Re: NIS Verstaendnisfrage

On Mon, Jul 23, 2001 at 08:05:20PM +0200, Thorsten Steentjes wrote:
> Am Mon, Jul 23, 2001 at 07:21:37PM +0200, schrieb Bernd Walter :
> >
> > Wieso taucht ein Acount sowohl ueber NIS als auch in der lokalen passwd
> > auf?
> >
> Die Accounts aus der lokalen passwd zu loeschen macht IMO nur Sinn,
> wenn auf dem Server auch der ypbind laeuft. Sonst tun sich die User
> mit dem einloggen schwer ;-) Das Handbook sagt jedoch, man soll
> /etc/master.passwd nach /var/yp/master.passwd kopieren und an-
> schliessend die Systemaccounts aus /var/yp/master.passwd loeschen,
> bevor die NIS maps angelegt werden:
> <quote>
> You should remove all entries regarding system accounts (bin, tty,
> kmem, games, etc), as well as any accounts that you don't want to be
> propagated to the NIS clients (for example root and any other UID 0
> (superuser) accounts).
> </quote>
> Das die Useraccounts aus /etc/master.passwd geloescht werden sollen
> wird nicht erwaehnt.

Wenn der Server nicht zugleich Client ist macht es ja auch keinen Sinn.

> > passwd(1) erkennt wenn es sich um einen NIS Acount handelt und aendert
> > dann dementsprechend das Passwort auf dem NIS Server.
> > Voraussetzung ist das auf dem Master-Server ein rpc.yppasswdd laeuft.
> > Das funktioniert dann von jedem Client aus.
> > Wenn hingegen der NIS server jedoch nicht sein eigener Client ist musst
> > du es halt von einem anderen Rechner machen.
> >
> Und genau das ist der Moment, wo sich IMO der Hund in den Schwanz
> beisst.
> Habe ich keinen ypbind auf dem Server am laufen, *muessen* die user
> lokal existieren. Passwortaenderungen mit passwd wirken sich somit nur
> lokal aus.
> Aendere ich das Passwort von einem NIS Client aus, hat dies wiederum
> keine Auswirkung auf die /etc/master.passwd des Servers.
> Die Loesung, ypbind auf dem NIS Masterserver zu starten ist vorder-
> gruendig naheliegen, birgt aber die Gefahr, dass sich bei einem Aus-
> fall des NIS Servers kein user mehr irgendwo einloggen kann, was ins-
> besondere dann nicht lustig ist, wenn ich mich als normaler user
> einlogge moechte um dann root zu werden und den ypserver neu zu
> starten.

Richtig.
Wenn du zwei Passwortdatenbanken (lokal auf dem Server und NIS) hast
musst du beide pflegen.
Du solltest den Server auch zum Client machen und die damit redundanten
Eintrage aus der /etc/passwd entfernen.
Wenn der NIS Server nicht laeuft hast du auch keinen NIS Server auf
dem du dich einloggen koenntest.
Das nur der Daemon stirbt ist mir noch nicht passiert und selbst dann
logged man sich als root auf der Console ein und startet den halt neu.

> Als Konsequenz gibt es einen NIS slave server. Allerdings steht im
> Handbook weiter:
> <quote>
> Care must be taken when running ypserv in a multi-server domain where
> the server machines are also NIS clients. It is generally a good idea
> to force the servers to bind to themselves rather than allowing them
> to broadcast bind requests and possibly become bound to each other.
> </quote>
>
> Hmmm...jetzt binde ich also den ypbind auf dem Masterserver an eben
> diesen. Das bedeutet dann natuerlich wieder keinen login bei Ausfall
> des NIS Masterserver.

Nein.
Du gibst dem ypbind eine feste prio Liste mit:
-S domainname,server1,server2,...
server1 ist er dann selber und nutzt wenn mal der Prozess sterben
sollte einen alternativen.
Mit ypwhich kannst du pruefen welchen er gerade benutzt.

-- 
B.Walter              COSMO-Project         http://www.cosmo-project.de
ticso(at)cicely.de         Usergroup           info(at)cosmo-project.de
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message