  The Linux NIS(YP)/NYS/NIS+ HOWTO
  Thorsten Kukuk
  v1.0, 9 marzo 1999

  Questo documento descrive la configurazione di Linux come client
  NIS(YP) o NIS+ e l'installazione di un server NIS. Traduzione origi
  nale di Michele Dalla Silvestra.  Revisione e aggiormento di Giovanni
  Bortolozzo, (borto@pluto.linux.it).
  ______________________________________________________________________

  Indice Generale


  1. Introduzione
     1.1 Nuove versioni di questo documento
     1.2 Liberatoria
     1.3 Commenti e correzioni
     1.4 Ringraziamenti

  2. Glossario e informazioni generali
     2.1 Glossario dei termini
     2.2 Alcune informazioni generali

  3. NIS, NYS o NIS+?
     3.1 libc 4/5 con il NIS tradizionale o NYS?
     3.2 glibc 2 e NIS/NIS+
     3.3 NIS o NIS+ ?

  4. Come funziona
     4.1 Come funziona NIS
     4.2 Come funziona NIS+

  5. Il Portmapper RPC
  6. Cos' necessario fare per mettere su un NIS?
     6.1 Determinare se si  server, slave o client
     6.2 Il software
     6.3 Il demone ypbind
     6.4 Impostare un client NIS usando il NIS tradizionale
     6.5 Impostare un client NIS usando NYS
     6.6 Impostare un client NIS usando glibc 2.x
     6.7 Il File nsswitch.conf
     6.8 Le password shadow con NIS
        6.8.1 Linux
        6.8.2 Solaris
        6.8.3 PAM

  7. Cosa serve per mettere su NIS+?
     7.1 Il software
     7.2 Impostare un client NIS+
     7.3 NIS+, keylogin, login e PAM
     7.4 Il file nsswitch.conf

  8. Impostare un server NIS
     8.1 Il programma server ypserv
     8.2 Il programma server yps
     8.3 Il programma rpc.ypxfrd
     8.4 Il programma rpc.yppasswdd

  9. Verificare l'installazione di NIS/NYS
  10. Problemi comuni con NIS e soluzioni
  11. Filza di Assilli Quotidiani (aka Frequently Asked Questions)


  ______________________________________________________________________


  11..  IInnttrroodduuzziioonnee

  Sempre pi macchine Linux sono installate come parte di una rete di
  computer.  Per semplificare l'amministrazione di rete, molte reti
  (principalmente reti basate su macchine Sun) usano il Network
  Information Service (``Servizio Informativo di Rete'').  Le macchine
  Linux possono sfruttare appieno l'esistenza di un servizio NIS o
  fornire esse stesse tale servizio.  Le macchine Linux possono essere
  anche client NIS+ completi, sebbene tale supporto sia in un stadio di
  beta test.

  Questo documento prova a rispondere alle domande sull'impostazione di
  NIS(YP) e NIS+ sulla propria macchina Linux.  Non si dimentichi di
  leggere la sezione ``Il Portmapper RPC''.

  Il NIS-HOWTO  scritto e mantenuto da:


       Thorsten Kukuk, kukuk@suse.de


  Le principali fonti di informazione per la versione iniziale del NIS-
  HOWTO sono state fornite da:



       Andrea Dell'Amico       <adellam@ZIA.ms.it>
       Mitchum DSouza          <Mitch.DSouza@NetComm.IE>
       Erwin Embsen            <erwin@nioz.nl>
       Peter Eriksson          <peter@ifm.liu.se>



  che tutti dovremmo ringraziare per la scrittura iniziale di questo
  documento.


  11..11..  NNuuoovvee vveerrssiioonnii ddii qquueessttoo ddooccuummeennttoo

  L'ultima versione di questo documento  sempre consultabile su World
  Wide Web attraverso l'URL http://www.suse.de/~kukuk/linux/HOWTO/NIS-
  HOWTO.html <http://www.suse.de/~kukuk/linux/HOWTO/NIS-HOWTO.html>.

  Le nuove versioni di questo documento saranno inoltre archiviate nei
  vari siti WWW e FTP dedicati a Linux, tra cui la home page dell'LDP.

  I link alle traduzioni di questo documento possono essere trovati a
  http://www.suse.de/~kukuk/linux/nis-howto.html
  <http://www.suse.de/~kukuk/linux/nis-howto.html>.


  11..22..  LLiibbeerraattoorriiaa

  Sebbene questo documento sia stato creato utilizzando il meglio della
  mia conoscenza potrebbe, e probabilmente  cos, contenere errori.
  Per informazioni pi dettagliate ed accurate si invita a leggere tutti
  i file README distribuiti con i diversi software descritti in questo
  documento.  Prover a mantenere questo documento il pi possibile
  esente da errori.


  11..33..  CCoommmmeennttii ee ccoorrrreezziioonnii

  Se si hanno domande o commenti su questo documento, si inviino
  liberamente a Thorsten Kukuk, a kukuk@suse.de.  Qualsiasi suggerimento
  o critica saranno i benvenuti. Se si trova un errore in questo
  documento, mi si informi cosicch possa correggerlo nella versione
  successiva.  Grazie.

  Per piacere _n_o_n mi si inviino domande su problemi particolari con la
  propria distribuzione di Linux!  Non conosco tutte le distribuzioni di
  Linux. Ma prover ad aggiungere qualsiasi soluzione mi si voglia
  spedire.


  11..44..  RRiinnggrraazziiaammeennttii

  Vogliamo ringraziare quanti hanno contribuito a questo documento
  (direttamente o indirettamente).  In ordine alfabetico:



       Byron A Jeff            <byron@cc.gatech.edu>
       Markus Rex              <msrex@suse.de>
       Miquel van Smoorenburg  <miquels@cistron.nl>



  Theo de Raadt  responsabile per il codice originale dei client yp.
  Swen Thuemmler ha portato tale codice su Linux e ha portato le routine
  yp in libc (ancora basandosi sul lavoro di Theo).  Thorsten Kukuk ha
  scritto da capo le routine NIS(YP) e NIS+ per la GNU libc 2.x.


  22..  GGlloossssaarriioo ee iinnffoorrmmaazziioonnii ggeenneerraallii

  22..11..  GGlloossssaarriioo ddeeii tteerrmmiinnii

  In questo documento sono usati molti acronimi.  Di seguito una breve
  descrizione dei pi importanti:


     DDBBMM
        DataBase Management, una libreria di funzioni che mantiene le
        coppie chiave-contenuto in una base di dati.


     DDLLLL
        Dynamically Linked Library, una libreria linkata in esecuzione a
        un programma eseguibile.


     ddoommaaiinnnnaammee
        Un nome ``chiave'' usato dai client NIS per localizzare un
        server NIS appropriato che serve questa chiave di dominio.  Si
        noti che questo non ha necessariamente nulla a che spartire con
        il ``dominio'' DNS (nome macchina) delle macchine.


     FFTTPP
        File Transfer Protocol, un protocollo usato per trasferire file
        tra due computer.


     lliibbnnssll
        Name services library, una libreria di chiamate a name service
        (getpwnam, getservbyname, ecc...) sugli Unix SVR4. La GNU libc
        la usa per le funzioni di NIS(YP) e NIS+.


     lliibbssoocckkeett
        Socket services library, una libreria di chiamta a servizi
        socket (socket, bind, listen, etc...) su Unix SVR4.


