D5811.id14822.diff
No OneTemporary
Actions

Size

18 KB

Referenced Files

None

Subscribers

None

D5811.id14822.diff
View Options

	Index: network-servers/chapter.xml
	===================================================================
	--- network-servers/chapter.xml
	+++ network-servers/chapter.xml
	@@ -5,7 +5,7 @@

	$FreeBSD$
	$FreeBSDde: de-docproj/books/handbook/network-servers/chapter.xml,v 1.103 2011/12/24 15:51:18 bcr Exp $
	- basiert auf: r42968
	+ basiert auf: r42970
	-->
	<chapter xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0" xml:id="network-servers">
	<!--
	@@ -1589,7 +1589,7 @@
	Server vorhanden sind. Wenn <command>ypinit</command>
	auf dem Slaveserver ausgeführt wird, benutzen Sie
	<option>-s</option> (Slave) statt <option>-m</option>
	- (Master). Diese Option benötigt den Names des
	+ (Master). Diese Option benötigt den Namen des
	<acronym>NIS</acronym>-Masterservers und den Domänennamen,
	wie in diesem Beispiel zu sehen:</para>

	@@ -1650,34 +1650,31 @@
	coltrane has been setup as an YP slave server without any errors.
	Remember to update map ypservers on ellington.</screen>

	- <para>Es sollte nun ein Verzeichnis namens
	- <filename>/var/yp/test-domain</filename> existieren. Die
	- Kopien der <acronym>NIS</acronym>-Masterserver-Maps
	- sollten sich in diesem
	- Verzeichnis befinden. Allerdings müssen diese Daten immer
	- aktuell sein. Die folgenden Einträge in
	- <filename>/etc/crontab</filename> des NIS-Slaveservers
	- erledigen diese Aufgabe:</para>
	+ <para>Hierbei wird auf dem Slaveserver ein Verzeichnis
	+ namens <filename>/var/yp/test-domain</filename> erstellt,
	+ welches Kopien der
	+ <acronym>NIS</acronym>-Masterserver-Maps enthält.
	+ Verzeichnis befinden. Durch das hinzufügen der folgenden
	+ Zeilen in <filename>/etc/crontab</filename> wird der
	+ Slaveserver angewiesen, seine Maps mit den Maps des
	+ Masterservers zu synchronisieren:</para>

	<programlisting>20 * * * * root /usr/libexec/ypxfr passwd.byname
	21 * * * * root /usr/libexec/ypxfr passwd.byuid</programlisting>

	- <para>Diese zwei Zeilen zwingen den Slaveserver, seine Maps
	- mit denen des Masterservers zu synchronisieren. Diese
	- Einträge sind nicht zwar nicht unbedingt nötig,
	- da der Masterserver automatisch versucht, alle
	- Änderungen seiner <acronym>NIS</acronym>-Maps an seine
	- Slaveserver weiterzugeben. Da Passwortinformationen aber
	- auch für nur vom Slaveserver abhängige Systeme
	- vital sind,
	- ist es eine gute Idee, diese Aktualisierungen zu erzwingen.
	- Besonders wichtig ist dies in stark ausgelasteten Netzen,
	- in denen Map-Aktualisierungen unvollständig sein
	- könnten.</para>
	+ <para>Diese Einträge sind nicht zwar nicht unbedingt nötig,
	+ da der Masterserver automatisch versucht, alle Änderungen
	+ seiner <acronym>NIS</acronym>-Maps an seine Slaveserver
	+ weiterzugeben. Da Passwortinformationen aber auch für nur
	+ vom Slaveserver abhängige Systeme vital sind, ist es eine
	+ gute Idee, diese Aktualisierungen zu erzwingen. Besonders
	+ wichtig ist dies in stark ausgelasteten Netzen, in denen
	+ Map-Aktualisierungen unvollständig sein könnten.</para>

	- <para>Führen Sie nun <command>/etc/netstart</command>
	- auch auf dem Slaveserver aus, um den
	- <acronym>NIS</acronym>-Server erneut zu starten.</para>
	+ <para>Um die Konfiguration abzuschließen, führen Sie
	+ <command>/etc/netstart</command> auf dem Slaveserver aus,
	+ um die <acronym>NIS</acronym>-Dienste erneut zu
	+ starten.</para>
	</sect2>

	<sect2>
	@@ -1684,29 +1681,24 @@
	<title>Einen <acronym>NIS</acronym>-Client einrichten</title>

