NIS提供了通用數(shù)據庫訪問設施

長風

當運行一個局域網時，系統(tǒng)管理員的目標通常是為用戶提供一個透明的網絡環(huán)境。要做到這一步的一個重要步驟是在所有主機之間保持重要數(shù)據（比如用戶帳號信息）的同步。我們在前面已經看到，對于主機名的解析，存在一個強大而復雜的服務，即DNS。對于其他任務沒有這種特殊的服務。此外，如果你只是管理一個沒有Internet連接的小LAN的話，那么對于許多管理員來說安裝設置DNS是不值得的。

這就是為什么Sun開發(fā)出了NIS，即網絡信息系統(tǒng)（Network Information System）。NIS提供了通用數(shù)據庫訪問設施，可以實現(xiàn)向你的網絡上的所有主機分發(fā)信息，比如象passwd和groups文件所包含的信息。這使得網絡看起來象一個獨立系統(tǒng)，在所有的主機上有著相同的帳號。你可以以同樣的方式通過NIS向網絡上的所有機器同步/etc/hosts中的主機名信息。

NIS是基于RPC的，是由一個服務器、一個客戶端庫以及幾個管理工具組成。起初，NIS被稱作黃頁（Yellow Pages），或YP，現(xiàn)在仍然使用這個名稱來非正式地指這項服務。另一方面，Yellow Pages是英國電信的商標，英國電信一直要求Sun更換這個名字。隨著事態(tài)的發(fā)展，某些名稱已與人們分不開了，所以YP一直以與NIS相關命令的前綴形式繼續(xù)存在著，比如象ypserv、ypbind等等。
今天，幾乎所有的UN*X都包括NIS，而且甚至有它的免費實現(xiàn)版本。一個是來自BSD的Net-2發(fā)行版，源自于Sun捐贈的公眾域參考實現(xiàn)。該版的客戶庫代碼已經存在于GNU的libc中很長時間了，而管理程序只是在最近才由Swen Thümmler [1] 移植到Linux上。在這個參考實現(xiàn)中漏掉了一個NIS服務器程序。Tobias Reber已經編制出了另外一個NIS軟件包，其中包括所有的工具和一個服務器；該軟件包稱作yps。[2]
目前，一個完全重寫的稱為NYS的NIS代碼已由Peter Eriksson [3]編制出來，它支持普通的NIS和Sun的經過許多修正的NIS+。NYS不僅提供了一個NIS工具集和一個服務器，而且還增加了一個全新的庫函數(shù)集，這個庫函數(shù)集可能最終會被加入到標準libc中。這包括替換目前使用host.conf的主機名解析的一個新設置方案。這些函數(shù)的特性將在下面討論。

這一章將集中討論NYS而非另外兩個軟件包，對于這兩個軟件包我將稱它們?yōu)椤皞鹘y(tǒng)的”NIS代碼。如果你確實要想運行任何這些軟件包的話，本章中的說明也許已經足夠也許還不夠。要獲取另外的信息，請取得一本有關NIS的標準（權威）書本，比如象Hal Stern的NFS和NIS（見[Stern92]）。
目前，NYS仍處于開發(fā)階段，因此標準的Linux工具如網絡程序或login程序還沒有注意到NYS的配置方案。只有到NYS合并進主流libc中時，如果你想使得所有這些執(zhí)行程序使用NYS時，你才需要重新編譯它們。在任何這些應用程序的Makefiles中，在libc之前，指定-lnsl作為linker的最后一個選項。這將有關函數(shù)從libnsl-NYS庫中連接過來，取代從標準C庫的連接。

10.1 理解NIS
NIS在所謂的包含鍵-值對的maps中保存數(shù)據庫信息。Maps被存儲于運行NIS服務器的中央主機中，從該主機中，客戶可以通過各種RPC調用檢索信息。最頻繁地，maps是存于DBM文件中的。[4]

Maps本身是從主要文本文件（比如/etc/hosts或/etc/passwd）中生成的。對于某些文件，會生成幾個maps，每個搜尋鍵類型對應一個。例如，你可以為主機名和IP地址搜查hosts文件。相應地，從中會生成兩個NIS maps，分別稱為hosts.byname和hosts.byaddr。表10.1列出了通用maps和它們生成的文件。

