Date: Fri, 8 Apr 2016 17:25:59 +0000 (UTC) From: Bjoern Heidotting <bhd@FreeBSD.org> To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r48550 - head/de_DE.ISO8859-1/books/handbook/network-servers Message-ID: <201604081725.u38HPxGs002076@repo.freebsd.org>
next in thread | raw e-mail | index | archive | help
Author: bhd Date: Fri Apr 8 17:25:59 2016 New Revision: 48550 URL: https://svnweb.freebsd.org/changeset/doc/48550 Log: Update to r42973: This patch finishes up the NIS section of this chapter. It does the following: - replaces NISv1 Compatibility section with a note that FreeBSD uses v2 - renames Important Things to Remember to Adding New Users and places it as a subsection of Configuring the NIS Master Server - removes the reference to auth.log which is now obsolete - general tightening and clarification Reviewed by: bcr Differential Revision: https://reviews.freebsd.org/D5856 Modified: head/de_DE.ISO8859-1/books/handbook/network-servers/chapter.xml Modified: head/de_DE.ISO8859-1/books/handbook/network-servers/chapter.xml ============================================================================== --- head/de_DE.ISO8859-1/books/handbook/network-servers/chapter.xml Thu Apr 7 17:58:37 2016 (r48549) +++ head/de_DE.ISO8859-1/books/handbook/network-servers/chapter.xml Fri Apr 8 17:25:59 2016 (r48550) @@ -5,7 +5,7 @@ $FreeBSD$ $FreeBSDde: de-docproj/books/handbook/network-servers/chapter.xml,v 1.103 2011/12/24 15:51:18 bcr Exp $ - basiert auf: r42970 + basiert auf: r42973 --> <chapter xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0" xml:id="network-servers"> <!-- @@ -1109,6 +1109,9 @@ Exports list on foobar: Systemkonfiguration von einem zentralen Ort aus durchzuführen.</para> + <para>&os; verwendet die Version 2 des + <acronym>NIS</acronym>-Protokolls.</para> + <sect2> <title><acronym>NIS</acronym>-Begriffe und -Prozesse</title> @@ -1190,7 +1193,7 @@ Exports list on foobar: um einen Daemonprozess, der es <acronym>NIS</acronym>-Clients ermöglicht, ihre <acronym>NIS</acronym>-Passwörter zu ändern. Wenn - dieser Dameon nicht läuft, müssen sich die Benutzer am + dieser Daemon nicht läuft, müssen sich die Benutzer am <acronym>NIS</acronym>-Masterserver anmelden und ihre Passwörter dort ändern.</entry> </row> @@ -1324,7 +1327,7 @@ Exports list on foobar: </informaltable> <para>Wenn erstmalig ein NIS-Schema eingerichtet wird, sollte - es im Vorraus sorgfältig geplant werden. Unabhängig von der + es im Voraus sorgfältig geplant werden. Unabhängig von der Größe des Netzwerks müssen einige Entscheidungen im Rahmen des Planungsprozesses getroffen werden.</para> @@ -1516,17 +1519,19 @@ nis_client_flags="-S <replaceable>NIS do class="username">root</systemitem> und weitere administrative Konten, zu entfernen.</para> - <para>Stellen Sie sicher, dass - <filename>/var/yp/master.passwd</filename> weder von der - Gruppe noch von der Welt gelesen werden kann, indem Sie - Zugriffsmodus auf <literal>600</literal> - einstellen.</para> + <note> + <para>Stellen Sie sicher, dass + <filename>/var/yp/master.passwd</filename> weder von der + Gruppe noch von der Welt gelesen werden kann, indem Sie + Zugriffsmodus auf <literal>600</literal> + einstellen.</para> + </note> <para>Nun können die <acronym>NIS</acronym>-Maps initialisiert werden. &os; verwendet dafür das Skript &man.ypinit.8;. Geben Sie <option>-m</option> und den <acronym>NIS</acronym>-Domänennamen an, wenn Sie - <acronym>NIS</acronym>Maps für den Masterserver + <acronym>NIS</acronym>-Maps für den Masterserver erzeugen:</para> <screen>ellington&prompt.root; <userinput>ypinit -m test-domain</userinput> @@ -1563,13 +1568,36 @@ ellington has been setup as an YP master <literal>test-domain</literal> aber auch über einen Slaveserver verfügt, muss <filename>/var/yp/Makefile</filename> entsprechend - angepasst werden: + angepasst werden, sodass es mit einem Kommentar + (<literal>#</literal>) beginnt: </para> <programlisting>NOPUSH = "True"</programlisting> - - <para>auskommentieren (falls dies nicht bereits der Fall ist).