From 49a2de723f97ca17f35bb77ebee721a700a237af Mon Sep 17 00:00:00 2001 From: Remko Lodder Date: Fri, 19 Sep 2008 09:28:18 +0000 Subject: [PATCH] MFen o network-servers 1.72 -> 1.108 Submitted by: Rene Ladan Obtained from: The FreeBSD Dutch Documentation Project --- .../handbook/network-servers/chapter.sgml | 3918 ++++++++--------- 1 file changed, 1818 insertions(+), 2100 deletions(-) diff --git a/nl_NL.ISO8859-1/books/handbook/network-servers/chapter.sgml b/nl_NL.ISO8859-1/books/handbook/network-servers/chapter.sgml index d0e28e5a3d..2938197339 100644 --- a/nl_NL.ISO8859-1/books/handbook/network-servers/chapter.sgml +++ b/nl_NL.ISO8859-1/books/handbook/network-servers/chapter.sgml @@ -3,7 +3,9 @@ $FreeBSD$ $FreeBSDnl: doc/nl_NL.ISO8859-1/books/handbook/network-servers/chapter.sgml,v 1.48 2006/01/05 21:13:23 siebrand Exp $ - Gebaseerd op: 1.72 + + %SOURCE% en_US.ISO8859-1/books/handbook/network-servers/chapter.sgml + %SRCID% 1.108 --> @@ -74,15 +76,14 @@ - Hoe een bestands- en printserver voor &windows; clients - opgezet kan worden met + Hoe een bestand-- en printserver voor &windows; + cliënten opgezet kan worden met Samba; Hoe datum en tijd gesynchroniseerd kunnen worden en hoe - een tijdserver opgezet kan worden met het NTP - protocol. + een tijdserver opgezet kan worden met het NTP-protocol. @@ -112,7 +113,14 @@ Chern Lee - Geschreven door + Bijgedragen door + + + + + + Bijgewerkt voor &os; 6.1-RELEASE door + The &os; Documentation Project @@ -123,17 +131,18 @@ Overzicht - &man.inetd.8; wordt de internet Super-Server - genoemd, omdat die verbindingen voor meerdere diensten beheert. - Als door inetd een verbinding wordt - ontvangen, bepaalt die voor welk programma de verbinding - bedoeld is, spawnt dat proces en delegeert de socket (het - programma wordt gestart met de socket van de dienst als - zijn standaard invoer, uitvoer en foutbeschrijvingen). Het - draaien van één instantie van - inetd reduceert de load op een - systeem in vergelijking met het in stand-alone modus draaien - van alle daemons. + &man.inetd.8; wordt soms de + Internet Super-Server genoemd, omdat het + verbindingen voor meerdere diensten beheert. Als door + inetd een verbinding wordt ontvangen, + bepaalt die voor welk programma de verbinding bedoeld is, + splitst het dat proces af en delegeert de socket (het programma + wordt gestart met de socket van de dienst als zijn + standaardinvoer, -uitvoer en -foutbeschrijvingen). Het draaien + van inetd voor servers die niet veel + gebruikt worden kan de algehele werklast verminderen in + vergelijking met het draaien van elke daemon individueel in + stand-alone modus. inetd wordt primair gebruikt om andere daemons aan te roepen, maar het handelt een aantal @@ -152,17 +161,26 @@ Instellingen inetd wordt gestart door het - /etc/rc.conf systeem. De + &man.rc.8;-systeem. De optie inetd_enable staat standaard op - NO, maar wordt door - sysinstall vaak ingeschakeld door de - instellingen van het medium beveiligingsprofiel. Door het - instellen van - inetd_enable="YES" of - inetd_enable="NO" in - /etc/rc.conf wordt + NO, maar kan tijdens de installatie door + sysinstall worden aangezet. Door het + plaatsen van + + inetd_enable="YES" + + of + + inetd_enable="NO" + + in /etc/rc.conf wordt inetd bij het opstarten van een - systeem wel of niet ingeschakeld. + systeem wel of niet ingeschakeld. Het commando: + + &prompt.root; /etc/rc.d/inetd rcvar + + kan gedraaid worden om de huidige effectieve instellingen + weer te geven. Dan kunnen er ook nog een aantal commandoregelopties aan inetd meegegeven worden met de optie @@ -172,48 +190,32 @@ Commandoregelopties - inetd overzicht: + Zoals de meeste serverdaemons heeft + inetd een aantal opties die + doorgegeven kunnen worden om het gedrag aan te passen. De + volledige lijst van opties is: - inetd [-d] [-l] [-w] [-W] [-c maximum] [-C rate] [-a adres | hostnaam] - [-p bestandsnaam] [-R rate] [instellingenbestand] + inetd + + Opties kunnen door middel van de optie + inetd_flags in + /etc/rc.conf aan + inetd worden doorgegeven. Standaard + staat inetd_flags ingesteld op + -wW -C 60, dat TCP-wrapping aanzet voor de + diensten van inetd, en voorkomt dat + elk enkelvoudig IP-adres enige dienst meer dan 60 keer per + minuut opvraagt. + + Beginnende gebruikers zullen blij zijn om te weten dat deze + parameters gewoonlijk niet hoeven te worden aangepast, alhoewel + we de ratebeperkende opties hieronder noemen aangezien ze + nuttig kunnen zijn in het geval u een buitensporig aantal + verbindingen ontvangt. Een volledige lijst van opties staat in + de hulppagina &man.inetd.8;. - - -d - - - Schakel debugging in. - - - - - -l - - - Schakel het loggen van succesvolle verbindingen - in. - - - - - -w - - - Schakel TCP Wrapping voor externe diensten in (staat - standaard aan). - - - - - -W - - - Schakel TCP Wrapping voor internet diensten uit - inetd in (staat standaard - aan). - - - -c maximum @@ -230,7 +232,7 @@ Geeft het maximale aantal keren aan dat een dienst - vanaf een bepaald IP adres per minuut aangeroepen kan + vanaf een bepaald IP-adres per minuut aangeroepen kan worden. Kan per dienst ter zijde geschoven worden met de parameter . @@ -249,54 +251,17 @@ - -a + -s maximum - Geeft een of meer IP adres associaties aan. Er kan - ook een hostnaam opgegeven worden, in welk geval het IPv4 - of IPv6 adres dat met de hostnaam overeenkomst wordt - gebruikt. Meestal wordt er een hostnaam gebruikt als - inetd in een &man.jail.8; - draait en de hostnaam dus overeenkomst met de - &man.jail.8;-omgeving. - - Als er een hostnaam wordt aangegeven en zowel IPv4 - als IPv6 zijn nodig, dan moeten er twee instellingen - in /etc/inetd.conf gemaakt worden, - voor beide protocollen een. Een TCP-gebaseerde - dienst heeft bijvoorbeeld twee regels met instellingen - nodig: tcp4 en tcp6 - voor beide protocollen. - - - - - -p - - - Geeft het bestand aan waarin het proces ID opgeslagen - moet worden. + Specificeert het maximaal aantal keer per minuut dat + een dienst aangeroepen kan worden vanuit een enkelvoudig + IP-adres; de standaard is onbeperkt. Kan worden + overstemd op een per-dienst-basis met de parameter + . - - Al deze opties kunnen aan inetd - meegegeven worden met de optie inetd_flags - in /etc/rc.conf. Standaard staat - inetd_flags op –wW, - dat TCP wrapping voor de interne en externe diensten van - inetd inschakelt. Voor beginnende - gebruikers hoeven deze waarden meestal niet aangepast te worden - of ingegeven te worden in - /etc/rc.conf. - - - Een externe dienst is een daemon buiten - inetd, die wordt aangesproken als - er een verbinding voor wordt ontvangen. Een interne dienst - is een dienst die inetd vanuit - zichzelf kan aanbieden. - @@ -308,31 +273,30 @@ Als er een wijziging wordt aangebracht in /etc/inetd.conf, dan kan inetd gedwongen worden om de - instellingen opnieuw in te lezen door een HangUP signaal naar - het inetd proces te sturen: + instellingen opnieuw in te lezen door dit commando te draaien: - - <application>inetd</application> een HangUP signaal - sturen + + Het instellingenbestand van +<application>inetd</application> herladen - &prompt.root; kill -HUP `cat /var/run/inetd.pid` + &prompt.root; /etc/rc.d/inetd reload Iedere regel in het bestand met instellingen heeft betrekking op een individuele daemon. Commentaar wordt vooraf - gegaan door een #. De opmaak van - /etc/inetd.conf is als volgt: + gegaan door een #. De opmaak van elke regel + van /etc/inetd.conf is als volgt: service-name socket-type protocol -{wait|nowait}[/max-child[/max-connections-per-ip-per-minute]] +{wait|nowait}[/max-child[/max-connections-per-ip-per-minute[/max-child-per-ip]]] user[:group][/login-class] server-program server-program-arguments - Een voorbeeldregel voor de ftpd - daemon met IPv4: + Een voorbeeldregel voor de daemon &man.ftpd.8; met IPv4 kan + eruit zien als: ftp stream tcp nowait root /usr/libexec/ftpd ftpd -l @@ -358,10 +322,10 @@ server-program-arguments Dit is stream, dgram, raw of seqpacket. stream - moet gebruikt worden voor connectie gebaseerde TCP - daemons, terwijl dgram wordt gebruikt - voor daemons die gebruik maken van het - UDP transport protocol. + moet gebruikt worden voor verbindingsgebaseerde + TCP-daemons, terwijl dgram wordt + gebruikt voor daemons die gebruik maken van het + transportprotocol UDP. @@ -424,7 +388,7 @@ server-program-arguments - {wait|nowait}[/max-child[/max-connections-per-ip-per-minute]] + {wait|nowait}[/max-child[/max-connections-per-ip-per-minute[/max-child-per-ip]]] geeft aan of de daemon @@ -435,52 +399,63 @@ server-program-arguments daemons, die meestal multi-threaded zijn, de optie horen te gebruiken. geeft meestal meerdere sockets aan - een daemon, terwijl een child - daemon spawnt voor iedere nieuwe socket. + een daemon, terwijl een kinddaemon + draait voor iedere nieuwe socket. - Het maximun aantal child daemons dat - inetd mag spawnen kan + Het maximum aantal kinddaemons dat + inetd mag voortbrengen kan ingesteld worden met de optie . Als een limiet van tien instanties van een bepaalde daemon gewenst is, dan zou er /10 - achter gezet worden. + achter gezet worden. Door + /0 wordt een onbeperkt aantal kinderen + toegestaan. - Naast is er nog een andere - optie waarmee het maximale aantal verbindingen van een - bepaalde plaats naar een daemon ingesteld kan worden. - Dat kan met - . Een - waarde van tien betekent hier dat er van iedere IP adres - maximaal tien verbindingen naar daemon tot stand gebracht - kunnen worden. Dit kan gebruikt worden om bedoeld en - onbedoeld bronnengebruik van een machine te + Naast zijn er nog twee + andere opties waarmee het maximale aantal verbindingen van + een bepaalde plaats naar een daemon ingesteld kan worden. + beperkt + het aantal verbindingen per minuut voor enig IP-adres, een + waarde van tien betekent hier dat er van ieder IP-adres + maximaal tien verbindingen naar een bepaalde dienst tot + stand gebracht kunnen worden. + beperkt het aantal + kindprocessen dat namens enig IP-adres op enig moment + gestart kan worden. Deze opties kunnen zijn nuttig om + bedoeld en onbedoeld buitensporig bronnengebruik van en + Denial of Service (DoS) aanvallen op een machine te voorkomen. - In dit veld is of - verplicht. - en - zijn - optioneel. + In dit veld is één van + of + verplicht. , + en + zijn optioneel. Een stream-type multi-threaded daemon zonder - or - - limieten is eenvoudigweg: + één van de limieten + , + of + is eenvoudigweg: nowait. Dezelfde daemon met een maximale limiet van tien daemons zou zijn: nowait/10. Dezelfde instellingen met een limiet van twintig - connecties per IP adres per minuut en een totaal maximum - van tien child daemons zou zijn: + verbindingen per IP-adres per minuut en een totaal maximum + van tien kinddaemons zou zijn: nowait/10/20. Deze opties worden allemaal gebruikt door de - standaardinstelling voor de - fingerd daemon: + standaardinstellingen van de daemon &man.fingerd.8;: finger stream tcp nowait/3/10 nobody /usr/libexec/fingerd fingerd -s + + Als afsluiting, een voorbeeld in dit veld met een + maximum van 100 kinderen in totaal, met een maximum van 5 + voor enig IP-adres zou zijn: + nowait/100/0/5. @@ -532,27 +507,29 @@ server-program-arguments Beveiliging - Afhankelijk van het beveiligingsprofiel dat bij de - installatie is gekozen, kunnen veel van de daemons van - inetd standaard ingeschakeld zijn. - Het is verstandig een daemon die niet noodzakelijk is uit te - schakelen! Dat kan door een # voor de daemon - in /etc/inetd.conf en dan een hangup signaal naar inetd te - sturen. Sommige daemons, zoals + Afhankelijk van keuzes gemaakt tijdens de installatie, + kunnen veel van de diensten van inetd + standaard ingeschakeld zijn. Het is verstandig te overwegen om + een daemon dat niet noodzakelijk is uit te schakelen. Plaats + een # voor de daemon in + /etc/inetd.conf en herlaad vervolgens de + instellingen van inetd. Sommige daemons, zoals fingerd, zijn wellicht helemaal niet - gewenst omdat ze een aanvaller te veel informatie geven. + gewenst omdat ze informatie geven die nuttig kan zijn voor een + aanvaller. Sommige daemons zijn zich niet echt bewust van beveiliging - en hebben lange of niet bestaande time-outs voor + en hebben lange of niet bestaande timeouts voor verbindingspogingen. Hierdoor kan een aanvaller langzaam veel verbindingen maken met een daemon en zo beschikbare bronnen verzadigen. Het is verstandig voor die daemons de limietopties - en - te gebruiken. + , + of + te gebruiken als ze naar uw smaak teveel verbindingen hebben. - TCP wrapping staat standaard aan. Er staat meer informatie - over het zetten van TCP restricties op de verschillende daemons + TCP-wrapping staat standaard aan. Er staat meer informatie + over het zetten van TCP-restricties op de verschillende daemons die door inetd worden aangesproken in &man.hosts.access.5;. @@ -569,11 +546,10 @@ server-program-arguments van inetd. De dienst auth biedt - identiteitsnetwerkdiensten (ident, - identd) en is tot op een bepaald - niveau instelbaar. + identiteitsnetwerkdiensten en is tot op een bepaald niveau + instelbaar, terwijl de anderen eenvoudigweg aan of uit staan. - Er staat meer informatie in &man.inetd.8;. + Meer diepgaande informatie staat in &man.inetd.8;. @@ -586,6 +562,7 @@ server-program-arguments Gereorganiseerd en verbeterd door + Bill @@ -626,7 +603,7 @@ server-program-arguments - Opslagapparaten als floppydisks, cd-rom drives en + Opslagapparaten als floppydisks, CD-ROM drives en &iomegazip; drives kunnen door andere machines op een netwerk gebruikt worden. Hierdoor kan het aantal drives met verwijderbare media in een netwerk verkleind worden. @@ -637,18 +614,10 @@ server-program-arguments Hoe <acronym>NFS</acronym> werkt NFS bestaat uit tenminste twee - hoofdonderdelen: een server en een of meer clients. De client - benadert de gegevens die op een server machine zijn opgeslagen - via een netwerk. Om dit mogelijk te maken moeten er een aantal - processen ingesteld en gestart worden. - - - In &os; 4.X is het hulpprogramma - portmap gebruikt in plaats van - rpcbind. Dus in &os; 4.X - moet elke rpcbind vervangen - worden door portmap in de - volgende voorbeelden. + hoofdonderdelen: een server en een of meer cliënten. De + cliënt benadert de gegevens die op een servermachine zijn + opgeslagen via een netwerk. Om dit mogelijk te maken moeten er + een aantal processen ingesteld en gestart worden. Op de server moeten de volgende daemons draaien: @@ -658,15 +627,13 @@ server-program-arguments - fileserver + bestandsserver - UNIX clients + UNIX cliënten rpcbind - portmap - mountd nfsd @@ -689,14 +656,14 @@ server-program-arguments nfsd - De NFS daemon die verzoeken van - de NFS clients afhandelt. + De NFS-daemon die verzoeken van + de NFS cliënten afhandelt. mountd - De NFS mountdaemon die + De NFS koppeldaemon die doorgestuurde verzoeken van &man.nfsd.8; uitvoert. @@ -704,20 +671,20 @@ server-program-arguments rpcbind - Deze daemon geeft NFS - clients aan welke poort de NFS - server gebruikt. + Deze daemon geeft voor + NFS-cliënten aan welke poort de + NFS-server gebruikt. - Op de client kan ook een daemon draaien: - nfsiod. De - nfsiod daemon handelt verzoeken van - de NFS server af. Dit is optioneel en kan - de prestaties verbeteren, maar het is niet noodzakelijk voor - een normale en correcte werking. Meer informatie staat in + Op de cliënt kan ook een daemon draaien: + nfsiod. De daemon + nfsiod handelt verzoeken van de + NFS-server af. Dit is optioneel en kan de + prestaties verbeteren, maar het is niet noodzakelijk voor een + normale en correcte werking. Meer informatie staat in &man.nfsiod.8;. @@ -745,7 +712,7 @@ mountd_flags="-r" mountd start automatisch als de NFS server is ingeschakeld. - Op de client dient de volgende optie in + Op de cliënt dient de volgende optie in /etc/rc.conf te staan: nfs_client_enable="YES" @@ -756,9 +723,9 @@ mountd_flags="-r" sharen). Iedere regel in /etc/exports slaat op een bestandssysteem dat wordt geëxporteerd en welke machines toegang hebben - tot dat bestandssysteem. Samen met machines die toegang - hebben, kunnen ook toegangsopties worden aangegeven. Er zijn - veel opties beschikbaar, maar hier worden er maar een paar + tot dat bestandssysteem. Samen met machines die toegang hebben, + kunnen ook toegangsopties worden aangegeven. Er zijn veel + opties beschikbaar, maar hier worden er maar een paar beschreven. Alle opties staan beschreven in &man.exports.5;. @@ -768,7 +735,7 @@ mountd_flags="-r" NFS - export voorbeelden + exportvoorbeelden Het volgende voorbeeld geeft een beeld van hoe een @@ -785,44 +752,43 @@ mountd_flags="-r" /cdrom -ro host1 host2 host3 Het volgende voorbeeld exporteert - /home naar drie hosts op basis van IP - adres. Dit heeft zin als er een privaat netwerk bestaat, + /home naar drie hosts op basis van + IP-adres. Dit heeft zin als er een privaat netwerk bestaat, zonder dat er een DNS server is ingesteld. Optioneel kan /etc/hosts gebruikt worden om interne hostnamen in te stellen. Er is meer informatie te vinden in &man.hosts.5;. Met de vlag - mogen submappen ook mountpunten zijn. De submap wordt dan niet - feitelijk gemount, maar de client mount dan alleen de submappen - die verplicht of nodig zijn. + mogen submappen ook koppelpunten zijn. De submap wordt dan niet + feitelijk aangekoppeld, maar de cliënt koppelt dan alleen + de submappen aan die verplicht of nodig zijn. /home -alldirs 10.0.0.2 10.0.0.3 10.0.0.4 Het volgende voorbeeld exporteert /a - zo dat twee clients uit verschillende domeinen bij het + zo dat twee cliënten uit verschillende domeinen bij het bestandssysteem mogen. Met de vlag mag de gebruiker op het andere systeem gegevens naar het geëxporteerde bestandssysteem schrijven als root. Als de vlag niet wordt gebruikt, dan kan een gebruiker geen bestanden wijzigen op het - geëxporteerde bestandssysteem, zelfs niet als een - gebruiker daar root is. + geëxporteerde bestandssysteem, zelfs niet als een gebruiker + daar root is. /a -maproot=root host.example.com box.example.org - Om een client toegang te geven tot een geëxporteerd - bestandssysteem, moet die client daar rechten voor hebben. De - client moet daarvoor genoemd worden in - /etc/exports. + Om een cliënt toegang te geven tot een + geëxporteerd bestandssysteem, moet die cliënt daar + rechten voor hebben. De cliënt moet daarvoor genoemd + worden in /etc/exports. - In /etc/exports staat iedere regel - voor de exportinformatie van één bestandssysteem - naar één host. Per bestandssysteem mag een host - maar één keer genoemd worden en mag maar + In /etc/exports staat iedere regel voor + de exportinformatie van één bestandssysteem naar + één host. Per bestandssysteem mag een host maar + één keer genoemd worden en mag maar één standaard hebben. Stel bijvoorbeeld dat /usr een enkel bestandssysteem is. Dan is - de volgende /etc/exports niet - valide: + de volgende /etc/exports niet geldig: ># Werkt niet als /usr 1 bestandssysteem is /usr/src client @@ -837,35 +803,45 @@ mountd_flags="-r" De eigenschappen van een bestandssysteem dat naar een bepaalde host wordt geëxporteerd moeten allemaal op - één regel staan. Regels waarop geen client + één regel staan. Regels waarop geen cliënt wordt aangegeven worden behandeld als een enkele host. Dit beperkt hoe bestandssysteem geëxporteerd kunnen worden, - maar dat blijkt meestal geen probleem. + maar dat blijkt meestal geen probleem te zijn. - Het volgende voorbeeld is een valide exportlijst waar + Het volgende voorbeeld is een geldige exportlijst waar /usr en /exports lokale bestandssystemen zijn: - # Export src and ports to client01 and client02, but only -# client01 has root privileges on it + # Exporteer src en ports naar client01 en client02, +# maar alleen client01 heeft er rootprivileges /usr/src /usr/ports -maproot=root client01 /usr/src /usr/ports client02 -# The client machines have root and can mount anywhere -# on /exports. Anyone in the world can mount /exports/obj read-only +# De cliëntmachines hebben rootrechten en kunnen overal aankoppelen +# op /exports. Iedereen in de wereld kan /exports/obj als alleen-lezen aankoppelen. /exports -alldirs -maproot=root client01 client02 /exports/obj -ro - Als /etc/exports wordt aangepast, moet - mountd herstart