     NNIISS
        Network Information Service, un servizio che fornisce
        informazioni che devono essere note attraverso la rete a tutte
        le macchine nella rete.  Il supporto per NIS  presente nella
        libc standard di Linux, e nel seguito verr riferito come ``NIS
        tradizionale''.


     NNIISS++
        Network Information Service (Plus :-), in sostanza NIS
        anabolizzato.  NIS+  stato progettato da Sun Microsystems Inc.
        come rimpiazzo di NIS con una migliore sicurezza e gestione
        migliore di ``grosse'' installazioni.


     NNYYSS
        Questo  il nome di un progetto e sta per NIS+, YP e Switch ed 
        gestito da Peter Eriksson <peter@ifm.liu.se>.  Contiene tra le
        altre cose una completa reimplemetazione del codice di NIS (=
        YP) che usa le funzionalit di Name Services Switch della
        libreria NYS.


     NNSSSS
        Name Service Switch. Il file /etc/nsswitch.conf determina
        l'ordine delle ricerche indicizzate (``lookup'') effettuate
        quando  richiesta una determinata informazione.


     RRPPCC
        Remote Procedure Call. Le routine RPC permettono ai programmi C
        di effettuare chiamate a procedure su altre macchine attraverso
        la rete.  Quando si parla di RPC il pi delle volte si intende
        la variante Sun RPC.


     YYPP Yellow Pages(tm), un marchio registrato in Gran Bretagna dalla
        British Telecom plc.


     TTCCPP--IIPP
        Transmission Control Protocol/Internet Protocol.  il protocollo
        di comunicazione dei dati maggiormente usato nelle macchine
        Unix.



  22..22..  AAllccuunnee iinnffoorrmmaazziioonnii ggeenneerraallii

  Le quattro righe che seguono sono una citazione del Sun(tm) System &
  Network Administration Manual:



           ``NIS era noto in precedenza come Sun Yellow Pages (YP) ma
           il nome Yellow Pages(tm)  un marchio registrato in
           Gran Bretagna da British Telecom plc e non pu essere
           usato senza autorizzazione.''



  NIS sta per Network Information Service.  Lo scopo  di fornire
  informazioni che devono essere note attraverso la rete a tutte le
  macchine nella rete.  Le informazioni solitamente distribuite
  attraverso NIS sono:


    nomi di login/password/home directory (/etc/passwd)

    informazioni sui gruppi (/etc/group)

  Se, per esempio, la voce della propria password  registrata nel
  database passwd di NIS, si sar in grado di connettersi su tutte le
  macchine nella rete che abbiano un programma client NIS in esecuzione.

  Sun  un marchio registrato da Sun Microsystems, Inc. e in licenza a
  SunSoft, Inc.



  33..  NNIISS,, NNYYSS oo NNIISS++??

  33..11..  lliibbcc 44//55 ccoonn iill NNIISS ttrraaddiizziioonnaallee oo NNYYSS??

  La scelta tra il ``NIS tradizionale'' o il codice NIS nella libreria
  NYS  la scelta tra pigrizia e maturit contro flessibilit e spirito
  d'avventura.

  Il codice del ``NIS tradizionale''  nella libreria C standard,  in
  giro da parecchio e qualche volta soffre della sua et e scarsa
  flessibilit.

  Il codice NIS nella libreria NYS richiede la ricompilazione della
  libreria libc per includere al suo interno il codice NYS (oppure si
  pu prendere una versione precompilata di libc da qualcuno che l'ha
  gi fatto).

  Un'altra differenza  che il codice NIS tradizionale ha un po' di
  supporto per i Netgroup (``gruppi di rete'') NIS, che il codice NYS
  non ha.  D'altra parte il codice NYS permette la gestione delle shadow
  password in modo trasparente.  Il codice del ``NIS tradizionale'' non
  supporta le shadow password su NIS.


  33..22..  gglliibbcc 22 ee NNIISS//NNIISS++

  Si dimentichi tutto questo se si ha la nuova libreria C 2.x della GNU
  (detta anche libc6).  Ha un reale supporto per NSS (name switch
  service), che la rende davvero flessibile e contiene il supporto per
  le seguenti mappe NIS/NIS+: aliases, ethers, group, hosts, netgroups,
  networks, protocols, publickey, passwd, rpc, services e shadow.  La
  libreria C della GNU non ha problemi con le shadow password assieme al
  NIS.


  33..33..  NNIISS oo NNIISS++ ??

  La scelta tra NIS e NIS+  facile: usare NIS se non si deve usare NIS+
  o si hanno stringenti necessit di sicurezza.  NIS+  molto pi
  problematico da amministrare ( abbastanza facile da gestire dal lato
  client, ma il lato server  orribile). Un altro problema  che il
  supporto per NIS+ sotto Linux  ancora in sviluppo: si deve usare
  l'ultimissima glibc 2.1.  Esiste un port del supporto NIS+ di glibc
  per libc5 come rimpiazzo temporaneo.



  44..  CCoommee ffuunnzziioonnaa

  44..11..  CCoommee ffuunnzziioonnaa NNIISS

  In una rete ci deve essere almeno una macchina che fa da server NIS.
  Si possono anche avere pi server NIS, ognuno che serve un diverso
  ``dominio'' NIS, oppure si possono avere server NIS cooperanti, nel
  qual caso uno di questi  il ``master NIS server'', e tutti gli altri
  sono detti ``slave NIS server'' (per un certo ``dominio'' NIS,
  ovviamente!), oppure si pu avere un mix delle due situazioni...

  I server slave hanno solo copie delle basi di dati NIS e ricevono
  queste copie dal master NIS server ogni qual volta ci sono delle
  modifiche nelle basi di dati del server.  A seconda del numero di
  macchine nella propria rete e della sua solidit, si pu decidere di
  installare uno o pi slave server.  Ogni qual volta un server NIS non
  risponde o oppure risponde troppo lentamente ad una richiesta, il
  client NIS connesso a quel server prover a trovarne uno attivo o pi
  veloce.

  Le basi di dati NIS sono nel cosiddetto formato DBM, derivato dalle
  basi di dati ASCII.  Per esempio, i file /etc/passwd e /etc/group
  possono essere direttamente convertiti nel formato DBM usando il
  software di traduzione da ASCII a DBM ``makedbm", incluso con il
  software per il server.  Il master NIS server dovrebbe averle
  entrambe, sia la base di dati ASCII che quella DBM.

  I slave server saranno avvertiti di qualsiasi modifica nelle mappe NIS
  (attraverso il programma ``yppush"), e automaticamente scaricheranno
  le necessarie modifiche per poter sincronizzare le loro basi di dati.
  Il client NIS non serve lo facciano in quanto parlano sempre con il
  server NIS per leggere le informazioni salvate nel suo database DBM.

  Le vecchie versioni di ypbind fanno un broadcast per trovare un server
  NIS funzionante.  Questa cosa non  sicura, a causa del fatto che
  chiunque pu installare un server NIS e rispondere alle interrogazioni
  di ypbind.  Le versioni pi recenti di ypbind (ypbind-3.3 or ypbind-
  mt) possono ottenere il nome del server da un file di configurazione e
  quindi non  pi necessario il broadcast.


  44..22..  CCoommee ffuunnzziioonnaa NNIISS++

  NIS+  una nuova versione di NIS di Sun.  La maggiore differenza tra
  NIS e NIS+  che NIS+ ha il supporto per la cifratura dei dati e
  l'autenticazione su RPC sicure.

