企业需求
公司准备在 DMZ 区域中放置多台服务器,服务器包括 samba 服务器、邮件服务器、WEB 服务器、代理服务器,他们的 IP 分别是 192.168.1.1、192.168.1.2、192.168.1.3、192 .168.1.4,其 于客户端为 windows 系统,使用 windows 域环境管理。为了方便日常的服务器管理工作,准备再搭建一台主 NIS 服务器,其 IP 地址为 192.168.1.200,从 NIS 服务器,其 IP 地址为 192.168.1.160,为了方便管理,所有 DMZ 区域内的服务器都可以使用 chenyi 帐号以及其他管理帐号登录。
NIS 应用拓扑图:
单域单NIS服务器配置参考
解决方案
主 NIS 服务器
1、安装 NIS 所需软件包
确保 NIS 服务所需 ypserv、ypbind、yp-tools 和 portmap 软件包已经安装,如果没有则自行安装一下哈~
2、创建 chenyi 用户
3、设置 NIS 域名
保存退出
4、NIS 固定端口配置
NIS 和 NFS 服务相似,同样使用随机端口,我们可以配置固定端口加强 NIS 的可管理性
(1)修改/etc/sysconfig/network
添加 YPSERV_ARGS 和 YPXFRD_ARGS 字段,可以设置 NIS 的 ypserv 和 ypxfrd 两个进程使用固定端口号,而对于 yppasswd 则不提供支持,我们可以使用参数-p 指定固定端口
(2)重启服务并测试
修改 network 配置文件后我们需要重启 network、ypserv 和 ypxfrd 服务,然后可以使用 rpcinfo -p 查看端口使用情况
5、设置/etc/hosts 配置文件
vim /etc/hosts
6、设置/etc/ypserv.conf 主配置文件
vim /etc/ypserv.conf
在整个 ypserv.conf 主配置文件中,最为重要的就是限制客户端或从服务器的查询权限。
格式为:
Host : Domain : Map : Security
Host:指定客户端,可以指定具体 IP 地址,也可以指定一个网段
Domain:设置 NIS 域名,这里的 NIS 域名和 DNS 中的域名并没有关系哈~两者是两套不同系统哈~在同一个 NIS 域中,客户端可以从 NIS 服务器上查询用户名和密码,从 NIS 服务器可以与主服务器同步数据库内容
Map :设置可用数据库名称,可以用“*”代替所有数据库
Security:安全性设置。主要有 none、port 和 deny 三种参数设置。
none:没有任何安全限制,可以连接 NIS 服务器。
port:只允许小于 1024 以下的端口连接 NIS 服务器。
deny:拒绝连接 NIS 服务器。
通常设置思路是允许所有内网客户端连接 NIS 服务器,除此之外的客户端都拒绝连接哈~
ypserv.conf 文件是逐行解 释执行,所以要注意设置顺序
7、建立 NIS 数据库
首先我们要启动 ypserv 服务,否则建立 NIS 数据库会报错
当 NIS 数据库被建立之后,需要通知 ypserv 和 yppasswdd 这两个服务,以告知 NIS 数据库被更新过了哈~
通常通知的方法就是重启这两个服务
8、建立信任群
可以使用/etc/netgroup 文件来建立 NIS 服务器所信任的客户端
格式:host,user,domain
如果这个文件没有内容,则代表所有的主机、帐号和域名都接受哈~因为已经在/etc/ypserv.conf
中设置好了关于安全的项目,默认此文件不存在,所以这个文件只要建立就可以了。
touch /etc/netgroup
没有就创建一下,因为下午的配置中已经创建了,我这里就不再重复了哈~
9、修改/var/yp/ypservers 配置文件
添加 NIS 域中 NIS 服务器名称
10、重启相关服务使配置生效
此外为了使主/从 NIS 服务器完成数据库同步,我们需要在 NIS 主服务器上启动 ypxfrd 服务哈~
从 NIS 服务器配置
从 NIS 服务器相比主 NIS 服务器来说配置就比较简单了哈~
1、安装 NIS 所需软件包
确保 NIS 服务所需 ypserv、ypbind、yp-tools 和 portmap 软件包已经安装,如果没有则自行安装一下哈~
2、设置 NIS 域名
保存退出
3、NIS 固定端口配置
