From owner-svn-doc-all@freebsd.org Fri Aug 7 17:50:32 2015 Return-Path: Delivered-To: svn-doc-all@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id A9B8D9B5733; Fri, 7 Aug 2015 17:50:32 +0000 (UTC) (envelope-from bhd@FreeBSD.org) Received: from repo.freebsd.org (repo.freebsd.org [IPv6:2001:1900:2254:2068::e6a:0]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client did not present a certificate) by mx1.freebsd.org (Postfix) with ESMTPS id 99475ED0; Fri, 7 Aug 2015 17:50:32 +0000 (UTC) (envelope-from bhd@FreeBSD.org) Received: from repo.freebsd.org ([127.0.1.70]) by repo.freebsd.org (8.14.9/8.14.9) with ESMTP id t77HoWcK065660; Fri, 7 Aug 2015 17:50:32 GMT (envelope-from bhd@FreeBSD.org) Received: (from bhd@localhost) by repo.freebsd.org (8.14.9/8.14.9/Submit) id t77HoWKP065659; Fri, 7 Aug 2015 17:50:32 GMT (envelope-from bhd@FreeBSD.org) Message-Id: <201508071750.t77HoWKP065659@repo.freebsd.org> X-Authentication-Warning: repo.freebsd.org: bhd set sender to bhd@FreeBSD.org using -f From: Bjoern Heidotting Date: Fri, 7 Aug 2015 17:50:32 +0000 (UTC) To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r47174 - head/de_DE.ISO8859-1/books/handbook/network-servers X-SVN-Group: doc-head MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-Mailman-Approved-At: Fri, 07 Aug 2015 17:58:26 +0000 X-BeenThere: svn-doc-all@freebsd.org X-Mailman-Version: 2.1.20 Precedence: list List-Id: "SVN commit messages for the entire doc trees \(except for " user" , " projects" , and " translations" \)" List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Fri, 07 Aug 2015 17:50:32 -0000 Author: bhd Date: Fri Aug 7 17:50:31 2015 New Revision: 47174 URL: https://svnweb.freebsd.org/changeset/doc/47174 Log: Update to r42014: - Add LDAP section Reviewed by: bcr Approved by: bcr (mentor) Differential Revision: https://reviews.freebsd.org/D3331 Modified: head/de_DE.ISO8859-1/books/handbook/network-servers/chapter.xml Modified: head/de_DE.ISO8859-1/books/handbook/network-servers/chapter.xml ============================================================================== --- head/de_DE.ISO8859-1/books/handbook/network-servers/chapter.xml Fri Aug 7 14:33:21 2015 (r47173) +++ head/de_DE.ISO8859-1/books/handbook/network-servers/chapter.xml Fri Aug 7 17:50:31 2015 (r47174) @@ -5,7 +5,7 @@ $FreeBSD$ $FreeBSDde: de-docproj/books/handbook/network-servers/chapter.xml,v 1.103 2011/12/24 15:51:18 bcr Exp $ - basiert auf: r40792 + basiert auf: r42014 --> Netzwerkserver @@ -49,6 +49,11 @@ + Wissen, wie Sie &os; einrichten, um als LDAP-Server + oder -Client zu agieren. + + + Rechner durch Nutzung von DHCP automatisch für ein Netzwerk konfigurieren können. @@ -124,7 +129,7 @@ &man.inetd.8; wird manchmal auch als Internet Super-Server bezeichnet, weil er Verbindungen für - mehrere Dienste verwaltet. Wenn eine Verbindung eintrifft, + viele Dienste verwaltet. Wenn eine Verbindung eintrifft, bestimmt inetd, welches Programm für die eingetroffene Verbindung zuständig ist, aktiviert den entsprechenden Prozess und reicht den Socket an @@ -529,8 +534,7 @@ server-program-argumentsmax-connections-per-ip-per-minute, sowie zu beschränken, wenn - Sie sehr viele Verbindungsversuche mit Ihrem System - registrieren. + es zu viele Verbindungsversuche gibt. TCP-Wrapping ist in der Voreinstellung aktiviert. Lesen Sie &man.hosts.access.5;, wenn Sie weitere Informationen zum @@ -731,9 +735,8 @@ mountd_flags="-r" die Arbeitsstationen, die darauf Zugriff haben, fest. Außerdem ist es möglich, Zugriffsoptionen festzulegen. Es gibt viele verschiedene Optionen, allerdings - werden hier nur einige von ihnen erwähnt. Wenn Sie - Informationen zu weiteren Optionen benötigen, lesen Sie - &man.exports.5;. + werden hier nur einige von ihnen erwähnt. Weitere Optionen + werden in &man.exports.5; erörtert. Nun folgen einige Beispieleinträge für /etc/exports: @@ -743,33 +746,32 @@ mountd_flags="-r" Export von Dateisystemen - Die folgenden Beispiele geben Ihnen Anhaltspunkte zum - Exportieren von Dateisystemen, obwohl diese Einstellungen - natürlich von Ihrer Arbeitsumgebung und Ihrer - Netzwerkkonfiguration abhängen. Das nächste - Beispiel exportiert das Verzeichnis /cdrom - für drei Rechner, die sich in derselben Domäne wie - der Server befinden oder für die entsprechende - Einträge in /etc/hosts existieren. - Die Option kennzeichnet das + Die folgenden Beispiele geben Anhaltspunkte zum + Exportieren von Dateisystemen, obwohl diese Einstellungen + natürlich von der Arbeitsumgebung und der + Netzwerkkonfiguration abhängen. Das nächste Beispiel + exportiert /cdrom für drei Rechner, die + sich in derselben Domäne wie der Server befinden oder für die + entsprechende Einträge in /etc/hosts + existieren. Die Option kennzeichnet das exportierte Dateisystem als schreibgeschützt. Durch dieses - Flag ist das entfernte System nicht in der Lage, das exportierte - Dateisystem zu verändern. + Flag ist das entfernte System nicht in der Lage, das + exportierte