Remote Procedure Call

klient chce vzdáleně něco spustit
jsou desítky protokolů, jak toho docílit
Výkonový rozdíl mezi např. JSON RPC a XML RPC je často řádový!
pečlivě vybírejte, ať neplýtváte výkonem
v praxi dostanete přikázané použít ten nejhorší možný
rozumná knihovna podporující RPC je např. libevent od Nielse Provose (je součástí OpenBSD: event(3))
ONC RPC, původem od Sun Microsystems, Inc., RFC 5531, rpcgen(1), rpc(3)
tohle používá NIS, NFS, AMD a další, z historických důvodů
při přenosu po síti je prostředníkem portmap(8)/rpcbind(8), který dynamicky přiděluje službám (podle jim přiděleného ID) TCP/UDP porty, po kterých potom komunikují
Proč se místo zavedení well-known portů zavádějí další čísla, která vyžadují další mezikrok?

# echo 'portmap_flags=""' >> /etc/rc.conf.local
# /etc/rc.d/portmap start

# emerge -av rpcbind
# rc-update add rpcbind default
# /etc/init.d/rpcbind start

Spadne-li portmapper, musíte všechny služby znovu zaregistrovat! (typicky vyp+zap)

Nastudování a pochopení tohoto slidu, linkovaného obsahu a manuálových stránek může zabrat měsíce! Není to ke zkoušce povinné.

Network Information Service

služba poskytující informace o siti
informace, které mají být sdílené mezi skupinou strojů pro jejich potřebu
nejčastěji jde o databázi uživatelů a skupin
jak je na unix-like systémech obvyklé, je to jen jedno řešení z mnoha
lidé by se z chyb měli učit :-)
nainstalujte si:
```
# yum install ypbind ypserv 
```
```
# emerge ypbind ypserv 
```
YP v Gentoo používá ještě portmap(8), ale NFS by ho rpcbindem vyblokovalo, proto tam už rpcbind musíte mít.

Jak to funguje?

stroje jsou členy NIS domény, která nemá s DNS doménou nic společného!

defaultdomain(5) vs. resolv.conf(5)

defaultdomain(5), domainname(5)

/etc/conf.d/network nebo /etc/defaultdomain, nisdomainname(1)

echo "NISDOMAIN=doména.swi" >> /etc/sysconfig/network

doména má jeden nebo více serverů (master na změny, slaves kvůli stabilitě/dostupnosti)
na masteru jsou databáze (mapy) typicky v upravené Berkeley NDBM: makedbm(8)
klienti se na server připojují buďto přímo, nebo pošlou broadcast (DOMAIN_NONACK)
ke komunikaci se používá ONC RPC

NIS master server: ypserv(8)

ujistěte se, že máte nastavený NIS domain name

inicializujte doménu (např. podle OpenBSD FAQ)

# ypinit -m doména.swi

# /usr/lib/yp/ypinit -m

# /usr/lib64/yp/ypinit -m

protože zatím neběží žádný slave, nevyplňujte ho (bude se to k němu snažit připojit)
protože zatím neběží ypserv(8), možná uvidíte chybové hlášky

spusťte master!

# /etc/rc.d/{ypserv,yppasswdd} start

# /etc/init.d/{ypserv,yppasswdd} start

zinicializujte masterovu databázi importem ze systému

# cd /var/yp
# vi doména.swi/Makefile
UNSECURE="False" jenom, máte-li klienty schopné vypořádat se s master.passwd mapou
MINUID a MINGID tak, abyste na každém stroji měli aspoň jednoho non-roota pro případ výpadku
NOPUSH, pokud jeste nemate zinicializovano (chybove hlasky)
# make

otestujte ji (musite byt klient, vizte dale)

# ypcat -x
# ypcat -d doména.swi -h 127.0.0.1 passwd
# ypmatch uživatel passwd
# yptest

každou změnu nezapomeňte protlačit do YP databází spuštěním make(1) v /var/yp/[doména]

NIS slave server

samozřejmě potřebujete slave servery!

