<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN">
<HTML>
<HEAD>
 <META NAME="GENERATOR" CONTENT="SGML-Tools 1.0.9">
<META HTTP-EQUIV="content-type" content="text/html; charset=iso-8859-2">
<TITLE>Opis systemw NIS(YP)/NYS/NIS+ na Linux-ie.</TITLE>


</HEAD>
<BODY>
<H1>Opis systemw NIS(YP)/NYS/NIS+ na Linux-ie.<BR></H1>

<H2>Autor:Thorsten Kukuk
<A HREF="mailto:kukuk@suse.de">kukuk@suse.de</A><BR>
v1.0, 9 Marca 1999<BR>
<B>Wersja polska: Bartosz Maruszewski
<A HREF="mailto:B.Maruszewski@jtz.org.pl">B.Maruszewski@jtz.org.pl</A><BR></B>
v3.0, 9 Sierpnia 1999</H2>
<P><HR>
<EM>   
<!--
HOWTOs!NIS
-->

   
<!--
HOWTOs!YP
-->

   
<!--
HOWTOs!NYS
-->

   
<!--
HOWTOs!NIS+
-->

   Dokument ten opisuje jak skonfigurowa Linux-a, aby dziaa jako
   klient NIS(YP) czy NIS+ oraz jako serwer. Dokument ten zosta
   napisany w standardzie ISO-8859-2.</EM>
<HR>
<H2><A NAME="s1">1. Wprowadzenie.</A></H2>

<P>
<P>Coraz wicej komputerw z Linux-em instalowanych jest jako cz
sieci komputerowych. Aby uproci administracj sieci wikszo
sieci (gwnie oparte na Sun-ach) posiada Network Information
Service. Maszyny Linux-owe mog w peni korzysta z serwera NIS
albo samemu dostarcza tak usug. Linux moe take dziaa jako
peny klient NIS+, obsuga tego jest jeszcze w fazie beta.
<P>Dokument ten prbuje odpowiedzie na pytania dotyczce ustawienia
NIS(YP) i NIS+ na twoim komputerze. Nie zapomnij przeczyta sekcji
na temat 
<A HREF="#portmapper">Portmapper-a RPC</A>.
<P>NIS-HOWTO zajmuje si
<P>
<BLOCKQUOTE><CODE>
<PRE>
        Thorsten Kukuk, &lt;tt/kukuk@vt.uni-paderborn.de/
</PRE>
</CODE></BLOCKQUOTE>
<P>Pierwotnym rdem informacji dla pierwszej wersji NIS-HOWTO byli:
<P>
<BLOCKQUOTE><CODE>
<PRE>
Andrea Dell'Amico       &lt;adellam@ZIA.ms.it>
Mitchum DSouza          &lt;Mitch.DSouza@NetComm.IE>
Erwin Embsen            &lt;erwin@nioz.nl>
Peter Eriksson          &lt;peter@ifm.liu.se>
</PRE>
</CODE></BLOCKQUOTE>
<P>ktrym powinnimy podzikowa za napisanie pierwszych wersji tego
dokumentu.
<P>
<H2>1.1 Nowe wersje tego dokumentu.</H2>

<P>
<P>
<P>Najnowsz wersj tego dokumentu moesz zawsze znale pod adresem
<A HREF="http://www.suse.de/~kukuk/linux/HOWTO/NIS-HOWTO.html">http://www.suse.de/~kukuk/linux/HOWTO/NIS-HOWTO.html</A>.
<P>Najnowsze wersje bd take umieszczane na rnych
serwerach WWW i FTP zwizanych z Linux-em wcznie ze stron LDP.
<P>Odnoniki do tumacze tego dokumentu mona znale pod adresem 
<A HREF="http:///www.suse.de/~kukuk/linux/nis-howto.html">http:///www.suse.de/~kukuk/linux/nis-howto.html</A>.
<P>
<H2>1.2 Zrzeczenie.</H2>

<P>
<P>Pomimo, i dokument ten powsta w jak najlepszej intencji moe i
pewnie zawiera bdy. Czytaj prosz wszystkie pliki README
znajdujce si wraz z oprogramowaniem wymienianym tutaj w celu
uzyskania jak najwieszych informacji. Bd sie stara
aby byo tu jak najmniej bdw.
<P>
<H2>1.3 Komentarze i poprawki.</H2>

<P>
<P>Jeli masz jakie pytania czy poprawki dotyczce tego dokumentu,
pisz miao do Thorstena Kukuk na adres 
<A HREF="mailto:kukuk@suse.de">kukuk@suse.de</A>. Przyjmuj wszelkie sugestie czy
krytyk. Jeli znajdziesz jaki bd daj mi zna prosz, ebym mg
go poprawi w nastpnej wersji. Dziki.
<P>Prosz <EM>nie</EM> przysyaj mi pyta na temat problemw dotyczcych
twojej dystrybucji Linux-a. Nie znam kadej dystrybucji. Ale bd
si stara doda kade rozwizanie jaki mi przylecie.
<P>
<H2>1.4 Podzikowania.</H2>

<P>
<P>Chcielibymy podzikowa wszystkim ludziom, ktrzy przyczynili si
w jaki sposb do powstania i rozwoju tego dokumentu. W porzdku
alfabetycznym:
<P>
<P>
<BLOCKQUOTE><CODE>
<PRE>
Byron A Jeff            &lt;byron@cc.gatech.edu>
Markus Rex              &lt;msrex@suse.de>
Miquel van Smoorenburg  &lt;miquels@cistron.nl>
</PRE>
</CODE></BLOCKQUOTE>
<P>Theo de Raadt jest odpowiedzialny za
oryginalny kod yp-klienta. Swen Thuemmler
przenis ten kod na Linux-a jak rwnie
procedury yp do biblioteki libc (znowu na podstawie pracy
Theo). Thorsten Kukuk napisa od zera procedury NIS(YP) i NIS+ dla
GNU libc 2.x.
<P>
<H2>1.5 Od tumacza.</H2>

<P>
<P>Tumaczenie to jest chronione prawami autorskimi &copy; Bartosza
Maruszewskiego.
Dozwolone jest rozprowadzanie i dystrybucja na prawach takich
samych jak dokument oryginalny.
<P>Jeli znalaze jakie race bdy ortograficzne, gramatyczne,
skadniowe, techniczne to pisz do mnie. Zaznaczam, e nie jestem
biegy w terminologii kryptografii wic wystepuj tu pewnie jakie
dziwne wyraenia, ktre powinienem zapisa inaczej. Jeli wiesz jak
to ma brzmie, napisz;
<P>
<A HREF="mailto:B.Maruszewski@jtz.org.pl">B.Maruszewski@jtz.org.pl</A><P>Oficjaln stron tumacze HOWTO jest
<A HREF="http://www.jtz.org.pl/">http://www.jtz.org.pl/</A><P>Aktualne wersje przetumaczonych dokumentw znajduj si na
teje stronie. Dostpne s take poprzez anonimowe ftp pod adresem
<A HREF="ftp://ftp.jtz.org.pl/JTZ/">ftp.jtz.org.pl</A> w katalogu <CODE>/JTZ/</CODE>.
<P>Przetumaczone przeze mnie dokumenty znajduj si take na
<A HREF="http://www.jtz.org.pl/bartek/tlumaczenie.html">mojej stronie WWW.</A> S tam te odwoania do Polskiej Strony
Tumaczeniowej.
<P>Kontakt z nasz grup, grup tumaczy moesz uzyska poprzez list
dyskusyjn jtz@ippt.gov.pl. Jeli chcesz sie na ni zapisa, to
wylij list o treci <CODE>subscribe jtz Imi Nazwisko</CODE> na adres
<CODE>majordomo@ippt.gov.pl</CODE>
<P>Zmiany w tym dokumencie wprowadzone przez tumacza to
odwoania do polskich serwerw ftp.
<P>
<H2><A NAME="s2">2. Sowniczek i informacje oglne.</A></H2>

<P>
<P>
<H2>2.1 Sowniczek terminw.<!--NIS!sowniczek--><!--YP!sowniczek--><!--NYS!sowniczek--><!--NIS+!sowniczek--><!--sowniczek!NIS/NYS/YP/NIS+--></H2>