</para> </sect3> + + <sect3> + <title>Neue Benutzer hinzufügen</title> + + <para>Jedes Mal, wenn ein neuer Benutzer angelegt wird, + muss er am <acronym>NIS</acronym>-Masterserver hinzugefügt + und die <acronym>NIS</acronym>-Maps anschließend neu + erzeugt werden. Wird dieser Punkt vergessen, kann sich + der neue Benutzer <emphasis>nur</emphasis> am + <acronym>NIS</acronym>-Masterserver anmelden. Um + beispielsweise den neuen Benutzer + <systemitem class="username">jsmith</systemitem> zur + Domäne <literal>test-domain</literal> hinzufügen wollen, + müssen folgende Kommandos auf dem Masterserver ausgeführt + werden:</para> + + <screen>&prompt.root; <userinput>pw useradd jsmith</userinput> +&prompt.root; <userinput>cd /var/yp</userinput> +&prompt.root; <userinput>make test-domain</userinput></screen> + + <para>Statt <command>pw useradd jsmith</command> kann + auch <command>adduser jsmith</command> verwendet + werden.</para> + </sect3> </sect2> <sect2> @@ -1653,11 +1681,11 @@ Remember to update map ypservers on elli <para>Hierbei wird auf dem Slaveserver ein Verzeichnis namens <filename>/var/yp/test-domain</filename> erstellt, welches Kopien der - <acronym>NIS</acronym>-Masterserver-Maps enthält. - Verzeichnis befinden. Durch hinzufügen der folgenden - Zeilen in <filename>/etc/crontab</filename> wird der - Slaveserver angewiesen, seine Maps mit den Maps des - Masterservers zu synchronisieren:</para> + <acronym>NIS</acronym>-Masterserver-Maps enthält. Durch + hinzufügen der folgenden Zeilen in + <filename>/etc/crontab</filename> wird der Slaveserver + angewiesen, seine Maps mit den Maps des Masterservers zu + synchronisieren:</para> <programlisting>20 * * * * root /usr/libexec/ypxfr passwd.byname 21 * * * * root /usr/libexec/ypxfr passwd.byuid</programlisting> @@ -1806,8 +1834,8 @@ nis_client_enable="YES"</programlisting> bearbeitet. Gibt es keine passende Regel, wird die Anforderung ignoriert und eine Warnmeldung aufgezeichnet. Wenn <filename>securenets</filename> nicht existiert, erlaubt - <command>ypserv</command> Verbindungen von jedem Rechner - aus.</para> + <command>ypserv</command> Verbindungen von jedem + Rechner.</para> <para><xref linkend="tcpwrappers"/> beschreibt eine alternative Methode zur Zugriffskontrolle. Obwohl beide @@ -1908,40 +1936,26 @@ basie&prompt.root;</screen> <indexterm><primary>Netzgruppen</primary></indexterm> - <para>Die im letzten Abschnitt beschriebene Methode eignet sich - besonders, wenn spezielle Regeln für wenige Benutzer oder - wenige Rechner benötigt werden. In großen Netzwerken werden - Administratoren allerdings <emphasis>mit Sicherheit</emphasis> - vergessen, einige Benutzer von der Anmeldung an bestimmten - Rechnern auszuschließen. Oder sie werden gezwungen sein, - jeden Rechner einzeln zu konfigurieren. Dadurch verlieren sie - aber den Hauptvorteil von <acronym>NIS</acronym>: die + <para>Bestimmten Benutzern die Anmeldung an einzelnen Systemen + zu verweigern, kann in großen Netzwerken schnell + unübersichtlich werden. Dadurch verlieren Sie den + Hauptvorteil von <acronym>NIS</acronym>: die <emphasis>zentrale</emphasis> Verwaltung.</para> - <para>Die Lösung für dieses Problem sind - <emphasis>Netzgruppen</emphasis>. Ihre Aufgabe und Bedeutung - ist vergleichbar mit normalen, von &unix;-Dateisystemen - verwendeten Gruppen. Die Hauptunterschiede sind das Fehlen - einer numerischen ID sowie die Möglichkeit, Netzgruppen - zu definieren, die sowohl Benutzer als auch andere Netzgruppen - enthalten.</para> - <para>Netzgruppen wurden entwickelt, um große, komplexe Netzwerke mit Hunderten Benutzern und Rechnern zu verwalten. - Sie sind also von Vorteil in solchen Situationen. - Andererseits ist es dadurch beinahe unmöglich, Netzgruppen mit - einfachen Beispielen zu erklären. Das hier verwendete - Beispiel veranschaulicht dieses Problem.</para> - - <para>Nehmen wir an, dass die erfolgreiche Einführung von - <acronym>NIS</acronym> die Aufmerksamkeit eines Vorgesetzten - geweckt hat. Die nächste Aufgabe besteht nun darin, die - <acronym>NIS</acronym>-Domäne um - zusätzliche Rechner zu erweitern. Die folgenden - Tabellen enthalten die neuen Benutzer und Rechner inklusive - einer kurzen Beschreibung.</para> + Ihre Aufgabe ist vergleichbar mit &unix; Gruppen. Die + Hauptunterschiede sind das Fehlen einer numerischen ID sowie + die Möglichkeit, Netzgruppen zu definieren, die sowohl + Benutzer als auch andere Netzgruppen enthalten.