[debian-users:09458] Re: NIS cannot login (client Debian 2.0, serverFreeBSD 2.2.6)

[nakano@xxxxxxxxxxxxxxxx (NAKANO Takeo)]

中野です。

<199810290900.SAA21711@xxxxxxxxxxxxxxxxxxxxx>の記事において
s1031160@xxxxxxxxxxxxさんは書きました。

> nakanoさん>おそらく NIS クライアントも shadow にしないといけないと思います。
> 	『Linux Shadow Password HOWTO』
> 	      2.1 Shadowパスワードを使わない方が良い場合
> 	にあたるようなのでshadowにはしていません。
> 	#でも どうしてなのか理由が書いてない…。

　ibc5 時代の NIS は shadow に完全対応していなかった、というのが
一つの理由。　もう一つは、ユーザが ypcat shadow したら見えちゃうん
だから shadow にしても意味がない、というものでした。

　現在の Kukuk 版 NIS では、両方とも解決しています。　が、 hamm のは
一世代前のやつみたいで、うまく行くかどうかちょっとわかりません。

	http://www-vt.uni-paderborn.de/~kukuk/linux/nis.html

から最新版の yp-tools や yobind-mt を取ってくれば良いのですが...

> 	自分で調べた結果、見に行くmap名はこうなっているようです。
> 	○FreeBSD master.passwd.by{name,uid}	<- encodeされたpasswordが入ってる
> 		  passwd.by{name,uid}		<- passwordが[*]になっている
> 	○Linux	  passwd.by{name,uid}
> 	
> 	Linuxからloginする時にpasswd.by{name,uid}にencodeされた passwordが
> 	入っていないから認証に失敗するのだという考えています。

　そのとおりです。　ですので、やっぱり Linux は shadow のマップを
見に行くようにしないと (つまり shadow 化しないと) だめだと思います。

　FreeBSD の方で、shadow.byname というマップを作って流してもらえば
いいと思います。　私は FreeBSD 扱ったことがないので詳しいアドバイスは
できませんが、管理者の方に Debian の /var/yp/Makefile から 
shadow.byname のところを見ていただければ、だいたい想像つくんじゃ
ないかと思います。

> nakanoさん># サーバを非 shadow 化するのが一番楽だとは思いますが...
> 	同じく非shadowにするのが早いと思ったのですが、
> 	「セキュリティーレベルが下がるので他の方法でなんとかしてくれ」
> 	と言われて困っています。

　まあ私が管理者でも、一回 shadow 化したサーバに対してはそう言う
でしょうね... (^_^;

> 	client側で見にいくmap名を変える設定fileなどは存在するのでしょうか？
> 	それともどこかの関数をいじらないと変更できないのでしょうか？

　うーん、これはちょっとわかりませんです。　すみません。

-- 
中野＠成蹊大