再重新打开以初始化新的会话；否则你不过是载入了页面的缓冲版本（记住装载页面的延迟原因可能来自许多因素，所以对结果要有所保留）。

DNS服务的最常用软件是Berkeley Internet Name Domain，也就是BIND，它源自U.C. Berkeley，但现在则由Internet Software Consortium负责。BIND提供了解析器和名字服务器软件，解析器做实际的查询工作而名字服务器则提供响应。BIND将名字服务器分成三个部分：主服务器包含了有关一个域的全部数据；次服务器则有效地从主服务器拷贝DNS数据库；唯缓冲服务器通过缓冲查询来建立例外的DNS数据库。只有主服务器和次服务器才被当做涉及特定域的授权服务器。

要理解DNS服务器怎么操作，就有必要理解域名层次。在域名层次的顶部是根域。这一域上的信息驻留在从整个Internet中所选的一些根服务器上。在根域下面是顶级域，也就是国家代码或机构代码。国家代码的例子有SG（新加坡）和CA（加拿大）等。而机构代码则包括众所周知的COM（商业机构）、EDU（教育机关）、GOV（政府机构）和NET（网络机构）等（注意在美国以外的顶级域通常是国家编码，但是基于美国的地点通常省略国家编码）。在顶级域下面是次级域（whitehouse.gov、microsoft.com、inforamp.net等诸如此类），然后是第3级域，依次类推。

如果你想在中国建立域名，那么你必须联系网络信息中心CNNIC。在它同意你的请求以前，你首先要保证你想要的名字还没被使用，其次要保证目前至少有2台服务器可以提供新域名的服务。当CNNIC最后同意请求时，它将承认你的次级域，并将指向该名字的指针放到顶级域所在的服务器内。例如，如果你请求域名mybiz.com，那么你必须首先让Internet上的2台名字服务器提供信息服务（你的ISP的服务器能做到这一点），然后NIC将把mybiz 放到COM域服务器系统内，其指针将指向那2台特定服务器。

一旦设置了适当的主域，你就可以增加所希望的任何数量的子域。你可能想要命名你的计算机为sales.mybiz.com，而另一台则被叫做techsupport.mybiz.com等。这些工作可就不需要CNNIC的同意了，而且，事实上CNNIC也不管这事。但是，如果你想要任何人都能实地访问你的子域，那么你最好将有关子域的信息尽快地放到上级域内。在特定的情况下，关于sales.mybiz.com和techsupport.mybiz.com的IP信息必须放在mybiz.com服务器上。这一层次中的每台服务器都包含了一个DNS数据库，其入口被称为NS记录，每条这样的记录包含了域或子域的名字，此外还加上作为域或者子域服务器的主机的名字。在我们的例子中，我们将告诉根服务器它能在我们的DNS服务器上找到mybiz.com及其全部子域的信息，而这些信息则位于details.mybiz.com这台计算机上。

现在我们来看看这一切是如何运作的。某所大学的某人在指向你的最新子域的网页上看见了一个链接techsupport.mybiz.com。然后她单击该链接，于是她的本地DNS服务器（很可能位于这所大学的某台计算机上）开始工作。首先，服务器搜索它自己的DNS数据库以转换信息，但是，因为它以前从来没遇见过techsupport.mybiz.com，所以服务器没有该域存在的记录而且不能解析IP地址。不过，它的DNS数据库包含了一个根服务器的地址（所有的DNS服务器必须设置该索引）。于是本地DNS服务器就到Internet上查询该根服务器。根服务器在其DNS 数据库里查找COM顶级域，然后它用NS记录回复该大学的DNS服务器，告诉它可以从details.mybiz.com处查询到mybiz.com的信息。大学的服务器就这样做了，而且从details.mybiz.com那里知道了techsupport.mybiz.com的对应IP地址。在这一过程中最根本的阶段是，大学的DNS服务器缓冲了该NS记录，结果下次该大学的任何人在需要涉及mybiz.com、details.mybiz.com、ortechsupport.mybiz.com等对应的IP地址转换时，相关信息在本地即可获得。

正如其他的Internet协议一样，DNS由几个Internet的RFC规范（最初是RFC 882、883和973）。不过要理解DNS服务器的工作原理最好的标准还是RFC 1035。你可以在Internet上的好几个地方找到RFC 1035，比如在http://www.crynwr.com/crynwr/rfc1035/就有一个不错的HTML版本。正如你可能想到的那样，RFC具有相当的技术性，你不大可能会对超出DNS服务器一般操作的细节感兴趣。但是如果你想做个服务器管理员，那么就记住RFC吧。

luren04

23.2 DNS客户端的设置   
在Solaris环境下，DNS客户端程序的配置非常容易，它只需要几个简单的步骤就可以完成。

（1）除了对/etc/inet/hosts文件或NIS/NIS+的主机名映射或者主机名（hostnames）表文件进行检查以外，还必须配置命名服务开关文件（/etc/nsswitch.conf），指定域名解析服务向DNS进行查询。为了确保DNS的正常工作，在/etc/nsswitch.conf文件中必须包括下行的内容：

hosts: files dns

这行的意思是如果需要命名服务，首先查找/etc/inet/hosts文件，如果找不到，就到DNS中去查找。

（2）我们需要将主机的本地域名输入到/etc/defaultdomain文件中。例如，主机www.chinaunix.net的/etc/defaultdomain文件应有如下的输入项：

chinaunix.net

（3）我们需要在/etc/resolv.conf文件中包含本地域名、本地基本DNS服务器的IP地址，以及辅助的DNS服务器的IP地址。这意味着本地DNS服务器出现故障，我们仍可以通过辅助的NDS服务器来提供最新的外部主机信息，而不必依赖/etc/hosts文件中的数据来解析本地地址。例如，/etc/resolv.conf文件的内容可能是这样：

domain chinaunix.net

nameserver 202.106.0.20

nameserver 53.58.34.2

它表明本地域是chinaunix.net，本地域有两台基本DNS服务器。其中，202.106.0.20为主DNS服务器，53.58.34.2为辅助DNS服务器。

（4）下面我们可以启动DNS客户端软件了。

#svcadm enable svc:/network/dns/client

（5）使用nslookup命令来检查DNS客户端配置是否正确。

#nslookup

> www.chinaunix.net

Server: ns4.bta.net.cn

Address: 202.106.0.20




Non-authoritative answer:

Name: www.chinaunix.net

Address: 222.36.44.6

有这样的反馈结果说明DNS客户端设置成功。

luren04

23.3 DNS服务器的设置   
DNS服务器是为了网络上的主机提供域名解析的服务的服务器。Solaris 10虽然自带了BIND 9.2.4版本，但它并不是Sun公司的产品，Internet Software Consortium负责BIND软件的更新，我们不妨到www.isc.org网站下载最新版本的BIND软件，因为新的版本的软件可以防止某些漏洞。

下面我们来介绍如何配置DNS服务器。如果你使用Solaris 10系统自带的软件，请从第7步看起。

（1）为了下载最新的BIND软件，我们到http://www.isc.org/products/BIND/ 下载，本例子下载的是bind-9.3.1.tar.gz。

（2）将下载的软件放到系统中的某个目录下，本例中放在/home/bind目录下。

#cd/home/bind

（3）进入软件存放目录，对软件解压缩到/usr/local/src。

#tar -xzfz bind-9.3.1.tar.gz -C /usr/local/src

（4）进入安装目录。

# cd bind-9.3.1

（5）编译BIND软件。

# ./configure

# make

# make install

（6）生成的可执行文件位于/usr/local/sbin目录下。最重要的可执行文件为named和rndc。

（7）在/usr/sbin目录中创建可执行文件的软链接。

# ln -s /usr/local/sbin/rndc /usr/sbin/rndc

# ln -s /usr/local/sbin/named /usr/sbin/named

（8）在BIND9命名服务控制工具rndc和BIND8的控制工具ndc不兼容，rndc有一个控制文件，就是rndc.conf文件，其作用就是指定管理服务器和使用的加密算法。它是由rndc-confgen命令所产生的。下面就是创建rndc.conf配置文件的步骤：

# /usr/local/sbin/rndc-confgen > /etc/rndc.conf

# cat /etc/rndc.conf

输出为：

# Start of rndc.conf

key "rndc-key" {

algorithm hmac-md5;

secret "y9xvvfQjdWv9f/Fo7wquBg==";

};



options {

default-key "rndc-key";

default-server 127.0.0.1;

default-port 953;

};

# End of rndc.conf



# Use with the following in named.conf, adjusting the allow list as needed:

# key "rndc-key" {

# algorithm hmac-md5;

# secret "y9xvvfQjdWv9f/Fo7wquBg==";

# };

#

# controls {

# inet 127.0.0.1 port 953

# allow { 127.0.0.1; } keys { "rndc-key"; };

# };

# End of named.conf

（9）创建rndc.key文件。将rndc.conf文件中注释部分拷贝生成如下文件：

# vi /etc/rndc.key

key "rndc-key" {

algorithm hmac-md5;

secret "y9xvvfQjdWv9f/Fo7wquBg==";

};




controls {

inet 127.0.0.1 port 953

allow { 127.0.0.1; } keys { "rndc-key"; };

};

检查rndc是否正常工作：

#/usr/local/sbin/named -g

Jan 11 11:56:45.075 starting BIND 9.2.3 -g

Jan 11 11:56:45.076 using 1 CPU

Jan 11 11:56:45.079 loading configuration from '/etc/named.conf'

......

#/usr/local/sbin/rndc status

（10）编辑named.conf配置文件。

# vi /etc/named.conf

第一段的内容如下：

// generated by named-bootconf.pl

options {

directory "/var/named";

/*

* If there is a firewall between you and nameservers you want

* to talk to, you might need to uncomment the query-source

* directive below. Previous versions of BIND always asked

* questions using port 53, but BIND 8.1 uses an unprivileged

* port by default.

*/

// query-source address * port 53;

};

先让我们了解这个文件上面用来做注解的符号是“//”，而不是一般Shell script的“#”；另外，“/*”与“*/”之间则注解一整段文字。同时，每一个完整的设定都以“ ；”结尾。

上面的部分是在这个文件开头的options设定的，首先用directory指定了named的资源记录（RR - Resource Record文件目录所在位置为：“/var/named”。也就是说，它会到这个目录下面寻找DNS记录文件）。所以，我们在后面部分所指定的文件，就无须使用绝对路径了，但它们一定要放在这个目录下面。

那一段被注释文字，如果你仔细阅读一下，它大致意思是如果你要设定的 DNS 伺服器和client之间隔着防火墙的话，要将“//query-source address * port 53;”前面的注解符号“//”拿掉（当然，也必须要设定好你的火墙）。不过，这只对早期的版本有影响，而在bind 8.1之后则无须担心这个设定。

接下来再让我们看下一段句子：

//

// a caching only nameserver config

//

zone "." IN {

type hint;

file "named.root";

};

通过这几行语句，我们为named定义了DNS系统中的根区域“.”（root zone）的设定，同时它是一个internet(IN)的区域类别。这里还指定了root zone的服务器种类（type）为“hint”（也只有这个zone会使用这样的种类）。最后，用file指定这个区域记录文件为：“named.root”，也就是“/var/named/named.root”文件。

在root zone后面，你应该还会看到如下这两段：

zone "localhost" IN {

type master;

file "localhost.zone";

allow-update { none; };

};




zone "0.0.127.in-addr.arpa" IN {




type master;

file "named.local";

allow-update { none; };

};

