NIS、NFS 與 Autofs 整合應用

http://www.babyface.idv.tw/NetAdmin/29200806nisnfsautofs/

作者：徐秉義（Albert Hsu）

NIS、NFS 與 Autofs 是在 Linux/Unix 行之有年的帳號密碼統一驗證方式，他可以讓我們使用一群電腦，像是一整組電腦系統的好處（使用者登入每一台主機的帳號密碼一樣、使用者個人的資料亦相同）並且有著執行效率佳、穩定性高等等的優勢。

各自功能介紹

在 Linux/Unix 世界裡面，軟體經常有著『各司其職』的情況，當然 NIS、NFS 與 Autofs 也不例外，底下分別先以其主要功能來做介紹，接著再以實際操作來更加了解他們的用途。

NIS 帳號密碼統一管理

俗稱 Yellow Pages 或 YP 的 NIS 顧名思義主要是提供『資訊』（Information）的，其中又以帳號密碼資訊最為顯著，其他的資訊還包括：群組（/etc/group）、hosts（主機名稱對應的資訊）、aliases（郵件帳號別名）等等。

NFS 檔案共享

NFS 主要是將檔案系統（File System）輸出（export）去給其他主機來掛載 NFS 檔案系統，這在 Linux/Unix 之間是個非常好用的檔案共享工具，就好比在 Windows 主機之間使用網路芳鄰一樣。

Autofs 提供自動掛載、卸載功能

掛載與卸載通常不是一般使用者就可以執行，通常需要 root 權限來做，為了一般帳號使用 NFS 檔案系統的方便性，Linux 使用 Autofs 來幫助 User 存取 NFS Server 上面的資料。

溫馨提示：Autofs 也可以掛載其他檔案系統，例：NFS、ext3 與 iso9660。

測試環境介紹

此次測試需要兩台：一台當 Server、一台當 Client 其 IP 資訊如下表：

NIS Server 同時也是 NFS Server	172.18.0.3
NIS Client 同時也是 NFS Client	172.18.0.146

NIS Server 配置範例

配置一個極精簡的 NIS Server 其實並不太難，有幾個該注意到的重點要注意到即可。

先行準備的部份

取名一個您想要使用的 NIS Domain Name 例如『synage』；軟體部份則因標準安裝的 RHEL5.1 預設沒裝 NIS Server（套件名稱為 ypserv），可使用指令「yum install -y ypserv」補裝即可，裝好後就會有「/etc/init.d/ypserv」這個啟停 NIS Server 的 Script。

溫馨提示：在 RHEL5.1 使用 yum 需先配置好 yum Client，關於 yum 配置可參考筆者相關文件。

設定 NIS Server

使用指令「nisdomainname」顯示目前的 NIS Domain Name 為『空的』（尚未設定）。

使用指令「nisdomainname synage」設定 NIS Domain Name 為『synage』。

接著使用指令「/etc/init.d/ypserv restart」重新啟動 NIS Server（畫面上的 FAILED 是因為從未曾啟動過）。

指令「chkconfig ypserv on」則是設定 NIS Server 於開機時自動啟動。

溫馨提示：將 /etc/sysconfig/network 檔案內容加上一行（如下圖）例『NISDOMAIN=synage』這是 RedHat 針對 NIS Domain Name 的配套措施，這樣下次重開機時才會自動設定 NIS Domain Name 為 synage（否則每次重開機都要再執行指令「nisdomainname synage」才行）。

NIS Server 提供的資料

NIS Server 帳號密碼資料預設存放在 /var/yp/ 下 NIS Domain Name 目錄（例：/var/yp/synage/）是由系統帳號密碼檔案（/etc/passwd、/etc/shadow、/etc/group 等等）轉換過去的，產生的方法是切換到 /var/yp/ 目錄下，執行「make」指令即可。

指令「cd /var/yp」切換至 /var/yp/ 目錄下。

指令「make」產生 NIS Domain Name 為 synage/ 目錄下的 NIS 資料。

溫馨提示：如果 NIS Server 提供的資訊有異動（例如更改使用者密碼），記得要來這個目錄下執行「make」指令（也可以不切換目錄執行「make -C /var/yp」）。