Dateisystem zu verändern. /cdrom -ro host1 host2 host3 Die nächste Zeile exportiert /home - auf drei durch IP-Adressen bestimmte Rechner. Diese Einstellung - ist nützlich, wenn Sie über ein privates Netzwerk ohne - DNS-Server verfügen. Optional + auf drei durch IP-Adressen bestimmte Rechner. Diese + Einstellung ist für ein privates Netzwerk nützlich, dass über + keinen DNS-Server verfügt. Optional könnten interne Rechnernamen auch in - /etc/hosts konfiguriert werden. + /etc/hostskonfiguriert werden. Benötigen Sie hierzu weitere Informationen, lesen Sie bitte - &man.hosts.5;. Durch das Flag wird es - möglich, auch Unterverzeichnisse als Mountpunkte + &man.hosts.5;. Durch das Flag wird + es möglich, auch Unterverzeichnisse als Mountpunkte festzulegen. Dies bedeutet aber nicht, dass alle Unterverzeichnisse eingehängt werden, vielmehr wird es dem - Client ermöglicht, nur diejenigen Verzeichnisse + Client ermöglicht, nur diejenigen Verzeichnisse einzuhängen, die auch benötigt werden. /home -alldirs 10.0.0.2 10.0.0.3 10.0.0.4 @@ -794,7 +796,7 @@ mountd_flags="-r" der Exportinformation für ein Dateisystem auf einen Rechner. Ein entfernter Rechner kann für jedes Dateisystem nur einmal festgelegt werden, und kann auch nur einen - Standardeintrag haben. Nehmen wir an, dass + Standardeintrag haben. Nehmen wir an, dass /usr ein einziges Dateisystem ist. Dann wären folgende Zeilen ungültig: @@ -864,14 +866,14 @@ mountd_flags="-r" &prompt.root; nfsiod -n 4 - Nun sollte alles bereit sein, um ein entferntes Dateisystem - einhängen zu können. In unseren Beispielen nennen wir - den Server server, den Client - client. Wenn Sie ein entferntes Dateisystem - nur zeitweise einhängen wollen, oder nur Ihre Konfiguration - testen möchten, führen Sie auf dem Client als - root einen Befehl ähnlich dem - folgenden aus: + Nun sollte alles bereit sein, um ein entferntes + Dateisystem einhängen zu können. In unseren Beispielen nennen + wir den Server server, den Client + client. Für Testzwecke oder zum + temporären einhängen eines entfernten Dateisystems, führen Sie + auf dem Client als + root einen Befehl + ähnlich dem folgenden aus: NFS @@ -880,15 +882,15 @@ mountd_flags="-r" &prompt.root; mount server:/home /mnt - Dadurch wird das Verzeichnis /home des - Servers auf dem Client unter /mnt - eingehängt. Wenn alles korrekt konfiguriert wurde, sehen - Sie auf dem Client im Verzeichnis /mnt alle - Dateien des Servers. - - Wenn Sie ein entferntes Dateisystem nach jedem Systemstart - automatisch einhängen wollen, fügen Sie das - Dateisystem in /etc/fstab ein. Dazu ein + Dadurch wird das Verzeichnis /home + des Servers auf dem Client unter /mnt + eingehängt. Wenn alles korrekt konfiguriert ist, sollten alle + Dateien des Servers im Verzeichnis /mnt + sichtbar und verfügbar sein. + + Um ein entferntes Dateisystem nach jedem Systemstart + automatisch einzuhängen, fügen Sie das Dateisystem in + /etc/fstab ein. Dazu ein Beispiel: server:/home /mnt nfs rw 0 0 @@ -963,10 +965,9 @@ rpc_statd_enable="YES" Verschiedene Rechner können auf ein gemeinsames Verzeichnis /usr/ports/distfiles - zugreifen. Wenn Sie nun einen Port auf mehreren Rechnern - installieren wollen, greifen Sie einfach auf dieses - Verzeichnis zu, ohne die Quelldateien auf jede Maschine - zu kopieren. + zugreifen. Dies ermöglicht einen schnellen Zugriff auf + die Quelldateien, ohne sie auf jede Maschine zu + kopieren zu müssen. @@ -1020,10 +1021,10 @@ rpc_statd_enable="YES" amd in den Verzeichnisbaum einhängen - Sie können sich die verfügbaren Mountpunkte - eines entfernten Rechners mit showmount - ansehen. Wollen Sie sich die Mountpunkte des Rechners - foobar ansehen, so verwenden Sie: + Das Kommando showmount zeigt die + verfügbaren Mountpunkte eines entfernten Rechners. Um sich + die Mountpunkte des Rechners foobar + anzusehen, verwenden Sie: &prompt.user; showmount -e foobar Exports list on foobar: @@ -1112,13 +1113,12 @@ Exports list on foobar: &man.mount.8; zusätzlich die Option . - Es gibt ein anderes Problem, das oft mit diesem verwechselt - wird. Dieses andere Problem tritt auf, wenn sich über NFS - verbundene Server und Clients in verschiedenen Netzwerken - befinden. Wenn dies der Fall ist, stellen Sie - sicher, dass Ihre Router die - nötigen UDP-Informationen weiterleiten, - oder Sie werden nirgends hingelangen, egal was Sie machen. + Es gibt ein anderes Problem, das oft mit diesem + verwechselt wird. Dieses andere Problem tritt auf, wenn sich + über NFS verbundene Server und Clients in verschiedenen + Netzwerken befinden. Wenn dies der Fall ist, stellen Sie + sicher, dass die Router die nötigen + UDP-Informationen weiterleiten. In den folgenden Beispielen ist fastws der Name des Hochleistungsrechners (bzw. dessen Schnittstelle), @@ -1267,11 +1267,12 @@ Exports list on foobar: - Wichtige Prozesse und Begriffe + <acronym>NIS</acronym>-Begriffe und -Prozesse - Es gibt verschiedene Begriffe und Anwenderprozesse, auf die - Sie stoßen