	<para>Ein <acronym>NIS</acronym>-Client
	- <literal>bindet</literal> sich unter Verwendung des
	- <command>ypbind</command>-Daemons an einen
	- <acronym>NIS</acronym>-Server. Das <command>ypbind</command>-Kommando prüft
	- die Standarddomäne des Systems (die durch
	- <command>domainname</command> gesetzt wird), und beginnt
	- RPCs über das lokale Netzwerk zu verteilen (broadcast).
	- Diese Anforderungen legen den Namen der Domäne fest, für die
	- <command>ypbind</command> eine Bindung erzeugen will. Wenn
	- der Server der entsprechenden Domäne eine solche Anforderung
	- erhält, schickt er eine Antwort an
	- <command>ypbind</command>. <command>ypbind</command>
	- speichert daraufhin die Adresse des Servers. Wenn mehrere
	- Server verfügbar sind (beispielsweise ein Master- und
	- mehrere Slaveserver), verwendet <command>ypbind</command>
	- die erste erhaltene Adresse. Ab diesem Zeitpunkt richtet
	- der Client alle Anfragen an genau diesen Server.
	+ <literal>bindet</literal> sich unter Verwendung von
	+ <command>ypbind</command> an einen
	+ <acronym>NIS</acronym>-Server. Dieser Daemon sendet
	+ RPC-Anfragen auf dem lokalen Netzwerk. Diese Anfragen legen
	+ den Namen der Domäne fest, die auf dem Client konfiguriert
	+ ist. Wenn der Server der entsprechenden Domäne eine solche
	+ Anforderung erhält, schickt er eine Antwort an
	+ <command>ypbind</command>, das wiederum die Adresse des
	+ Servers speichert. Wenn mehrere Server verfügbar sind,
	+ verwendet der Client die erste erhaltene Adresse und richtet
	+ alle Anfragen an genau diesen Server.
	<command>ypbind</command> <quote>pingt</quote> den Server
	gelegentlich an, um sicherzustellen, dass der Server
	funktioniert. Antwortet der Server innerhalb eines
	bestimmten Zeitraums nicht (Timeout), markiert
	<command>ypbind</command> die Domäne als ungebunden und
	- beginnt erneut, RPCs über das Netzwerk zu verteilen, um
	- einen anderen Server zu finden.</para>
	+ beginnt erneut, <acronym>RPC</acronym>s über das Netzwerk zu
	+ verteilen, um einen anderen Server zu finden.</para>

	<indexterm>
	<primary>NIS</primary>
	@@ -1714,7 +1706,7 @@
	</indexterm>

	<para>Einen &os;-Rechner als <acronym>NIS</acronym>-Client
	- einzurichten, ist recht einfach.</para>
	+ einrichten:</para>

	<procedure>
	<step>
	@@ -1721,7 +1713,7 @@
	<para>Fügen Sie folgende Zeilen in
	<filename>/etc/rc.conf</filename> ein, um den
	<acronym>NIS</acronym>-Domänennamen festzulegen, und
	- um <command>ypbind</command> bei der Initialisierung
	+ um &man.ypbind.8; bei der Initialisierung
	des Netzwerks zu starten:</para>

	<programlisting>nisdomainname="test-domain"
	@@ -1731,44 +1723,36 @@
	<step>
	<para>Um alle Passworteinträge des
	<acronym>NIS</acronym>-Servers zu
	- importieren, löschen Sie alle Benutzerkonten in
	- <filename>/etc/master.passwd</filename> und fügen
	- mit <command>vipw</command> folgende Zeile am Ende der
	- Datei ein:</para>
	+ importieren, löschen Sie alle Benutzerkonten in
	+ <filename>/etc/master.passwd</filename> mit
	+ <command>vipw</command>. Denken Sie daran, zumindest
	+ ein lokales Benutzerkonto zu behalten. Dieses Konto
	+ sollte außerdem Mitglied der Gruppe <systemitem
	+ class="groupname">wheel</systemitem> sein. Wenn es
	+ mit <acronym>NIS</acronym> Probleme gibt, können Sie
	+ diesen Zugang verwenden, um sich als Superuser
	+ anzumelden und das Problem zu beheben. Bevor Sie die
	+ Änderungen speichern, fügen Sie folgende Zeile am Ende
	+ der Datei hinzu:</para>