Master File Map(s)
/etc/hosts
/etc/networks
/etc/passwd
/etc/group
/etc/services
/etc/rpc
/etc/protocols
/usr/lib/aliases Hosts.byname hosts.byaddr
Networks.byname networks.byaddr
Passwd.byname passwd.byuid
Group.byname group.bygid
Services.byname services.bynumber
Rpc.byname rpc.bynumber
Protocols.byname protocols.bynumber
Mail.aliases

表10.1 一些標準的NIS maps以及相應的文件。

在某些NIS軟件包或其它軟件中，還有一些你可能會覺得有用的別的文件和maps。這些文件和maps可能含有沒在這本書中討論過的應用程序的信息，比如可能用于某些BOOTP服務器中的bootparams maps，或者在Linux中目前不含有任何函數(shù)的文件（就象ethers.byname和ethers.byaddr maps）。
對于某些maps，人們通常使用綽號（nicknames），它們很短因而易于鍵入。要想獲得一個你的NIS工具能夠理解的綽號的完整列表，運行下面的命令：

$ ypcat -x
NIS map nickname translation table:
“passwd” ->; “passwd.byname”
“group” ->; “group.byname”
“networks” ->; “networks.byaddr”
“hosts” ->; “hosts.byname”
“protocols” ->; “protocols.bynumber”
“services” ->; “services.byname”
“aliases” ->; “mail.aliases”
“ethers” ->; “ethers.byname”
“rpc” ->; “rpc.bynumber”
“netmasks” ->; “netmasks.byaddr”
“publickey” ->; “publickey.byname”
“netid” ->; “netid.byname”
“passwd.adjunct” ->; “passwd.adjunct.byname”
“group.adjunct” ->; “group.adjunct.byname”
“timezone” ->; “timezone.byname”

NIS服務器傳統(tǒng)地稱為ypserv。對于一個中等大小的網絡來說，單個服務器通常就足夠了；大型的網絡可能需要在不同的網段以及不同的機器上運行幾個服務器，以減輕服務器機器和路由器的負荷。通過將這些服務器之一作為主服務器（master server），其它的服務器作為次服務器（slave servers），使得這些服務器同步。Maps將只在主服務器上建立。從主服務器上將它們分發(fā)到所有次服務器上。
你可能已經注意到，我們一直很含糊地論及“網絡”；當然引用這樣一個網絡的NIS存在著與眾不同的概念，也即通過NIS共享它們部分系統(tǒng)配置數(shù)據的所有主機的一個集合：NIS域。不幸的是，NIS域與我們在DNS中遇到的域絕對沒有一點共同之處。為了在本章中避免含糊不清的情況，我將總是指出我說的哪一類型的域。
NIS域只具有純粹的管理功能。對于用戶來說它們主要是不可見的，除了在域中所有機器之間口令的共享。因此，給NIS域取的名字僅與管理員有關。通常，可以使用任何名字，只要該名字與你的本地網絡上的其它NIS域名不同就行。例如，虛擬釀酒廠的管理員可以選擇建立兩個NIS域，一個是給釀酒廠本身用的，另一個是個葡萄酒廠的，她分別將其命名為brewery和winery。另一個很普遍的方案是簡單地用DNS域名也作為NIS的域名。為了設置和顯示你的主機的NIS域名，你可以使用dommainname命令。當不加任何參數(shù)調用時，它打印出當前NIS域名；如要設置這個域名的話，你必須成為超級用戶并鍵入：

