Date: Thu, 15 May 2014 14:13:12 +0000 (UTC) From: Remko Lodder <remko@FreeBSD.org> To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-translations@freebsd.org Subject: svn commit: r44841 - translations/nl_NL.ISO8859-1/books/handbook/security Message-ID: <201405151413.s4FEDC07013698@svn.freebsd.org>
next in thread | raw e-mail | index | archive | help
Author: remko Date: Thu May 15 14:13:12 2014 New Revision: 44841 URL: http://svnweb.freebsd.org/changeset/doc/44841 Log: Work in progres Facilitated by: Snow B.V. Modified: translations/nl_NL.ISO8859-1/books/handbook/security/chapter.xml Modified: translations/nl_NL.ISO8859-1/books/handbook/security/chapter.xml ============================================================================== --- translations/nl_NL.ISO8859-1/books/handbook/security/chapter.xml Thu May 15 02:46:04 2014 (r44840) +++ translations/nl_NL.ISO8859-1/books/handbook/security/chapter.xml Thu May 15 14:13:12 2014 (r44841) @@ -1460,7 +1460,6 @@ sendmail : PARANOID : deny</programlisti <sect1 xml:id="kerberos5"> <info> - <title><application>Kerberos5</application></title> <authorgroup> @@ -1485,32 +1484,28 @@ sendmail : PARANOID : deny</programlisti <para><application>Kerberos</application> is een netwerkdienst, protocol en systeem waarmee gebruikers zich kunnen aanmelden - met behulp van een dienst op een veilige server. Diensten als - op een andere server aanmelden, op afstand kopiëren, veilig - tussen systemen kopiëren en andere taken met een hoog risico - worden aanmerkelijk veiliger en beter controleerbaar.</para> - - <para><application>Kerberos</application> kan omschrijven worden + met behulp van een dienst op een veilige server. + <application>Kerberos</application> kan omschrijven worden als identiteitbevestigend proxy systeem. Het kan ook omschreven worden als een vertrouwd autenticatiesysteem van een - derde partij. <application>Kerberos</application> vervult maar - één taak: het veilig autenticeren van gebruikers - op het netwerk. Het vervult geen autorisatietaken (wat - gebruikers mogen) en controleert ook niets (wat gebruikers hebben - gedaan). Nadat een cliënt en server - <application>Kerberos</application> hebben gebruikt om hun - identiteit vast te stellen kunnen ze ook al hun communicatie - coderen om hun privacy en gegevensintegriteit te garanderen.</para> - - <para>Daarom wordt het sterk aangeraden om - <application>Kerberos</application> samen met andere - beveiligingsmechanismen te gebruiken die autorisatie en - controlemogelijkheden bieden.</para> - - <para>De aanwijzingen die nu volgen kunnen gebruikt worden als - werkinstructie om <application>Kerberos</application> in te - stellen zoals dat wordt meegeleverd met &os;. Een complete - beschrijving staat in de handleiding.</para> + derde partij. Nadat een gebruiker geauthenticeerd is via + <application>Kerberos</application>, wordt alle communicatie + versleuteld om privacy en data integriteit te kunnen + borgen.</para> + + <para>De enige functie van <application>Kerberos</application> is + om een veilige manier van authenticatie van gebruikers te + leveren. Het levert geen authorisatie functionaliteit (wat + gebruikers mogen doen) en ook geen auditing functionaliteit + (wat deze gebruikers hebben gedaan). Het wordt aangeraden om + <application>Kerberos</application> met andere beveiligings + methoden te gebruiken welke authenticatie en auditing + functionaliteit bieden.</para> + + <para>Deze sectie levert een handleiding voor het opzetten van + <application>Kerberos</application> zoals deze wordt meegeleverd + met &os;. Bekijk de relevante handleidingen voor meer complete + beschrijvingen.</para> <para>Voor demonstratie van de installatie van <application>Kerberos</application> wordt gebruik gemaakt van de @@ -1519,21 +1514,20 @@ sendmail : PARANOID : deny</programlisti <itemizedlist> <listitem> <para>Het <acronym>DNS</acronym> domein (<quote>zone</quote>) - is example.org.</para> + is <systemitem class="fqdomainname">example.org</systemitem>.</para> </listitem> <listitem> <para>De <application>Kerberos</application> wereld is - EXAMPLE.ORG.</para> + <literal>EXAMPLE.ORG</literal>.</para> </listitem> </itemizedlist> <note> - <para>Het advies is voor installaties van - <application>Kerberos</application> echte domeinnamen te - gebruiken, zelfs als het alleen intern wordt gebruikt. Hiermee - worden <acronym>DNS</acronym> problemen voorkomen is een - goede samenwerking met andere + <para>Maak gebruik van echte domeinnamen wanneer + <application>Kerberos</application> wordt opgezet, ook al + draait deze alleen intern. Dit voorkomt <acronym>DNS</acronym> + problemen en is een goede samenwerking met andere <application>Kerberos</application> werelden verzekerd.