  Il modello di naming di NIS+ si basa su una struttura ad albero.  Ogni
  nodo nell'albero corrisponde a un oggetto NIS+, del quale ne esistono
  sei tipi: directory, entry, group, link, table e private.

  La directory NIS+ che forma la radice dello spazio di nomi
  ("namespace") NIS+  chiamata root directory.  Esistono due speciali
  directory NIS+: org_dir e groups_dir.  La directory org_dir consiste
  di tutte le tabelle di amministrazione, come passwd, hosts, e
  mail_aliases.  La directory groups_dir consiste degli oggetti group di
  NIS+ usati per il controllo dell'accesso.  Con dominio NIS+ si fa
  riferimento alla collezione di org_dir, groups_dir e delle loro
  directory superiori.


  55..  IIll PPoorrttmmaappppeerr RRPPCC

  Per far funzionare tutti i software che verranno menzionati a breve si
  deve eseguire il programma /usr/sbin/portmap.  Alcune distribuzioni
  Linux hanno gi l'apposito codice nei file in /sbin/init.d/ o
  /etc/rc.d/ per avviarlo come demone.  Tutto quel che si deve fare  di
  attivarlo e riavviare la propria macchina Linux.  Si legga la
  documentazione della propria distribuzione Linux per sapere come fare.

  Il portmapper RPC (portmap(8))  un server che converte i numeri di
  programma RPC in numeri di porta del protocollo TCP/IP (o UDP/IP).
  Deve essere eseguito per poter fare della chiamate RPC (che  quanto
  fa il software del client NIS/NIS+) ai server RPC (come un server NIS
  o NIS+) su quella macchina.  Quando  avviato un server RPC, questo
  dir al portmap su quale numero di porta rimane in ascolto e quali
  numeri di programmi RPC  pronto a servire.  Quando un client intende
  fare una chiamata RPC ad un dato numero di programma, per prima cosa
  contatta il portmap sulla macchina server per determinare il numero
  della porta alla quale inviare i pacchetti RPC.

  Normalmente i server RPC standard sono avviati da inetd(8), cosicch
  portmap deve essere in esecuzione prima di lanciare inetd.

  Per RPC sicure, il portmapper ha bisogno del servizio Time.  Ci si
  assicuri che tale servizio sia abilitato in /etc/inetd.conf su tutti
  gli host:


       #
       # Il servizio Time  usato per le sincronizzazioni degli orologi
       #
       time    stream  tcp     nowait  root    internal
       time    dgram   udp     wait    root    internal



  IMPORTANTE: Non si dimentichi di riavviare inetd dopo aver modificato
  il suo file di configurazione!



  66..  CCooss'' nneecceessssaarriioo ffaarree ppeerr mmeetttteerree ssuu uunn NNIISS??

  66..11..  DDeetteerrmmiinnaarree ssee ssii  sseerrvveerr,, ssllaavvee oo cclliieenntt

  Per rispondere a questa domanda si debbono considerare due casi:


  1. La propria macchina sta per diventare parte di una rete dove esiste
     gi un server NIS

  2. Non si ha ancora nessun server NIS nella propria rete

  Nel primo caso, si ha bisogno solo dei programmi client (ypbind,
  ypwhich, ypcat, yppoll, ypmatch).  Il programma pi importante 
  ypbind.  Questo programma dev'essere sempre in esecuzione, ovvero deve
  sempre apparire nella lista dei processi.   un cosiddetto processo
  demone e deve essere avviato nei file di avvio del sistema (eg.
  /etc/init.d/nis, /sbin/init.d/ypclient, /etc/rc.d/init.d/ypbind,
  /etc/rc.local).  Prima si ha ypbind in esecuzione, prima la propria
  macchina diventa un cliente NIS.

  Nel secondo caso, se non si ha un server NIS, allora si avr bisogno
  anche del programma NIS per il server (solitamente chiamato ypserv).
  La sezione ``Configurare un Server NIS'' descrive come mettere su un
  server NIS nella propria macchina Linux usando l'implementazione di
  ``ypserv'' di Peter Eriksson e Thorsten Kukuk.  Si noti che a partire
  dalla versione 0.14 questa implementazione supporta il concetto di
  master-slave di cui si  parlato nella sezione 4.1.

  Esiste un altro server NIS libero, chiamato ``yps'', scritto da Tobias
  Reber in Germania che supporta il concetto di master-slave, ma ha
  altre limitazioni oltre a non essere pi supportato da molto tempo.



  66..22..  IIll ssooffttwwaarree

  La libreria di sistema ``/usr/lib/libc.a'' (versione 4.4.2 e
  superiore) o la libreria condivisa ``/lib/libc.so.x'' contengono tutte
  le system call necessarie per portare a buon fine la compilazione del
  software NIS per client e server.  Con la GNU C Library 2 (glibc 2.x)
  serve anche /lib/libnsl.so.1.

  Alcuni hanno riportato che NIS funziona solo con una versione di
  "/usr/lib/libc.a'' 4.5.21 o superiore, e quindi se si vuole andare sul
  sicuro non si usino libc pi vecchie.  Il software per un client NIS
  pu essere ottenuto da:



         Sito                  Directory                        Nome File

         ftp.kernel.org        /pub/linux/utils/net/NIS         yp-tools-2.2.tar.gz
         ftp.kernel.org        /pub/linux/utils/net/NIS         ypbind-mt-1.4.tar.gz
         ftp.kernel.org        /pub/linux/utils/net/NIS         ypbind-3.3.tar.gz
         ftp.kernel.org        /pub/linux/utils/net/NIS         ypbind-3.3-glibc5.diff.gz
         ftp.uni-paderborn.de  /linux/local/yp                  yp-clients-2.2.tar.gz



  Una volta scaricato il software, si seguano le istruzioni distribuite
  con quest'ultimo.  yp-clients 2.2  per l'uso con libc4 e libc5 fino
  alla versione 5.4.20.  libc 5.4.21 e glibc 2.x hanno bisogno di yp-
  tools 1.4.1 o successivi.  I nuovi yp-tools 2.2 dovrebbero funzionare
  con qualsiasi libc per Linux.  Poich ci sono alcuni bug nel codice
  NIS, non si dovrebbe usare la libc 5.4.21-5.4.35.  Si usi invece la
  libc 5.4.36 o successiva, o la maggior parte dei programmi YP non
  funzioner.  ypbind 3.3 funzioner anche lui con tutte le librerie.
  Se si usa gcc 2.8.x o successivo, egcs o glibc 2.x, si deve aggiungere
  la patch ypbind-3.3-glibc5.diff a ypbind-3-3. Non si dovrebbe mai
  usare ypbind distribuito assieme a yp-clients 2.2.  ypbind-mt  un
  nuovo demone multithread che ha bisogno di un kernel Linux 2.2 e di
  glibc 2.1 o successiva.


  66..33..  IIll ddeemmoonnee yyppbbiinndd

  Dopo aver compilato con successo il software si  pronti per
  installarlo.  Un posto adatto per il demone ypbind  la directory
  /usr/sbin.  Alcuni potrebbero affermare che non  necessario ypbind su
  un sistema con NYS.  Questo  sbagliato, in quanto ypwhich e ypcat ne
  hanno bisogno.