<P>
<P>W dokumencie tym wystpuje wiele akronimw. Oto te najwaniejsze i
krtkie wyjanienie:
<P>
<DL>
<DT><B>DBM</B><DD><P>DataBase Management - biblioteka funkcji, ktre obsuguj pary
z kluczem (-key-content) w bazie danych.
<P>
<DT><B>DLL</B><DD><P>Dynamically Linked Library - biblioteka doczana do
wykonywalnego programu podczas jego dziaania.
<P>
<DT><B>domainname</B><DD><P>&quot;Nazwa-klucz&quot;, ktra jest uywana przez
klientw NIS, aby zlokalizowa pasujcy serwer NIS, ktry
udostepnia klucz dla domeny (domainname key). Zauwa prosz, e to
nie koniecznie ma co wsplnego z domen DNS-ow (nazw maszyny).
<P>
<DT><B>FTP</B><DD><P>File Transfer Protocol - protok uywany do przenoszenia plikw
pomidzy komputerami.
<P>
<DT><B>libnsl</B><DD><P>Name services library - biblioteka odwoa &quot;name
service&quot; (getpwnam, getservbyname itp.) na unix-ach SVR4. GNU libc
uywa tego do funkcji NIS (YP) i NIS+.
<P>
<DT><B>libsocket</B><DD><P>Socket services library - biblioteka odwoa obsugi
gniazdek (socket, bind, listen itp.) na unix-ach SVR4.
<P>
<DT><B>NIS</B><DD><P>Network Information Service - serwis ktry udostpnia
informacj, ktra musi by znana poprzez sie dla wszystkich maszyn
w sieci. W standardowej bibliotece Linux-a - libc - jest obsuga
dla NIS, ktra dalej zwana jest &quot;tradycyjnym NIS-em&quot;.
<P>
<DT><B>NIS+</B><DD><P>Network Information Service (Plus :-) - waciwie to taki
NIS na sterydach. NIS+ zosta zaprojektowany przez Sun Microsystems
Inc. jako zastpca NIS-a z lepszym bezpieczestwem i lepsz obsug
_wielkich_ instalacji.
<P>
<DT><B>NYS</B><DD><P>Jest to nazwa projektu, ktry powsta z NIS+, YP i Switch i
zarzdzany jest przez Petera Erikssona
&lt;peter@ifm.liu.se>. Midzy innymi zawiera powtrn implementacj
kodu NIS-a (=YP), ktra uywa funkcjonalnoci Name Service Switch
biblioteki NYS.
<P>
<DT><B>NSS</B><DD><P>Name Service Switch. Plik /etc/nsswitch.conf okrela
kolejno, w jakiej sprawdza si pewne dane informacje.
<P>
<DT><B>RPC</B><DD><P>Remote Procedure Call. Procedury RPC pozwalaj programom w C
odwoywa si do procedur na odlegej maszynie poprzez sie. Kiedy
ludzie mwi o RPC to najczciej maj na myli wariant Sun-a RPC.
<P>
<DT><B>YP</B><DD><P>Yellow Pages(TM) - zarejestrowany znak towarowy w UK firmy
British Telecom plc.
<P>
<DT><B>TCP-IP</B><DD><P>Transmission Control Protocol/Internet Protocol. To
protok komunikacji danych najczciej uywany na maszynach
unix-owych.
</DL>
<P>
<H2>2.2 Troch oglnych informacji.<!--NIS!informacje oglne--><!--YP!informacje oglne--><!--NYS!informacje oglne--><!--NIS+!informacje oglne--></H2>

<P>
<P>Nastpujce 3 linijki to cytat z podrcznika Sun(TM) System &amp; Network
Administration Manual:
<P>
<BLOCKQUOTE><CODE>
<PRE>
"NIS znany by wczeniej jako Sun Yellow Pages (YP), ale nazwa Yellow
Pages(TM) jest zarejestrowanym znakiem towarowym w Zjednoczonym
Krlestwie firmy British Telecom plc i nie moe by uywana bez zgody."
</PRE>
</CODE></BLOCKQUOTE>
<P>NIS to skrt od Network Information Service. Celem jego jest
dostarczanie informacji, ktra musi by znana na sieci dla
wszystkich komputerw. Informacja, ktra najprawdopodobniej bdzie
dystrybuowana to:
<P>
<UL>
<LI>login/hasa/katalogi domowe (/etc/passwd)</LI>
<LI>informacje o grupach (/etc/group)</LI>
</UL>
<P>Jeli na przykad informacja o twoim hale jest zapisana w
bazie hase NIS, bdziesz mg si zalogowa na wszystkich
maszynach na sieci, ktre maj uruchomionego klienta NIS.
<P>Sun jest znakiem towarowym Sun Microsystems, Inc. licencjonowane
dla SunSoft, Inc.
<P>
<H2><A NAME="s3">3. NIS , NYS czy NIS+ ?</A></H2>

<P>
<P>
<H2>3.1 libc 4/5 z tradycyjnym NIS czy NYS ?<!--libc4/5, use with NIS/NYS--><!--NIS/NYS, use with libc4/5--></H2>

<P>
<P>Wybr pomidzy &quot;tradycyjnym NIS&quot; czy kodem NIS w bibliotece NYS
jest wyborem pomidzy lenistwem i rozwojem a elastycznoci i
zamiowaniem do przygody.
<P>Kod &quot;tradycjnego NIS&quot; jest w standardowej bibliotece
C i istnieje ju dugo i czasem cierpi z powodu swojego wieku i
pewnej nieelastycznoci.
<P>Kod NIS w bibliotece NYS wymaga rekompilacji biblioteki libc, aby
wczy do niej kod NYS (albo moesz wzi ju skompilowan wersj
libc od kogo kto ju j skompilowa).
<P>Inn rnic jest to, e &quot;tradycyjny NIS&quot; ma
pewn obsug NIS Netgroups, ktrej  NYS nie ma. Z drugiej
strony NYS pozwala obsugiwa Shadow Passwords w sposb
przezroczysty. &quot;Tradycyjny NIS&quot; nie obsuguje Shadow
passwords przez NIS.
<P>Zapomnij o tym wszystkim jeli uywasz nowej biblioteki GNU C 2.x
(aka libc6). Ma ona rzeczywist obsug NSS (Name Switch Service), co czyni j
bardzo elastyczn oraz zawiera obsug nastpujcych map NIS/NIS+:
aliases, ethers, group, hosts, netgroups, networks, protocols,
publickey, passwd, rpc, services i shadow. Biblioteka GNU C nie ma
adnych problemw z shadow password przez NIS.
<P>
<H2>3.2 NIS czy NIS+ ?<!--NIS vs. NIS+--></H2>

<P>
<P>Wybr midzy NIS a NIS+ jest prosty - uyj NIS-a jeli nie musisz
uywa NIS+ czy nie musisz stosowa zaostrzonego bezpieczestwa. Z
NIS+ jest _o wiele_ wicej kopotw jeli chodzi o administracj
(jest nim cakiem atwo zarzdza od strony klienta, ale serwer to
horror). Innym problemem jest fakt, e wsparcie dla NIS+ w Linux-ie
jest cigle w fazie rozwoju - potrzebujesz najnowszej biblioteki
glibc, albo musisz poczeka na glibc 2.1. Istnieje wersja zastpcza
glibc
z obsug NIS+ dla libc5.
<P>
<H2><A NAME="s4">4. Jak to dziaa.</A></H2>

<P>
<P>
<H2>4.1 Jak dziaa NIS.<!--NIS/YP, teoria dziaania--></H2>

<P>
<P>W caej sieci musi by przynajmniej jedna maszyna dziaajca jako
serwer NIS. Moesz zrobi wicej serwerw NIS, kady dla innej
&quot;domeny&quot; NIS - albo moesz mie wsppracujce
serwery NIS, gdzie jeden ma by gwnym serwerem NIS (master) a
wszystkie inne s tak zwanymi slave NIS servers (to znaczy dla
pewnej &quot;domeny&quot; NIS!) - albo moesz to pomiesza.
<P>Serwery slave posiadaj tylko kopi baz danych NIS i otrzymuj te
kopie od gwnego serwera NIS kiedy tylko robione s jakie zmiany
w gwnej bazie. W zalenoci od liczby komputerw w twojej sieci,
moesz zdecydowa si na instalacj jednego lub wikszej iloci
serwerw slave. Kiedy tylko serwer NIS jest unieruchamiany (goes
down) albo jest zbyt wolny w odpowiedziach na dania, klient NIS-a
podczony do tego serwera sprbuje znale ten, ktry dziaa albo
jest szybszy.
<P>Bazy danych NIS s w tak zwanym formacie DBM, pochodzcym od baz
danych ASCII. Na przykad, pliki <CODE>/etc/passwd</CODE> i
<CODE>/etc/group</CODE> mog by bezporednio zamienione na DBM przy
pomocy oprogramowania translacyjnego ASCII-na-DBM
(&quot;makedbm&quot; - dostarczanym wraz z
serwerem). Gwny serwer NIS powinien posiada obie bazy - tak
ASCII jak i DBM.
<P>Serwery slave zostan powiadomione o kadej zmianie w mapach NIS,
(poprzez program &quot;yppush&quot;) i automatycznie uaktualni
owe zmiany, aby zsynchronizowa swoje bazy danych. Klienci NIS nie
musz tego robi poniewa oni zawsze cz si z serwerem NIS, aby
odczyta informacje zapisane w bazach danych DBM.
<P>Stare wersje ypbind wysyaj adres rozgoszeniowy (broadcast), aby
znale dziaajcy serwer NIS. Jest to niebezpieczne poniewa kady
moe zainstalowa serwer NIS i odpowiedzie na takie zapytanie.
Nowsze wersje ypbind (3.3 czy mt) pobieraj adres serwera z pliku
konfiguracyjnego - i nie ma potrzeby wysyania adresu
rozgoszeniowego.
<P>
<H2>4.2 Jak dziaa NIS+.<!--NIS+!teoria dziaania--></H2>