</para> + + <para>Um das Beispiel in diesem Kapitel fortzuführen, wird die + <acronym>NIS</acronym>-Domäne um zusätzliche Benutzer und + Rechner erweitert:</para> + + <table frame="none" pgwide="1"> + <title>Zusätzliche Benutzer</title> - <informaltable frame="none" pgwide="1"> <tgroup cols="2"> <thead> <row> @@ -1954,32 +1968,34 @@ basie&prompt.root;</screen> <row> <entry><systemitem class="username">alpha</systemitem>, <systemitem class="username">beta</systemitem></entry> - <entry>Beschäftigte der IT-Abteilung</entry> + <entry>Mitarbeiter der IT-Abteilung</entry> </row> <row> <entry><systemitem class="username">charlie</systemitem>, <systemitem class="username">delta</systemitem></entry> - <entry>Die neuen Lehrlinge der IT-Abteilung</entry> + <entry>Lehrlinge der IT-Abteilung</entry> </row> <row> <entry><systemitem class="username">echo</systemitem>, <systemitem class="username">foxtrott</systemitem>, <systemitem class="username">golf</systemitem>, ...</entry> - <entry>Normale Mitarbeiter</entry> + <entry>Mitarbeiter</entry> </row> <row> <entry><systemitem class="username">able</systemitem>, <systemitem class="username">baker</systemitem>, ...</entry> - <entry>Externe Mitarbeiter</entry> + <entry>Praktikanten</entry> </row> </tbody> </tgroup> - </informaltable> + </table> + + <table frame="none" pgwide="1"> + <title>Zusätzliche Rechner</title> - <informaltable frame="none" pgwide="1"> <tgroup cols="2"> <thead> <row> @@ -1994,8 +2010,8 @@ basie&prompt.root;</screen> Pratchett. Many thanks for a brilliant book. --> <entry><systemitem>war</systemitem>, <systemitem>death</systemitem>, <systemitem>famine</systemitem>, <systemitem>pollution</systemitem></entry> - <entry>Die wichtigsten Server. Nur IT-Fachleute - dürfen sich an diesen Rechnern anmelden.</entry> + <entry>Nur Mitarbeiter der IT-Abteilung dürfen sich an + diesen Rechnern anmelden.</entry> </row> <row> @@ -2003,67 +2019,42 @@ basie&prompt.root;</screen> <entry><systemitem>pride</systemitem>, <systemitem>greed</systemitem>, <systemitem>envy</systemitem>, <systemitem>wrath</systemitem>, <systemitem>lust</systemitem>, <systemitem>sloth</systemitem></entry> - <entry>Weniger wichtige Server. Alle Mitarbeiter der - IT-Abteilung dürfen sich auf diesen Rechnern - anmelden.</entry> + <entry>Nur Mitarbeiter und Lehrlinge der IT-Abteilung + dürfen sich auf diesen Rechnern anmelden.</entry> </row> <row> <entry><systemitem>one</systemitem>, <systemitem>two</systemitem>, <systemitem>three</systemitem>, <systemitem>four</systemitem>, ...</entry> - <entry>Gewöhnliche Arbeitsrechner. Nur die - <emphasis>wirklichen</emphasis> Mitarbeiter dürfen - diese Rechner verwenden.</entry> + <entry>Gewöhnliche Arbeitsrechner für + Mitarbeiter.</entry> </row> <row> <entry><systemitem>trashcan</systemitem></entry> - <entry>Ein sehr alter Rechner ohne kritische Daten. Sogar - externe Mitarbeiter dürfen diesen Rechner - verwenden.</entry> + <entry>Ein sehr alter Rechner ohne kritische Daten. + Sogar Praktikanten dürfen diesen Rechner + verwenden.</entry> </row> </tbody> </tgroup> - </informaltable> + </table> - <para>Beim Versuch, diese Einschränkungen umzusetzen, indem - jeder Benutzer einzeln blockiert wird, müsste auf jedem System - für jeden Benutzer eine entsprechende Zeile in - <filename>passwd</filename> eingefügt werden. Wird nur ein - Eintrag vergessen, kann das erhebliche Probleme verursachen. - Es mag noch möglich sein, dies während der Erstinstallation - zu erledigen, im täglichen Betrieb kann jedoch jemand - vergessen, die entsprechenden Einträge für neue Benutzer - anzulegen.</para> - - <para>Die Verwendung von Netzgruppen hat in dieser Situation - mehrere Vorteile. Nicht jeder Benutzer muss einzeln verwaltet - werden; stattdessen werden die Benutzer einer Netzgruppe - zugewiesen und allen Mitgliedern dieser Gruppe wird die - Anmeldung an einem Server erlaubt oder verwehrt. Wird ein - neuer Rechner hinzugefügt, müssen die Zugangsbeschränkungen - nur für die Netzgruppen festlegelegt werden. Wird ein neuer - Benutzer angelegt, muss er nur einer oder mehreren Netzgruppen - zugewiesen werden. Diese Veränderungen sind voneinander - unabhängig; Anweisungen der Form <quote>für diese Kombination - aus Benutzer und Rechner mache Folgendes ...</quote> sind - nicht mehr nötig. Wenn die Einrichtung von <acronym>NIS</acronym> sorgfältig - geplant wurde, muss nur noch eine zentrale Konfigurationsdatei - bearbeitet werden, um den Zugriff auf bestimmte Rechner zu - erlauben oder zu verbieten.