  Ovviamente si deve fare tutto come root.  Gli altri binari (ypwhich,
  ypcat, yppoll, ypmatch) dovrebbero andare in una directory accessibile
  a tutti gli utenti, solitamente /usr/bin.

  I pi recenti ypbind hanno un file di configurazione chiamato
  /etc/yp.conf.   possibile specificare al suo interno un server NIS.
  Per maggiori informazioni si veda la pagina di manuale di ypbind(8).
  Questo file  necessario anche per NYS.  Un esempio:



    ypserver voyager
    ypserver defiant
    ypserver ds9



  Se il sistema pu risolvere il nome degli host senza NIS, si pu usare
  il nome, altrimenti bisogna usare l'indirizzo IP.  ypbind 3.3 ha un
  baco e user solo l'ultima voce (ypserver ds9 nell'esempio).  Tutte le
  altre voci sono ignorate.  ypbind-mt gestisce correttamente questa
  cosa e usa il server che prima risponde.

  Pu essere una buona idea testare ypbind prima di incorporarlo nei
  file d'avvio.  Per testare ypbind si faccia quanto segue:


    Assicurarsi si aver impostato il proprio nome di dominio YP.  Se
     non  impostato allora si usi il comando:



       /bin/domainname dominio.nis



  dove dominio.nis dovrebbe essere una qualche stringa, solitamente NON
  associata con il nome di dominio DNS della propria macchina!  Il
  motivo  che cos diventa un po' pi difficile per cracker esterni
  ottenere la base di dati delle password dal proprio server NIS.  Se
  non si sa qual  il nome di dominio NIS della propria rete, si chieda
  al proprio amministratore di sistema/rete.

    Avviare ``/usr/sbin/portmap'' se non  gi in esecuzione.

    Creare la directory ``/var/yp'' se ancora non esiste.

    Avviare ``/usr/sbin/ypbind".

    Usare il comando ``rpcinfo -p localhost'' per controllare se ypbind
      stato in grado di registrare i suoi servizi con il portmapper.
     L'output dovrebbe essere qualcosa del tipo:



              program vers proto   port
               100000    2   tcp    111  portmapper
               100000    2   udp    111  portmapper
               100007    2   udp    637  ypbind
               100007    2   tcp    639  ypbind



  o



         program vers proto   port
          100000    2   tcp    111  portmapper
          100000    2   udp    111  portmapper
          100007    2   udp    758  ypbind
          100007    1   udp    758  ypbind
          100007    2   tcp    761  ypbind
          100007    1   tcp    761  ypbind



  a seconda della versione di ypbind che si sta usando.

    Si pu anche eseguire ``rpcinfo -u localhost ypbind".  Questo
     comando dovrebbe produrre qualcosa di simile a



               program 100007 version 2 ready and waiting



  o



               program 100007 version 1 ready and waiting
               program 100007 version 2 ready and waiting



  L'output dipende dipende dalla versione di ypbind installata.
  L'importante  solo il messaggio ``version 2".

  A questo punto si dovrebbe essere in grado di usare i programmi client
  NIS come ypcat, ecc...  Per esempio, ``ypcat passwd.byname'' dovrebbe
  restituire l'intera base di dati NIS delle password.

  IMPORTANTE: Se si  saltata la procedura di test allora ci si assicuri
  di aver impostato il nome di dominio e di aver creato la directory



           /var/yp



  Questa directory DEVE esistere affinch ypbind si avvii con successo.

  Per controllare se il nome di dominio  impostato correttamente, si
  usi /bin/ypdomainname degli yp-tools 2.2.  Questo usa la funzione
  yp_get_default_domain(), che  pi restrittiva.  Per esempio non
  permette il nome di dominio ``(none)'', che  quello predefinito sotto
  Linux e che crea un sacco di problemi.

  Se il test funziona ora si possono modificare i file di avvio in modo
  che ypbind sia avviato al boot del sistema e che quest'ultimo funzioni
  come client NIS.  Ci si assicuri che il nome di dominio sia impostato
  prima di avviare ypbind.

  Bene,  tutto.  Si riavvii la macchina e si controllino i messaggi di
  boot per vedere se ypbind  realmente avviato.



  66..44..  IImmppoossttaarree uunn cclliieenntt NNIISS uussaannddoo iill NNIISS ttrraaddiizziioonnaallee

  Per la ricerca degli host si deve impostare (o aggiungere) ``nis''
  alla riga relativa all'ordine di ricerca nel proprio file
  /etc/host.conf.  Si invita a leggere la pagina man di ``resolv+.8''
  per ulteriori dettagli.

  Aggiungere le seguenti righe al proprio file /etc/passwd dei propri
  client NIS:



       +::::::



  Si possono usare anche i caratteri + e - per includere/escludere o
  modificare utenti.  Se si vuole escludere l'utente guest semplicemente
  si aggiunga -guest nel proprio file /etc/passwd.  Si vuole usare una
  shell diversa (e.g. ksh) per l'utente ``linux''?  Nessun problema, si
  aggiunga semplicemente ``+linux::::::/bin/ksh'' (senza le virgolette)
  al proprio /etc/passwd.  I campi che non si vogliono modificare
  dovrebbero essere lasciati vuoti.  Si possono anche usare i Netgroups
  (``gruppi di rete'') per il controllo degli utenti.

  Per esempio, per permettere l'accesso di login a miquels, dth e ed, e
  a tutti i membri del netgroup sysadmin, pur mantenendo disponibili i
  dati di account di tutti gli altri utenti:



             +miquels:::::::
             +ed:::::::
             +dth:::::::
             +@sysadmins:::::::
             -ftp
             +:*::::::/etc/NoShell



  Si noti che in Linux si pu anche ridefinire il campo password, come
  si  fatto in questo esempio.  Si  rimossa la login ``ftp'', cosicch
  non sia pi nota e non funzioni pi l'ftp anonimo.

  Il netgroup potrebbe essere qualcosa del tipo


       sysadmins (-,software,) (-,kukuk,)



  IMPORTANTE: La funzionalit dei netgroup  implementata a partire da
  libc 4.5.26.  Se si ha una versione di libc precedente, qualsiasi
  utente nella base di dati NIS delle password pu accedere alla
  macchina linux se  in esecuzione ``ypbind''!
  66..55..  IImmppoossttaarree uunn cclliieenntt NNIISS uussaannddoo NNYYSS

  Tutto ci che serve  che il file di configurazione di NIS
  (/etc/yp.conf) punti al/ai server corretto/i per le sue informazioni.
  Inoltre deve essere correttamente impostato il file di configurazione
  del Name Services Switch (/etc/nsswitch.conf).

  Si dovrebbe installare ypbind.  Non  richiesto dalla libc, ma i tool
  NIS(YP) ne hanno bisogno.

  Se si vuole usare la funzionalit di inclusione/esclusione utenti
  (+/-guest/+@admins), si deve usare ``passwd: compat'' e ``group:
  compat'' in nsswitch.conf.  Notare che non c' un ``shadow: compat''!
  Si deve usare ``shadow: files nis'' in questo caso.

  I sorgenti di NYS fanno parte dei sorgenti della libc 5.  Quando si
  lancia configure, rispondere ``NO'' la prima volta che appare la
  domanda ``Value correct'', e poi rispondere ``YES'' a ``Build a NYS
  libc from nys''.