<P>
<P>NIS+ to nowa wersja &quot;network information nameservice&quot;
z Sun-a. Najwiksz rnic pomidzy NIS i NIS+ jest obsuga
kodowania danych i autentykacja poprzez bezpieczne RPC w NIS+.
<P>Model nazewnictwa w NIS+ jest zbudowany w postaci struktury
drzewiastej. Kady wze w drzewie odpowiada objektowi NIS+,
ktrych mamy sze typw: katalog, pozycja (entry), grupa,
doczenie, tablica i prywatne.
<P>Katalog NIS+, ktry tworzy podstaw przestrzeni nazw w NIS+ nazywa
si katalogiem &quot;root&quot;. S dwa specjalne katalogi NIS+:
org_dir i groups_dir. Katalog org_dir skada si z wszystkich
tablic administracyjnych, takich jak passwd, hosts i mail_aliases.
Katalog groups_dir skada si z grup objektw NIS+, ktre uywane
s do kontroli dostpu. Kolekcja org_dir, groups_dir i ich
katalogw nadrzdnych to domena NIS+.
<P>
<H2><A NAME="portmapper"></A> <A NAME="s5">5. Portmapper RPC</A><!--RPC portmapper--><!--portmapper, RPC--><!--NIS!uycie RPC portmappera--></H2>

<P>
<P>Aby mc uruchomi jakikolwiek z wymienionych poniej programw,
bdziesz musia uruchomi program /usr/bin/portmap. Niektre
dystrybucje maj skrypt uruchamiajcy ten demon w plikach
startowych /sbin/init.d/ czy /etc/rc.d/. Wszystko co musisz zrobi,
to uaktywni go i zrestartowa komputer. Przeczytaj dokumenctaj
dostarczon wraz z dystrybucj, aby si dowiedzie jak to zrobi.
<P>Portmapper RPC (portmap(8)) jest serwerem, ktry zamienia numery
programowe RPC na numery portw protokou TCP/IP (albo UDP/IP). 
Musi by on uruchomiony, aby mc uywa na tej maszynie odwoa RPC
(co wanie robi oprogramowanie klienta NIS/NIS+) do serwerw RPC
(takich jak serwer NIS czy NIS+). Kiedy serwer RPC jest
startowany, poinformuje on portmap-a na ktrych portach
nasuchuje, i jakimi numerami programowymi RPC moe suy. Kiedy
klient chce odwoa si przez RPC do danego numeru programowego,
najpierw skontaktuje si z portmap-em na maszynie serwerowej, aby
okreli numer portu, do ktrego naley wysa pakiety RPC.
<P>Normalnie, standardowe serwery RPC s startowane przez inetd(8),
wic portmap musi dziaa zanim wystartuje inetd.
<P>Dla bezpieczestwa portmapper potrzebuje serwisu czasu (Time
Service). Upewnij si czy serwis ten jest wczony w
/etc/inetd.conf na wszystkich hostach:
<P>
<BLOCKQUOTE><CODE>
<PRE>
#
# Time service is used for clock syncronization.
#
time    stream  tcp     nowait  nobody  /usr/sbin/tcpd  in.timed
time    dgram   udp     wait    nobody  /usr/sbin/tcpd  in.timed
</PRE>
</CODE></BLOCKQUOTE>
<P>WANE: Nie zapomnij zresetowa (kill -HUP) inetd-a po dokonaniu
zmian jego pliku konfiguracyjnym !
<P>
<H2><A NAME="s6">6. Czego potrzebujesz, aby ustawi NIS?</A><!--NIS!ustawianie--></H2>

<P>
<P>
<H2>6.1 Sprawd czy jeste serwerem, serwerem slave czy klientem.</H2>

<P>
<P>Aby odpowiedzie na to pytanie musisz rozway dwa przypadki:
<P>
<OL>
<LI>Twoja maszyna bdzie czci sieci z istniejcymi serwerami
NIS.</LI>
<LI>Nie masz jeszcze adnego serwera NIS w sieci.</LI>
</OL>
<P>W pierwszym przypadku potrzebujesz tylko programw klienta (ypbind,
ypwhich, ypcat, yppoll, ypmatch). Najwaniejszym programem jest
ypbind. Program ten musi by uruchomiony przez cay czas, to
znaczy powinien zawsze pojawia si w licie procesw. Jest to
proces-demon i musi by startowany z plikw startowych
systemu (np. /etc/init.d/nis, /sbin/init.d/ypclient, /etc/rc.local,
/etc/rc.d/init.d/ypbind).<BR>
Jak tylko ypbind jest uruchomiony, twj komputer staje si
klientem NIS.
<P>W drugim przypadku, jeli nie masz serwerw NIS, to bdziesz take
potrzebowa programu serwera NIS (zwykle zwanego ypserv). Sekcja
<A HREF="#ypserv">Konfiguracja serwera NIS</A>
opisuje jak ustawi serwer NIS na twojej maszynie Linux-owej przy
pomocy implementacji &quot;ypserv&quot; Petera Erikssona i
Thorstena Kukuka.<BR>
Zauwa, e od wersji 0.14 implementacja ta obsuguje koncept
master-slave omwiony w sekcji 4.1.
<P>Jest jeszcze jeden darmowy serwer NIS, zwany &quot;yps&quot;,
napisany przez Tobiasa Rebera w Niemczech, ktry obsuguje koncept
master-slave, ale ma inne ograniczenia i nie jest wspierany od
dugiego czasu.
<P>
<H2>6.2 Oprogramowanie.<!--NIS!wymagane biblioteki--></H2>

<P>
<P>Biblioteka systemowa &quot;/usr/lib/libc.a&quot; (wersja 4.4.2 i
nowsza) czy biblioteka dzielona &quot;/lib/libc.so.x&quot;
zawieraj wszystkie odwoania systemowe niezbdne do skompilowania
oprogramowania klienta i serwera NIS. Do biblioteki glibc 2.x,
potrzebujesz take biblioteki /lib/libnsl.so.1.
<P>Niektrzy podawali, e NIS dziaa tylko z
&quot;/usr/lib/libc.a&quot; w wersji 4.5.21 i nowszej, wic
jeli chcesz by zabezpieczony, to nie uywaj starszych bibliotek.
Oprogramowanie klienckie NIS mona znale w:
<P>
<BLOCKQUOTE><CODE>
<PRE>
  Adres                 Katalog                          Nazwa Pliku


  ftp.kernel.org        /pub/linux/utils/net/NIS         yp-tools-2.2.tar.gz
  ftp.kernel.org        /pub/linux/utils/net/NIS         ypbind-mt-1.4.tar.gz
  ftp.kernel.org        /pub/linux/utils/net/NIS         ypbind-3.3.tar.gz
  ftp.kernel.org        /pub/linux/utils/net/NIS         ypbind-3.3-glibc5.diff.gz
  ftp.uni-paderborn.de  /linux/local/yp                  yp-clients-2.2.tar.gz 
  ftp.icm.edu.pl        /pub/Linux/sunsite/system/network/admin yp-clients-2.2.tar.gz
</PRE>
</CODE></BLOCKQUOTE>
<P>[Od tumacza: Jeli jeste w Polsce, to uyj raczej tego
ostatniego adresu.]
<P>Jak ju masz oprogramowanie, postpuj zgodnie z instrukcjami
przychodzcymi wraz z nim. yp-clients 2.2 nadaje si do uytku z libc4 i
libc5 a do 5.4.20. libc 5.4.21 i glibc 2.x potrzebuj yp-tools
1.4.1 lub nowsze. Nowe yp-tools 2.0 bd dzia z kad bibliotek libc dla
Linux-a. Poniewa by pewien bd w kodzie NIS-a nie powiniene
uywa libc 5.4.21-35. W zamian uyj 5.4.36 lub nowszej, inaczej
wikszo programw YP nie bdzie dziaaa. ypbind 3.3 bdzie
dziaa take ze wszystkimi bibliotekami. Jeli uywasz gcc 2.8.x
lub nowszej wersji, egcs lub glibc 2.x, to powiniene naoy at
ypbind-3.3-glibc5.diff na ypbind 3.3. Nie powiniene nigdy uywa
ypbind z yp-clients 2.2. ypbind-mt jest nowym, wielowtkowym
demonem; do dziaania potrzebuje  jdra w wersji 2.2 i glibc 2.1
lub nowszej.
<P>
<H2>6.3 Demon ypbind.<!--NIS!demon ypbind--><!--demon ypbind NIS--><!--demon!ypbind--></H2>