</para> - - <para>Der erste Schritt ist die Initialisierung der <acronym>NIS</acronym>-Maps - der Netzgruppe. &man.ypinit.8; kann dies unter &os; nicht - automatisch durchführen. Sind die Maps aber erst einmal - erzeugt, werden sie jedoch von <acronym>NIS</acronym> problemlos unterstützt. - Um eine leere Map zu erzeugen, geben Sie Folgendes ein:</para> - - <screen>ellington&prompt.root; <userinput>vi /var/yp/netgroup</userinput></screen> - - <para>Danach legen Sie die Einträge an. Für unser - Beispiel benötigen wir mindestens vier Netzgruppen: - IT-Beschäftige, IT-Lehrlinge, normale Beschäftigte - sowie Praktikanten.</para> + <para>Bei der Verwendung von Netzgruppen wird jeder Benutzer + einer oder mehreren Netzgruppen zugewiesen und die Anmeldung + wird dann für die Netzgruppe erlaubt oder verwehrt. Wenn ein + neuer Rechner hinzugefügt wird, müssen die + Zugangsbeschränkungen nur für die Netzgruppen festgelegt + werden. Wird ein neuer Benutzer angelegt, muss er einer oder + mehreren Netzgruppen zugewiesen werden. Wenn die Einrichtung + von <acronym>NIS</acronym> sorgfältig geplant wurde, muss nur + noch eine zentrale Konfigurationsdatei bearbeitet werden, um + den Zugriff auf bestimmte Rechner zu erlauben oder zu + verbieten.</para> + + <para>Dieses Beispiel erstellt vier Netzgruppen: + IT-Mitarbeiter, IT-Lehrlinge, normale Mitarbeiter + sowie Praktikanten:</para> <programlisting>IT_EMP (,alpha,test-domain) (,beta,test-domain) IT_APP (,charlie,test-domain) (,delta,test-domain) @@ -2071,19 +2062,19 @@ USERS (,echo,test-domain) (,foxtro (,golf,test-domain) INTERNS (,able,test-domain) (,baker,test-domain)</programlisting> - <para>Bei <literal>IT_EMP</literal>, <literal>IT_APP</literal> - usw. handelt es sich um Netzgruppennamen. In den Klammern - werden diesen Netzgruppen jeweils ein oder mehrere - Benutzerkonten hinzugefügt. Die drei Felder in der - Klammer haben folgende Bedeutung:</para> + <para>Jede Zeile konfiguriert eine Netzgruppe. Die erste Spalte + der Zeile bezeichnet den Namen der Netzgruppe. Die Einträge + in den Klammern stehen entweder für eine Gruppe von einem oder + mehreren Benutzern, oder für den Namen einer weiteren + Netzgruppe. Wenn ein Benutzer angegeben wird, haben die drei + Felder in der Klammer folgende Bedeutung:</para> <orderedlist> <listitem> - <para>Der Name des Rechners, auf dem die folgenden Werte - gültig sind. Wird kein Rechnername festgelegt, ist der - Eintrag auf allen Rechnern gültig. Wenn ein Rechnername - angegeben ist, muss auf viele Einzelheiten in dieser - Konfiguration geachtet werden.</para> + <para>Der Name des Rechner(s), auf dem die weiteren Felder + für den Benutzer gültig sind. Wird kein Rechnername + festgelegt, ist der Eintrag auf allen Rechnern + gültig.</para> </listitem> <listitem> @@ -2098,42 +2089,38 @@ INTERNS (,able,test-domain) (,baker, </listitem> </orderedlist> - <para>Jedes Feld kann Wildcards enthalten. Die Einzelheiten - entnehmen Sie bitte &man.netgroup.5;.</para> + <para>Wenn eine Gruppe mehrere Benutzer enthält, müssen diese + durch Leerzeichen getrennt werden. Darüber hinaus kann jedes + Feld Wildcards enthalten. Weitere Einzelheiten finden Sie in + &man.netgroup.5;.</para> - <note> <indexterm><primary>Netzgruppen</primary></indexterm> <para>Netzgruppennamen sollten nicht länger als 8 Zeichen - sein, insbesondere wenn Rechner mit verschiedenen - Betriebssystemen in der <acronym>NIS</acronym>-Domäne betrieben werden. Es - wird zwischen Groß- und Kleinschreibung unterschieden. - Die Verwendung von Großbuchstaben für Netzgruppennamen - ermöglicht eine leichte Unterscheidung zwischen Benutzern, - Rechnern und Netzgruppen.</para> + sein. Es wird zwischen Groß- und Kleinschreibung + unterschieden. Die Verwendung von Großbuchstaben für + Netzgruppennamen ermöglicht eine leichte Unterscheidung + zwischen Benutzern, Rechnern und Netzgruppen.