Re: Faire marcher NIS sous Debian
Francois Sauterey wrote: Le 10:23 28/10/02 +0100, Georges Mariano nous a écrit : ** Message d'origine ** On 27 Oct 2002 18:13:16 +0100 Raphaël Bordet <[EMAIL PROTECTED]> wrote: > Non, non et non ! > Il n'y a que le root du poste NIS client qui peut récupérer les mots > de passe distribués par shadow et nul autre ! > Il faut vous le dire en chinois ? voui... ;-) Ou ne russe ? En tout cas je veux bien... parce que quand je ne vois plus les mdp, mes outils non plus: machine1: serveur YP machine2: serveur ftp Si ypcat passwd ne donne pas les mots de passe, j'ai plus d'authentification ftp (ou ssh) ! Je veux bien apprendre moi ;~} Francois Pour ma part je n'utilise plus nis depuis bien longtemps mais j'ai une documentation dispo !!: http://xenux.danstesoreilles.com Si ca ta va ?
Re: Faire marcher NIS sous Debian
Salut Le Mercredi 30 Octobre 2002 21:07, Raphaël Bordet a écrit : > > > Il n'y a qu'un problème : je ne peux plus me loguer sur les > > > clients... Une idée du problème ? > > > > Il n'y a pas un '+' à rajouter à la fin de /etc/shadow, il > > me semble que c'est nécessaire (mais ça remonte à loin!). > > Il l'a déjà ajouté malheureusement... Non, non, j'avais bêtement oublié... Je l'ai rajouté, et ça marche :o) > Cela dit, ce n'est pas nécessaire du tout. Il semblerait bien que si... :-) @+ -- Utilisateurs de Linux, enregistrez-vous : http://counter.li.org
Re: Faire marcher NIS sous Debian
Le mer 30/10/2002 à 17:37, François Boisson a écrit : > > Ok... Donc j'ai viré MERGE_PASSWD=true de /var/yp/Makefile. Et là, > > effectivement, je vois des x avec ypcat passwd et les mots de passe > > cryptés avec ypcat shadow. > > > > Il n'y a qu'un problème : je ne peux plus me loguer sur les clients... > > Une idée du problème ? > > > Il n'y a pas un '+' à rajouter à la fin de /etc/shadow, il me > semble que c'est nécessaire (mais ça remonte à loin!). Il l'a déjà ajouté malheureusement... Cela dit, ce n'est pas nécessaire du tout. Ce qui est important, tout en se référant au fameux howto, c'est de paramétrer le fichier /etc/nsswitch.conf sur les hôtes clients nis en libc6 et /etc/host.conf pour les applications et hôtes en libc5. Je pense qu'il faut regarder de ce côté-là. -- Raphaël Bordet [EMAIL PROTECTED]
Re: Faire marcher NIS sous Debian
> Ok... Donc j'ai viré MERGE_PASSWD=true de /var/yp/Makefile. Et là, > effectivement, je vois des x avec ypcat passwd et les mots de passe > cryptés avec ypcat shadow. > > Il n'y a qu'un problème : je ne peux plus me loguer sur les clients... > Une idée du problème ? > Il n'y a pas un '+' à rajouter à la fin de /etc/shadow, il me semble que c'est nécessaire (mais ça remonte à loin!). FB
Re: Faire marcher NIS sous Debian
Salut Le Mardi 29 Octobre 2002 23:27, Raphaël Bordet a écrit : > > > Qu'insinue-tu en disant "ypcat passwd marche" ? > > > Que le binaire en question soit accessible à l'utilisateur, oui. > > > Qu'il affiche la liste des utilisateurs sans les mots de passe, > > > oui. Qu'il le fasse avec, c'est que tu as mal configuré le > > > support shadow. > > > > Il y a les mots de passe. Le problème se situe sur le serveur ? Il > > y a pourtant les mots de passe shadow d'activé ? > > Bien. Pour couper court à toutes ces remarques, et attendu que mes Je voudrais préciser : ce n'étaient ni des remarques, ni des critiques. C'est juste que je connais encore assez mal NIS, et que chez moi un simple utilisateur peut faire "ypcat passwd" et avoir les mots de passe encodés. > Soit arioch, le serveur NIS et mabelrode, un client NIS... > La première est une sid et la seconde, une sarge. Note : chez moi serveur et clients sont sous woody. > J'ai suivi ce fichier pour installer nis selon la méthode debain: > /usr/share/doc/nis/nis.debian.howto.gz Tiens je ne savais pas que ce Debian-howto existait. Il ne me reste plus qu'à le lire. > /etc/default/nis: > ... > # Are we a NIS server and if so what kind (values: false, slave, > master) > NISSERVER=master Ça, c'est bon. > /etc/ypserv.securenets: > ... > # Allow access for localnet > 255.255.255.0 10.0.0.0 Ça aussi. > /etc/ypserv.conf: rien à redire. > > /etc/networks: > localnet 10.0.0.0 Ça aussi. > Puis, j'ai exécuté la commande suivante toujours en suivant le > document: /usr/lib/yp/ypinit -m Idem. > NB: J'ai égalemment touché au fichier /var/yp/Makefile afin de > diminuer les valeurs minimales des uid et gid afin d'inclure mon > utilisateur. Par défaut, c'est 1000:1000, je l'ai donc ainsi réduit à > 500:100. Je l'ai fait aussi. J'ai aussi fait les modifications suivantes : MERGE_PASSWD=true MERGE_GROUP=true ALL = passwd group shadow networks Pour activer le support des mots de passe shadow et qu'il ne m'exporte pas des choses dont je n'ai pas besoin. > Notez qu'il n'est