worden om de - wijzigingen actief te maken. Dat kan door een HUP signaal naar - het mountd proces te sturen: + De daemon mountd moet gedwongen + worden om het bestand /etc/exports te + controleren steeds wanneer het is aangepast, zodat de + veranderingen effectief kunnen worden. Dit kan worden bereikt + door òfwel een HUP-signaal naar de draaidende daemon te + sturen: &prompt.root; kill -HUP `cat /var/run/mountd.pid` + of door het &man.rc.8; script mountd met + de juiste parameter aan te roepen: + + &prompt.root; /etc/rc.d/mountd onereload + + Raadpleeg voor meer + informatie over het gebruik van rc-scripts. + Het is ook mogelijk een machine te herstarten, zodat &os; alles netjes in kan stellen, maar dat is niet nodig. Het uitvoeren van de volgende commando's als - root hoort hezelfde resultaat te + root hoort hetzelfde resultaat te hebben. Op de NFS server: @@ -874,45 +850,76 @@ mountd_flags="-r" &prompt.root; nfsd -u -t -n 4 &prompt.root; mountd -r - Op de NFS client: + Op de NFS cliënt: &prompt.root; nfsiod -n 4 Nu is alles klaar om feitelijk het netwerkbestandssysteem - te mounten. In de volgende voorbeelden is de naam van de - server server en de naam van de client is - client. Om een netwerkbestandssysteem - slechts tijdelijk te mounten of om alleen te testen, kan een + aan te koppelen. In de volgende voorbeelden is de naam van de + server server en de naam van de cliënt is + client. Om een netwerkbestandssysteem slechts + tijdelijk aan te koppelen of om alleen te testen, kan een commando als het onderstaande als root op - de client uitgevoerd worden: + de cliënt uitgevoerd worden: NFS - mounten + aankoppelen &prompt.root; mount server:/home /mnt - Hiermee wordt de map /home op de - server gemount op /mnt op de client. Als - alles juist is ingesteld, zijn nu in /mnt - op de client de bestanden van de server zichtbaar. + Hiermee wordt de map /home op de server + aangekoppeld op /mnt op de cliënt. + Als alles juist is ingesteld, zijn nu in + /mnt op de cliënt de bestanden van de + server zichtbaar. Om een netwerkbestandssysteem iedere keer als een computer - opstart te mounten, kan het bestandssysteem worden toegevoegd - aan /etc/fstab file: + opstart aan te koppelen, kan het bestandssysteem worden + toegevoegd aan het bestand /etc/fstab: server:/home /mnt nfs rw 0 0 Alle beschikbare opties staan in &man.fstab.5;. + + Op slot zetten + + Voor sommige applicaties (b.v. + mutt) is het nodig dat bestanden op + slot staan om correct te werken. In het geval van + NFS, kan rpc.lockd + worden gebruikt voor het op slot zetten van bestanden. Voeg het + volgende toe aan het bestand /etc/rc.conf + op zowel de cliënt als de server om het aan te zetten (het + wordt aangenomen dat de NFS-cliënt en + -server reeds zijn geconfigureerd): + + rpc_lockd_enable="YES" +rpc_statd_enable="YES" + + Start de applicatie met: + + &prompt.root; /etc/rc.d/lockd start +&prompt.root; /etc/rc.d/statd start + + Als echt op slot zetten tussen de + NFS-cliënten en de + NFS-server niet nodig is, is het mogelijk om + de NFS-cliënt bestanden lokaal op slot + te laten zetten door aan &man.mount.nfs.8; + door te geven. In de handleidingpagina &man.mount.nfs.8; staan + verdere details. + + Mogelijkheden voor gebruik - NFS is voor veel doeleinden in te - zetten. Een aantal voorbeelden: + NFS is voor veel doeleinden in te zetten. + Een aantal voorbeelden: NFS @@ -922,7 +929,7 @@ mountd_flags="-r" - Een aantal machines een cd-rom of andere media laten + Een aantal machines een CD-ROM of andere media laten delen. Dat is goedkoper en vaak ook handiger, bijvoorbeeld bij het installeren van software op meerdere machines; @@ -956,6 +963,7 @@ mountd_flags="-r" Geschreven door + Chern @@ -965,46 +973,46 @@ mountd_flags="-r" - Automatisch mounten met + <title>Automatisch aankoppelen met <application>amd</application> amd automatic mounter daemon - &man.amd.8; (de automatic mounter daemon) mount automatisch - netwerkbestandssystemen als er aan een bestand of map binnen - dat bestandssysteem wordt gerefereerd. - amd unmount ook bestandssystemen die - een bepaalde tijd niet gebruikt worden. Het gebruikt van - amd is een aantrekkelijk en - eenvoudig alternatief ten opzichte van permanente mounts, - die meestal in /etc/fstab staan. + &man.amd.8; (de automatic mounter daemon) koppelt + automatisch netwerkbestandssystemen aan als er aan een bestand + of map binnen dat bestandssysteem wordt gerefereerd. + amd ontkoppelt ook bestandssystemen + die een bepaalde tijd niet gebruikt worden. Het gebruikt van + amd is een aantrekkelijk en eenvoudig + alternatief ten opzichte van permanente koppelingen, die meestal + in /etc/fstab staan. amd werkt door zichzelf als - NFS server te koppelen aan de mappen /host - en /net. Als binnen die mappen een - bestand wordt geraadpleegd, dan zoekt - amd de bijbehorende netwerkmount op - en mount die automatisch. /net wordt - gebruikt om een geëxporteerd bestandssysteem van een - IP adres te mounten, terwijl /host wordt - gebruikt om een geëxporteerd bestandssysteem van een - hostnaam te mounten. + NFS-server te koppelen aan de mappen /host + en /net. Als binnen die mappen een bestand + wordt geraadpleegd, dan zoekt amd de + bijbehorende netwerkkoppeling op en koppelt die automatisch aan. + /net wordt gebruikt om een + geëxporteerd bestandssysteem van een IP-adres aan te + koppelen, terwijl /host wordt gebruikt om + een geëxporteerd bestandssysteem van een hostnaam aan te + koppelen. Het raadplegen van een bestand in /host/foobar/usr geeft amd aan dat die moet proberen de /usr export op de host - foobar te mounten. + foobar aan te koppelen. - Een export mounten met + <title>Een export aankoppelen met <application>amd</application> - De beschikbare mounts van een netwerkhost zijn te + De beschikbare koppelingen van een netwerkhost zijn te bekijken met showmount. Om bijvoorbeeld - de mounts van de host foobar te + de koppelingen van de host foobar te bekijken: &prompt.user; showmount -e foobar @@ -1020,7 +1028,7 @@ Exports list on foobar: /host/foobar/usr wordt gegaan, probeert amd de hostnaam foobar te resolven en de gewenste export - automatisch te mounten. + automatisch aan te koppelen. amd kan gestart worden door de opstartscript door de volgende regel in @@ -1036,8 +1044,8 @@ Exports list on foobar: amd_flags="-a /.amd_mnt -l syslog /host /etc/amd.map /net /etc/amd.map" In het bestand /etc/amd.map staan - de standaardinstellingen waarmee exports gemount worden. In - het bestand /etc/amd.conf staan een + de standaardinstellingen waarmee exports aangekoppeld worden. + In het bestand /etc/amd.conf staan een aantal van de meer gevorderde instellingen van amd. @@ -1063,47 +1071,48 @@ Exports list on foobar: het bijzonder met NFS. Dit probleem is niet specifiek voor &os;, maar het kan op &os; wel voor komen. - Het probleem ontstaat bijna altijd als (&os;) PC systemen - netwerken met high-performance werkstations, zoals van Silicon - Graphics, Inc. en Sun Microsystems, Inc. De NFS mount werkt + Het probleem ontstaat bijna altijd als (&os;) PC-systemen + netwerken met hoog presterende werkstations, zoals van Silicon + Graphics, Inc. en Sun Microsystems, Inc. De NFS-koppeling werkt prima en wellicht lukken een aantal acties ook, maar dan ineens - lijkt de server niet meer te reageren voor de client, hoewel - verzoeken van en naar andere systemen gewoon verwerkt worden. - Dit gebeurt op een clientsysteem, of de client nu het &os - systeem is of het werkstation. Op veel systemen is er geen - manier om de client netjes af te sluiten als dit probleem is - ontstaan. Vaak is de enige mogelijkheid een reset van de - client, omdat het probleem met NFS niet opgelost kan - worden. + lijkt de server niet meer te reageren voor de cliënt, + hoewel verzoeken van en naar andere systemen gewoon verwerkt + worden. Dit gebeurt op een cliëntsysteem, of de + cliënt nu het &os; systeem is of het werkstation. Op veel + systemen is er geen manier om de cliënt netjes af te + sluiten als dit probleem is ontstaan. Vaak is de enige + mogelijkheid een reset van de cliënt, omdat het probleem + met NFS niet opgelost kan worden. Hoewel de enige correcte oplossing de aanschaf van een snellere en betere Ethernet adapter voor het - &os; systeem is, is er zo om het probleem heen te werken dat - het werkbaar is. Als &os; de server is, - kan de optie gebruikt worden bij het - mounten door de client. Als het &os; systeem de - client is, dan dient het NFS - bestandssysteem gemount te worden met de optie + &os; systeem is, is er zo om het probleem heen te werken dat het + werkbaar is. Als &os; de server is, kan de + optie gebruikt worden bij het + aankoppelen door de cliënt. Als het &os; systeem de + cliënt is, dan dient het + NFS-bestandssysteem aangekoppeld te worden met de optie . Deze opties kunnen het vierde veld zijn in een regel in fstab voor - automatische mounts en bij handmatige mounts met &man.mount.8; - kan de parameter gebruikt worden. + automatische aankoppelingen en bij handmatige aankoppelingen met + &man.mount.8; kan de parameter gebruikt + worden. Soms wordt een ander probleem voor dit probleem versleten, - als servers en clients zich op verschillende netwerken + als servers en cliënten zich op verschillende netwerken bevinden. Als dat het geval is, dan dient vastgesteld te worden dat routers de UDP informatie op de juiste wijze routeren, - omdat er anders nooit NFS verkeer gerouteerd kan worden. + omdat er anders nooit NFS-verkeer gerouteerd kan worden. In de volgende voorbeelden is fastws de - host(interface)naam van een high-performance werkstation en + host(interface)naam van een hoog presterend werkstation en freebox is de host(interface)naam van een &os; - systeem met een Ehernet adapter die mindere prestaties levert. + systeem met een Ethernet adapter die mindere prestaties levert. /sharedfs wordt het geëxporteerde - NFS bestandssysteem (zie &man.exports.5;) en - /project wordt het mountpunt voor het - geëxporteerde bestandssysteem op de client. + NFS-bestandssysteem (zie &man.exports.5;) en + /project wordt het koppelpunt voor het + geëxporteerde bestandssysteem op de cliënt. In sommige gevallen kunnen applicaties beter draaien als @@ -1112,14 +1121,13 @@ Exports list on foobar: worden. - Voorbeelden voor het &os; systeem - (freebox) als de client in - /etc/fstab op + Voorbeelden voor het &os; systeem (freebox) + als de cliënt in /etc/fstab op freebox: fastws:/sharedfs /project nfs rw,-r=1024 0 0 - Als een handmatig mountcommando op + Als een handmatig aankoppelcommando op freebox: &prompt.root; mount -t nfs -o -r=1024 fastws:/sharedfs /project @@ -1130,7 +1138,7 @@ Exports list on foobar: freebox:/sharedfs /project nfs rw,-w=1024 0 0 - Als een handmatig mountcommando op + Als een handmatig aankoppelcommando op fastws: &prompt.root; mount -t nfs -o -w=1024 freebox:/sharedfs /project @@ -1144,34 +1152,33 @@ Exports list on foobar: hersteld kan worden. NFS werkt meestal met een blockgrootte van 8 K (hoewel het mogelijk is dat er kleinere fragmenten worden verwerkt). Omdat de - maximale grootte van een Ethernet pakket rond de - 1500 bytes ligt, wordt een block - opgesplitst in meerdere Ethernet pakketten, hoewel het hoger in - de code nog steeds één eenheid is, en wordt - ontvangen, samengevoegd en bevestigd - als een eenheid. De high-performance werkstations kunnen de - pakketten waaruit een NFS eenheid bestaat bijzonder snel naar - buiten pompen. Op de kaarten met minder capaciteit worden de - eerdere pakketten door de latere pakketten van dezelfde eenheid - ingehaald voordat ze bij die host zijn aangekomen en daarom kan - de eenheid niet worden samengesteld en bevestigd. Als gevolg - daarvan ontstaat er op het werkstation een time-out en probeert - die de eenheid opnieuw te sturen, maar dan weer de hele eenheid - van 8 K, waardoor het proces wordt herhaald, ad - infinitum. + maximale grootte van een Ethernet pakket rond de 1500 bytes + ligt, wordt een block opgesplitst in meerdere + Ethernetpakketten, hoewel het hoger in de code nog steeds + één eenheid is, en wordt ontvangen, samengevoegd en + bevestigd als een eenheid. De hoog + presterende werkstations kunnen de pakketten waaruit een + NFS-eenheid bestaat bijzonder snel naar buiten pompen. Op de + kaarten met minder capaciteit worden de eerdere pakketten door + de latere pakketten van dezelfde eenheid ingehaald voordat ze + bij die host zijn aangekomen en daarom kan de eenheid niet + worden samengesteld en bevestigd. Als gevolg daarvan ontstaat + er op het werkstation een timeout en probeert die de eenheid + opnieuw te sturen, maar dan weer de hele eenheid van 8 K, + waardoor het proces wordt herhaald, ad infinitum. Door de grootte van de eenheid kleiner te houden dan de - grootte van een Ethernet pakket, is het zeker dat elk Ethernet - pakket dat compleet is aangekomen bevestigd kan worden, zodat - de deadlock niet ontstaat. + grootte van een Ethernet pakket, is het zeker dat elk + Ethernetpakket dat compleet is aangekomen bevestigd kan worden, + zodat de deadlock niet ontstaat. - Toch kan een PC systeem nog wel overrompeld worden als - high-performance werkstations er op inhakken, maar met de - betere netwerkkaarten valt het dan in ieder geval niet om door - de NFS eenheden. Als het systeem toch wordt - overrompeld, dan worden de betrokken eenheden opnieuw - verstuurd en dan is de kans groot dat ze worden ontvangen, - samengevoegd en bevestigd. + Toch kan een PC systeem nog wel overrompeld worden als hoog + presterende werkstations er op inhakken, maar met de betere + netwerkkaarten valt het dan in ieder geval niet om door de NFS + eenheden. Als het systeem toch wordt + overrompeld, dan worden de betrokken eenheden opnieuw verstuurd + en dan is de kans groot dat ze worden ontvangen, samengevoegd en + bevestigd. @@ -1184,6 +1191,7 @@ Exports list on foobar: Geschreven door + Eric @@ -1219,13 +1227,12 @@ Exports list on foobar: NIS, dat staat voor Netwerkinformatiediensten (Network Information - Services), is ontwikkeld door Sun Microsystems om het beheer - van &unix; (origineel &sunos;) systemen te centraliseren. + Services), is ontwikkeld door Sun Microsystems om het beheer van + &unix; (origineel &sunos;) systemen te centraliseren. Tegenwoordig is het eigenlijk een industriestandaard geworden. Alle grote &unix; achtige systemen (&solaris;, HP-UX, &aix;, - &linux;, NetBSD, OpenBSD, &os;, enzovoort) ondersteunen - NIS. + &linux;, NetBSD, OpenBSD, &os;, enzovoort) ondersteunen NIS. yellow pagesNIS @@ -1240,12 +1247,12 @@ Exports list on foobar: domeinen - Het is een op RPC gebaseerd client/server systeem waarmee - een groep machines binnen een NIS domein een gezamenlijke set - met instellingenbestanden kan delen. Hierdoor kan een - beheerder NIS systemen opzetten met een minimaal aantal - instellingen en vanaf een centrale lokatie instellingen - toevoegen, verwijderen en wijzigen. + Het is een op RPC-gebaseerd cliënt/serversysteem + waarmee een groep machines binnen een NIS-domein een + gezamenlijke verzameling met instellingenbestanden kan delen. + Hierdoor kan een beheerder NIS-systemen opzetten met een + minimaal aantal instellingen en vanaf een centrale lokatie + instellingen toevoegen, verwijderen en wijzigen. Windows NT @@ -1259,8 +1266,8 @@ Exports list on foobar: Er zijn een aantal termen en belangrijke gebruikersprocessen die een rol spelen bij het implementeren - van NIS op &os;, zowel bij het maken van een NIS server als bij - het maken van een systeem dan NIS client is: + van NIS op &os;, zowel bij het maken van een NIS-server als bij + het maken van een systeem dan NIS-cliënt is: rpcbind @@ -1283,13 +1290,13 @@ Exports list on foobar: - NIS domeinnaam + NIS-domeinnaam - Een NIS master server en al zijn clients - (inclusief zijn slave master) hebben een NIS - domeinnaan. Vergelijkbaar met een &windowsnt; - domeinnaam, maar de NIS domeinnaam heeft niets te maken - met DNS. + Een NIS-masterserver en al zijn cliënten + (inclusief zijn slave master) hebben een NIS-domeinnaam. + Vergelijkbaar met een &windowsnt; domeinnaam, maar de + NIS-domeinnaam heeft niets te maken met + DNS. @@ -1299,51 +1306,49 @@ Exports list on foobar: Procedure Call in te schakelen, een netwerkprotocol dat door NIS gebruikt wordt). Als rpcbind niet draait, dan kan - een NIS server niet draaien en kan een machine ook geen - NIS client zijn (In &os; 4.X wordt - portmap in plaats van - rpcbind). + er geen NIS-server draaien en kan een machine ook geen + NIS-cliënt zijn. ypbind - Verbindt een NIS client aan zijn - NIS server. Dat gebeurt door met de NIS domeinnaam van - het systeem en door het gebruik van RPC - te verbinden met de server. + Verbindt een NIS-cliënt aan + zijn NIS-server. Dat gebeurt door met de NIS-domeinnaam + van het systeem en door het gebruik van + RPC te verbinden met de server. ypbind is de kern van - client-server communicatie in een NIS omgeving. Als - ypbind op een machine - stopt, dan kan die niet meer bij de NIS server - komen. + cliënt-server communicatie in een NIS-omgeving. + Als ypbind op een machine + stopt, dan kan die niet meer bij de NIS-server komen. ypserv - Hoort alleen te draaien op NIS servers. Dit is - het NIS server proces zelf. Als &man.ypserv.8; stopt, - dan kan de server niet langer reageren op NIS - verzoeken (hopelijk is er dan een slave server om het - over te nemen). Er zijn een aantal implementaties van - NIS, maar niet die op &os;, die geen verbinding met - een andere server proberen te maken als de server - waarmee ze verbonden waren niet meer reageert. In dat - geval is vaak het enige dat werkt het server proces - herstarten (of zelfs de hele server) of het - ypbind proces op de - client. + Hoort alleen te draaien op NIS-servers. Dit is + het NIS-serverproces zelf. Als &man.ypserv.8; stopt, + dan kan de server niet langer reageren op NIS-verzoeken + (hopelijk is er dan een slaveserver om het over te + nemen). Er zijn een aantal implementaties van NIS, maar + niet die op &os;, die geen verbinding met een andere + server proberen te maken als de server waarmee ze + verbonden waren niet meer reageert. In dat geval is + vaak het enige dat werkt het serverproces herstarten (of + zelfs de hele server) of het + ypbind-proces op de + cliënt. rpc.yppasswdd - Nog een proces dat alleen op NIS master servers - hoort te draaien. Dit is een daemon waarbij NIS - clients hun NIS wachtwoorden kunnen wijzigen. Als deze - daemon niet draait, moeten gebruikers aanmelden op de - NIS master server en daar hun wachtwoord wijzigen. + Nog een proces dat alleen op NIS-masterservers + hoort te draaien. Dit is een daemon waarbij + NIS-cliënten hun NIS-wachtwoorden kunnen wijzigen. + Als deze daemon niet draait, moeten gebruikers zich + aanmelden op de NIS-masterserver en daar hun wachtwoord + wijzigen. @@ -1355,21 +1360,21 @@ Exports list on foobar: Hoe werkt het? - Er zijn drie typen hosts in een NIS omgeving: master - servers, slave servers en clients. Servers zijn het centrale - depot voor instellingen voor een host. Master servers - bevatten de geauthoriseerd kopie van die informatie, terwijl - slave servers die informatie spiegelen voor redundantie. - Clients verlaten zich op de servers om hun die informatie ter - beschikking te stellen. + Er zijn drie typen hosts in een NIS-omgeving: master + servers, slaveservers en cliënten. Servers zijn het + centrale depot voor instellingen voor een host. Masterservers + bevatten de geautoriseerd kopie van die informatie, terwijl + slaveservers die informatie spiegelen voor redundantie. + Cliënten verlaten zich op de servers om hun die informatie + ter beschikking te stellen. Op deze manier kan informatie uit veel bestanden gedeeld worden. De bestanden master.passwd, group en hosts - worden meestal via NIS gedeeld. Als een proces op een client - informatie nodig heeft die normaliter in een van die lokale - bestanden staat, dan vraagt die het in plaats daarvan aan - de NIS servers waarmee hij verbonden is. + worden meestal via NIS gedeeld. Als een proces op een + cliënt informatie nodig heeft die normaliter in een van die + lokale bestanden staat, dan vraagt die het in plaats daarvan aan + de NIS-servers waarmee hij verbonden is. Soorten machines @@ -1378,21 +1383,21 @@ Exports list