NIS vraagje

[wr19026]

Ik heb NIS nu werkend in combinatie met NFS en het werkt uitstekend. Ik wil nu alleen een "root" account maken wat ik kan exporteren en op alle clients kan gebruiken.

De gebruiker die je bij de installatie aanmaakt met UID 1000 is hier al geschikt voor maar het probleem is dat die ook op de clients bestaat.

Mijn vraag is nu of er een risico aan verbonden is om UID 1000 vanaf de server via NIS beschikbaar te maken en op de clients handmatig te verwijderen. Of is het beter om een "root" account met UID 1001 (of zo) aan te maken en die via NIS te delen.

Zo ja, met welke parameters moet ik die user dan handmatig op de server opzetten, aangezien ik geen Gnome oid draai op de server.

Alvast bedankt.

[Dennis Kaarsemaker]

User 1000 overal verwijderen kan, maar is eng als je niet ook een root wachtwoord instelt. Als NIS namelijk down is en je heebt geen sudo account dan kun je helemaal niks als je niet ook een root wachtwoord hebt.

[wr19026]

User 1000 overal verwijderen kan, maar is eng als je niet ook een root wachtwoord instelt. Als NIS namelijk down is en je heebt geen sudo account dan kun je helemaal niks als je niet ook een root wachtwoord hebt.

Dat is het eerste wat ik doe als de installatie klaar is, het root wachtwoord instellen. Maar als ik je goed begrijp kan ik daarna gewoon gebruiker 1000 verwijderen?

[Dennis Kaarsemaker]

Welja

[wr19026]

't Werkt allemaal als een zonnetje op

[kennywest]

Uw instellingen in nsswitch.conf zouden ok moeten zijn. Vergeet niet de gebruikers toe te voegen in /etc/sudoers. Bij mij is dit:
kenneth ALL=(ALL) ALL
Daarna kon ik weer sudo'en

Wat betreft uw /etc/hosts ... iirc is uw idee correct en zal de hosts file ook van de NIS geplukt worden.

[wr19026]

Uw instellingen in nsswitch.conf zouden ok moeten zijn. Vergeet niet de gebruikers toe te voegen in /etc/sudoers. Bij mij is dit:
kenneth ALL=(ALL) ALL
Daarna kon ik weer sudo'en

Wat betreft uw /etc/hosts ... iirc is uw idee correct en zal de hosts file ook van de NIS geplukt worden.

Dank je! Moet die toevoeging in /etc/sudoers op de server, op de clients of op alle machines in het netwerk?

[Dennis Kaarsemaker]

Als je de admin groep via NIS wilt exporteren zul je dat moeten aangeven, standaard worden alleen groepen met gid >= 1000 geexporteerd.

[wr19026]

Als je de admin groep via NIS wilt exporteren zul je dat moeten aangeven, standaard worden alleen groepen met gid >= 1000 geexporteerd.

Wacht even, is dit een andere manier om het te doen dan via sudoers? En excuses voor de domme vraag, maar hoe geef ik aan dat een bepaalde groep met een GID < 1000 wel door NIS meegenomen moet worden?

[Dennis Kaarsemaker]

Ja

in /var/yp/Makefile kun je dit aangeven, zoek naar MINGID. Met 'sudo make -f /var/yp/Makefile' genereer je dan de NIS database opnieuw.

[wr19026]

Ja

in /var/yp/Makefile kun je dit aangeven, zoek naar MINGID. Met 'sudo make -f /var/yp/Makefile' genereer je dan de NIS database opnieuw.

Eindelijk kom ik er aan toe om dit op me in te laten werken Dus, als ik je goed begrijp kan ik ook de GID lager dan 1000 exporteren. Maar wat is wijsheid, het is natuurlijk erg verleidelijk om alle groepen maar te exporteren (incl. root)

Wat is het practische/effectieve verschil tussen deze methode en het aanpassen van /etc/sudoers?

[Dennis Kaarsemaker]

Dat je alles via NIS doet en niet meer op elk systeem hoeft te klieren. Ik zou root alleen niet via NIS doen.

[wr19026]

Ah, briljant! Ik zal alleen eerst even de /etc/group files vergelijken om te zien of er mogelijk ellende uit voort kan komen. M'n server draait niet alleen NIS maar ook NFS, Apache, Samba en Hula dus die heeft wat groepen en gebruikers niet die wel op de clients staan.

Moet ik dan trouwens ook de +::::: op de client veranderen of kan dat allemaal onderaan passwd, group, shadow en gshadow blijven staan?

[kennywest]

Dat kan allemaal blijven staan. De nsswitch gaat (afhankelijk van uw config) eerst  kijken naar NIS en dan in de lokale bestanden.

[wr19026]

Dat kan allemaal blijven staan. De nsswitch gaat (afhankelijk van uw config) eerst  kijken naar NIS en dan in de lokale bestanden.

Dus dat houdt in dat ik

passwd:         nis compat
group:          nis compat
shadow:         nis compat

zou moeten gebruiken, of is dan
 
passwd:         compat nis
group:          compat nis
shadow:         compat nis

de aan te bevelen volgorde?

En is nis toevoegen aan de hosts regel handig? Maw, hoef ik dan niet meer de hosts file bij te houden op alle machines als er weer eens een nieuwe host bijkomt of er een hostnaam wijzigt?

hosts:          nis files dns
networks:       nis files

bijvoorbeeld?

[kennywest]

- nis compat is correct.
- ik gebruik een dns relayer i.p.v. host files verspreiden via nis (http://dnrd.sourceforge.net/).

[wr19026]

Ok, dit heb ik gedaan. /var/yp/Makefile aangepast naar MINGID-1 en /usr/lib/yp/ypinit -m gedraaid.

Inloggen als m'n superuser laat me idd de sudo commandos doen. Super! Erg bedankt met jullie hulp!

En volgens mij moet het werken als ik op m'n laptops een lokale user met UID 1000 opzet met dezelfde gegevens als op de server zodat ik de laptop kan blijven gebruiken ook al ben ik nergens op een netwerk aangemeld. Vrij pointless aangezien /home uitgeschakeld wordt zodra ik aan m'n eigen LAN hang maar daar is wel een mouw aan te passen