</para> <para>Einige <acronym>NIS</acronym>-Clients (dies gilt nicht - für &os;) können keine Netzgruppen mit einer großen Anzahl von - Einträgen verwalten. Einige ältere Versionen von &sunos; - haben beispielsweise Probleme, wenn Netzgruppen mehr als - fünfzehn <emphasis>Einträge</emphasis> enthalten. Diese - Grenze kann umgangen werden, indem mehrere Subnetzgruppen - mit weniger als fünfzehn Benutzern anlegt und diese - Subnetzgruppen wiederum in einer Netzgruppe - zusammengefasst wird:</para> + für &os;) können keine Netzgruppen mit mehr als 15 Einträgen + verwalten. Diese Grenze kann umgangen werden, indem mehrere + Subnetzgruppen mit weniger als fünfzehn Benutzern angelegt + werden und diese Subnetzgruppen wiederum in einer Netzgruppe + zusammengefasst wird, wie in diesem Beispiel zu + sehen:</para> <programlisting>BIGGRP1 (,joe1,domain) (,joe2,domain) (,joe3,domain) [...] BIGGRP2 (,joe16,domain) (,joe17,domain) [...] BIGGRP3 (,joe31,domain) (,joe32,domain) BIGGROUP BIGGRP1 BIGGRP2 BIGGRP3</programlisting> - <para>Wiederholen Sie diesen Vorgang , wenn Sie mehr als 225 - Benutzer in einer einzigen Netzgruppe benötigen. - </para> - </note> + <para>Wiederholen Sie diesen Vorgang, wenn mehr als 225 + (15*15) Benutzer in einer einzigen Netzgruppe + existieren.</para> - <para>Das Aktivieren und Verteilen der neuen - <acronym>NIS</acronym>-Map ist einfach:</para> + <para>Die neue <acronym>NIS</acronym>-Map aktivieren und + verteilen:</para> <screen>ellington&prompt.root; <userinput>cd /var/yp</userinput> ellington&prompt.root; <userinput>make</userinput></screen> @@ -2142,8 +2129,7 @@ ellington&prompt.root; <userinput>make</ <filename>netgroup.byhost</filename> und <filename>netgroup.byuser</filename> erzeugt. Prüfen Sie die Verfügbarkeit der neuen <acronym>NIS</acronym>-Maps mit - &man.ypcat.1;. - </para> + &man.ypcat.1;:</para> <screen>ellington&prompt.user; <userinput>ypcat -k netgroup</userinput> ellington&prompt.user; <userinput>ypcat -k netgroup.byhost</userinput> @@ -2155,9 +2141,10 @@ ellington&prompt.user; <userinput>ypcat Netzgruppen erzeugt wurden. Der dritte Befehl gibt die Netzgruppen nach Benutzern sortiert aus.</para> - <para>Die Einrichtung der Clients ist einfach. Es muss - lediglich auf dem Server <systemitem>war</systemitem> - &man.vipw.8; aufgerufen werden und die Zeile</para> + <para>Wenn Sie einen Client einrichten, verwenden Sie + &man.vipw.8; um den Namen der Netzgruppe anzugeben. Ersetzen + Sie beispielsweise auf dem Server namens + <systemitem>war</systemitem> die folgende Zeile:</para> <programlisting>+:::::::::</programlisting> @@ -2167,12 +2154,12 @@ ellington&prompt.user; <userinput>ypcat <para>ersetzt werden.</para> - <para>Ab sofort werden nur noch die Daten der in der Netzgruppe - <literal>IT_EMP</literal> vorhandenen Benutzer in die - Passwortdatenbank von <systemitem>war</systemitem> importiert. - Nur diese Benutzer dürfen sich am Server anmelden.</para> + <para>Diese Zeile legt fest, dass nur noch Benutzer der + Netzgruppe <literal>IT_EMP</literal> in die Passwortdatenbank + dieses Systems importiert werden. Nur diese Benutzer dürfen + sich an diesem Server anmelden.</para> - <para>Unglücklicherweise gilt diese Einschränkung auch für die + <para>Diese Konfiguration gilt auch für die <literal>~</literal>-Funktion der Shell und für alle Routinen, die auf Benutzernamen und numerische Benutzer-IDs zugreifen. Oder anders formuliert, <command>cd ~user</command> ist nicht @@ -2181,77 +2168,50 @@ ellington&prompt.user; <userinput>ypcat <command>find . -user joe -print</command> erzeugt die Fehlermeldung <errorname>No such user</errorname>. Um dieses Problem zu beheben, müssen alle Benutzereinträge importiert - werden, <emphasis>ohne ihnen jedoch zu erlauben, sich am - Server anzumelden</emphasis>.</para> - - <para>Dazu fügen Sie eine weitere Zeile in - <filename>/etc/master.passwd</filename> ein. Diese Zeile sollte - ähnlich der folgenden aussehen:</para> - - <para><literal>+:::::::::/sbin/nologin</literal>, was in etwa - <quote>Importiere alle Einträge, aber ersetze die Shell in den - importierten Einträgen durch - <filename>/sbin/nologin</filename></quote> entspricht. Es ist - möglich, jedes Feld der <literal>passwd</literal>-Einträge zu - ersetzen, indem ein einen Standardwert in - <filename>/etc/master.passwd</filename> eingetragen - wird.</para> - - <warning> - <para>Stellen Sie sicher, dass die Zeile - <literal>+:::::::::/sbin/nologin</literal> - <emphasis>nach</emphasis> der Zeile - <literal>+@IT_EMP:::::::::</literal> eingetragen ist. Sonst - haben alle via <acronym>NIS</acronym> importierten Benutzerkonten - <filename>/sbin/nologin</filename> als Loginshell.