venerdì, Marzo 29, 2024

NIS vs LDAP

AreaNetworking.it
AreaNetworking.ithttps://www.areanetworking.it
AreaNetworking.it è tra i principali e più storici media italiani del settore ICT. Nato nel 2003 per opera di Federico Lagni, l'attività del gruppo è sia online - con il portale rivolto a figure professionali ICT (IT Manager, CTO, Security Specialist, Datacenter Engineer, etc) - sia offline con l'organizzazione delle più importanti conferenze italiane su temi tecnologici.
<Alessandro> qualcuno usa Linux?
<Eugenio> io un po’
<Alessandro> ciao Eugenio
<Alessandro> che canale è questo?
<Alessandro> è la prima volta che ci entro
<Eugenio> leggi il topic :D
<Alessandro> avrei bisogno di qualche chiarimento sull’uso del NIS
<Alessandro> Network Information System
<Eugenio> si si
<Eugenio> ma non lo uso
<Eugenio> non so che dirti
<Alessandro> stando a quello che ho letto, una volta configurato il NIS con il passwd
<Alessandro> sarebbe possibile accedere a un’utenza remota semplicemente usando il comando ‘su’
<Alessandro> ma non mi torna proprio
<Eugenio> Alessandro
<Eugenio> mi sembra che sia diverso
<Eugenio> dovrebbe essere che hai per esempio un db centrale con le pass
<Eugenio> e grazie al NIS
<Alessandro> il db centrale l’ho configurato
<Eugenio> puoi accedere a qualsiasi PC della rete con il tuo login e pass
<Alessandro> ma sembra che al comando ‘su’ non gliene freghi niente
<Eugenio> cioè vai a quel PC e anche se non sei un utente puoi collegarti con il tuo account
<Alessandro> mi chiedevo se c’è bisogno di configurare qualcos’altro
<Eugenio> ma non so… sto dicendo una boiata :D
<Eugenio> mi sa che ogni PC deve avere il client NIS
<Eugenio> il db lo gestisce il server NIS
<Alessandro> già fatto Eugenio
<Eugenio> allora bhu
<Luca> ragazzi…. scusate
<Alessandro> si collegano perfettamente
<Eugenio> di più non so
<Luca> MA NON SI PUO’ NEL 2007 USARE ANCORA IL NIS
<Alessandro> prova
<Eugenio> Luca a me sembra sia la seconda volta che lo sento :D
<Luca> Eugenio, dire che è obsoleto
<Luca> è un eufemismo
<Luca> esiste LDAP
<Eugenio> asp cerco un po’ su Google
<Eugenio> Luca ho capito
<Eugenio> Alessandro
<Alessandro> dimmi
<Eugenio> da come dice Luca prova ad usare LDAP
<Alessandro> mi sono perso quello che ha detto Luca….pardon
<Alessandro> non lo voglio usare LDAP
<Eugenio> di provare ad usare LDAP
<Eugenio> :D
<Alessandro> è sprecato per una rete di soli tre PC
<Eugenio> ah ecco
<Luca> Alessandro, io lo uso sul mio portatile
<Alessandro> vabbè Luca..ma se non funziona in modo semplice figurati usando LDAP
<Luca> per autenticazione utenti (passwd etc), su, SSH, Apache, Xdm
<Luca> Alessandro, il punto è che NIS é deprecated
<Luca> :)
<Alessandro> ops
<Alessandro> questo mi è sfuggito
<Alessandro> Luca….in che senso deprecato?
<Alessandro> non c’è piu’ supporto?
<Luca> allora, LDAP è stato creato come degno sostituto
<Luca> e consente di gestire le cose in modo più semplice e centralizzato, nonchè “cross-platform”
<Luca> in giro per la rete è pieno di documenti che spiegano come migrare a LDAP
<Luca> e per quanto riguarda il supporto…
<Luca> per SUN, NIS è deprecated
<Luca> e sotto Linux ti assicuro che è molto semplice tirar su OpenLDAP che un NIS
<Alessandro> ti credo Luca
<Alessandro> però io uso NFS
<Luca> Alessandro, che c’entra NFS?
<Luca> io ci metto le home degli utenti in NFS
<Luca> è comodissimo
<Alessandro> e ho letto su un documento che NFS e NIS sono la migliore accoppiata per gestire le utenze e le home condivise
<Alessandro> anch’io Luca
<Luca> certo, ma non si fa più da anni
<Luca> nel senso che se uno deve installare qualcosa
<Luca> mette su LDAP+NFS
<Luca> non NIS+NFS