<P>
<P>Zakadajc, e udao ci si skompilowa oprogramowanie jeste
gotowy do zainstalowania go. Odpowiednim miejscem dla demona
ypbind bdzie /usr/sbin. Niektrzy mog ci mwi, e nie
potrzebujesz ypbind w systemie z NYS. Jest to bdne, gdy ypwhich
i ypcat potrzebuj go.
<P>Bdziesz to oczywicie musia zrobi jako root. Inne programy
(ypwhich, ypcat, yppoll, ypmatch) powinny znale si w katalogu
dostpnym dla wszystkich uytkownikw, zwykle /usr/bin.
<P>Nowsze wersje ypbind posiadaj plik konfiguracyjny - /etc/yp.conf. Moesz
tam na stae wpisa serwer NIS - wicej informacji w
podrczniku systemowym - man ypbind(8).<BR>
Potrzebujesz tego pliku take do NYS. Przykad:
<P>
<BLOCKQUOTE><CODE>
<PRE>
  ypserver voyager
  ypserver defiant
  ypserver ds9
</PRE>
</CODE></BLOCKQUOTE>
<P>Jeli system moe rozwin nazw bez NIS, to mgby uy tej
nazwy. W przeciwnym wypadku musisz uy adresu IP. W ypbind 3.3
jest bd; tylko ostatni adres zostanie uyty (ds9 w tym
przykadzie). Wszystkie pozostae pozycje zostan zignorowane.
ypbind-mt obsuy to poprawnie i uyje tego, ktry odpowiedzia
pierwszy.
<P>Dobrym pomysem bdzie przetestowanie ypbind przed wprowadzeniem
go do plikw startowych. Aby to zrobi postpuj tak:
<P>
<UL>
<LI>Upewnij si, e masz ustawion nazw domeny YP. Jeli nie, to
wydaj polecenie:
   
<BLOCKQUOTE><CODE>
<PRE>
            /bin/domainname domena.nis
</PRE>
</CODE></BLOCKQUOTE>


gdzie <CODE>domena.nis</CODE> powinno by jakim acuchem zwykle _NIE_
zwizanym z DNS-em twojej maszyny! Powodem tego jest, to e
zewntrznym wamywaczom jest wtedy troch trudniej zdoby baz
danych z hasami z twojego serwera NIS. Jeli nie wiesz jaka jest
nazwa domeny NIS w twojej sieci, to zapytaj swojego administratora.
   </LI>
<LI>uruchom &quot;/usr/bin/portmap&quot; jeli nie jest jeszcze
uruchomiony.</LI>
<LI>stwrz katalog &quot;/var/yp&quot; jeli go nie ma.</LI>
<LI>uruchom &quot;/usr/bin/ypbind&quot;</LI>
<LI>uyj polecenia &quot;rpcinfo -p localhost&quot;, aby
sprawdzi czy ypbind zarejestrowa swj serwis u portmapper-a.
Co takiego powinno si pojawi na ekranie: 
   
<BLOCKQUOTE><CODE>
<PRE>
       program vers proto   port
        100000    2   tcp    111  portmapper
        100000    2   udp    111  portmapper
        100007    2   udp    637  ypbind
        100007    2   tcp    639  ypbind
</PRE>
</CODE></BLOCKQUOTE>


lub

<BLOCKQUOTE><CODE>
<PRE>
       program vers proto   port
        100000    2   tcp    111  portmapper
        100000    2   udp    111  portmapper
        100007    2   udp    758  ypbind
        100007    1   udp    758  ypbind
        100007    2   tcp    761  ypbind
        100007    1   tcp    761  ypbind
</PRE>
</CODE></BLOCKQUOTE>


Zalenie od wersji ypbind jakiej uywasz.
</LI>
<LI>moesz take uruchomi &quot;rpcinfo -u localhost
ypbind&quot;. Polecenie to powinno da mniej wicej taki wynik:
   
<BLOCKQUOTE><CODE>
<PRE>
        program 100007 version 2 ready and waiting
</PRE>
</CODE></BLOCKQUOTE>


lub

<BLOCKQUOTE><CODE>
<PRE>
        program 100007 version 1 ready and waiting
        program 100007 version 2 ready and waiting
</PRE>
</CODE></BLOCKQUOTE>


Wynik ten zaley od wersji ypbind, ktr zainstalowae. Wan
wiadomoci jest tutaj tylko &quot;version 2&quot;.
</LI>
</UL>
<P>W tym momencie powiniene mc uywa programw klienckich NIS
takich jak ypcat itp... Na przykad &quot;ypcat passwd.byname&quot;
poda ci ca baz danych NIS z hasami.
<P>WANE: Jeli pomine test, to upewnij si, e ustawie nazw
domeny i stworzye katalog
<P>
<BLOCKQUOTE><CODE>
<PRE>
    /var/yp
</PRE>
</CODE></BLOCKQUOTE>
<P>Ten katalog MUSI istnie, aby ypbind poprawnie si uruchomi.
<P>Aby sprawdzi czy nazwa domeny zostaa ustawiona poprawnie uyj
programu /bin/ypdomainname z pakietu yp-tools 2.2. Uywa on funkcji
yp_get_default_domain(), ktra jest bardziej restrykcyjna. na
przykad nie pozwala na domen "(none)", ktra jest domyln w
Linux-ie. i stwarza wiele kopotw.
<P>Jeli test si powid moesz tera zmodyfikowa pliki w skryptach
startowych
twojego systemu, tak eby ypbind startowa podczas startu systemu.
Upewnij si, e nazwa domeny zostanie ustawiona zanim wystartujesz
ypbind.
<P>C, to wszystko. Zresetuj komputer i obserwuj komunikaty podczas
startu, eby zobaczy czy ypbind waciwie wystartowa.
<P>
<H2>6.4 Ustawianie kilenta NIS przy uyciu Tradycyjnego NIS-a.<!--NIS!ustawianie klienta--></H2>

<P>
<P>Do sprawdzania nazw musisz ustawi (albo doda) &quot;nis&quot;,
do linii kolejnoci sprawdzania w pliku /etc/host.conf. Przeczytaj
stron podrcznika systemowego &quot;resolv+.8&quot;, aby
dowiedzie si wicej szczegw.
<P>Na maszynach klienckich dodaj nastpujc lini w /etc/passwd:
<P>
<BLOCKQUOTE><CODE>
<PRE>
+::::::
</PRE>
</CODE></BLOCKQUOTE>
<P>Moesz take uy znaczkw +/-, aby wczy/wyczy lub zmieni
uytkownikw. Jeli chcesz wyczy uytkownika guest dodaj -guest
do swojego pliku /etc/passwd. Chcesz uy innej powoki (np. ksh)
dla uytkownika &quot;linux&quot;? Nie ma problemu, po prostu
dodaj do swojego /etc/passwd &quot;+linux::::::/bin/ksh&quot;
(bez cudzysowiw). Pola, ktrych nie chcesz zmienia musz
pozosta puste. Mgby take uy Netgroups do kontroli
uytkownikw.
<P>Na przykad, aby pozwoli tylko miquels, dth, ed i wszystkim czonkom
grupy sieciowej sysadmin na login, ale eby dane o
kontach wszystkich innych uytkownikw byy dostpne uyj:
<P>
<BLOCKQUOTE><CODE>
<PRE>
      +miquels:::::::
      +ed:::::::
      +dth:::::::
      +@sysadmins:::::::
      -ftp
      +:*::::::/etc/NoShell
</PRE>
</CODE></BLOCKQUOTE>
<P>Zauwa, e na Linuksie moesz take zmieni pole z hasem, jak to
zrobilimy w tym przykadzie. Usunlimy take login
&quot;ftp&quot;, tak wic nie jest on ju znany i anonimowe ftp
nie bdzie dziaa.
<P>Netgroup wygldaoby tak:
<P>
<BLOCKQUOTE><CODE>
<PRE>
sysadmins (-,software,) (-,kukuk,)
</PRE>
</CODE></BLOCKQUOTE>
<P>WANE: Cecha netgroup jest zaimplementowana poczwszy
od libc 4.5.26. Jeli masz wersj biblioteki wczeniejsz ni
4.5.26, kady uytkownik w bazie danych z hasami ma dostp do
twojego Linux-a jeli masz uruchomiony &quot;ypbind&quot;.
<P>
<H2>6.5 Ustawianie klienta NIS uywajc NYS.<!--NYS!ustawianie klienta--></H2>

<P>
<P>Wszystko co jest potrzebne, to to, eby plik konfiguracyjny
(/etc/yp.conf) wskazywa na poprawn-y/e serwer(y). Take plik
konfiguracyjny Name Service Switch (/etc/nsswitch.conf) musi by
poprawnie ustawiony.
<P>Powiniene zainstalowa ypbind. Nie jest on potrzebny dla libc,
ale narzdzia NIS(YP) go potrzebuj.
<P>Jeli chcesz uywa cechy wczania/wyczania uytkownika
(+/-guest/+@admins), musisz uy &quot;passwd: compat&quot; i
&quot;group: compat&quot; w pliku nsswitch.conf. W tym przypadku
musisz uy &quot;shadow: files nis&quot;
<P>rda NYS s czci rde libc 5. Kiedy uruchamiasz configure,
za pierwszym razem odpowiedz &quot;NO&quot; na pytanie
&quot;Values correct&quot;, potem odpowiedz &quot;YES&quot;,
na &quot;Build a NYS libc from nys&quot;.
<P>
<H2>6.6 Ustawianie klienta NIS uywajc glibc 2.x<!--NIS!ustawianie klienta!uywajc glibc 2.x--></H2>