werden, wenn Sie NIS unter FreeBSD einrichten, - egal ob Sie einen Server oder einen Client konfigurieren: + Es gibt verschiedene Begriffe und Anwenderprozesse, die + erläutert werden, wenn NIS unter &os; implementiert wird, + unabhängig davon, ob das System ein NIS-Server oder ein + NIS-Client ist: rpcbind @@ -1443,18 +1444,17 @@ Exports list on foobar: Planung - Nehmen wir an, Sie seien der Administrator eines kleinen - Universitätsnetzes. Dieses Netz besteht aus - fünfzehn FreeBSD-Rechnern, für die derzeit keine - zentrale Verwaltung existiert, jeder Rechner hat also eine - eigene Version von /etc/passwd und - /etc/master.passwd. Diese Dateien werden - manuell synchron gehalten; legen Sie einen neuen Benutzer an, - so muss dies auf allen fünfzehn Rechnern manuell - erledigt werden (unter Verwendung von - adduser). Da diese Lösung sehr - ineffizient ist, soll das Netzwerk in Zukunft NIS verwenden, - wobei zwei der Rechner als Server dienen sollen. + Nehmen wir an, es handelt sich um ein kleines + Universitätsnetz. Dieses Netz besteht aus fünfzehn + &os;-Rechnern, für die derzeit keine zentrale Verwaltung + existiert. Jeder Rechner hat also eine eigene Version von + /etc/passwd und + /etc/master.passwd. Diese Dateien + werden manuell synchron gehalten; wird ein neuer Benutzer + angelegt, so muss dies auf allen fünfzehn Rechnern manuell + erledigt werden. Dieses Universitätsnetz würde eindeutig + von der Installation von zwei NIS-Servern + profitieren. In Zukunft soll das Netz also wie folgt aussehen: @@ -1497,10 +1497,10 @@ Exports list on foobar: - Wenn Sie NIS das erste Mal einrichten, ist es ratsam, sich - zuerst über die Vorgangsweise Gedanken zu machen. - Unabhängig von der Größe Ihres Netzwerks - müssen Sie stets einige Entscheidungen treffen. + Wenn erstmalig ein NIS-Schema eingerichtet wird, sollte + es im Vorraus sorgfältig geplant werden. Unabhängig von der + Größe des Netzwerks müssen einige Entscheidungen im Rahmen + des Planungsprozesses getroffen werden. Einen NIS-Domänennamen wählen @@ -1510,59 +1510,56 @@ Exports list on foobar: Domänenname - Dies muss nicht der Domainname sein. Es - handelt sich vielmehr um den NIS-Domainnamen. - Wenn ein Client Informationen anfordert, ist in dieser - Anforderung der Name der NIS-Domäne enthalten. - Dadurch weiß jeder Server im Netzwerk, auf welche - Anforderung er antworten muss. Stellen Sie sich den - NIS-Domänennamen als den Namen einer Gruppe von - Rechnern vor, die etwas gemeinsam haben. + Dies muss nicht der übliche Domainname + sein. Es handelt sich vielmehr um den + NIS-Domainnamen. Wenn ein Client + Informationen anfordert, ist in dieser Anforderung der + Name der NIS-Domäne enthalten. Dadurch weiß jeder Server + im Netzwerk, auf welche Anforderung er antworten muss. + Stellen Sie sich den NIS-Domänennamen als den Namen einer + Gruppe von Rechnern vor, die etwas gemeinsam haben. Manchmal wird der Name der Internetdomäne auch - für die NIS-Domäne verwendet. Dies ist allerdings - nicht empfehlenswert, da dies bei der Behebung von Problemen - verwirrend sein kann. Der Name der NIS-Domäne sollte - innerhalb Ihres Netzwerks einzigartig sein. Hilfreich ist - es, wenn der Name die Gruppe der in ihr zusammengefassten - Rechner beschreibt. Die Kunstabteilung von Acme Inc. - hätte daher die NIS-Domäne - acme-art. Für unser Beispiel verwenden - wir den NIS-Domänennamen - test-domain. + für die NIS-Domäne verwendet. Dies ist allerdings nicht + empfehlenswert, da dies bei der Behebung von Problemen + verwirrend sein kann. Der Name der NIS-Domäne sollte + innerhalb des Netzwerks einzigartig sein. Hilfreich ist + es, wenn der Name die Gruppe der in ihr zusammengefassten + Rechner beschreibt. Die Kunstabteilung von Acme Inc. + hätte daher die NIS-Domäne acme-art. Für + dieses Beispiel wird der Name + test-domain verwendet. SunOS - Es gibt jedoch auch Betriebssysteme (vor allem &sunos;), - die als NIS-Domänennamen den Name der - Internetdomäne verwenden. Wenn dies für einen - oder mehrere Rechner Ihres Netzwerks zutrifft, - müssen Sie den Namen der - Internetdomäne als Ihren NIS-Domänennamen - verwenden. + Es gibt jedoch auch Betriebssysteme (vor allem + &sunos;), die als NIS-Domänennamen den Namen der + Internetdomäne verwenden. Wenn dies für einen oder + mehrere Rechner des Netzwerks zutrifft, + muss der Name der Internetdomäne als + NIS-Domänennamen verwendet werden. Anforderungen an den Server - Wenn Sie einen NIS-Server einrichten wollen, müssen - Sie einige Dinge beachten. Eine unangenehme Eigenschaft - von NIS ist die Abhängigkeit der Clients vom Server. - Wenn sich der Client nicht über den Server mit seiner - NIS-Domäne verbinden kann, wird der Rechner oft - unbenutzbar, da das Fehlen von Benutzer- und - Gruppeninformationen zum Einfrieren des Clients führt. - Daher sollten Sie für den Server einen Rechner - auswählen, der nicht regelmäßig neu - gestartet werden muss und der nicht für Testversuche - verwendet wird. Idealerweise