	<programlisting>+:::::::::</programlisting>

	- <note>
	- <para>Diese Zeile legt für alle gültigen
	- Benutzerkonten der
	- <acronym>NIS</acronym>-Server-Maps einen Zugang an.
	- Es gibt verschiedene Wege, den NIS-Client durch
	- Änderung dieser Zeile zu konfigurieren. Lesen
	- Sie dazu auch den Abschnitt über
	- <link linkend="netgroups">Netzgruppen</link> weiter
	- unten. Weitere detaillierte Informationen finden Sie
	- im Buch <literal>Managing NFS and NIS</literal> von
	- O'Reilly.</para>
	- </note>
	-
	- <note>
	- <para>Denken Sie daran, zumindest ein lokales
	- Benutzerkonto, das nicht über NIS importiert wird,
	- in Ihrer <filename>/etc/master.passwd</filename> zu
	- behalten. Dieser Benutzer sollte außerdem ein
	- Mitglied der Gruppe
	- <systemitem class="groupname">wheel</systemitem>
	- sein. Wenn es mit NIS Probleme gibt, können Sie
	- diesen Zugang verwenden, um sich anzumelden,
	- <systemitem class="username">root</systemitem> zu
	- werden und das Problem zu beheben.</para>
	- </note>
	+ <para>Diese Zeile legt für alle gültigen Benutzerkonten
	+ der <acronym>NIS</acronym>-Server-Maps einen Zugang
	+ an. Es gibt verschiedene Wege, den
	+ <acronym>NIS</acronym>-Client durch Änderung dieser
	+ Zeile zu konfigurieren. Eine Methode wird in
	+ <xref linkend="network-netgroups"/> beschrieben.
	+ Weitere detaillierte Informationen finden Sie im Buch
	+ <literal>Managing NFS and NIS</literal> vom O'Reilly
	+ Verlag.</para>
	</step>

	<step>
	- <para>Um alle möglichen Gruppeneinträge vom NIS-Server
	- zu importieren, fügen Sie folgende Zeile in
	- <filename>/etc/group</filename> ein:</para>
	+ <para>Um alle möglichen Gruppeneinträge vom
	+ <acronym>NIS</acronym>-Server zu importieren, fügen
	+ Sie folgende Zeile in <filename>/etc/group</filename>
	+ ein:</para>

	<programlisting>+:*::</programlisting>
	</step>
	@@ -1782,36 +1766,31 @@
	&prompt.root; <userinput>service ypbind start</userinput></screen>


	- <para>Danach sollte <command>ypcat passwd</command> die
	- <literal>passwd-Map</literal> des NIS-Servers anzeigen
	- können.</para>
	+ <para>Danach sollte bei der Eingabe von
	+ <command>ypcat passwd</command> auf dem Client die
	+ <literal>passwd-Map</literal> des
	+ <acronym>NIS</acronym>-Servers angezeigt werden.</para>
	</sect2>

	<sect2>
	<title>Sicherheit unter <acronym>NIS</acronym></title>

	- <para>Im Allgemeinen kann jeder entfernte Anwender einen RPC an
	- &man.ypserv.8; schicken, um den Inhalt der
	- <acronym>NIS</acronym>-Maps abzurufen, falls er den
	- <acronym>NIS</acronym>-Domänennamen kennt. Um solche
	- unautorisierten Transaktionen zu verhindern, unterstützt
	- &man.ypserv.8; <quote>securenets</quote>, durch die man den
	- Zugriff auf bestimmte Rechner beschränken kann.
	- &man.ypserv.8; versucht, beim Systemstart die Informationen
	- über <literal>securenets</literal> aus
	- <filename>/var/yp/securenets</filename> zu laden.</para>
	+ <para>Da <acronym>RPC</acronym> ein Broadcast-basierter Dienst
	+ ist, kann jedes System innerhalb der Domäne mittels
	+ <application>ypbind</application> den Inahlt der
	+ <acronym>NIS</acronym>-Maps abrufen. Um nicht autorisierte
	+ Transaktionen zu verhindern, unterstützt &man.ypserv.8; eine
	+ Funktion namens <quote>securenets</quote>, durch die der
	+ Zugriff auf bestimmte Rechner beschränkt werden kann. In der
	+ Voreinstellung sind diese Informationen in
	+ <filename>/var/yp/securenets</filename> gespeichert, es sei
	+ denn, &man.ypserv.8; wurde mit der Option <option>-p</option>
	+ und einem alternativen Pfad gestartet. Diese Datei enthält
	+ Einträge, die aus einer Netzwerkadresse und einer Netzmaske
	+ bestehen. Kommentarzeilen beginnen mit <quote>#</quote>.
	+ <filename>/var/yp/securnets</filename> könnte beispielsweise
	+ so aussehen:</para>