</para> </note> @@ -1556,8 +1550,8 @@ sendmail : PARANOID : deny</programlisti <para><application>Kerberos</application> is zowel de naam van een netwerkautorisatieprotocol als een bijvoeglijk naamwoord om - de programma's te beschrijven die gebruik maken van het - programma (zoals <application>Kerberos</application> telnet). + de programma's te beschrijven die hier gebruik van maken, zoals + <application>Kerberos</application> telnet. De huidige versie van het protocol is versie 5 en is beschreven in <acronym>RFC</acronym> 1510.</para> @@ -1568,21 +1562,22 @@ sendmail : PARANOID : deny</programlisti ontwikkelt nog steeds door aan hun <application>Kerberos</application> pakket. Het wordt in de <acronym>VS</acronym> veel gebruikt als coderingspakket en - daarom wordt het ook geraakt door de exportwetgeving van de - <acronym>VS</acronym>. <application>Kerberos</application> - van <acronym>MIT</acronym> is beschikbaar als port + werd daarom historisch gezien geraakt door de exportwetgeving + van de <acronym>VS</acronym>. + <application>Kerberos</application> van <acronym>MIT</acronym> + is beschikbaar als pakket of port (<package>security/krb5</package>). Heimdal <application>Kerberos</application> is een andere implementatie van versie 5 die expliciet buiten de <acronym>VS</acronym> is ontwikkeld om de exportwetgeving de omzeilen (en wordt daarom vaak gebruikt in niet-commerciële &unix; varianten). De Heimdal <application>Kerberos</application> distributie is - beschikbaar als port (<package>security/heimdal</package>) en er zit een - minimale installatie in de basisinstallatie van &os;.</para> + beschikbaar als port (<package>security/heimdal</package>) en + er zit een minimale installatie in de basisinstallatie van + &os;.</para> - <para>Om het grootst mogelijke publiek te bereiken gaan deze - instructies ervan uit dat de Heimdal distributie die bij &os; - zit wordt gebruikt.</para> + <para>Deze instructies gaan er vanuit dat dat de Heimdal + distributie zoals bijgeleverd in &os;</para> </sect2> <sect2> @@ -1613,8 +1608,8 @@ sendmail : PARANOID : deny</programlisti <para>Het opzetten van een <acronym>KDC</acronym> begint met de controle of de instellingen in <filename>/etc/rc.conf</filename> juist zijn om te functioneren - als <acronym>KDC</acronym> (misschien moeten paden veranderd - worden voor een eigen systeem):</para> + als <acronym>KDC</acronym>. Waar nodig moeten de + paden aangepast worden voor het eigen systeem:</para> <programlisting>kerberos5_server_enable="YES" kadmind5_server_enable="YES"</programlisting> @@ -1633,15 +1628,18 @@ kadmind5_server_enable="YES"</programlis [domain_realm] .example.org = EXAMPLE.ORG</programlisting> - <para><filename>/etc/krb5.conf</filename> gaat ervan uit dat de - <acronym>KDC</acronym> de volledig gekwalificeerde hostnaam <systemitem class="fqdomainname">kerberos.example.org</systemitem> heeft. Als de - <acronym>KDC</acronym> een andere hostnaam heeft, moet er nog - een CNAME (alias) toegevoegd aan de zonefile.</para> + <para>Deze <filename>/etc/krb5.conf</filename> impliceert dat + de <acronym>KDC</acronym> gebruik maakt van volledig + gekwalificeerde hostnaam + <systemitem class="fqdomainname">kerberos.example.org</systemitem>. + Voeg een CNAME (alias) toe aan de zone file om dit te + bewerkstelligen als de <acronym>KDC</acronym> een andere + hostnaam heeft.</para> <note> <para>Voor grotere netwerken met een juist ingestelde - <acronym>BIND</acronym> <acronym>DNS</acronym> server kan - het bovenstaande voorbeeld ingekort worden tot:</para> + <acronym>DNS</acronym> server kan het bovenstaande voorbeeld + ingekort worden tot:</para> <programlisting>[libdefaults] default_realm = EXAMPLE.ORG</programlisting> @@ -1665,33 +1663,30 @@ _kerberos IN TXT EXAMPLE. <emphasis>en</emphasis> een correct ingestelde DNS-server.</para> </note> - <para>Nu wordt de <application>Kerberos</application> - database aangemaakt. Deze database bevat de sleutels voor - alle principals en zijn versleuteld met een hoofdwachtwoord. - Dit wachtwoord hoeft niet onthouden te worden omdat het wordt - opgeslagen in (<filename>/var/heimdal/m-key</filename>). De - hoofdsleutel wordt aangemaakt door <command>kstash</command> - te starten en een wachtwoord in te voeren.