handelt es sich um einen - alleinstehenden Rechner, dessen einzige Aufgabe es ist, als - NIS-Server zu dienen. Wenn Sie ein Netzwerk haben, das - nicht zu stark ausgelastet ist, ist es auch möglich, - den NIS-Server als weiteren Dienst auf einem anderen Rechner - laufen zu lassen. Denken Sie aber daran, dass ein Ausfall - des NIS-Servers alle NIS-Clients - betrifft. + Wenn ein NIS-Server einrichtet wird, müssen + einige Dinge beachtet werden. Eine unangenehme + Eigenschaft von NIS ist die Abhängigkeit der Clients + vom Server. Wenn sich der Client nicht über den Server + mit seiner NIS-Domäne verbinden kann, wird der Rechner oft + unbenutzbar, da das Fehlen von Benutzer- und + Gruppeninformationen zum Einfrieren des Clients führt. + Daher sollten Sie für den Server einen Rechner auswählen, + der nicht regelmäßig neu gestartet werden muss und der + nicht für Testversuche verwendet wird. Idealerweise + handelt es sich um einen alleinstehenden Rechner, dessen + einzige Aufgabe es ist, als NIS-Server zu dienen. Wenn + das Netzwerk nicht zu stark ausgelastet ist, ist es auch + möglich, den NIS-Server als weiteren Dienst auf einem + anderen Rechner laufen zu lassen. Wenn jedoch ein + NIS-Server ausfällt, wirkt sich dies negativ auf + alle NIS-Clients aus. @@ -1598,11 +1595,11 @@ Exports list on foobar: Serverkonfiguration - Abhängig von Ihren Anforderungen ist die - Einrichtung eines NIS-Masterservers relativ einfach, da - NIS von FreeBSD bereits in der Standardkonfiguration - unterstützt wird. Sie müssen nur folgende - Zeilen in /etc/rc.conf einfügen: + Abhängig von den Anforderungen ist die Einrichtung + eines NIS-Masterservers relativ einfach, da NIS von &os; + bereits in der Standardkonfiguration unterstützt wird. + Er muss nur durch Hinzufügen der folgenden Zeilen in + /etc/rc.conf aktiviert werden: @@ -1631,20 +1628,20 @@ Exports list on foobar: - In Abhängigkeit von Ihrer NIS-Konfiguration - können weitere Einträge erforderlich sein. - Weitere Informationen finden Sie im Abschnitt - NIS-Server, die - auch als NIS-Clients arbeiten. + In Abhängigkeit der NIS-Konfiguration können weitere + Einträge erforderlich sein. Weitere Informationen finden + sich im Abschnitt NIS-Server, die + auch als NIS-Clients arbeiten. - Nachdem Sie obige Parameter konfiguriert haben, müssen - Sie nur noch /etc/netstart als Superuser - ausführen, um alles entsprechend Ihren Vorgaben in der - Datei /etc/rc.conf einzurichten. - Bevor Sie die NIS-Maps einrichten können, müssen Sie - nun noch den ypserv-Daemon - manuell starten: + Nachdem obige Parameter konfiguriert wurden, muss noch + /etc/netstart als Superuser ausgeführt + werden, um alles entsprechend den Vorgaben in + /etc/rc.conf einzurichten. + Als letzter Schritt muss, bevor die NIS-Maps einrichtet + werden können, ypserv-Daemon + manuell gestartet werden: &prompt.root; service ypserv start @@ -1658,47 +1655,55 @@ Exports list on foobar: NIS-Maps sind Datenbanken, die - sich im Verzeichnis /var/yp befinden. - Sie werden am NIS-Masterserver aus den Konfigurationsdateien - unter /etc erzeugt. Einzige Ausnahme: - /etc/master.passwd. Dies ist auch - sinnvoll, da Sie die Passwörter für Ihr - root- oder andere - Administratorkonten nicht an alle Server der NIS-Domäne - verteilen wollen. Bevor Sie also die NIS-Maps des - Masterservers einrichten, sollten Sie Folgendes tun: + sich im Verzeichnis /var/yp befinden. + Sie werden am NIS-Masterserver aus den + Konfigurationsdateien unter /etc + erzeugt. Einzige Ausnahme: + /etc/master.passwd. Dies ist auch + sinnvoll, da die Passwörter für + root- oder + andere Administratorkonten nicht an alle Server der + NIS-Domäne verteilt werden sollten. Deshalb werden die + primären Passwort-Dateien konfiguriert, bevor die NIS-Maps + initialisiert werden: &prompt.root; cp /etc/master.passwd /var/yp/master.passwd &prompt.root; cd /var/yp &prompt.root; vi master.passwd - Entfernen Sie alle Systemkonten - (wie bin, tty, - kmem oder games), - sowie alle Konten, die Sie nicht an die NIS-Clients - weitergeben wollen (beispielsweise root - und alle Konten mit der UID 0 (=Superuser). - - Stellen Sie sicher, dass - /var/yp/master.passwd weder von der - Gruppe noch von der Welt gelesen werden kann (Zugriffsmodus - 600)! Ist dies nicht der Fall, ändern Sie dies mit - chmod. + Es ist ratsam, alle Systemkonten (wie + bin, + tty, + kmem oder + games), sowie + alle Konten, die nicht an die NIS-Clients weitergeben + werden sollen, wie beispielsweise + root und alle + Konten mit der UID 0 (=Superuser) zu entfernen. + + + Es muss dafür gesorgt werden, dass + /var/yp/master.passwd weder von der + Gruppe noch von der Welt gelesen werden kann + (Zugriffsmodus 600)! Dafür kann das Kommando + chmod entsprechend benutzt + werden. + Tru64 UNIX - Nun können Sie die NIS-Maps initialisieren. - FreeBSD verwendet dafür das Skript + Nun können die NIS-Maps initialisiert werden. + &os; verwendet dafür das Skript ypinit (lesen Sie dazu