Administrace UNIXu

Administrace
UNIXu
Leo Galamboš
Administrace UNIXu
Leo Galamboš
2009
Administrace
UNIXu
Leo Galamboš
Motivace
Sdı́lenı́ disku
Kerberos, OpenAFS
NIS/YP, NFS, AMD
Samba
Shrnutı́
Part I
NFS
Nastavenı́
AMD, YP/NIS
RPC, NFS, AMD, Yellow Pages
Podrobnosti
Vyzkoušejte si
Program
Administrace
UNIXu
Leo Galamboš
Motivace
1
Motivace
Sdı́lenı́ disku
Kerberos, OpenAFS
NIS/YP, NFS, AMD
Samba
Sdı́lenı́ disku
Kerberos, OpenAFS
NIS/YP, NFS, AMD
Samba
Shrnutı́
NFS
Nastavenı́
AMD, YP/NIS
Podrobnosti
2
NFS
Nastavenı́
3
AMD, YP/NIS
4
Podrobnosti
5
Vyzkoušejte si
Vyzkoušejte si
Administrace
UNIXu
Internet
IPSec
Leo Galamboš
Štít
Motivace
Sdı́lenı́ disku
Kerberos, OpenAFS
NIS/YP, NFS, AMD
Samba
Road
warrior
Shrnutı́
NFS
Nastavenı́
AMD, YP/NIS
Podrobnosti
Dohled
Vyzkoušejte si
Tisk
SMTP
Zálohování
DNS
AMD
NIS/YP
NFS
Sı́ťové prostředı́
Administrace
UNIXu
Leo Galamboš
Motivace
Sdı́lenı́ disku
Kerberos, OpenAFS
NIS/YP, NFS, AMD
Samba
Shrnutı́
Požadavky
jednotná báze uživatelů (skupin, hesel. . . )
přenositelnost prostředı́ mezi uzly (mapovánı́ disků. . . )
robustnost, odolnost proti výpadkům
celková bezpečnost řešenı́
NFS
Nastavenı́
AMD, YP/NIS
Podrobnosti
Vyzkoušejte si
Sı́ťové prostředı́
Administrace
UNIXu
Leo Galamboš
Unix nabı́zı́ předevšı́m samostatné servery/služby
Sdı́lenı́ disku
Kerberos, OpenAFS
rozdı́lný stupeň integrace
NIS/YP, NFS, AMD
některé majı́ vlastnı́ autorizačnı́
problém s kvalitou jištěnı́
Motivace
bázi1
služby2
rozdı́lná úroveň bezpečnosti3
Samba
Shrnutı́
NFS
Nastavenı́
AMD, YP/NIS
Podrobnosti
Centralizace autorizačnı́ báze skrze
systémové vrstvy: PAM, YP, atp.
knihovny/vrstvy: SASL (Courier)
sı́ťové služby: LDAP, MySQL, Kerberos, atp.
směs: SASL→PAM→LDAP
1
Proto roste důležitost integrace všech bázı́ do jediné.
Některé služby nelze z principu jistit!
3
Celkovou bezpečnost pak vymezuje nejslabšı́ prvek!
2
Vyzkoušejte si
Linux PAM /etc/pam.d/system-auth
Administrace
UNIXu
Leo Galamboš
Motivace
Sdı́lenı́ disku
Kerberos, OpenAFS
NIS/YP, NFS, AMD
Samba
Shrnutı́
NFS
Nastavenı́
auth
auth
auth
auth
auth
required
sufficient
requisite
sufficient
required
pam_env.so
pam_unix.so nullok try_first_pass
pam_succeed_if.so uid >= 500 quiet
pam_ldap.so use_first_pass
pam_deny.so
AMD, YP/NIS
Podrobnosti
Vyzkoušejte si
LDAP
Administrace
UNIXu
Leo Galamboš
Motivace
Sdı́lenı́ disku
Kerberos, OpenAFS
NIS/YP, NFS, AMD
Samba
Shrnutı́
NFS
Nastavenı́
AMD, YP/NIS
Podrobnosti
Vyzkoušejte si
Existujı́cı́ řešenı́
Administrace
UNIXu
Leo Galamboš
Motivace
Sdı́lenı́ disku
Kerberos, OpenAFS
NIS/YP, NFS, AMD
Samba
Shrnutı́
NFS
báze uživatelů: NIS/YP, Kerberos, Samba
mapovánı́ a sdı́lenı́ disků: NFS3/4, OpenAFS,
Samba. . .