</para> - - <para>Als de hoofdsleutel is gemaakt, kan de database - ingeschakeld worden met <command>kadmin</command> - met de optie <literal>-l</literal> (die staat voor - <quote>local</quote>). Deze optie geeft - <command>kadmin</command> de opdracht om de databasebestanden - direct te wijzigingen in plaats van via de - <command>kadmind</command> netwerkdienst. Hiermee wordt het - kip-ei-probleem opgelost waarbij een verbinding wordt gemaakt - met de database voordat hij bestaat. Op het prompt van - <command>kadmin</command> kan met <command>init</command> - de database met de werelden aangemaakt worden.</para> - - <para>Tenslotte, nog steeds in <command>kadmin</command>, kan - de eerste principal gemaakt worden met - <command>add</command>. De standaardopties voor de principal - worden nu aangehouden. Deze kunnen later altijd - nog gewijzigd worden met <command>modify</command>. Met - het commando <literal>?</literal> kunnen alle beschikbare - mogelijkheden getoond worden.</para> + <para>Nu moet de <application>Kerberos</application> database + worden aangemaakt, welke de sleutels bevat van alle principals + versleuteld met een master-wachtwoord. Het is niet nodig om + dit wachtwoord te onthouden, omdat deze wordt bewaard in + <filename>/var/heimdal/m-key</filename>. Om het + master-wachtwoord te maken wordt &man.kstash.8; gebruikt + en moet er een wachtwoord worden opgegeven.</para> + + <para>Zodra de master sleutel gecreeerd is, moet de database + worden geinitialiseerd door het <command>kadmin -l</command> + commando. Deze optie instrueert &man.kadmin.8; om de lokale + database bestanden direct te modificeren in plaats van via de + &man.kadmind.8; netwerk dienst. Dit lost het kip-en-ei + probleem op door verbinding te maken met de database voordat + deze aangemaakt is. Op de &man.kadmin.8; prompt wordt het + <command>init</command> commando gebruikt om de initiele + database van de realm aan te maken.</para> + + <para>Als laatste, nog steeds in &man.kadmin.8;, moet de eerste + principal worden aangemaakt met het <command>add</command> + commando. Gebruik de standaard instellingen voor de principal + voor nu, deze kunnen later gewijzigd worden met het + <command>modify</command> commando. Type <literal>?</literal> + om een lijst van beschikbare opties te zien.</para> <para>Hieronder een sessie waarin een voorbeelddatabase wordt aangemaakt:</para> @@ -1710,15 +1705,15 @@ Attributes []: Password: <userinput>xxxxxxxx</userinput> Verifying password - Password: <userinput>xxxxxxxx</userinput></screen> - <para>Nu kan de <acronym>KDC</acronym> dienst gestart worden - met <command>service kerberos start</command> en - <command>service kadmind start</command>. Op dit moment - draait er nog geen enkele daemon die gebruik maakt van - <application>Kerberos</application>. Bevestiging dat - <acronym>KDC</acronym> draait is te krijgen door een ticket te - vragen en dat uit te lezen voor de principal (gebruiker) - die zojuist is aangemaakt vanaf de commandoregel van het - <acronym>KDC</acronym> zelf:</para> + <para>Hierna kan de <acronym>KDC</acronym> dienst gestart worden. + Start het commando <command>service kerberos start</command> + en <command>service kadmind start</command> om de diensten op + te starten. Ondanks dat er nog geen gekerboriseerde diensten + draaien is het mogelijk om te bevestigen dat de + <acronym>KDC</acronym> functioneert door een ticket te + verkrijgen en te printen voor de zojuist aangemaakte + principal via de commando regel op de <acronym>KDC</acronym> + zelf:</para> <screen>&prompt.user; <userinput>kinit tillman</userinput> tillman@EXAMPLE.ORG's Password: @@ -1745,6 +1740,25 @@ Aug 27 15:37:58 Aug 28 01:37:58 krbtgt <secondary>diensten inschakelen</secondary> </indexterm> + <para>Kopieer als eerste <filename>/etc/krb5.conf</filename> + op een veilige manier van de <acronym>KDC</acronym> naar de + client computer, zoals met &man.scp.1; of fysiek via + verwijderbare media.</para> + + <para>Creeer hierna <filename>/etc/krb5.keytab</filename>. + Dit is het grote verschil tussen een server die + <application>Kerberos</application> ingeschakelde diensten + levert en een werkstation: de server moet een + <filename>keytab</filename> hebben. Dit bestand bevat de + hostkey van de server, welke de client en de + <acronym>KDC</acronym> in staat stelt om elkaar te verifieren. + Deze moet verstuurd worden naar de server op een veilige manier + omdat de beveiliging verbroken kan worden als de sleutel + publiek gemaakt wordt.</para> + + <!-- XXX RL 1544 --> + <para> + <para>Als eerste is een kopie van het instellingenbestand van <application>Kerberos</application> nodig, <filename>/etc/krb5.conf</filename>. Dit bestand kan
Want to link to this message? Use this URL: <https://mail-archive.FreeBSD.org/cgi/mid.cgi?201405151413.s4FEDC07013698>