pas utile de relancer le serveur ypserv à chaque > mise à jour: Non, mais il faut faire un make dans /var/yp, sinon ça cafouille. > j'aurais pu dire de lancer le serveur bien avant la > création de la base: > /etc/init.d/nis start > Starting NIS services: ypserv yppasswdd ypxfrd ypbind ... Ça se lance à l'installation du paquet. > A présent, j'installes un client nis sur mabelrode. > Nul besoin est de modifier quoique ce soit, par défaut le paquet nis > est valide pour un client. Il ne démarre d'ailleurs qu'ypbind. Il faut rajouter la ligne +:: aux fichiers /etc/passwd et /etc/group. > Passons aux choses sérieuses: > > [EMAIL PROTECTED] 23:19:39 surcouf]$ ypcat passwd > nobody:x:65534:65534:nobody:/home:/bin/sh > surcouf:x:500:100:Raphaël Bordet,,,:/home/nfs/surcouf:/bin/bash > > J'ai bien la liste: le serveur tourne et distribue la base. [EMAIL PROTECTED]|~% ypcat passwd aurelien::1000:1000:Aurélien Le Provost,508,,:/home/aurelien:/bin/zsh nobody:*:65534:65534:nobody:/home:/bin/sh Snif. > [EMAIL PROTECTED] 23:19:43 surcouf]$ ypcat shadow.byname > [EMAIL PROTECTED] 23:31:58 surcouf]$ > > Si j'essaie d'accéder à cette "carte" (map), je n'y parviens pas. > A l'époque où je m'en servais, on obtenais la liste mais sans le mot > de passe. Le support actuel va apparement encore plus loin supprimant > la liste inutile... [EMAIL PROTECTED]|~% ypcat shadow.byname [EMAIL PROTECTED]|~% Là effectivement, ça marche comme prévu. Mais bon, comme y'a un gros tou juste à côté... > Mêmes tests en root: > [EMAIL PROTECTED] 23:14:51 /var/www/theseb.prout.be]# ypcat passwd > nobody:x:65534:65534:nobody:/home:/bin/sh > surcouf:x:500:100:Raphaël Bordet,,,:/home/nfs/surcouf:/bin/bash > > C'est normal. Idem qu'avec l'utilisateur normal. > [EMAIL PROTECTED] 23:19:24 /var/www/theseb.prout.be]# ypcat > shadow.byname nobody:*:11515:0:9:7::: > surcouf::11978:0:9:7::: poste5|.# ypcat shadow.byname No such map shadow.byname. Reason: Cette table n'est pas dans le domaine du serveur. Ok... Donc j'ai viré MERGE_PASSWD=true de /var/yp/Makefile. Et là, effectivement, je vois des x avec ypcat passwd et les mots de passe cryptés avec ypcat shadow. Il n'y a qu'un problème : je ne peux plus me loguer sur les clients... Une idée du problème ? > Voilà: une belle démonstration vaut mieux qu'un long discours > parfois... J'espère que vous comprenez maintenant mon insistance sur > le sujet. Oui, je le comprend maintenant, et je comprend aussi qu'il y a un problème chez moi... Mais où est-il ? :-/ @+ -- Utilisateurs de Linux, enregistrez-vous : http://counter.li.org
Re: Faire marcher NIS sous Debian
> >>Si ton système date tellement, > >>vu la dépendance de NIS par rapport à la > >>libc, mets donc ton système à jour, point final. > >> > >(y'a bcp de choses qui dépendent de la libc il me semble ;-) > > > Il est également précisé dans le fameux HOWTO qu'avec des applications > dépendants de la libc5, > on ne peut pas utiliser les shadows... D'où l'intérêt de se tenir à > jour: faut savoir ce qu'on veut. Restons calme, on n'est pas obligé d'être performant chaque jour! > > >bon cliquant un peu, le debian.nis.howto indique : > > > En "cliquant" ? Si on consulte les howto via mozilla par exemple... > > >«4.1 SHADOW-LIKE SECURITY > >... > >Or dans le-dit fichier /etc/ypserv.conf il est indiqué : > ># The following, >>when uncommented<<, will give you shadow like > >passwords. > > > >Donc, ce n'est pas le comportement par défaut (si je comprends bien, > >vu que c'est commenté). > > etc... En fait j'ai l'impression que les choses ont un peu évolué: J'ai installé un serveur NIS en 1998 (en gros) à partir d'une hamm (celle qui avait le serveur NFS si agréable, l'ai je dit?). A l'époque, le partage du shadow était possible mais sans intérêt car (je l'avais vérifié à l'époque) un ypcat shadow.byname permettait au péquin moyen (non root) d'avoir accès aux données (A tout les coups c'est du à l'histoire de la libc5 décrite plus haut, j'aurai appris qque chose). C'est pour cette raison qu'il y avait cette notion de "password mangled". Si depuis (je n'ai pas touché à mon NIS qui marche parfaitement), NIS a évolué et supporte le partage du shadow intelligement (parce que compilé sous libc6), les réglages par défaut ont pu changé sur les serveurs et les clients ce qui peut expliquer le pbm lors du paramétrage d'un nouveau client sur un serveur NIS vieux. Tant que j'y suis, LDAP a l'air mieux et plus souple, quelqu'un a-t-il réussi une transition de NIS vers LDAP? FB
Re: Faire marcher NIS sous Debian