on foobar: NIS - master server + masterserver - Een NIS master server. Deze - server onderhoudt, analoog aan een &windowsnt; primary - domain controller, de bestanden die door alle NIS clients - gebruikt worden. De bestanden - passwd, group - en andere bestanden die door de NIS clients gebruikt - worden staan op de master server. + Een NIS-masterserver. Deze + server onderhoudt, analoog aan een &windowsnt; primaire + domeincontroller, de bestanden die door alle + NIS-cliënten gebruikt worden. De bestanden + passwd, group en + andere bestanden die door de NIS-cliënten gebruikt + worden staan op de masterserver. Het is mogelijk om één machine master - server te laten zijn voor meerdere NIS domeinen. Dat + server te laten zijn voor meerdere NIS-domeinen. Dat wordt in deze inleiding echter niet beschreven, omdat die uitgaat van een relatief kleine omgeving. @@ -1401,32 +1406,32 @@ Exports list on foobar: NIS - slave server + slaveserver - NIS slave servers. Deze zijn + NIS-slaveservers. Deze zijn te vergelijken met &windowsnt; backup domain controllers. - NIS slave servers beheren een kopie van de bestanden met - gegevens op de NIS master. NIS slave servers bieden + NIS-slaveservers beheren een kopie van de bestanden met + gegevens op de NIS-master. NIS-slaveservers bieden redundantie, die nodig is in belangrijke omgevingen. Ze helpen ook om de belasting te verdelen met de master - server: NIS client maken altijd een verbinding met de NIS - server die het eerst reageert en dat geldt ook voor - antwoorden van slave servers. + server: NIS-cliënten maken altijd een verbinding met + de NIS-server die het eerst reageert en dat geldt ook voor + antwoorden van slaveservers. NIS - client + cliënt - NIS clients. NIS clients - authenticeren, net als de meeste &windowsnt; - werkstations, tegen de NIS server (of de &windowsnt; - domain controller in het geval van &windowsnt; + NIS-cliënten. + NIS-cliënten authenticeren, net als de meeste + &windowsnt; werkstations, tegen de NIS-server (of de + &windowsnt; domain controller in het geval van &windowsnt; werkstations) bij het aanmelden. @@ -1437,29 +1442,22 @@ Exports list on foobar: NIS/YP gebruiken Dit onderdeel behandelt het opzetten van een - NIS voorbeeldomgeving. - - - Dit onderdeel veronderstelt dat &os; 3.3 of later - draait. De nu volgende instructies werken - waarschijnlijk voor iedere versie van - &os; hoger dan 3.0, maar dat hoeft niet waar te zijn. - + NIS-voorbeeldomgeving. Plannen Er wordt uitgegaan van een beheerder van een klein universiteitslab. Dat lab, dat bestaat uit &os; machines, - kent op dit moment geen centraal beheer. Iedere machine - heeft zijn eigen /etc/passwd en - /etc/master.passwd. Die bestanden - worden alleen met elkaar in lijn gehouden door handmatige + kent op dit moment geen centraal beheer. Iedere machine heeft + zijn eigen /etc/passwd en + /etc/master.passwd. Die bestanden worden + alleen met elkaar in lijn gehouden door handmatige handelingen. Als er op dit moment een gebruiker aan het lab wordt toegevoegd, moet adduser op alle 15 machines gedraaid worden. Dat moet natuurlijk veranderen en - daarom is besloten het lab in te richten met NIS, waarbij - twee machines als server worden gebruikt. + daarom is besloten het lab in te richten met NIS, waarbij twee + machines als server worden gebruikt. Het lab ziet er ongeveer als volgt uit: @@ -1469,7 +1467,7 @@ Exports list on foobar: Machinenaam - IP adres + IP-adres Rol Machine @@ -1481,7 +1479,7 @@ Exports list on foobar: 10.0.0.2 - NIS master + NIS-master @@ -1489,7 +1487,7 @@ Exports list on foobar: 10.0.0.3 - NIS slave + NIS-slave @@ -1505,7 +1503,7 @@ Exports list on foobar: 10.0.0.5 - Client machine + Cliënt machine @@ -1514,19 +1512,19 @@ Exports list on foobar: 10.0.0.[6-17] - Andere client machines + Andere cliënt machines - Bij het voor de eerste keer instellen van een NIS schema - is het verstandig eerst na te denken over hoe dat opgezet - moet worden. Hoe groot een netwerk ook is, er moeten een - aantal beslissingen gemaakt worden. + Bij het voor de eerste keer instellen van een NIS-schema + is het verstandig eerst na te denken over hoe dat opgezet moet + worden. Hoe groot een netwerk ook is, er moeten een aantal + beslissingen gemaakt worden. - Een NIS domeinnaam kiezen + Een NIS-domeinnaam kiezen NIS @@ -1536,82 +1534,79 @@ Exports list on foobar: Dit is wellicht niet de bekende domeinnaam. Daarom wordt het ook de - NIS domeinnaam genoemd. Bij de broadcast - van een client om informatie wordt ook de naam van het NIS - domein waar hij onderdeel van uitmaakt meegezonden. Zo + NIS-domeinnaam genoemd. Bij de broadcast + van een cliënt om informatie wordt ook de naam van het + NIS-domein waar hij onderdeel van uitmaakt meegezonden. Zo kunnen meerdere servers op een netwerk bepalen of er - antwoord gegeven dient te worden op een verzoek. De NIS - domeinnaam is kan voorgesteld worden als de naam van een + antwoord gegeven dient te worden op een verzoek. De + NIS-domeinnaam is kan voorgesteld worden als de naam van een groep hosts op op een of andere manier aan elkaar gerelateerd zijn. - Sommige organisaties kiezen hun internet domeinnaam als - NIS domeinnaam. Dat wordt niet aangeraden omdat het voor - verwarring kan zorgen bij het debuggen van - netwerkproblemen. De NIS domeinnaam moet uniek zijn binnen - een netwerk en het is handig als die de groep machines - beschrijft waarvoor hij geldt. Zo kan bijvoorbeeld de - Financiële afdeling van Acme Inc. als NIS domeinnaam - acme-fin hebben. In dit voorbeeld wordt - de naam test-domain gekozen. + Sommige organisaties kiezen hun Internet-domeinnaam als + NIS-domeinnaam. Dat wordt niet aangeraden omdat het voor + verwarring kan zorgen bij het debuggen van netwerkproblemen. + De NIS-domeinnaam moet uniek zijn binnen een netwerk en het + is handig als die de groep machines beschrijft waarvoor hij + geldt. Zo kan bijvoorbeeld de financiële afdeling van + Acme Inc. als NIS-domeinnaam acme-fin hebben. + In dit voorbeeld wordt de naam + test-domain gekozen. SunOS Sommige besturingssystemen gebruiken echter (met name - &sunos;) hun NIS domeinnaam als hun internet domeinnaam. + &sunos;) hun NIS-domeinnaam als hun Internet-domeinnaam. Als er machines zijn op een netwerk die deze restrictie - kennen, dan moet de internet - domeinnaam als de naam voor het NIS domainnaam gekozen - worden. + kennen, dan moet de Internet-domeinnaam + als de naam voor het NIS-domeinnaam gekozen worden. Systeemeisen - Bij het kiezen van een machine die als NIS server wordt + Bij het kiezen van een machine die als NIS-server wordt gebruikt zijn er een aantal aandachtspunten. Een van de onhandige dingen aan NIS is de afhankelijkheid van de - clients van de server. Als een client de server voor zijn - NIS domein niet kan bereiken, dan wordt die machine vaak - onbruikbaar. Door het gebrek aan gebruiker- en + cliënten van de server. Als een cliënt de server + voor zijn NIS-domein niet kan bereiken, dan wordt die + machine vaak onbruikbaar. Door het gebrek aan gebruiker- en groepsinformatie bevriezen de meeste systemen. Daarom moet er een machine gekozen worden die niet vaak herstart hoeft - te worden of wordt gebruikt voor ontwikkeling. De NIS - server is in het meest ideale geval een alleenstaande - server die als enige doel heeft NIS server te zijn. Als - een netwerk niet zwaar wordt gebruikt, kan de NIS server op - een machine die ook andere diensten aanbiedt gezet worden, - maar het blijft belangrijk om ervan bewust te zijn dat als - de NIS server niet beschikbaar is, dat nadelige invloed - heeft op alle NIS clients. + te worden of wordt gebruikt voor ontwikkeling. De + NIS-server is in het meest ideale geval een alleenstaande + server die als enige doel heeft NIS-server te zijn. Als een netwerk niet zwaar wordt gebruikt, kan de NIS-server op een + machine die ook andere diensten aanbiedt gezet worden, maar + het blijft belangrijk om ervan bewust te zijn dat als de + NIS-server niet beschikbaar is, dat nadelige invloed heeft + op alle NIS-cliënten. - NIS servers + NIS-servers - De hoofdversies van alle NIS informatie staan opgeslagen - op één machine die de NIS master server heet. - De databases waarin de informatie wordt opgeslagen heten NIS - maps. In &os; worden die maps opgeslagen in - /var/yp/[domainnaam] waar - [domeinnaam] de naam is van het NIS - domein dat wordt bediend. Een enkele NIS server kan - tegelijkertijd meerdere NIS domeinen ondersteunen en het is + De hoofdversies van alle NIS-informatie staan opgeslagen + op één machine die de NIS-masterserver heet. De databases waarin de informatie wordt opgeslagen heten + NIS-afbeeldingen. In &os; worden die afbeeldingen opgeslagen + in /var/yp/[domeinnaam] waar + [domeinnaam] de naam is van het + NIS-domein dat wordt bediend. Een enkele NIS-server kan + tegelijkertijd meerdere NIS-domeinen ondersteunen en het is dus mogelijk dat er meerdere van zulke mappen zijn, een voor ieder ondersteund domein. Ieder domein heeft zijn eigen - onafhankelijke set maps. + onafhankelijke verzameling afbeeldingen. - In NIS master en slave servers worden alle NIS verzoeken - door de ypserv daemon afgehandeld. + In NIS-master- en -slaveservers worden alle NIS-verzoeken + door de daemon ypserv afgehandeld. ypserv is verantwoordelijk voor het - ontvangen van inkomende verzoeken van NIS clients, het + ontvangen van inkomende verzoeken van NIS-cliënten, het vertalen van de gevraagde domeinnaam en mapnaam naar een pad naar het corresponderende databasebestand en het terugsturen - van de database naar de client. + van de database naar de cliënten. - Een NIS master server opzetten + Een NIS-masterserver opzetten NIS @@ -1619,70 +1614,67 @@ Exports list on foobar: server opzetten - Het opzetten van een master NIS server kan erg + Het opzetten van een master NIS-server kan erg eenvoudig zijn, afhankelijk van de behoeften. &os; heeft - ondersteuning voor NIS als basisfunctie. Alleen de - volgende regels hoeven aan - /etc/rc.conf toegevoegd te worden en - &os; doet de rest: + ondersteuning voor NIS als basisfunctie. Alleen de volgende + regels hoeven aan /etc/rc.conf + toegevoegd te worden en &os; doet de rest: nisdomainname="test-domain" - Deze regel stelt de NIS domainnaam in op - test-domain bij het instellen van - het netwerk (bij het opstarten). + Deze regel stelt de NIS-domeinnaam in op + test-domain bij het instellen van het + netwerk (bij het opstarten). nis_server_enable="YES" - Dit geeft &os; aan de NIS server processen te starten - als het netwerk de volgende keer wordt - opgestart. + Dit geeft &os; aan de NIS-serverprocessen te starten + als het netwerk de volgende keer wordt opgestart. nis_yppasswdd_enable="YES" - Dit schakelt de dameon rpc.yppasswdd - in die, zoals al eerder aangegeven, clients toestaat - om hun NIS wachtwoord vanaf een client machine te - wijzigen. + Dit schakelt de daemon rpc.yppasswdd + in die, zoals al eerder aangegeven, cliënten + toestaat om hun NIS-wachtwoord vanaf een + cliënt-machine te wijzigen. Afhankelijk van de inrichting van NIS, kunnen er nog meer instellingen nodig zijn. In het onderdeel NIS Servers die - ook NIS Clients Zijn staan meer details. + linkend="network-nis-server-is-client">NIS-servers die + ook NIS-cliënten zijn staan meer details. Nu hoeft alleen /etc/netstart als - superuser uitgevoerd te worden. Dat stelt alles in met + supergebruiker uitgevoerd te worden. Dat stelt alles in met gebruikmaking van de waarden uit /etc/rc.conf. - NIS maps initialiseren + NIS-afbeeldingen initialiseren NIS - maps + afbeeldingen - Die NIS maps zijn - databasebestanden die in de map - /var/yp staan. Ze worden gemaakt uit - de bestanden met instellingen uit de map - /etc van de NIS master, met + Die NIS-afbeeldingen zijn + databasebestanden die in de map /var/yp + staan. Ze worden gemaakt uit de bestanden met instellingen + uit de map /etc van de NIS-master, met één uitzondering: /etc/master.passwd. Daar is een goede reden voor, want het is niet wenselijk om de wachtwoorden voor root en andere administratieve - accounts naar alle servers in het NIS domein te sturen. - Daar moet voor het initialiseren van de NIS maps het + accounts naar alle servers in het NIS-domein te sturen. + Daar moet voor het initialiseren van de NIS-afbeeldingen het volgende uitgevoerd worden: &prompt.root; cp /etc/master.passwd /var/yp/master.passwd @@ -1693,9 +1685,9 @@ Exports list on foobar: (bin, tty, kmem, games, enzovoort) en alle overige accounts waarvoor het niet - wenselijk is dat ze op de NIS clients terecht komen - (bijvoorbeeld root en alle andere UID - 0 (superuser) accounts). + wenselijk is dat ze op de NIS-cliënten terecht komen + (bijvoorbeeld root en alle andere UID 0 + (supergebruiker) accounts). /var/yp/master.passwd hoort niet @@ -1706,18 +1698,18 @@ Exports list on foobar: Tru64 UNIX - Als dat is gedaan, kunnen de NIS maps + Als dat is gedaan, kunnen de NIS-afbeeldingen geïnitialiseerd worden. Bij &os; zit een script ypinit waarmee dit kan (in de hulppagina staat meer informatie). Dit script is beschikbaar op de meeste &unix; besturingssystemen, maar niet op allemaal. Op Digital UNIX/Compaq Tru64 UNIX heet het - ypsetup. Omdat er maps voor een NIS - master worden gemaakt, wordt de optie + ypsetup. Omdat er afbeeldingen voor een + NIS-master worden gemaakt, wordt de optie meegegeven aan ypinit. Aangenomen dat de voorgaande - stappen zijn uitgevoerd, kunnen de NIS maps gemaakt worden - op de volgende manier: + stappen zijn uitgevoerd, kunnen de NIS-afbeeldingen gemaakt + worden op de volgende manier: ellington&prompt.root; ypinit -m test-domain Server Type: MASTER Domain: test-domain @@ -1738,18 +1730,17 @@ ellington coltrane Is this correct? [y/n: y] y -[..uitvoer van het maken van de maps..] +[..uitvoer van het maken van de afbeeldingen..] NIS Map update completed. ellington has been setup as an YP master server without any errors. ypinit hoort /var/yp/Makefile gemaakt te hebben uit - /var/yp/Makefile.dist. Als dit - bestand is gemaakt, neemt dat bestand aan dat er in een - omgeving met een enkele NIS server wordt gewerkt met alleen - &os; machines. Omdat test-domain ook - een slave server bevat, dient + /var/yp/Makefile.dist. Als dit bestand is gemaakt, neemt dat bestand aan dat er in een omgeving met + een enkele NIS-server wordt gewerkt met alleen + &os;-machines. Omdat test-domain ook een + slaveserver bevat, dient /var/yp/Makefile gewijzigd te worden: @@ -1762,24 +1753,23 @@ ellington has been setup as an YP master server without any errors. - Een NIS slave server opzetten + Een NIS-slaveserver opzetten NIS - slave server + slaveserver - Het opzetten van een NIS slave server is nog - makkelijker dan het opzetten van de master. Dit kan door - aan te melden op de slave server en net als voor de master - server /etc/rc.conf te wijzigen. Het - enige verschil is dat nu de optie + Het opzetten van een NIS-slaveserver is nog makkelijker + dan het opzetten van de master. Dit kan door aan te melden + op de slaveserver en net als voor de masterserver + /etc/rc.conf te wijzigen. Het enige + verschil is dat nu de optie gebruikt wordt voor het draaien van ypinit. Met de optie - moet ook de naam van de NIS - master meegegven worden. Het commando ziet er dus als - volgt uit: + moet ook de naam van de NIS-master + meegegeven worden. Het commando ziet er dus als volgt uit: coltrane&prompt.root; ypinit -s ellington test-domain @@ -1840,73 +1830,73 @@ Don't forget to update map ypservers on ellington. Nu hoort er een map /var/yp/test-domain te zijn waarin - kopieë van de NIS master server maps staan. Die + kopieë van de NIS-masterserver afbeeldingen staan. Die moeten bijgewerkt blijven. De volgende regel in - /etc/crontab op de slave servers - regelt dat: + /etc/crontab op de slaveservers regelt + dat: 20 * * * * root /usr/libexec/ypxfr passwd.byname 21 * * * * root /usr/libexec/ypxfr passwd.byuid Met de bovenstaande twee regels wordt de slave - gedwongen zijn maps met de maps op de master server te - synchroniseren. Hoewel dit niet verplicht is, omdat de - master server probeert veranderingen aan de NIS maps door - te geven aan zijn slaves, is het wel verstandig om een - slave tot bijwerken te dwingen, omdat wachtwoordinformatie - van vitaal belang is voor systemen die van de server - afhankelijk zijn. Dit is des te belangrijker op drukke - netwerken, omdat daar het bijwerken van maps niet altijd - compleet afgehandeld hoeft te worden. + gedwongen zijn afbeeldingen met de afbeeldingen op de + masterserver te synchroniseren. Hoewel dit niet verplicht + is, omdat de masterserver probeert veranderingen aan de + NIS-afbeeldingen door te geven aan zijn slaves, is het wel + verstandig om een slave tot bijwerken te dwingen, omdat + wachtwoordinformatie van vitaal belang is voor systemen die + van de server afhankelijk zijn. Dit is des te belangrijker + op drukke netwerken, omdat daar het bijwerken van + afbeeldingen niet altijd compleet afgehandeld hoeft te + worden. - Nu kan ook op de slave server het commando + Nu kan ook op de slaveserver het commando /etc/netstart uitgevoerd worden, dat op - zijn beurt de NIS server start. + zijn beurt de NIS-server start. - NIS clients + NIS-cliënten - Een NIS client maakt wat heet een verbinding (binding) - met een NIS server met de ypbind daemon. - ypbind controleert het standaarddomein van - het systeem (zoals ingesteld met - domainname) en begint met het broadcasten - van RPC verzoeken op het lokale netwerk. Die verzoeken - bevatten de naam van het domein waarvoor + Een NIS-cliënt maakt wat heet een verbinding + (binding) met een NIS-server met de daemon + ypbind. ypbind + controleert het standaarddomein van het systeem (zoals + ingesteld met domainname) en begint met het + broadcasten van RPC-verzoeken op het lokale netwerk. Die + verzoeken bevatten de naam van het domein waarvoor ypbind een binding probeert te maken. Als een server die is ingesteld om het gevraagde domein te bedienen een broadcast ontvangt, dan antwoordt die aan - ypbind dat dan het IP adres van de server - opslaat. Als er meerdere servers beschikbaar zijn, een - master en bijvoorbeeld meerdere slaves, dan gebruikt + ypbind dat dan het IP-adres van de server + opslaat. Als er meerdere servers beschikbaar zijn, een master + en bijvoorbeeld meerdere slaves, dan gebruikt ypbind het adres van de eerste server die - antwoord geeft. Vanaf dat moment stuurt de client alle NIS - verzoeken naar die server. ypbind + antwoord geeft. Vanaf dat moment stuurt de cliënt alle + NIS-verzoeken naar die server. ypbind pingt de server zo nu en dan om te controleren of die nog draait. Als er na een bepaalde tijd geen antwoord komt op een ping, dan markeert ypbind het domein als niet verbonden en begint het broadcasten opnieuw, - in de hoop dat er een andere server wordt - gelocaliseerd. + in de hoop dat er een andere server wordt gelocaliseerd. - Een NIS client opzetten + Een NIS-cliënt opzetten NIS - client instellen + cliënt instellen - Het opzetten van een &os; machine als NIS client is + Het opzetten van een &os; machine als NIS-cliënt is redelijk doorzichtig: Wijzig /etc/rc.conf en voeg de - volgende regels toe om de NIS domeinnaam in te stellen + volgende regels toe om de NIS-domeinnaam in te stellen en ypbind mee te laten starten bij het starten van het netwerk: @@ -1915,8 +1905,8 @@ nis_client_enable="YES" - Om alle mogelijke regels voor accounts uit de NIS - server te halen, dienen alle gebruikersaccounts uit + Om alle mogelijke regels voor accounts uit de + NIS-server te halen, dienen alle gebruikersaccounts uit /etc/master.passwd verwijderd te worden en dient met vipw de volgende regel aan het einde van het bestand geplaatst te @@ -1926,20 +1916,21 @@ nis_client_enable="YES" Door deze regel wordt alle geldige accounts - in de password map van de NIS server toegang gegeven. - Er zijn veel manieren om de NIS client in te stellen - door deze regel te veranderen. In het onderdeel - netgroups + in de wachtwoordafbeelding van de NIS-server toegang + gegeven. Er zijn veel manieren om de NIS-cliënt + in te stellen door deze regel te veranderen. In het + onderdeel netgroepen hieronder staat meer informatie. Zeer gedetailleerde informatie staat in het boek NFS en NIS beheren