</para> - </warning> - - <para> - Nach dieser Änderung muss die <acronym>NIS</acronym>-Map nur noch geändert - werden, wenn ein neuer Mitarbeiter der IT-Abteilung beitritt. - Ein ähnlicher Ansatz für weniger wichtige Server kann durch - das Ersetzten des alten Eintrags <literal>+:::::::::</literal> - in der lokalen Version von - <filename>/etc/master.passwd</filename> mit etwas wie folgt - verwendet werden:</para> + werden, ohne ihnen jedoch zu erlauben, sich am Server + anzumelden. Dies kann durch das Hinzufügen einer zusätzlichen + Zeile erreicht werden:</para> + + <programlisting>+:::::::::/sbin/nologin</programlisting> + + <para>Diese Zeile weist den Client an, alle Einträge zu + importieren, aber die Shell in diesen Einträgen durch + <filename>/sbin/nologin</filename> zu ersetzen.</para> + + <para>Stellen Sie sicher, dass die zusätzliche Zeile + <emphasis>nach</emphasis> der Zeile + <literal>+@IT_EMP:::::::::</literal> eingetragen ist. + Andernfalls haben alle via <acronym>NIS</acronym> + importierten Benutzerkonten <filename>/sbin/nologin</filename> + als Loginshell und niemand wird sich mehr am System anmelden + können.</para> + + <para>Um die weniger wichtigen Server zu konfigurieren, ersetzen + Sie den alten Eintrag <literal>+:::::::::</literal> auf den + Servern mit diesen Zeilen:</para> <programlisting>+@IT_EMP::::::::: +@IT_APP::::::::: +:::::::::/sbin/nologin</programlisting> - <para>Die entsprechenden Zeilen für normale Arbeitsplätze - lauten:</para> + <para>Die entsprechenden Zeilen für Arbeitsplätze lauten:</para> <programlisting>+@IT_EMP::::::::: +@USERS::::::::: +:::::::::/sbin/nologin</programlisting> - <para>Ab jetzt wäre alles wunderbar, allerdings ändert - sich kurz darauf die Firmenpolitik: Die IT-Abteilung beginnt - damit, Praktikanten zu beschäftigen. Praktikanten - dürfen sich an normalen Arbeitsplätzen sowie an den - weniger wichtigen Servern anmelden. Die IT-Praktikanten - dürfen sich nun auch an den Hauptservern anmelden. Sie - legen also die neue Netzgruppe <literal>IT_INTERN</literal> - an, weisen Ihr die neuen IT-Praktikanten als Benutzer zu und - beginnen damit, die Konfiguration auf jedem einzelnen Rechner - zu ändern. Halt! Sie haben gerade die alte Regel - <quote>Fehler in der zentralisierten Planung führen zu - globaler Verwirrung.</quote> bestätigt.</para> - - <para>Da <acronym>NIS</acronym> in der Lage ist, Netzgruppen aus anderen Netzgruppen - zu bilden, lassen sich solche Situationen leicht vermeiden. - Eine Möglichkeit ist die Erzeugung rollenbasierter - Netzgruppen. Sie könnten eine Netzgruppe - <literal>BIGSRV</literal> erzeugen, um den Zugang zu - den wichtigsten Servern zu beschränken, eine weitere - Gruppe <literal>SMALLSRV</literal> für die weniger - wichtigen Server und eine dritte Netzgruppe - <literal>USERBOX</literal> für die normalen - Arbeitsplatzrechner. Jede dieser Netzgruppen enthält die - Netzgruppen, die sich auf diesen Rechnern anmelden dürfen. - Die Einträge der Netzgruppen in der <acronym>NIS</acronym>-Map sollten - ähnlich den folgenden aussehen:</para> + <para><acronym>NIS</acronym> ist in der Lage, Netzgruppen aus + anderen Netzgruppen zu bilden. Dies kann nützlich sein, wenn + sich die Firmenpolitik ändert. Eine Möglichkeit ist die + Erzeugung rollenbasierter Netzgruppen. Sie könnten eine + Netzgruppe <literal>BIGSRV</literal> erzeugen, um den Zugang + zu den wichtigsten Servern zu beschränken, eine weitere Gruppe + <literal>SMALLSRV</literal> für die weniger wichtigen Server + und eine dritte Netzgruppe <literal>USERBOX</literal> für die + Arbeitsplatzrechner. Jede dieser Netzgruppen enthält die + Netzgruppen, die sich auf diesen Rechnern anmelden dürfen. + Die Einträge der Netzgruppen in der <acronym>NIS</acronym>-Map + sollten ähnlich den folgenden aussehen:</para> <programlisting>BIGSRV IT_EMP IT_APP SMALLSRV IT_EMP IT_APP ITINTERN @@ -2264,7 +2224,7 @@ USERBOX IT_EMP ITINTERN USERS</progra rechnerspezischen Zugangsbeschränkung benötigt. </para> - <para>Rechnerspezifische Netzgruppen sind die zweite + <para>Rechnerspezifische Netzgruppen sind eine weitere Möglichkeit, um mit den oben beschriebenen Änderungen umzugehen. In diesem Szenario enthält <filename>/etc/master.passwd</filename> auf jedem Rechner zwei @@ -2273,18 +2233,16 @@ USERBOX IT_EMP ITINTERN USERS</progra Rechner anmelden dürfen. Die zweite Zeile weist allen anderen Benutzern <filename>/sbin/nologin</filename> als Shell zu. Verwenden Sie auch hier (analog zu den Netzgruppen) - Großbuchstaben für die Rechnernamen. Die Zeilen - sollten also ähnlich den folgenden aussehen:</para> + Großbuchstaben für die