auch &man.ypinit.8;). Dieses Skript ist auf fast allen - UNIX-Betriebssystemen verfügbar. Bei - Digitals Unix/Compaq Tru64 UNIX nennt es sich allerdings - ypsetup. Da wir Maps für einen - NIS-Masterserver erzeugen, verwenden wir - ypinit mit der Option - . Nachdem Sie die beschriebenen - Aktionen durchgeführt haben, erzeugen Sie nun die - NIS-Maps: + &unix;-Betriebssystemen verfügbar. Bei Digitals + UNIX/Compaq Tru64 UNIX nennt es sich allerdings + ypsetup. Da wir Maps für einen + NIS-Masterserver erzeugen, verwenden wir + ypinit mit der Option + . Nachdem Sie die beschriebenen + Aktionen durchgeführt haben, erzeugen Sie nun die + NIS-Maps: ellington&prompt.root; ypinit -m test-domain Server Type: MASTER Domain: test-domain @@ -1727,12 +1732,13 @@ ellington has been setup as an YP master Dadurch erzeugt ypinit /var/yp/Makefile aus der Datei /var/yp/Makefile.dist. - Durch diese Datei wird festgelegt, dass Sie in einer - NIS-Umgebung mit nur einem Server arbeiten und dass alle - Clients unter FreeBSD laufen. Da + Durch diese Datei wird festgelegt, dass in einer + NIS-Umgebung mit nur einem Server gearbeitet wird und dass + alle Clients unter &os; laufen. Da test-domain aber auch über einen - Slaveserver verfügt, müssen Sie - /var/yp/Makefile entsprechend anpassen: + Slaveserver verfügt, muss + /var/yp/Makefile entsprechend + angepasst werden: ellington&prompt.root; vi /var/yp/Makefile @@ -1819,13 +1825,13 @@ ypxfr: Exiting: Map successfully transfe coltrane has been setup as an YP slave server without any errors. Don't forget to update map ypservers on ellington. - Sie sollten nun über das Verzeichnis - /var/yp/test-domain verfügen. - Die Kopien der NIS-Masterserver-Maps sollten sich in diesem - Verzeichnis befinden. Allerdings müssen Sie diese - auch aktuell halten. Die folgenden Einträge in - /etc/crontab erledigen diese Aufgabe: - + Es sollte nun ein Verzeichnis namens + /var/yp/test-domain existieren. Die + Kopien der NIS-Masterserver-Maps sollten sich in diesem + Verzeichnis befinden. Allerdings müssen diese Daten immer + aktuell sein. Die folgenden Einträge in + /etc/crontab des NIS-Slaveservers + erledigen diese Aufgabe: 20 * * * * root /usr/libexec/ypxfr passwd.byname 21 * * * * root /usr/libexec/ypxfr passwd.byuid @@ -1853,27 +1859,28 @@ Don't forget to update map ypservers on NIS-Clients Ein NIS-Client bindet sich unter - Verwendung des ypbind-Daemons an einen - NIS-Server. ypbind prüft die - Standarddomäne des Systems (die durch - domainname gesetzt wird), und beginnt - RPCs über das lokale Netzwerk zu verteilen (broadcast). - Diese Anforderungen legen den Namen der Domäne fest, - für die ypbind eine Bindung erzeugen - will. Wenn der Server der entsprechenden Domäne eine - solche Anforderung erhält, schickt er eine Antwort an - ypbind. ybind speichert - daraufhin die Adresse des Servers. Wenn mehrere Server - verfügbar sind (beispielsweise ein Master- und mehrere - Slaveserver), verwendet ypbind die erste - erhaltene Adresse. Ab diesem Zeitpunkt richtet der Client alle - Anfragen an genau diesen Server. ypbind - pingt den Server gelegentlich an, um - sicherzustellen, dass der Server funktioniert. Antwortet der - Server innerhalb eines bestimmten Zeitraums nicht (Timeout), - markiert ypbind die Domäne als - ungebunden und beginnt erneut, RPCs über das Netzwerk zu - verteilen, um einen anderen Server zu finden. + Verwendung des ypbind-Daemons an einen + NIS-Server. Das ypbind-Kommando prüft + die Standarddomäne des Systems (die durch + domainname gesetzt wird), und beginnt + RPCs über das lokale Netzwerk zu verteilen (broadcast). + Diese Anforderungen legen den Namen der Domäne fest, für die + ypbind eine Bindung erzeugen will. Wenn + der Server der entsprechenden Domäne eine solche Anforderung + erhält, schickt er eine Antwort an + ypbind. ybind + speichert daraufhin die Adresse des Servers. Wenn mehrere + Server verfügbar sind (beispielsweise ein Master- und + mehrere Slaveserver), verwendet ypbind + die erste erhaltene Adresse. Ab diesem Zeitpunkt richtet + der Client alle Anfragen an genau diesen Server. + ypbind pingt den Server + gelegentlich an, um sicherzustellen, dass der Server + funktioniert. Antwortet der Server innerhalb eines + bestimmten Zeitraums nicht (Timeout), markiert + ypbind die Domäne als ungebunden und + beginnt erneut, RPCs über das Netzwerk zu verteilen, um + einen anderen Server zu finden. Einen NIS-Client konfigurieren @@ -1910,7 +1917,7 @@ nis_client_enable="YES" Diese Zeile legt für alle gültigen Benutzerkonten der NIS-Server-Maps einen Zugang an. - Es gibt verschiedene Wege, Ihren NIS-Client durch + Es gibt verschiedene Wege, den NIS-Client durch Änderung dieser Zeile zu konfigurieren. Lesen Sie dazu auch den Abschnitt über Netzgruppen weiter @@ -1920,22 +1927,23 @@ nis_client_enable="YES" - Sie sollten zumindest ein lokales Benutzerkonto, - das nicht über NIS importiert wird, in Ihrer - /etc/master.passwd behalten. - Dieser Benutzer