<P>
<P>Glibc uywa &quot;tradycyjnego NIS&quot;, tak wic musisz
uruchomi ypbind. Plik konfiguracyjny Name Service Switch
(/etc/nsswitch.conf) musi by poprawnie ustawiony. Jeli  uywasz
trybu kompatybilnego z passwd, shadow czy group, musisz doda
&quot;+&quot; na kocu tego pliku, i moesz uywa cechy
wczania/wyczania uytkownika. Konfiguracja jest dokadnie taka
sama jak pod Solaris-em 2.x.
<P>
<H2>6.7 Plik nsswitch.conf<!--plik nsswitch.conf--><!--NIS!plik nsswitch.conf--></H2>

<P>
<P>Plik /etc/nsswitch.conf okrela kolejno w jakiej odbywa si
sprawdzanie kiedy pojawi si danie pewnej informacji, tak samo
jak plik /etc/host.conf, ktry okrela kolejno sprawdzania
adresw hostw. Na przykad linia:
<P>
<BLOCKQUOTE><CODE>
<PRE>
    hosts: files nis dns
</PRE>
</CODE></BLOCKQUOTE>
<P>okrela, e funkcje sprawdzania adresw hostw powinny najpierw
szuka w lokalnym pliku /etc/hosts, potem w bazie NIS i na kocu w
DNS-ie (/etc/resolv.conf i named), gdzie jeli nie znaleziono
odpowiedzi pojawia si bd. Ten plik musi by czytelny dla kadego
uytkownika. Wicej informacji znajdziesz na stronie podrcznika
systemowego nsswicth.5 lub nsswitch.conf.5.
<P>Poprawny plik /etc/nsswitch.conf dla NIS:
<P>
<BLOCKQUOTE><CODE>
<PRE>
#
# /etc/nsswitch.conf
#
# An example Name Service Switch config file. This file should be
# sorted with the most-used services at the beginning.
#
# Pozycja '[NOTFOUND=return]' oznacza, e poszukiwania powinny
# zakoczy si, jeli poszukiwania w poprzedniej pozycji nic nie
# day. Zauwa, e jeli poszukiwania nie powiody si z
# jakich innych powodw (jak nie odpowiadajcy serwer NIS), to
# poszukiwania s kontynuowane z nastpn pozycj.
#
# Poprawne pozycje to:
#
#       nisplus                 Use NIS+ (NIS version 3)
#       nis                     Use NIS (NIS version 2), also called YP
#       dns                     Use DNS (Domain Name Service)
#       files                   Use the local files
#       db                      Use the /var/db databases
#       [NOTFOUND=return]       Stop searching if not found so far
#

passwd:     compat
group:      compat
# Jeli masz libc5 musisz uy shadow: files nis
shadow:     compat

passwd_compat: nis
group_compat: nis
shadow_compat: nis

hosts:      nis files dns

services:   nis [NOTFOUND=return] files
networks:   nis [NOTFOUND=return] files
protocols:  nis [NOTFOUND=return] files
rpc:        nis [NOTFOUND=return] files
ethers:     nis [NOTFOUND=return] files
netmasks:   nis [NOTFOUND=return] files
netgroup:   nis
bootparams: nis [NOTFOUND=return] files
publickey:  nis [NOTFOUND=return] files
automount:  files
aliases:    nis [NOTFOUND=return] files
</PRE>
</CODE></BLOCKQUOTE>
<P>passwd_compat, group_compat i shadow_compat s obsugiwane tylko
przez glibc 2.x. Jeli nie ma zasad (rules) shadow w /etc/nsswitch.conf,
glibc uyje zasady (rule) passwd do sprawdzenia. Jest wicej moduw
szukania dla glibc jak hesoid. Wicej informacji znajdziesz
w dokumentacji glibc.
<P>
<H2>6.8 Shadow Passwords z NIS i PAM.<!--NIS!shadow passwords--></H2>

<P>
<P>Shadow passwords przez NIS to zawsze zy pomys. Stracie ochron,
ktr daje shadow passwords i tylko niewiele bibliotek C ma obsug
takiej kombinacji. Dobrym pomysem na uniknicie
przesyania shadow paswords przez NIS jest umieci tylko
uytkownikw lokalnego systemu do pliku /etc/shadow. Usu pozycje
dotyczce uytkownikw NIS z bazy shadow i umie haso spowrotem
w passwd. Tak e moesz uywa shadow dla logowania si jako root i
normalnych hase dla uytkownikw NIS. Ma to t zalet, e bdzie
to dziaao z kadym klientem NIS.
<P>
<H3>Linux</H3>

<P>
<P>Jedyn bibliotek jaka obsuguja kombinacj Shadow passwords prze
NIS jest libc 2.x. Libc5 nie potrafi tego obsuy. Libc5
skompilowana z obsug NYS posiada troch kodu na ten temat. Jednak
kod ten jest miernej wartoci i nie dziaa poprawnie z wszystkimi
pozycjami shadow.
<P>
<H3>Solaris</H3>

<P>
<P>Solaris nie obsuguje takiej kombinacji w ogle.
<P>
<H3>PAM<!--PAM!shadow passwords--></H3>

<P>
<P>PAM nie obsuguje Shadow Passwords przez NIS,a szczeglnie
pam_pwdb/libpwdb. Jest to powany problem dla uytkownikw RedHat
5.x. Jeli masz glibc i PAM, to musisz zmieni pozycje w plikach
/etc/pam.d/*. Zamie wszystkie zasady dotyczce pam_pwdb na moduy
pam_unix_*. Z powodu bdu w module pam_unix_auth.so nie bdzie on
zawsze dziaa.
<P>Przykadowy plik /etc/pam.d/login moe wyglda tak:
<P>
<BLOCKQUOTE><CODE>
<PRE>
#%PAM-1.0
auth       required    /lib/security/pam_securetty.so
auth       required    /lib/security/pam_unix_auth.so
auth       required    /lib/security/pam_nologin.so
account    required    /lib/security/pam_unix_acct.so
password   required    /lib/security/pam_unix_passwd.so
session    required    /lib/security/pam_unix_session.so
</PRE>
</CODE></BLOCKQUOTE>
<P>
<P>Do autoryzacji potrzbujesz moduu pam_unix_auth.so, do kont
pam_unix_acct.so, do hase pam_unix_passwd.so a do sesji
pam_unix_session.so.
<P>
<H2><A NAME="s7">7. Czego potrzebujesz do ustawienia NIS+?</A></H2>

<P>
<P>
<H2>7.1 Oprogramowanie.<!--NIS+!wymagane oprogramowanie--></H2>

<P>
<P>Klient dla NIS+ na Linuxa zosta napisany dla biblioteki GNU C 2.
Jest take wersja dla libc5, poniewa wikszo komercyjnych
aplikacji jest z ni skompilowane i nie mona ich przekompilowa z
bibliotek glibc. Z bibliotek t i NIS+ s problemy: Nie mgby
doczy statycznie tej biblioteki do programw i programy
skompilowane z t bibliotek nie bd dziaay z inn.
<P>Musisz cign i skompilowa najnowsz bibliotek GNU C 2.1 dla
platformy Intela albo biblioteki GNU C 2.1.1 dla platform
64-bitowych.
Potrzebujesz take systemu opartego na glibc jak RedHat 5.x,
Debian 2.x czy SuSE Linux 6.x.
<P>W kadej dystrybucji musisz przekompilowa kompilator gcc/g++,
libstdc++ i ncurses. W RedHat musisz wiele zmieni w konfiguracji
PAM. W SuSE 6.0 musisz przekompilowa pakiet Shadow Passwords.
<P>Oprogramowanie klienckie NIS+ mona pobra z:
<P>
<BLOCKQUOTE><CODE>
<PRE>
  Adres                  Katalog                    Nazwa Pliku

  ftp.funet.fi     /pub/gnu/funet                libc-*, glibc-crypt-*,
                                                 glibc-linuxthreads-*
  ftp.kernel.org   /pub/linux/utils/net/NIS+     nis-utils-19990223.tar.gz
  ftp.kernel.org   /pub/linux/utils/net/NIS+     pam_keylogin-1.2.tar.gz
</PRE>
</CODE></BLOCKQUOTE>
<P>Dystrybucje oparte na glibc mona cign z:
<P>
<BLOCKQUOTE><CODE>
<PRE>
  Adres                  Katalog

  ftp.redhat.com         /pub/redaht/redhat-5.2
  ftp.debian.org         /pub/debian/dists/stable
  ftp.icm.edu.pl         /pub/Linux/redhat
  ftp.icm.edu.pl         /pub/Linux/debian
</PRE>
</CODE></BLOCKQUOTE>
<P>
<P>[Od tumacza: Jeli jeste w Polsce, to uyj dwch ostatnich
adresw.]
<P>Aby skompilowa bibliotek GNU C postpuj zgodnie z instrukcjami
doczonymi do niej. Tutaj moesz znale zaatan libc5, opart o
rda NYS i glibc zamiast standardowej libc5:
<P>
<BLOCKQUOTE><CODE>
<PRE>
  Adres                  Katalog                    Nazwa Pliku
  ftp.kernel.org     /pub/linux/utils/net/NIS+  libc-5.4.44-nsl-0.4.10.tar.gz
</PRE>
</CODE></BLOCKQUOTE>
<P>Powiniene take zajrze do 
<A HREF="http://www.suse.de/~kukuk/linux/nisplus.html">http://www.suse.de/~kukuk/linux/nisplus.html</A>,
aby zdoby wicej informacji i najnowsze rda.
<P>
<H2>7.2 Konfiguracja klienta NIS+.<!--NIS+!konfiguracja klienta--></H2>