由訊息上發現 NIS 提供不只是使用者帳號密碼與群組，還提供 hosts（主機名稱對應檔）、aliases（郵件別名檔案）等等的資訊。

NIS Server 與防火牆

要小心 NIS Client 來存取 NIS Server 時有可能會被 Server 的防火牆擋住；NIS Server 的 ypserv 服務與 NFS 的情況很類似，其連接埠號會異動，筆者曾在「設定 Linux 防火牆」一文中介紹如何『定住』NFS 服務的埠號再來調整防火牆，所以我們理論上也可以『定住』NIS 服務的埠號來調整防火牆，當然我們也可以設定防火牆允許 NIS Client 來源 IP（亦即『鎖定來源 IP』方式）。

上述說的兩個解決方式都比較複雜，為求測試簡單方便，所以採用『停掉』防火牆的方式來簡化設定如下圖。

指令「rpcinfo -p」可用來觀察 NIS、NFS、portmap 的 rpc 相關服務用到的埠號。

指令「/etc/init.d/iptables stop」停掉防火牆。

指令「chkconfig iptables off」設定防火牆下次開機不自動啟動（不阻擋）。

NIS Client 配置範例

大部分的 Linux Distribution 都有針對 NIS Client 設計方便好用工具來協助設定，這樣就不用手動去改 NIS 相關設定檔案（例如：/etc/nsswitch.conf、/etc/yp.conf 等等），在 Red Hat 使用「setup」指令就可以很輕鬆完成 NIS Client 的配置。

使用 setup 工具

執行指令「setup」後，選擇『認證設定』（Authentication configuration）。

點選『使用 NIS』（Use NIS）選『下一步』（Next）。

輸入正確的 NIS Domain Name 例『synage』以及「NIS Server IP 或主機名稱」接著按下『Ok』。

若要使用「主機名稱」則必須有辦法解析出 IP 來，使用 DNS 解析或 /etc/hosts 解析都可以。

在完成剛才『認證設定』後，會重新啟動 portmap 並開啟 SELinux 關於 allow_ypbind 的布林值與啟動 ypbind 服務。

測試 NIS Client 登入

接著使用 NIS Server 才有的帳號去登入 Client 主機，若是測試方式為 ssh 登入的話，最好先行重新啟動 sshd 再測試登入，登入後出現使用者家目錄無法找到的警告訊息是正常的，因為 NIS Client 主機上並沒有那個目錄，後續可用 NFS mount Server 或 Autofs 自動掛載 Server 上的 NFS 資料。

接著是實際的測試過程，先在 Server 上建立帳號 test 並設定密碼，且更新到 NIS 資訊，作法如下：

指令「useradd test」建立帳號 test。

指令「passwd test」設定 test 帳號的密碼。

指令「make -C /var/yp」將資訊更新至 NIS 資料區。

接下來是在 NIS Client 主機作業。

指令「/etc/init.d/sshd restart」重新啟動 sshd。

指令「ssh test@localhost」ssh 登入本機（NIS Client）localhost 使用帳號 test。

指令「grep test /etc/passwd」要表達的是，若無輸出資訊表示 NIS Client 主機的 local password 資訊內沒有 test 帳號。

指令「id test」用來確認出現在系統有 test 這個帳號的資訊（包括 NIS 提供的資訊）。

溫馨提示：若要取得 NIS Server 上的 passwd 與 group 以及其他檔案資訊需使用 getent 指令，例「getent passwd」、「getent group」等等。

欲解決 NIS 帳號登入無法存取家目錄的問題，最簡易的方式就是：『將 NIS Server 的 /home 採用 NFS 分享給 NIS Client 掛載到他的 /home 目錄』。

NFS Server 配置範例

要在 NIS Server 採用 NFS 分享 /home 給 NIS Client 主機設定範例如下：

編輯 /etc/exports 加入一行內容為『/home 172.18.0.146(rw,sync)』（其中 172.18.0.146 是 NIS client IP 位址）。

溫馨提示：來源主機也可以使用網段的描述方式，例如 172.18.0.0/255.255.0.0。

上述設定的意思是將 /home 分享（exports 出去）給來源 IP 是 172.18.0.146 掛載使用，權限為可讀寫（rw）。

指令「/etc/init.d/nfs restart」重新啟動 NFS Server（畫面上的 FAILED 是因為從未曾啟動過）。

指令「chkconfig nfs on」則是設定 NFS Server 於開機時自動啟動。

溫馨提示：防火牆同樣是關閉的（指令「/etc/init.d/iptables off」）以簡化測試流程。

NFS Client 配置範例

接下來在 NIS Client 主機（也就是 NFS Client 主機）要將 NFS Server 的 /home 掛載在自己的 /home 並測試使用 NIS 帳號 test 登入。

