Re: NIS Verstaendnisfrage

Am Mon, Jul 23, 2001 at 07:21:37PM +0200, schrieb Bernd Walter :
>
> Wieso taucht ein Acount sowohl ueber NIS als auch in der lokalen passwd
> auf?
>
Die Accounts aus der lokalen passwd zu loeschen macht IMO nur Sinn,
wenn auf dem Server auch der ypbind laeuft. Sonst tun sich die User
mit dem einloggen schwer ;-) Das Handbook sagt jedoch, man soll
/etc/master.passwd nach /var/yp/master.passwd kopieren und an-
schliessend die Systemaccounts aus /var/yp/master.passwd loeschen,
bevor die NIS maps angelegt werden:
<quote>
You should remove all entries regarding system accounts (bin, tty,
kmem, games, etc), as well as any accounts that you don't want to be
propagated to the NIS clients (for example root and any other UID 0
(superuser) accounts).
</quote>
Das die Useraccounts aus /etc/master.passwd geloescht werden sollen
wird nicht erwaehnt.

> passwd(1) erkennt wenn es sich um einen NIS Acount handelt und aendert
> dann dementsprechend das Passwort auf dem NIS Server.
> Voraussetzung ist das auf dem Master-Server ein rpc.yppasswdd laeuft.
> Das funktioniert dann von jedem Client aus.
> Wenn hingegen der NIS server jedoch nicht sein eigener Client ist musst
> du es halt von einem anderen Rechner machen.
>
Und genau das ist der Moment, wo sich IMO der Hund in den Schwanz
beisst.
Habe ich keinen ypbind auf dem Server am laufen, *muessen* die user
lokal existieren. Passwortaenderungen mit passwd wirken sich somit nur
lokal aus.
Aendere ich das Passwort von einem NIS Client aus, hat dies wiederum
keine Auswirkung auf die /etc/master.passwd des Servers.
Die Loesung, ypbind auf dem NIS Masterserver zu starten ist vorder-
gruendig naheliegen, birgt aber die Gefahr, dass sich bei einem Aus-
fall des NIS Servers kein user mehr irgendwo einloggen kann, was ins-
besondere dann nicht lustig ist, wenn ich mich als normaler user
einlogge moechte um dann root zu werden und den ypserver neu zu
starten.
Als Konsequenz gibt es einen NIS slave server. Allerdings steht im
Handbook weiter:
<quote>
Care must be taken when running ypserv in a multi-server domain where
the server machines are also NIS clients. It is generally a good idea
to force the servers to bind to themselves rather than allowing them
to broadcast bind requests and possibly become bound to each other.
</quote>

Hmmm...jetzt binde ich also den ypbind auf dem Masterserver an eben
diesen. Das bedeutet dann natuerlich wieder keinen login bei Ausfall
des NIS Masterserver.

Gruesse
Thorsten

-- 
/*	Thorsten Steentjes, Lessingstr.13, 82211 Herrsching, Germany	*/
/* 	Phone: +49 8152 398116	Mobile: +49 170 2105181			*/
/* 	Please remember: rm -rf means "read mail -really fast"		*/
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message