van O'Reilly. - Er moet tenminste één lokale - account behouden blijven (dus niet geïmporteerd - via NIS) in /etc/master.passwd - en die hoort ook lid te zijn van de groep + Er moet tenminste één lokale account + behouden blijven (dus niet geïmporteerd via NIS) + in /etc/master.passwd en die + hoort ook lid te zijn van de groep wheel. Als er iets mis is met NIS, dan kan die account gebruikt worden om via het netwerk aan te melden, root te @@ -1948,33 +1939,32 @@ nis_client_enable="YES" - Om alle groepen van de NIS server te importeren, - kan de volgende regel aan - /etc/group toegevoegd - worden: + Om alle groepen van de NIS-server te importeren, kan + de volgende regel aan /etc/group + toegevoegd worden: +:*:: Na het afronden van deze stappen zou met ypcat - passwd de passwd map van de NIS server te zien + passwd de passwd map van de NIS-server te zien moeten zijn. - NIS beveiliging + NIS-beveiliging - In het algemeen kan iedere netwerkgebruiker een RPC verzoek - doen uitgaan naar &man.ypserv.8; en de inhoud van de NIS maps - ontvangen, mits die gebruiker de domeinnaam kent. Omdat soort - ongeautoriseerde transacties te voorkomen, ondersteunt - &man.ypserv.8; de optie securenets, die gebruikt - kan worden om de toegang te beperken tot een opgegeven aantal - hosts. Bij het opstarten probeert&man.ypserv.8; de securenets - informatie te laden uit het bestand + In het algemeen kan iedere netwerkgebruiker een RPC-verzoek + doen uitgaan naar &man.ypserv.8; en de inhoud van de + NIS-afbeeldingen ontvangen, mits die gebruiker de domeinnaam + kent. Omdat soort ongeautoriseerde transacties te voorkomen, + ondersteunt &man.ypserv.8; de optie securenets, + die gebruikt kan worden om de toegang te beperken tot een + opgegeven aantal hosts. Bij het opstarten probeert + &man.ypserv.8; de securenets informatie te laden uit het bestand /var/yp/securenets. @@ -1983,8 +1973,8 @@ nis_client_enable="YES" bestand bevat regels die bestaan uit een netwerkspecificatie en een netwerkmasker, gescheiden door witruimte. Regels die beginnen met # worden als commentaar - gezien. Een voorbeeld van een securenetsbestand zou er zo - uit kunnen zien: + gezien. Een voorbeeld van een securenetsbestand zou er zo uit + kunnen zien: # allow connections from local host -- mandatory @@ -2006,49 +1996,48 @@ nis_client_enable="YES" accepteert ypserv verbindingen van iedere host. - Het programma ypserv ondersteunt ook - het pakket TCP Wrapper van Wietse - Venema. Daardoor kan een beheerder de instellingenbestanden - van TCP Wrapper gebruiken voor + Het programma ypserv ondersteunt ook het + pakket TCP Wrapper van Wietse Venema. + Daardoor kan een beheerder de instellingenbestanden van + TCP Wrapper gebruiken voor toegangsbeperking in plaats van /var/yp/securenets. Hoewel beide methoden van toegangscontrole enige vorm van - beveiliging bieden, zijn ze net als de privileged port test - kwetsbaar voor IP spoofing aanvallen. Al het - NIS gerelateerde verkeer hoort door een firewall + beveiliging bieden, zijn ze net als de geprivilegieerde + poorttest kwetsbaar voor IP spoofing aanvallen. + Al het NIS-gerelateerde verkeer hoort door een firewall tegengehouden te worden. Servers die gebruik maken van /var/yp/securenets kunnen wellicht - legitieme verzoeken van NIS clients weigeren als die gebruik - maken van erg oude TCP/IP implementaties. Sommige van die - implementaties zetten alle host bits op nul als ze een + legitieme verzoeken van NIS-cliënten weigeren als die + gebruik maken van erg oude TCP/IP-implementaties. Sommige van + die implementaties zetten alle host bits op nul als ze een broadcast doen en/of kijken niet naar het subnetmasker als ze het broadcastadres berekenen. Hoewel sommige van die problemen opgelost kunnen worden door de instellingen op de - client aan te passen, zorgen andere problemen voor het + cliënt aan te passen, zorgen andere problemen voor het noodgedwongen niet langer kunnen gebruiker van NIS voor die - client of het niet langer gebruiken van + cliënt of het niet langer gebruiken van /var/yp/securenets. Het gebruik van /var/yp/securenets op een server met zo'n oude implementatie van TCP/IP is echt - een slecht idee en zal leiden tot verlies van NIS - functionaliteit voor grote delen van een netwerk. + een slecht idee en zal leiden tot verlies van + NIS-functionaliteit voor grote delen van een netwerk. tcpwrapper - Het gebruik van het TCP - Wrapper pakket leidt tot langere wachttijden - op de NIS server. De extra vertraging kan net lang genoeg - zijn om een timeout te veroorzaken in clientprogramma's, in - het bijzonder als het netwerk druk is of de NIS server traag - is. Als een of meer clients last hebben van dat symptoom, - dan is het verstandig om de clientsystemen in kwestie NIS - slave server te maken en naar zichzelf te laten - wijzen. + Het gebruik van het pakket TCP + Wrapper leidt tot langere wachttijden op de + NIS-server. De extra vertraging kan net lang genoeg zijn om + een timeout te veroorzaken in cliëntprogramma's, in het + bijzonder als het netwerk druk is of de NIS-server traag is. + Als een of meer cliënten last hebben van dat symptoom, + dan is het verstandig om de cliëntsysteem in kwestie + NIS-slaveserver te maken en naar zichzelf te laten wijzen. @@ -2057,23 +2046,23 @@ nis_client_enable="YES" In het lab staat de machine basie, die alleen faculteitswerkstation hoort te zijn. Het is niet - gewenst die machine uit het NIS domein te halen, maar het - passwd bestand op de master NIS server + gewenst die machine uit het NIS-domein te halen, maar het + passwd bestand op de master NIS-server bevat nu eenmaal accounts voor zowel de faculteit als de studenten. Hoe kan dat opgelost worden? Er is een manier om het aanmelden van specifieke gebruikers - op een machine te weigeren, zelfs als ze in de NIS database + op een machine te weigeren, zelfs als ze in de NIS-database staan. Daarvoor hoeft er alleen maar username aan het einde van /etc/master.passwd op de - client machine toegevoegd te worden, waar + cliënt machine toegevoegd te worden, waar username de gebruikersnaam van de gebruiker die niet mag aanmelden is. Dit gebeurt bij voorkeur met vipw, omdat vipw de wijzigingen aan /etc/master.passwd - controleert en ook de wachtwoord database opnieuw bouwt na - het wijzigen. Om bijvoorbeeld de gebruiker + controleert en ook de wachtwoord database opnieuw bouwt na het + wijzigen. Om bijvoorbeeld de gebruiker bill aan te kunnen laten aanmelden op basie: @@ -2118,38 +2107,38 @@ basie&prompt.root; Netgroups gebruiken - netgroups + netgroepen De methode uit het vorige onderdeel werkt prima als er maar voor een beperkt aantal gebruikers en/of machines speciale regels nodig zijn. Op grotere netwerken gebeurt het gewoon dat er wordt vergeten - om een aantal gebruikers de aanmeldrechten op gevoelige - machines te ontnemen of dat zelfs iedere individuele machine - aangepast moet worden, waardoor het voordeel van NIS teniet - wordt gedaan: centraal beheren. + om een aantal gebruikers de aanmeldrechten op gevoelige machines + te ontnemen of dat zelfs iedere individuele machine aangepast + moet worden, waardoor het voordeel van NIS teniet wordt gedaan: + centraal beheren. De ontwikkelaars van NIS hebben dit probleem opgelost met - netgroups. Het doel en de semantiek + netgroepen. Het doel en de semantiek kunnen vergeleken worden met de normale groepen die gebruikt - worden op &unix; bestandssystemen. De belangrijkste - verschillen zijn de afwezigheid van een numeriek ID en de - mogelijkheid om een netgroup aan te maken die zowel gebruikers - als andere netgroups bevat. + worden op &unix; bestandssystemen. De belangrijkste verschillen + zijn de afwezigheid van een numeriek ID en de mogelijkheid om + een netgroep aan te maken die zowel gebruikers als andere + netgroepen bevat. - Netgroups zijn ontwikkeld om gebruikt te worden voor grote, + Netgroepen zijn ontwikkeld om gebruikt te worden voor grote, complexe netwerken met honderden gebruikers en machines. Aan de ene kant is dat iets Goeds. Aan de andere kant is het wel - complex en bijna onmogelijk om netgroups met een paar + complex en bijna onmogelijk om netgroepen met een paar eenvoudige voorbeelden uit te leggen. Dat probleem wordt in de rest van dit onderdeel duidelijk gemaakt. - Stel dat de succesvolle implementatie van NIS in het lab - de interesse heeft gewekt van een centrale beheerclub. De - volgende taak is het uitbreiden van het NIS domein met een - aantal andere machines op de campus. De onderstaande twee - tabellen bevatten de namen van de nieuwe gebruikers en de - nieuwe machines met een korte beschijving. + Stel dat de succesvolle implementatie van NIS in het lab de + interesse heeft gewekt van een centrale beheerclub. De volgende + taak is het uitbreiden van het NIS-domein met een aantal andere + machines op de campus. De onderstaande twee tabellen bevatten + de namen van de nieuwe gebruikers en de nieuwe machines met een + korte beschijving. @@ -2166,14 +2155,14 @@ basie&prompt.root; alpha, beta - Gewone medewerkers van de IT afdeling + Gewone medewerkers van de IT-afdeling charlie, delta - Junior medewerkers van de IT afdeling + Junior medewerkers van de IT-afdeling @@ -2215,7 +2204,7 @@ basie&prompt.root; pollution De belangrijkste servers. Alleen senior - medewerkers van de IT afdeling mogen hierop + medewerkers van de IT-afdeling mogen hierop aanmelden. @@ -2227,8 +2216,7 @@ basie&prompt.root; lust, sloth Minder belangrijke servers. Alle leden van - de IT afdeling mogen aanmelden op deze - machines. + de IT-afdeling mogen aanmelden op deze machines. @@ -2237,8 +2225,8 @@ basie&prompt.root; ... Gewone werkstations. Alleen - echte medewerkers mogen op deze - machines aanmelden. + echte medewerkers mogen zich op + deze machines aanmelden. @@ -2255,38 +2243,39 @@ basie&prompt.root; afzonderlijk te blokkeren, dan wordt er een -user regel per systeem toegevoegd aan de passwd voor - iedere gebruiker die niet mag aanmelden op dat systeem. Als - er maar één regel wordt vergeten, kan dat een + iedere gebruiker die niet mag aanmelden op dat systeem. Als er + maar één regel wordt vergeten, kan dat een probleem opleveren. Wellicht lukt het nog dit juist in te stellen bij de bouw van een machine, maar het wordt echt vergeten de regels toe te voegen voor - nieuwe gebruikers in de produktiegase. Murphy was tenslotte - een optimist. + nieuwe gebruikers in de productiefase. Murphy was tenslotte een + optimist. - Het gebruik van netgroups biedt in deze situatie een aantal + Het gebruik van netgroepen biedt in deze situatie een aantal voordelen. Niet iedere gebruiker hoeft separaat afgehandeld te worden. Een gebruik kan aan een of meer groepen worden toegevoegd en aanmelden kan voor alle leden van zo'n groep - worden toegestaan of geweigerd. Als er een nieuwe machine - wordt toegevoegd, dan hoeven alleen de aanmeldrestricties voor - de netgroups te worden ingesteld. Als er een nieuwe gebruiker + worden toegestaan of geweigerd. Als er een nieuwe machine wordt + toegevoegd, dan hoeven alleen de aanmeldrestricties voor de + netgroepen te worden ingesteld. Als er een nieuwe gebruiker wordt toegevoegd, dan hoeft die alleen maar aan de juiste - netgroups te worden toegevoegd. Die veranderingen zijn - niet van elkaar afhankelijk: geen voor iedere combinatie - van gebruiker en machine moet het volgende .... Als - de NIS opzet zorgvuldig is gepland, dan hoeft er maar + netgroepen te worden toegevoegd. Die veranderingen zijn niet + van elkaar afhankelijk: geen voor iedere combinatie van + gebruiker en machine moet het volgende .... Als de + NIS-opzet zorgvuldig is gepland, dan hoeft er maar één instellingenbestand gewijzigd te worden om toegang tot machines te geven of te ontnemen. - De eerst stap is het initialiseren van de NIS map netgroup. - &man.ypinit.8; van &os; maakt deze map niet standaard, maar als - die is gemaakt, ondersteunt de NIS implementatie hem wel. Een - lege map wordt als volgt gemaakt: + De eerst stap is het initialiseren van de NIS-afbeelding + netgroup. &man.ypinit.8; van &os; maakt deze map niet + standaard, maar als die is gemaakt, ondersteunt de + NIS-implementatie hem wel. Een lege map wordt als volgt + gemaakt: ellington&prompt.root; vi /var/yp/netgroup Nu kan hij gevuld worden. In het gebruikte voorbeeld zijn - tenminste vier netgroups: IT medewerkers, IT junioren, gewone + tenminste vier netgroepen: IT-medewerkers, IT-junioren, gewone medewerkers en stagiars. IT_MW (,alpha,test-domain) (,beta,test-domain) @@ -2296,29 +2285,28 @@ USERS (,echo,test-domain) (,foxtrott,test-domain) \ STAGS (,able,test-domain) (,baker,test-domain) IT_MW, IT_APP - enzovoort, zijn de namen van de netgroups. Iedere groep tussen + enzovoort, zijn de namen van de netgroepen. Iedere groep tussen haakjes bevat een of meer gebruikersnamen voor die groep. De drie velden binnen een groep zijn: - De na(a)m(en) van de host(s) waar de volgende - onderdelen geldig zijn. Als er geen hostnaam wordt - opgegeven dan is de regel geldig voor alle hosts. Als er - wel een hostnaam wordt opgegeven, dan wordt een donker, - spookachtig en verwarrend domein betreden. + De na(a)m(en) van de host(s) waar de volgende onderdelen + geldig zijn. Als er geen hostnaam wordt opgegeven dan is de + regel geldig voor alle hosts. Als er wel een hostnaam wordt + opgegeven, dan wordt een donker, spookachtig en verwarrend + domein betreden. - De naam van de account die bij deze netgroup - hoort. + De naam van de account die bij deze netgroep hoort. - Het NIS domein voor de account. Er kunnen accounts - uit andere NIS domeinen geïmporteerd worden in een - netgroup als een beheerder zo ongelukkig is meerdere - NIS domeinen te hebben. + Het NIS-domein voor de account. Er kunnen accounts uit + andere NIS-domeinen geïmporteerd worden in een netgroep + als een beheerder zo ongelukkig is meerdere NIS-domeinen te + hebben. @@ -2326,23 +2314,23 @@ STAGS (,able,test-domain) (,baker,test-domain) daarover staan in &man.netgroup.5;. - netgroups + netgroepen - De naam van een netgroup mag niet langer zijn dan acht + De naam van een netgroep mag niet langer zijn dan acht karakters, zeker niet als er andere besturingssystemen binnen - een NIS domein worden gebruikt. De namen zijn + een NIS-domein worden gebruikt. De namen zijn hoofdlettergevoelig: alleen hoofdletters gebruiken voor de - namen van netgroups is een makkelijke manier om onderscheid + namen van netgroepen is een makkelijke manier om onderscheid te kunnen maken tussen gebruikers-, machine- en - netgroupnamen. + netgroepnamen. - Sommige NIS clients (andere dan die op &os; draaien) - kunnen niet omgaan met netgroups met veel leden. Sommige + Sommige NIS-cliënten (andere dan die op &os; draaien) + kunnen niet omgaan met netgroepen met veel leden. Sommige oudere versies van &sunos; gaan bijvoorbeeld lastig doen als - een netgroup meer dan 15 leden heeft. - Dit kan omzeild worden door meerdere sub-netgroups te maken - met 15 gebruikers of minder en een echte netgroup die de - sub-netgroups bevat: + een netgroep meer dan 15 leden heeft. + Dit kan omzeild worden door meerdere subnetgroepen te maken + met 15 gebruikers of minder en een echte netgroep die de + subnetgroepen bevat: BIGGRP1 (,joe1,domain) (,joe2,domain) (,joe3,domain) [...] BIGGRP2 (,joe16,domain) (,joe17,domain) [...] @@ -2350,20 +2338,20 @@ BIGGRP3 (,joe31,domain) (,joe32,domain) BIGGROUP BIGGRP1 BIGGRP2 BIGGRP3 Dit proces kan herhaald worden als er meer dan 225 - gebruikers in een netgroup moeten. + gebruikers in een netgroep moeten. - Het activeren en distribueren van de nieuwe NIS map is + Het activeren en distribueren van de nieuwe NIS-map is eenvoudig: ellington&prompt.root; cd /var/yp ellington&prompt.root; make - Hiermee worden drie nieuwe NIS maps gemaakt: + Hiermee worden drie nieuwe NIS-afbeeldingen gemaakt: netgroup, netgroup.byhost en netgroup.byuser. Met &man.ypcat.1; kan - bekeken worden op de nieuwe NIS maps beschikbaar zijn: + bekeken worden op de nieuwe NIS-afbeeldingen beschikbaar zijn: ellington&prompt.user; ypcat -k netgroup ellington&prompt.user; ypcat -k netgroup.byhost @@ -2372,12 +2360,12 @@ ellington&prompt.user; ypcat -k netgroup.byuser De uitvoer van het eerste commando hoort te lijken op de inhoud van /var/yp/netgroup. Het tweede commando geeft geen uitvoer als er geen host-specifieke - netgroups zijn ingesteld. Het derde commando kan gebruikt - worden om een lijst van netgroups voor een gebruiker op te + netgroepen zijn ingesteld. Het derde commando kan gebruikt + worden om een lijst van netgroepen voor een gebruiker op te vragen. - Het instellen van de client is redelijk eenvoudig. Om de - server war in te stellen hoeft alleen met + Het instellen van de cliënt is redelijk eenvoudig. Om + de server war in te stellen hoeft alleen met &man.vipw.8; de volgende regel in de regel daarna vervangen te worden: @@ -2387,22 +2375,22 @@ ellington&prompt.user; ypcat -k netgroup.byuser +@IT_MW::::::::: - Nu worden alleen de gebruikers die in de netgroup - IT_MW geïmporteerd in de wachtwoord - database van de host war, zodat alleen die - gebruikers kunnen aanmelden. + Nu worden alleen de gebruikers die in de netgroep + IT_MW geïmporteerd in de + wachtwoorddatabase van de host war, zodat + alleen die gebruikers zich kunnen aanmelden. Helaas zijn deze beperkingen ook van toepassing op de functie ~ van de shell en alle routines waarmee tussen gebruikersnamen en numerieke gebruikers ID's wordt gewisseld. Met andere woorden: cd - ~user werkt niet, + ~user werkt niet, ls –l toont het numerieke ID in plaats van de gebruikersnaam en find . –user joe –print faalt met de foutmelding No - such user. Om dit te repareren moeten alle + such user. Om dit te repareren moeten alle gebruikers geïmporteerd worden, zonder ze het - recht te geven aan te melden op een server. + recht te geven aan te melden op een server. Dit kan gedaan worden door nog een regel aan /etc/master.passwd toe te voegen: @@ -2410,8 +2398,8 @@ ellington&prompt.user; ypcat -k netgroup.byuser +:::::::::/sbin/nologin Dit betekent importeer alle gebruikers, maar vervang - de shell door /sbin/nologin. - Ieder veld in een passwd regel kan door een + de shell door /sbin/nologin. Ieder + veld in een passwd regel kan door een standaardwaarde vervangen worden in /etc/master.passwd. @@ -2419,14 +2407,14 @@ ellington&prompt.user; ypcat -k netgroup.byuser De regel +:::::::::/sbin/nologin moet na +@IT_MW::::::::: komen. Anders krijgen - alle gebruikers die uit NIS komen + alle gebruikers die uit NIS-komen /sbin/nologin als aanmeldshell. - Na deze wijziging hoeft er nog maar één NIS - map gewijzigd te worden als er een nieuwe medewerker komt bij - de IT afdeling. Dezelfde aanpak kan gebruikt worden voor de - minder belangrijke servers door de oude regel + Na deze wijziging hoeft er nog maar één + NIS-afbeelding gewijzigd te worden als er een nieuwe medewerker + komt bij de IT-afdeling. Dezelfde aanpak kan gebruikt worden + voor de minder belangrijke servers door de oude regel +::::::::: in de lokale versie van /etc/master.passwd door iets als het volgende te vervangen: @@ -2435,57 +2423,56 @@ ellington&prompt.user; ypcat -k netgroup.byuser +@IT_APP::::::::: +:::::::::/sbin/nologin - Voor normale werkstations zijn het de volgende - regels: + Voor normale werkstations zijn het de volgende regels: +@IT_MW::::::::: +@USERS::::::::: +:::::::::/sbin/nologin En dat zou allemaal leuk en aardig zijn als er niet na een - paar weken een beleidsverandering komt: de IT afdeling gaat - stagiairs aannemen. De IT stagiairs mogen de normale + paar weken een beleidsverandering komt: de IT-afdeling gaat + stagiairs aannemen. De IT-stagiairs mogen de normale werkstations en de minder belangrijke servers gebruiken en de - junior beheerders mogen gaan aanmelden op de hoofdservers. Dat - kan door een nieuwe groep IT_STAG te maken - en de nieuwe IT stagiairs toe te voegen aan die netgroup en dan - de instellingen op iedere machine te gaan veranderen. Maar - zoals het spreekwoord zegt: Fouten in een centrale - planning leiden tot complete chaos. + juniorbeheerders mogen gaan aanmelden op de hoofdservers. Dat + kan door een nieuwe groep IT_STAG te maken en + de nieuwe IT-stagiairs toe te voegen aan die netgroep en dan