sollte außerdem ein Mitglied der - Gruppe wheel sein. Wenn es - mit NIS Probleme gibt, können Sie diesen Zugang - verwenden, um sich anzumelden, - root zu werden und das Problem - zu beheben. + Denken Sie daran, zumindest ein lokales + Benutzerkonto, das nicht über NIS importiert wird, + in Ihrer /etc/master.passwd zu + behalten. Dieser Benutzer sollte außerdem ein + Mitglied der Gruppe + wheel + sein. Wenn es mit NIS Probleme gibt, können Sie + diesen Zugang verwenden, um sich anzumelden, + root zu + werden und das Problem zu beheben. - Um alle möglichen Gruppeneinträge vom - NIS-Server zu importieren, fügen sie folgende Zeile - in /etc/group ein: + Um alle möglichen Gruppeneinträge vom NIS-Server + zu importieren, fügen Sie folgende Zeile in + /etc/group ein: +:*:: @@ -1948,8 +1956,7 @@ nis_client_enable="YES" &prompt.root; service ypbind start - Nachdem Sie diese Schritte erledigt haben, sollten Sie - mit ypcat passwd die + Danach sollte ypcat passwd die passwd-Map des NIS-Servers anzeigen können. @@ -1965,14 +1972,14 @@ nis_client_enable="YES" Im Allgemeinen kann jeder entfernte Anwender einen RPC an - &man.ypserv.8; schicken, um den Inhalt Ihrer NIS-Maps abzurufen, - falls er Ihren NIS-Domänennamen kennt. Um solche - unautorisierten Transaktionen zu verhindern, unterstützt - &man.ypserv.8; securenets, durch die man den - Zugriff auf bestimmte Rechner beschränken kann. - &man.ypserv.8; versucht, beim Systemstart die Informationen - über securenets aus der Datei - /var/yp/securenets zu laden. + &man.ypserv.8; schicken, um den Inhalt der NIS-Maps abzurufen, + falls er den NIS-Domänennamen kennt. Um solche + unautorisierten Transaktionen zu verhindern, unterstützt + &man.ypserv.8; securenets, durch die man den + Zugriff auf bestimmte Rechner beschränken kann. + &man.ypserv.8; versucht, beim Systemstart die Informationen + über securenets aus + /var/yp/securenets zu laden. Die Datei securenets kann auch @@ -2012,10 +2019,10 @@ nis_client_enable="YES" Während beide Kontrollmechanismen einige Sicherheit - gewähren, beispielsweise durch privilegierte Ports, sind - sie gegenüber IP spoofing-Attacken - verwundbar. Jeder NIS-Verkehr sollte daher von Ihrer Firewall - blockiert werden. + gewähren, beispielsweise durch privilegierte Ports, sind + sie gegenüber IP spoofing-Attacken + verwundbar. Jeder NIS-Verkehr sollte daher von einer + Firewall blockiert werden. Server, die /var/yp/securenets verwenden, können Schwierigkeiten bei der Anmeldung von @@ -2040,15 +2047,15 @@ nis_client_enable="YES" TCP-Wrapper - Die Verwendung der TCP-Wrapper - verlangsamt die Reaktion Ihres NIS-Servers. Diese - zusätzliche Reaktionszeit kann in Clientprogrammen zu - Timeouts führen. Dies vor allem in Netzwerken, die - stark ausgelastet sind, oder nur über langsame NIS-Server - verfügen. Wenn ein oder mehrere Ihrer Clientsysteme - dieses Problem aufweisen, sollten Sie die betreffenden Clients - in NIS-Slaveserver umwandeln, und diese an sich selbst binden. - + Die Verwendung der + TCP-Wrapper verlangsamt die + Reaktion des NIS-Servers. Diese zusätzliche Reaktionszeit + kann in Clientprogrammen zu Timeouts führen. Dies vor allem + in Netzwerken, die stark ausgelastet sind, oder nur über + langsame NIS-Server verfügen. Wenn ein oder mehrere der + Clientsysteme dieses Problem aufweisen, sollten Sie die + betreffenden Clients in NIS-Slaveserver umwandeln, und diese + an sich selbst binden. @@ -2069,23 +2076,24 @@ nis_client_enable="YES" enthält. Was können wir also tun? Es gibt eine Möglichkeit, bestimmte Benutzer an der - Anmeldung an einem bestimmten Rechner zu hindern, selbst wenn - diese in der NIS-Datenbank vorhanden sind. Dazu müssen - Sie lediglich an diesem Rechner den Eintrag + Anmeldung an einem bestimmten Rechner zu hindern, selbst wenn + diese in der NIS-Datenbank vorhanden sind. Dazu muss + lediglich an diesem Rechner der Eintrag -Benutzername und die richtige Anzahl von - von Doppelpunkten an das Ende von - /etc/master.passwd setzen, - wobei Benutzername der zu - blockierende Benutzername ist. Die Zeile mit dem geblockten - Benutzer muss dabei vor der + Zeile, für - zugelassene Benutzer stehen. Diese Änderung sollte - bevorzugt durch vipw erledigt werden, da - vipw Ihre Änderungen an - /etc/master.passwd auf Plausibilität - überprüft und nach erfolgter Änderung die - Passwortdatenbank automatisch aktualisiert. Um also den - Benutzer bill an der Anmeldung am Rechner - basie zu hindern, gehen wir wie folgt vor: + Doppelpunkten an das Ende von + /etc/master.passwd gesetzt werden, wobei + Benutzername der zu blockierende + Benutzername ist. Die Zeile mit dem geblockten Benutzer muss + dabei vor der + Zeile, für zugelassene + Benutzer stehen. Diese Änderung sollte bevorzugt durch + vipw erledigt werden, da + vipw Änderungen an + /etc/master.passwd auf Plausibilität + überprüft und nach erfolgter Änderung die Passwortdatenbank + automatisch aktualisiert. Um also den Benutzer + bill an der + Anmeldung am Rechner basie zu + hindern, geht man wie folgt vor: basie&prompt.root; vipw @@ -2128,14 +2136,14 @@ basie&prompt.root; Netzgruppen Die im letzten Abschnitt beschriebene Methode eignet sich - besonders, wenn Sie spezielle Regeln für wenige - Benutzer oder wenige Rechner benötigen. In großen - Netzwerken werden Sie allerdings - mit Sicherheit vergessen, einige Benutzer - von der Anmeldung an bestimmten Rechnern auszuschließen. - Oder Sie werden gezwungen sein, jeden Rechner einzeln zu - konfigurieren. Dadurch verlieren Sie aber den Hauptvorteil von - NIS, die zentrale Verwaltung. + besonders, wenn spezielle Regeln für wenige Benutzer oder + wenige Rechner benötigt werden. In großen Netzwerken werden + Administratoren allerdings mit Sicherheit + vergessen, einige Benutzer von der Anmeldung an bestimmten + Rechnern auszuschließen. Oder sie werden gezwungen sein, + jeden Rechner einzeln zu konfigurieren. Dadurch verlieren sie + aber den Hauptvorteil von NIS: die + zentrale Verwaltung. Die Lösung für dieses Problem sind Netzgruppen. Ihre Aufgabe und Bedeutung @@ -2146,19 +2154,18 @@ basie&prompt.root; enthalten. Netzgruppen wurden entwickelt, um große, komplexe - Netzwerke mit Hunderten Benutzern und Rechnern zu verwalten. - Sie sind also von Vorteil, wenn Sie von dieser Situation - betroffen sind. Andererseits ist es dadurch beinahe - unmöglich, Netzgruppen mit einfachen Beispielen zu - erklären. Das hier verwendete Beispiel veranschaulicht - dieses Problem. - - Nehmen wir an, dass Ihre erfolgreiche Einführung von - NIS die Aufmerksamkeit Ihrer Vorgesetzten geweckt hat. Ihre - nächste Aufgabe besteht nun darin, Ihre NIS-Domäne - um zusätzliche Rechner zu erweitern. Die folgenden - Tabellen enthalten die neuen Benutzer und Rechner inklusive - einer kurzen Beschreibung. + Netzwerke mit Hunderten Benutzern und Rechnern zu verwalten. + Sie sind also von Vorteil in solchen Situationen. + Andererseits ist es dadurch beinahe unmöglich, Netzgruppen mit + einfachen Beispielen zu erklären. Das hier verwendete + Beispiel veranschaulicht dieses Problem. + + Nehmen wir an, dass die erfolgreiche Einführung von NIS + die Aufmerksamkeit eines Vorgesetzten geweckt hat. Die + nächste Aufgabe besteht nun darin, die NIS-Domäne um + zusätzliche Rechner zu erweitern. Die folgenden + Tabellen enthalten die neuen Benutzer und Rechner inklusive + einer kurzen Beschreibung. @@ -2213,7 +2220,7 @@ basie&prompt.root; Pratchett. Many thanks for a brilliant book. --> war, death, famine, pollution - Ihre wichtigsten Server. Nur IT-Fachleute + Die wichtigsten Server. Nur IT-Fachleute dürfen sich an diesen Rechnern anmelden. @@ -2245,46 +2252,44 @@ basie&prompt.root; - Wollten Sie diese Einschränkungen umsetzen, indem Sie - jeden Benutzer einzeln blockieren, müssten Sie auf jedem - System für jeden Benutzer eine entsprechende Zeile in - passwd einfügen. Wenn Sie nur einen - Eintrag vergessen, haben Sie ein Problem. Es mag noch angehen, - dies während der ersten Installation zu erledigen, im - täglichen Betrieb werden Sie allerdings - mit Sicherheit einmal vergessen, die - entsprechenden Einträge anzulegen. Vergessen Sie nicht: - Murphy war Optimist. + Beim Versuch, diese Einschränkungen umzusetzen, indem + jeder Benutzer einzeln blockiert wird, müsste auf jedem System + für jeden Benutzer eine entsprechende Zeile in + passwd eingefügt werden. Wird nur ein + Eintrag vergessen, kann das erhebliche Probleme verursachen. + Es mag noch möglich sein, dies während der Erstinstallation + zu erledigen, im täglichen Betrieb kann jedoch jemand + vergessen, die entsprechenden Einträge für neue Benutzer + anzulegen. Die Verwendung von Netzgruppen hat in dieser Situation - mehrere Vorteile. Sie müssen nicht jeden Benutzer einzeln - verwalten; weisen Sie stattdessen den Benutzer einer Netzgruppe - zu und erlauben oder verbieten Sie allen Mitglieder dieser - Gruppe die Anmeldung an einem Server. Wenn Sie einen neuen - Rechner hinzufügen, müssen Sie - Zugangsbeschränkungen nur für die Netzgruppen - festlegen. Legen Sie einen neuen Benutzer an, müssen Sie - ihn nur einer oder mehrere Netzgruppen zuweisen. Diese - Veränderungen sind voneinander unabhängig; Anweisungen - der Form für diese Kombination aus Benutzer und - Rechner mache Folgendes ... sind nicht mehr nötig. - Wenn Sie die Einrichtung von NIS sorgfältig geplant haben, - müssen Sie nur noch eine zentrale Konfigurationsdatei - bearbeiten, um den Zugriff auf bestimmte Rechner zu erlauben - oder zu verbieten. + mehrere Vorteile. Nicht jeder Benutzer muss einzeln verwaltet + werden; stattdessen werden die Benutzer einer Netzgruppe + zugewiesen und allen Mitgliedern dieser Gruppe wird die + Anmeldung an einem Server erlaubt oder verwehrt. Wird ein + neuer Rechner hinzugefügt, müssen die Zugangsbeschränkungen + nur für die Netzgruppen festlegelegt werden. Wird ein neuer + Benutzer angelegt, muss er nur einer oder mehreren Netzgruppen + zugewiesen werden. Diese