Rechnernamen:</para> <programlisting>+@<replaceable>BOXNAME</replaceable>::::::::: +:::::::::/sbin/nologin</programlisting> <para>Sobald dies für alle Rechner erledigt ist, müssen die - lokalen Versionen von <filename>/etc/master.passwd</filename> + lokalen Versionen von <filename>/etc/master.passwd</filename> nie mehr verändert werden. Alle weiteren Änderungen geschehen - über die <acronym>NIS</acronym>-Maps. Nachfolgend ein Beispiel für eine - mögliche Netzgruppen-Map, die durch einige Besonderheiten - erweitert wurde:</para> + über die <acronym>NIS</acronym>-Maps. Nachfolgend ein + Beispiel für eine mögliche Netzgruppen-Map:</para> <programlisting># Define groups of users first IT_EMP (,alpha,test-domain) (,beta,test-domain) @@ -2323,164 +2281,56 @@ TWO (,hotel,test-domain) # [...more groups to follow] </programlisting> - <para>Wenn eine Datenbank verwendet wird, um Benutzerkonten zu - verwalten, kann es möglich sein, den ersten Teil der <acronym>NIS</acronym>-Map - mit den Datenbanktools zu erstellen. Auf diese Weise haben - neue Benutzer automatisch Zugriff auf die Rechner.</para> - - <para>Eine letzte Warnung: Es ist nicht immer ratsam, - rechnerbasierte Netzgruppen zu verwenden. Wenn Dutzende - oder gar Hunderte identische Rechner einrichtet werden müssen, - sollten rollenbasierte Netzgruppen verwendet werden, um die - Größe der <acronym>NIS</acronym>-Maps in Grenzen zu halten.</para> - </sect2> - - <sect2> - <title>Weitere wichtige Punkte</title> - - <para>Nachdem die Rechner in der <acronym>NIS</acronym>-Umgebung - eingerichtet sind, müssen Administratoren einige Dinge anders - als bisher erledigen.</para> - - <itemizedlist> - <listitem> - <para>Jedes Mal, wenn ein neuer Benutzer angelegt wird, - muss er am <acronym>NIS</acronym>-Masterserver hinzugefügt - und die <acronym>NIS</acronym>-Maps anschließend neu - erzeugt werden. Wird dieser Punkt vergessen, kann sich - der neue Benutzer <emphasis>nur</emphasis> am - <acronym>NIS</acronym>-Masterserver anmelden. - Wenn wir also den neuen Benutzer - <systemitem class="username">jsmith</systemitem> anlegen, - gehen wir folgerndermassen vor:</para> - - <screen>&prompt.root; <userinput>pw useradd jsmith</userinput> -&prompt.root; <userinput>cd /var/yp</userinput> -&prompt.root; <userinput>make test-domain</userinput></screen> - - <para>Statt <command>pw useradd jsmith</command> kann - auch <command>adduser jsmith</command> verwendet - werden.</para> - </listitem> - - <listitem> - <para><emphasis>Tragen Sie die Administratorkonten nicht - in die <acronym>NIS</acronym>-Maps ein</emphasis>. Dies ist unerwünscht und - stellt ein Sicherheitsrisiko dar. Diese Benutzer und - Passwörter sollten nicht auf alle Maschinen verteilt - werden. Vor allem, wenn sich Benutzer anmelden können, die - auf diese Konten keinen Zugriff haben sollen.</para> - </listitem> - - <listitem> - <para><emphasis>Sichern Sie die - <acronym>NIS</acronym>-Master- und Slaveserver - und minimieren Sie die Ausfallzeiten</emphasis>. Wenn - diese Rechner gehackt oder einfach nur ausgeschaltet - werden, haben viele Leute keinen Netzwerkzugriff - mehr.</para> - - <para>Dies ist die größte Schwäche jeder zentralen - Verwaltung. Wenn die <acronym>NIS</acronym>-Server nicht geschützt sind, - wird es viele verärgerte Anwender und ein unzufriedenes - Management geben.</para> - </listitem> - </itemizedlist> - </sect2> - - <sect2> - <title>Kompatibilität zu <acronym>NIS</acronym> v1</title> - - <para>&os;s <application>ypserv</application> unterstützt - <acronym>NIS</acronym> v1 nur eingeschränkt. Die - <acronym>NIS</acronym>-Implementierung von &os; verwendet nur - <acronym>NIS</acronym> v2, andere Implementierungen - unterstützen aus Gründen der Abwärtskompatibilität mit älteren - Systemen auch <acronym>NIS</acronym> v1. Die mit diesen - Systemen gelieferten - <application>ypbind</application>-Daemonen versuchen, sich an - einen <acronym>NIS</acronym>-v1-Server zu binden (Dies selbst - dann, wenn sie ihn nie benötigen. Außerdem versuchen Sie auch - dann, einen v1-Server zu erreichen, wenn Sie zuvor eine - Antwort von einem v2-Server erhalten.). Während normale - Clientaufrufe unter &os; unterstützt werden, sind - Anforderungen zum Transfer von v1-Maps nicht möglich. Zudem - kann &os; nicht als Client oder Server verwendet werden, wenn - ein <acronym>NIS</acronym>-Server vorhanden ist, der nur - <acronym>NIS</acronym> v1 unterstützt. Glücklicherweise - sollte es heute keine Server mehr geben, die nur - <acronym>NIS</acronym> v1 unterstützen.