  66..66..  IImmppoossttaarree uunn cclliieenntt NNIISS uussaannddoo gglliibbcc 22..xx

  La glibc usa il ``NIS tradizionale", cos si deve avviare ypbind.  Il
  file di configurazione del Name Services Switch (/etc/nsswitch.conf)
  deve essere correttamente impostato.  Se si usa la modalit compat per
  passwd, shadow o group, si deve aggiungere il ``+'' alla fine di
  questi file, e si pu usare la funzionalit di inclusione/esclusione
  utenti.  La configurazione  esattamente identica a quella che si fa
  sotto Solaris 2.x.


  66..77..  IIll FFiillee nnsssswwiittcchh..ccoonnff

  Il file del Network Services Switch /etc/nsswitch.conf determina
  l'ordine delle ricerche (``lookup'') effettuate quando  richiesta una
  data informazione, proprio come il file /etc/host.conf determina il
  modo con il quale sono effettuate le ricerche degli host.  Per
  esempio, la riga:



           hosts: files nis dns



  specifica che le funzioni di ricerca degli host dovrebbero prima
  guardare nel file /etc/hosts locale, poi effettuare un lookup NIS e
  alla fine una vera richiesta al domain name service (/etc/resolv.conf
  e named), e a quel punto, se non viene trovata alcuna corrispondenza,
  viene restituito un errore.  Questo file deve essere leggibile per
  qualsiasi utente!  Si possono trovare maggiori informazioni nelle
  pagine man nsswitch.5 e nsswitch.conf.5.

  Un buon /etc/nsswitch.conf per NIS :



  #
  # /etc/nsswitch.conf
  #
  # Un esempio di file di configurazione del Name Service Switch.
  # Questo file dovrebbe essere ordinato in modo che i servizi pi
  # comuni siano all'inizio.
  #
  # La voce '[NOTFOUND=return]' indica che la ricerca di una voce
  # dovrebbe fermarsi se la ricerca nella voce precedente non ha
  # restituito niente.  Si noti che se la ricerca fallisce per qualche
  # altra ragione (come la mancata risposta del server NIS) allora la
  # ricerca continua con la voce successiva.
  #
  # Le voci ammesse sono:
  #
  #       nisplus         Usa NIS+ (NIS versione 3)
  #       nis             Usa NIS (NIS versione 2), detto anche YP
  #       dns             Usa DNS (Domain Name Service)
  #       files           Usa file locali
  #       db              Usa la base di dati /var/db
  #       [NOTFOUND=return]   Ferma la ricerca se prima non  stato
  #                       trovato niente
  #

  passwd:     compat
  group:      compat
  # Con libc5 si deve usare shadow: files nis
  shadow:     compat

  passwd_compat: nis
  group_compat: nis
  shadow_compat: nis

  hosts:      nis files dns

  services:   nis [NOTFOUND=return] files
  networks:   nis [NOTFOUND=return] files
  protocols:  nis [NOTFOUND=return] files
  rpc:        nis [NOTFOUND=return] files
  ethers:     nis [NOTFOUND=return] files
  netmasks:   nis [NOTFOUND=return] files
  netgroup:   nis
  bootparams: nis [NOTFOUND=return] files
  publickey:  nis [NOTFOUND=return] files
  automount:  files
  aliases:    nis [NOTFOUND=return] files



  passwd_compat, group_compat e shadow_compat sono supportate solo da
  glibc 2.x.  Se non ci sono regole shadow nel file /etc/nsswitch.conf,
  glibc user le regole passwd per le ricerche.  Ci sono alcuni altri
  moduli di ricerca per glibc, come hesoid.  Per maggiori informazioni
  si legga la documentazione di glibc.


  66..88..  LLee ppaasssswwoorrdd sshhaaddooww ccoonn NNIISS

  Le password shadow su NIS sono sempre una cattiva idea.  Si perde la
  sicurezza che shadow d e sono supportate solo da poche librerie C per
  Linux.  Un buon modo per evitare le shadow password su NIS  di
  mettere solo gli utenti locali del sistema in /etc/shadow.  Si
  rimuovano le voci degli utenti NIS dal database shadow e si rimettano
  le password in passwd.  In questo modo si pu usare shadow per il
  login di root e le password normali per gli utenti NIS.  Questo ha il
  vantaggio che funzioner con qualsiasi client NIS.


  66..88..11..  LLiinnuuxx

  La sola libc per Linux che supporta le password shadow con NIS  la
  GNU C Library 2.x. La libc5 per Linux non ha questo supporto.  La
  libc5 per Linux non ha il supporto per questa cosa.  La libc5 per
  Linux compilata con il NYS abilitato ha un po' di supporto.  Ma tale
  supporto  gravemente bacato e in qualche caso non funziona con tutte
  le corrette voci shadow.


  66..88..22..  SSoollaarriiss

  Solaris non supporta le password shadow con NIS.


  66..88..33..  PPAAMM

  PAM non supporta le password shadow con NIS, in particolare
  pam_pwdb/libpwdb non lo fa. Questo  un grosso problema per gli utenti
  di RedHat 5.x.  Se si ha glibc e PAM,  necessario modificare le voci
  in /etc/pam.d/*.  Si rimpiazzino tutte le regole pam_pwdb attraverso i
  moduli pam_auth_unix_*.  A causa di un baco nel modulo
  pam_unix_auth.so module questa cosa non funzioner sempre.

  Un esempio di file /etc/pam.d/login  questo:



       #%PAM-1.0
       auth       required    /lib/security/pam_securetty.so
       auth       required    /lib/security/pam_unix_auth.so
       auth       required    /lib/security/pam_nologin.so
       account    required    /lib/security/pam_unix_acct.so
       password   required    /lib/security/pam_unix_passwd.so
       session    required    /lib/security/pam_unix_session.so



  Per ``auth''  necessario usare il modulo pam_unix_auth.so, per
  ``account'' il modulo pam_unix_acct.so, per ``password'' il modulo
  pam_unix_passwd.so e per ``session'' il modulo pam_unix_session.so.



  77..  CCoossaa sseerrvvee ppeerr mmeetttteerree ssuu NNIISS++??

  77..11..  IIll ssooffttwwaarree

  Il codice dei client NIS+ per Linux  stato sviluppato per la libreria
  C 2 della GNU.  Esiste anche un port per la libc5 di Linux, in quanto
  la maggior parte delle applicazioni commerciali sono linkate con
  questa libreria e non  possibile ricompilarle per usare la glibc.  Ci
  sono problemi con libc5 e NIS+: non  possibile fare il link di questa
  con i programma statici, e i programmi compilati con questa non
  funzioneranno con altre versioni della libc5.

  Ci si deve procurare e compilare GNU C Library 2.1 per piattaforme
  basate su Intel o GNU C Library 2.1.1 per piattaforme a 64-bit.  Come
  sistema di partenza  necessaria una distribuzione basata su glibc
  come Debian 2.x, RedHat 5.x o SuSE Linux 6.x.


  Qualsiasi sia la distribuzione,  necessario ricompilare il
  compilatore gcc/g++, libstdc++ e ncurses.  Per la RedHat,  necessario
  fare pesanti modifiche alla configurazione PAM.  Per SuSE Linux 6.0, 
  necessario ricompilare il pacchetto shadow.

