리눅스 인증 서버 관리 (NIS/LDAP)

인증 관련 서비스의 개요
: ID와 PW를 통한 인증의 경우 한 대의 서버환경에서는 문제가 없지만 수십대 이상의 서버 환경의 경우
  모든 서버에 ID와 PW가 등록되어 있어야 함
: 이 경우, 사용자가 PW를 변경할 경우 모든 서버에 업데이트를 해야하기 때문에 부담이 큼
: 이러한 문제로 인해 네트워크 기반의 인증 서비스가 탄생
: 하나의 서버에 사용자와 관련된 정보를 저장하고, 나머지 서버에서 해당 서버를 통해 사용자에 대한 인증을 진행

- 인증 관련 서버의 종류
: NIS (Network Information Service)
: LDAP (Lightweight Directory Access Protocol)





NIS (Network Information Service)
: 하나의 서버에 사용자 계정, 암호, 그룹 정보 등을 공유하여 다른 시스템에 제공하는 서비스
: 원래는 YP (Yellow Page)라는 이름으로 출시하였으나 영국에서 등록된 상표였기 때문에 NIS로 이름이 변경됨
: rpc에서의 데이터 암호화 및 인증, 운영 도중 권한 설정, 복제 등의 기능을 지원





LDAP (Lightweight Directory Access Protocol)
: X.500 Directory Access Protocol 기반의 디렉터리 DB에 접근을 위한 프로토콜
: IP 프로토콜을 기반으로 사용자, 시스템, 네트워크, 서비스 정보 등의 디렉터리 정보를 공유할 수 있음
: RDBMS에 비해 검색 속도가 빨라서 읽기 위주의 검색 서비스에서 좋은 성능을 보임
: 자주 변경되는 정보의 경우 RDBMS를 쓰는 것이 좋음

- 디렉터리
: 논리, 계급 등을 기준으로 조직화 되어 저장된 비슷한 객체들의 모임 
: 전화번호, 주소록과 같은 데이터 구조

- LDAP 구조
: 하나 이상의 속성을 가진 객체인 엔트리가 DIT (Directory Information Tree) 구조로 조직화된 구조
: 각 엔트리는 DN (Distinguish Name)으로 식별
: DN은 절대경로 처럼 엔트리 이름에 상위 엔트리 이름을 앞에 붙혀서 식별
: 엔트리의 상대경로는 RDN (Relative Distinguish Name)으로 식별

- LDAP 속성 관련 키워드
: c (CountryName)
 > 국가 이름
: st (StateProvinceName)
 > 주(도) 이름
: l (LocalityName)
 > 보통 도시를 나타내지만 특정 지역 단위에서 사용
: street
 > 도로명 주소
: o (OrganizationalName)
 > 조직
: ou (OrgarnizationUnitName)
 > 조직 부서
: cn (CommonName)
 > 이름과 성의 조합
: sn (SurName)
 > 성
: givenName
 > 이름
: dc (domaincomponent)
 > 도메인 네임 요소
: mail
 > E-mail 주소
: telephoneNumber
 > 전화번호





NIS 관련 명령어
- nisdomainname
- ypwhich
- ypcat
- yptest
- yppasswd
- ypchsh
- ypchfn





nisdomainname
: NIS 도메인명 조회 및 설정

- 형식
: nisdomainname [domain name]





ypwhich
: NIS 클라이언트에서 사용하는 명령어. NIS 서버명과 관련 맵 파일 조회

- 형식
: ypwhich [option]

- 주요 옵션
: -m
 > NIS 서버의 맵 파일 출력
 
 
 
 
 
ypcat
: NIS 서버명 출력

- 형식
: ypcat <map file>

- 예시
: ypcat hosts.byname
 > 호스트 관련 정보 출력. ypcat hosts와 동일
 
 
 
 
 
yptest
: 도메인 명, NIS 도메인 명, 맵 파일 목록, 사용자 계정 정보 등을 출력





yppasswd
: NIS 클라이언트 NIS 서버에 등록된 사용자의 비밀번호 변경. 변경 시 NIS 서버의 root 비밀번호 필요

- 형식
: yppasswd <user>





ypchsh
: NIS 클라이언트에서 NIS 서버에 등록된 사용자의 셸 변경

- 형식
: ypchsh <user>





ypchfn
: NIS 클라이언트에서 NIS 서버에 등록된 사용자의 정보 변경

- 형식
: ypchfn <user>





NIS 서버 및 클라이언트 공통 구성
1) RPC 데몬 실행
- service rpcbind start

2) /etc/hosts 파일 수정
- vim /etc/hosts
```
201.156.25.44     nis.2mukee.com
201.156.25.45     nis_client.2mukee.com
```
: DNS 조회 없이 빠르게 이용하기 위해 NIS 서버 및 클라이언트의 IP 주소 및 도메인 등록.





NIS 서버 구성
1) NIS 서버용 패키지 설치
- yum install ypserv
: ypserv, yppasswd, ypxfrd가 설치됨
: ypserv (NIS 서버를 위한 데몬 스크립트)
: yppasswd (NIS 클라이언트에서 비밀번호 변경 요청 시 동작하는 데몬 스크립트)
: ypxfrd (NIS 서버와 클라이언트 간 매핑 속도 향상을 위한 데몬 스크립트)

2) NIS 도메인 설정 (택 1)
- nisdomainname 2mukee.com

- vim /etc/sysconfig/network
```
NISDOMAIN=2mukee.com
```

3) NIS 클라이언트에서 사용할 계정 생성
- useradd deragon
- passwd deragon

4) NIS 관련 데몬 실행
- service ypserv start
- service yppasswd start
- service ypxfrd start

5) NIS 서버 작동 확인
- ps aux |rgrep 'ypserve | yppasswd | ypxfrd'

6) 관련 정보 갱신
- make -C /var/yp
: 사용자 추가 등 설정 내용 변경 시 실행
: 해당 명령 실행 후 /var/yp 내에 2mukee.com 디렉터리가 생성되고, 그 안에는 관련 맵파일이 있음





NIS 클라이언트 구성
1) NIS 클라이언트용 패키지 설치
- yum install ypbind, yp-tools

2) NIS 도메인 설정 (택 1)
- nisdomainname 2mukee.com

- vim /etc/sysconfig/network
```
NISDOMAIN=2mukee.com
```

3) NIS 서버와 nisdomain 설정
- vim /etc/yp.conf
```
server nis.2mukee.com
ypserver nis.2mukee.com
domain 2mukee.com
```

4) 관련 데몬 실행
- service ypbind start

5) 데몬 동작 확인
- ps aux | grep ypbind

6) NIS 서버 인증 설정
- setup
: 인증설정 > 도메인 및 서버지정
: 도메인 및 서버는 2umkee.com로 설정

7) 로그인
- yum install telnet, telnet-server
: 로그인을 위한 텔넷 패키지 설치

- telnet <NIS server ip>
: NIS 서버에 접속 시도. 로그인만 성공하면 끝
: NIS는 인증만 수행하기 때문에 디렉터리에 대한 접근 등은 할 수 없음
 > 서버의 파일 및 디렉터리에 대한 접근은 NFS 등을 사용해야함

 

 

 

 

 

Refference

리눅스마스터 1급 2차 실기 정복하기 | 정성재 - 교보문고