<P>
<P>WANE: Aby ustawi klienta NIS+, przeczytaj dokumenctaj do NIS+
na Solaris-a, aby si dowiedzie co zrobi po stronie serwera !
Dokument ten opisuje tylko co zrobi po stronie klienta !
<P>Po zainstalowaniu nowej biblioteki libc i nis-tools stwrz listy
uwierzytelniajce dla nowego klienta na serwerze NIS+. Upewnij si,
e dziaa portmap. Potem sprawd czy na twoim Linux-ie jest ten sam
czas co na serwerze. W bezpiecznym RPC masz tylko 3 minuty, w cigu
ktrych listy uwierzytelniajce s aktualne. Dobrym pomysem jest
uruchomienie na wszystkich hostach xntpd. Potem uruchom
<P>
<BLOCKQUOTE><CODE>
<PRE>
domainname domena.nisplus
nisinit -c -H &lt;serwer NIS+>
</PRE>
</CODE></BLOCKQUOTE>
<P>aby zainicjalizowa zimny start file. Przeczytaj stron
podrcznika systemowego o nisinit i znajd jego opcje. Upewnij
si, e nazwa domeny bdzie zawsze ustawiona po resecie. Jeli nie
wiesz jaka jest nazwa domeny w twojej sieci, zapytaj
administratora.
<P>Teraz powiniene zmieni swj plik konfiguracyjny
/etc/nsswitch.conf. Upewnij si, e jedynym serwisem po publickey
jest nisplus (&quot;publickey: nisplus&quot;) i nic wicej !
<P>Potem uruchom keyserv i upewnij si, e zawsze bdzie startowany
jako nastpy demon po portmaperze podczas startu. Uruchom:
<P>
<BLOCKQUOTE><CODE>
<PRE>
keylogin -r
</PRE>
</CODE></BLOCKQUOTE>
<P>aby zapisa tajny klucz (secretkey) root-a na twoim systemie. (Mam
nadziej, e dodae klucz publiczny dla nowego hosta na serwerze
NIS+?).
<P>&quot;niscat passwd.org_dir&quot; powinno pokaza ci teraz
wszystkie pozycje w bazie danych z hasami.
<P>
<H2>7.3 NIS+, keylogin, login i PAM.<!--NIS+!uycie PAM z--></H2>

<P>
<P>Kiedy uytkownik si loguje musi ustawi swj tajny klucz dla
keyserv-a. Robi si to przez wywoanie &quot;keylogin&quot;.
Login z pakietu shadow zrobi to za uytkownika jeli zosta
skompilowany z bibliotek glibc 2.1. W przypadku
login-u PAM musisz zainstalowa pam_keylogin-1.2.tar.gz i
zmodyfikowa plik /etc/pam.d/login, tak aby uywa pam_unix_auth,
a nie pwdb, ktre nie obsuguje NIS+. Na przykad:
<P>
<BLOCKQUOTE><CODE>
<PRE>
#%PAM-1.0
auth       required     /lib/security/pam_securetty.so
auth       required     /lib/security/pam_keylogin.so
auth       required     /lib/security/pam_unix_auth.so
auth       required     /lib/security/pam_nologin.so
account    required     /lib/security/pam_unix_acct.so
password   required     /lib/security/pam_unix_passwd.so
session    required     /lib/security/pam_unix_session.so
</PRE>
</CODE></BLOCKQUOTE>
<P>
<H2>7.4 Plik nsswitch.conf.<!--plik nsswitch.conf--><!--NIS+!plik nsswitch.conf--></H2>

<P>
<P>Plik /etc/nsswitch.conf okrela kolejno w jakiej odbywa si
sprawdzanie kiedy pojawi si danie pewnej informacji, tak samo
jak plik /etc/host.conf, ktry okrela kolejno sprawdzania
adresw hostw. Na przykad linia:
<P>
<BLOCKQUOTE><CODE>
<PRE>
    hosts: files nis dns
</PRE>
</CODE></BLOCKQUOTE>
<P>okrela, e funkcje sprawdzania adresw hostw powinny najpierw
szuka w lokalnym pliku /etc/hosts, potem w bazie NIS i na kocu w
DNS-ie (/etc/resolv.conf i named), gdzie jeli nie znaleziono
odpowiedzi, to zwracany jest bd.
<P>Poprawny plik /etc/nsswitch.conf dla NIS:
<P>
<BLOCKQUOTE><CODE>
<PRE>
#
# /etc/nsswitch.conf
#
# An example Name Service Switch config file. This file should be
# sorted with the most-used services at the beginning.
#
# Pozycja '[NOTFOUND=return]' oznacza, e poszukiwania powinny
# zakoczy si, jeli poszukiwania w poprzedniej pozcyji nic nie
# day. Zauwa, e jeli poszukiwania nie powiody si z
# jakich innych powodw (jak nie odpowiadajcy serwer NIS), to
# poszukiwania s kontynuowane z nastpn pozycj.
#
# Poprawne pozycje to:
#
#       nisplus                 Use NIS+ (NIS version 3)
#       nis                     Use NIS (NIS version 2), also called YP
#       dns                     Use DNS (Domain Name Service)
#       files                   Use the local files
#       db                      Use the /var/db databases
#       [NOTFOUND=return]       Stop searching if not found so far
#

passwd:     compat
# dla libc5: passwd: files nisplus
group:      compat
# dla libc5: group: files nisplus
shadow:     compat
# dla libc5: shadow: files nisplus

passwd_compat: nisplus
group_compat: nisplus
shadow_compat: nisplus

hosts:      nisplus files dns

services:   nisplus [NOTFOUND=return] files
networks:   nisplus [NOTFOUND=return] files
protocols:  nisplus [NOTFOUND=return] files
rpc:        nisplus [NOTFOUND=return] files
ethers:     nisplus [NOTFOUND=return] files
netmasks:   nisplus [NOTFOUND=return] files
netgroup:   nisplus
bootparams: nisplus [NOTFOUND=return] files
publickey:  nisplus [NOTFOUND=return] files
automount:  files
aliases:    nisplus [NOTFOUND=return] files
</PRE>
</CODE></BLOCKQUOTE>
<P>
<H2><A NAME="ypserv"></A> <A NAME="s8">8. Konfiguracja serwera NIS.</A><!--NIS!konfiguracja serwera--></H2>

<P>
<P>
<H2>8.1 Program ypserv.<!--ypserv!konfiguracja--><!--NIS!konfiguracja ypserv--></H2>

<P>
<P>Dokument ten opisuje tylko jak skonfigurowa serwer NIS oparty na
&quot;ypserv&quot;.
<P>Oprogramowanie serwera NIS mona znale na:
<P>
<BLOCKQUOTE><CODE>
<PRE>
  Adres                  Katatlog                      Nazwa pliku