# domainname brewery

NIS域決定了一個應用程序將查詢哪個NIS服務器。例如，在葡萄酒廠（Winery）的主機上的login程序（當然）將只向葡萄酒廠的NIS服務器（或者是它們其中之一，如果存在多個服務器的話）查詢用戶的口令信息；而釀酒廠主機上的應用程序將只查詢釀酒廠的服務器。
現(xiàn)在還有一個疑點要解決，也即一個客戶如何知道要連接到哪一臺服務器上去。最簡單的途徑是有一個配置文件，它給出了要在其上查找服務器的主機名。然而，這個辦法非常不靈活，因為它不允許客戶依據這些服務器存在與否使用不同的服務器（當然是指從同一個域）。因此，傳統(tǒng)的NIS實現(xiàn)依賴于一個稱作ypbind的特殊后臺程序在它們的NIS域中來偵測一個適當?shù)腘IS服務器。在能夠執(zhí)行任何NIS查詢之前，任何應用程序首先要從ypbind找出要使用哪個服務器。
ypbind通過向本地IP網絡廣播來探測服務器；第一個響應的服務器假設基本上是最快的一個并將用于隨后的NIS查詢。在某個間隔時間過去以后，或者如果服務器不工作了，ypbind將再次探測運行著的服務器。
現(xiàn)在，關于動態(tài)綁定的爭論點是你很少需要它，并且它會帶來安全方面的問題：ypbind盲目地相信任何應答者，而這個應答者可能會是一個謙遜的NIS服務器也可能是一個懷有惡意的入侵者。不用說如果你在NIS上管理你的口令數(shù)據庫的話，這將變成特別麻煩的事。為了防范這個問題，NYS缺省地不使用ypbind，而是從一個配置文件中取得服務器的主機名。

10.2 NIS與NIS+
NIS和NIS+除了在名字上和有共同的目標以外，很少有相同之處。NIS+是用一個完全不同的方法構成的。它使用一個類似于DNS的分級名字空間，而不是一個平面的名字空間和松散脫節(jié)的NIS域。它使用一個由行和列組成的所謂的表（tables）而不是maps，在NIS+數(shù)據庫中表的每一行表示一個對象，而列表示NIS+所知所關心的對象的那些屬性。一個給定的NIS+域的每個表由那些它們的父域組成。另外，表中的一個條目可以包含到另一個表的鏈接。這些特性使得用許多方法構造信息成為可能。
傳統(tǒng)的NIS的RPC版本號是2，而NIS+的是版本3。
NIS+至今似乎還沒有被廣泛地使用，而且我實際上對它也知道不多。（唔，幾乎一竅不通）。由于這個原因，這里我們將不涉及它了。如果你對它感興趣并想多學一點的話，請參閱Sun的NIS+管理手冊（[NISPlus]）。

10.3 客戶邊的NIS
如果你熟悉編制或移植網絡應用程序的話，你將會注意到上面所列出的許多NIS maps與C庫中的庫函數(shù)相對應。例如，要獲得passwd信息，你通常使用getpwnam(3)和getpwuid(3)函數(shù)，它們分別返回與給定的用戶名或數(shù)值用戶id相對應的帳號信息。在通常的環(huán)境下，這些函數(shù)將在標準文件（比如/etc/passwd）中執(zhí)行請求的查找。
然而，這些函數(shù)的基于NIS（NIS-aware）的實現(xiàn)將更改這種行為，并且會啟用一個RPC調用讓NIS服務器查詢用戶名或id。對于應用程序來說這個操作是完全透明的。這個函數(shù)可以將NIS map“附加”或“替換”掉原始的文件。當然，這并沒有對文件進行實際的修改，它只是讓應用程序看上去好象該文件已經被替換或附加上去了。
對于傳統(tǒng)的NIS實現(xiàn)來講，對于那些maps替換掉以及那些被添加到原始信息中，曾有某些慣例。有些maps（比如passwd maps）需要對passwd文件進行雜湊地修改，當做錯時，就會打開安全方面的缺口。為了避免這個缺陷，NYS常規(guī)的配置方案，該方案確定了一個特定的客戶函數(shù)集是否使用原始文件、NIS、NIS+，并且以什么次序使用。這將在本章后續(xù)小節(jié)中加以討論。