將 Server 的 /home 掛載在自己的 /home

指令「showmount -e 172.18.0.3」用來觀察 NFS Server（IP 172.18.0.3）有開放分享 /home 給 IP 172.18.0.146 主機（也就是 NFS Client）

指令「mount 172.18.0.3:/home /home」將 NFS Server 的 /home 掛載在自己的 /home。

指令「df」用來觀察掛載後的情況。

指令「ssh test@localhost」測試 NIS 帳號 test 使用 ssh 登入。

接下來在 test 家目錄產生的資料實際上會建立在 NFS Server（同時也是 NIS Server）上的 /home/test 目錄內。

撰寫 fstab 開機自動掛載

請注意 NFS Client 下次開機並不會自動掛載 NFS Server 的 /home 至自己的 /home 目錄，要完成這樣的功能的話，可以從編寫『/etc/fstab』來著手。

指令「umount /home」卸載 /home 目錄（先卸載以確保待會設定的自動掛載有效）。

撰寫 /etc/fstab 範例中寫在第三行『172.18.0.3:/home   /home   nfs   defaults   0   0』

使用指令「mount -a」可以測試撰寫在 /etc/fstab 內有無開機即掛載的作用。

接下來談到 autofs 怎麼與 NFS Server 來應用，首先從基本的 autofs 使用方法開始吧！

autofs 基礎配置

掛載與卸載通常需要 root 身份來執行，因此使用者要用到 NFS Server 上面的資料就顯得比較麻煩，而 autofs 主要的功能是讓我們使用者能使用 NFS Server 的資料，卻不需要先請 root 做掛載卸載的動作，取而代之的是自動掛載卸載（automount）這就是使用 autofs 主要用意。

autofs 基礎使用方法

在 RHEL5.1 的 autofs 開機會自動啟動的，控制其啟停的是「/etc/init.d/autofs」這個 Init Script，指令「chkconfig autofs --list」可檢查 autofs 是否開機自動起動。

預設值使用 autofs 功能的時候，不論您是用 root 還是 User 只要列出或是切換到 『/net/對方 IP 或主機名稱』就可以呼叫 root 來自動掛載對方的 NFS 分享，例如：

指令「su - test」變成 test 帳號的身份。

指令「ls /net/」原本看到的是空的。

指令「ls /net/172.18.0.3」就會看到 home 目錄（NFS Server 上的）。

只要帳號的身份正確，讀寫資料應該沒有問題（root 身份例外）。

溫馨提示：預設值 NFS Client 的 root 身份存取 Server 時，會被 Server 轉換成 nobody 或是 nfsnobody（在 RHEL5.1）身份。

autofs 的設定檔案

autofs 最主要的設定檔案是『/etc/auto.master』裡面定義使用到哪個目錄（例如：/net/、/misc）會自動掛載哪些資料（例如：/net/ 掛載 NFS、/misc/cd 掛載 cdrom），我們可以使用一些檔案瀏覽工具來觀察。

例如：指令「grep -v ^# /etc/auto.master」反向（-v 選項）過濾（grep）開頭是井字號（^#）

指令「file /etc/auto.net」得知這個檔案是一個 Shell Script。

我們得到的設定觀念如下表：

/net	使用 /etc/auto.net 這個 script 掛載 NFS 資料 例如：存取 /net/172.18.0.3 則會自動掛載對方主機 NFS 資料
/misc	使用 /etc/auto.misc 這個檔案內的定義掛載資料 例如：存取 /misc/cd 則會自動掛載 cdrom

Autofs 進階配置

使用 Autofs 的好處之一是『一般帳號可以存取特定目錄自動掛載檔案系統來使用』其二是『若掛載閒置超過一段時間後，會自動卸載的優點』（以節省 NFS Server 資源），接下來介紹的 Autofs 進階配置，可使得『NIS Client 主機的本機帳號與 NIS 帳號分離』且『NIS 帳號有登入才掛載 NFS Server 檔案』。

NIS Client 主機的本機帳號問題

當我們將 NFS Server 的 /home 掛載在 NIS Client 的 /home 時，建立 NIS Client 本機帳號時會有無法建立使用者家目錄的問題出現，原因為 NFS Client 的 root 身份被 NFS Server 轉換成 nobody 或 nfsnobody 了，導致權限不足如下圖。