这里是定义出关于本机名称的DNS解释：第一个zone是localhost的正解zone，其服务器种类是master，记录档名称是localhost.zone（在/var/named目录下面），但这个zone不允许客户主机（或服务器）自行更新DNS的记录。而第二个zone则是本机区域的反向解析zone。

再看下面的两段，这两段是duanfenglei.com域的正向和反向解析。

zone "duanfenglei.com" IN { //新加duanfenglei.com的域

type master;

file "duanfenglei.com.zone";

allow-update { none; };

};




zone "9.168.192.in-addr.arpa" IN { //新加域的反向解析

type master;

file "named.192.168.9";

allow-update { none; };

};

最后一行是bind 9.x版本的新功能，用来进行区域转移或DNS更新所用的加密处理。

include "/etc/rndc.key";

（11）创建/var/named目录。

# mkdir /var/named

# cd /var/named

（12）匿名登录到ftp站点FTP.RS.INTERNIC.NET，获取/domain目录下的named.root文件，将该文件置于/var/named目录下。

（13）创建localhost.zone文件。

# vi /var/named/localhost.zone

$TTL 86400

$ORIGIN localhost.

@ 1D IN SOA @ root (

42 ; serial (d. adams)

3H ; refresh

15M ; retry

1W ; expiry

1D ) ; minimum




1D IN NS @

1D IN A 127.0.0.1

（14）创建named.local文件。

# vi named.local

$TTL 86400

@ IN SOA localhost. root.localhost. (

2005022700 ; Serial

28800 ; Refresh

14400 ; Retry

3600000 ; Expire

86400 ) ; Minimum

IN NS localhost.




1 IN PTR localhost.




[root@Linux etc]# mkdir /var/named

//进入/var/named

[root@Linux etc]# cd /var/named

//建立localhost.zone文件

[root@Linux named]#vi localhost.zone

$TTL 86400

$ORIGIN localhost.

@ 1D IN SOA @ root (

42 ; serial (d. adams)

3H ; refresh

15M ; retry

1W ; expiry

1D ) ; minimum




1D IN NS @

1D IN A 127.0.0.1




//建立named.local文件

[root@Linux named]#vi named.local

$TTL 86400

@ IN SOA localhost. root.localhost. (

1997022700 ; Serial

28800 ; Refresh

14400 ; Retry

3600000 61.177.252 ; Expire

86400 ) ; Minimum

IN NS localhost.




1 IN PTR localhost.

（15）创建duanfenglei.com.zone文件。

# vi duanfenglei.zone

$TTL 1D

@ IN SOA duanfenglei.com. root.duanfenglei.com. (




1053891162

3H

15M

1W

1D )




IN NS duanfenglei.com.

IN MX 5 duanfenglei.com.

www IN A 192.168.9.9

（16）创建named.192.168.9文件。

# vi named.192.168.9

$TTL 86400

@ IN SOA duanfenglei.com. root.duanfenglei.com.(

20031001;

7200;

3600;

43200;

86400);

@ IN NS duanfenglei.com.

9 IN PTR dns.duanfenglei.com.

（17）在Solaris 10操作系统中启动DNS服务。

#svcadm enable /network/dns/server

查看：

# svcs -l /network/dns/server

fmri svc:/network/dns/server:default

name Internet domain name server (DNS)

enabled true

state online

next_state none

restarter svc:/system/svc/restarter:default

contract_id 25

dependency require_all/none svc:/system/filesystem/minimal (online)

dependency require_all/none file://localhost/etc/named.conf (online)

dependency require_any/error svc:/network/loopback (online)

dependency optional_all/error svc:/network/physical (online)

（18）测试DNS反向解析是否成功。

# host 192.168.9.9

9.9.168.192.in-addr.arpa domain name pointer dns.duanfenglei.com.

（19）测试DNS解析是否成功。

# nslookup

> www.duanfenglei.com

Server: 192.168.9.9

Address: 192.168.9.9#53




Name: www.duanfenglei.com

Address: 192.168.9.9

>

出现上面的提示，说明DNS服务已经启动成功。

luren04

第24章 NIS+服务   
在第23章中，我们介绍了域名服务。与域名服务类似的网络信息服务（NIS）是Sun公司自己开发的，这章我们介绍的就是NIS服务的改进版本NIS+。

NIS+是由一个集中的知识库组成的，知识库包括关于主机、网络、服务及本地局域网协议等的信息。这些信息被物理地存储在一组映射中，这些映射用来取代通常保存在服务器/etc目录下的网络配置文件。NIS网络上所有映射的集合被称为命名空间。

luren04

24.1 NIS基本概念   
NIS+是Solaris的一种网络信息服务，它的基本目标是实现各种用户、主机、网络、服务和协议的管理。NIS+并没有取代DNS的功能，它的主机寻址和识别仍需要通过DNS来实现。

NIS+提供的网络功能要比DNS多：NIS+的命名空间可以实现共享网络信息的集中存储，从而对大型网络实行更有效的管理。

NIS的实现主要是围绕着映射的思想：映射通常是一个由两列数据组成的数据库，其中一列是主键，我们可以用它来提取相关数据。这种关联的特点使得对于组、邮件、口令及以太网信息的存储和提取在一些小型网络环境下可以变得很快。但是，对于一些大型网络来讲，这些信息的管理将变得非常困难。相比之下，NIS+的信息存储采用的是一种表的形式，这些表是由系统定义的，它们存储着诸如服务器地址、时区和网络信息服务等信息。

24.1.1 NIS+ 域的介绍
下面我们来了解一个使用NIS+的实例。在如图24-1所示的例子中，chinaunix公司有北京和上海两个分公司，整个公司的网络由三个C类网组成。为了支持DNS功能，我们首先在公司总部设置一个全公司范围内的DNS服务器：ns.chinaunix.net；与此同时，在北京和上海两个分公司内也分别设置两个DNS服务器：ns.bj.chinaunix.net和ns.sh. chinaunix.net。