redudance: AMD, OpenAFS, Samba
bezpečnost: K4/5+AFS, Samba, dále AH/ESP
Nastavenı́
AMD, YP/NIS
Podrobnosti
Vyzkoušejte si
Techniky sdı́lenı́ disků
Administrace
UNIXu
Leo Galamboš
Motivace
Sdı́lenı́ disku
Kerberos, OpenAFS
NIS/YP, NFS, AMD
Samba
de-facto přı́mé: SCSI/SATA over Ethernet, . . .
vhodné pro připojenı́ oblastı́ diskového pole (clustery)
jednoduché, čisté, malá režie
nutnost distribuovaného zámku a vhodného FS (GFS2)
většinou zcela bez šifrovánı́4
zprostředkované: NFS, SMB, AFS, . . .
vhodné pro připojenı́ (existujı́cı́ch) oblastı́ z jiného stroje
často implikuje provoz složitějšı́ch modulů (šifrovánı́,
transakce/zámky)
4
Spoje bývajı́ vedené separátnı́mi okruhy-VLANy
Shrnutı́
NFS
Nastavenı́
AMD, YP/NIS
Podrobnosti
Vyzkoušejte si
Techniky sdı́lenı́ disků
Administrace
UNIXu
Leo Galamboš
Motivace
Sdı́lenı́ disku
Kerberos, OpenAFS
NIS/YP, NFS, AMD
Samba
Shrnutı́
de-facto přı́mé: block-level přı́stup
speciálnı́ SCSI (dřı́ve) – problém s délkou kabelu do
25m (možnost stavět jen malé clustery do 4 uzlů)
SAN/iSCSI (dnes) – disky ve speciálnı́m racku/mı́stnosti
zprostředkované
server poskytuje svazky klientům
vše řešı́ přı́slušný protokol
NFS
Nastavenı́
AMD, YP/NIS
Podrobnosti
Vyzkoušejte si
Block-level přı́stup
Administrace
UNIXu
Leo Galamboš
Motivace
Sdı́lenı́ disku
Kerberos, OpenAFS
NIS/YP, NFS, AMD
Samba
Multipath
zajišťuje záložnı́ kanály
možnost změn v discı́ch za plného provozu
”nadměrná podpora” v Linuxu - problém s připojovánı́m
rozdı́lných RAID k jednomu serveru
Linux zatı́m postrádá jednotnou podporu pro všechna
multipath zařı́zenı́ a automatickou rekonfiguraci po
připojenı́ vypadlé cesty/zařı́zenı́ (2.6/2.7?)