Georges Mariano wrote a) y'a le mot 'debian' dans mon message, je cite : "ici le serveur nis n'est pas debian" :o) Ce n'est pas parce qu'il y a écrit "debian" que c'en est fatalement sujet à en discuter ici. b) et la question est justement de déterminer si le problème du fonctionnement a priori anormal, est du côte client (Debian) ou du côté serveur (Debian [ou pas, dans mon cas]), ou s'il s'agit d'un mauvais réglage des shadows. Vu que le-dit comportement a été observé dans diverses configurations apparemment. Si ton système date tellement, vu la dépendance de NIS par rapport à la libc, mets donc ton système à jour, point final. (y'a bcp de choses qui dépendent de la libc il me semble ;-) Il est également précisé dans le fameux HOWTO qu'avec des applications dépendants de la libc5, on ne peut pas utiliser les shadows... D'où l'intérêt de se tenir à jour: faut savoir ce qu'on veut. bon cliquant un peu, le debian.nis.howto indique : En "cliquant" ? «4.1 SHADOW-LIKE SECURITY You >>can<< provide shadow-like security by "mangling" the password for NIS lookups of pasword-file entries. Read the manpage for "ypserv.conf" and read the comments in the sample /etc/ypserv.conf.» Cela semble indiqué que l'effet "shadow" sur les requètes nis est bien un PARAMÉTRAGE, donc à la discrétion de celui qui installe le serveur. Or dans le-dit fichier /etc/ypserv.conf il est indiqué : # The following, >>when uncommented<<, will give you shadow like passwords. Donc, ce n'est pas le comportement par défaut (si je comprends bien, vu que c'est commenté). --- # This is the default - restrict access to the shadow password file, # allow access to all others. *: shadow.byname: port *: passwd.adjunct.byname : port *: *: none --- C'est ça le comportement par défaut. Si l'on s'en réfère au manuel d'ypserv.conf, la troisième directive placée à "port" signifie qu'on permet l'accés si le port (du client, je suppose) est inférieur à 1024. En d'autres termes, seul le super-utilisateur y aura accés. Ah oui, c'est là où tu dis "/etc/ypserv.conf: rien à redire." , t'es sûr ?? Ca signifie que le fichier fourni par le paquet nis de debian n'a pas été retouché, donc pris comme tel. Il te suffit de regarder celui fourni en installant ton client puisque le paquet comprends tout le système NIS. Ainsi, tu auras une idée des différences en comparant ce fichier avec celui de ton serveur -- Raphaël Bordet [EMAIL PROTECTED]
Re: Faire marcher NIS sous Debian
On Wed, 30 Oct 2002 12:06:13 +0100 Raphaël SurcouF <[EMAIL PROTECTED]> wrote: > C'est une liste qui parle de debian, il me semble. Ben oui, a) y'a le mot 'debian' dans mon message, je cite : "ici le serveur nis n'est pas debian" :o) b) et la question est justement de déterminer si le problème du fonctionnement a priori anormal, est du côte client (Debian) ou du côté serveur (Debian [ou pas, dans mon cas]), ou s'il s'agit d'un mauvais réglage des shadows. Vu que le-dit comportement a été observé dans diverses configurations apparemment. > Si tu ne précises pas les données du problème, > on peut le traiter convenablement. Ok, je vais essayer d'être moins précis à l'avenir... > Si ton système date tellement, > vu la dépendance de NIS par rapport à la > libc, mets donc ton système à jour, point final. (y'a bcp de choses qui dépendent de la libc il me semble ;-) bon cliquant un peu, le debian.nis.howto indique : «4.1 SHADOW-LIKE SECURITY You >>can<< provide shadow-like security by "mangling" the password for NIS lookups of pasword-file entries. Read the manpage for "ypserv.conf" and read the comments in the sample /etc/ypserv.conf.» Cela semble indiqué que l'effet "shadow" sur les requètes nis est bien un PARAMÉTRAGE, donc à la discrétion de celui qui installe le serveur. Or dans le-dit fichier /etc/ypserv.conf il est indiqué : # The following, >>when uncommented<<, will give you shadow like passwords. Donc, ce n'est pas le comportement par défaut (si je comprends bien, vu que c'est commenté). Ah oui, c'est là où tu dis "/etc/ypserv.conf: rien à redire." , t'es sûr ?? Donc, éventuellement, il est pas impossible que l'on puisse avoir du mal à suivre ta belle démonstration. M'enfin, je crois savoir ce que je voulais savoir maintenant. A+ C'est bien de ressortir ce qui se passe en principe, mais c'est mieux d'essayer de comprendre la véritable question. Mais bon, c'est plus difficile, c'est vrai. -- mailto:[EMAIL PROTECTED] tel: (33) 03 20 43 84 06 INRETS, 20 rue Élisée Reclus fax: (33) 03 20 43 83 59 BP 317 -- 59666 Villeneuve d'Ascq http://www3.inrets.fr/estas/mariano
Re: Faire marcher NIS sous Debian