此時建立帳號最好到 NIS Server 建立，避免在 NIS Client 建立一般帳號；除了這個方法以外，我們可以將 NIS Client 主機的本機帳號與 NIS 帳號抽離，規劃如下：

NIS Client 主機的本機帳號	家目錄在 /home/$USER	例：使用者 c2 家目錄 /home/c2
NIS Client 主機的 NIS 帳號	家目錄在 /export/home/$USER	例：使用者 test2 家目錄 /export/home/test2

恢復 NIS Client 主機的本機帳號正常使用

要讓 NIS Client 主機的本機帳號恢復正常使用，要先卸載原本掛載在 /home 的 NFS 分享。

在 NIS Client 主機執行指令「umount /home」卸載 /home 目錄。

編輯 /etc/fstab 將之前設定的第三行註解起來（就是 nfs 那一行）。

指令「df」觀察掛載情況（應該是卸載完畢）。

之後建立 c2 本機帳號且可正常使用，建立帳號指令「useradd c2」、切換成 c2 身份「su - c2」。

NIS Server 建立 NIS 帳號

按照我們的計畫，來到 NIS Server 建立帳號 test2 家目錄位於 /export/home/test2/。

先使用指令「mkdir -p /export/home」將此目錄做出來（以免建立帳號時無法成功做出家目錄）。

指令「useradd -d /export/home/test2 test2」建立使用者 test2 指明家目錄位於 /export/home/test2/。

指令「make -C /var/yp/」更新至 NIS 資料區。

NFS 分享資料異動

因為 NIS 帳號家目錄由 /home/$USER 改變到 /export/home/$USER 所以 NFS Server 設定也要跟著異動。

編輯 /etc/exports 設定檔，將原先的『/home 172.18.0.146(rw,sync)』設定註解起來，新增一行『/export/home 172.18.0.146(rw,sync)』

改完設定後記得重新啟動 NFS Server 指令「/etc/init.d/nfs restart」

設定 Autofs 使得 NIS 帳號 test2 登入掛載 /export/home/test2

編輯 Autofs 主要設定檔案 /etc/auto.master 模仿『/misc  /etc/auto.misc』那一行來新增『/export/home   /etc/auto.export.home』這一行設定，意思是當我們嘗試存取 /export/home/ 目錄底下時，就聽從 /etc/auto.export.home 的內容運作。

直接編輯 /etc/auto.export.home 的內容難度較高，不如用模仿 /etc/auto.misc 成為 /etc/auto.export.home 的方式，所以我們用拷貝的，指令「cp /etc/auto.misc /etc/auto.export.home」

有註解範例的編輯 /etc/auto.export.home 將原本有的 cd 那行加上註解，並模仿另一行註解中『#linux   -ro,soft,intr   ftp.example.org:/pub/linux』成為我們的設定『test2   -rw,soft,intr   172.18.0.3:/export/home/test2』特別注意 ro（read only）要改成 rw（read write）。

上面設定的意思是：當我們存取 test2（也就是 /export/home/test2）時，會掛載 172.18.0.3 NFS 主機的 /export/home/test2 且為讀寫模式（rw）。

改完設定後記得重新啟動 Autofs Service 使之生效，指令「/etc/init.d/autofs restart」

利用指令「su - test2」即可使用 NIS 帳號 test2 登入系統。

使用 df 以及 pwd 來觀察設定是否生效（自動掛載功能）。

接下來思考的問題是：這樣子 test2 帳號處理好了，若後續新增 test3、test4 帳號時，不就又要到每一台 NIS Client 主機調整 Autofs 設定了嗎？所幸 Autofs 設定支援萬用字元（也就是 * 字號，所以可以一次設定就使得後來建立的 test3、test4 都正常運作。

溫馨提示：這部份的說明文件請參考「man 5 autofs」關於 export 的地方（如下圖）。

使用 Autofs 的 Wildcard Key 功能

再度編輯 /etc/auto.export.home 將原先的『test2   -rw,soft,intr   172.18.0.3:/export/home/test2』加上註解，取而代之的是『*   -rw,soft,intr   172.18.0.3:/export/home/&』這樣 test2 登入掛載 /export/home/test2；test3 登入掛載 /export/home/test3。

改完一樣要記得重新啟動 Autofs Service 使之生效，指令「/etc/init.d/autofs restart」。

接下來就是測試了，在 Server 建立帳號 test3 並設定密碼，然後使用 test3 登入 Client 主機，觀察 Autofs 設定有無生效（如下圖）。