10.4 運行一個NIS服務器
在這么多理論方面的喋喋不休之后，現(xiàn)在開始動手做實際的配置工作。在本節(jié)中，我們將討論NIS服務器的配置。如果在你的網絡上已經有一個NIS服務器在運行，你就不必設置你自己的服務器了；在這種情況下，你可以安全地跳過本節(jié)。
注意，如果你只是準備對服務器做試驗，請確信你沒有設置一個已經在你網絡上使用的NIS域名。因為這會使整個網絡服務癱瘓并使得許多人不高興和惱怒。
對于Linux目前有兩個現(xiàn)存的免費NIS服務器，一個包含在Tobias Reber的yps軟件包中，另一個在Peter Eriksson的ypserv軟件包中。至于你運行哪一個是無關緊要的，也不管你使用NYS還是目前在libc中的標準NIS客戶代碼。在寫作本書時，yps中的NIS次服務器處理的代碼似乎更完善一些。所以如果你要涉及到次要服務器的話，yps可能是一個更好的選擇。
當在/usr/sbin中安裝好服務器程序（ypserv）以后，你應該建立一個目錄，用于存放你的服務器分發(fā)的map文件。當為brewery域設置好一個NIS域時，maps將存于/var/yp/brewery中。服務器通過檢測是否存在一個map目錄來確定它是否在為一個特定的NIS域服務。如果你對某些NIS域禁用了服務，請確信同時也刪除那個目錄。
Maps通常儲存于DBM文件中以加速查詢。它們是用一個稱為makedbm（對于Tobias的服務器）或dbmload（對于Peter的服務器）的程序從主文件中創(chuàng)建的。它們是不可互換的。將主文件轉換成dbmload可分析的形式通常需要一些awk或sed技巧，這對于錄入有些乏味并且難于記憶。因此，Perter Eriksson的ypserv軟件包含有一個Makefile（稱為ypMakefile），它將為你做所有這些工作。你應該將它作為Makefile安裝在你的map目錄中，并且編輯它，以反映你要分發(fā)的maps。在文件的頭部，你會發(fā)現(xiàn)all目標，它列出了ypserv將要提供的服務。缺省地，該行看上去象這樣：

all: ethers hosts networks protocols rpc services passwd group netid

例如，如果你不想生成ethers.byname和ethers.byaddr maps，只須簡單地從這條規(guī)則中去掉ethers先決條件。為了測試你的設置，開始只使用一二個maps，比如services.* maps，就已經足夠了。
在map的目錄里，在編輯好Makefile以后，鍵入“make”。這將自動地生成并安裝maps。你必須確信每當你改變了主文件之后，一定要更新maps，否則所做的改變對網絡仍然是不可見的。
下一節(jié)解釋如何配置NIS客戶代碼。如果你的安裝設置不工作的話，你應該查出有沒有任何請求到達你的服務器。如果你對NYS服務器指定-D命令行標志，它將在控制臺上打印出有關所有進入的NIS查詢的調試信息，并且返回結果。這些將給你一個提示來確定問題到底出在哪里。Tobias的服務器沒有這個選項。

10.5 使用NYS設置一個NIS客戶
在本章的余下部分，我們將討論NIS客戶的配置。
你的第一步應該是告知NYS對于NIS服務使用哪個服務器，并在/etc/yp.conf配置文件中設置好。對于在葡萄酒廠（Winery）網絡上一臺主機上的簡單樣本文件看上去象這樣：

# yp.conf - YP configuration for NYS library.
#
domainname winery
server vbardolino

第一條語句告訴所有NIS客戶，他們屬于winery NIS域。如果你省略這一行，NYS將使用你通過domainname命令指派給你系統(tǒng)的域名。server語句指定所使用的NIS服務器。當然，與vbardolino相應的IP地址必須在hosts文件中設置；另外，你也可以在server語句中使用IP地址本身。
在上面所示的表單中，server命令告訴NYS使用指定的服務器而不管目前的NIS域是什么。然而，如果你頻繁地在不同的NIS域中移動你的機器的話，你可能想要在yp.conf文件中保存幾個域的信息。你可以通過在server語句中增加NIS域名獲得幾個NIS域的服務器的信息。例如，你可以為一個便攜機改變上面樣本文件成這樣：

# yp.conf - YP configuration for NYS library
#
server vbardolino winery
server vstout brewery

這允許你在系統(tǒng)引導時通過domainname命令設置期望的NIS域來在兩個域的任何一個域中使用便攜機。
在創(chuàng)建了這個基本的配置文件并確信它是可讀的以后，你應該運行的第一次測試來檢查你是否能連接到你的服務器上。確信選擇你的服務器分發(fā)的任何map，如hosts.byname，并試著使用ypcat工具來檢索它。ypcat，就象所有其它的NIS管理工具一樣，應該存在于/usr/sbin中。