Georges Mariano wrote: On 29 Oct 2002 23:27:18 +0100 Raphaël Bordet <[EMAIL PROTECTED]> wrote: Bien. Pour couper court à toutes ces remarques, et attendu que mes souvenirs de NIS dataient un peu, j'ai installé rapidemment le paquet debian nis afin d'étayer mes affirmations. Voilà: une belle démonstration vaut mieux qu'un long discours parfois... J'espère que vous comprenez maintenant mon insistance sur le sujet. Oui et non, oui car tu décrit le comportement attendu (après une installation classique) et non parce que ce n'est pas exactement le problème soulevé. La question soulevée précédemment est plutôt : * Dans un contexte où ypcat passwd donne la liste et les passwd (cryptés), c-a-d un comportement non-optimal du point de vue de la sécurité, **où** est l'erreur ?? Mon intuition est qu'il s'agit plutôt d'un mauvais réglage du serveur nis (et pas du client, puisqu'effectivement on ne touche à rien), mais lequel ? [indépendammant du fait qu'ici le serveur nis n'est pas debian et date de ... le man ypcat date de Jan 1995!!] C'est une liste qui parle de debian, il me semble. Si tu ne précises pas les données du problème, on peut le traiter convenablement. Si ton système date tellement, vu la dépendance de NIS par rapport à la libc, mets donc ton système à jour, point final. -- Raphaël Bordet [EMAIL PROTECTED]
Re: Faire marcher NIS sous Debian
On 29 Oct 2002 23:27:18 +0100 Raphaël Bordet <[EMAIL PROTECTED]> wrote: > Bien. Pour couper court à toutes ces remarques, et attendu que mes > souvenirs de NIS dataient un peu, j'ai installé rapidemment le > paquet debian nis afin d'étayer mes affirmations. > > > Voilà: une belle démonstration vaut mieux qu'un long discours > parfois... J'espère que vous comprenez maintenant mon insistance sur > le sujet. Oui et non, oui car tu décrit le comportement attendu (après une installation classique) et non parce que ce n'est pas exactement le problème soulevé. La question soulevée précédemment est plutôt : * Dans un contexte où ypcat passwd donne la liste et les passwd (cryptés), c-a-d un comportement non-optimal du point de vue de la sécurité, **où** est l'erreur ?? Mon intuition est qu'il s'agit plutôt d'un mauvais réglage du serveur nis (et pas du client, puisqu'effectivement on ne touche à rien), mais lequel ? [indépendammant du fait qu'ici le serveur nis n'est pas debian et date de ... le man ypcat date de Jan 1995!!] A+ -- mailto:[EMAIL PROTECTED] tel: (33) 03 20 43 84 06 INRETS, 20 rue Élisée Reclus fax: (33) 03 20 43 83 59 BP 317 -- 59666 Villeneuve d'Ascq http://www3.inrets.fr/estas/mariano
Re: Faire marcher NIS sous Debian
Le lun 28/10/2002 à 03:48, Aurélien Le Provost a écrit : > > Qu'insinue-tu en disant "ypcat passwd marche" ? > > Que le binaire en question soit accessible à l'utilisateur, oui. > > Qu'il affiche la liste des utilisateurs sans les mots de passe, oui. > > Qu'il le fasse avec, c'est que tu as mal configuré le support shadow. > > Il y a les mots de passe. Le problème se situe sur le serveur ? Il y a > pourtant les mots de passe shadow d'activé ? Bien. Pour couper court à toutes ces remarques, et attendu que mes souvenirs de NIS dataient un peu, j'ai installé rapidemment le paquet debian nis afin d'étayer mes affirmations. Soit arioch, le serveur NIS et mabelrode, un client NIS... La première est une sid et la seconde, une sarge. J'ai suivi ce fichier pour installer nis selon la méthode debain: /usr/share/doc/nis/nis.debian.howto.gz Conformément à ce document, j'ai mis à jour et vérifié les fichiers suivants sur arioch: /etc/default/nis: ... # Are we a NIS server and if so what kind (values: false, slave, master) NISSERVER=master ... /etc/ypserv.securenets: ... # Allow access for localnet 255.255.255.0 10.0.0.0 ... /etc/ypserv.conf: rien à redire. /etc/networks: localnet 10.0.0.0 Puis, j'ai exécuté la commande suivante toujours en suivant le document: /usr/lib/yp/ypinit -m NB: J'ai égalemment touché au fichier /var/yp/Makefile afin de diminuer les valeurs minimales des uid et gid afin d'inclure mon utilisateur. Par défaut, c'est 1000:1000, je l'ai donc ainsi réduit à 500:100. Notez qu'il n'est pas utile de relancer le serveur ypserv à chaque mise à jour: j'aurais pu dire de lancer le serveur bien avant la création de la base: /etc/init.d/nis start Starting NIS services: ypserv yppasswdd ypxfrd ypbind ... A présent, j'installes un client nis sur mabelrode. Nul besoin est de modifier quoique ce soit, par défaut le paquet nis est valide pour un client. Il ne démarre d'ailleurs qu'ypbind. Passons aux choses sérieuses: [EMAIL PROTECTED] 23:19:39 surcouf]$ ypcat passwd nobody:x:65534:65534:nobody:/home:/bin/sh surcouf:x:500:100:Raphaël Bordet,,,:/home/nfs/surcouf:/bin/bash J'ai bien la liste: le serveur tourne et distribue la base. [EMAIL PROTECTED] 23:19:43 surcouf]$ ypcat shadow.byname [EMAIL PROTECTED] 23:31:58 surcouf]$ Si j'essaie d'accéder à cette "carte" (map), je n'y parviens pas. A l'époque où je m'en servais, on obtenais la liste mais sans le mot de passe. Le support actuel va apparement encore plus loin supprimant la liste inutile... Mêmes tests en root: [EMAIL PROTECTED] 23:14:51 /var/www/theseb.prout.be]# ypcat passwd nobody:x:65534:65534:nobody:/home:/bin/sh surcouf:x:500:100:Raphaël Bordet,,,:/home/nfs/surcouf:/bin/bash C'est normal. [EMAIL PROTECTED] 23:19:24 /var/www/theseb.prout.be]# ypcat shadow.byname nobody:*:11515:0:9:7::: surcouf::11978:0:9:7::: Là aussi, c'est normal: seul le super-utilisateur du poste client a accés à la carte en question ! D'où l'intérêt de supprimer les suid inutiles, voire préférer un accés root par ssh plutôt que par su... Voilà: une belle démonstration vaut mieux qu'un long discours parfois... J'espère que vous comprenez maintenant mon insistance sur le sujet. -- Raphaël Bordet [EMAIL PROTECTED]