  Il software per i client NIS+ pu essere ottenuto da:


         Sito              Directory                    Nome File

         ftp.funet.fi     /pub/gnu/funet                libc-*, glibc-crypt-*,
                                                        glibc-linuxthreads-*
         ftp.kernel.org   /pub/linux/utils/net/NIS+     nis-utils-19990223.tar.gz
         ftp.kernel.org   /pub/linux/utils/net/NIS+     pam_keylogin-1.2.tar.gz



  Le distribuzioni basate su glibc possono essere scaricate da:


         Sito                   Directory

         ftp.debian.org         /pub/debian/dists/slink
         ftp.redhat.com         /pub/redhat/redhat-5.2
         ftp.suse.de            /pub/SuSE-Linux/6.0



  Per la compilazione della libreria C della GNU, si invita a seguire le
  istruzioni ricevute con il software.  Qui  dove si pu trovare la
  libc5 modificato, basata su NYS e con i sorgenti di glibc che
  rimpiazzano quelli della libc5 standard:



         Sito               Directory                  Nome File

         ftp.kernel.org     /pub/linux/utils/net/NIS+  libc-5.4.44-nsl-0.4.10.tar.gz



  Per maggiori informazioni e per gli ultimi sorgenti si dovrebbe
  guardare a http://www.suse.de/~kukuk/linux/nisplus.html
  <http://www.suse.de/~kukuk/linux/nisplus.html>.


  77..22..  IImmppoossttaarree uunn cclliieenntt NNIISS++

  IMPORTANTE: Per l'impostazione di un client NIS+, si legga la
  documentazione del NIS+ di Solaris per sapere cosa fare dal lato
  server!  Questo documento descrive solamente cosa fare dal lato
  client!

  Dopo aver installato la nuova libc e i nis-tools, si creino le
  credenziali per il nuovo client nel server NIS+.  Assicurarsi che
  portmap sia in esecuzione.  Poi controllare che il proprio PC Linux
  abbia la stessa ora del Server NIS+.  Per le RPC sicure si ha solo una
  piccola finestra di circa 3 minuti nella quale credenziali sono
  valide.  Una buona idea  di eseguire xntpd su ognuno degli host.
  Dopo di questo, lanciare



  domainname domimio.nisplus
  nisinit -c -H <server NIS+>



  per inizializzare il file d'avvio.  Si legga la pagina man di nisinit
  per ulteriori opzioni.  Assicurarsi che il nome di dominio rimanga
  sempre impostato dopo un reboot.  Se non si conosce il nome del
  dominio NIS+ della propria rete, si chieda al proprio amministratore
  di sistema/rete.

  Ora si dovrebbe modificare il proprio file /etc/nsswitch.conf.
  Assicurarsi che il solo servizio dopo publickey sia nisplus
  ("publickey: nisplus"), e niente altro!

  Dopo di che, avviare keyserv e assicurarsi che sia sempre avviato
  all'avvio del sistema.  Eseguire


       keylogin -r



  per salvare la chiave segreta (``secretkey'') di root nel proprio sis
  tema (spero si sia gi aggiunta la chiave pubblica (``publickey'') per
  il nuovo host nel server NIS+?).

  Ora ``niscat passwd.org_dir'' dovrebbe mostrare tutte le voci nella
  base di dati passwd.



  77..33..  NNIISS++,, kkeeyyllooggiinn,, llooggiinn ee PPAAMM

  Quando un utente effettua il login,  necessario che imposti la sua
  chiave segreta in keyserv.  Ci  fatto lanciando ``keylogin''.  Il
  programma di login del pacchetto shadow fa questa cosa al posto
  dell'utente, se  stato compilato con la glibc 2.1.  Per un programma
  di login con il supporto PAM, si deve installare
  pam_keylogin-1.2.tar.gz e cambiare il file /etc/pam.d/login per usare
  pam_unix_auth, e non pwdb, che non supporta NIS+.  Un esempio:



       #%PAM-1.0
       auth       required     /lib/security/pam_securetty.so
       auth       required     /lib/security/pam_keylogin.so
       auth       required     /lib/security/pam_unix_auth.so
       auth       required     /lib/security/pam_nologin.so
       account    required     /lib/security/pam_unix_acct.so
       password   required     /lib/security/pam_unix_passwd.so
       session    required     /lib/security/pam_unix_session.so



  77..44..  IIll ffiillee nnsssswwiittcchh..ccoonnff

  Il file del Network Services Switch /etc/nsswitch.conf determina
  l'ordine delle ricerche ("lookup") effettuate quando  richiesta una
  data informazione, proprio come il file /etc/host.conf determina il
  modo con il quale sono effettuate le ricerche degli host.  Per
  esempio, la riga:



           hosts: files nisplus dns



  specifica che le funzioni di ricerca degli host dovrebbero prima
  guardare nel file /etc/hosts locale, poi effettuare un lookup NIS e
  alla fine una vera richiesta al domain name service (/etc/resolv.conf
  e named), e a quel punto, se non viene trovata alcuna corrispondenza,
  viene restituito un errore.

  Un buon file /etc/nsswitch.conf file per NIS+ :



  #
  # /etc/nsswitch.conf
  #
  # Un esempio di file di configurazione del Name Service Switch.
  # Questo file dovrebbe essere ordinato in modo che i servizi pi
  # comuni siano all'inizio.
  #
  # La voce '[NOTFOUND=return]' indica che la ricerca di una voce
  # dovrebbe fermarsi se la ricerca nella voce precedente non ha
  # restituito niente.  Si noti che se la ricerca fallisce per qualche
  # altra ragione (come la mancata risposta del server NIS) allora la
  # ricerca continua con la voce successiva.
  #
  # Le voci ammesse sono:
  #
  #       nisplus         Usa NIS+ (NIS versione 3)
  #       nis             Usa NIS (NIS versione 2), detto anche YP
  #       dns             Usa DNS (Domain Name Service)
  #       files           Usa file locali
  #       db              Usa la base di dati /var/db
  #       [NOTFOUND=return]   Ferma la ricerca se prima non  stato
  #                           trovato niente
  #

  passwd:     compat
  # per libc5: passwd: files nisplus
  group:      compat
  # per libc5: group: files nisplus
  shadow:     compat
  # per libc5: shadow: files nisplus

  passwd_compat: nisplus
  group_compat:  nisplus
  shadow_compat: nisplus

  hosts:      nisplus files dns

  services:   nisplus [NOTFOUND=return] files
  networks:   nisplus [NOTFOUND=return] files
  protocols:  nisplus [NOTFOUND=return] files
  rpc:        nisplus [NOTFOUND=return] files
  ethers:     nisplus [NOTFOUND=return] files
  netmasks:   nisplus [NOTFOUND=return] files
  netgroup:   nisplus
  bootparams: nisplus [NOTFOUND=return] files
  publickey:  nisplus
  automount:  files
  aliases:    nisplus [NOTFOUND=return] files



  88..  IImmppoossttaarree uunn sseerrvveerr NNIISS

  88..11..  IIll pprrooggrraammmmaa sseerrvveerr yyppsseerrvv

  Questo documento descrive solamente come impostare il server NIS
  ``ypserv''.

  Il software per il server NIS lo si pu trovare su:



    Sito               Directory                    Nome File

    ftp.kernel.org     /pub/linux/utils/net/NIS     ypserv-1.3.6.tar.gz



  Per maggiori informazioni si pu dare un'occhiata anche a
  http://www.suse.de/~kukuk/linux/nis.html
  <http://www.suse.de/~kukuk/linux/nis.html>.