Shrnutı́
NFS
Nastavenı́
AMD, YP/NIS
Podrobnosti
Vyzkoušejte si
Block-level přı́stup: velké nebo malé LUNy
Administrace
UNIXu
Leo Galamboš
Motivace
Sdı́lenı́ disku
Kerberos, OpenAFS
NIS/YP, NFS, AMD
Samba
Shrnutı́
NFS
Zařı́zenı́ vždy nepodporujı́ obrovské LUNy
Recovery i backup velkého LUNu zabere vı́ce času
Malé poskytujı́ většı́ variabilitu
Malé implikujı́ velký počet LUNů
Linux/2.6/i386 4096, Linux/amd64 až 32768 LUNů
Nastavenı́
AMD, YP/NIS
Podrobnosti
Vyzkoušejte si
Disková pole, fyzické sdı́lenı́
Administrace
UNIXu
Leo Galamboš
Motivace
Sdı́lenı́ disku
Kerberos, OpenAFS
NIS/YP, NFS, AMD
Samba
Shrnutı́
NFS
Nastavenı́
AMD, YP/NIS
Podrobnosti
Vyzkoušejte si
fiber linky i v řádu km, dnes ethernet 802.3ad
zjednodušenı́ zálohovánı́ a oprav (centralizace)
Dostupné distribuované FS
Administrace
UNIXu
Leo Galamboš
Motivace
Sdı́lenı́ disku
Kerberos, OpenAFS
NIS/YP, NFS, AMD
Samba
Shrnutı́
Staršı́: NFS, AFS (Arla), DFS
Modernı́
Otevřené: Lustre, OpenGFS, klient IBM SAN FS
Proprietárnı́: SGI CXFS, IBM GPFS
Cı́lové parametry: desı́tky tisı́c uzlů, PB dat, transfer
stovek GB/s
NFS
Nastavenı́
AMD, YP/NIS
Podrobnosti
Vyzkoušejte si
Varovánı́! Local/last-close sémantika
Administrace
UNIXu
Leo Galamboš
Motivace
Sdı́lenı́ disku
Kerberos, OpenAFS
NIS/YP, NFS, AMD
Samba
A
B
o
w
o
w
w
w
c
Shrnutı́
c
NFS
Nastavenı́
AMD, YP/NIS
Podrobnosti
Vyzkoušejte si
Nebezpečı́ pro serverové aplikace!
Local: w(B)w(A)
Last-close: w(B)w(B)
Kerberos, OpenAFS
Administrace
UNIXu
Leo Galamboš
Motivace
Sdı́lenı́ disku
Kerberos, OpenAFS
uživatel se autorizuje proti K4/5 klog(?)
zı́ská tak lı́stek/token do “systému” tokens(?)
NIS/YP, NFS, AMD
Samba
Shrnutı́
NFS
AFS si ověřuje platnost lı́stků
svazky jsou přı́stupné na zvláštnı́m mount-pointu
AFS organizuje sı́ť do buněk (cells)
buňka
nabı́zı́ diskové svazky (volume)
replikuje a zálohuje svazky
rozšı́řená ACL
jsou volnı́ klienti jak pro Unixy tak Windows
Nastavenı́
AMD, YP/NIS
Podrobnosti
Vyzkoušejte si
OpenAFS - jméno vlastnı́ buňky
Administrace
UNIXu
Leo Galamboš
Windows
Motivace
Sdı́lenı́ disku
Kerberos, OpenAFS
NIS/YP, NFS, AMD
Samba
Shrnutı́
NFS
Nastavenı́
AMD, YP/NIS
Podrobnosti
Vyzkoušejte si
Unix
/etc/openafs/ThisCell
OpenAFS - seznam buněk
Administrace
UNIXu
Leo Galamboš
Windows
Motivace
Sdı́lenı́ disku
Kerberos, OpenAFS
NIS/YP, NFS, AMD
Samba
Shrnutı́
NFS
Nastavenı́
AMD, YP/NIS
Podrobnosti
Vyzkoušejte si
Unix
/etc/openafs/CellServDB
OpenAFS - management
Administrace
UNIXu
Leo Galamboš
Windows
Motivace
Sdı́lenı́ disku
Kerberos, OpenAFS
NIS/YP, NFS, AMD
Samba
Shrnutı́
NFS
Nastavenı́
AMD, YP/NIS
Podrobnosti
Vyzkoušejte si
Unix
NIS/YP, NFS, AMD