Re: Faire marcher NIS sous Debian
Le Lundi 28 Octobre 2002 00:58, Raphaël Bordet a écrit :
> Le dim 27/10/2002 à 22:01, Aurélien Le Provost a écrit :
> > Salut
> >
> > Le Dimanche 27 Octobre 2002 21:43, Phil a écrit :
> > > > > Les shadows sont activés seul root peut 'voir' les mot de
> > > > > passe dans le fichier shadow... mais ypcat parmet de les
> > > > > récuperer sur les machine cllients ;~{
> > > >
> > > > Non, non et non !
> > > > Il n'y a que le root du poste NIS client qui peut récupérer les
> > > > mots de passe distribués par shadow et nul autre !
> > > > Il faut vous le dire en chinois ?
> > >
> > > Mouai enfin c'est pas compliqué de brancher un portable ou tu es
> > > root sur le réseau...
> >
> > De plus, sur mon compte utilisateur, ypcat passwd marche. Problème
> > de configuration ?
>
> Qu'insinue-tu en disant "ypcat passwd marche" ?
> Que le binaire en question soit accessible à l'utilisateur, oui.
> Qu'il affiche la liste des utilisateurs sans les mots de passe, oui.
> Qu'il le fasse avec, c'est que tu as mal configuré le support shadow.
Il y a les mots de passe. Le problème se situe sur le serveur ? Il y a
pourtant les mots de passe shadow d'activé ?
@+
Re: Faire marcher NIS sous Debian
Le 10:23 28/10/02 +0100, Georges Mariano nous a écrit : ** Message d'origine ** On 27 Oct 2002 18:13:16 +0100 Raphaël Bordet <[EMAIL PROTECTED]> wrote: > Non, non et non ! > Il n'y a que le root du poste NIS client qui peut récupérer les mots > de passe distribués par shadow et nul autre ! > Il faut vous le dire en chinois ? voui... ;-) Ou ne russe ? En tout cas je veux bien... parce que quand je ne vois plus les mdp, mes outils non plus: machine1: serveur YP machine2: serveur ftp Si ypcat passwd ne donne pas les mots de passe, j'ai plus d'authentification ftp (ou ssh) ! Je veux bien apprendre moi ;~} Francois -- "Quelle Connerie la guerre" (J. Prevert) Francois Sauterey Tel: +33 01 40 33 68 46 mailto:[EMAIL PROTECTED] mailto:[EMAIL PROTECTED]
Re: Faire marcher NIS sous Debian
> > > Non, non et non ! > > > Il n'y a que le root du poste NIS client qui peut récupérer les mots de > > > passe distribués par shadow et nul autre ! > > > Il faut vous le dire en chinois ? > > Mouai enfin c'est pas compliqué de brancher un portable ou tu es root > > sur le réseau... > NIS fait partie des services qui font confiance à IP. > Si tu n'as pas confiance en ton propre réseau local, éteins tes machines > ou mets en place un VPN... L'installation d'un serveur nisplus peut aussi être une solution au problème, les clients doivent être authentifiés par une clef que seul le serveur peut délivrer. Mais nisplus est une grosse (très grosse) usine à gaz. -- Davy Gigan System & Network Administration [Please no HTML, I'm not a browser] University Of Caen (France) [Pas d'HTML, je ne suis pas un navigateur]
Re: Faire marcher NIS sous Debian
On 27 Oct 2002 18:13:16 +0100 Raphaël Bordet <[EMAIL PROTECTED]> wrote: > Non, non et non ! > Il n'y a que le root du poste NIS client qui peut récupérer les mots > de passe distribués par shadow et nul autre ! > Il faut vous le dire en chinois ? voui... ;-) passke moi aussi je peux le faire... ok, ça m'a toujours un peu contrarié mais j'ai pas pris le temps de creuser (vu que je fais confiance à notre intranet... enfin...) alors, oui, je veux bien apprendre comment régler ce problème, fusse-en chinois ... comment fait-on ? (sur mes clients) je vois trois fichiers de conf /etc/yp*, je touche à quoi ?(je ne suis pas maitre du serveur nis...) PS : dans ce cas là, qui est mal réglé le serveur ou les clients ? A+ -- mailto:[EMAIL PROTECTED] tel: (33) 03 20 43 84 06 INRETS, 20 rue Élisée Reclus fax: (33) 03 20 43 83 59 BP 317 -- 59666 Villeneuve d'Ascq http://www3.inrets.fr/estas/mariano
Re: Faire marcher NIS sous Debian
Le dim 27/10/2002 à 21:43, Phil a écrit :
> Le dim 27/10/2002 à 18:13, Raphaël Bordet a écrit :
> > Le dim 27/10/2002 à 14:18, Francois Sauterey a écrit :
> > > Les shadows sont activés seul root peut 'voir' les mot de passe dans le
> > > fichier shadow... mais ypcat parmet de les récuperer sur les machine
> > > cllients ;~{
> >
> > Non, non et non !