图24-1 DNS使用示例

现在，我们要说明的是NIS+域，却举了个DNS域的例子。不过，NIS+域确实与DNS域很相像。ChinaUNIX公司的NIS+域完全可以像图24-2所示的那样一一对应到DNS配置上，但它们在命名方式上存在一些明显的区别：作为惯例，DNS通常采用小写字母命名，并且不以句点结尾；而NIS+域的每一个部分均以大写字母开始，并以句点结尾。

图24-2 NIS域使用示例

需要说明的是，DNS的二级域chinaunix.net在NIS+网络中为“根域”，而三级域bj.chinaunix.net和sh.chinaunix.net在NIS+网络中被称为“非根域”。这里的每一个域都有一个相关的NIS+服务器，它们可以采用现有的DNS服务器来承担。当然，在实际的工作中，像ChinaUNIX这样的公司NIS+网络，通常每个域要有两个服务器，即一个主服务器和至少一个复制服务器。

除了域和服务器之外，NIS+还可以满足客户机的需要，它的每台客户机都与特定的服务器和域相关联。例如，在北京分公司的某台客户机（Test.Bj.Chinaunix.Net.）将作为Bj.Chinaunix.Net.域的一部分，由NIS+服务器Master. Bj.Chinaunix.Net.来提供服务。图24-3展示了这个结构。

现在，大家知道了NIS+域到底是怎么回事了。其实“域”只是命名空间（Namespace）所涉及的各种组件的一种。那么，什么是命名空间呢？

图24-3 NIS使每台客户机都与特定的服务器和域相关联

luren04

24.1.2 命名空间的介绍
命名空间就是信息存储组织结构。

命名空间的结构像目录，图24-4是命名空间的结构与目录结构的对比图。


图24-4 命名空间的结构与目录结构的对比图

可以看出组对象（Group object）和表对象（Table object）非常接近目录中的子目录。但是，命名空间和目录还有以下的不同：

 尽管都有目录（NIS+有目录对象），但命名空间有表和组，而没有文件。

 NIS+命名空间的管理只能由NIS+命令或Solaris管理控制台（SMC）的图形界面来管理，而不能用标准的UNIX命令来管理。

 UNIX文件系统的组成部分之间用“/”来分割，比如/usr/bin/src，但NIS+命名空间的组成部分之间用“.”来分割，比如doc.com等。

 在UNIX文件系统中，“根目录”在目录的左边，比如/usr/src/files1，而在NIS+命名空间中，“根”在表示格式的右边，比如sales.doc.com。

NIS+命名空间组件完整命名由以下几部分组成：

 域（domain）；

 目录对象（Directory Object）；

 表对象（Table Object）；

 组对象（Group Object）；

 NIS+委托者（NIS+ Principal）。

在图24-5中，我们可以清楚地看到命名空间的组成结构和组件的完整命名。

图24-5 命名空间的组成结构和组件完整命名

从图24-5中得出，带有*_dir的都应该是目录对象；而org_dir目录中包含用于存储网络中用户和系统有关信息的NIS+表对象；在groups_dir目录中存储关于域的NIS+组的信息。NIS+委托者是存储在NIS+命名空间的用户或系统，我们将在“NIS+的安全管理”中介绍。

图24-5中命名空间结构的另一种表示形式如图24-6所示。

图24-6 命名空间结构的另一种表示形式

在org_dir中的表提供许多管理网络需要的功能。尽管可以创建自己的表，但是使用org_dir中的表可以进行大多数标准的NIS+表的管理。在表24-1中我们列出标准的NIS+管理表，并简要描述了每个表的内容。

表24-1 NIS org_dir下的表

表 名
描 述

aliases
关于域中邮件别名的信息

Auto_home
域中自动加载的主目录位置

Auto_master
自动加载master映射

bootparams
域中每个无盘客户的根、交换和复制分区的位置

cred
拥有对域中信息或对象访问权限的委托者的NIS +凭证

ethers
域中系统的以太网地址

group
域中每个UNIX组的组密码、组ID和成员列表。注意该组表是UNIX组，不要和groups_ dir目录中的NIS+组混淆

hosts
域中每个系统的网络地址和主机名

netgroup
域中系统和用户可能属于的网络组

netmasks
域中的网络及其网络掩码

networks
域中的网络及其规范的名字

passwd
域中每个用户的密码信息

protocols
域中使用的IP协议列表

RPC
域中可用的RPC服务器的RPC程序数

services
域中IP服务使用的名字及其端口号

timezone
域的时区


24.1.3 NIS+ 的安全管理
NIS+设计为保护其目录和表中的信息不受非授权的访问。例如，在NIS+域的目录中，一个授权的用户可以创建一个表，于是就可以限制部分人对该表的访问。

和UNIX的目录管理一样，NIS+也同时以两种方式控制对服务器、目录和表的访问：

 使用身份验证来验证NIS+的系统或用户标识。

 使用授权访问权限来控制存储在NIS+中的信息访问。

除了上面介绍的身份验证和授权访问权限外，NIS+服务器还有三种不同的安全级别，如表24-2所示。

表24-2 NIS+的安全级别

安全级别
描 述

0
完全不检查委托者的凭证。允许任何客户执行任何操作。级别0设计为测试和设置初始值

1
检查委托者的凭证并接受任何身份验证。由于一些凭证容易伪造，在网络中不可信的服务器可能访问的站点不要使用该级别

2
检查委托者的凭证并且只接受DES身份验证。第2级是当前提供的最高安全级，也是分配给NIS+服务器的默认级别


1．NIS+身份验证
由NIS+委托者提交到NIS+服务器的请求。NIS+委托者可以是用户或者工作站。身份验证是一个进程，通过检查委托者的凭证，来鉴别提交请求到NIS+服务器的委托者。这些凭证是基于NIS+域中cred表中加密的验证信息。

