Partage de fichiers via NFS

Partage de fichiers via NFS
●
●
●
NFS : Net File System développé par Sun Microsystems
Permet à une machine serveur de partager un système de fichiers avec des machines clientes
Partage effectué dans un environnement supposé sécurisé (c­à­d utilisateurs et machines authentifiées)
NFS côté serveur
●
●
4 démons gèrent le partage côté serveur:
–
nfsd répond aux requêtes nfs des clients
–
montd gère les montage nfs
–
lockd attribue des verrous sur les fichiers
–
statd observation du réseau
Un fichier de configuration /etc/exports /pub *.iut-orleans.fr(rw,no_root_squash)
/doc bibli.iut-orleans.fr(ro,all_squash)
squash = transformer l'utilisateur en anonyme
NFS côté client
●
Deux démons: lockd et statd
●
Montage du système de fichiers partagé:
–
Montage temporaire
mount -t nfs serveur:/pub /mnt/pub
–
Montage au démarrage
ajouter dans le fichier /etc/fstab
serveur:/pub /mnt/pub nfs auto,rw
Authentification centralisée
NIS
●
●
NIS: Network Information Service (aussi appelé Yellow Pages) développé par Sun Microsystems
Base de données permettant de centraliser des informations sur le réseau:
–
Authentification des utilisateurs et des groupes
–
Nom des machines et adresses IP
–
Services et protocoles internet
–
Alias mail
Serveur NIS
●
●
●
Serveur NIS + ses clients = domaine NIS
ce domaine n'est pas lié au domaine DNS
Base de données stockée dans des maps dans le répertoire /var/yp/MonDomaine
Map : représentation d'une information partagée
ex: passwd.byuid = map qui représente le fichier passwd trié par uid Serveur NIS
Principales informations généralement centralisées
●
Les utilisateurs (passwd, shadow)
●
Les groupes (group, gshadow)
●
Le noms de machines (hosts)
Initialisation du serveur nis
●
●
●
Définition du domain nis : domainname
domainname iut.fr
Initialisation des maps (à faire pour chaque mise à jour) cd /var/yp
make
cette opération va « compiler » les fichiers du serveur en maps nis.
Demarrage du serveur
service ypserv restart
Client NIS
●
●
●
Affectation du nom de domaine
domainname iut.fr
Attachement au serveur
ypbind
Principales commandes
ypcat <nomdelamap> affiche le contenu de la map
ypwhich nom du serveur nis
yppasswd changer son mot de passe sur le serveur nis
Schéma de partage NIS + NFS
SERVEUR
CLIENT
/
/
bin etc
export bin etc home
home
pub
pub
home
user1 user2
Initialisation de la machine cliente
var
yp
iut.fr
Schéma de partage NIS + NFS
SERVEUR
CLIENT
/
/
bin etc
export bin etc home
home
pub
pub
home
user1 user2
var
yp
iut.fr
Initialisation de la machine cliente
Montage NFS (fstab)
serv:/export/pub /pub nfs ... Fichier /etc exports du serveur
serv:/export/home /home nfs .../export/pub *.iut.fr(rw...)
/export/home *.iut.fr(rw...)
Schéma de partage NIS + NFS
SERVEUR
CLIENT
/
/
bin etc
export bin etc home
home
pub
pub
home
user1 user2
Initialisation de la machine cliente
ypbind: jonction au domaine
var
yp
iut.fr
Schéma de partage NIS + NFS
CLIENT
/
bin etc
SERVEUR
Demande la map
/
Envoie la map
authentification
export bin etc home
home
pub
pub
home
user1 user2
Connexion de l'utilisateur user1
Demande d'autentification par la map passwd
var
yp
iut.fr
Client NIS
jonction au domaine automatique
●
Fichiers à modifier
–
/etc/sysconfig/network
ajouter NISDOMAINE=iut.fr
–
/etc/yp.conf
ajouter domain MonDomaine server Nom
–
/etc/passwd
ajouter +::::::
–
/etc/nsswitch ordre de recherche des infos (hosts, networks etc...)
–
/etc/fstab
Avoir une ligne pour monter automatiquement les répertoires principaux des utilisateurs "NIS"
Configuration serveur NIS
●
●
●
Vérifier que le fichier /etc/sysconfig/network
contient la ligne NISDOMAINE=iut.fr
Vérifier que /etc/exports autorise le partage des répertoires principaux des utilisateurs
Vérifier que le domaine est bien initialisé (make dans le répertoire /var/yp)
●
Sécurité réseau dans /var/yp/securenets
●
Sécurité et gestion serveur dans /etc/ypserv.conf
securenets
●
Ce fichier permet de décrire la liste des machines autorisées à se joindre au domaine
#autorise connexion de localhost
host 127.0.0.1
#autorise le sous réseau 192.168.1
255.255.255.0 192.168.1.0
ypserv.conf
●
Ce fichier permet de définir de politique de sécurité sur les maps
# Host : Domain
*
: *
*
: *
: Map
: Security
: passwd.byname : port
: passwd.byuid : port
●
Host indique les machines concernées
●
Domain indique le domaine NIS
●
Map indique la map
●
Security indique le niveau de sécurité
–
none pas de restriction
–
port seul un acces pour les ports inférieurs à 1024 (± root)
–
deny pas d'accès
Changement de mot de passe
●
Comment changer le mot de passe sur le serveur NIS sans recompiler les maps NIS
–
Côté client: commande yppasswd
–
Côté serveur : c'est le démon yppasswdd qui s'occupe de la mise à jour de la map nis.
En guise de conclusion
●
●
NIS
–
Simple à mettre en oeuvre
–
Securité limitée
–
Perte de vitesse face à des outils plus généraux comme LDAP (OpenLdap sous linux)
NFS
–
Très simple à mettre en oeuvre
–
Très bonnes performances
–
Très bonne adéquation avec le monde unix
–
Problèmes de sécurité