  ftp.kernel.org     /pub/linux/utils/net/NIS     ypserv-1.3.6.tar.gz
</PRE>
</CODE></BLOCKQUOTE>
<P>Moesz take zajrze do 
<A HREF="http://www.suse.de/~kukuk/linux/nis.html">http://www.suse.de/~kukuk/linux/nis.html</A> po
wicej informacji i najnowsze rda.
<P>Ustawianie serwera jest takie samo dla tradycyjnego NIS i NYS.
<P>Skompiluj oprogramowanie, aby wygenerowa programy
&quot;ypserv&quot; i &quot;makedbm&quot;. Moesz skonfigurowa
program ypserv, aby uywa pliku securenets albo tcp_wrappers.
Tcp_wrappers sa o wiele bardziej elastyczne, ale wielu ludzi ma z
tym powane kopoty. A niektre pliki konfiguracyjne mog powodowa
przeciek w pamici (?? memory leak: moe autor mia na myli brak
pamici ?? - lack of memory). Jeli masz problemy z ypserv
skompilowanym dla tcp_wrappers, to przekompiluj go do uywania
pliku securenets. ypserv --version, pokae jak masz wersj.
<P>Jeli uruchamiasz
swj serwer jako gwny, okrel jakie pliki maj by dostpne
przez NIS i wtedy dodaj lub usu odpowiednie pozycje w
<CODE>/var/yp/Makefile</CODE>. Zawsze powiniene zaglda do plikw
Makefile i zapozna si z opcjami na pocztku pliku.
<P>Pomidzy ypserv 1.1 a 1.2 bya jedna dua zmiana. Od wersji 1.2,
ypserv &quot;keszuje&quot; uchwyty plikw (file handles). Oznacza
to, e zawsze kiedy stworzysz now map musisz wywoa makedbm z
opcj <CODE>-c</CODE>. Upewnij si, e uywasz nowego
<CODE>/var/yp/Makefile</CODE> z ypserv 1.2 lub nowszego, albo dodaj
opcj <CODE>-c</CODE> do makedbm w pliku Makefile. Jeli tego nie zrobisz,
ypserv bdzie wci uywa starych map zamiast uaktualnionych.
<P>Teraz zmodyfikuj <CODE>/var/yp/securenets</CODE> i
<CODE>/etc/ypserv.conf.</CODE><BR>
Wicej informacji na stronach podrcznika man o ypserv(8) i
ypserv.conf(5).
<P>Upewnij si czy portmapper (portmap(8)) jest uruchomiony i uruchom
serwer <CODE>ypserv</CODE>. Polecenie:
<P>
<BLOCKQUOTE><CODE>
<PRE>
    % rpcinfo -u localhost ypserv
</PRE>
</CODE></BLOCKQUOTE>
<P>powinno pokaza co takiego:
<P>
<BLOCKQUOTE><CODE>
<PRE>
    program 100004 version 1 ready and waiting
    program 100004 version 2 ready and waiting
</PRE>
</CODE></BLOCKQUOTE>
<P>Linii z &quot;version 1&quot; moe nie by; zalenie od wersji
ypserv i konfiguracji, ktrej uywasz. Tylko w klientach SunOS 4.x
jest to wymagane.
<P>Teraz wygeneruj baz danych NIS (YP). Na serwerze gwnym uruchom:
<P>
<BLOCKQUOTE><CODE>
<PRE>
    % /usr/lib/yp/ypinit -m
</PRE>
</CODE></BLOCKQUOTE>
<P>na slave upewnij si, e dziaa <CODE>ypwhich -m</CODE>. Potem uruchom
<P>
<BLOCKQUOTE><CODE>
<PRE>
    % /usr/lib/yp/ypinit -s masterhost
</PRE>
</CODE></BLOCKQUOTE>
<P>To wszystko, twj serwer ju dziaa.
<P>Jeli masz wiksze problemy, moesz wystartowa <CODE>ypserv</CODE> i
<CODE>ypbind</CODE> i
trybie ledzenia (debug) w innym oknie. Komunikaty pojawiajce si
w tym trybie powinny ci powiedzie co jest nie tak.
<P>Jeli musisz uaktualni map, to uruchom <CODE>make</CODE> w katalogu
<CODE>/var/yp</CODE> na master serwerze NIS. Uaktualni to map jeli
plik rdowy jest nowszy i przele pliki do serwerw slave. Nie
uywaj <CODE>ypinit</CODE> do uaktualniania map.
<P>Moesz zmodyfikowa crontab root-a *na serwerze slave* i doda
ponisze linie:
<P>
<BLOCKQUOTE><CODE>
<PRE>
      20 *    * * *    /usr/lib/yp/ypxfr_1perhour
      40 6    * * *    /usr/lib/yp/ypxfr_1perday
      55 6,18 * * *    /usr/lib/yp/ypxfr_2perday
</PRE>
</CODE></BLOCKQUOTE>
<P>To upewni nas, e mapy NIS s aktualne, nawet jeli jakie
uaktualnienie zostao przeoczone z powodu np. wyczenia serwera
slave podczas modyfikowania bazy gwnej.
<P>Serwer slave moesz doda kiedykolwiek pniej. Najpierw upewnij
si, e nowy serwer slave ma pozwolenie na kontaktowanie si z masterem
NIS. Potem uruchom
<P>
<BLOCKQUOTE><CODE>
<PRE>
    % /usr/lib/yp/ypinit -s masterhost
</PRE>
</CODE></BLOCKQUOTE>
<P>na nowym slavie. Na serwerze master dodaj nazw nowego serwera
slave do pliku <CODE>/var/yp/ypservers</CODE>  uruchom <CODE>make</CODE> w
&lt;<CODE>/var/yp</CODE>, aby uaktualni mapy.
<P>Jeli chcesz ograniczy dostp do twojego serwera NIS bdziesz
musia ustawi serwer NIS take jako klienta przez uruchomienie
ypbind i dodanie pozycji + do /etc/passwd _w poowie_ (halfway)
pliku z hasami. Funkcje biblioteczne zignoruj wszystkie
normalne pozycje po pierwszej pozycji NIS i i reszt informacji
zdobd przez NIS.W ten sposb obsugiwany jest dostp NIS.
Przykad:
<P>
<BLOCKQUOTE><CODE>
<PRE>
     root:x:0:0:root:/root:/bin/bash
     daemon:*:1:1:daemon:/usr/sbin:
     bin:*:2:2:bin:/bin:
     sys:*:3:3:sys:/dev:
     sync:*:4:100:sync:/bin:/bin/sync
     games:*:5:100:games:/usr/games:
     man:*:6:100:man:/var/catman:
     lp:*:7:7:lp:/var/spool/lpd:
     mail:*:8:8:mail:/var/spool/mail:
     news:*:9:9:news:/var/spool/news:
     uucp:*:10:50:uucp:/var/spool/uucp:
     nobody:*:65534:65534:noone at all,,,,:/dev/null:
     +miquels::::::
     +:*:::::/etc/NoShell
[ PO tej linii normalni uytkownicy ! ]
     tester:*:299:10:Just a test account:/tmp:
     miquels:1234567890123:101:10:Miquel van Smoorenburg:/home/miquels:/bin/zsh
</PRE>
</CODE></BLOCKQUOTE>
<P>Uytkownik tester bdzie istnia, ale bdzie mia ustawion
powok na /etc/NoShell. miquels bdzie mia normalny dostp.
<P>Alternatywnie mgby zmodyfikowa plik <CODE>/var/yp/Makefile</CODE> i ustawi
NIS, tak eby uywa innego rdowego pliku z hasami. W duych
systemach NIS-owe pliki z hasami i grupami znajduj si zwykle w
<CODE>/etc/yp/</CODE>. Jeli tak zrobisz, to zwyke narzdzia jak
<CODE>passwd</CODE>, <CODE>chfn</CODE>, <CODE>adduser</CODE> nie bd ju dziaa i bdziesz
potrzebowa specjalnych wasnorcznie zrobionych wersji.
<P>Chocia <CODE>yppsswd</CODE>, <CODE>ypchsh</CODE> i <CODE>ypchfn</CODE> bd oczywicie dziaa.
<P>
<H2>8.2 Program serwera yps.<!--NIS!serwer yps--><!--serwer yps NIS--></H2>

<P>
<P>Aby ustawi serwer NIS &quot;yps&quot; przeczytaj poprzedni
paragraf. Ustawianie serwera &quot;yps&quot; jest podobne, _ale_
nie dokadnie takie samo, wic uwaaj jak bdziesz stosowa
instrukcje dla &quot;ypserv-a&quot; do &quot;yps&quot; !
&quot;yps&quot; nie jest wspierany przez adnego
autora i zawiera par dziur w bezpieczestwie. Na prawd nie
powiniene go uywa !
<P>Oprogramowane do serwera NIS &quot;yps&quot; mona znale na:
<P>
<BLOCKQUOTE><CODE>
<PRE>
  Adres               Katalog                           Nazwa pliku

  ftp.lysator.liu.se    /pub/NYS/servers            yps-0.21.tar.gz
  ftp.kernel.org        /pub/linux/utils/net/NIS    yps-0.21.tar.gz
</PRE>
</CODE></BLOCKQUOTE>
<P>
<H2>8.3 Program rpc.ypxfrd<!--NIS|rpc.ypxfrd demon--><!--rpc.ypxfrd demon--></H2>

<P>
<P>Program rpc.ypxfrd suy do przyspieszania przesyu bardzo duych
map z serwera master na slave. Jeli serwer NIS slave otrzyma
informacje, e jest nowa mapa wystartuje program ypxfr, aby j
pobra. ypxfr przeczyta zawarto mapy z serwera master przy pomocy
funkcji yp_all(). Proces ten moe zaj do kilku minut jeli s
bardzo due mapy, ktre musz by zapisane przez biblioteki bazy
danych.
<P>Program rpc.ypxfrd przyspiesza proces pobrania przez pozwolenie
serwerowi slave na skopiowanie mapy serwera master zamiast
tworzenia jej od nowa. rpc.ypxfrd uywa protokou do przesyu
plikw na podstawie RPC, tak e nie ma potrzby na tworzenie nowej mapy.
<P>rpc.ypxfrd moe by uruchomiony przez inetd. Ale poniewa startuje
bardzo wolno, powinien byc startowany przez ypserv. Musisz
wystartowa rpc.ypxfrd tyko na serwerze NIS master.
<P>
<H2>8.4 Program rpc.yppasswdd</H2>