# ypcat ypservers
server.trpící.osamělostí

založte databázi pro slave (např. podle OpenBSD FAQ)

(yp-slave)# ypinit -s hlavní.stroj.swi doména.swi

(yp-slave)# /usr/lib/yp/ypinit -s hlavní.stroj.swi

(yp-slave)# /usr/lib64/yp/ypinit -s hlavní.stroj.swi

dejte masterovi do mapy ypservers informaci o nově přidaném slaveovi

(yp-master)# ypinit -u doména.swi; pkill -HUP ypserv

(yp-master)# echo záložní.stroj.swi >> /var/yp/ypservers
(yp-master)# cd /var/yp/; vi Makefile
NOPUSH=false
(yp-master)# make

ověřte, že jsou v mapě ypservers oba

NIS server: něco jsem zvoral

# pkill ypbind; pkill ypserv; pkill rpc.yppasswdd
# cd /var/yp
# rm -rf binding/ doména1.swi/ doména2.swi/ ypservers

+ navíc

# rm /var/yp/Makefile #(hrál-li jsem si s ním)

a můžu začít od začátku

Celý proces je náchylný na hloupé chyby!

Problém: V BSD je mapa master.passwd, v Linuxu je shadow.

Řešení: ve virtlabu to neřešíme a používáme v BSD UNSECURE=True, v praxi řešíme výměnou NIS za bezpečný systém.

Např. na každém stroji zvláštní lokální NIS doména + ypldap(8) napojený přímo proti šifrovanému LDAP serveru.

Pozor: V BSD je pmake(1), v Linuxu je gmake(1).

NIS klient: ypbind(8)

ujistěte se, že máte nastavený NIS domain name

spusťte ypbind(8)

# /etc/rc.d/ypbind start

# echo broadcast >> /etc/yp.conf
# /etc/init.d/ypbind start
# vi /etc/nsswitch.conf
passwd: compat
shadow: compat
group: compat

```
# vipw
+:*::::::::
```
getent passwd
Nezapomeňte, že ypcat(8) apod. vracejí výsledky, které jim poví na daném stroji běžící ypbind(8)! Pokud tam neběží (třeba spadl), ladíte mrtvého klienta.

chcete-li posílat dotazy přímo konkrétním serverům:

# echo nis.stroj.někde >> /etc/yp/doména.swi

# echo "domain doména.swi server nis.stroj.někde >> /etc/yp.conf

NIS/YP: časté chyby

operace trvají dlouho: nemáte spuštěný portmapper, nebo něco jiného; rpcinfo -p
nedaří se nahodit ypbind: nemáte nastavené domainname(1)
Persistentně defaultdomain(5) až po startu systému, nepersistentně domainname(1).
nedaří se přihlásit: Posíláte hesla? A ve správném formátu? Zkontrolujte passwd(5) a řádek s +

Formáty ukládání hesla

Mapy vidím, ale nefunguje to!
Linux používá jiný hash na hesla (SHA512, $6) než OpenBSD (Blowfish, $2) nebo FreeBSD (md5, $1) -- crypt(3)
Mohli bychom se s tím hrát (login.conf(5), případně /etc/pam.d/), ale má to cenu? Hashe jsou stejně dostupné komukoli v síti, přenášené nešifrovaně
aby toho nebylo málo, LDAP místo $2 používá např. {SSHA}, {CRYPT}, {MD5CRYPT} apod.
aby toho nebylo málo, Linux nepodporuje {SSHA}, který je z dostupných nejdůvěryhodnější a je výchozí
Údajně na některé verze pam_ldap zabírá parametr "ssha" v konfiguraci PAM.

LDAP jako centrální databáze

"moderní" řešení, dnes na něj narazíte velmi často nejen jako administrátoři, ale i např. jako vývojáři informačních systémů apod.
nejdříve ale musíme spustit LDAP server

balík login_ldap obsahuje program /usr/libexec/auth/login_-ldap, který ověřuje hesla na základě konfigurace v login.conf(5)
program ypldap(8) emuluje přítomnost NIS map s pomocí dat z LDAP
A zůstává tedy konfigurace ve formátu +:*::::::::.

balík pam_ldap obsahuje knihovnu pam_ldap.so - modul pro PAM, který ověřuje hesla na základě konfigurace v nss_ldap(5)
balík nss_ldap a nastavení Name Service Switche v nsswitch.conf(5) načtou data do "passwd" a "shadow" databází
/etc/ldap.conf patří {nss,pam}_ldap-ům (tedy v podstatě "systému")
má manuál v nss_ldap(5)
/etc/openldap/ldap.conf patří OpenLDAPu a obsahuje implicitní parametry pro klienty jako ldapmodify(8)
má manuál v ldap.conf(5).
Pozor! Při práci s /etc/pam.d/ noste bezpečnostní oblek a mějte pro jistotu otevřených několik náhradních rootovských konzolí!

ypldap(8): NIS/LDAP Gateway

proces, který v OpenBSD/Solarisu nahrazuje ypserv(8)
překládá dotazy z getpwent(3) na LDAP queries a vrací NIS mapy

v login.conf(5) uděláme třídu používající login_ldap(8), aby nám fungovalo přihlášení do systému

# pkg_add -iv login_ldap

Proč? LDAP má hesla uložená jako {SCHEMA}blob, který nemůžeme jen tak ukázat v mapě master.passwd ($SCH$salt$blob) pomocí +::::.