<Alessandro> io però ho bisogno che oltre a usare un account remoto, devo usare anche una home remota
<Alessandro> non so come si può usare LDAP in questo modo
<Luca> Alessandro, ho capito, di quello sto parlando
<Luca> installi LDAP sul client e sul server
<Luca> shari un filesystem
<Luca> (con dentro le home)
<Luca> e lo monti sul client
<Luca> ed è finita
<Alessandro> gud
<Alessandro> mi hai convinto Luca (*)
<Luca> in Debian c’è un pacchetto che si chiama migration-tool
<Alessandro> elimino NIS allora
<Luca> che ti converte tutto il passwd
<Luca> in ldif
<Luca> non devi fare altro che caricarlo su LDAP e buonanotte
<Alessandro> ma si può usare anche il comando ‘su’?
<Luca> si
<Alessandro> che so, dal client eseguo ‘su – utente_remoto’ e mi ci fa collegare?
<Luca> qualunque servizio che usa PAM
<Luca> può usare LDAP
<Alessandro> fico
<Luca> quelli che non si appoggiano a PAM devono avere supporto diretto
<Luca> SSH ad esempio è PAM
<Alessandro> su è PAM?
<Luca> si
<Luca> ti basta aggiungere una riga in /etc/PAM.d/su
<Luca> per i login /etc/PAM.d/login
<Luca> c’è anche /etc/PAM.d/ssh
<Luca> cron
<Luca> cups
<Luca> gdm
<Luca> Alessandro, insomma un po’ di tutto
<Luca> Alessandro, hai presente apache?
<Alessandro> quello che non capisco però
<Alessandro> è coma fa per esempio SSH a sapere che deve andare a cercare su un server LDAP?
<Alessandro> si lo uso
<Luca> funziona anche per .htaccess
<Luca> Alessandro, non lo fa SSH… ci pensa il PAM.d
<Alessandro> allora indirettamente hai risolto il mio problema con il NIS
<Luca> SSH in pratica si interfaccia a PAM.d che a sua volta va a guardare nella configurazione del file
<Luca> /etc/PAM.d/ssh
<Alessandro> per far eseguire il comando ‘su’ con il NIS devo modificare il PAM.d
<Luca> nonchè in /etc/nsswitch.conf
<Luca> PAM.d esegue la search LDAP
<Luca> PAM.d+nss
<Alessandro> immagino che il meccanismo sia lo stesso dell’LDAP
<Luca> e si interfaccia a SSH
<Luca> devi modificare il file relativo a “su” in /etc/PAM.d/su
<Luca> tutto qui
<Alessandro> grazie
<Alessandro> intanto lo provo con il NIS
<Alessandro> poi se è passero’ ad LDAP
<Alessandro> cosa devo aggiungere in PAM.d/su?
<Luca> auth sufficient PAM_LDAP.so
<Luca> :)
<Luca> è semplicissimo
<Luca> e soprattutto…è moderno
<Luca> :)
<Alessandro> conosci il PAM_wheel.so?
<Luca> inoltre 2 server openLDAP puoi metterli in multimaster e bilanciarli
<Alessandro> me lo trovo commentato
<Alessandro> quello la fa anche il NIS
<Luca> e far puntare le macchine client al vip dei 2 server LDAP
<Luca> e puoi usarlo anche su windows
<Luca> o dove ti pare
<Luca> e soprattutto, hai supporto
<Alessandro> scusa Luca
<Alessandro> quelle modifiche a PAM.d vanno fatte solo sui client?
<Luca> ah
<Luca> stavo già entrando in crisi
<Luca> ahaha
<Luca> si, solo sui client
<Luca> quando cambi nsswitch.conf… fai bene attenzione a lasciare anche l’autenticazione “files” almeno per l’account di root
<Luca> sennò è la fine :)
<Luca> oppure tieniti una shell sempre aperta
<Luca> e non la chiudere finchè non sei sicuro che funziona tutto :)
<Alessandro> ho già fatto qualche casino con su
<Alessandro> non riuscivo più a diventare root :D
<Alessandro> per fortuna che c’è ssh
<Luca> il top del “non riuscivo più a diventare root” è stato un tizio
<Luca> che, preso dall’idea di streightening del sistema
<Luca> ha messo /bin/false come shell di root

Articoli correlati

Non perdere il lancio online della Community GDPR Day: 26 marzo 2024

La sicurezza dei dati e delle informazioni non è più un'opzione, ma una necessità imprescindibile. Lo dimostrano i tanti attacchi informatici che, con frequenza...

Digital Transformation


 

Noleggia una Tesla per il tuo evento ICT!

Categorie