身份验证的目标是获得委托者的名字，这样可以查找和验证在名字空间中的信息访问权限。NIS+委托者和NIS+服务器之间的所有交互作用都经过身份验证。

身份验证的好处是保护NIS+信息不被不可信的客户访问，它为NIS+服务器提供了更灵活和安全的管理。

委托者有两种不同类型的凭证：LOCAL和DES。LOCAL凭证由NIS+委托者的UID组成。NIS+服务器使用LOCAL UID凭证查找发送请求的委托者的标识，这样NIS+服务器可以确定委托者访问所请求的对象的访问权限。

DES凭证则复杂得多，而且用户和系统都可能有这种凭证。DES凭证由委托者的安全RPC网络名和验证字段组成。

表24-3显示cred表中各列，并描述存储为LOCAL和DES的信息类型。

表24-3 cred表中的列

cname
Auto_type
Auto_name
Public_date
Private_date

客户用户的NIS+委托者名
LOCAL
GID
GID列表
无

客户用户或客户系统的NIS+委托者名
DES
安全RPC网络名
公共密钥
加密的私人密钥


第一列，cname包含NIS+委托者的全限定凭证名。当身份验证类型为LOCAL，则第一列只能包含用户名，因为客户系统不能有LOCAL凭证。当身份验证为DES时，委托者名字既可以是用户名，也可以是系统名。

NIS+委托者有四种授权类别，如表24-4所示。

表24-4 NIS委托者的授权类别

描 写
授 权
描 述

n
Nobody
所有非认证用户

o
对象所有者
单个NIS+委托者，是对象的创建者。可以使用nischown命令更改已有对象的所有者

g
组
NIS+委托者集合，调度到一起提供名字空间的访问。当对象创建时，默认分配给NIS+委托者的默认组。NIS+组信息存储在每个NIS+域的group_dir子目录的NIS+组对象中

w
World（所有认证用户）
由NIS+进行身份验证的所有NIS+委托者


2．NIS+访问权限
访问权限就是要授予前述的四类NIS+委托者，这四类委托者的访问权限包括读、修改、创建和删除，如表24-5所示。







表24-5

缩 写
访问权限
描 述

r
读
委托者可以读对象内容

m
修改
委托者可以修改对象内容

c
创建
委托者可以在表或目录中创建新对象

d
删除
委托者可以在表或目录中删除对象

-
无访问
委托者不可以访问对象内容


24.1.4 NIS+ 的使用环境
Solaris系统默认安装时不带有NIS+服务。在计算机中运行NIS+服务，就需要了解NIS+的使用环境。

NIS+使用环境中最重要的是在以前章节中已经多次提到过的命名服务开关。其次就是NIS+服务的文件和目录在UNIX文件系统中的位置。下面进行详细的介绍。

1．命名服务开关
命名服务开关是一个非常有用的工具，它可以让管理员指定用哪个命名服务来处理哪些特定类型的请求，并可以为每种请求指定多种服务。这样，一旦某个请求在默认服务上出现失败，它还可以利用另外一种服务。例如，为了解析主机名，很多站点都会在/etc/hosts数据库文件中保存一些本地主机名的静态连接；还有很多连接Internet的站点使用了DNS来解析主机名；而相对复杂的NIS+命名空间和传统的NIS映射又改放在哪里呢？回答是：文件、DNS、NIS及NIS+都可以在/etc/nsswitch.conf文件中进行配置。

例如，对于如下的配置行：

hosts: files dns nisplus nis

它说明在进行主机名解析时，系统会首先查询/etc/hosts文件；如果在该文件中找不到主机名的匹配，则接着尝试DNS；如果DNS的解析也失败，再尝试NIS+；作为最后的手段，系统还以尝试NIS映射的主机名解析。这种配置对于那些使用Internet较多，且对NIS+和NIS的依赖较小的网络比较有用。当然，对于一些热衷于NIS+的人来说，他们可能会推荐使用如下的配置：

hosts: nisplus files dns

因为在这种配置下，系统将会首先选择使用NIS+，其次才是/etc/hosts数据库和DNS。

除了主机名解析，nsswitch.conf还可以进行其他14个选项的配置，这些选项大致都是与NIS+表或NIS映射的内容有关的。一个面向NIS+的nsswitch.conf配置文件的形式大致如下所示：

passwd: files nisplus

group: files nisplus

hosts: nisplus dns [NOTFOUND=return] files

services: nisplus dns [NOTFOUND=return] files

networks: nisplus dns [NOTFOUND=return] files

protocols: nisplus dns [NOTFOUND=return] files

rpc: nisplus dns [NOTFOUND=return] files

ethers: nisplus dns [NOTFOUND=return] files

netmasks: nisplus dns [NOTFOUND=return] files

bootparams: nisplus dns [NOTFOUND=return] files

publickey: nisplus

netgroup: nisplus

automount: nisplus files

aliases: nisplus files

sendmailvars: nisplus files

从上面的配置可以看出，在大多数情况下，系统都会首先查询NIS+，只有口令和组信息的查询是例外。而主机的解析方法，DNS被列在了NIS+之后。值得一提的是，在安装任何NIS+服务之前，必须首先创建根域服务器，因为它主要负责NIS+命名空间的管理。

