|
vossi
Gast
|
 |
« am: 07. September 2008, 13:05:12 » |
|
Hallo,
ich bin 51 aus berlin und für 9 Server ( Solaris & Suse-Linux ) zuständig.
Ich habe ein Problem mit der NIS-Synchronisation, wenn man sich mit SSH als normaler Benutzer auf einem Server anmelden will Funktioniert das nicht.
Wenn ich das als root über ssh mache dann klappts.
Ich habe NIS nach Anleitung eingerichtet. 1 Master 8 Clients ( wobei unter Solaris Client und Slave-Server immer eins sind ).
Für schnelle HIlfe wäre ich dankbar.
vossi
|
|
|
|
|
Gespeichert
|
|
|
|
|
unixforum.net - Der Treffpunkt für UNIX Fans
|
|
« am: 07. September 2008, 13:05:12 » |
|
|
|
|
|
|
Gespeichert
|
|
|
|
|
Fleedwood
|
|
« Antworten #1 am: 07. September 2008, 13:08:13 » |
|
Herzlich willkommen,
Zu Deinem Problem hätte ich erstmal ein paar Fragen:
wer spielt NIS Master ? Wie sieht nsswitch.conf auf den Clients aus ?
Thomas.
|
|
|
|
|
Gespeichert
|
life is too short to spend debugging Intel parts [Van Jacobson]
|
|
|
|
vossi
Gast
|
|
« Antworten #2 am: 07. September 2008, 13:29:35 » |
|
Hallo Thomas,
der NIS-Master ist eine Solaris Maschine.
Linux
#
# /etc/nsswitch.conf
#
# An example Name Service Switch config file. This file should be
# sorted with the most-used services at the beginning.
#
# The entry '[NOTFOUND=return]' means that the search for an
# entry should stop if the search in the previous entry turned
# up nothing. Note that if the search failed due to some other reason
# (like no NIS server responding) then the search continues with the
# next entry.
#
# Legal entries are:
#
# compat Use compatibility setup
# nisplus Use NIS+ (NIS version 3)
# nis Use NIS (NIS version 2), also called YP
# dns Use DNS (Domain Name Service)
# files Use the local files
# [NOTFOUND=return] Stop searching if not found so far
#
# For more information, please read the nsswitch.conf.5 manual page.
#
passwd: compat
group: compat
hosts: dns nis files
networks: dns nis files
services: files nis
protocols: nis files
rpc: nis files
ethers: nis [NOTFOUND=return] files
netmasks: nis [NOTFOUND=return] files
netgroup: nis
publickey: nis [NOTFOUND=return] files
bootparams: files
automount: files nis
aliases: files nis
shadow: compat
Solaris
#
# /etc/nsswitch.nis:
#
# An example file that could be copied over to /etc/nsswitch.conf; it
# uses NIS (YP) in conjunction with files.
#
# "hosts:" and "services:" in this file are used only if the
# /etc/netconfig file has a "-" for nametoaddr_libs of "inet" transports.
# the following two lines obviate the "+" entry in /etc/passwd and /etc/group.
passwd: files nis
group: files nis
# consult /etc "files" only if nis is down.
hosts: nis [NOTFOUND=return] files
ipnodes: files
# Uncomment the following line and comment out the above to resolve
# both IPv4 and IPv6 addresses from the ipnodes databases. Note that
# IPv4 addresses are searched in all of the ipnodes databases before
# searching the hosts databases. Before turning this option on, consult
# the Network Administration Guide for more details on using IPv6.
#ipnodes: nis [NOTFOUND=return] files
networks: nis [NOTFOUND=return] files
protocols: nis [NOTFOUND=return] files
rpc: nis [NOTFOUND=return] files
ethers: nis [NOTFOUND=return] files
netmasks: nis [NOTFOUND=return] files
bootparams: nis [NOTFOUND=return] files
publickey: nis [NOTFOUND=return] files
netgroup: nis
automount: files nis
aliases: files nis
# for efficient getservbyname() avoid nis
services: files nis
sendmailvars: files
printers: user files nis
auth_attr: files nis
prof_attr: files nis
project: files nis
Rainer
|
|
|
|
|
Gespeichert
|
|
|
|
|
Fleedwood
|
|
« Antworten #3 am: 07. September 2008, 13:43:52 » |
|
Ok, noch ein paar Fragen:
Hmm, machen sowohl Solaris als auch Linux Clients Schwierigkeiten ?
Steht unter Linux in passwd/group ein Eintrag mit "+::::::" ?
Klappt das Binding (was sagt ypwhich, zeigt ein ypcat passwd alle NIS Accounts ?
Bei Solaris ist nsswitch.nis nur ein Template, wichtig ist das was im /etc/nsswitch.conf steht.
Da sollte zumindest für passwd/group entweder "files nis" oder "compat" haben.
Ich persönlich bervorzuge "files nis" (auch unter Linux), spart den "+:::::" Eintrag in passwd/group.
