NIS实现集中式身份认证

集中式身份认证：
NIS 网络信息系统sun
LDAP 轻量级目录访问协议
在windows 中 由Winbind服务提供集中认证
1) 配置客户端作为NIS或者LDAP 作为集中式身份认证
2) Access cortrol list
3) fs quotas 磁盘配额

集中存放账号密码并对用户访问做集中认证
windows 中 SAM数据库
linux 中 /etc下 的 passwd 和 shadow 文件

用户账户：login_name/password GID UID home_dir shell 等信息 放入数据库

基于模块化设计的 用户认证机制NSS(name service switch) 独立出一台服务器 专门用来做身份认证 NIS 如果用户登录服务器A 则把账号信息输入到A A通过网络传送给B 由B来对比账户信息数据库再把对比结果返回给A

NSS同时可以用来做账户和主机名转换
其他：PAM 可插入式认证模块

定义转换规则以及规范：
/etc/protocols和/etc/services 定义每种服务对应的端口号
/etc/nsswitch.conf 定义了名称解析使用哪种服务 以及先后顺序
可以为toylinux 定义名称解析方式 需要libnss-files 等两个库文件支持

当passwd hosts group 等在nsswitch中定义过的文件
#getent passwd 或者hosts group 等等 将返回该文件内容
获取某一种名称解析的所有解析条目 即 获取其数据库文件

NSS ；kerberos；LDAP；SmartCard；SMB；Winbind
NSS 1 账号是否存在 2密码是否正确 3都对的话是否匹配 4账号是否过期 5该用户具有的访问资源的权限
kerberos 网络服务端和客户端 客户端用用户的密码加密一段数据 然后由服务器上存放的该用户密码进行解密 叫做令牌方式 类似密钥
LDAP 目录服务 速度快 比关系型数据库快10倍 默认LDAP是明文传送
如果要加密 需要LDAPS支持 ldap+ssh
SmartCard 生物识别 或者 加密狗类似的内置证书的设备
SMB服务器可以和openLDAP服务器结合起来  SMB做文件服务器 ldap做用户认证 将可以实现Winbind 类型的域控制

yellowpage 黄页 整合了某一地域中的所有资源信息 NIS域
域是用来标识主机处于哪个逻辑范围之内
NIS域需要域名来标识 可以是一个字符串 也可以类dns的域名
不安全 NIS+ 可以解决安全问题 但收费

NIS 需要RPC服务支持
rpc 远程过程调用/控制 两台主机之间可以基于会话层建立数据交换
portmap提供了rpc服务

配置NIS：
1
NIS 依赖两个软件包 ypserv服务端 ypbind客户端 yp-tools 是共有的软件包
#nisdomainname 显示当前的nis域名 假设我们有个nis域服务器域名为notexample
#nisdomainname notexample
#vim /etc/sysconfig/network
    加入NISDOMAIN=notexample
2)
查看rpc服务状态
#service portmap status
#rpcinfo -p localhost/远程主机IP

3)
修改yp服务配置文件
/etc/yp.conf
    加入domain notexample server 192.168.0.254
4)
测试服务状态
#yptest -d notexample 将自动验证domainname-->ypbind-->yp_match-->yp_first-->yp_next等等
如果没有开启
#service ypbind start 也可以加入开机启动列表 #chkconfig ypbind on
#su - username 看是否能登陆 使用的用户名虽然本机未定义 但在nis服务器上有
修改/etc/nsswitch.conf
passwd:
shadow
group
hosts
四个行 将nis 写到后面的第二项 以空格隔开
例如passwd:    files nis
5)
本地建立家目录赋予权限 或者漫游家目录
实现用户在登录时自动挂载相应家目录到本地的/home
#vim /etc/auto.master
加入 /home/guests    /etc/auto.home
#vim /etc/auto.home
映射多人    *    -rw,intr,hard    192.168.0.254:/home/guests/&
映射一人    guest
#service autofs restart
#mkdir /home/guests
如果home busy 则可以踢出目前占用home的用户
#fuser -km /home

#su - guest2001
ls 可见家目录 此时家目录已经自动挂载
#exit 退出