# ypcat hosts.byname
191.72.2.2 vbeaujolais vbeaujolais.linus.lxnet.org
191.72.2.3 vbardolino vbardolino.linus.lxnet.org
191.72.1.1 vlager vlager.linus.lxnet.org
191.72.2.1 vlager vlager.linus.lxnet.org
191.72.1.2 vstout vstout.linus.lxnet.org
191.72.1.3 vale vale.linus.lxnet.org
191.72.2.4 vchianti vchianti.linus.lxnet.org

你所得到的輸出應該與上面顯示的相象。如果你得到了一條錯誤信息指出“Can’t bind to server which serves domain”或者某些類似的信息，那么或者是你設置的NIS域名在yp.conf中沒有匹配的服務器，或者是由于某些原因服務器找不到。在后一種情況下，請確信ping到那個主機產生正確的結果，并且它確實正在運行一個NIS服務器。你可以使用rpcinfo來驗證后者，它將生成以下輸出：

# rpcinfo -u serverhost ypserv
program 100004 version 2 ready and waiting

10.6 選擇正確的maps
在確信能夠與NIS服務器聯(lián)系之后，你必須決定要用NIS maps替換或添加哪個配置文件。一般地，你將會對主機和口令查找函數(shù)使用NIS maps。前者對于沒有使用BIND時特別有用。后者允許所有用戶在NIS域的任何系統(tǒng)上登錄進他們的帳號；這通常要求通過NFS在所有的主機之間共享一個中央/home目錄。這將在10.7節(jié)中詳細討論。其它的maps，如同services.byname，并沒有如此有戲劇性的效能，但能為你省去某些編輯工作如果你安裝了任何網絡應用程序而該應用程序使用了一個不在標準services文件中的服務名。
通常，對于一個查找函數(shù)何時使用本地文件、何時詢問NIS服務器，你會想有某些自由的選擇。NYS允許你配置函數(shù)訪問這些服務的順序。這是通過/etc/nsswitch.conf文件來控制的，該文件名是指名稱服務交換（Name Service Switch），當然其并不限制于名稱服務。對于NYS支持的任何數(shù)據查找函數(shù)，它都包含指定所用服務的一行。
服務的正確順序是與數(shù)據的類型有關的。并無必要讓services.byname的map一定要含有與本地services文件中不同的條目；它可以包含更多的條目。所以，一個好的選擇可以是首先查詢本地文件，并且只有當服務名稱沒有找到時才查找NIS。另一方面，主機名信息可能會非常頻繁地改變，所以DNS或NIS服務器應該總是有非常正確的信息，而本地的hosts文件只作為在DNS和NIS不可用時的一個備份而已。在這種情況下，你可能想最后查詢本地文件。
下面的例子顯示出了如何以上面描述的方式配置gethostbyname(2)、gethostbyaddr(2)和getservbyname(2)函數(shù)。它們將依次試用列出的服務；如果一個查找成功，結果就返回，否則試用下一個服務。

# small sample /etc/nsswitch.conf
#
hosts: nis dns files
services: files nis

可以在nsswitch.conf文件中有一個條目的完整服務的列表如下面所示。實際被查詢的maps、文件、服務器和對象依賴于條目名。

nisplus或nis+
對這個域使用NIS+服務器。服務器的位置從/etc/nis.conf文件中獲得。

nis 使用這個域的當前NIS服務器。被查詢的服務器的位置在yp.conf文件中設置，見前節(jié)所示。對于hosts條目，要查詢hosts.byname和hosts.byaddr maps。

dns 使用DNS名字服務器。這個服務類型只對hosts條目有用。要被檢索的名字服務器仍然由標準resolv.conf文件確定。

files 使用本地文件，比如對于hosts條目使用/etc/hosts文件。

dbm 從位于/var/dbm內的DBM文件中查找信息。文件所使用的名字與NIS map相對應。

目前，NYS支持下面這些nsswitch.conf條目：hosts、networks、passwd、group、shadow、gshadow、services、protocols、rpc和ethers。以后還會增加更多的條目。
圖10.1顯示了一個更完整的例子，它引入了nsswitch.conf的另一個特性：hosts條目中的[NOTFOUND=return]關鍵字通知NYS，如果在NIS或DNS數(shù)據庫中沒有找到所要的項就返回。也即，只有在向NIS和DNS服務器的呼叫由于某些其它原因失敗時，NYS才將繼續(xù)搜尋本地文件。因此，本地文件只在啟動引導期間使用并且當NIS服務器關閉時起一個備份的作用。