> > Il n'y a que le root du poste NIS client qui peut récupérer les mots de
> > passe distribués par shadow et nul autre !
> > Il faut vous le dire en chinois ?
> >
> Mouai enfin c'est pas compliqué de brancher un portable ou tu es root
> sur le réseau...
NIS fait partie des services qui font confiance à IP.
Si tu n'as pas confiance en ton propre réseau local, éteins tes machines
ou mets en place un VPN...
--
Raphaël Bordet
[EMAIL PROTECTED]
Re: Faire marcher NIS sous Debian
Le dim 27/10/2002 à 22:01, Aurélien Le Provost a écrit :
> Salut
>
> Le Dimanche 27 Octobre 2002 21:43, Phil a écrit :
>
> > > > Les shadows sont activés seul root peut 'voir' les mot de passe
> > > > dans le fichier shadow... mais ypcat parmet de les récuperer sur
> > > > les machine cllients ;~{
> > >
> > > Non, non et non !
> > > Il n'y a que le root du poste NIS client qui peut récupérer les
> > > mots de passe distribués par shadow et nul autre !
> > > Il faut vous le dire en chinois ?
> >
> > Mouai enfin c'est pas compliqué de brancher un portable ou tu es root
> > sur le réseau...
>
> De plus, sur mon compte utilisateur, ypcat passwd marche. Problème de
> configuration ?
Qu'insinue-tu en disant "ypcat passwd marche" ?
Que le binaire en question soit accessible à l'utilisateur, oui.
Qu'il affiche la liste des utilisateurs sans les mots de passe, oui.
Qu'il le fasse avec, c'est que tu as mal configuré le support shadow.
--
Raphaël Bordet
[EMAIL PROTECTED]
Re: Faire marcher NIS sous Debian
Salut
Le Dimanche 27 Octobre 2002 21:43, Phil a écrit :
> > > Les shadows sont activés seul root peut 'voir' les mot de passe
> > > dans le fichier shadow... mais ypcat parmet de les récuperer sur
> > > les machine cllients ;~{
> >
> > Non, non et non !
> > Il n'y a que le root du poste NIS client qui peut récupérer les
> > mots de passe distribués par shadow et nul autre !
> > Il faut vous le dire en chinois ?
>
> Mouai enfin c'est pas compliqué de brancher un portable ou tu es root
> sur le réseau...
De plus, sur mon compte utilisateur, ypcat passwd marche. Problème de
configuration ?
@+
Re: Faire marcher NIS sous Debian
Le dim 27/10/2002 à 18:13, Raphaël Bordet a écrit :
> Le dim 27/10/2002 à 14:18, Francois Sauterey a écrit :
> > Les shadows sont activés seul root peut 'voir' les mot de passe dans le
> > fichier shadow... mais ypcat parmet de les récuperer sur les machine
> > cllients ;~{
>
> Non, non et non !
> Il n'y a que le root du poste NIS client qui peut récupérer les mots de
> passe distribués par shadow et nul autre !
> Il faut vous le dire en chinois ?
>
Mouai enfin c'est pas compliqué de brancher un portable ou tu es root
sur le réseau...
> --
> Raphaël Bordet
> [EMAIL PROTECTED]
>
>
>
> --
> To UNSUBSCRIBE, email to [EMAIL PROTECTED]
> with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
>
>
Re: Faire marcher NIS sous Debian
Le dim 27/10/2002 à 14:18, Francois Sauterey a écrit :
> Les shadows sont activés seul root peut 'voir' les mot de passe dans le
> fichier shadow... mais ypcat parmet de les récuperer sur les machine
> cllients ;~{
Non, non et non !
Il n'y a que le root du poste NIS client qui peut récupérer les mots de
passe distribués par shadow et nul autre !
Il faut vous le dire en chinois ?
--
Raphaël Bordet
[EMAIL PROTECTED]
Re: Faire marcher NIS sous Debian
Salut
Le Dimanche 27 Octobre 2002 14:18, Francois Sauterey a écrit :
> > > Aurélien> Salut J'essaye de faire marcher NIS sur mon serveur
> > > woody, Aurélien> mais j'ai du mal.
