日本語 man コマンド類 (ja-man-1.1j_5) と日本語 man ドキュメント (ja-man-doc-5.4 (5.4-RELEASE 用) など) をインストールすると、以下のような man コマンド閲覧、キーワード検索が コンソールからできるようになります。
4.11-RELEASE-K, 5.4-RELEASE-K, 5.5-RELEASE-K, 6.0-RELEASE-K から 6.4-RELEASE-K, 7.0-RELEASE-K から 7.4-RELEASE-K, 8.0-RELEASE-K から 8.4-RELEASE-K, 9.0-RELEASE-K から 9.3-RELEASE-K, 10.0-RELEASE-K から 10.3-RELEASE-K, 11.0-RELEASE-K から 11.4-RELEASE-K, 12.0-RELEASE-K, 12.1-RELEASE-K は、 プライベート版 (小金丸が編集してまとめたもの) ですが、 より多くの翻訳したファイルが含まれています。 (5.4-RELEASE-K から 6.4-RELEASE-K, 7.0-RELEASE-K から 7.4-RELEASE-K, 8.0-RELEASE-K から 8.4-RELEASE-K, 9.0-RELEASE-K から 9.3-RELEASE-K, 10.0-RELEASE-K から 10.3-RELEASE-K, 11.0-RELEASE-K から 11.4-RELEASE-K, 12.0-RELEASE-K から 12.3-RELEASE-K, 13.0-RELEASE-K から 13.2-RELEASE-K は、全翻訳済み)
13.3-STABLE-K, 15.0-CURRENT-K は現在、作成中で日々更新されています。
Table of Contents
YP(8) FreeBSD システム管理者マニュアル YP(8)
名称
yp -- YP/NIS システムの説明
書式
yp
解説
YP サブシステムは、関数 getpwent(3), getgrent(3), getnetgrent(3),
gethostent(3), getnetent(3), getrpcent(3) と ethers(3) を通して、passwd,
group, netgroup, hosts, services, rpc, bootparams と ethers ファイルエン
トリのネットワーク管理を許可します。bootparamd(8) デーモンは、bootparams
を読み込むために標準の C ライブラリの関数がないので、直接 NIS ライブラリ
の呼び出しを行ないます。NIS のサポートは、nsswitch.conf(5) で有効にされま
す。
YP サブシステムは、/etc/rc.conf でそれが初期化されるなら、そして (デフォ
ルトの配布で行なう) ディレクトリ /var/yp が存在するなら、/etc/rc で自動的
に開始されます。デフォルトの NIS ドメインは、また、/etc/rc.conf で指定さ
れるなら、システムの起動で自動的に起こる、domainname(1) コマンドで設定さ
れなければなりません。
NIS は、設定ファイルの共通のセットを共有するために NIS ドメイン内のマシン
のグループを許可する RPC ベースのクライアント/サーバシステムです。これ
は、最小の設定データだけで NIS クライアントシステムをセットアップするため
にシステム管理者と単一の位置から設定データを追加、削除するかまたは修正す
ることを許可します。
すべての NIS 情報の正規のコピーは、NIS マスタサーバと呼ばれる単一のマシン
に格納されます。情報を格納するために使用されるデータベースは、NIS マップ
と呼ばれます。FreeBSD で、これらのマップは、/var/yp/<domainname> に格納さ
れます、ここで <domainname> は、供給されている NIS ドメインの名前です。単
一の NIS サーバは、同時に、いくつかのドメインをサポートすることができま
す、そのため、サポートされたドメインごとに 1 つの、いくつかのそのような
ディレクトリを持つことが可能です。各ドメインは、マップのそれ自体の独立し
たセットがあります。
FreeBSD では、NIS マップは、Berkeley DB ハッシュデータベースファイルです
(passwd(5) データベースファイルのために使用された同じ形式)。NIS をサポー
トする他のオペレーティングシステムは、代わりに古いスタイルの ndbm データ