# /etc/nsswitch.conf
#
hosts: nis dns [NOTFOUND=return] files
networks: nis [NOTFOUND=return] files

services: files nis
protocols: files nis
rpc: files nis

圖10.1 nsswitch.conf樣本文件。

10.7 使用passwd和group Maps
NIS的一個主要應用是在一個NIS域中的所有主機上同步用戶以及帳目信息。關于這方面，你通常只保存了一個小的本地/etc/passwd文件，對于這個文件，從NIS maps獲得的站點范圍的信息被添加了進去。然而，只是簡單地在nsswitch.conf中為這個服務啟用NIS查找還不很夠。
當引用NIS描述的口令信息時，你必須首先確信在你本地passwd文件中任何用戶的數(shù)值用戶id與NIS服務器的用戶id匹配。同樣對于其它目的你也會需要這樣的，比如從你的網絡中其它主機上加載NFS卷時。
如果/etc/passwd或/etc/group中的任何數(shù)值id與maps中的相偏離，你必須為屬于那個用戶的所有文件調整文件的所有權。首先你必須將passwd和group中的uid和gid改成一個新值；然后找出屬于剛改變的用戶的所有文件，最后改變這些文件的所有權。假設news曾有一個id為9，而okir有一個id為103，它們將被改成其它值；那么你可以發(fā)出以下的命令：

# find / -uid 9 -print >;/tmp/uid.9
# find / -uid 103 -print >;/tmp/uid.103
# cat /tmp/uid.9 | xargs chown news
# cat /tmp/uid.103 | xargs chown okir

必須針對新安裝的passwd文件執(zhí)行這些命令，并且在改變任何文件的所有權之前收集所有文件的名字，這點很重要。為了更新文件的組所有權，你將使用一個類似的命令。
在做完這些工作之后，你系統(tǒng)上的數(shù)值uid和gid將與你的NIS域中所有其它主機上的相匹配。下一步將是在nsswitch.conf中增加配置行，它為用戶和組信息啟用NIS查找：

# /etc/nsswitch.conf - passwd and group treatment
passwd: nis files
group: nis files

這使得在一個用戶試圖登錄時，login命令和所有其它類似命令首先查詢NIS maps，如果這個查找失敗時，再返回使用本地文件。一般來講，你將從你的本地文件中刪除所有的用戶，而只留下root和象mail一樣的通用帳目。這是因為某些至關重要的系統(tǒng)任務可能需要將uid映射到用戶名上或者反之。例如，管理用的cron作業(yè)可能會執(zhí)行su命令來臨時變成news，或者UUCP子系統(tǒng)可能要郵寄一個狀態(tài)報告。如果news和uucp在本地passwd文件中沒有條目了，那么在NIS不能使用期間這些作業(yè)將糟糕地失敗。
這里有兩個大告戒：一方面，上面所描述的設置在這里只適應于沒有使用影子（shadow）口令的登錄狀況，象那些包括在util-linux軟件包中的。與NIS一起使用影子口令的復雜問題將在下面論及。另一方面，登錄命令并不是僅有的訪問passwd文件的命令-請看許多人幾乎一直使用的ls命令。每當進行一次長列表時，ls將顯示一個文件的用戶和組的宿主的符號名；也即，對于它遇到的每個uid和gid，它就要查詢NIS服務器一次。如果你的本地網絡受到阻塞時將嚴重地拖延進行的工作，或者更糟糕的是，當NIS服務器不在同一個物理網絡上時，數(shù)據報還必須通過路由器傳輸。
事情還沒結束。想象以下如果一個用戶想要更改她的口令時會發(fā)生什么情況。通常，她會執(zhí)行passwd，它將讀入新的口令并更新本地passwd文件。對于NIS來說，這是不可能的，因為這個文件已不再存在于本地了，但是每當用戶想要改變他們的口令時就讓他們登錄進NIS也不是個選擇。因此，NIS提供了一個對passwd的混入替換稱為yppasswd，它用來在目前的NIS中做類似的工作。為了改變服務器主機上的口令，它通過RPC聯(lián)系那個主機上的yppasswdd后臺程序，并向它提供更新過的口令信息。通常，你通過象這樣做在常規(guī)程序上安裝yppasswd：

