[Bda] Re: RE: NIS

Krystal krystal@yoda.isnpro.com
Sun, 07 Jan 2001 21:44:32 +0100 

skaya@yoda.isnpro.com wrote:

> ci-joint un reply pour krystal, mais j'aimerais aussi l'avis des gens
> qui sont dans le VPN...
>
> > Au fait un jour faudra que tu m'explique exactement comment ca marche le
> > nis, et faudra qu'on regarde si y-a moyen de le faire marcher avec du
> > md5, histoire qu'on fasse un truc qui blaste pour les ch'tit user enix
> bah c'est pas tellement le MD5 qui sera le plus chiant.
> l'idée c'est que les fichiers des serveurs NIS sont générés à partir
> de fichiers /etc/passwd /etc/shadow etc. tout à fait normaux.
> donc :
>
> - on a un pool de serveurs éparpillés (doors, floyd, nemesis, kangaroo,
> gate ...)
> - chacun exporte une partie de son /etc/passwd /etc/shadow /etc/group ...
> de façon publique (genre sur nis.toto.nx/passwd tu trouves le passwd
> du domaine toto.nx, ou alors serveur.toto.nx/nis/passwd, à voir...)
> - NB : chacun n'exporte garde qu'une plage, par exemple 2000 à 2999
> pour doors, 3000 à 3999 floyd etc.
> - chaque serveur va chercher les infos des autres sur le net,
> et concatène le tout pour faire son "vrai" passwd injecté dans le
> serveur NIS
>
> qu'est-ce que t'en penses?
>
> PS: je ne t'ai pas filé tous les détails, évidemment on peut
> imaginer un système de serials à la DNS ; si on n'arrive pas
> à joindre un serveur on garde la copie précédente ; etc.
> d'autre part tu peux avoir des paramètre locaux pour "overrider"
> ce que tu exportes : par exemple tu peux avoir /home/localhost/krystal
> comme home partout, sauf sur gate où ton home serait /home/kleenex/krystal
> par exemple (/home/localhost -> /home/$HOSTNAME évidemment)

Pour ma part je suis d'accord avec tout ca.

Pour le NIS, d'apres ce que j'ai compris (Fire Source), il y a un probleme
quand tu veut changer ton password a partir d'une machine "cliente" (en gros
il ne faut pas changer de pass ailleur que sur le serveur qui exporte tes
données)

Mais je suis chaud pour qu'on se refasse un truc a nous, au debut a coups de
script, et ensuite pour la forme pourquoi pas a coups de daemon ecrit par nous
and co.

Question : Avec le PAM, on peu faire vraiment tout ce que l'on veut, donc en
fait ca me parait jouable de carrement utilisé les zones DNS pour exporter les
fichiers de password (en lecture seule bien sur). A coups de DNSSEC par dessus
du VPN, ca devrais en plus etre secure ;) ... Enfin c'est une idée comme ca
bien suir, c'est a étudier ... Quoi vous en pensez ?

Krystal