de + instellingen op iedere machine te gaan veranderen. Maar zoals + het spreekwoord zegt: Fouten in een centrale planning + leiden tot complete chaos. - Deze situaties kunnen voorkomen worden door gebruik te - maken van de mogelijkheid in NIS om netgroups in netgroups op - te nemen. Het is mogelijk om rol-gebaseerde netgroups te - maken. Er kan bijvoorbeeld een netgroup - BIGSRV gemaakt worden om het aanmelden op de - belangrijke servers te beperken en er kan een andere netgroup + Deze situaties kunnen voorkomen worden door gebruik te maken + van de mogelijkheid in NIS om netgroepen in netgroepen op te + nemen. Het is mogelijk om rolgebaseerde netgroepen te maken. + Er kan bijvoorbeeld een netgroep BIGSRV + gemaakt worden om het aanmelden op de belangrijke servers te + beperken en er kan een andere netgroep SMALLSRV voor de minder belangrijke servers - zijn en een derde netgroup met de naam - USERBOX voor de normale werkstations. Al - die netgroups kunnen de netgroups bevatten die op die machines - mogen aanmelden. De nieuwe regels in de NIS map netgroup zien - er dan zo uit: + zijn en een derde netgroep met de naam + USERBOX voor de normale werkstations. Al die + netgroepen kunnen de netgroepen bevatten die op die machines + mogen aanmelden. De nieuwe regels in de NIS-afbeelding netgroup + zien er dan zo uit: BIGSRV IT_MW IT_APP SMALLSRV IT_MW IT_APP ITSTAG USERBOX IT_MW ITSTAG USERS - Deze methode voor het instellen van aanmeldbeperkingen - werkt redelijk goed als er groepen van machines gemaakt kunnen - worden met identieke beperkingen. Helaas blijkt dat eerder + Deze methode voor het instellen van aanmeldbeperkingen werkt + redelijk goed als er groepen van machines gemaakt kunnen worden + met identieke beperkingen. Helaas blijkt dat eerder uitzondering dan regel. Meestal moet het mogelijk zijn om per - machine in te stellen wie wel en wie niet mogen + machine in te stellen wie zich wel en wie zich niet mogen aanmelden. - Daarom is het ook mogelijk om via machine-specifieke - netgroups de hierboven aangegeven beleidswijziging op te + Daarom is het ook mogelijk om via machinespecifieke + netgroepen de hierboven aangegeven beleidswijziging op te vangen. In dat scenario bevat /etc/master.passwd op iedere machine twee regels die met + beginnen. De eerste voegt de - netgroup toe met de accounts die op de machine mogen aanmelden + netgroep toe met de accounts die op de machine mogen aanmelden en de tweede voegt alle andere accounts toe met - /sbin/nologin als shell. Het is - verstandig om als naam van de netgroup de machinenaam in + /sbin/nologin als shell. Het is verstandig + om als naam van de netgroep de machinenaam in HOOFDLETTERS te gebruiken. De regels zien er ongeveer als volgt uit: @@ -2495,8 +2482,8 @@ USERBOX IT_MW ITSTAG USERS Als dit voor alle machines is gedaan, dan hoeven de lokale versies van /etc/master.passwd nooit meer veranderd te worden. Alle toekomstige wijzigingen kunnen dan - gemaakt worden door de NIS map te wijzigen. Hieronder staat - een voorbeeld van een mogelijke netgroup map voor het + gemaakt worden door de NIS-afbeelding te wijzigen. Hieronder + staat een voorbeeld van een mogelijke netgroep map voor het beschreven scenario met een aantal toevoegingen: # Definieer eerst de gebruikersgroepen @@ -2518,7 +2505,7 @@ USERBOX IT_MW ITSTAG USERS # Geef echo en golf toegang tot de anti-virus machine. SECURITY IT_MW (,echo,test-domain) (,golf,test-domain) # -# Machine-gebaseerde netgroups +# Machinegebaseerde netgroepen # Hoofdservers WAR BIGSRV FAMINE BIGSRV @@ -2537,35 +2524,35 @@ TWO (,hotel,test-domain) Als er een soort database wordt gebruikt om de gebruikersaccounts te beheren, dan is het in ieder geval nodig - dat ook het eerste deel van de map met de database - rapportagehulpmiddelen gemaakt kan worden. Dan krijgen nieuwe - gebruikers automatisch toegang tot de machines. + dat ook het eerste deel van de afbeelding met de + databaserapportagehulpmiddelen gemaakt kan worden. Dan krijgen + nieuwe gebruikers automatisch toegang tot de machines. Nog een laatste waarschuwing: het is niet altijd aan te - raden gebruik te maken van machine-gebaseerde netgroups. Als - er tientallen of zelfs honderden gelijke machines voor - bijvoorbeeld studentenruimtes worden uitgerold, dan is het - verstandiger rol-gebaseerde netgroups te gebruiken in plaats - van machine-gebaseerde netgroups om de grootte van de NIS map + raden gebruik te maken van machinegebaseerde netgroepen. Als er + tientallen of zelfs honderden gelijke machines voor bijvoorbeeld + studentenruimtes worden uitgerold, dan is het verstandiger + rolgebaseerde netgroepen te gebruiken in plaats van + machinegebaseerde netgroepen om de grootte van de NIS-afbeelding binnen de perken te houden. Belangrijk om te onthouden - In een NIS omgeving werken een aantal dingen wel + In een NIS-omgeving werken een aantal dingen wel anders. Als er een gebruiker toegevoegd moet worden, dan moet die alleen toegevoegd worden aan de - master NIS server en mag niet vergeten worden dat - de NIS maps herbouwd moeten worden. Als dit - wordt vergeten, dan kan de nieuwe gebruiker nergens anders - aanmelden dan op de NIS master. Als bijvoorbeeld een - nieuwe gebruiker jsmith toegevoegd - moet worden: + master NIS-server en mag niet vergeten worden dat + de NIS-afbeeldingen herbouwd moeten worden. Als + dit wordt vergeten, dan kan de nieuwe gebruiker nergens + anders aanmelden dan op de NIS-master. Als bijvoorbeeld een + nieuwe gebruiker jsmith toegevoegd moet + worden: &prompt.root; pw useradd jsmith &prompt.root; cd /var/yp @@ -2577,75 +2564,73 @@ TWO (,hotel,test-domain) - De beheeraccounts moeten buiten de NIS maps - gehouden worden. Het is niet handig als de - beheeraccounts en wachtwoorden naar machines waarop - gebruikers aanmelden die geen toegang tot die informatie - horen te hebben zouden gaan. + De beheeraccounts moeten buiten de + NIS-afbeeldingen gehouden worden. Het is niet + handig als de beheeraccounts en wachtwoorden naar machines + waarop gebruikers zich aanmelden die geen toegang tot die + informatie horen te hebben zouden gaan. - De NIS master en slave moeten veilig blijven - en zo min mogelijk niet beschikbaar zijn. Als - de machine wordt gehackt of als hij wordt uitgeschakeld, - dan kunnen er in theorie nogal wat mensen niet meer - aanmelden. + De NIS-master en slave moeten veilig blijven + en zo min mogelijk niet beschikbaar zijn. Als de + machine wordt gehackt of als hij wordt uitgeschakeld, dan + kunnen er in theorie nogal wat mensen niet meer aanmelden. Dit is de belangrijkste zwakte van elk gecentraliseerd - beheersysteem. Als de NIS servers niet goed beschermd + beheersysteem. Als de NIS-servers niet goed beschermd worden, dan worden veel gebruikers boos! - NIS v1 compatibiliteit + NIS v1-compatibiliteit ypserv voor &os; biedt wat - ondersteuning voor NIS v1 clients. De NIS implementatie van - &os; gebruikt alleen het NIS v2 protocol, maar andere + ondersteuning voor NIS v1 cliënten. De NIS-implementatie + van &os; gebruikt alleen het NIS v2 protocol, maar andere implementaties bevatten ondersteuning voor het v1 protocol voor achterwaartse compatibiliteit met oudere systemen. De - ypbind daemons die bij deze systemen + ypbind-daemons die bij deze systemen zitten proberen een binding op te zetten met een NIS v1 server, hoewel dat niet per se ooit nodig is (en ze gaan misschien nog wel door met broadcasten nadat ze een antwoord van een v2 server hebben ontvangen). Het is belangrijk om te melden dat - hoewel ondersteuning voor gewone clientcalls aanwezig is, deze - versie van ypserv geen v1 map - transferverzoeken af kan handelen. Daarom kan - ypserv niet gebruikt worden als - master of slave in combinatie met oudere NIS servers die alleen - het v1 protocol ondersteunen. Gelukkig worden er in deze tijd - niet meer zoveel van deze servers gebruikt. + hoewel ondersteuning voor gewone cliëntoproepen aanwezig + is, deze versie van ypserv geen + overdrachtsverzoeken voor v1-afbeeldingen af kan handelen. + Daarom kan ypserv niet gebruikt + worden als master of slave in combinatie met oudere NIS-servers + die alleen het v1 protocol ondersteunen. Gelukkig worden er in + deze tijd niet meer zoveel van deze servers gebruikt. - NIS servers die ook NIS clients zijn + NIS-servers die ook NIS-cliënten zijn - Het is belangrijk voorzichtig om te gaan met het draaien - van ypserv in een multi-server - domein waar de server machines ook NIS clients zijn. Het is - in het algemeen verstandiger om de servers te dwingen met - zichzelf te binden dan ze toe te staan een bindverzoek te - broadcasten en het risico te lopen dat ze een binding met - elkaar maken. Er kunnen vreemde fouten optreden als een van de - servers plat gaat als er andere servers van die server - afhankelijk zijn. Na verloop van tijd treedt op de clients wel - een timeout op en verbinden ze met een andere server, maar de - daarmee gepaard gaande vertraging kan aanzienlijk zijn en de - foutmodus is nog steeds van toepassing, omdat de servers dan - toch weer opnieuw een verbinding met elkaar kunnen - vinden. + Het is belangrijk voorzichtig om te gaan met het draaien van + ypserv in een multi-server domein + waar de server machines ook NIS-cliënten zijn. Het is in + het algemeen verstandiger om de servers te dwingen met zichzelf + te binden dan ze toe te staan een bindverzoek te broadcasten en + het risico te lopen dat ze een binding met elkaar maken. Er + kunnen vreemde fouten optreden als een van de servers plat gaat + als er andere servers van die server afhankelijk zijn. Na + verloop van tijd treedt op de cliënten wel een timeout op + en verbinden ze met een andere server, maar de daarmee gepaard + gaande vertraging kan aanzienlijk zijn en de foutmodus is nog + steeds van toepassing, omdat de servers dan toch weer opnieuw + een verbinding met elkaar kunnen vinden. - Het is mogelijk een host aan een specifieke server te - binden door aan ypbind de vlag - mee te geven. Om dit niet iedere - keer handmatig na een herstart te hoeven uitvoeren, kan de - volgende regel worden opgenomen in - /etc/rc.conf van de NIS server: + Het is mogelijk een host aan een specifieke server te binden + door aan ypbind de vlag + mee te geven. Om dit niet iedere keer + handmatig na een herstart te hoeven uitvoeren, kan de volgende + regel worden opgenomen in /etc/rc.conf van + de NIS-server: - nis_client_enable="YES" # start ook het client gedeelte + nis_client_enable="YES" # start ook het cliënt gedeelte nis_client_flags="-S NIS domain,server" In &man.ypbind.8; staat meer informatie. @@ -2660,17 +2645,16 @@ nis_client_flags="-S NIS domain,serverwachtwoordformaten - Een van de meest voorkomende problemen bij het - implementeren van NIS is de compatibiliteit van het - wachtwoordformaat. Als een NIS server wachtwoorden gebruikt - die met DES gecodeerd zijn, dan kunnen alleen clients die ook - DES gebruiken ondersteund worden. Als er bijvoorbeeld - &solaris; NIS clients in een netwerk zijn, dan moet er vrijwel - zeker gebruik gemaakt worden van met DES gecodeerde - wachtwoorden. + Een van de meest voorkomende problemen bij het implementeren + van NIS is de compatibiliteit van het wachtwoordformaat. Als + een NIS-server wachtwoorden gebruikt die met DES gecodeerd zijn, + dan kunnen alleen cliënten die ook DES gebruiken + ondersteund worden. Als er bijvoorbeeld &solaris; + NIS-cliënten in een netwerk zijn, dan moet er vrijwel zeker + gebruik gemaakt worden van met DES gecodeerde wachtwoorden. - Van welk formaat clients en servers gebruik maken is te - zien in /etc/login.conf. Als een host + Van welk formaat cliënten en servers gebruik maken is + te zien in /etc/login.conf. Als een host gebruik maakt van met DES gecodeerde wachtwoorden, dan staat er in de klasse default een regel als de volgende: @@ -2696,32 +2680,31 @@ nis_client_flags="-S NIS domain,server Het formaat van de wachtwoorden die al in /etc/master.passwd staan worden niet - bijgewerkt totdat een gebruiker zijn wachtwoord voor de - eerste keer wijzigt nadat de login - capability database is herbouwd. + bijgewerkt totdat een gebruiker zijn wachtwoord voor de eerste + keer wijzigt nadat de login capability + database is herbouwd. - Om te zorgen dat de wachtwoorden in het gekozen formaat - zijn gecodeerd, moet daarna gecontroleerd worden of de waarde + Om te zorgen dat de wachtwoorden in het gekozen formaat zijn + gecodeerd, moet daarna gecontroleerd worden of de waarde crypt_default in /etc/auth.conf de voorkeur geeft aan het - gekozen formaat. Om dat te realiseren dient het gekozen - formaat vooraan gezet te worden in de lijst. Als er - bijvoorbeeld gebruik gemaakt wordt van DES gecodeerde - wachtwoorden, dan hoort de regel er als volgt uit te - zien: + gekozen formaat. Om dat te realiseren dient het gekozen formaat + vooraan gezet te worden in de lijst. Als er bijvoorbeeld + gebruik gemaakt wordt van DES gecodeerde wachtwoorden, dan hoort + de regel er als volgt uit te zien: crypt_default = des blf md5 - Als de bovenstaande stappen op alle &os; gebaseerde NIS - servers en clients zijn uitgevoerd, dan is het zeker dat ze het - allemaal eens zijn over welk wachtwoordformaat er op het - netwerk wordt gebruikt. Als er problemen zijn bij de - authenticatie op een NIS client, dan is dit een prima startpunt - voor het uitzoeken waar de problemen vandaan komen. Nogmaals: - als er een NIS server in een heterogene omgeving wordt - geplaatst, dan is het waarschijnlijk dat er gebruik gemaakt - moet worden van DES op alle systemen, omdat dat de laagst + Als de bovenstaande stappen op alle &os; gebaseerde + NIS-servers en cliënten zijn uitgevoerd, dan is het zeker + dat ze het allemaal eens zijn over welk wachtwoordformaat er op + het netwerk wordt gebruikt. Als er problemen zijn bij de + authenticatie op een NIS-cliënt, dan is dit een prima + startpunt voor het uitzoeken waar de problemen vandaan komen. + Nogmaals: als er een NIS-server in een heterogene omgeving wordt + geplaatst, dan is het waarschijnlijk dat er gebruik gemaakt moet + worden van DES op alle systemen, omdat dat de laagst overeenkomende standaard is. @@ -2750,28 +2733,28 @@ nis_client_flags="-S NIS domain,serverInternet Software Consortium (ISC) - DHCP, het Dynamic Host Configuration Protocol, schrijft - voor hoe een systeem verbinding kan maken met een netwerk en - hoe het de benodigde informatie kan krijgen om met dat netwerk - te communiceren. &os; versies eerder dan 6.0 gebruiken de ISC - (Internet Software Consortium) DHCP client (&man.dhclient.8;) - implementatie. Latere versies gebruiken de OpenBSD - dhclient die uit OpenBSD 3.7 komt. - Alle informatie over dhclient kan zowel voor - de ISC als de OpenBSD DHCP client gebruikt worden. De DHCP - server zit bij de ISC distributie. + DHCP, het Dynamic Host Configuration Protocol, schrijft voor + hoe een systeem verbinding kan maken met een netwerk en hoe het + de benodigde informatie kan krijgen om met dat netwerk te + communiceren. &os; versies eerder dan 6.0 gebruiken de ISC + (Internet Software Consortium) DHCP-cliënt + (&man.dhclient.8;) implementatie. Latere versies gebruiken de + OpenBSD dhclient die uit OpenBSD 3.7 + komt. Alle informatie over dhclient kan + zowel voor de ISC als de OpenBSD DHCP-cliënt gebruikt + worden. De DHCP-server zit bij de ISC-distributie. Wat behandeld wordt - In dit onderdeel worden de clientcomponenten van de ISC en - OpenBSD DHCP client en de servercomponenten van het ISC DHCP - systeem beschreven. Het programma voor de client, + In dit onderdeel worden de cliëntcomponenten van de + ISC en OpenBSD DHCP-cliënt en de servercomponenten van het + ISC DHCP-systeem beschreven. Het programma voor de cliënt, dhclient, zit standaard in &os; en de server - is beschrikbaar via de net/isc-dhcp3-server port. Naast - de onderstaande informatie, zijn de hulppagina's van + is beschikbaar via de port net/isc-dhcp3-server. Naast de + onderstaande informatie, zijn de hulppagina's van &man.dhclient.8;, &man.dhcp-options.5; en &man.dhclient.conf.5; bruikbare bronnen. @@ -2781,34 +2764,35 @@ nis_client_flags="-S NIS domain,serverUDP - Als dhclient, de DHCP client, wordt - uitgevoerd op een clientmachine, dan begint die met het + Als dhclient, de DHCP-cliënt, wordt + uitgevoerd op een cliëntmachine, dan begint die met het broadcasten van verzoeken om instellingeninformatie. Standaard worden deze verzoeken op UDP poort 68 gedaan. De server - antwoordt op UDP 67 en geeft de client een IP adres en andere - relevante netwerkinformatie, zoals een netmasker, router en DNS - servers. Al die informatie komt in de vorm van een DHCP - lease en is voor een bepaalde tijd geldig - (die is ingesteld door de beheerder van de DHCP server). Op - die manier kunnen IP adressen voor clients die niet langer met - het netwerk verbonden zijn (stale) automatisch weer ingenomen - worden. + antwoordt op UDP 67 en geeft de cliënt een IP-adres en + andere relevante netwerkinformatie, zoals een netmasker, + router en DNS-servers. Al die informatie komt in de vorm van + een DHCP lease en is voor een bepaalde tijd + geldig (die is ingesteld door de beheerder van de DHCP-server). + Op die manier kunnen IP-adressen voor cliënten die niet + langer met het netwerk verbonden zijn (stale) automatisch weer + ingenomen worden. - DHCP clients kunnen veel informatie van de server krijgen. - Er staat een uitputtende lijst in &man.dhcp-options.5;. + DHCP-cliënten kunnen veel informatie van de server + krijgen. Er staat een uitputtende lijst in + &man.dhcp-options.5;. &os; integratie - &os; integreert de OpenBSD of ISC DHCP client + &os; integreert de OpenBSD of ISC DHCP-cliënt dhclient volledig (afhankelijk van de - gebruikte &os; versie). Er is ondersteuning voor de DHCP - client in zowel het installatieprogramma als in het + gebruikte &os; versie). Er is ondersteuning voor de + DHCP-cliënt in zowel het installatieprogramma als in het basissysteem, waardoor het niet noodzakelijk is om kennis te hebben van het maken van netwerkinstellingen voor het netwerk - waar een DHCP server draait. dhclient is - onderdeel van &os; distributies sinds 3.2. + waar een DHCP-server draait. dhclient is + onderdeel van &os;-distributies sinds 3.2. sysinstall @@ -2817,10 +2801,10 @@ nis_client_flags="-S NIS domain,serversysinstall is de tweede vraag: Wil je proberen de interface met DHCP in te - stellen? Als het antwoord bevestigend luidt, dan - wordt dhclient uitgevoerd en als dat - succesvol verloopt, dan worden de netwerkinstellingen - automatisch ingevuld. + stellen? Als het antwoord bevestigend luidt, dan wordt + dhclient uitgevoerd en als dat succesvol + verloopt, dan worden de netwerkinstellingen automatisch + ingevuld. Voor het gebruiken van DHCP bij het opstarten van het systeem zijn twee instellingen nodig: @@ -2835,21 +2819,20 @@ nis_client_flags="-S NIS domain,server Het apparaat bpf moet in de kernel gecompileerd zijn. Dit kan door - device bpf (pseudo-device - bpf onder &os; 4.X) aan het bestand met + device bpf aan het bestand met kernelinstellingen toe te voegen en de kernel te herbouwen. Meer informatie over het bouwen van een kernel staat in . Het apparaat bpf is al - onderdeel van de GENERIC kernel die - bij &os; zit, dus als er geen sprake is van een aangepaste + onderdeel van de GENERIC kernel die bij + &os; zit, dus als er geen sprake is van een aangepaste kernel, dan hoeft er geen nieuwe gemaakt te worden om DHCP aan te praat te krijgen. - Voor de lezer die bijzonder begaan is met - beveiliging, is het belangrijk aan te geven dat + Voor de lezer die bijzonder begaan is met beveiliging, + is het belangrijk aan te geven dat bpf ook het apparaat is waardoor pakketsnuffelaars hun werk kunnen doen (hoewel ze nog steeds als root moeten draaien). @@ -2869,17 +2852,17 @@ nis_client_flags="-S NIS domain,serverifconfig_fxp0="DHCP" - fxp0 dient vervangen te worden - door de juiste aanduiding van de interface die dynamisch + fxp0 dient vervangen te worden door + de juiste aanduiding van de interface die dynamisch ingesteld moet worden, zoals beschreven staat in . Als er een andere lokatie voor dhclient wordt gebruikt of als er extra - parameters aan dhclient meegegeven - moeten worden, dan dient ook iets als het volgende - toegevoegd te worden: + parameters aan dhclient meegegeven moeten + worden, dan dient ook iets als het volgende toegevoegd te + worden: dhcp_program="/sbin/dhclient" dhcp_flags="" @@ -2892,10 +2875,9 @@ dhcp_flags="" server - De DHCP server, dhcpd, zit bij - de port net/isc-dhcp3-server in de - Portscollectie. Deze port bevat de ISC DHCP server en + De DHCP-server, dhcpd, zit bij de + port net/isc-dhcp3-server + in de Portscollectie. Deze port bevat de ISC DHCP-server en documentatie. @@ -2922,26 +2904,25 @@ dhcp_flags="" /sbin/dhclient - dhclient is statisch gelinkt en - staat in /sbin. Er staat meer - informatie over dhclient in - &man.dhclient.8;. + dhclient is statisch gelinkt en staat + in /sbin. Er staat meer informatie + over dhclient in &man.dhclient.8;. /sbin/dhclient-script dhclient-script is het - &os;-specifieke DHCP client instellingenscript. Het wordt - beschreven in &man.dhclient-script.8;, maar het is niet - nodig het te wijzigen om goed te werken. + &os;-specifieke DHCP-cliënt instellingenscript. Het + wordt beschreven in &man.dhclient-script.8;, maar het is + niet nodig het te wijzigen om goed te werken. /var/db/dhclient.leases - De DHCP client houdt in dit bestand een database bij - van geldige leases, die naar een logboekbestand worden + De DHCP-cliënt houdt in dit bestand een database + bij van geldige leases, die naar een logboekbestand worden geschreven. In &man.dhclient.leases.5; staat een iets uitgebreidere beschrijving. @@ -2951,33 +2932,32 @@ dhcp_flags="" Verder lezen - Het DHCP protocol staat volledig beschreven in Het DHCP-protocol staat volledig beschreven in RFC 2131. Er is nog een bron van informatie ingesteld op . - Een DHCP server installeren en instellen + Een DHCP-server installeren en instellen Wat behandeld wordt - In dit onderdeel wordt beschreven hoe een &os; systeem - zo ingesteld kan worden dat het opereert als DHCP server - door gebruik te maken van de ISC (Internet Software - Consortium) implementatie van de DHCP suite. + In dit onderdeel wordt beschreven hoe een &os; systeem zo + ingesteld kan worden dat het opereert als DHCP-server door + gebruik te maken van de ISC (Internet Software Consortium) + implementatie van de DHCP-server. - Het servergedeelte van de suite is geen - standaardonderdeel van &os; en om deze dienst aan te bieden - dient de port De server wordt niet geleverd als deel van &os; en om deze + dienst aan te bieden dient de port net/isc-dhcp3-server - geïnstalleerd te worden. In - staat meer informatie over de Portscollectie. + geïnstalleerd te worden. In staat + meer informatie over de Portscollectie. - DHCP serverinstallatie + DHCP-serverinstallatie DHCP @@ -2985,14 +2965,12 @@ dhcp_flags="" installatie - Om een &os; systeem in te stellen als DHCP server moet - het apparaat &man.bpf.4; in de kernel zijn opgenomen. Om dit - te doen dient device bpf - (pseudo-device bpf onder &os; 4.X) - aan het bestand met kernelinstellingen toegegvoegd te worden - en dient de kernel herbouwd te worden. Meer informatie over - het bouwen van kernels staat in . + Om een &os; systeem in te stellen als DHCP-server moet het + apparaat &man.bpf.4; in de kernel zijn opgenomen. Om dit te + doen dient device bpf aan het bestand met + kernelinstellingen toegevoegd te worden en dient de kernel + herbouwd te worden. Meer informatie over het bouwen van + kernels staat in . Het apparaat bpf is al onderdeel van de GENERIC kernel die bij &os;, dus @@ -3005,8 +2983,8 @@ dhcp_flags="" pakketsnuffelaars kunnen werken (hoewel de programma's die er gebruik van maken wel bijzondere toegang nodig hebben). bpf is - verplicht voor DHCP, maar als beveiliging van belang is, - dan is het waarschijnlijk niet verstandig om + verplicht voor DHCP, maar als beveiliging van belang is, dan + is het waarschijnlijk niet verstandig om bpf in een kernel op te nemen alleen omdat er in de toekomst misschien ooit DHCP gebruikt gaat worden. @@ -3019,11 +2997,11 @@ dhcp_flags="" /usr/local/etc/dhcpd.conf.sample en dit bestand dient gekopieerd te worden naar /usr/local/etc/dhcpd.conf voordat de - wijzgingen worden gemaakt. + wijzigingen worden gemaakt. - De DHCP server instellen + De DHCP-server instellen DHCP @@ -3033,7 +3011,7 @@ dhcp_flags="" dhcpd.conf is opgebouwd uit declaraties over subnetten en hosts en is wellicht het meest - eenvoudig te beschijven met een voorbeeld: + eenvoudig te beschrijven met een voorbeeld: option domain-name "example.com"; option domain-name-servers 192.168.4.100; @@ -3055,79 +3033,91 @@ host mailhost { - Deze optie geeft het domein aan dat door clients als - standaard zoekdomein wordt gebruikt. In + Deze optie geeft het domein aan dat door cliënten + als standaard zoekdomein wordt gebruikt. In &man.resolv.conf.5; staat meer over wat dat betekent. Deze optie beschrijft een door komma's gescheiden - lijst met DNS servers die de client moet + lijst met DNS-servers die de cliënt moet gebruiken. - Het netmasker dat aan de clients wordt + Het netmasker dat aan de cliënten wordt voorgeschreven. - Een client kan om een bepaalde duur vragen die een - lease geldig is. Anders geeft de server aan wanneer de - lease vervalt (in seconden). + Een cliënt kan om een bepaalde duur vragen die + een lease geldig is. Anders geeft de server aan wanneer + de lease vervalt (in seconden). Dit is de maximale duur voor een lease die de server - toestaat. Als een client vraagt om een langere lease, - dan wordt die wel verstrekt, maar is de maar geldig - gedurende max-lease-time - seconden. + toestaat. Als een cliënt vraagt om een langere + lease, dan wordt die wel verstrekt, maar is de maar geldig + gedurende max-lease-time seconden. - Deze optie geeft aan of de DHCP server moet proberen - de DNS server bij te werken als een lease is geaccepteerd + Deze optie geeft aan of de DHCP-server moet proberen + de DNS-server bij te werken als een lease is geaccepteerd of wordt vrijgegeven. In de ISC implementatie is deze optie verplicht. - Dit geeft aan welke IP adressen in de groep met + Dit geeft aan welke IP-adressen in de groep met adressen zitten die zijn gereserveerd om uitgegeven te - worden aan clients. Alle IP adressen tussen de + worden aan cliënten. Alle IP-adressen tussen de aangegeven adressen en die adressen zelf worden aan - clients uitgegeven. + cliënten uitgegeven. - Geeft de default gateway aan die aan de clients + Geeft de default gateway aan die aan de cliënten wordt voorgeschreven. - Het hardware MAC adres van een host, zodat de DHCP - server een host kan herkennen als die een verzoek + Het hardware MAC-adres van een host, zodat de + DHCP-server een host kan herkennen als die een verzoek doet. - Geeft een host aan die altijd hetzelfde IP adres - moet krijgen. Hier kan een hostnaam gebruikt worden, - omdat de DHCP server de hostnaam zelf opzoekt voordat de + Geeft een host aan die altijd hetzelfde IP-adres moet + krijgen. Hier kan een hostnaam gebruikt worden, omdat de + DHCP-server de hostnaam zelf opzoekt voordat de lease-informatie terug wordt gegeven. - Als dhcpd.conf is ingesteld, kan de - server met het volgende commando gestart worden: + Wanneer u klaar bent met het schrijven van uw + dhcpd.conf, dient u de DHCP-server in + /etc/rc.conf aan te zetten, door het + volgende toe te voegen: + + dhcpd_enable="YES" +dhcpd_ifaces="dc0" + + Vervang de interfacenaam dc0 door de + interface (of interfaces, gescheiden door witruimtes) waarop + uw DHCP-server moet luisteren naar DHCP-verzoeken van + cliënten. + + Daarna kunt u doorgaan met het starten van de server door + het volgende commando te geven: &prompt.root; /usr/local/etc/rc.d/isc-dhcpd.sh start - Als er later wijzigingen in de instellingen gemaakt - moeten worden, dan is het belangrijk te onthouden dat het - sturen van een SIGHUP signaal naar + Als er later wijzigingen in de instellingen gemaakt moeten + worden, dan is het belangrijk te onthouden dat het sturen van + een SIGHUP signaal naar dhcpd niet resulteert in het opnieuw laden van de instellingen, zoals voor de meeste daemons geldt. Voor deze daemon dient een @@ -3162,35 +3152,35 @@ host mailhost { dhcpd heeft een instellingenbestand, /usr/local/etc/dhcpd.conf, nodig - voordat de daemon diensten aan clients kan leveren. Het - bestand moet alle informatie bevatten die aan clients - gegeven moet worden en de informatie die nodig is voor - het draaien van de dienst. Dit instellingenbestand staat - beschreven in de hulppagina voor &man.dhcpd.conf.5; die - meekomt met de port. + voordat de daemon diensten aan cliënten kan leveren. + Het bestand moet alle informatie bevatten die aan + cliënten gegeven moet worden en de informatie die + nodig is voor het draaien van de dienst. Dit + instellingenbestand staat beschreven in de hulppagina voor + &man.dhcpd.conf.5; die meekomt met de port. /var/db/dhcpd.leases - De DHCP server houdt in dit bestand een database bij + De DHCP-server houdt in dit bestand een database bij met leases die zijn uitgegeven en die naar een logboek worden geschreven. In de hulppagina &man.dhcpd.leases.5; - die bij de port zit wordt dit uitvoeriger - beschreven. + die bij de port zit wordt dit uitvoeriger beschreven. /usr/local/sbin/dhcrelay dhcrelay wordt in - uitgebreidere omgevingen gebruikt waar de ene DHCP server - een verzoek van een client naar een andere DHCP server op - een ander netwerk doorstuurt. Als deze functionaliteit - nodig is, kan die beschikbaar komen door de port - net/isc-dhcp3-relay - te installeren. De hulppagina voor &man.dhcrelay.8; die - bij de port zit bevat meer details. + uitgebreidere omgevingen gebruikt waar de ene DHCP-server + een verzoek van een cliënt naar een andere + DHCP-server op een ander netwerk doorstuurt. Als deze + functionaliteit nodig is, kan die beschikbaar komen door + de port net/isc-dhcp3-relay te + installeren. De hulppagina voor &man.dhcrelay.8; die bij + de port zit bevat meer details. @@ -3205,10 +3195,20 @@ host mailhost { Lee Geschreven door + + + Tom + Rhodes + + + + Daniel + Gerzo + - Domeinnaamsysteem (DNS) + Domeinnaamsysteem (<acronym>DNS</acronym>) Overzicht @@ -3217,33 +3217,33 @@ host mailhost { &os; gebruikt standaard een versie van BIND (Berkeley Internet Name Domain), wat de meest gebruikte implementatie van - het DNS protocol is. DNS is het protocol waarmee namen aan - IP adressen gebonden worden en vice versa. Zo wordt - bijvoorbeeld op een zoekopdracht voor www.FreeBSD.org geantwoord met het IP - adres van de webserver van het &os; Project en op een - zoekopdracht voor ftp.FreeBSD.org - wordt geantwoord met het bijbehorende IP adres van de FTP - machine. Het tegenovergestelde kan ook gebeuren. Een - zoekopdracht voor een IP adres kan de bijbehorende hostnaam - opleveren. Het is niet nodig om een nameserver te draaien om - op een systeem zoekopdrachten met DNS te maken. + het DNS-protocol is. DNS + is het protocol waarmee namen aan IP-adressen + gebonden worden en vice versa. Zo wordt bijvoorbeeld op een + zoekopdracht voor www.FreeBSD.org geantwoord met het + IP-adres van de webserver van het &os; + Project en op een zoekopdracht voor ftp.FreeBSD.org wordt geantwoord met het + IP-adres van de bijbehorende + FTP-machine. Het tegenovergestelde kan ook + gebeuren. Een zoekopdracht voor een IP-adres + kan de bijbehorende hostnaam opleveren. Het is niet nodig om + een naamserver te draaien om op een systeem zoekopdrachten met + DNS uit te voeren. + + &os; wordt momenteel standaard geleverd met de + BIND9 DNS-serversoftware. + Onze installatie biedt verbeterde beveilingsmogelijkheden, een + nieuwe indeling van het bestandssysteem en geautomatiseerde + configuratie van &man.chroot.8;. DNS - DNS wordt op internet onderhouden door een complex systeem - van autoritaire root nameservers en andere nameservers met een - kleinere scope die domeininformatie hosten en cachen. - - In dit document wordt BIND 8.x beschreven, de stabiele - versie die in &os; wordt gebruikt. Versies van &os; 5.3 - en later bevatten BIND9 en aanwijzingen voor - het instellen daarvan zijn later in dit hoofdstuk te vinden. - Gebruikers van &os; 5.2 en eerdere versies kunnen - BIND9 installeren vanuit de port net/bind9. - - RFC1034 and RFC1035 schrijven het DNS protocol voor. + DNS wordt op Internet onderhouden door + een enigszins complex systeem van autoritaire root, Top Level + Domain (TLD), en andere kleinschaligere + naamservers die individuele domeininformatie hosten en cachen. Op dit moment wordt BIND beheerd door het Internet Software Consortium . @@ -3252,8 +3252,8 @@ host mailhost { Terminologie - Voor het begrip van dit document dienen aan aantal termen - begrepen te worden. + Om dit document te begrijpen moeten een aantal termen + gerelateerd aan DNS begrepen worden. resolver @@ -3277,57 +3277,57 @@ host mailhost { - Voorwaartse DNS + Voorwaartse DNS - Het koppelen van hostnamen aan IP - adressen; + Het afbeelden van hostnamen op IP-adressen. Herkomst (origin) Verwijst naar het domein dat door een bepaald - zonebestand wordt gedekt; + zonebestand wordt gedekt. named, BIND, - nameserver + naamserver - Vaak gebruikte namen voor het BIND nameserver - pakket in &os;; + Vaak gebruikte namen voor het naamserverpakket BIND + in &os;. Resolver Een systeemproces waarmee een machine - zoekopdrachten om zoneinformatie aan een nameserver - stelt; + zoekopdrachten om zoneinformatie aan een naamserver + geeft. - Reverse DNS + Reverse DNS - Het tegenovergestelde van voorwaartse DNS. Het - koppelen van IP adressen aan hostnamen; + Het tegenovergestelde van voorwaartse DNS; het + afbeelden van IP-adressen op + hostnamen. - Root zone + Rootzone - Het begin van de internet zonehiërarchie. - Alle zones vallen onder de root zone, net zoals alle + Het begin van de Internet zonehiërarchie. + Alle zones vallen onder de rootzone, net zoals alle bestanden in een bestandssysteem onder de rootmap - vallen; + vallen. Zone Een individueel domein, subdomein of een deel van - de DNS die door dezelfde autoriteit wordt - beheerd. + de DNS die door dezelfde autoriteit + wordt beheerd. @@ -3343,106 +3343,98 @@ host mailhost { - . is de root zone; + . is de rootzone. - org. is een zone onder de root - zone; + org. is een Top Level Domain + (TLD) onder de rootzone. example.org. is een - zone onder het zone org.; + zone onder het TLD + org.. - foo.example.org. is - een subdomein onder de zone example.org.; - - - - 1.2.3.in-addr.arpa is een zone waarin - alle IP adressen die onder de IP ruimte 3.2.1.* vallen. + 1.168.192.in-addr.arpa is een zone die + naar alle IP-adressen verwijst die onder + de IP-ruimte 192.168.1.* vallen. - Zoals te zien is staat het meer specifieke deel van een - hostnaam aan de linkerkant. Zo is example.org. bijvoorbeeld meer - specifiek dan org. en is org. - meer specifiek van de root zone. De indeling van ieder deel - van een hostnaam lijkt veel op een bestandssysteem: de map + Zoals te zien is staat het specifiekere deel van een + hostnaam aan de linkerkant. Zo is bijvoorbeeld example.org. specifieker dan + org. en is org. + specifieker dan de rootzone. De indeling van ieder deel van een + hostnaam lijkt veel op een bestandssysteem: de map /dev valt onder de root, enzovoort. - Redenen om een nameserver te draaien + Redenen om een naamserver te draaien - Nameservers bestaan in het algemeen in twee smaken: een - authoritative namserver en een caching namserver. + Naamservers bestaan in het algemeen in twee smaken: een + autoratieve naamserver en een caching naamserver. - Er is een authoritative namserver nodig als: + Er is een autoratieve naamserver nodig als: - het nodig is DNS informatie aan te bieden aan de wereld - om met autoriteit (authoritatively) op verzoeken te - antwoorden; + Het gewenst is om DNS-informatie aan + te bieden aan de wereld om met autoriteit op verzoeken te + antwoorden. - een domein, zoals Een domein, zoals example.org, is geregistreerd - en er IP adressen aan hostnamen die daaronder liggen - toegewezen moeten worden; + en er IP-adressen aan hostnamen die + daaronder liggen toegewezen moeten worden. - een IP adresblok reverse DNS entries nodig heeft (IP - naar hostnaam); + Een IP-adresblok omgekeerde + DNS-ingangen nodig heeft + (IP naar hostnaam). - een backup namserver, die slave wordt genoemd, moet - antwoorden op verzoeken als de primaire down of niet - toegankelijk is. + Een omgekeerde of tweede naamserver, die een slaaf wordt + genoemd, moet antwoorden op verzoeken. - Er is een caching namserver nodig als: + Er is een caching naamserver nodig als: - een lokale DNS server kan cachen en wellicht sneller - kan antwoorden dan een namserver die verder weg - staat; - - - - het wenselijk is om het totale netwerkverkeer te - reduceren. Er is ooit vastgesteld dat DNS verkeer 5% of - meer van het totale verkeer op internet uitmaakt. + Een lokale DNS-server kan cachen en + wellicht sneller kan antwoorden dan een naamserver die + verder weg staat. Als er een verzoek wordt gedaan voor www.FreeBSD.org, dan doet de resolver - meestal een verzoek bij de nameserver van de ISP die de uplink - levert en ontvangt daarop een antwoord. Met een lokale, - caching namserver hoeft het verzoek maar één - keer door de caching nameserver naar de buitenwereld gedaan te - worden. Voor ieder volgend verzoek hoeft niet buiten het - lokale netwerk gekeken te worden omdat het al lokaal in de - cache staat. + meestal een verzoek bij de naamserver van de + ISP die de uplink levert en ontvangt daarop + een antwoord. Met een lokale, caching + DNS-server hoeft het verzoek maar + één keer door de caching + DNS-server naar de buitenwereld gedaan te + worden. Voor ieder volgend verzoek hoeft niet buiten het lokale + netwerk gekeken te worden omdat het al lokaal in de cache + staat. Hoe het werkt - Om begrijpelijke redenen heet de BIND daemon in &os; + Om begrijpelijke redenen heet de daemon BIND in &os; named. @@ -3457,35 +3449,40 @@ host mailhost { - named + &man.named.8; - de BIND daemon + De daemon BIND. - ndc + &man.rndc.8; - name daemon beheerprogramma + Naamserverbeheerprogramma. - /etc/namedb + /etc/namedb - map waar BIND zoneinformatie staat + Map waar zoneinformatie van BIND staat. /etc/namedb/named.conf - daemon instellingenbestand + Instellingenbestand van de daemon. - Zonebestanden staat meestal binnen de map - /etc/namedb en bevatten de DNS zone - informatie die de namserver aanbiedt. + Afhankelijk van hoe en gegeven zone op de server is + geconfigureerd, staan de bestanden gerelateerd aan die zone in + de submappen master, + slave, of dynamic van de map /etc/namedb. Deze bestanden + bevatten de DNS-informatie die door de + naamserver als antwoord op zoekopdrachten gegeven zal worden. @@ -3500,15 +3497,30 @@ host mailhost { Omdat BIND standaard wordt geïnstalleerd, is het instellen relatief eenvoudig. - Om de named daemon bij het - booten te laten starten kan de volgende regel in + De standaardconfiguratie van + named is die van een eenvoudige + resolvende naamserver, draaiende in een &man.chroot.8;-omgeving. + Gebruik het volgende commando om de server eenmaal met deze + configuratie te starten: + + &prompt.root; /etc/rc.d/named forcestart + + Om er zeker van te zijn dat de daemon + named elke keer bij het opstarten + gestart wordt, moet de volgende regel in /etc/rc.conf gezet worden: named_enable="YES" - Om na het instellen de daemon handmatig te starten: - - &prompt.root; ndc start + Het is duidelijk dat er vele instelopties voor + /etc/namedb/named.conf zijn die buiten het + bereik van dit document vallen. Als u echter + geïnteresseerd bent in de opstartopties voor + named op &os;, bekijk dan de + named_*-vlaggen in + /etc/defaults/rc.conf en raadpleeg de + handleidingpagina &man.rc.conf.5;. De sectie is ook nuttig om te lezen. @@ -3517,231 +3529,267 @@ host mailhost { BIND - instellingenbestanden/secondary> + instellingenbestanden + Instellingenbestanden voor named + bevinden zich momenteel in /etc/namedb en moeten gewijzigd + worden voor gebruik, tenzij er alleen een eenvoudige resolver + nodig is. Hier vindt de meeste configuratie plaats. + <command>make-localhost</command> gebruiken - Het volgende commando dient uitgevoerd te worden om het - bestand voor de lokale reverse DNS zone in - /etc/namedb/master/localhost.rev op de - juiste wijze aan te maken: + Ga om een