ベースを使用します (それらの NIS 基づくオリジナルの Sun Microsystems は、
大体 ndbm で実装されるので、他のベンダは、異なるデータベース形式でそれら
自体の実装を設計するのではなく、単にライセンスされた Sun のコードがありま
す)。これらのシステムで、データベースは、一般的に、ハッシュデータベースの
個別の部分を保持するために ndbm コードが使用する .dir と .pag ファイルに
分割します。Berkeley DB ハッシュ方法は、代わりに、情報の両方の断片に対し
て単一のファイルを使用します。利用者に (実際に同じマップの部分である両方
の) 他のオペレーティングシステムの passwd.byname.dir と passwd.byname.pag
ファイルがある間に、FreeBSD は、passwd.byname と呼ばれるただ 1 つのファイ
ルがあることを意味します。形式の違いは、重要ではありません: NIS サーバ、
ypserv(8) と関連するツールのみは、NIS マップのデータベース形式を知ってい
る必要があります。クライアントの NIS システムは、ASCII 形式のすべての NIS
データを受信します。
NIS システムの 3 種類の主要なタイプがあります:
1. 情報のための NIS サーバに問い合わせる NIS クライアント。
2. すべての NIS マップの正規のコピーを維持する NIS マスタサーバ。
3. マスタによって定期的に更新される NIS マップのバックアップのコピーを
維持する NIS スレーブサーバ。
NIS クライアントは、ypbind(8) デーモンを使用して特定の NIS サーバといわゆ
るバインディングを確立します。ypbind(8) ユーティリティは、(domainname(1)
コマンドによって設定されたような) システムのデフォルトのドメインをチェッ
クし、ローカルネットワークの RPC 要求をブロードキャスト (同報通信) し始め
ます。これらの要求は、ypbind(8) が、バインディングを確立することを試みて
いるドメインの名前を指定します。ブロードキャスト (同報通信) のの 1 つを受
信する要求されたドメインを提供するために設定されたサーバであるなら、それ
は、サーバのアドレスを記録する ypbind(8) に応答します。(例えば、マスタと
いくつかのスレーブ) 利用可能ないくつかのサーバがあるなら、ypbind(8) は、
応答する最初のもののアドレスを使用します。その時から、クライアントシステ
ムは、その NIS 要求のすべてをそのサーバに向けます。ypbind(8) ユーティリ
ティは、それが、まだ作動していて実行していることを確かめるために、時々
サーバを ``ping'' します。妥当な量の時間以内にその ping の 1 つへの応答を
受信することに失敗するなら、ypbind(8) は、バインドされていないとしてドメ
インをマークし、別のサーバを位置付ける希望で再びブロードキャスト (同報通
信) を始めます。
NIS マスタとスレーブサーバは、ypserv(8) デーモンですべての NIS 要求を処理
します。ypserv(8) ユーティリティは、要求されたドメインを変換して、名前を
対応するデータベースファイルへのパスにマップし、データベースの背後からク
ライアントにデータを転送して、NIS クライアントから着信してくる要求を受信
することに責任があります。ypserv(8) が、扱えるように設計され、ほどんど
が、標準の C ライブラリ内の関数として実装される要求の特有な集合がありま
す:
yp_order() 特定のマップの作成日付をチェックします。
yp_master() 与えられたマップ/ドメインのための NIS マスタサーバの名前を取
得します。
yp_match() 特定のマップ/ドメインのキーで与えられるために対応するデータ
を検索します。
yp_first() 特定のマップ/ドメインで最初のキー/データのペアを取得します。
yp_next() 特定のマップ/ドメインの ypserv(8) のキーを渡し、それに直ちに
続いているキー/データのペアを返します (NIS マップの連続した
検索を行なうために、関数 yp_first() と yp_next() を使用する
ことができます)。
yp_all() マップの全体のないようを取り出します。
ypserv(8) が、扱うことができる少しの他の要求がありますが、(すなわち、利用