Thomas.
|
|
|
|
|
Gespeichert
|
life is too short to spend debugging Intel parts [Van Jacobson]
|
|
|
|
vossi
Gast
|
|
« Antworten #4 am: 07. September 2008, 13:58:27 » |
|
Hmm, machen sowohl Solaris als auch Linux Clients Schwierigkeiten ?
ja beide
Steht unter Linux in passwd/group ein Eintrag mit "+::::::" ?
"+::::::" steht in beiden
Klappt das Binding (was sagt ypwhich, zeigt ein ypcat passwd alle NIS Accounts ?
ypwhich zeigt auf den Master
ypcat zeigt alle NIS Accounts
die solaris datei ist die nsswitch.conf, das nis im kopf der datei ist noch übrig vom beispiel.
rainer
|
|
|
|
|
Gespeichert
|
|
|
|
|
unixforum.net - Der Treffpunkt für UNIX Fans
|
|
« Antworten #4 am: 07. September 2008, 13:58:27 » |
|
|
|
|
|
|
Gespeichert
|
|
|
|
|
Fleedwood
|
|
« Antworten #5 am: 07. September 2008, 14:06:47 » |
|
Ok, soweit sieht das ja alles gut aus.
Sieht man im ypcat passwd die encrypteten Passwörter ?
Erzählt die ssh irgendwas in /var/log/[security|daemons|messages] ?
Thomas.
|
|
|
|
|
Gespeichert
|
life is too short to spend debugging Intel parts [Van Jacobson]
|
|
|
|
vossi
Gast
|
|
« Antworten #6 am: 07. September 2008, 14:42:11 » |
|
Sieht man im ypcat passwd die encrypteten Passwörter ?
nein
messages:
sshd[8818]: error: PAM: Authentication failure for user from
Failed password for user from xxx.xxx.xxx.xxx port 62059 ssh2
security und deamons sind nicht vorhanden
rainer
|
|
|
|
|
Gespeichert
|
|
|
|
|
Fleedwood
|
|
« Antworten #7 am: 07. September 2008, 14:48:06 » |
|
Sieht man im ypcat passwd die encrypteten Passwörter ?
nein
dann haben wir ja schon den Fehler. Entweder müssen da die Passwörter rein oder es muß zusätzlich noch das shadow File per NIS verteilt werden. Da shadow per NIS verteilen im Endeffekt das bischen Securityvorteil von shadow ziemlich gut eliminiert, ists am einfachsten die encrypteten Passwörter in master passwd zu packen. Thomas. |
|
|
|
|
Gespeichert
|
life is too short to spend debugging Intel parts [Van Jacobson]
|
|
|
|
vossi
Gast
|
|
« Antworten #8 am: 07. September 2008, 14:54:38 » |
|
jetzt ist nur noch die frage wie stelle ich das an ?
rainer
|
|
|
|
|
Gespeichert
|
|
|
|
|
Fleedwood
|
|
« Antworten #9 am: 07. September 2008, 15:14:10 » |
|
man pwunconv
Thomas.
|
|
|
|
|
Gespeichert
|
life is too short to spend debugging Intel parts [Van Jacobson]
|
|
|
|
vossi
Gast
|
|
« Antworten #10 am: 07. September 2008, 15:22:19 » |
|
ich finde auf meinem Master weder pwunconv noch login.defs.
mein nis-master ist eine solaris maschine, in der /var/yp/passwd stehen die verschlüsselten passworte und das ist die datei die übertragen werden sollte.
was ist faul??
rainer
|
|
|
|
« Letzte Änderung: 07. September 2008, 15:27:22 von vossi »
|
Gespeichert
|
|
|
|
|
Fleedwood
|
|
« Antworten #11 am: 07. September 2008, 15:30:09 » |
|
tja, unter debian ist das alles im Package passwd, wo das unter SuSE ist, weiß ich nicht.
Mal sehn was google sagt:
pwdutils
könnte ein heißer Kandidat sein.
Thomas.
|
|
|
|
|
Gespeichert
|
life is too short to spend debugging Intel parts [Van Jacobson]
|
|
|
|
vossi
Gast
|
|
« Antworten #12 am: 07. September 2008, 16:00:52 » |
|
unter solaris scheint es pwunconv oder pwdutils nicht zu geben,
wie also kann ich die sache mit dem shadow aktivieren ?
rainer
|
|
|
|
|
Gespeichert
|
|
|
|
|
Fleedwood
|
|
« Antworten #13 am: 07. September 2008, 17:24:02 » |
|
nachdem das afaik aus den Shadow-Utils kommt, genau diese eben für Solaris besorgen, oder einfach passwd/shadow auf eine Linux Büchse schieben,
konvertieren und wieder zurück.
Thomas.
|
|
|
|
|
Gespeichert
|
life is too short to spend debugging Intel parts [Van Jacobson]
|
|
|
|
vossi
Gast
|
|
« Antworten #14 am: 09. September 2008, 20:23:40 » |
|
Hallo Thomas,
danke erstmal!!
Mein Problem ist damit zwar nicht gelöst,
aber nach Rücksprache mit Kollegen werde ich dann wohl doch auf LDAP umsteigen.
rainer
|
|
|
|
|
Gespeichert
|
|
|
|
|
Berechtigungen
Downloads
UNIX-Liste