> > >
> > > Aurélien> J'ai installer le paquet nis sur le serveur et sur
> > > les Aurélien> clients. J'ai suivi les instructions qui se
> > > trouvent dans Aurélien> le howto. Ça marche, mais pas trop...
>
> Voilà les config que j'ai et qui marche sur nos machines... Ce qui ne
> prouve pas que c'est LA bonne solution ;~}
> Serveur & client:
> passwd: compat
> group: compat
> shadow: compat
> hosts: files dns
> networks: files
> protocols: db files
> services: db files
> ethers: db files
> rpc:db files
> netgroup: nis
C'est je crois le /etc/nsswitch.conf par défaut d'une woody. C'est ce
que j'ai remis sur mes clients.
> Les shadows sont activés seul root peut 'voir' les mot de passe dans
Pour faire marcher NIS avec les mots de passe shadow, voilà ce qu'on
m'a dit d'effectuer les modifications suivantes :
# /var/yp/Makefile -- Makefile for the NIS databases
...
MERGE_PASSWD=true
...
MERGE_GROUP=true
...
ALL = shadow ...
Et effectivement ça marche désormais avec les mots de passe shadow.
> le fichier shadow... mais ypcat parmet de les récuperer sur les
> machine cllients ;~{
>
> Mais que faire ?
> Mettre dans //ton_serveur/etc/ypserv.conf
> * : passwd.byname: port : yes
> * : passwd.byuid : port : yes
Voilà le /etc/ypserv.conf du serveur
*: shadow.byname: port
*: passwd.adjunct.byname : port
*: *: none
# C'était par défaut
* : passwd.byname : port : yes
* : passwd.byuid : port : yes
# ce que tu m'as dit de rajouter
> Et là: ypcat passwd est 'manglé' (des x à la place du motde passe...
Euh, non, ça apparait toujours :o)
Il faut peut-être que j'enlève ce qu'on m'avait mis par défaut ?
> Ceci dit, y'a pas de miracle. A chaque création de compte, je fais
> un : cd /var/yp/; make
>
> ou j'utilise le petit script: /usr/local/sbin/ADDUSER
> #/bin/sh
> adduser
> cd /var/yp
> make
>
> et hop...
Aaaah ok. Parce que moi, quand j'ajoutais un utilisateur, il
apparaissait bien dans le kdm du client, si je l'enlevais du serveur,
il disparait, si je le rajoutais une deuxième fois, il revenait, mais
si à ce moment-là je cherchais à le supprimer, il ne partait plus du
client...
Et puis, c'était très gentil de le voir apparaître dans la liste des
utilisateurs de kdm, mais on ne pouvait pas se loguer (mauvais mot de
passe). :o)
Donc je devais faire /usr/lib/yp/ypinit -m pour tout synchroniser...
Faire cd /var/yp ; make c'est plus mieux, parce qu'il ne pose pas de
questions :o)
Merçi.
Dernière chose : les groupes. Par défaut je veux ajouter chaque nouvel
utilisateur dans les groupes audio, floppy et cdrom ; mais comme ces
groupes ont un GID inférieur à 1000, j'ai du baiser la valeur de MINGID
à 24 (le GID du groupe audio), puis j'ai enlevé les GIDs supérieurs à
24 du /etc/group des clients, et j'ai rajouté +:: à la fin du
fichier, comme pour /etc/passwd.
On peut faire mieux ?
Re - dernière chose : comment dire à NIS de ne pas exporter les infos
de certains utilisateurs en particulier ? (les posteX$ que la
configuration de samba en PDC impose).
> @micalement
De même, pour le moins :)
@+
Re: Faire marcher NIS sous Debian
Le 11:38 27/10/02 +0100, Aurélien Le Provost nous a écrit :
** Message d'origine **
Salut
Le Dimanche 27 Octobre 2002 02:03, Laurent Martelli a écrit :
> > "Aurélien" == Aurélien Le Provost <[EMAIL PROTECTED]> writes:
>
> Aurélien> Salut J'essaye de faire marcher NIS sur mon serveur
> woody, Aurélien> mais j'ai du mal.
>
> Aurélien> J'ai installer le paquet nis sur le serveur et sur les
> Aurélien> clients. J'ai suivi les instructions qui se trouvent dans
> Aurélien> le howto. Ça marche, mais pas trop...
Voilà les config que j'ai et qui marche sur nos machines... Ce qui ne
prouve pas que c'est LA bonne solution ;~}
Serveur & client:
passwd: compat
group: compat
shadow: compat
hosts: files dns
networks: files
protocols: db files
services: db files
ethers: db files
rpc:db files
netgroup: nis
Les shadows sont activés seul root peut 'voir' les mot de passe dans le
fichier shadow... mais ypcat parmet de les récuperer sur les machine
cllients ;~{
Mais que faire ?
Mettre dans //ton_serveur/etc/ypserv.conf
* : passwd.byname: port : yes
* : passwd.byuid : port : yes
Et là: ypcat passwd est 'manglé' (des x à la place du motde passe...
Ceci dit, y'a pas de miracle. A chaque création de compte, je fais un :
cd /var/yp/; make
ou j'utilise le petit script: /usr/local/sbin/ADDUSER
#/bin/sh
adduser
cd /var/yp
make
et hop...