  L'impostazione del server  la stessa sia per il NIS tradizionale che
  per NYS.

  Si compili il software per generare i programmi ypserv e makedbm.  
  possibile configurare ypserv per usare il file securenets oppure
  tcp_wrapper. Il tcp_wrapper  molto pi flessibile, ma un sacco di
  gente ha diversi problemi ad usarlo.  Inoltre alcuni file di
  configurazione di tcp_wrapper possono causare spreco di memoria.  Se
  si hanno problemi con ypserv compilato per tcp_wrapper, lo si
  ricompili usando il file securenets.  Il comando ypserv --version
  mostrer quale versione si sta usando.

  Se si fa funzionare il proprio server come master, si determinino
  quali file si vuole siano disponibili tramite NIS e poi si aggiungano
  o rimuovano le voci apposite nella regola ``all'' in /var/yp/Makefile.
  Si dovrebbe comunque dare un'occhiata al Makefile e modificare le
  opzioni all'inizio del file.

  C' stato un solo grosso cambiamento tra ypserv 1.1 e ypserv 1.2.
  Dalla versione 1.2 ypserv fa il cache dei file handle.  Ci significa
  che si deve sempre lanciare makedbm con l'opzione -c se si creano
  delle nuove mappe.  Sincerarsi di usare il nuovo /var/yp/Makefile di
  ypserv 1.2 o successivo, o si aggiunga l'opzione -c a makedbm nel
  Makefile.  Se non lo si fa, ypserv continuer ad usare le vecchie
  mappe e non quelle aggiornate.

  Ora si modifichino /var/yp/securenets e /etc/ypserv.conf.  Per
  maggiori informazioni, leggere le pagine di manuale di ypserv(8) e
  ypserv.conf(5).

  Assicurarsi che il portmapper (portmap(8)) sia in esecuzione, e si
  avvii il server ypserv. Il comando



           % rpcinfo -u localhost ypserv



  dovrebbe restituire qualcosa di simile a



           program 100004 version 1 ready and waiting
           program 100004 version 2 ready and waiting



  La riga ``version 1'' potrebbe non esserci a seconda della versione di
  ypserv e della configurazione usata.   necessaria solamente se si
  usano vecchi client SunOS 4.x.


  Ora si generi la base di dati NIS (YP). Sul master, si lanci



           % /usr/lib/yp/ypinit -m



  Su uno slave, assicurarsi che ypwhich -m funzioni.  Ci significa che
  lo slave dev'essere per prima cosa configurato come client NIS prima
  di poter eseguire


           % /usr/lib/yp/ypinit -s masterhost



  per installare l'host come slave NIS.


   tutto, il proprio server  attivo e in esecuzione.

  Se si hanno grossi problemi, si pu avviare ypserv e ypbind in
  modalit di debug su xterm separate.  L'output di debug dovrebbe
  mostrare cosa non va.

  Se si deve aggiornare una mappa, si esegua make nella directory
  /var/yp del NIS master.  Ci aggiorner una mappa se il file sorgente
   stato modificato e invier i file ai server slave.  Non usare ypinit
  per aggiornare una mappa.

  Non  male poi modificare il crontab di root nello slave server e
  aggiungere le righe seguenti



             20 *    * * *    /usr/lib/yp/ypxfr_1perhour
             40 6    * * *    /usr/lib/yp/ypxfr_1perday
             55 6,18 * * *    /usr/lib/yp/ypxfr_2perday



  Ci assicura che la maggior parte delle mappe NIS saranno mantenute
  aggiornate, anche se un aggiornamento  stato perso a causa di un mal
  funzionamento (down) dello slave al momento dell'aggiornamento sul
  master.

  Uno slave pu essere aggiunto in qualsiasi momento.  Per prima cosa,
  assicurarsi che il nuovo server slave abbia i permessi per contattare
  il master NIS.  Poi eseguire


           % /usr/lib/yp/ypinit -s masterhost



  sul nuovo slave.  Sul server master si aggiunga poi il nome del nuovo
  server slave in /var/yp/ypservers e si esegua make in /var/yp per
  aggiornare le mappe.

  Se si vuole restringere l'accesso al proprio server NIS agli utenti,
  si deve impostare il server NIS come un client eseguendo ypbind e
  aggiungere le voci-pi ("+") a /etc/passwd a mezza via del file delle
  password.  Le funzioni di libreria ignoreranno tutte le normali voci
  dopo la prima voce NIS, e otteranno le restanti informazioni
  attraverso NIS.  In questo modo sono mantenute le regole di accesso
  NIS.  Un esempio:



            root:x:0:0:root:/root:/bin/bash
            daemon:*:1:1:daemon:/usr/sbin:
            bin:*:2:2:bin:/bin:
            sys:*:3:3:sys:/dev:
            sync:*:4:100:sync:/bin:/bin/sync
            games:*:5:100:games:/usr/games:
            man:*:6:100:man:/var/catman:
            lp:*:7:7:lp:/var/spool/lpd:
            mail:*:8:8:mail:/var/spool/mail:
            news:*:9:9:news:/var/spool/news:
            uucp:*:10:50:uucp:/var/spool/uucp:
            nobody:*:65534:65534:noone at all,,,,:/dev/null:
            +miquels::::::
            +:*:::::/etc/NoShell
            [ Tutti i normali utenti DOPO questa riga! ]
            tester:*:299:10:Just a test account:/tmp:
            miquels:1234567890123:101:10:Miquel van Smoorenburg:/home/miquels:/bin/zsh



  Quindi l'utente tester esister, ma avr la shell impostata a
  /etc/NoShell. miquels avr l'accesso normale.

  In alternativa, si pu modificare il file /var/yp/Makefile ed
  impostare NIS ad usare un altro file di password come sorgente.  Su
  sistemi grossi, i file delle password e dei gruppi NIS sono
  solitamente salvati in /var/yp/ypfiles/.  Se lo si fa i normali
  strumenti per l'amministrazione del file delle password come passwd,
  chfn e adduser non funzioneranno pi e si avr bisogno di speciali
  strumenti fatti su misura.

  Comunque yppasswd, ypchsh e ypchfn ovviamente funzioneranno.


  88..22..  IIll pprrooggrraammmmaa sseerrvveerr yyppss

  Per l'impostazione del server NIS ``yps'' si faccia riferimento al
  paragrafo precedente.  L'impostazione del server ``yps''  simile ma
  non esattamente la stessa, quindi si faccia attenzione se si prova ad
  applicare le istruzioni di ``ypserv'' a ``yps"!  ``yps'' non 
  supportato da alcun autore e contiene alcuni problemi di sicurezza.
  Quindi non  affatto consigliabile usarlo!

  Il software per il server NIS ``yps'' pu essere trovato su:



         Sito                   Directory                  Nome File

         ftp.lysator.liu.se    /pub/NYS/servers            yps-0.21.tar.gz
         ftp.kernel.org        /pub/linux/utils/net/NIS    yps-0.21.tar.gz



  88..33..  IIll pprrooggrraammmmaa rrppcc..yyppxxffrrdd

  rpc.ypxfrd  usato per velocizzare i trasferimenti di grosse mappe NIS
  dal NIS master ai diversi slave.  Se un server NIS slave riceve un
  messaggio che attesta la presenza di una nuova mappa, avvier ypxfr
  per trasferire la nuova mappa.  ypxfr legger il contenuto di una
  mappa dal server master usando la funzione yp_all().  Questo processo
  pu durare diversi minuti quando esistono mappe molto grosse che
  devono essere salvate dalla libreria di database.