masterzone voor de lokale host in te stellen + naar de map /etc/namedb + en draai het volgende commando: - &prompt.root; cd /etc/namedb -&prompt.root; sh make-localhost + &prompt.root; sh make-localhost + + Als alles goed ging zou er een nieuw bestand in de submap + master moeten staan. + De bestandsnamen zouden localhost.rev + voor de lokale domeinnaam en + localhost-v6.rev voor + IPv6-configuraties moeten zijn. Voor het + standaardinstellingenbestand staat de benodigde informatie in + het bestand named.conf. <filename>/etc/namedb/named.conf</filename> - // $FreeBSD$ + // $FreeBSD$$ // -// In de hulppagina named(8) zijn meer details te vinden. Voor het -// opzetten van een primaire server is begrip van de werking van DNS -// noodzakelijk. Zelfs eenvoudige fouten kunnen de werking verstoren -// of veel onnodig verkeer veroorzaken. +// In de handleidingpagina's named.conf(5) en named(8), en in de +// documentatie in /usr/share/doc/bind9 zijn meer details te vinden. +// +// Voor het opzetten van een autoratieve server is een grondig begrip +// van de werking van DNS noodzakelijk. Zelfs eenvoudige fouten kunnen // de werking verstoren voor beïnvloede partijen of veel onnodig +// Internetverkeer veroorzaken. options { - directory "/etc/namedb"; + directory "/etc/namedb"; + pid-file "/var/run/named/pid" + dump-file "/var/dump/named_dump.db" + statistics-file "/var/stats/named.stats" -// Als toevoeging op de "forwarders" clausule kan de namserver ook +// Als named alleen als een lokale resolver gebruikt wordt, is dit een +// veilige standaardinstelling. Om named toegang tot het netwerk te +// verschaffen, dient deze optie gecommentarieerd te worden, het +// juiste IP-adres opgegeven te worden, of dient deze optie verwijderd +// te worden. + listen-on { 127.0.0.1; }; + +// Als u IPv6 aan heeft staan op dit systeem, dient deze optie +// uitgecommentarieerd te worden om als lokale resolver te dienen. Om +// toegang tot het netwerk te verschaffen, dient een IPv6-adres of het +// sleutelwoord "any" gegeven te worden. +// listen-on-v6 { ::1; }; + +// Als aanvulling op de "forwarders" clausule kan de naamserver ook // worden aangegeven dat hij nooit zelf verzoeken mag maken, maar dat // altijd aan zijn forwarders moet vragen door de volgende regel te // activeren: // -// forward only; +// forward only; -// Als er een DNS server beschikbaar is bij een upstream provider dan -// kan het IP adres op de regel hieronder ingegeven worden en kan die +// Als er een DNS-server beschikbaar is bij een upstream provider dan +// kan het IP-adres op de regel hieronder ingegeven worden en kan die // geactiveerd worden. Hierdoor wordt voordeel gehaald uit de cache, -// waardoor het DNS verkeer op internet vermindert. +// waardoor het algehele DNS-verkeer op het Internet vermindert. /* - forwarders { - 127.0.0.1; - }; + forwarders { + 127.0.0.1; + }; */ - Zoals al in het commentaar staat kan het gebruik van een - cache in de uplink met forwarders - ingeschakeld worden. In normale omstandigheden maakt een - namserver recursief verzoeken tot er een antwoord komt waar - de server naar op zoek is. Door de bovenstaande optie in te - schakelen wordt eerst bij de namserver die is opgegeven - gevraagd, waardoor er gebruik gemaakt kan worden van de - cache van die server. Als die namserver een drukke, snelle - namserver is, kan het erg de moeite waard zijn van deze - optie gebruik te maken. + Zoals al in het commentaar staat kan van een cache in de + uplink geprofiteerd worden als forwarders + ingeschakeld worden. Onder normale omstandigheden maakt een + naamserver recursief verzoeken tot het Internet op zoek naar + zekere naamservers tot er een antwoord komt waar het naar op + zoek is. Door de bovenstaande optie in te schakelen wordt + eerst de uplink naamserver (of de opgegeven naamserver) + gevraagd, waardoor er gebruik gemaakt kan worden van de cache + van die server. Als die uplink naamserver een drukke, + snelle naamserver is, kan het erg de moeite waard zijn om dit + aan te zetten. 127.0.0.1 werkt hier - niet. Dat IP adres dient gewijzigd te - worden naar een werkende namserver in de uplink. + niet. Verander dit + IP-adres in een naamserver in de + uplink. /* - * Als er een firewall tussen een host en namservers staat waarmee - * gesproken moet worden, dan dient het commentaar voor het - * query-source hieronder verwijderd te worden. In eerdere versies van - * BIND werden verzoeken altijd via poort 53 gedaan, maar vanaf - * BIND 8.1 wordt een poort zonder privileges gebruikt. + * Als er een firewall tussen een host en naamservers staat waarmee + * gesproken moet worden, dan dient het commentaar voor de + * query-source directive hieronder verwijderd te worden. In eerdere + * versies van BIND werden verzoeken altijd via poort 53 gedaan, maar + * versie 8 en later van BIND gebruiken standaard een pseudo-random + * poort zonder privileges. */ -// query-source address * port 53; - -/* - * Als de namserver in een sandbox draait, kan het wenselijk zijn om - * een andere lokatie voor het dumpbestand in te geven. - */ -// dump-file "s/named_dump.db"; + // query-source address * port 53; }; -// Opmerking: het volgende wordt in een latere release ondersteund. -/* -host { any; } { - topology { - 127.0.0.0/8; - }; -}; -*/ - -// Het opzetten van een secondary is veel eenvoudiger en dat wordt -// hieronder ruweg beschreven. -// -// Als er een lokale nameserver wordt gebruikt, dan dient niet -// vergeten te worden om 127.0.0.1 in /etc/resolv.conf te zetten zodat -// die eerst bevraagd wordt. Het is ook belangrijk wijzigingen aan te -// brengen in /etc/rc.conf om named te starten. +// Als er een lokale naamserver wordt gebruikt, vergeet dan niet om +// eerst 127.0.0.1 in /etc/resolv.conf te zetten zodat die gevraagd +// wordt. Controleer ook dat het in /etc/rc.conf is aangezet. zone "." { - type hint; - file "named.root"; + type hint; + file "named.root"; }; zone "0.0.127.IN-ADDR.ARPA" { - type master; - file "localhost.rev"; + type master; + file "master/localhost.rev"; }; -// NB: De IP adressen hieronder zijn bedoeld als voorbeeld en dienen +// RFC 3152 +zone "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA" { + type master; + file "master/localhost-v6.rev"; +}; + +// NB: De IP-adressen hieronder zijn bedoeld als voorbeeld en dienen // niet gebruikt te worden! // -// Voorbeeld secondary instellingen. Het kan handig zijn om tenminste -// secondary te worden voor de zone waar de host onderdeel van -// uitmaakt. Bij netwerkbeheerders kan nagevraagd worden welke server -// de primaire server is. +// Voorbeeld instellingen voor slaafzones. Het kan handig zijn om +// tenminste slaaf te worden voor de zone waar de host onderdeel van +// uitmaakt. Bij uw netwerkbeheerder kan het IP-adres van de +// verantwoordelijke primaire zone nagevraagd worden. // -// De reverse lookup zone (IN-ADDR.ARPA) mag nooit vergeten worden! Dat -// zijn de eerste bytes van het respectievelijke IP adres in omgekeerde -// volgorde met daarachter ".IN-ADDR.ARPA". +// De omgekeerde lookupzone (IN-ADDR.ARPA) mag nooit vergeten worden! +// (Dit is genoemd naar de eerste bytes van het IP-adres, in omgekeerde +// volgorde, met daarachter ".IN-ADDR.ARPA".) // -// Het is echter van groot belang om de werking van DNS en BIND te -// begrijpen voordat er een primaire zone wordt opgeset. Er zijn -// nogal wat onverwachte valkuiten. Het opzetten van een secondary is -// veel eenvoudiger. +// Het is van groot belang om de werking van DNS en BIND te begrijpen +// voordat er een primaire zone wordt opgezet. Er zijn nogal wat +// onverwachte valkuilen. Het opzetten van een slaafzone is +// eenvoudiger. // -// NB: Het wordt afgeraden de onderstaande voorbeelden actief te maken. -// Er dienen bestaande namen en adressen gebruikt te worden. -// -// BELANGRIJK!!! &os; draait BIND in een zandbak (zie named_flags in -// rc.conf). In de map waarin de secundaire zones staat moet -// geschreven kunnen worden door BIND. Dat kan als volgt: -// -// mkdir /etc/namedb/s -// chown bind:bind /etc/namedb/s -// chmod 750 /etc/namedb/s +// NB: Zet de onderstaande voorbeelden niet blindelings aan. :-) +// Gebruik in plaats hiervan echte namen en adressen. +/* Een voorbeeld van een masterzone +zone "example.net" { + type master; + file "master/example.net"; +}; +*/ - Meer informatie over het draaien van BIND in een zandbak - staat in named - in een Zandbak Draaien. - - - /* -zone "example.com" { - type slave; - file "s/example.com.bak"; - masters { - 192.168.1.1; - }; +/* Een voorbeeld van een dynamische zone +key "exampleorgkey" { + algorithm hmac-md5; + secret "sf87HJqjkqh8ac87a02lla=="; }; -zone "0.168.192.in-addr.arpa" { - type slave; - file "s/0.168.192.in-addr.arpa.bak"; - masters { - 192.168.1.1; - }; +zone "example.org" { + type master; + allow-update { + key "exampleorgkey"; + }; + file "dynamic/example.org"; +}; +*/ + +/* Voorbeelden van voorwaartse en omgekeerde slaafzones +zone "example.com" { + type slave; + file "slave/example.com"; + masters { + 192.168.1.1; + } +}; +zone "1.168.192.in-addr.arpa" { + type slave; + file "s/1.168.192.in-addr.arpa.bak"; + masters { + 192.168.1.1; + }; }; */ - De bovenstaande voorbeelden komen uit - named.conf en zijn voorbeelden van - instellingen voor een slave, voor een forward en reverse + In named.conf zijn dit voorbeelden + van slaafregels voor een voorwaartse en een omgekeerde zone. Voor iedere nieuwe zone die wordt aangeboden dient een nieuwe instelling voor de zone aan named.conf toegevoegd te worden. - De meest eenvoudige instelling voor de zone De eenvoudigste instelling voor de zone example.org kan er als volgt uitzien: zone "example.org" { type master; - file "example.org"; + file "master/example.org"; }; - De zone is een master, dat geeft de instelling - aan, waarvan de zoneinformatie in - /etc/namedb/example.org staat, wat de - instelling aangeeft. + De zone is een master, zoals aangegeven door het statement + , waarvan de zoneinformatie in + /etc/namedb/example.org staat, zoals het + statement aangeeft. zone "example.org" { type slave; - file "example.org"; + file "slave/example.org"; }; - In het geval van de slave wordt de zoneinformatie - voor een zone getransporteerd van de master namserver en - opgeslagen in het ingestelde bestand. Als een master server - het niet meer doet of niet bereikbaar is, dan heeft de slave - server de getransporteerde zoneinformatie nog en kan die - aanbieden. + In het geval van de slaaf wordt de zoneinformatie voor een + zone overgedragen van de master naamserver en opgeslagen in + het ingestelde bestand. Als de masterserver het niet meer + doet of niet bereikbaar is, dan heeft de slaveserver de + overgedragen zoneinformatie nog en kan het die aanbieden. Zonebestanden - Een voorbeeldbestand voor een master zone voor example.org (als bestand - /etc/namedb/example.org): + + BIND - $TTL 3600 + zonebestanden + -example.org. IN SOA ns1.example.org. admin.example.org. ( - 5 ; Serial - 10800 ; Refresh - 3600 ; Retry - 604800 ; Expire - 86400 ) ; Minimum TTL + Een voorbeeldbestand voor een masterzone voor example.org (bestaande binnen + /etc/namedb/master/example.org) ziet er + als volgt uit: + + $TTL 3600 ; 1 uur +example.org. IN SOA ns1.example.org. admin.example.org. ( + 2006051501 ; Serienummer + 10800 ; Verversen + 3600 ; Opnieuw proberen + 604800 ; Verlopen + 86400 ; Minimum TTL + ) ; DNS Servers -@ IN NS ns1.example.org. -@ IN NS ns2.example.org. + IN NS ns1.example.org. + IN NS ns2.example.org. + +; MX Records + IN MX 10 mx.example.org. + IN MX 20 mail.example.org. + + IN A 192.168.1.1 ; Machinenamen -localhost IN A 127.0.0.1 -ns1 IN A 3.2.1.2 -ns2 IN A 3.2.1.3 -mail IN A 3.2.1.10 -@ IN A 3.2.1.30 +localhost IN A 127.0.0.1 +ns1 IN A 192.168.1.2 +ns2 IN A 192.168.1.3 +mail IN A 192.168.1.4 +mx IN A 192.168.1.5 ; Aliases -www IN CNAME @ +www IN CNAME @ -; MX Record -@ IN MX 10 mail.example.org. Iedere hostnaam die eindigt op een . is een exacte hostnaam, terwijl alles zonder een @@ -3752,8 +3800,7 @@ www IN CNAME @ example.org., dus www vertaalt naar www.example.org. - De regels in een zonebestand volgen de volgende - opmaak: + De regels in een zonebestand volgen de volgende opmaak: recordnaam IN recordtype waarde @@ -3763,14 +3810,14 @@ www IN CNAME @ records - De meest gebruikte DNS records: + De meest gebruikte DNS-records: SOA - begin van zoneautoriteit (start of + begin van autoriteit (start of authority) @@ -3779,7 +3826,7 @@ www IN CNAME @ NS - een bevoegde (authoritative) name + een bevoegde (autoratieve) name server @@ -3796,8 +3843,7 @@ www IN CNAME @ CNAME - de canonieke (canonical) naam voor een - alias + de canonieke naam voor een alias @@ -3814,18 +3860,18 @@ www IN CNAME @ een domeinnaam pointer (gebruikt in - reverse DNS) + omgekeerde DNS) example.org. IN SOA ns1.example.org. admin.example.org. ( - 5 ; Serial - 10800 ; Refresh after 3 hours - 3600 ; Retry after 1 hour - 604800 ; Expire after 1 week - 86400 ) ; Minimum TTL of 1 day + 2006051501 ; Serienummer + 10800 ; Ververs na 3 uur + 3600 ; Opnieuw proberen na 1 uur + 604800 ; Verlopen na 1 week + 86400 ) ; Minimum TTL van 1 dag @@ -3841,7 +3887,7 @@ example.org. IN SOA ns1.example.org. admin.example.org. ( ns1.example.org. - de primaire/bevoegde namserver voor deze + de primaire/bevoegde naamserver voor deze zone. @@ -3851,72 +3897,74 @@ example.org. IN SOA ns1.example.org. admin.example.org. ( de persoon die verantwoordelijk is voor - deze zone, e-mailadres met @ vervangen. + deze zone, emailadres met @ vervangen. admin@example.org wordt admin.example.org. - 5 + 2006051501 het serienummer van het bestand. Dit moet iedere keer als het zonebestand wordt aangepast opgehoogd worden. Tegenwoordig geven veel beheerders de voorkeur aan de opmaak yyyymmddrr voor het - serienummer. 2001041002 betekent + serienummer. 2006051501 betekent dan dat het voor het laatst is aangepast op - 10–04–2001. De laatste - 02 betekent dat het zonebestand een - aantal keer is aangepast op die dag. Het serienummer - is belangrijk omdat het slave nameservers aangeeft dat - een zone is bijgewerkt. + 15–05–2006, de laatste + 01 betekent dat het zonebestand die + dag voor het eerst is aangepast. Het serienummer is + belangrijk omdat het slaafnaamservers aangeeft dat een + zone is bijgewerkt. -@ IN NS ns1.example.org. + IN NS ns1.example.org. - Hierboven staat een NS regel. Voor iedere nameserver - die bevoegde antwoorden moet geven voor de zone hoort er - zo'n regel te zijn. De @ betekent - hetzelfde als example.org. - Een @ vertaalt naar de oorsprong. + Hierboven staat een NS-regel. Voor iedere naamserver die + bevoegde antwoorden moet geven voor de zone hoort er zo'n + regel te zijn. -localhost IN A 127.0.0.1 -ns1 IN A 3.2.1.2 -ns2 IN A 3.2.1.3 -mail IN A 3.2.1.10 -@ IN A 3.2.1.30 +localhost IN A 127.0.0.1 +ns1 IN A 192.168.1.2 +ns2 IN A 192.168.1.3 +mx IN A 192.168.1.4 +mail IN A 192.168.1.5 - Een A record geeft een machinenaam aan. Hierboven is te + Een A-record geeft een machinenaam aan. Hierboven is te zien dat ns1.example.org zou - resolven naar 3.2.1.2. - Nogmaals, het symbool voor oorsprong, @, - wordt hier gebruikt en dus zou example.org resolven naar - 3.2.1.30. + resolven naar 192.168.1.2. + + + IN A 192.168.1.1 + + Deze regel kent IP-adres 192.168.1.1 toe aan de huidige + oorsprong, in dit geval example.org. www IN CNAME @ - Een canoniek name record wordt meestal gebruikt voor het - geven van aliasen aan een machine. In het voorbeeld is - www een alias naar de machine die gelijk is - aan de oorsprong, Een canoniek naamrecord wordt meestal gebruikt voor het + geven van aliassen aan een machine. In het voorbeeld is + www een alias naar de master + machine waarvan de naam gelijk is aan de domeinnaam example.org (3.2.1.30). CNAME's kunnen gebruikt - worden om een alias aan hostnamen te geven of om round robin - één hostnaam naar meerdere machines te laten - wijzen. + role="ipaddr">192.168.1.1). CNAME's kunnen + gebruikt worden om een alias aan hostnamen te geven of om + round-robin één hostnaam naar meerdere machines + te laten wijzen. MX record -@ IN MX 10 mail.example.org. + IN MX 10 mail.example.org. MX records geven aan welke mailservers verantwoordelijk zijn voor het afhandelen van inkomende mail voor de zone. @@ -3925,372 +3973,73 @@ www IN CNAME @ mailserver. Het is mogelijk meerdere mailservers in te stellen met - prioriteiten 3, 2 en 1. Een mailserver die probeert mail - af te leveren voor example.org probeert dat eerst - bij de MX met de hoogste prioriteit, daarna de op een na - hoogste, enzovoort, totdat de mail afgeleverd kan - worden. + bij de MX met de hoogste prioriteit (het record met het + laagste prioriteitsnummer), daarna de tweede hoogste, + enzovoort, totdat de mail afgeleverd kan worden. - Voor in-addr.arpa zonebestanden (reverse DNS) wordt - dezelfde opmaak gebruikt, maar dan met PTR regels in plaats + Voor in-addr.arpa zonebestanden (omgekeerd DNS) wordt + dezelfde opmaak gebruikt, maar dan met PTR-regels in plaats van A of CNAME. $TTL 3600 -1.2.3.in-addr.arpa. IN SOA ns1.example.org. admin.example.org. ( - 5 ; Serial - 10800 ; Refresh - 3600 ; Retry - 604800 ; Expire +1.168.192.in-addr.arpa. IN SOA ns1.example.org. admin.example.org. ( + 2006051501 ; Serienummer + 10800 ; Ververs + 3600 ; Opnieuw proberen + 604800 ; Verlopen 3600 ) ; Minimum -@ IN NS ns1.example.org. -@ IN NS ns2.example.org. + IN NS ns1.example.org. + IN NS ns2.example.org. -2 IN PTR ns1.example.org. -3 IN PTR ns2.example.org. -10 IN PTR mail.example.org. -30 IN PTR example.org. +1 IN PTR example.org. +2 IN PTR ns1.example.org. +3 IN PTR ns2.example.org. +4 IN PTR mx.example.org. +5 IN PTR mail.example.org. - Dit bestand geeft de juiste IP adressen voor hostnamen + Dit bestand geeft de juiste IP-adressen voor hostnamen in het voorbeelddomein hierboven. - Caching nameserver + Caching naamserver BIND - caching namserver + caching naamserver - Een caching namserver is een namserver die voor geen + Een caching naamserver is een naamserver die voor geen enkele zone bevoegd is en alleen verzoeken doet en die onthoudt voor later gebruik. Het opzetten ervan is eenvoudigweg het - opzetten van een namserver zonder zones toe te voegen. - - - - <application>named</application> in een zandbak - draaien - - - BIND - - in een zandbak draaien - - - chroot - - Als extra beveiligingsmaatregel is het wellicht wenselijk - om &man.named.8; als een gebruiker zonder privileges te draaien - en de instellingen zo te maken dat die &man.chroot.8; in een - zandbakmap draait. Hierdoor is alles buiten de zandbak niet - toegankelijk voor de named daemon. - Hierdoor wordt de schade die aangericht kan worden beperkt in - het geval dat named wordt gehackt. - Standaard kent &os; een gebruiker en groep - bind die voor dit doel bestemd - zijn. - - - Er wordt ook wel gesteld dat het verstandiger is om - named met - chroot te draaien, maar in plaats daarvan - in een &man.jail.8; te draaien. Dit wordt hier niet - beschreven. - - - Omdat named niet in staat is - ook maar iets buiten de zankbak te raadplegen (zoals gedeelde - bibliotheken, log sockets, enzovoort), moeten er een aantal - stappen gevolgd worden om named goed - te laten draaien. In de onderstaande controlelijst wordt - aangenomen dat het pad naar de zandbak - /etc/namedb is en dat er geen wijzigingen - gemaakt zijn aan de inhoud van die map. De volgende stappen - dienen als root uitgevoerd te - worden: - - - - Maak alle mappen die named - verwacht: - - &prompt.root; cd /etc/namedb -&prompt.root; mkdir -p bin dev etc var/tmp var/run master slave -&prompt.root; chown bind:bind slave var/* - - - - named hoeft alleen in - deze mappen te schrijven, dus krijgt het alleen daar - rechten. - - - - - - Herschik en maak de basiszone en stel het bestand met - instellingen in: - - &prompt.root; cp /etc/localtime etc -&prompt.root; mv named.conf etc && ln -sf etc/named.conf -&prompt.root; mv named.root master - -&prompt.root; sh make-localhost -&prompt.root; cat > master/named.localhost -$ORIGIN localhost. -$TTL 6h -@ IN SOA localhost. postmaster.localhost. ( - 1 ; serial - 3600 ; refresh - 1800 ; retry - 604800 ; expiration - 3600 ) ; minimum - IN NS localhost. - IN A 127.0.0.1 -^D - - - - Hierdoor kan named