	- <note>
	- <para>Die Datei <filename>securenets</filename> kann auch
	- in einem anderen Verzeichnis stehen, das mit der Option
	- <option>-p</option> angegeben wird. Diese Datei
	- enthält Einträge, die aus einer Netzwerkadresse und
	- einer Netzmaske bestehen, die durch Leerzeichen getrennt
	- werden. Kommentarzeilen beginnen mit <quote>#</quote>.
	- <filename>/var/yp/securnets</filename> könnte
	- beispielsweise so aussehen:</para>
	- </note>
	-
	<programlisting># allow connections from local host -- mandatory
	127.0.0.1 255.255.255.255
	# allow connections from any host
	@@ -1825,44 +1804,31 @@
	<para>Wenn &man.ypserv.8; eine Anforderung von einer zu diesen
	Regeln passenden Adresse erhält, wird die Anforderung
	bearbeitet. Gibt es keine passende Regel, wird die
	- Anforderung ignoriert und eine Warnmeldung aufgezeichnet. Wenn
	- <filename>/var/yp/securenets</filename> nicht vorhanden ist,
	- erlaubt <command>ypserv</command> Verbindungen von jedem Rechner
	+ Anforderung ignoriert und eine Warnmeldung aufgezeichnet.
	+ Wenn <filename>securenets</filename> nicht existiert, erlaubt
	+ <command>ypserv</command> Verbindungen von jedem Rechner
	aus.</para>

	- <para><command>ypserv</command> unterstützt auch das
	- <application>TCP-Wrapper</application>-Paket von Wietse Venema.
	- Mit diesem Paket kann der Administrator für
	- Zugriffskontrollen die Konfigurationsdateien von
	- <application>TCP-Wrapper</application> anstelle von
	- <filename>/var/yp/securenets</filename> verwenden.</para>
	+ <para><xref linkend="tcpwrappers"/> beschreibt eine
	+ alternative Methode zur Zugriffskontrolle. Obwohl beide
	+ Methoden einige Sicherheit gewähren, sind sie anfällig
	+ für <quote>IP-Spoofing</quote>-Angriffe. Der
	+ <acronym>NIS</acronym>-Verkehr sollte daher von einer Firewall
	+ blockiert werden.</para>

	- <note>
	- <para>Während beide Kontrollmechanismen einige Sicherheit
	- gewähren, beispielsweise durch privilegierte Ports, sind
	- sie gegenüber <quote>IP spoofing</quote>-Attacken
	- verwundbar. Jeder NIS-Verkehr sollte daher von einer
	- Firewall blockiert werden.</para>
	-
	- <para>Server, die <filename>/var/yp/securenets</filename>
	+ <para>Server, die <filename>securenets</filename>
	verwenden, können Schwierigkeiten bei der Anmeldung von
	<acronym>NIS</acronym>-Clients haben, die ein veraltetes TCP/IP-Subsystem
	besitzen. Einige dieser TCP/IP-Subsysteme setzen alle
	- Rechnerbits auf Null, wenn Sie einen
	- <literal>Broadcast</literal> durchführen und/oder
	+ Rechnerbits auf Null, wenn sie einen
	+ <literal>Broadcast</literal> durchführen oder
	können die Subnetzmaske nicht auslesen, wenn sie die
	Broadcast-Adresse berechnen. Einige Probleme können
	durch Änderungen der Clientkonfiguration behoben werden.
	Andere hingegen lassen sich nur durch das Entfernen des
	betreffenden Rechners aus dem Netzwerk oder den Verzicht auf
	- <filename>/var/yp/securenets</filename> umgehen.</para>
	+ <filename>securenets</filename> umgehen.</para>

	- <para>Die Verwendung von <filename>/var/yp/securenets</filename>
	- auf einem Server mit einem solch veralteten
	- TCP/IP-Subsystem ist eine sehr schlechte Idee, die zu
	- einem Verlust der <acronym>NIS</acronym>-Funktionalität für
	- große Teile des Netzwerks führen kann.</para>
	-
	<indexterm>
	<primary>TCP-Wrapper</primary>
	</indexterm>
	@@ -1872,53 +1838,41 @@
	Reaktion des <acronym>NIS</acronym>-Servers. Diese zusätzliche Reaktionszeit
	kann in Clientprogrammen zu Timeouts führen. Dies vor allem
	in Netzwerken, die stark ausgelastet sind, oder nur über
	- langsame <acronym>NIS</acronym>-Server verfügen. Wenn ein oder mehrere der
	- Clientsysteme dieses Problem aufweisen, sollten Sie die
	+ langsame <acronym>NIS</acronym>-Server verfügen. Wenn ein
	+ oder mehrere Clients dieses Problem aufweisen, sollten Sie die
	betreffenden Clients in <acronym>NIS</acronym>-Slaveserver umwandeln, und diese
	an sich selbst binden.</para>
	- </note>
	- </sect2>