  Il server rpc.ypxfrd velocizza il processo di trasferimento
  permettendo si server NIS slave di copiare semplicemente i file di
  mappa del master piuttosto che si costruiscano da soli la propria
  copia.  rpc.ypxfrd usa un protocollo di trasferimento basato su RPC,
  cosicch non  necessario per la costruzione di nuove mappe.

  rpc.ypxfrd pu essere avviato da inetd.  Per poich si avvia molto
  lentamente, dovrebbe essere lanciato assieme a ypserv.   necessario
  avviare rpc.ypxfrd solo sul master.


  88..44..  IIll pprrooggrraammmmaa rrppcc..yyppppaasssswwdddd

  Ogni qual volta gli utenti cambiano le loro password, la base di dati
  NIS delle password e, probabilmente, altre basi di dati NIS che
  dipendono da questa dovrebbero essere aggiornate.  Il programma
  "rpc.yppasswdd''  un server che gestisce le modifiche delle password
  e assicura che le informazioni NIS sia aggiornate di conseguenza.
  rpc.yppasswdd  ora integrato in ypserv.  Non serve pi il vecchio
  yppasswd-0.9.tar.gz o yppasswd-0.10.tar.gz, e non dovrebbero essere
  pi usati. Il rpc.yppasswd in ypserv 1.3.2 ha il pieno supporto per le
  shadow.  yppasswd fa ora parte di yp-tools-2.2.tar.gz,

  Si deve lanciare rpc.yppasswd solo nel server NIS master.  Di default,
  gli utenti non hanno il permesso di cambiare il loro nome o la loro
  shell di login.   possibile permettere tali modifiche con le opzioni
  -e chfn o -e chsh.

  Se i propri file passwd e shadow sono in una directory diversa da
  /etc, si deve aggiungere l'opzione -D.  Per esempio, se si sono messi
  tutti i file sorgente in /etc/yp e si vuole che gli utenti possano
  cambiare la propria shell, si deve avviare rpc. yppasswdd con i
  seguenti parametri:



          rpc.yppasswdd -D /etc/yp -e chsh



  oppure



          rpc.yppasswdd -s /etc/yp/shadow -p /etc/yp/passwd -e chsh



  Non c' molto altro da fare.  Ci si deve solamente assicurare che
  rpc.yppasswdd usi gli stessi file di /var/yp/Makefile.  Gli errori
  saranno registrati usando syslog.



  99..  VVeerriiffiiccaarree ll''iinnssttaallllaazziioonnee ddii NNIISS//NNYYSS

  Se tutto  a posto (come dovrebbe essere), si dovrebbe essere essere
  in grado di verificare l'installazione con pochi semplici comandi.
  Assunto, per esempio, che il proprio file passwd sia gestito da NIS,
  il comando



           % ypcat passwd



  dovrebbe restituire il contenuto del proprio file NIS passwd.  Il
  comando



           % ypmatch userid passwd



  (dove userid  il nome di login di un utente arbitrario) dovrebbe
  restituire la voce relativa all'utente nel file NIS passwd.  I
  programmi ``ypcat'' e ``ypmatch'' dovrebbero essere inclusi nella
  propria distribuzione di NIS tradizionale o NYS.

  Se un utente non riesce a fare il login, si esegua il programma
  seguente nel client:


       #include <stdio.h>
       #include <pwd.h>
       #include <sys/types.h>

       int
       main(int argc, char *argv[])
       {
         struct passwd *pwd;

         if(argc != 2)
           {
             fprintf(stderr,"Uso: getwpnam nomeutente\n");
             exit(1);
           }

         pwd=getpwnam(argv[1]);

         if(pwd != NULL)
           {
             printf("name.....: [%s]\n",pwd->pw_name);
             printf("password.: [%s]\n",pwd->pw_passwd);
             printf("user id..: [%d]\n", pwd->pw_uid);
             printf("group id.: [%d]\n",pwd->pw_gid);
             printf("gecos....: [%s]\n",pwd->pw_gecos);
             printf("directory: [%s]\n",pwd->pw_dir);
             printf("shell....: [%s]\n",pwd->pw_shell);
           }
         else
           fprintf(stderr,"Utente \"%s\" non trovato!\n",argv[1]);

         exit(0);
       }

  L'esecuzione di questo programma con il nome utente come parametro,
  mostrer tutte le informazioni che la funzione getpwnam restituisce
  per quell'utente.  Ci dovrebbe mostrare quale voce non  corretta.
  Il problema pi comune  che il campo della password  stato
  sovrascritto con un ``*".

  La GNU C Library 2.1 (glibc 2.1) contiene uno strumento chiamato
  gentent.  In un sistema di questo tipo si usi questo programma invece
  di quello qua sopra.  Si pu provare:


          getent passwd



  o


          getent passwd login



  1100..  PPrroobblleemmii ccoommuunnii ccoonn NNIISS ee ssoolluuzziioonnii

  Ecco qui alcuni problemi riferiti da vari utenti:


  1. Le librerie 4.5.19 hanno problemi. Il NIS non funzioner con
     queste.

  2. Se si aggiornano le librerie dalla 4.5.19 alla 4.5.24 allora il
     programma su si rompe.  Ci si deve procurare il comando su dalla
     distribuzione Slackware 1.2.0.  Non a caso questo  pure un posto
     dove si possono prendere le librerie aggiornate.

  3. Quando un server NIS va gi e poi ritorna su ancora, ypbind si
     avvia mostrando un messaggio tipo:


              yp_match: clnt_call:
                          RPC: Unable to receive; errno = Connection refused



  e il login  rifiutato a quanti sono registrati nella base di dati
  NIS.  Provare a fare il login come root, si termini ypbind e lo si
  avvii ancora.  Un aggiornamento a ypbind 3.3 o successivo dovrebbe
  aiutare.

  4. Dopo l'aggiornamento di libc ad una versione successiva alla
     5.4.20, gli YP tools non funzionano pi.  Si ha bisogno degli yp-
     tools 1.2 o successivi per la libc >= 5.4.21 e glibc 2.x.  Per libc
     pi recenti si deve usare yp-clients 2.2. Gli yp-tools 2.0
     dovrebbero funzionare con tutte le librerie.

  5. In libc 5.4.21 - 5.4.35 yp_maplist  rotta, c' bisogno di libc
     5.4.36 o successiva, o alcuni programmi YP come ypwhich
     provocheranno un segfault.

  6. La libc 5 con il NIS tradizionale non supporta le password shadow
     su NIS.  Sono necessarie le libc5 + NYS oppure glibc 2.x.

  7. ypcat shadow non mostra la mappa shadow.  Questo  corretto in
     quanto il nome della mappa shadow  shadow.byname, non shadow.

  8. Solaris non usa sempre porte privilegiate.  Quindi non si usi il
     mangling delle password se si ha un client Solaris.



  1111..  FFiillzzaa ddii AAssssiillllii QQuuoottiiddiiaannii ((aakkaa FFrreeqquueennttllyy AAsskkeedd QQuueessttiioonnss))

  La maggior parte delle domande ora dovrebbero aver trovato risposta.
  Se ci sono ancora questioni non risposte si pu postare un messaggio
  in



           comp.os.linux.networking