Administrace
UNIXu
Leo Galamboš
Motivace
Sdı́lenı́ disku
Kerberos, OpenAFS
NIS/YP, NFS, AMD
Samba
Shrnutı́
silnějšı́ integrace do O/S, sdı́lenı́ map (systémových
bázı́)
NFS
připojenı́ svazku mount.nfs(8)
Podrobnosti
problematické udržovánı́ replik svazků
problémy s bezpečnostı́ (řešı́ NIS+, NFS4)
nenı́ volný klient pro NFS4 na Windows
Nastavenı́
AMD, YP/NIS
Vyzkoušejte si
Samba
Administrace
UNIXu
Leo Galamboš
Motivace
Sdı́lenı́ disku
Kerberos, OpenAFS
NIS/YP, NFS, AMD
Samba
Shrnutı́
NFS
předevšı́m pro integraci UNIX stanic do Windows
prostředı́ (a naopak)
“nativnı́” implementace sdı́lenı́ známého z
OS2/Windows
sdı́lenı́ svazků i tiskáren
Nastavenı́
AMD, YP/NIS
Podrobnosti
Vyzkoušejte si
Ryze subjektivnı́ hodnocenı́
Administrace
UNIXu
Leo Galamboš
Motivace
Sdı́lenı́ disku
Kerberos, OpenAFS
NIS/YP, NFS, AMD
Výhody
Samba
Shrnutı́
AFS bezpečnost, redundance
NFS
NFS výkon, jednoduchost
AMD, YP/NIS
SMB schopnost integrace se světem Windows
Nastavenı́
Podrobnosti
Vyzkoušejte si
Nevýhody
AFS komplexnı́ správa
NFS bezpečnost, kvalitnı́ redundance
SMB bezpečnost, kvalitnı́ redundance
Network File system (verze 25 , 36 )
Administrace
UNIXu
Leo Galamboš
Verze 3
offsety 64b (ver2: 32b), filehandle až 64B (ver2: pevně
32B)
Motivace
Sdı́lenı́ disku
Kerberos, OpenAFS
NIS/YP, NFS, AMD
Samba
Shrnutı́
56KB R/W UDP (ver2: 8KB)
NFS
READDIRPLUS (filehandle+attr) eliminuje LOOKUP při
scan adresáře
AMD, YP/NIS
exclusive CREATE
Vyzkoušejte si
PATHCONF definuje maximálnı́ délky jmen souborů a
cest
všechny chybové stavy definované specifikacı́
nový NF3ERR JUKEBOX (aka try later)
ACCESS (test ACL přı́mo na serveru)
WRITE, COMMIT plně async
5
6
RFC1094
RFC1813
Nastavenı́
Podrobnosti
Nedostatky
Administrace
UNIXu
Leo Galamboš
Motivace
Sdı́lenı́ disku
Kerberos, OpenAFS
NIS/YP, NFS, AMD
bezpečnost (NFS ver 4, šifrovánı́ spoje)
problémy s fragmentacı́ přenosu (nastavenı́ menšı́ho
UDP R/W bloku než je MTU, TCP)
sdı́lenı́ UID, GID, ACL (NIS)
chudé ACL
stabilita mount-u (AMD – kopie svazků na záložnı́ch
uzlech)
NFS3 je bezestavový (NFS4 je stavový)
NFS4 snižuje počet kontaktů klient-server až 5x
Samba
Shrnutı́
NFS
Nastavenı́
AMD, YP/NIS
Podrobnosti
Vyzkoušejte si
Kontrola – utility
Administrace
UNIXu
Leo Galamboš
Motivace
Sdı́lenı́ disku
Kerberos, OpenAFS
NIS/YP, NFS, AMD
Samba
Shrnutı́
NFS
nfsstat(1) -c/-s – statistika NFS klienta/serveru
rpcinfo(1) -p – seznam server-procesů napojených
na RPC
showmount(8) -a/-e – seznam připojených/mount
uzlů
Nastavenı́
AMD, YP/NIS
Podrobnosti
Vyzkoušejte si
NFS – některé důležité parametry
Administrace
UNIXu
Leo Galamboš
Motivace
Sdı́lenı́ disku