2．NIS+服务的文件和目录在UNIX文件系统中的位置
NIS+服务的文件和目录在UNIX文件系统中的位置如表24-6所示。

表24-6 NIS+服务的文件和目录在UNIX文件系统中的位置

所在UNIX目录
所在计算机
NIS+所包含的内容

/usr/bin
所有Solaris计算机
NIS+的用户命令

/usr/lib/nis
所有Solaris计算机
NIS+的管理员命令

/usr/sbin
所有Solaris计算机
NIS+的后台程序

/usr/lib
所有Solaris计算机
NIS+的库文件

/var/nis/data
NIS+服务器
NIS+服务器使用的数据文件

/var/nis
NIS+服务器
NIS+的工作文件

/var/nis
NIS+客户机
NIS+转用文件

luren04

24.2 NIS+的设置   
设置NIS+服务有两种方法：一种是使用脚本来设置NIS+服务；另一种就是直接使用NIS+命令来设置。脚本也是用一些NIS+命令写成的，它定制了典型的几种NIS+服务的设置方法。由于使用NIS+命令比较复杂，使用脚本方法设置NIS+服务是一种明智的做法。不过，在定制服务方面，还需要直接使用命令来做。本书限于篇幅，只介绍脚本的方法，对需要定制服务的读者，可到docs.sun.com网站查找相关资料。

在本节中，我们将进行一个NIS+服务的完整配置。在这个过程中，将讨论主服务器的建立、NIS+表的创建、客户机和服务器的配置，以及其他域的设置。

24.2.1 建立一个根域服务器
创建NIS+命名空间的第一步是为新的域创建一个根域的主服务器。比如我们要建立一个根域为Doc.Com.的根域服务器。可以进行下列步骤：

（1）在超级用户的环境变量中设置PATH时加入/usr/lib/nis目录。

（2）（这步是可选的）默认系统使用192位DES算法来加密，现在使用下面的命令可以改为640位DES加密：

nisauthconf dh640-0 des

（3）下面这个命令是超级用户设置主服务器用的，-r选项是指根服务器将被选定，-d选项是指定域名。

master1# nisserver -r -d doc.com.

This script sets up this machine “master1” as a NIS+ root master

server for domain doc.com.

Domain name : doc.com.

NIS+ group : admin.doc.com.

NIS (YP) compatibility : OFF

Security level : 2=DES

Is this information correct? (type ’y’ to accept, ’n’ to change)

（4）如果信息显示的正确，请键入“y”。

Is this information correct? (type ’y’ to accept, ’n’’ to change)

y

This script will set up your machine as a root master server for

domain doc.com. without NIS compatibility at security level 2.

Use "nisclient -r" to restore your current network service environment.

Do you want to continue? (type ‘y’ to continue, ‘n’ to exit the script)

（5）键入“y”，继续进行NIS+设置。

Do you want to continue? (type ’y’ to continue, ’n’ to exit the script)

y

setting up domain information “doc.com.” ...

setting up switch information ...

running nisinit ...

This machine is in the doc.com. NIS+ domain.

Setting up root server ...

All done.

starting root server at security level 0 to create credentials...

running nissetup ...

(creating standard directories & tables)

org_dir.doc.com. created

Enter login password:

（6）写入本计算机的root用户的口令。本例子中计算机名为“master1”。

Wrote secret key into /etc/.rootkey

setting NIS+ group to admin.doc.com. ...

restarting root server at security level 2 ...

This system is now configured as a root server for domain doc.com.

You can now populate the standard NIS+ tables by using the

nispopulate or /usr/lib/nis/nisaddent commands.

现在，根域的主服务器已经设置完成了。下面该填充NIS+的标准表格了。

24.2.2 创建表格
在master1服务器上为Doc.Com.域创建了根域服务器之后，下一步的工作就是创建NIS+表，为此，需要使用nispopulate命令。

标准的NIS+表格有：auto_master, auto_home, ethers, group, hosts, networks, passwd, protocols, services, rpc, netmasks, bootparams, netgroup和aliases。

在创建NIS+表格之前需要做下面两件事：

（1）启动根域主服务器。

# svcadm enable network/rpc/nisplus:default

（2）为了安全起见，将/etc目录下的网络和用户配置文件都拷贝到另一目录，然后从这个目录进行数据转换工作。本例中拷贝到/etc/nis+file目录。

创建NIS+表格的基本步骤如下：

（1）如果从文件中将数据移到NIS+表格中，使用下面命令。

master1# nispopulate -F -p /nis+files -d doc.com.

NIS+ domain name : doc.com.

Directory Path : /nis+files

Is this information correct? (type ’y’ to accept, ’n’ to change)

其中-F选项的意思是数据来源于文件；-p指明文件位置；-d选项指明NIS+域的名字。还要注意必须以root账户执行这个命令。

（2）如果显示信息正确，请键入“y”。

Is this information correct?

(type ’y’ to accept, ’n’ to change)

y

This script will populate the following NIS+ tables for domain doc.com. from

the files in /nis+files: auto_master auto_home ethers group hosts networks

passwd protocols services rpc netmasks bootparams netgroup aliases shadow

**WARNING: Interrupting this script after choosing to continue may leave

the tables only partially populated. This script does not do any automatic

recovery or cleanup.

Do you want to continue? (type ’y’ to continue, ’n’ to exit this script)




（3）如果显示信息正确，请键入“y”。

Do you want to continue? (type ’y’ to continue, ’n’ to exit this script)

y

populating auto_master table from file /nis+files/auto_master

... auto_master table done.

populating auto_home table from file /nis+files/auto_home

... auto_home table done.

Credentials have been added for the entries in the hosts and passwd table(s).

Each entry was given a default network password (also known as a Secure-

RPC password). This password is: nisplus

Use this password when the nisclient script requests the network password.

Done!

请记住Secure-RPC password，在本例中为nisplus，在下面设置客户机的时候需要用到这个口令。

现在所有数据都被转移过来了。

（4）使用下面命令来检查这个域。

master1# nisping -C doc.com.

Checkpointing replicas serving directory doc.com.

Master server is master1.doc.com.

Last update occurred at date

Master server is master1.doc.com.

checkpoint scheduled on master1.doc.com.