者が特定のドメイン (YPPROC_DOMAIN) を処理できるかどうかにかかわらず、認識
され、利用者がドメインを処理でき、そうでなければ、(YPPROC_DOMAIN_NONACK)
静になる場合のみ、認識されます) これらの要求は、ypbind(8) だけによって通
常生成され、標準のユーティリティによって使用されることは意味しません。
多数のホストがあるネットワークで、それは、しばしば、単に単一のマスタサー
バではなくマスタサーバといくつかのスレーブを使用する良いアイデアです。ス
レーブサーバは、マスタサーバとして正確に同じ情報を提供します: マスタサー
バのマップが更新されるときはいつでも、新しいデータは、yppush(8) コマンド
を使用してスレーブシステムに伝達されるべきです。NIS Makefile
(/var/yp/Makefile) は、管理者が、/var/yp/Makefile.local を作成し、NOPUSH
変数を空にするなら、これを自動的に行ないます:
NOPUSH=
(デフォルトの設定は、ただ 1 つの NIS サーバで小さいネットワークのためであ
るので、NOPUSH は、デフォルトで真に設定されます)。yppush(8) コマンドは、
スレーブが、ypxfr(8) を使用してマスタサーバから指定されたマップを転送する
間に、マスタとスレーブの間のトランザクションを開始します。(スレーブサーバ
は、ypserv(8) 内から自動的に ypxfr(8) を呼び出します。したがって、通常、
管理者がそれを直接使用することは、必要ではありません。しかしながら、望む
なら、手動で実行することができます。) スレーブサーバを維持することは、次
によって大きなネットワークの NIS 性能を改善するのに役に立ちます:
• 万一、NIS マスタがクラッシュするか、または到達可能にならない場合に、
バックアップサービスを提供しています。
• マスタが、過負荷になる代わりに、いくつかのマシンの外側でクライアント
ロードを分散します。
• 単一の NIS ドメインは、ローカルネットワークを越えて拡張することができ
ます (ypbind(8) デーモンが、そのブロードキャスト (同報通信) の届く外
側のネットワークにあるなら、サーバを自動的に位置付けることができませ
ん。ypset(8) で特定のサーバにバインドすることを ypbind(8) に強制する
ことが可能ですが、これは、時々不便なことです。この問題は、ローカル
ネットワークのスレーブサーバを置くことによって単に避けることができま
す。)
FreeBSD ypserv(8) は、FreeBSD クライアントシステムで排他的に使用されると
き、(他の NIS 実装と比べて) 強化されたセキュリティを提供するように特別に
設計されています。FreeBSD パスワードの (4.4BSD から直接派生される) データ
ベースシステムは、影のパスワードのサポートを含みます。標準のパスワード
データベースは、ユーザの暗号化されたパスワードを含んでいません: これら
は、代わりに、スーパユーザによってのみアクセス可能な個別のデータベースに
(他の情報とともに) 格納されます。暗号化されたパスワードのデータベースが
NIS マップとして利用可能にされたなら、このセキュリティ機能は、あらゆる
ユーザが NIS データを検索して取り出すことが許可されるので、全体的に無効に
されます。
これを防止するのに役に立つために、FreeBSD の NIS サーバは、特別な方法で影
のパスワードマップ (master.passwd.byname, master.passwd.byuid,
shadow.byname と shadow.byuid) を処理します: サーバは、特権を与えられた
ポートで起こる要求への応答でこれらのマップへのアクセスのみを提供していま
す。スーパユーザが、特権を与えられたポートにバインドすることだけを許可さ
れるので、サーバは、すべてのそのような要求が、特権を与えられたユーザから
来ると仮定します。すべての他の要求は、否定されます: 特権を与えられなかっ
たポートからの要求は、サーバからエラーコードのみを受信します。さらに、
FreeBSD の ypserv(8) は、Wietse Venema の tcp ラッパパッケージのためのサ
ポートを含みます。有効にされた tcp ラッパのサポートで、管理者は、選ばれた
クライアントマシンにだけ応答するために、ypserv(8) を設定することができま
す。
これらの強化は、NIS よりよいセキュリティを提供しますが、それらは、決して