Kerberos, OpenAFS
-b:bg FAIL → zkoušej dál na pozadı́
hard server spadl → BLOCK
-s:soft server spadl → ohlas FAIL
-t:timeo retry v 1/10sec
-i:intr uživatel může zrušit požadavek když čeká na
vypadlý server
-2 NFS v2
-3 NFS v3
-T TCP
-U UDP
NIS/YP, NFS, AMD
Samba
Shrnutı́
NFS
Nastavenı́
AMD, YP/NIS
Podrobnosti
Vyzkoušejte si
NFS – procesy
Administrace
UNIXu
Leo Galamboš
Motivace
Sdı́lenı́ disku
Kerberos, OpenAFS
NIS/YP, NFS, AMD
Samba
Shrnutı́
portmap mapovánı́ mezi RPC prg-num a porty
obslužných RPC procesů
mountd validuje mount požadavky klientů s ohledem na
exports(5)
nfsd R/W od klientů
rquotad hlı́dá kvóty uživatelů (fBSD)
NFS
Nastavenı́
AMD, YP/NIS
Podrobnosti
Vyzkoušejte si
/etc/exports – zrady a nástrahy
Administrace
UNIXu
Leo Galamboš
Motivace
řádek specifikuje exportnı́ info pro jeden souborový
svazek na jeden host
Sdı́lenı́ disku
Kerberos, OpenAFS
NIS/YP, NFS, AMD
Samba
Shrnutı́
jeden host může být specifikován jen jednou pro daný
svazek
reload změn: HUP do mountd(8)
NFS
Nastavenı́
AMD, YP/NIS
Podrobnosti
Vyzkoušejte si
Chybně
# celý /usr je jeden svazek
/usr/local klient1
/usr/ports klient1
Správně
/usr/local /usr/ports klient1
Řešenı́ nedostupnosti
Administrace
UNIXu
Leo Galamboš
Motivace
zvýšenı́ stability NFS serveru
Sdı́lenı́ disku
zvýšenı́ stability sı́tě
NIS/YP, NFS, AMD
Kerberos, OpenAFS
Samba
Shrnutı́
automounter, který připojuje/odpojuje svazky podle
aktuálnı́ dostupnosti7
NFS
Nastavenı́
AMD, YP/NIS
Plán pro cvičenı́
Protože automounter čte mapu s definicı́ souborových
zdrojů a jejich umı́stěnı́, je možné ho donutit čı́st “centrálnı́
mapu”. Centrálnı́ mapu mu doručı́me po sı́ti a tı́m
dostaneme box vhodný napřı́klad jako klientské PC pro
menšı́ laboratoř. Zároveň s mapou svazků mu můžeme
doručit i passwd (a dalšı́ báze) a mı́t opravdový laboratornı́
box.
7
Takový software uvidı́me o něco málo později
Podrobnosti
Vyzkoušejte si
Řešenı́ (ne)bezpečnosti
Administrace
UNIXu
Leo Galamboš
Motivace
Sdı́lenı́ disku
Kerberos, OpenAFS
NIS/YP, NFS, AMD
Samba
Shrnutı́
Přikrytı́ pomocı́ IPsec (bude později), jitter:
0,10ms – přı́mý spoj
NFS
Nastavenı́
AMD, YP/NIS
Podrobnosti
0,30ms – přes směrovač
0,70ms – přes směrovač skrze IPsec
Směrovač lze eliminovat vhodným L2 prvkem.
Vyzkoušejte si
Vyzkoušejte si – NFS server
Administrace
UNIXu
Leo Galamboš
Motivace
Sdı́lenı́ disku
Kerberos, OpenAFS
1
portmap="YES"
2
nfs server="YES"
3
lockd="YES"
NIS/YP, NFS, AMD
Samba
Shrnutı́
NFS
Nastavenı́
4
5
AMD, YP/NIS
nfsd flags="-tun 20"
/etc/exports(5):
mı́sto na svazku: /home
přemapovánı́ práv: -maproot=0
omezenı́ připojenı́: -network ...
Podrobnosti
Vyzkoušejte si
-mask ...