@micalement
Francois
--
"Quelle Connerie la guerre" (J. Prevert)
Francois Sauterey
Tel: +33 01 40 33 68 46 mailto:[EMAIL PROTECTED]
Re: Faire marcher NIS sous Debian
Salut Le Dimanche 27 Octobre 2002 02:03, Laurent Martelli a écrit : > > "Aurélien" == Aurélien Le Provost <[EMAIL PROTECTED]> writes: > > Aurélien> Salut J'essaye de faire marcher NIS sur mon serveur > woody, Aurélien> mais j'ai du mal. > > Aurélien> J'ai installer le paquet nis sur le serveur et sur les > Aurélien> clients. J'ai suivi les instructions qui se trouvent dans > Aurélien> le howto. Ça marche, mais pas trop... > > J'ai moi aussi eu du mal avec ... > > J'ai finit par rajouter "nis" après "compat" dans /etc/nsswitch. Voilà ce que j'ai dans le /etc/nsswitch.conf des clients (d'après le howto) : passwd: compat group: compat shadow: compat hosts: files dns nis networks: files services: nis [NOTFOUND=return] files networks: nis [NOTFOUND=return] files protocols: nis [NOTFOUND=return] files rpc:nis [NOTFOUND=return] files ethers: nis [NOTFOUND=return] files netmasks: nis [NOTFOUND=return] files netgroup: nis bootparams: nis [NOTFOUND=return] files publickey: nis [NOTFOUND=return] files automount: files aliases:nis [NOTFOUND=return] files Si, comme toi, je mets 'nis' après 'compat', je peux effectivement me connecter sur les clients, mais il y a un petit problème : kdm m'affiche tous les utilisateurs en double... J'ai essayé d'enlever compat, mais ce n'était pas une bonne idée, même si ça enlevait les doublons : plus de compte root :o) Il n'y a pas un moyen simple de faire marcher correctement les mots de passe shadow avec NIS (correctement, c'est à dire sans dupliquer les comptes, comme semble le faire l'ajout de nis après compat). Pour le serveur, j'ai laissé les choses en l'état puisqu'on ne dit pas de le toucher dans le howto : passwd: compat group: compat shadow: compat hosts: files dns networks: files protocols: db files services: db files ethers: db files rpc:db files netgroup: nis > Aurélien> Qu'en est-il vraiment ? Quelle sécurité les mots de passe > Aurélien> shadow apportent-ils, au fait ? > > Seul root peut voir le mot de passe crypté. Cela réduit donc les > possibilités d'attaque "brut de force". Et le howto a raison de dire que ça ne sert à rien de les activer si on utilise NIS ? Si non, est-il possible de les activer ? Parce que si ils sont activés sur le serveur, les nom d'utilisateurs sont bien exportés, mais il y a un problème avec le mot de passe... @+
Re: Faire marcher NIS sous Debian
> "Aurélien" == Aurélien Le Provost <[EMAIL PROTECTED]> writes: Aurélien> Salut J'essaye de faire marcher NIS sur mon serveur woody, Aurélien> mais j'ai du mal. Aurélien> J'ai installer le paquet nis sur le serveur et sur les Aurélien> clients. J'ai suivi les instructions qui se trouvent dans Aurélien> le howto. Ça marche, mais pas trop... J'ai moi aussi eu du mal avec ... J'ai finit par rajouter "nis" après "compat" dans /etc/nsswitch. Aurélien> Qu'en est-il vraiment ? Quelle sécurité les mots de passe Aurélien> shadow apportent-ils, au fait ? Seul root peut voir le mot de passe crypté. Cela réduit donc les possibilités d'attaque "brut de force". -- Laurent Martellihttp://jac.aopsys.com/ [EMAIL PROTECTED]http://www.bearteam.org/~laurent/
Faire marcher NIS sous Debian
Salut J'essaye de faire marcher NIS sur mon serveur woody, mais j'ai du mal. J'ai installer le paquet nis sur le serveur et sur les clients. J'ai suivi les instructions qui se trouvent dans le howto. Ça marche, mais pas trop... J'ai du désactiver les mots de passe shadow sur le serveur pour que cela marche. ypcat passwd m'affichait bien la liste des utilisateurs, mais impossible de se loguer. J'essaye en désactivant les mots de passe shadow, ça marche. Dans le howto, ils disent que c'est une mauvaise idée d'utiliser les mots de passe shadow avec NIS, parce qu'on perd toute la sécurité qu'ils apportent. Qu'en est-il vraiment ? Quelle sécurité les mots de passe shadow apportent-ils, au fait ? Ensuite, les scripts fournis par Debian pour gérer les utilisateurs et les groupes une fois que NIS est installé semblent être fait pour être compatible avec NIS (on voit des yp apparaître un peu partout), mais ça non plus ne marche pas : il faut que je refasse /usr/lib/yp/ypinit -m après chaque modification pour que ça soit pris en compte sur les clients. Petit plus, j'aimerais aussi gérer mes groupes avec NIS. J'ai essayé en ajoutant la ligne +:: à la fin de /etc/group, comme pour /etc/passwd, mais ça n'a pas marché... Appel aux bonnes volontés :o) @+ comment utiliser les groups rajouter +: dans /etc/groups des clients mais non