这一步说明，文件中的数据被转化为表格后，已经被域的服务所支持。

24.2.3 建立客户机
因为根域的主服务器也是该域的客户机，所以就没有必要在主服务器上建立客户机了。我们现在要做的是在另一台计算机上建立客户机。

我们同样使用脚本命令来完成客户机的设置。

（1）如果服务的加密是使用640位DES，客户机也需要是640位DES加密。

#nisauthconf dh640dh-0 des

（2）使用下面命令来初始化客户机的设置。

client1# nisclient -i -d doc.com. -h master1

Initializing client client1 for domain “doc.com.”.

Once initialization is done, you will need to reboot your machine.

Do you want to continue? (type ’y’ to continue, ’n’ to exit this script)

其中，-i选项是初始化设置客户机；-d是接NIS+的域名；-h是接NIS+主域服务器的主机名。

（3）键入“y”后，接着键入主域服务器的IP地址。

Do you want to continue? (type ’y’ to continue, ’n’ to exit this script)

y

Type server master1’s IP address:

（4）键入正确的IP地址后按回车键。

Type server master1’s IP address: 123.123.123.123

setting up the domain information...

setting up the name service switch information...

At the prompt below, type the network password (also known as the

Secure-RPC password) that you obtained either from your administrator or

from running the nispopulate script.

Please enter the Secure-RPC password for root:

（5）键入“Secure-RPC”口令，还记得建立NIS+表格时设定为“nisplus”吗？

（6）接着键入本机的root口令。

Please enter the login password for root:

Wrote secret key into /etc/.rootkey

Your network password has been changed to your login one.

Your network and login passwords are now the same.

Client initialization completed!!

Please reboot your machine for changes to take effect.

（7）最后重新启动客户机。

NIS+的客户机在名为client1的计算机上已经建立起来了。下面我们需要在这个客户机上添加一个用户。

（1）在client计算机上建立一个普通用户，以这个普通用户登录到Soalris系统中，运行下面命令：

user1prompt% nisclient -u

At the prompt below, type the network password (also known as the

Secure-RPC password) that you obtained either from your administrator

or from running the nispopulate script.

Please enter the Secure-RPC password for user1:

（2）输入Secure-RPC口令后，就创建了普通的NIS+用户。

24.2.4 建立服务器
在创建了根域服务器之后，我们还希望为每个子域创建新的主服务器。比如前面我们介绍的根域Doc.Com.有个子域Sales.Doc.Com.，那么如何建立Sales.Doc.Com.子域的主服务器呢？答案是我们必须首先从根域主服务器来创建客户机，然后再将它们转为根域的复制服务器，随后将它们修改为子域的非根主服务器。

下面我们将用实例来说明，这个例子将分四个部分，它们分别是：

 建立主服务器的复制服务器；

 将复制服务器转为子域主服务器；

 为子域主服务器建立NIS+表格；

 建立子域主服务器的复制服务器。

由于上一节已经建立了客户机，我们就在客户机的基础上进行。

第一部分，在客户机client1上建立根域主服务器的复制服务器。

（1）首先应该在客户机client1上启动NIS+服务。

client1# svcadm enable /network/rpc/nisplus:default

（2）在根域主服务器上，使用下面命令将client1服务器变成根域服务器的复制服务器。

master1# nisserver -R -d doc.com. -h client1

This script sets up a NIS+ replica server for domain doc.com.

Domain name: :doc.com.

NIS+ server : :client1

Is this information correct? (type ’y’ to accept, ’n’ to change)

-R 建立复制服务器。

-d 指定根域。

-h 复制服务器的名字。

（3）键入“y”，继续。

Is this information correct? (type ’y’ to accept, ’n’ to change)

y

This script will set up machine “client1” as an NIS+ replica server for domain

doc.com. without NIS compatibility. The NIS+ server daemon, rpc.nisd, must

be running on client1 with the proper options to serve this domain.

Do you want to continue? (type ’y’ to continue, ’n’ to exit this script)

（4）键入“y”，继续。

Is this information correct? (type ’y’ to continue, ’n’ to exit this script)

y

The system client1 is now configured as a replica server for domain doc.com..

The NIS+ server daemon, rpc.nisd, must be running on client1 with the proper

options to serve this domain. ...

通过上面的步骤，就在客户机client1上建立根域主服务器的复制服务器。

下面进行第二部分，将复制服务器转为子域主服务器。步骤如下：

（1）在根域主服务器上，使用下面命令将client1服务器转为Sales.Doc.Com子域的主服务器。

master1# nisserver -M -d sales.doc.com. -h client1

This script sets up a non-root NIS+ master server for domain sales.doc.com.

Domain name : sales.doc.com.

NIS+ server : client1

NIS+ group : admin.sales.doc.com.

NIS (YP) compatibility : OFF

Security level : 2=DES

Is this information correct? (type ’y’ to accept, ’n’ to change)

（2）键入“y”，继续。

Is this information correct?

(type ’y’ to accept, ’n’ to change) y

This script sets up machine “client1” as an NIS+ non-root master

server for domain sales.doc.com.

Do you want to continue? (type ’y’ to continue, ’n’ to exit this script)

（3）键入“y”，继续。

Do you want to continue? (type ’y’ to continue, ’n’to exit this script)

y

running nissetup ...

org_dir.sales.doc.com. created

groups_dir.sales.doc.com. created

...

...

setting NIS+ group admin.sales.doc.com. ...

The system client1 is now configured as a non-root server for

domain sales.doc.com.

You can now populate the standard NIS+ tables by using the

nispopulate or /usr/lib/nis/nisaddent commands.

第三部分，为子域主服务器建立NIS+表格。

使用下面命令，具体过程请参考24.2.2节中建立表格的过程。

client1# nispopulate -F -p /nis+files -d sales.doc.com.