6
reboot nebo start portmap, nfsd, mountd, rpc.lockd
7
kontrola: rpcinfo -p
Vyzkoušejte si – NFS klient
Administrace
UNIXu
Leo Galamboš
Motivace
Sdı́lenı́ disku
Inicializace parametrů v /etc/sysctl.conf:
vfs.nfs.iothreads=10
Kerberos, OpenAFS
NIS/YP, NFS, AMD
Samba
Shrnutı́
NFS
Nastavenı́
Stačı́ obyčejný mount nfs(8), který lze vložit i do
/etc/fstab(5):
nfs.lg:/r/home /home nfs rw,nosuid,soft,intr 0 0
Mount defaultně proběhne na ver3, fallback na ver2 (lze
vynutit parametry mount nfs(8): -3, -2):
mount_nfs -3 -b -s -i nfs.lg:/remote/home1 /home
AMD, YP/NIS
Podrobnosti
Vyzkoušejte si
AMD, YP/NIS
Administrace
UNIXu
Leo Galamboš
NIS je Network Information System, který v rámci své
domény8 poskytuje klientům mapy (soubory) s
“nějakými” sdı́lenými daty
Motivace
mapy lze promı́chat s daty na klientovi (pro správné
“mı́chánı́” napřı́klad /etc/passwd je nutná podpora v
systému9 )
prakticky provedeme toto:
NFS
1
2
3
8
9
nastavı́me náš NFS server jako master pro naši YP/NIS
doménu se sdı́lenými informacemi (passwd, group,
hosts, aliases. . . )
nastavı́me kienta, kterému ze serveru poskytneme
mapu pro automounter
klient si přimı́chá passwd a dalšı́ mapy, aby byl snadno
vzdáleně konfigurovatelný
neplést s DNS
BSD ji majı́, Linux s přı́davným software
Sdı́lenı́ disku
Kerberos, OpenAFS
NIS/YP, NFS, AMD
Samba
Shrnutı́
Nastavenı́
AMD, YP/NIS
Podrobnosti
Vyzkoušejte si
Slovnı́ček
Administrace
UNIXu
Leo Galamboš
Motivace
Sdı́lenı́ disku
Kerberos, OpenAFS
NIS/YP, NFS, AMD
Samba
NIS Network Information System
YP Yellow Pages (poskytujı́ se mapy/stránky),
Yellow Pee (slangové označenı́)
doména stroje sdı́lejı́cı́ tutéž bázi NIS
master stroj s bázı́ (je právě jeden)
slave stroj s kopiı́ báze (může jich být několik)
klient stroj, který využı́vá NIS bázi v rámci “své
domény”
Shrnutı́
NFS
Nastavenı́
AMD, YP/NIS
Podrobnosti
Vyzkoušejte si
Schéma
Administrace
UNIXu
Leo Galamboš
Motivace
YP doména
Sdı́lenı́ disku
Kerberos, OpenAFS
mapy
Master
NIS/YP, NFS, AMD
Samba
Shrnutı́
NFS
Nastavenı́
yppush
yppush
AMD, YP/NIS
Podrobnosti
ypbind
Vyzkoušejte si
Slave
Slave
ypbind broadcastuje, pokud nemá seznam serverů v
/etc/yp/doména
Mapy OpenBSD
Administrace
UNIXu
Leo Galamboš
Mapa
passwd
group
ethers
netgroup
networks
hosts
protocols
services
aliases
rpc
netid
amd.home
Napojenı́
+name:*:::::::: (master.passwd)
+name:*:0:0::: (passwd)
+name:*::
+
+
Motivace
Sdı́lenı́ disku
Kerberos, OpenAFS
NIS/YP, NFS, AMD
Samba
Shrnutı́
NFS
Nastavenı́
AMD, YP/NIS
Podrobnosti
Vyzkoušejte si
Vyzkoušejte si – nastavenı́ NIS serverů
Administrace
UNIXu
Leo Galamboš
Motivace
Sdı́lenı́ disku
v /etc/rc.conf zapneme portmap a pro sdı́lenı́
hesel nastavı́me yppasswdd flags=""
Kerberos, OpenAFS
NIS/YP, NFS, AMD
Samba
Shrnutı́
echo "mynisdom" >> /etc/defaultdomain
NFS
inicializace master serveru: ypinit -m doména
AMD, YP/NIS
Nastavenı́
inicializace slave serverů: ypinit -s masterhost
doména
hot-fix10 : vytvořte adresář /var/yp/binding
na straně serveru musı́ běžet ypserv(8) a spol: buď