# vi /etc/login.conf
## odstraňte z toho ty komentáře; ty backslashe musí být poslední na řádku!
ldap:\
        :auth=-ldap:\
        :x-ldap-server=172.16.77.6:\
        :x-ldap-basedn=ou=Uzivatele,dc=doména,dc=swi:\
        :x-ldap-filter=(&(objectclass=posixAccount)(uid=%u)):\
        :tc=default:
# cap_mkdb /etc/login.conf

otestujeme, jestli se dá přihlásit

(ano, opravdu je tam _-, pomlčka je speciální, vizte login.conf(5))

# /usr/libexec/auth/login_-ldap -d -s login <uživatel> ldap
...
user bind success!
no group filter
authorize

teď binding do systému: upravíme ypldap.conf(5)

# vi /etc/ypldap.conf
domain "doména.swi"   # jako jaká NIS doména se to bude tvářit
...
directory "ip.adresa.ldap.serveru" {
	...
	# Kvůli formátu hesel za nás dělá práci ten balík
	# login_ldap(8) shora. Nemusíme tak řešit práva
	# obyčejných lidí k hashům a semka prostě dáme *.
	fixed attribute passwd "*"

	# Na tohle pozor! Stejně tak /bin/bash v Linuxu,
	# budete-li exportovat účty opačným směrem!
	fixed attribute shell "/bin/ksh"

	# Použij tu login-classu, co jsme 
	# nahoře definovali a vyzkoušeli.
	fixed attribute class "ldap"
}

spustíme ypbind(8), protože nezapomeňte, že emulujeme NIS!

zkontrolujeme, jestli jsou uživatelé v systému vidět

# getent passwd
# vipw  ## pro kontrolu
+:*::::::::

nss_ldap(5), pam_ldap(5)

"enterprise" distribuce jako CentOS, OpenSuSE mají v instalátoru tlačítko "Use LDAP Authentication"
ke Gentoo je šikovný návod
authconfig-tui, nss-pam-ldapd

pro běžné smrtelníky smrtelné:

# vi /etc/pam.d/system-auth
...
auth		sufficient	pam_ldap.so use_first_pass
account		sufficient	pam_ldap.so
password	sufficient	pam_ldap.so ssha use_authtok use_first_pass
session		optional	pam_ldap.so
...
# vi /etc/nsswitch.conf
passwd: files ldap
shadow: files ldap
group: files ldap
# vi /etc/ldap.conf
suffix
uri
bind_policy soft		# jako u NFS...
nss_base_{passwd,shadow,group}	# kde to ty data vlastně má hledat?
pam_filter objectClass=posixAccount
pam_login_attribute uid		# kde je username?
pam_member_attribute memberuid	# kde jsou členové skupiny?

modlete se

Network File System

verze 2 (RFC 1094), verze 3 (RFC 1813), verze 4.1 (RCC 5661)
více není lépe!
Podpora NFS4 stále experimental, neustálené funkce, složité (najednou začalo být stavové), ...
operace "jako s lokálním FS" zabalené do RPC ("volané na druhé straně")
NFS je bezstavový, takže např. oprávnění se musejí kontrolovat při každém READ/WRITE.
samostudium: Sandberg, Goldberg, Walsh: "Design and Implementation of the Sun Network Filesystem," 1984
jediná nutně stavová část - zámky - je řešena zvláštními protokoly lockd a statd
showmount(8) umí ukázat, kdo má co připojené → jak to asi ten server ví?
rozumné servery umí readahead nebo zpožděný write
Cache je samozřejmě taky stavová.
→ protokol stavový být nemusí
Vizte např. implementaci NFSv2 ve boot loaderu SPARCů.