NIS 和 NFS 服务相似,同样使用随机端口,我们可以配置固定端口加强 NIS 的可管理性
(1)修改/etc/sysconfig/network
添加 YPSERV_ARGS 和 YPXFRD_ARGS 字段,可以设置 NIS 的 ypserv 和 ypxfrd 两个进程使用固定端口号,而对于 yppasswd 则不提供支持,我们可以使用参数-p 指定固定端口
(2)重启服务并测试
修改 network 配置文件后我们需要重启 network、ypserv 和 ypxfrd 服务,然后可以使用 rpcinfo -p 查看端口使用情况
4、设置/etc/hosts 配置文件
如果没有设置 DNS 服务则需要设置/etc/hosts 文件指向主 NIS 服务器 nis,否则会找不到主 NIS服务器哈~
5、启用 rpcbind、ypserv 服务进程
6、同步数据库信息
ll /var/yp/
现在主 NIS 服务器的数据还没同步过来哈~
/usr/lib/yp/ypinit -s nis
从 NIS 服务器 slavenis 同步主 NIS 服务器 nis 数据库信息
现在系统提示文件传输完毕,我们可以 ll 查看一下 itchenyi 域目录哈~
从 NIS 服务器已经生成数据库文件,数据同步完成哈~
7、从 NIS 服务器同步设置
主 NIS 服务器更新数据并使用 ypinit -m 命令重新生成数据库后,从 NIS 服务器上的数据就会不一致哈~
我们可以在从 NIS 服务器上使用 ypxfr 命令同步数据库信息保持数据状态为最新哈~
ypxfr -h NIS 主服务器 IP 或主机名 数据库文件
现在主 NIS 服务器上的数据没有变化,所以没什么数据同步哈~
我们修改下主 NIS 服务器上的帐号和密码信息测试下
现在我们在从 NIS 服务器再执行同步命令看看效果哈~
同步完成哈~
如果每次手工更新数据信息那还不烦死哈~所以我们可以使用 cron 计划任务来完成这个工作哈~由服务器自动同步 NIS 数据库信息是很好的解决方案
编辑/etc/crontab 文件,设置计划任务内容,每小时第11分钟、第12分钟更新 passwd.byname
和 passwd.byuid 数据库文件
保存退出
tail -f /var/log/cron看下效果
NIS 客户端设置
客户端必须安装 ypbind 和 yp-tools 这两个软件包 (由于只有2台Centos 6.2 这里的第三台用RedHat5.0 顶上了,不过没有什么不一样的地方!)
1、加入 NIS 域
确保客户端和服务器的 NIS 域名相同,可以使用 nisdomainname 命令设置,然后设置开机自动配置 NIS 域名
2、修改/etc/hosts 文件
如果没有 DNS 服务器,那我们必须确保/etc/hosts 文件中有 NIS 服务器的记录
3、修改密码验证方式
NIS 客户端在查找用户名和密码时先从本地开始查找,比如先查 询/etc/passwd和/etc/shadow文件等,如果没有查询到用户名和密码则发送广播到 NIS 服务器从而进行查询。
默认情况下客户端如果没有查询到用户名和密码是不会发送广播到 NIS 服务器的,所以我们需要修改/etc/nsswitch.conf 文件哈~
4、修改/etc/yp.conf 文件
在客户端/etc/yp.conf 文件中设置NIS 服务器的主机名和 NIS 域名
vim /etc/yp.conf
ypserver nis
domain itchenyi
如果需要使用广播查询则可以直接添加 domain itchenyi broadcast
5、重新启动 ypbind 服务
注意,一定要开启 111 端口,可以使用 rpcinfo 命令查看 rpc 所使用的端口
rpcinfo –p
6、设置开机启动 ypbind 服务
客户端检测
yp-tools 软件包中自带一些测试工具,可以帮助我们更好得了解 NIS 客户端和服务器通信情况
1、yptest
yptest 命令测试数据库内容等所有与 NIS 相关的信息
如果 Test 9: yp_all 下面出现 NIS 服务器上的所有帐号信息则表示配置成功,否则我们就要检查上面的配置是否存在问题哈~
本文转自 Bruceweien 51CTO博客,原文链接:http://blog.51cto.com/bruceweien/1148358