restartujeme nebo spustı́me portmap(8),
ypserv(8), ypbind(8), rpc.yppasswdd(8)
kontrola zaregistrovaných RPC procesů: rpcinfo -p
10
jinak OpenBSD rc-script nespustı́ YP procesy
Podrobnosti
Vyzkoušejte si
Inicializace
Administrace
UNIXu
Leo Galamboš
Motivace
Sdı́lenı́ disku
Kerberos, OpenAFS
NIS/YP, NFS, AMD
Samba
Shrnutı́
NFS
Nastavenı́
AMD, YP/NIS
Podrobnosti
Vyzkoušejte si
Vyzkoušejte si – nastavenı́ NIS klienta
Administrace
UNIXu
Leo Galamboš
Motivace
Sdı́lenı́ disku
Kerberos, OpenAFS
NIS/YP, NFS, AMD
v /etc/rc.conf zapneme portmap
echo "mynisdom" >> /etc/defaultdomain
Samba
Shrnutı́
NFS
Nastavenı́
echo ’+:*::::::::’
/etc/master.passwd
>>
pwd mkdb /etc/master.passwd
echo ’+:*::’
>> /etc/group
vytvořte adresář /var/yp/binding nebo spusťte
ypbind(8)
kontrola: ypcat -x, ypcat passwd
AMD, YP/NIS
Podrobnosti
Vyzkoušejte si
Vyzkoušejte si – Server: AMD a export /home
Administrace
UNIXu
Leo Galamboš
Motivace
Sdı́lenı́ disku
Kerberos, OpenAFS
máme server s NFS /etc/exports: /home, NFS i
YP master běžı́
YP klient funguje
NIS/YP, NFS, AMD
Samba
Shrnutı́
NFS
Nastavenı́
AMD, YP/NIS
na server přidáme /etc/amd/amd.home
OpenBSD YP načte amd.home a exportuje ho ven přes
YP: cd /var/yp; make amd.home
/defaults type:=nfs;sublink:=${key};\
opts:=rw,soft,intr,vers=2,proto=udp
rhost:=mujmaster;rfs:=/home
*
Podrobnosti
Vyzkoušejte si
Vyzkoušejte si – Klient: AMD a export /home
Administrace
UNIXu
Leo Galamboš
Motivace
Sdı́lenı́ disku
Kerberos, OpenAFS
NIS/YP, NFS, AMD
Samba
Shrnutı́
v /etc/rc.conf.local zapneme amd=YES
echo "/home amd.home" > /etc/amd/master
kontrola: ypcat amd.home vracı́ mapu ze serveru
stačı́ restartovat, amd(8) poběžı́ nad /home jak jsme
chtěli
kontrola: amq(8)
zkoumejte “specifikum” /home (jak je připojeno?)
NFS
Nastavenı́
AMD, YP/NIS
Podrobnosti
Vyzkoušejte si
Portmap v OpenBSD
Administrace
UNIXu
Leo Galamboš
Motivace
Sdı́lenı́ disku
Portmap v OpenBSD je specifický a v současnosti snad
jediný “opravený”:
Samba
Shrnutı́
NFS
ostatnı́ povely mohou jı́t přes *:111
AMD, YP/NIS
důsledek: porty či nativnı́ binárnı́ emulace něčeho12
RPC-love z Linuxu nemusı́ fungovat, protože se
BINDuje s IP adresou externı́ho adaptéru a to
OpenBSD nevezme
12
NIS/YP, NFS, AMD
BIND povel se sbı́rá pouze na speciálnı́m 127.0.0.1:111
originálnı́ (chybná) implementace11 posı́lá a poslouchá
BIND povel na *:111
11
Kerberos, OpenAFS
Sun Microsystems, Inc.
Legato Networker’s nsrexecd
Nastavenı́
Podrobnosti
Vyzkoušejte si
NFS nad UDP
Administrace
UNIXu
Leo Galamboš
Motivace
Sdı́lenı́ disku
Kerberos, OpenAFS
NFS pracuje s bloky velikosti 8KB
ty jsou dolů, rozpadnou se na Ethernetové rámce
1,5KB
server je pošle a klient přijı́má
NIS/YP, NFS, AMD
Samba
Shrnutı́
NFS
Nastavenı́
AMD, YP/NIS
Podrobnosti
když nějaký fragment nepřišel, posı́lá se znovu celý
NFS blok
Problém
Pokud klient nestı́há brát rámce, nepřijde de-facto nic. Pak
je potřeba snı́žit velikost NFS bloku odpovı́dajı́cı́mi
parametry na “správnou” velikost, napřı́klad 1024.