NFS server

Ke sdílení souborů je potřeba do RPC "infrastruktury" zaregistrovat několik služeb:

nfsd(8) na vlastní obsluhu požadavků; typicky v několika vláknech
mountd(8) na správu přípojných bodů nastavených v exports(5)
rpc.lockd(8) na správu zámků souborů
rpc.statd(8) na uchování informací o zámcích i přes případné rebooty/havárie linky
(případně rpc.rquotad na správu kvót)

konfigurace v exports(5): mapa "mountpoint ⇒ parametry pro různé klienty"
přehled aktuálního nastavení dá showmount(8)

# echo 'nfsd_flags=""' >> /etc/rc.conf.local
# echo 'mountd_flags=""' >> /etc/rc.conf.local
# echo 'lockd_flags=""' >> /etc/rc.conf.local
# echo 'statd_flags=""' >> /etc/rc.conf.local
# /etc/rc.d/nfsd start
# /etc/rc.d/mountd start
# /etc/rc.d/lockd start
# /etc/rc.d/statd start

# emerge -av nfs-utils

# /etc/init.d/nfs start

hint: nepoužívejte nfsv4 :-)

NFS server: exports(5)

Seznam "přípojný bod + parametry"; získáte showmount -e

reload: mountd(8); # pkill -HUP mountd

Formát souboru exports(5)

# Pozor! Komentáře musí začínat záčátkem řádky!
/usr/ports
/usr/local	-ro -mapall=nobody -network=172.16.77.0 -mask 255.255.255.0
/home		-network=192.168.300.0 -mask=255.255.255.0

reload: exportfs(8); # exportfs -rv

Formát souboru exports(5)

/usr/portage	*(sync,subtree_check)
/usr/local	*(ro,sync,subtree_check) 
# "na FS s hodně rename operacemi prý máme subtree_check vypnout"
/home		192.168.300.0/24(rw,sync,no_subtree_check)

NFS server: rozdíly v nastavení exports(5)

mapování UID a GID

klientem odeslaný → serverový	OpenBSD	Linux
default: root → nobody (-2)	-maproot=nobody	root_squash
root → root	-maproot=root:wheel	no_root_squash
všichni → nobody	-mapall=nobody	all_squash
všichni → jeden uživatel a skupina	-mapall=uživatel:[skupina1[:skupina2[...]]]	anonuid=150,anongid=100

přístup

OpenBSD Linux

192.168.300/21 -network=192.168.300 -mask=255.255.248.0 192.168.300.0/21(opšny)

všichni (nic) *(opšny)

read-only/read-write -ro/-rw ro/rw
-alldirs
-[no_]subtree_check → zapnout na RO, vypnout na RW
-async → pokud Vám na datech nezáleží, zapněte to na RW svazku ~~(např. RAID 0 s archivem torrentů)~~

	OpenBSD	Linux
192.168.300/21	-network=192.168.300 -mask=255.255.248.0	192.168.300.0/21(opšny)
všichni	(nic)	*(opšny)
read-only/read-write	-ro/-rw	ro/rw

NFS klient

připojujete pomocí mount(8), persistentně ve fstab(5)
mount_nfs(8) má spoustu hýblátek na hraní

mount.nfs(8) ty možnosti umí taky, více v nfs(5)
```
# mount server.doména.swi:/usr/local /usr/local
```

opšny mount(8)	OpenBSD	Linux
ne-urputnost :-)	-s	-o soft
přerušitelnost signálem	-i	-o intr deprecated since 2.6.25

# grep vzdaleny /etc/fstab
192.168.192.1:/raid/export/ /mnt/vzdaleny nfs rw,nodev,nosuid,soft,intr 0 0

AMD/autofs -- WORK IN PROGRESS!

http://www.linux-consulting.com/Amd_AutoFS/autofs-5.html#ss5.2 http://www.linuxjournal.com/article/6941?page=0,1

~~pokud chcete automaticky přimountovávat flashku, od toho jsou jiní~~
```
hotplugd(8)
```
```
udev
```
```
$ info amd
```
```
$ man auto.master
```
amd(8) mountuje (nejen) svazky NFS on-demand a při nečinnosti je odpojuje

Na serveru

musíme vytvořit YP mapu (např. amd.home):

# vi /etc/amd/amd.home
/defaults	type:=nfs;sublink:=${key};opts:=rw,soft,intr,proto=udp
*		rhost:=<NFS-server>;rfs:=/home
# cd /var/yp; make

vyexportovat /home přes NFS

Na klientovi

/etc/amd/auto.master obsahuje dvojice "základní adresář → v jaké mapě je k němu nastavení":
```
# vi /etc/amd/amd.master
/home	amd.home
```
zapneme amd po startu
```
# vi /etc/rc.conf.local
amd=YES
```

výsledek: v případě potřeby se svazek připojí a z /home se dělají symlinky; amd je po čase uklízí