Veränderungen sind voneinander + unabhängig; Anweisungen der Form für diese Kombination + aus Benutzer und Rechner mache Folgendes ... sind + nicht mehr nötig. Wenn die Einrichtung von NIS sorgfältig + geplant wurde, muss nur noch eine zentrale Konfigurationsdatei + bearbeitet werden, um den Zugriff auf bestimmte Rechner zu + erlauben oder zu verbieten. Der erste Schritt ist die Initialisierung der NIS-Maps - der Netzgruppe. &man.ypinit.8; kann dies unter FreeBSD nicht - automatisch durchführen. Sind die Maps aber erst einmal - erzeugt, werden sie jedoch von NIS problemlos unterstützt. - Um eine leere Map zu erzeugen, geben Sie Folgendes ein: + der Netzgruppe. &man.ypinit.8; kann dies unter &os; nicht + automatisch durchführen. Sind die Maps aber erst einmal + erzeugt, werden sie jedoch von NIS problemlos unterstützt. + Um eine leere Map zu erzeugen, geben Sie Folgendes ein: ellington&prompt.root; vi /var/yp/netgroup Danach legen Sie die Einträge an. Für unser Beispiel benötigen wir mindestens vier Netzgruppen: IT-Beschäftige, IT-Lehrlinge, normale Beschäftigte - sowie Externe. + sowie Praktikanten. IT_EMP (,alpha,test-domain) (,beta,test-domain) IT_APP (,charlie,test-domain) (,delta,test-domain) @@ -2301,9 +2306,10 @@ INTERNS (,able,test-domain) (,baker, Der Name des Rechners, auf dem die folgenden Werte - gültig sind. Legen Sie keinen Rechnernamen fest, ist - der Eintrag auf allen Rechnern gültig. Dadurch - gehen Sie vielen Problemen aus dem Weg. + gültig sind. Wird kein Rechnername festgelegt, ist der + Eintrag auf allen Rechnern gültig. Wenn ein Rechnername + angegeben ist, muss auf viele Einzelheiten in dieser + Konfiguration geachtet werden. @@ -2312,10 +2318,9 @@ INTERNS (,able,test-domain) (,baker, - Die NIS-Domäne für das Benutzerkonto. Sie - können Benutzerkonten von anderen NIS-Domänen in - Ihre Netzgruppe importieren, wenn Sie mehrere - NIS-Domänen verwalten. + Die NIS-Domäne für das Benutzerkonto. Benutzerkonten + können von anderen NIS-Domänen in eine Netzgruppe + importiert werden. @@ -2326,35 +2331,35 @@ INTERNS (,able,test-domain) (,baker, Netzgruppen Netzgruppennamen sollten nicht länger als 8 Zeichen - sein, vor allem dann, wenn Sie Rechner mit verschiedenen - Betriebssystemen in Ihrer NIS-Domäne haben. Es wird - zwischen Groß- und Kleinschreibung unterschieden. - Die Verwendung von Großbuchstaben für - Netzgruppennamen ermöglicht eine leichte Unterscheidung - zwischen Benutzern, Rechnern und Netzgruppen. - - Einige NIS-Clients (dies gilt nicht für FreeBSD) - können keine Netzgruppen mit einer großen Anzahl - von Einträgen verwalten. Einige ältere Versionen - von &sunos; haben beispielsweise Probleme, wenn Netzgruppen - mehr als fünfzehn Einträge - enthalten. Sie können dieses Problem umgehen, indem Sie - mehrere Subnetzgruppen mit weniger als fünfzehn Benutzern - anlegen und diese Subnetzgruppen wiederum in einer Netzgruppe - zusammenfassen: + sein, insbesondere wenn Rechner mit verschiedenen + Betriebssystemen in der NIS-Domäne betrieben werden. Es + wird zwischen Groß- und Kleinschreibung unterschieden. + Die Verwendung von Großbuchstaben für Netzgruppennamen + ermöglicht eine leichte Unterscheidung zwischen Benutzern, + Rechnern und Netzgruppen. + + Einige NIS-Clients (dies gilt nicht für &os;) + können keine Netzgruppen mit einer großen Anzahl von + Einträgen verwalten. Einige ältere Versionen von &sunos; + haben beispielsweise Probleme, wenn Netzgruppen mehr als + fünfzehn Einträge enthalten. Diese + Grenze kann umgangen werden, indem mehrere Subnetzgruppen + mit weniger als fünfzehn Benutzern anlegt und diese + Subnetzgruppen wiederum in einer Netzgruppe + zusammengefasst wird: BIGGRP1 (,joe1,domain) (,joe2,domain) (,joe3,domain) [...] BIGGRP2 (,joe16,domain) (,joe17,domain) [...] BIGGRP3 (,joe31,domain) (,joe32,domain) BIGGROUP BIGGRP1 BIGGRP2 BIGGRP3 - Sie können diesen Vorgang wiederholen, wenn Sie mehr - als 255 Benutzer in einer einzigen Netzgruppe benötigen. + Wiederholen Sie diesen Vorgang , wenn Sie mehr als 225 + Benutzer in einer einzigen Netzgruppe benötigen. - Das Aktivieren und Verteilen Ihre neuen NIS-Map ist - einfach: + Das Aktivieren und Verteilen der neuen NIS-Map ist + einfach: ellington&prompt.root; cd /var/yp ellington&prompt.root; make @@ -2362,7 +2367,7 @@ ellington&prompt.root; makeDadurch werden die NIS-Maps netgroup, netgroup.byhost und netgroup.byuser erzeugt. Prüfen Sie - die Verfügbarkeit Ihrer neuen NIS-Maps mit &man.ypcat.1;. + die Verfügbarkeit der neuen NIS-Maps mit &man.ypcat.1;. ellington&prompt.user; ypcat -k netgroup @@ -2370,14 +2375,14 @@ ellington&prompt.user; ypcat ellington&prompt.user; ypcat -k netgroup.byuser Die Ausgabe des ersten Befehls gibt den Inhalt von - /var/yp/netgroup wieder. Der zweite Befehl - erzeugt nur dann eine Ausgabe, wenn Sie rechnerspezifische - Netzgruppen erzeugt haben. Der dritte Befehl gibt die - Netzgruppen nach Benutzern sortiert aus. - *** DIFF OUTPUT TRUNCATED AT 1000 LINES ***