Vyzkoušejte si
AMD
Administrace
UNIXu
Leo Galamboš
amd mapa má na řádku klı́č a pak libovolný počet
zdrojů
zdroje se zkoušı́ v pořadı́ uvedeném na řádku, než se
najde “živý”
zdroj začı́najı́cı́ pomlčkou specifikuje jen default
položky pro následujı́cı́ zdroje
default pro všechno se uvádı́ se speciálnı́m klı́čem
/defaults, typicky na začátku mapy
klı́čem může být i hvězdička, která platı́ pro vše, co
nenı́ implicitně uvedeno jinde
určenı́ zdroje může využı́vat proměnné, napřı́klad
${key}
zdroje lze vázat i s podmı́nkou
mountovat lze nejen nfs
implementováno jako NFSD s real-mountem stranou a
symlinky z odpovı́dajı́cı́ch uzlů kořene
dalšı́ podrobnosti info amd
Motivace
Sdı́lenı́ disku
Kerberos, OpenAFS
NIS/YP, NFS, AMD
Samba
Shrnutı́
NFS
Nastavenı́
AMD, YP/NIS
Podrobnosti
Vyzkoušejte si
Přı́klad težšı́ AMD mapy
Administrace
UNIXu
Leo Galamboš
Motivace
Sdı́lenı́ disku
Kerberos, OpenAFS
NIS/YP, NFS, AMD
Samba
/defaults type:=nfs;rhost:=obsdstronghold
rfs:=/home/;sublink:=${key}
*
secdir \
host!=homepc-lg;type:=nfs;\
rhost:=obsdstronghold;rfs:=/disk00/mountA;\
sublink:=securedir
secdir \
host==homepc-lg;type:=ufs;\
dev:=/dev/sd0h;sublink:=securedir
Shrnutı́
NFS
Nastavenı́
AMD, YP/NIS
Podrobnosti
Vyzkoušejte si
NIS+
Administrace
UNIXu
Leo Galamboš
Motivace
Sdı́lenı́ disku
Kerberos, OpenAFS
novějšı́ implementace NIS
NIS/YP, NFS, AMD
Samba
Shrnutı́
Secure RPC
NFS
data encryption and authentication
struktura domény nenı́ plochá, ale je to strom 6 objektů:
AMD, YP/NIS
Nastavenı́
Podrobnosti
Vyzkoušejte si
directory
entry
group
link
table
private
Mı́chánı́ lokálnı́ báze a mapy
Administrace
UNIXu
Leo Galamboš
Motivace
Sdı́lenı́ disku
v /etc/netgroup se nadefinujı́ skupiny trojic
(host,user,domain)
NIS/YP, NFS, AMD
Samba
Shrnutı́
prázdná složka trojice znamená ANY
NFS
struktura netgroup: skupina trojice1 trojice2 . . .
trojiceN 13
AMD, YP/NIS
použitı́ v /etc/master.passwd, překlad z UID na
uživatelské jméno pracuje, ale naloguje se jen
“skupina”:
Vyzkoušejte si
+@skupina::::::::
+::::::::/sbin/nologin
13
Kerberos, OpenAFS
SunOS měl limit 15 trojic ve skupině
Nastavenı́
Podrobnosti
Vyzkoušejte si
Administrace
UNIXu
Leo Galamboš
Motivace
Sdı́lenı́ disku
Kerberos, OpenAFS
NIS/YP, NFS, AMD
Samba
Shrnutı́
NFS server na (20:22)
ostatnı́ stroje NFS klienti pro /usr/local, přı́p. /home
NFS
Nastavenı́
AMD, YP/NIS
NFS server master-em v NIS
Podrobnosti
vytvořte NFS/NIS zálohu
Vyzkoušejte si
realizujte AMD s jištěnı́m NFS svazku
sjednoďte všechny mapy pomocı́ YP, ponechte jen
lokálnı́ administrátorské účty