# cd /bin
# mv passwd passwd.old
# ln yppasswd passwd

與此同時你必須在服務器上安裝rpc.yppasswdd并從rc.inet2中啟動它。這將對你的用戶有效地隱藏NIS所帶來的任何扭曲。

10.8 使用支持影子（shadow）的NIS
至今還沒有對使用影子登錄程序組的站點的NIS支持。John F. Haugh，影子程序組的作者，最近往comp.sources.misc發(fā)布了一個受GNU庫的GPL保護的影子庫函數(shù)的一個版本。它對NIS已經有了一些支持，但還不完整，并且這些函數(shù)還沒有加入到標準C庫中。另一方面來講，通過NIS之類公布來自于/etc/shadow中的信息是與shadow組件的目的相違背的。
盡管NYS口令查找函數(shù)不使用shadow.byname map或任何這類map，NYS還是支持透明地使用一個本地/etc/shadow文件的。當getpwnam的NYS實現(xiàn)被調用來查找與給定的登錄名相關的信息時，nsswitch.conf中的passwd條目所指定的設施被檢索。nis服務將簡單地在NIS服務器的passwd.byname map中查找這個名字。而files服務將檢查/etc/shadow是否存在，并且如果存在的話，就試著打開它。如果不存在的話，或者如果用戶沒有root特權的話，它就返回到只在/etc/passwd中查找用戶信息的傳統(tǒng)的處理方法中。然而，如果shadow文件存在，并且能被打開的話，NYS將從shadow中抽取用戶的口令。getpwuid 函數(shù)也是這樣實現(xiàn)的。在這種方式下，用NYS編譯的執(zhí)行文件將透明地處理本地影子組件的安裝。

10.9 使用傳統(tǒng)的NIS代碼
如果你使用目前在標準C庫中的客戶代碼的話，那么配置一個NIS客戶就稍微有些不同。一方面，它使用一個ypbind后臺程序（daemon）來廣播查詢運行著的服務器而不是從一個配置文件中取得（服務器）信息的。因此，你必須確信在啟動期間開始運行ypbind。它必須在NIS域已被設置好并且RPC portmapper已啟動后才被調用。此時，上面所示的調用ypcat進行對服務器測試才能工作。
最近，有許多有關NIS出錯報告（bug reports），出錯信息說“clntudp_create: RPC: portmapper failure - RPC: unable to receive”。這是由于對ypbind與庫函數(shù)有關綁定信息的通信（溝通）方式的不兼容的改動。取得最新有關NIS工具的最新源程序并重新編譯之可以解決這個問題。[5]
同樣，傳統(tǒng)的NIS確定是否要和如何將NIS信息與本地文件中的信息合并的方法與NYS中所使用的方法是有偏差的。例如，為了使用NIS口令maps，你必須在/etc/passwd map中包含下列行：

+:*:O:O:::

這標記出口令查找函數(shù)“插入”NIS maps的地方。往/etc/group中插入類似的一行（去掉最后兩個冒號）會對group.* maps做出同樣的事。為了使用NIS分發(fā)的hosts.* maps，只要改動host.conf文件中的order一行。例如，如果你要使用NIS、DNS以及/etc/hosts文件（以這個順序），你必須將這行改成

order yp bind hosts

目前，傳統(tǒng)的NIS實現(xiàn)不支持任何其它的maps。






注釋
[1] 可以用swen@uni-paderborn.de與他聯(lián)系。NIS客戶程序以yp-linux.tar.gz的形式在matlab.unc.edu上的system/Network中有。
[2] 當前的版本（在寫作本書時）是yps-0.21并且可以從ftp.lysator.liu.se的/pub/NYS目錄中取得。
[3] 可以用pen@lysator.liu.se與他聯(lián)系。
[4] DBM是一個簡單的數(shù)據庫管理庫，它使用雜湊技術（hashing technigues）來加速查詢操作。GNU計劃有它的一個免費實現(xiàn)，稱為gdbm，它已包括在大多數(shù)Linux發(fā)行版中。
[5] 可以從ftp.uni-paderborn.de的/pub/Linux/LOCAL目錄中取得yp-linux源程序。

CNL

收到。
但不推薦，NIS管理如果跟不上很容易出安全漏洞