	- <sect2>
	+ <sect3>
	<title>Bestimmte Benutzer an der Anmeldung hindern</title>

	- <para>In unserem Labor gibt es den Rechner
	+ <para>In diesem Beispiel gibt es innerhalb der
	+ <acronym>NIS</acronym>-Domäne den Rechner
	<systemitem>basie</systemitem>, der nur für Mitarbeiter der
	- Fakultät bestimmt ist. Wir wollen diesen Rechner nicht aus
	- der <acronym>NIS</acronym>-Domäne entfernen, obwohl
	- <filename>passwd</filename> des
	- <acronym>NIS</acronym>-Masterservers Benutzerkonten sowohl für
	- Fakultätsmitarbeiter als auch für Studenten enthält. Was
	- können wir also tun?</para>
	+ Fakultät bestimmt ist. Die <filename>passwd</filename>
	+ Datenbank des <acronym>NIS</acronym>-Masterservers enthält
	+ Benutzerkonten sowohl für Fakultätsmitarbeiter als auch für
	+ Studenten. Dieser Abschnitt beschreibt, wie Sie den
	+ Mitarbeitern der Faktultät die Anmeldung am System
	+ ermöglichen, während den Studenten die Anmeldung verweigert
	+ wird.</para>

	<para>Es gibt eine Möglichkeit, bestimmte Benutzer an der
	Anmeldung an einem bestimmten Rechner zu hindern, selbst wenn
	diese in der <acronym>NIS</acronym>-Datenbank vorhanden sind.
	- Dazu muss lediglich an diesem Rechner der Eintrag
	- <literal><replaceable>Benutzername</replaceable></literal> und
	+ Dazu kann mit <command>vipw</command> der Eintrag
	+ <literal>-<replaceable>Benutzername</replaceable></literal> und
	die richtige Anzahl von Doppelpunkten an das Ende von
	<filename>/etc/master.passwd</filename> gesetzt werden, wobei
	<replaceable>Benutzername</replaceable> der zu blockierende
	Benutzername ist. Die Zeile mit dem geblockten Benutzer muss
	dabei vor der <literal>+</literal> Zeile, für zugelassene
	- Benutzer stehen. Diese Änderung sollte bevorzugt durch
	- <command>vipw</command> erledigt werden, da
	- <command>vipw</command> Änderungen an
	- <filename>/etc/master.passwd</filename> auf Plausibilität
	- überprüft und nach erfolgter Änderung die Passwortdatenbank
	- automatisch aktualisiert. Um also den Benutzer
	- <systemitem class="username">bill</systemitem> an der
	- Anmeldung am Rechner <systemitem>basie</systemitem> zu
	- hindern, geht man wie folgt vor:
	- </para>
	+ Benutzer stehen. In diesem Beispiel wird die Anmeldung für
	+ den Benutzer
	+ <systemitem class="username">bill</systemitem> am Rechner
	+ <systemitem>basie</systemitem> blockiert:</para>

	- <screen>basie&prompt.root; <userinput>vipw</userinput>
	-<userinput>[add -bill to the end, exit]</userinput>
	-vipw: rebuilding the database...
	-vipw: done
	-
	-basie&prompt.root; <userinput>cat /etc/master.passwd</userinput>
	-
	+ <screen>basie&prompt.root; <userinput>cat /etc/master.passwd</userinput>
	root:[password]:0:0::0:0:The super-user:/root:/bin/csh
	toor:[password]:0:0::0:0:The other super-user:/root:/bin/sh
	daemon:*:1:1::0:0:Owner of many system processes:/root:/sbin/nologin
	@@ -1938,9 +1892,10 @@
	+:::::::::

	basie&prompt.root;</screen>
	+ </sect3>
	</sect2>

	- <sect2 xml:id="netgroups">
	+ <sect2 xml:id="network-netgroups">
	<!--
	<info><title>Netzgruppen verwenden</title>
	<authorgroup>

File Metadata

Mime Type: text/plain
Expires: Tue, Jun 30, 6:57 PM (18 h, 44 m)
Storage Engine: blob
Storage Format: Raw Data
Storage Handle: 34518641
Default Alt Text: D5811.id14822.diff (18 KB)

D5811.id14822.diffNo OneTemporaryActions

D5811.id14822.diffView Options

File Metadata

Event Timeline

D5811.id14822.diff
No OneTemporary
Actions

D5811.id14822.diff
View Options