第四部分，建立子域主服务器的复制服务器。

使用下面命令，具体过程请参考第一部分建立主域主服务器的复制服务器的过程。

Client1# nisserver -R -d sales.doc.com. -h client2

luren04

24.3 NIS+的命令介绍   
在配置了NIS+的各种服务器和主要表之后，接下来看一下如何利用NIS+来实现域的主机和资源的有效管理。本节将介绍一些常用的NIS+命令，它们是用于本地客户机系统NIS+设置显示的nisdefault命令；用于NIS+对象的访问权限设置的nischmod；用于对象查找和查询的nisls命令；用于NIS+表格内容显示、查看NIS+对象的细节的niscat命令。

24.3.1 nisdefaults命令
nisdefaults命令可以用来显示本地系统的当前设置及活动用户状态。该命令通常用于故障分析。下面就是nisdefaults命令的输出：

master% nisdefaults

Principal Name : topadmin.doc.com.

Domain Name : doc.com.

Host Name : rootmaster.doc.com.

Group Name : salesboss

Access Rights : ----rmcdr---r---

Time to live : 12:00:00:00:00

Search Path : doc.com

下面对输出进行解释：

 主用户是topadmin，属于NIS+域doc.com。

 基本域名为doc.com。

 本地系统的主机名为rootmaster.doc.com。

 用户topadmin的基本用户组为salesboss。

 生存期设置为12小时。

 搜索路径是doc.com。

 访问权限是所有者有rmcd（读、修改、创设、删除）的权限；组和所有认证用户有r（读）的权限。

24.3.2 nischmod命令
大家已经通过前面的介绍知道了NIS+命名空间的访问权限和NIS+委托者有四种授权类别，它们分别是rmcd和nogw。下面我们将通过一些例子来说明如何通过这些操作服和操作参数的组合来构成访问权限的字符串。

下面的命令将删除所有非认证用户（n）对于passwd表的修改（m）和创建（c）权限：

master1#nischmod n-cm passwd..org_dir

即使是非认证用户也需要有对passwd表的读权限，以便进行认证。为此，可以通过如下的命令来进行授权：

master1#nischmod n+r passwd.org_dir

为了将某个表的修改和创建的访问权限同时赋给当前用户（本例中为root）及其基本用户组，可以使用下面命令：

master1#nischmod og_cm passwd.org_dir

NIS+的访问权限字符串虽然容易记忆，但是，当我们需要同时对不同用户进行添加和删除某些权限的操作时，要想将它们同时组合到一个命令中就比较困难了，这与Solaris文件系统采用八进制代码来指定文件的绝对访问权限的情况有些不同。但我们也可以通过逗号将每个权限字符串隔开，从而构成一种组合权限字符串。下面的这个命令就采用了这种复杂的权限字符串，它在说明了这种权限字符串的组合方式的同时表明了这种权限字符串的含义解释是具有挑战性的：

maser1#nischmod o=rmcd,g=rmc,w=rm,n=r hosts.org_dir

该命令将下列权限分别赋予了四种不同的用户：

 所有者读、修改、创建和删除。

 用户组读和修改。

 world读和修改。

 nobody只读。

24.3.3 nisls命令
nisls命令是一种查找和查询命令，它可以提供对NIS+目录的查看功能。例如，为了查看所有用本地命名空间创建的NIS+目录，可以使用如下nisls命令：

master# nisls

doc.com.:

org_dir

groups_dir

还可以接着查看org_dir目录的内容，org_dir目录里有命名空间所建立的所有表：

master#nisls org_dir

org_dir.doc.com.:

auto_home

auto_master

bootparams

client_info

cred

ethers

group

hosts

mail_aliases

netgroup

netmasks

passwd

protocols

rpc

sendmailvars

services

timezone

在group目录中，除了包含一个我们早先创建的admin组（它包括所有管理员的列表）外，还有当前域中一些特殊的用户组，它们是依据特定的组织结构创建的：

master#nisls group_dir

group_dir.doc.com.:

admin

adverts

legal

media

24.3.4 niscat命令
niscat命令可以用来获取域中对象的内容，主要包含在NIS+表中的数据。例如，我们可以利用如下的命令来列出域中的所有主机：

master#niscat –h hosts.org_dir

client1.doc.com client1 192.168.3.4

client2.doc.com client2 192.168.9.9

另外，也可以利用niscat命令来检查passwd表的内容：

master#niscat passwd.org_dir

root:uop5Jji7N1T56:0:1:Super-User:/:/bin/csh:9841::::::

daemon:NP:1:1::/::6445::::::

bin:NP:2:2::/usr/bin::6445::::::

listen:*LK*:37:4:Network Admin:/usr/net/nls::::::::

nobody:NP:60001:60001:Nobody:/::6445::::::

noaccess:NP:60002:60002:No Access User:/::6445::::::

guest:NP:14:300:Guest:/hd2/guest:/bin/csh:10658::::::

syscd:qkPu7IcquHRRY:120:10::/usr/syscd:/bin/csh:::::::

peifyAkTGOg/2TCY:819:800ei Fei:/home/peif:/bin/csh:10491::::::

接下来，可以通过再次使用niscat命令来查看这些用户都属于哪些组：

master#niscat group.org_dir

root::0:root

staff::1:client1,client2

bin::2:root,bin,daemon

sys:*:3:root,bin,sys,adm

adm::4:root,adm,daemon

uucp::5:root,uucp

mail::6:root

所有构成本地域的主机都可以根据它们的以太网地址来进行查看。这些查看数据是从ethers表中提取的，它们的显示结果如下所示：

master#niscat ethers.org_dir

1:4a:16:2f:13:b2 client1.doc.com

2f:13:b2:1:02:1e client2.doc.com

域中所定义的所有其他表都可以用niscat命令来查看。这里我们不再一一列举。

luren04

终于发完了，向版主申请加为精华帖。

yuhuohu

LZ的转贴精神真是可歌可泣，赞一个～

可惜图片显示不了啊。。。

[ 本帖最后由 yuhuohu 于 2008-4-14 18:34 编辑 ]