</para> + <para>Es ist nicht immer ratsam, rechnerbasierte Netzgruppen zu + verwenden. Wenn Dutzende oder Hunderte identische Rechner + eingerichtet werden müssen, sollten rollenbasierte Netzgruppen + verwendet werden, um die Größe der <acronym>NIS</acronym>-Maps + in Grenzen zu halten.</para> </sect2> <sect2> <title>Passwortformate</title> + <indexterm> <primary>NIS</primary> <secondary>Passwortformate</secondary> </indexterm> - <para>Unterschiedliche Passwortformate sind das Hauptproblem, - das beim Einrichten eines <acronym>NIS</acronym>-Servers - auftreten kann. Wenn der <acronym>NIS</acronym>-Server mit - DES verschlüsselte Passwörter - verwendet, werden nur Clients unterstützt, die ebenfalls - DES benutzen. Wenn sich im Netzwerk beispielsweise - &solaris; <acronym>NIS</acronym>-Clients befinden, müssen die - Passwörter sehr wahrscheinlich mit DES verschlüsselt - werden.</para> + + <para>Alle Rechner innerhalb der <acronym>NIS</acronym>-Domäne + müssen für die Verschlüsselung von Passwörtern das gleiche + Format benutzen. Wenn Benutzer Schwierigkeiten bei der + Authentifizierung auf einem <acronym>NIS</acronym>-Client + haben, liegt dies möglicherweise an einem anderen + Passwort-Format. In einem heterogenen Netzwerk muss das + verwendete Format von allen Betriebssystemen unterstützt + werden, wobei <acronym>DES</acronym> der kleinste gemeinsame + Standard ist.</para> <para>Welches Format die Server und Clients verwenden, - steht in <filename>/etc/login.conf</filename>. Wenn ein - System Passwörter mit DES verschlüsselt, - enthält die <literal>default</literal>-Klasse einen - Eintrag wie den folgenden:</para> + steht in <filename>/etc/login.conf</filename>:</para> <programlisting>default:\ :passwd_format=des:\ :copyright=/etc/COPYRIGHT:\ [weitere Einträge]</programlisting> - <para>Mögliche Werte für - <literal>passwd_format</literal> sind unter anderem - <literal>blf</literal> und <literal>md5</literal> (mit + <para>In diesem Beispiel verwendet das System das Format + <acronym>DES</acronym>. Weitere mögliche Werte sind unter + anderem <literal>blf</literal> und <literal>md5</literal> (mit Blowfish und MD5 verschlüsselte Passwörter).</para> - <para>Wenn die Datei <filename>/etc/login.conf</filename> - geändert wird, muss die Login-Capability Datenbank - neu erstellt werden. Geben Sie dazu als - <systemitem class="username">root</systemitem> den folgenden - Befehl ein:</para> + <para>Wird auf einem Rechner das Format entsprechend der + <acronym>NIS</acronym>-Domäne geändert, muss anschließend die + Login-Capability Datenbank neu erstellt werden:</para> <screen>&prompt.root; <userinput>cap_mkdb /etc/login.conf</userinput></screen> <note> - <para>Das Format der schon in - <filename>/etc/master.passwd</filename> befindlichen - Passwörter wird erst aktualisiert, wenn ein Benutzer - sein Passwort ändert, <emphasis>nachdem</emphasis> - die Datenbank neu erstellt wurde.</para> + <para>Das Format der schon bestehenden Passwörter wird erst + aktualisiert, wenn ein Benutzer sein Passwort ändert, + <emphasis>nachdem</emphasis> die Datenbank neu erstellt + wurde.</para> </note> - - <para>Damit die Passwörter auch im gewählten - Format abgespeichert werden, muss mit - <literal>crypt_default</literal> in der Datei - <filename>/etc/auth.conf</filename> die richtige - Priorität der Formate eingestellt werden. Das - gewählte Format sollte als Erstes in der Liste - stehen. Sollen die Passwörter mit DES verschlüsselt - werden, verwenden Sie den folgenden Eintrag:</para> - - <programlisting>crypt_default = des blf md5</programlisting> - - <para>Wenn alle &os; basierten <acronym>NIS</acronym>-Server und - <acronym>NIS</acronym>-Clients entsprechend - den obigen Schritten eingestellt sind, wird im ganzen - Netzwerk dasselbe Passwortformat verwendet. Falls Benutzer - Probleme mit der Authentifizierung eines - <acronym>NIS</acronym>-Clients - haben, kontrollieren Sie die verwendeten Passwortformate. - In einer heterogenen Umgebung wird wahrscheinlich DES benutzt - werden müssen, da dies der meist unterstützte Standard - ist.</para> </sect2> </sect1>
Want to link to this message? Use this URL: <https://mail-archive.FreeBSD.org/cgi/mid.cgi?201604081725.u38HPxGs002076>