100% 効果的ではありません。それは、影のパスワードマップを公開するサーバを
偽るために、利用者のネットワークへのアクセスがある誰かのためにまだ可能で
す。
クライアント側で、FreeBSD の getpwent(3) 関数は、master.passwd マップを自
動的に検索し、それらが存在するなら、それらを使用します。それらが行なうな
ら、それらは、使用され、これらの特別なマップ (クラス、パスワードの寿命と
アカウントの有効期限) のすべてのフィールドは、デコードされます。それらが
見つけられないなら、標準の passwd マップが、代わりに使用されます。
互換性
passwd(5) ファイルのための FreeBSD ではない NIS サーバを使用するとき、パ
スワードのために FreeBSD が使用するデフォルトの MD5 ベースの形式がそれに
よって受け付けられることはありそうにありません。これが真実であるなら、
login.conf(5) で設定する passwd_format の値は、互換性のために "des" に変
更されるべきです。
SunOS 4.x のような、いくらかのシステムは、適切に動作するために、それらの
ホスト名の解析関数 (gethostbyname(), gethostbyaddr(), その他、) のための
順序で実行している NIS を必要とします。これらのシステムで、ypserv(8) は、
その hosts.byname または hosts.byaddr マップに存在しないホストに関する情
報を返すように問合わされるとき、DNS 検索を実行します。FreeBSD のリゾルバ
は、デフォルトで DNS を使用し、(要求されるなら、NIS を使用することができ
ます)、したがって、その NIS サーバは、デフォルトで DNS 検索を行ないませ
ん。しかしながら、それが特別なフラグで開始されるなら、ypserv(8) は、DNS
検索を実行することができます。それは、また、v1 サーバの存在を強く主張する
特定のシステムをなだめるために、NIS v1 サーバとしてそれ自体を登録すること
ができます (FreeBSD は、NIS v2 のみを使用しますが、SunOS 4.x を含む多くの
他のシステムは、バインドするとき、v1 と v2 サーバの両方を検索します)。
FreeBSD の ypserv(8) は、実際に、NIS v1 要求を処理しませんが、この
``kludge mode'' は、v1 と v2 サーバの両方を検索する頑固なシステムを黙らせ
るために役に立ちます。
(これらの特別の機能とフラグの詳細な説明については、ypserv(8) マニュアル
ページを参照してください。)
関連項目
domainname(1), ypcat(1), ypmatch(1), ypwhich(1), nsswitch.conf(5),
yp_mkdb(8), ypbind(8), ypinit(8), yppoll(8), yppush(8), ypserv(8),
ypset(8), ypxfr(8)
歴史
YP サブシステムは、Sun の実装と互換となるように、Theo de Raadt によって最
初から書かれました。バグ修正、改良と NIS サーバのサポートは、後に Bill
Paul によって追加されました。サーバ側のコードは、最初に Peter Eriksson と
Tobias Reber によって書かれ、GNU Public License に従います。Sun のコード
は、参照されませんでした。
バグ
現在 FreeBSD には、NIS クライアントとサーバ機能の両方がありますが、それ
は、まだ、ypupdated(8) または yp_update() 関数のサポートがありません。こ
れらの両方は、FreeBSD がまだいずれもサポートしていない、安全な RPC を必要
とします。
getservent(3) と getprotoent(3) 関数は、まだ NIS サポートがありません。有
り難いことにも、これらのファイルは、頻繁に更新される必要はありません。
多くのマニュアルページが書かれるべきです、特に ypclnt(3)。差し当りは、
ローカルな Sun マシンを探して、そのためのマニュアルを読んで下さい。
Sun もこの作者も、ypbind がブート時にそのサーバを見つけることができないと
きに起こる問題を処理するためのクリーンな方法を見つけることができませんで
した。
FreeBSD 12.2 December 14, 2011 FreeBSD 12.2