<P>
<P>Kiedy uytkownicy zmieniaj swoje hasa, baza danych NIS z hasami
i przypuszczalnie inne bazy danych NIS, ktre zale od bazy
danych z hasami, powinny by uaktualnione. Program
&quot;rpc.yppasswdd&quot; jest serwerem, ktry odpowiedzialny
jest za zmiany hase i uaktualnianie baz danych NIS. rpc.yppasswdd
jest zintegrowany z ypserv. Nie potrzebujesz starszych
oddzielnych yppasswd-0.9.tar.gz czy yppasswd-0.10.tar.gz i nie powiniene ich
ju uywa. rpc.yppasswdd z ypserv 1.3.2 ma pen obsug shadow.
yppasswd jest teraz czci yp-tool-.2.2.tar.gz.
<P>Musisz uruchomi rpc.yppaswdd tylko na serwerze NIS master.
Domylnie uytkownicy nie maj prawa zmienia swoich &quot;penych
nazw&quot; czy powoki. Moesz na to pozwoli opcj <CODE>-e chfn</CODE>
czy <CODE>-e chsh</CODE>.
<P>Jeli twoje pliki passwd i shadow nie s umieszczone w innym
katalogu ni /etc, musisz doda opcj -D. Na przykad jeli
umiecie wszystkie pliki rdowe w /etc/yp i chcesz udostpni
swoim uytkownikom moliwo zmiany powoki, musisz uruchomi
rpc.yppasswdd z nastpujcymi parametrami:
<P>
<BLOCKQUOTE><CODE>
<PRE>
   rpc.yppasswdd -D /etc/yp -e chsh
</PRE>
</CODE></BLOCKQUOTE>
<P>lub
<P>
<BLOCKQUOTE><CODE>
<PRE>
   rpc.yppasswdd -s /etc/yp/shadow -p /etc/yp/passwd -e chsh
</PRE>
</CODE></BLOCKQUOTE>
<P>Nic wicej do zrobienia ju nie zostao. Musisz si tylko upewni,
e <CODE>rpc.yppasswdd</CODE> uywa tych samych plikw co
<CODE>/var/yp/Makefile</CODE>. Bdy bd logowane za pomoc syslog.
<P>
<H2><A NAME="s9">9. Weryfikacja instalacji NIS/NYS.</A><!--NIS!weryfikacja operacji--><!--NYS!weryfikacja operacji--></H2>

<P>
<P>Jeli wszystko jest w porzdku (jak powinno by), powiniene mc
zwersyfikowa instalacj kilkoma prostymi poleceniami. Zakadajc
na przykad, e twj plik z hsami jest dostarczany prze NIS,
polecenie
<P>
<BLOCKQUOTE><CODE>
<PRE>
    % ypcat passwd
</PRE>
</CODE></BLOCKQUOTE>
<P>powinno pokaza ci zawarto pliku z hasami z NIS. Polecenie
<P>
<BLOCKQUOTE><CODE>
<PRE>
    % ypmatch userid passwd
</PRE>
</CODE></BLOCKQUOTE>
<P>(gdzie userid jest login-em jakiego uytkownika) powinno pokaza
ci pozycj w pliku z hasami dotyczc tego uytkownika. Programy
&quot;ypcat&quot; i &quot;ypmatch&quot; powinny by zawarte w
dystrybucji NIS lub NYS.
<P>Jeli uytkownik nie moe sie zalogowa, uruchom nastpujcy
program po stronie klienta:
<P>
<BLOCKQUOTE><CODE>
<PRE>
#include &lt;stdio.h>
#include &lt;pwd.h>
#include &lt;sys/types.h>

int
main(int argc, char *argv[])
{
  struct passwd *pwd;

  if(argc != 2)
    {
      fprintf(stderr,"Stosowanie: getwpnam nazwa-uzytkownika\n");
      exit(1);
    }

  pwd=getpwnam(argv[1]);

  if(pwd != NULL)
    {
      printf("name.....: [%s]\n",pwd->pw_name);
      printf("password.: [%s]\n",pwd->pw_passwd);
      printf("user id..: [%d]\n", pwd->pw_uid);
      printf("group id.: [%d]\n",pwd->pw_gid);
      printf("gecos....: [%s]\n",pwd->pw_gecos);
      printf("directory: [%s]\n",pwd->pw_dir);
      printf("shell....: [%s]\n",pwd->pw_shell);
    }
  else
    fprintf(stderr,"Nie znaleziono uzytkownika \"%s\"!\n",argv[1]);

  exit(0);
}
</PRE>
</CODE></BLOCKQUOTE>
<P>Uruchomienie tego programu z uytkownikiem jako parametr,
spowoduje wywietlenie wszystkich informacji jakie uzyska funkcja getpwnam
dla tego uytkownika. Powinno ci to pokaza, ktra pozycja jest
niepoprawna. Najpopularniejszym problemem jest zapisanie
&quot;&ast;&quot; w polu hasa.
<P>Razem z bibliotek GNU C 2.1 (glibc 2.1) dostarczane jest narzdzie
getent. Uyj tego programu zamiast powyszego na systemie z t
bibliotek. Moesz sprbowa:
<P>
<BLOCKQUOTE><CODE>
<PRE>
   getent passwd
</PRE>
</CODE></BLOCKQUOTE>
<P>lub
<P>
<BLOCKQUOTE><CODE>
<PRE>
   getent passwd login
</PRE>
</CODE></BLOCKQUOTE>
<P>
<P>
<H2><A NAME="s10">10. Popularne problemy i rozwizywanie ich.</A><!--NIS!rozwizywanie problemw--><!--NIS!prblemy z--></H2>

<P>
<P>
<OL>
<LI>Biblioteki do 4.5.19 s niepoprawne. NIS nie bdzie z nimi
wsppracowa.</LI>
<LI>Jeli uaktualnisz biblioteki z 4.5.19 na 4.5.24, to
polecenie su nie dziaa. Potrzebujesz tego polecenia ze Slackware
1.2.0. Przypadkowo tam moesz znale uaktulanione biblioteki.</LI>
<LI>Kiedy serwer NIS si wyczy i potem uruchomi ponownie
ypbind zaczyna wypisywa co takiego:
   
<PRE>
         yp_match: clnt_call:
                     RPC: Unable to receive; errno = Connection refused
</PRE>


i uytkownicy zarejestrowani w bazie danych NIS nie mog si
zalogowa. Sprbuj zalogowa si jako root i zakocz ypbind i uruchom
go ponownie. Uaktualnienie do ypbind 3.3 lub
nowszego take powinno pomc.</LI>
<LI>Po uaktualnieniu libc do wersji nowszej ni 5.4.20,
narzdzia YP nie bd dziaa. Potrzebujesz w takim przypadku
yp-tools w wersji 1.2 lub nowszej dla libc >= 5.4.21 i glibc 2.x.
Dla wczeniejszych wersji libc potrzbujesz yp-clients 2.2. yp-tools 2.x
powinny dziaa ze wszystkimi bibliotekami.</LI>
<LI>W libc 5.4.21-35 yp_maplist jest popsute, potrzbujesz 5.4.36
lub nowszej wersji, albo niektre programy z YP jak np. ypwich bd
przerywa dziaanie z bdem <I>Segmentation fault</I>.</LI>
<LI>libc 5 z tradycyjnym NIS nie obsuguje shadow passwords przez
NSI. Potrzebujesz libc5 + NYS lub glibc 2.x</LI>
<LI>ypcat shadow nie pokazuje mapy shadow. Jest to poprawne -
nazwa mapy shadow to <I>shadow.byname</I> a nie <I>shadow</I>.</LI>
<LI>Solaris nie zawsze uywa uprzywilejowanych portw. Wic
staraj si nie robi nic z hasami jeli masz klienta na Solarisie.</LI>
</OL>
<P>
<H2><A NAME="s11">11. Czsto zadawane pytania.</A><!--NIS!czsto zadawane pytania--></H2>

<P>
<P>Na wikszo twoich pyta powiniene ju uzyska odpowied. Jeli
wci masz jakie pytania bez odpowiedzi to moesz wysa list na
grup
<P>
<BLOCKQUOTE><CODE>
<PRE>
    comp.os.linux.networking
</PRE>
</CODE></BLOCKQUOTE>
<P>albo na ktr z polskich grup
<P>
<BLOCKQUOTE><CODE>
<PRE>
    pl.comp.security
    lub
    pl.comp.os.linux
    lub
    pl.comp.os.linux.siec(i)
</PRE>
</CODE></BLOCKQUOTE>
<P>Albo skontaktuj si z ktrym z autorw tego HOWTO.
<P>
</BODY>
</HTML>