Если Вы используете NFSv4 с sec=krb5p
, затем это безопасно. (Который означает Kerberos 5 использования для аутентификации, и зашифруйте соединение для конфиденциальности.), Но если Вы используете NFS v3 или NFS v4 с sys=system
, затем не это не безопасно вообще.
Могло бы также быть некоторое беспокойство с представлением kerberos и rpc портов к Интернету в целом, на всякий случай неизвестных уязвимостей.
Конфигурация сети радикально изменила запуск с Соляриса 11. nsswitch.conf только информативен теперь. Принятие Вас не находится в автоматическом режиме, в этом случае DNS был бы правильно настроен, вот новая процедура:
http://docs.oracle.com/cd/E23824_01/html/E24456/gliyc.html#OSTELgllcu
Конфигурирование служб определения имен при помощи SMF
Следующий пример показывает, как настроить DNS при помощи команд SMF.
# svccfg
svc:> select dns/client
svc:/network/dns/client> setprop config/search = astring: \
("us.company.com" "eu.company.com" "companya.com" "companyb.com" "company.com" )
svc:/network/dns/client> setprop config/nameserver = net_address: \
( 138.2.202.15 138.2.202.25 )
svc:/network/dns/client> select dns/client:default
svc:/network/dns/client:default> refresh
svc:/network/dns/client:default> validate
svc:/network/dns/client:default> select name-service/switch
svc:/system/name-service/switch> setprop config/host = astring: "files dns"
svc:/system/name-service/switch> select system/name-service/switch:default
svc:/system/name-service/switch:default> refresh
svc:/system/name-service/switch:default> validate
svc:/system/name-service/switch:default>
# svcadm enable dns/client
# svcadm refresh name-service/switch
# grep host /etc/nsswitch.conf
hosts: files dns
# cat /etc/resolv.conf
Я думаю, что Ваша проблема имеет некоторое отношение к демону службы имен Соляриса или более правильно конфигурации этого зверя. Возможно, Вы отредактировали/etc/nsswitch.conf вручную? Это объяснило бы, почему демон службы имен не берет на него.
Команда nslookup не делает - afaik - используют службу имен Соляриса. Это могло бы объяснить, почему Вы видите, что nslookup работает, как Вы ожидаете, в то время как все остальное не.
На Солярисе это всегда - хорошая идея проверить, работают ли услуги по поиску, как Вы ожидаете при помощи getent
команда. В Вашем примере это было бы:
getent hosts stackexchange.com
Таким образом, вопрос состоит в том, как удостовериться, что служба имен Соляриса знает, что имеет к именам хостов поиска в обоих локальных файлах, а также в DNS. Помните, что в Солярисе 11 Вы больше не предполагаетесь к / позволил редактировать, регистрирует такие файлы как/etc/nsswitch.conf непосредственно. Ими управляют демоны, которые работают под SMF. Вот то, как изменить его:
# svccfg svc:> select name-service/switch svc:/system/name-service/switch> setprop config/host = astring: "files dns" svc:/system/name-service/switch> select system/name-service/switch:default svc:/system/name-service/switch:default> refresh svc:/system/name-service/switch:default> validate svc:/system/name-service/switch:default> exit # svcadm refresh name-service/switch
После этого Вы заметите что Ваш /etc/nsswitch.conf
файл был переписан к диску. Если Вы ранее отредактировали вручную, Вы не можете видеть фактическое изменение. Переиздайте getent
команда и надо надеяться это работает теперь.
Удачи.
Для Соляриса 10, я сделал svcadm restart /system/name-service-cache
; затем, я могу разрешить хост с помощью telnet/ping.
Сначала запустите truss
на nscd
:
truss -aefld -vall -wall -rall -o truss-nscd.out -u nss_\*:: -u libnsl:: -p `pgrep nscd`
В то время как вышеупомянутое truss
команда работает, попробуйте
truss -aefld -vall -wall -rall -o truss-getent_1.out -u a.out,libnsl:: getent hosts ANY_HOSTNAME
Затем временно отключите nscd
:
svcadm disable name-service-cache
и выполненный:
truss -aefld -vall -wall -rall -o truss-getent_2.out -u a.out,libnsl:: -u nss_\*:: getent hosts ANY_HOSTNAME
Теперь можно повторно включить кэш службы имен:
svcadm enable name-service-cache
Теперь попытка... надеется, что будет работы.
nsswitch.conf
не имеет никакого эффекта вообще на конфигурацию сети теперь? – NullUser 21.11.2011, 23:56