de - correcte tijd melden aan &man.syslogd.8;. - - - - - - syslog - - - logboekbestanden - - named - - - Als er een oudere versie dan &os; 4.9-RELEASE draait, - dient een statisch gelinkte kopie van - named-xfer gebouwd te worden en - naar de zankbak gekopieerd te worden: - - &prompt.root; cd /usr/src/lib/libisc -&prompt.root; make cleandir && make cleandir && make depend && make all -&prompt.root; cd /usr/src/lib/libbind -&prompt.root; make cleandir && make cleandir && make depend && make all -&prompt.root; cd /usr/src/libexec/named-xfer -&prompt.root; make cleandir && make cleandir && make depend && make NOSHARED=yes all -&prompt.root; cp named-xfer /etc/namedb/bin && chmod 555 /etc/namedb/bin/named-xfer - - Nadat de statisch gelinkte - named-xfer is geïnstalleerd, is het - nodig wat op te ruimen om te voorkomen dat er kopieen van - bibliotheken of programma's in de boomstructuur met - broncode achterblijven: - - &prompt.root; cd /usr/src/lib/libisc -&prompt.root; make cleandir -&prompt.root; cd /usr/src/lib/libbind -&prompt.root; make cleandir -&prompt.root; cd /usr/src/libexec/named-xfer -&prompt.root; make cleandir - - - - Deze stap gaat wel eens verkeerd. Als dit gebeurt, - kan het volgende commando uitgevoerd worden: - - &prompt.root; cd /usr/src && make cleandir && make cleandir - - Daarnaast kan de /usr/obj - structuur verwijderd worden: - - &prompt.root; rm -fr /usr/obj && mkdir /usr/obj - - Hiermee wordt aanwezige rommel uit de - broncodestructuur verwijderd en kunnen de hierboven - beschreven stappen opnieuw uitgevoerd worden. - - - - Als &os; version 4.9-RELEASE of later wordt gebruikt, - dan is named-xfer in - /usr/libexec standaard statisch - gelinkt en kan er simpelweg met &man.cp.1; een kopie naar - de zandbak gemaakt worden. - - - - Maak een dev/null die zichtbaar is - voor named en waar - named kan schrijven: - - &prompt.root; cd /etc/namedb/dev && mknod null c 2 2 -&prompt.root; chmod 666 null - - - - Symlink /var/run/ndc naar - /etc/namedb/var/run/ndc: - - &prompt.root; ln -sf /etc/namedb/var/run/ndc /var/run/ndc - - - Hiermee wordt voorkomen dat er iedere keer als - &man.ndc.8; wordt uitgevoerd de optie - meegegeven moet worden. Omdat de inhoud van - /var/run bij het booten wordt - verwijderd, kan het wenselijk zijn dit commando aan de - &man.crontab.5; van root toe te - voegen met de optie . - - - - - syslog - - - logboekbestanden - - named - - - Stel &man.syslogd.8; in om een extra - log socket te maken waar - named heen kan schrijven. Dit - kan door -l /etc/namedb/dev/log toe te - voegen aan de syslogd_flags variable in - /etc/rc.conf. - - - - chroot - - Maak de instelling om named - te starten en zich met chroot in een - zandbak te plaatsen met de volgende aanpassing in - /etc/rc.conf: - - named_enable="YES" -named_flags="-u bind -g bind -t /etc/namedb /etc/named.conf" - - - In het instellingenbestand - /etc/named.conf staan - volledige paden relatief aan de - zandbak. Het bestand in de regel hierboven - is dus feitelijk - /etc/namedb/etc/named.conf. - - - - - Nu dient /etc/namedb/etc/named.conf - gewijzigd te worden, zodat named - weet welke zones geladen moeten worden en waar ze staan. Nu - volgt een van commentaar voorzien voorbeeld. Alle regels - zonder commentaar wijken niet af van de opzet voor een DNS - server die niet in een zandbak draait: - - options { - directory "/"; - named-xfer "/bin/named-xfer"; - version ""; // Laat versie BIND niet zien - query-source address * port 53; -}; -// ndc control socket -controls { - unix "/var/run/ndc" perm 0600 owner 0 group 0; -}; -// Zones follow: -zone "localhost" IN { - type master; - file "master/named.localhost"; - allow-transfer { localhost; }; - notify no; -}; -zone "0.0.127.in-addr.arpa" IN { - type master; - file "master/localhost.rev"; - allow-transfer { localhost; }; - notify no; -}; -zone "." IN { - type hint; - file "master/named.root"; -}; -zone "private.example.net" in { - type master; - file "master/private.example.net.db"; - allow-transfer { 192.168.10.0/24; }; -}; -zone "10.168.192.in-addr.arpa" in { - type slave; - masters { 192.168.10.2; }; - file "slave/192.168.10.db"; -}; - - - - De opdracht directory heeft als - waarde / omdat alle bestanden die - named nodig heeft binnen die - map staan. Dit staat dus gelijk aan - /etc/namedb voor een - normale gebruiker. - - - - Geeft het volledige pad naar het uitvoerbare bestand - named-xfer (vanuit de optiek van - named). Dit is nodig omdat - named is gecompileerd om - standaard te zoeken naar named-xfer in - /usr/libexec. - - - - Geeft de bestandsnaam - (relatief aan de instelling directory - hierboven) waar named het - zonebestand voor deze zone kan vinden. - - - - Geeft de bestandsnaam - (relatief aan de instelling directory - hierboven) waar named een kopie - van het zonebestand moet schrijven nadat die succesvol van - de master server is gekopieerd. Daarom moest de eigenaar - van de map slave naar - bind gewijzigd worden in een eerdere - stap. - - - - Na het doorlopen van de hierboven beschreven stappen kan - de server herstart worden of kunnen &man.syslogd.8; herstart en - &man.named.8; gestart worden, mits de nieuwe opties voor - syslogd_flags en - named_flags zijn ingesteld. Dan draait - named in een zandbak! + opzetten van een naamserver zonder zones toe te voegen. Beveiliging - Hoewel BIND de meest gebruikte implementatie van DNS is, - is er altijd nog het beveiligingsvraagstuk. Soms worden er + Hoewel BIND de meest gebruikte implementatie van DNS is, is + er altijd nog het beveiligingsvraagstuk. Soms worden er mogelijke en te misbruiken beveiligingsgaten gevonden. - Het is verstandig om bij te blijven met Hoewel &os; named automatisch in + een &man.chroot.8;-omgeving plaatst; zijn er verschillende + andere beveiligingsmechanismen actief die zouden kunnen helpen + om mogelijke aanvallen op de DNS-dienst af te + wenden. + + Het is altijd verstandig om de CERT - beveiligingswaarschuwingen en een abonnement te nemen op de - &a.security-notifications; om bij te blijven met de - beveiligingsproblemen wat betreft internet en &os;. + beveiligingswaarschuwingen te lezen en een abonnement te nemen + op de &a.security-notifications; om bij te blijven met de + beveiligingsproblemen wat betreft Internet en &os;. Als er problemen ontstaan, kan het bijwerken van broncode @@ -4303,7 +4052,7 @@ zone "10.168.192.in-addr.arpa" in { Verder lezen BIND/named hulppagina's: - &man.ndc.8;, &man.named.8;, &man.named.conf.5; + &man.rndc.8;, &man.named.8;, &man.named.conf.5; @@ -4314,234 +4063,35 @@ zone "10.168.192.in-addr.arpa" in { - BIND FAQ + url="http://www.isc.org/sw/guild/bf/">Officieel ISC BIND + Forum O'Reilly - DNS en BIND 4e Editie + url="http://www.isc.org/index.pl?/sw/bind/FAQ.php">BIND9 + FAQ RFC1034 - - Domeinnamen - Concepten en Faciliteiten + url="http://www.oreilly.com/catalog/dns5/">O'Reilly DNS en + BIND 5e Editie + + RFC1034 - + Domeinnamen - Concepten en Faciliteiten RFC1035 - - Domeinnamen - Implementatie en - Specificatie + url="ftp://ftp.isi.edu/in-notes/rfc1035.txt">RFC1035 - + Domeinnamen - Implementatie en Specificatie - - - - - Tom - Rhodes - Geschreven door - - - - - <acronym>BIND</acronym>9 en &os; - - - - - bind9 - - instellen - - - Het uitbrengen van &os; 5.3 was het moment van - introductie van de BIND9 - DNS server software in de distributie. - Dit betekende nieuwe beveiligingsmogelijkheden, een nieuwe - indeling van het bestandssysteem en automatische instelling van - &man.chroot.8;. Deze paragraaf bestaat uit twee delen. In het - eerste deel worden de nieuwe mogelijkheden en hun instelling - beschreven en het tweede gedeelte gaat over hulp bij het upgraden - naar &os; 5.3. Vanaf dit moment wordt er simpelweg verwezen - naar &man.named.8; in plaats van naar BIND. - Dit onderdeel slaat het beschrijven van de terminologie over, - omdat die eerder is besproken. De theorie wordt ook niet - beschreven. Het is aan te raden om die eerdere onderdelen te - lezen voor dit onderdeel. - - De bestanden met instellingen voor - named staan op dit moment in /var/named/etc/namedb/ en moeten - voor gebruik aangepast worden. Daar worden de meeste - instellingen gemaakt. - - - Een master zone instellen - - Om een master zone in te stellen kan in /var/named/etc/namedb/ het volgende - uitgevoerd worden: - - &prompt.root; sh make-localhost - - Als alles goed is gegaan hoort er een nieuw bestand in de - master map te staan. De - bestandsnamen horen localhost.rev voor de - lokale domeinnaam te zijn en - localhost-v6.rev voor - IPv6 instellingen. Instellingen voor - standaardgebruik staan al in het instellingenbestand - named.conf file. - - - - Een slave zone instellen - - Instellingen voor extra domeinen of subdomeinen kunnen - worden ingesteld als slave zones. In de meeste gevallen kan - het bestand master/localhost.rev gewoon - naar de map slave - gekopieerd worden en aangepast worden. Als dat is gedaan, - moeten de bestanden op de juiste wijze toegevoegd worden aan - named.conf, zoals in het volgende - voorbeeld voor example.com: - - zone "example.com" { - type slave; - file "slave/example.com"; - masters { - 10.0.0.1; - }; -}; - -zone "0.168.192.in-addr.arpa" { - type slave; - file "slave/0.168.192.in-addr.arpa"; - masters { - 10.0.0.1; - }; -}; - - In dit voorbeeld is het master IP adres - de primaire domain server vanwaar de zones gehaald worden. Die - hoeft niet per se zelf een DNS server te - zijn. - - - - Opstarten instellen - - Om de named daemon met het - systeem te laten starten, hoort de volgende optie in - rc.conf te staan: - - named_enable="YES" - - Hoewel er nog andere mogelijkheden bestaan, is dit het - absolute minimum. In &man.rc.conf.5; staan nog meer - mogelijkheden beschreven. Als er niets in - rc.conf staat, kan - named gestart worden vanaf de - commandoregel: - - &prompt.root; /etc/rc.d/named start - - - - <acronym>BIND</acronym>9 beveiliging - - Hoewel &os; named automatisch in een - &man.chroot.8; omgeving zet, zijn er nog een aantal andere - beveiligingsmogelijkheden die kunnen helpen om mogelijke - aanvallen op de DNS dienst af te - slaan. - - - Toegangscontrolelijsten opvragen - - Een toegangscontrolelijst (acl) voor vraagstellingen kan - gebruikt worden om vraagstellingen voor zones te beperken. - De instelling gaat door een netwerk te definiëren binnen - het token acl en dan een lijst met - IP adressen aan te geven in de - instellingen voor de zone. Om domeinen toe te staan om de - voorbeeldhost te gebruiken, kan iets als het volgende - gebruikt worden: - - acl "example.com" { - 192.168.0.0/24; -}; - -zone "example.com" { - type slave; - file "slave/example.com"; - masters { - 10.0.0.1; - }; - allow-query { example.com; }; -}; - -zone "0.168.192.in-addr.arpa" { - type slave; - file "slave/0.168.192.in-addr.arpa"; - masters { - 10.0.0.1; - }; - allow-query { example.com; }; -}; - - - - Opvragen versie beperken - - Het opvragen van de versie van de DNS - server kan een ingang zijn voor een aanvaller, die deze - informatie kan gebruiken om te zoeken naar bekende exploits - of bugs om in te breken op de host. - - - Het instellen van een vals versienummer beschermt een - server niet tegen exploits. Alleen het bijwerken naar een - versie die niet kwetsbaar is beschermt een server. - - - Er kan een valse versiestring ingesteld worden in de - sectie options van - named.conf: - - options { - directory "/etc/namedb"; - pid-file "/var/run/named/pid"; - dump-file "/var/dump/named_dump.db"; - statistics-file "/var/stats/named.stats"; - version "None of your business"; -}; - - - - - - @@ -4567,18 +4117,17 @@ zone "0.168.192.in-addr.arpa" { Overzicht &os; wordt gebruikt om een paar van de drukste websites ter - wereld te draaien. De meeste webservers op internet maken + wereld te draaien. De meeste webservers op Internet maken gebruik van de Apache HTTP Server. - Apache softwarepackages staan op de + Apache softwarepakketten staan op de &os; installatiemedia. Als Apache - niet bij de oorsponkelijke installatie van &os; is - meegeïnstalleerd, dan kan dat vanuit de www/apache13 of www/apache2 port. + role="package">www/apache22. Als Apache succesvol is - geïnstalleerd, moeten er instelingen gemaakt - worden. + geïnstalleerd, moeten er instellingen gemaakt worden. In dit onderdeel wordt versie 1.3.X van de @@ -4598,7 +4147,7 @@ zone "0.168.192.in-addr.arpa" { Apache - configuration file + configuratiebestand Het belangrijkste bestand met instellingen voor de @@ -4631,8 +4180,8 @@ zone "0.168.192.in-addr.arpa" { Het adres waaraan problemen met de server gemaild - kunnen worden. Dit adres verschijnt op een aantal door - de server gegenereerde pagina's, zoals documenten met + kunnen worden. Dit adres verschijnt op een aantal door de + server gegenereerde pagina's, zoals documenten met foutmeldingen. @@ -4642,10 +4191,10 @@ zone "0.168.192.in-addr.arpa" { Met ServerName kan een hostnaam - ingesteld worden die wordt teruggezonden aan de clients - als de naam van de server anders is dan die is ingesteld - (gebruik bijvoorbeeld www in plaats van - de echte hostnaam). + ingesteld worden die wordt teruggezonden aan de + cliënten als de naam van de server anders is dan die + is ingesteld (gebruik bijvoorbeeld www in + plaats van de echte hostnaam). @@ -4655,17 +4204,17 @@ zone "0.168.192.in-addr.arpa" { DocumentRoot: de map waaruit de documenten worden geserveerd. Standaard worden alle - verzoeken uit deze map gehaald, maar er kunnen - symbolische links en aliasen gebruikt worden om naar - andere locaties te wijzen. + verzoeken uit deze map gehaald, maar er kunnen symbolische + links en aliassen gebruikt worden om naar andere locaties + te wijzen. - Het is altijd een goed idee om back-ups te maken van het - instellingenbestand voor Apache - vóór het maken van wijzigingen. Als de juiste - instellingen gemaakt zijn, kan + Het is altijd een goed idee om reservekopiën te maken + van het instellingenbestand voor + Apache vóór het maken + van wijzigingen. Als de juiste instellingen gemaakt zijn, kan Apache gestart worden. @@ -4691,7 +4240,7 @@ Log file format --> inetd super server zoals veel andere netwerkdiensten. Hij is ingesteld om zelfstandig te draaien vanwege beter prestaties voor het afhandelen van inkomende - HTTP verzoeken van client webbrowsers. Er wordt een + HTTP-verzoeken van webbrowsers van cliënten. Er wordt een shellscriptwrapper bijgeleverd om het starten, stoppen en herstarten zo eenvoudig mogelijk te maken. Het volgende commando start Apache voor de eerste @@ -4721,10 +4270,14 @@ Log file format --> apache_enable="YES" - Als het nodig is additionele commandoregelopties op te - geven voor de Apache - httpd bij het opstarten, dan kunnen die in - de volgende regel in rc.conf meegegeven + of voor Apache 2.2: + + apache22_enable="YES" + + Als het nodig is additionele commandoregelopties op te geven + voor de Apache + httpd bij het opstarten, dan kunnen die in de + volgende regel in rc.conf meegegeven worden: apache_flags="" @@ -4739,16 +4292,15 @@ Log file format --> Virtuele hosting Apache ondersteunt twee - verschillende manieren van Virtuele Hosting. De eerste - methode is Naam-gebaseerde Virtuele Hosting. Naam-gebaseerde - Virtuele Hosting gebruikt de HTTP/1.1 headers van de clients - om de hostnaam uit te zoeken. Hierdoor kunnen meerdere - domeinen hetzelfde IP adres delen. + verschillende manieren van Virtuele Hosting. De eerste methode + is Naamgebaseerde Virtuele Hosting. Naamgebaseerde Virtuele + Hosting gebruikt de HTTP/1.1 headers van de cliënten om de + hostnaam uit te zoeken. Hierdoor kunnen meerdere domeinen + hetzelfde IP-adres delen. - Om Apache gebruik te laten - maken van Naam-gebaseerde Virtuele Hosting kan een regel als - de volgende in httpd.conf worden - opgenomen: + Om Apache gebruik te laten maken + van Naamgebaseerde Virtuele Hosting kan een regel als de + volgende in httpd.conf worden opgenomen: NameVirtualHost * @@ -4807,23 +4359,23 @@ Log file format --> cryptografie - De module mod_ssl gebruikt - de OpenSSL bibliotheek om sterke cryptografie te leveren via - de protocollen Secure Sockets Layer (SSL v2/v3) en - Transport Layer Security (TLS v1). Deze module levert - alles wat nodig is om een getekend certificaat aan te vragen - bij een vertrouwde certificaatautoriteit om een veilige - webserver onder &os; te kunnen draaien. + De module mod_ssl gebruikt de + bibliotheek OpenSSL om sterke cryptografie te leveren via de + protocollen Secure Sockets Layer (SSL v2/v3) en Transport + Layer Security (TLS v1). Deze module levert alles wat + nodig is om een getekend certificaat aan te vragen bij een + vertrouwde certificaatautoriteit om een veilige webserver + onder &os; te kunnen draaien. Als Apache nog niet is geïnstalleerd, dan is er een versie van Apache 1.3.X die - mod_ssl bevat en - geïnstalleerd kan worden met de www/apache13-modssl port. SSL - ondersteuning is ook voor + mod_ssl bevat en geïnstalleerd + kan worden met de www/apache13-modssl port. + SSL-ondersteuning is ook voor Apache 2.X beschikbaar in de - www/apache2 port, waar + port www/apache22, waar het standaard is ingeschakeld. @@ -4831,28 +4383,138 @@ Log file format --> + + Taalbindingen + + Er zijn Apache-modules beschikbare voor de meeste grote + scriptingtalen. Deze modules maken het typisch mogelijk om + Apache-modules geheel in een + scriptingtaal te schrijven. Ze worden ook vaak gebruikt als + een persistente interpreter die in de server zit en die de + rompslomp van het starten van een externe interpreter en de + opstartvertraging voor dynamische websites vermijdt, zoals + beschreven in de volgende sectie. + + + + + Dynamische websites + + + webservers + + dynamisch + + + In het afgelopen decennium hebben steeds meer bedrijven zich + op Internet gericht om hun omzet te verhogen en hun + zichtbaarheid te vergroten. Hiermee is ook de behoefte aan + interactieve webinhoud toegenomen. Hoewel sommige bedrijven + zoals µsoft; oplossingen hebben geïntroduceerd voor + hun eigen (propriëtaire) producten, heeft ook de open + source gemeenschap een antwoord op de vraag gegeven. Moderne + opties voor dynamische webinhoud zijn onder andere Django, Ruby + on Rails, mod_perl, en + mod_php. + + + Django + + Django is een BSD-gelicenseerd raamwerk ontworpen om + ontwikkelaars in staat te stellen om snel hoog presterende, + elegante webapplicaties te schrijven. Het biedt een vertaling + van objecten naar relaties zodat datatypes ontwikkeld kunnen + worden als Python-objecten, en er een rijke dynamische + databasetoegang voor die objecten kan worden geboden zonder + dat de ontwikkelaar ooit SQL hoeft te schrijven. Het biedt + ook een uitbreidbaar sjabloonsysteem zodat de applicatielogica + is gescheiden van de HTML-presentatie. + + Django is afhankelijk van + mod_python, + Apache, en een SQL-database-engine + naar keuze. De &os;-port zal al deze vereisten met de juiste + vlaggen voor u installeren. + + + Django installeren met Apache2, mod_python3, en + PostgreSQL + + &prompt.root; cd /usr/ports/www/py-django; make all install clean -DWITH_MOD_PYTHON3 -DWITH_POSTGRESQL + + + Als Django en deze vereisten eenmaal zijn + geïnstalleerd, dient u een Django-projectmap te maken en + vervolgens Apache te configureren om de ingebakken + Python-interpreter te gebruiken om uw applicatie voor + specifieke URL's op uw site aan te roepen. + + + Apache-configuratie voor Django/mod_python + + U moet een regel aan het Apache-bestand + httpd.conf toevoegen om Apache in te + stellen om verzoeken voor bepaalde URL's aan uw + webapplicatie door te geven: + + <Location "/"> + SetHandler python-program + PythonPath "['/map/naar/uw/django-pakketten/'] + sys.path" + PythonHandler django.core.handlers.modpython + SetEnv DJANGO_SETTINGS_MODULE mijnsite.settings + PythonAutoReload On + PythonDebug On +</Location> + + + + + Ruby on Rails + + Ruby on Rails + + Ruby on Rails is een ader opensource webraamwerk dat een + volledige ontwikkelstack biedt en geoptimaliseerd is om + webontwikkelaars productiever te maken en snel krachtige + applicaties te laten ontwikkelen. Het kan eenvoudig vanuit + het portssysteem geïnstalleerd worden. + + &prompt.root; cd /usr/ports/www/rubygem-rails; make all install clean + + mod_perl - Perl + + mod_perl + + Perl + Het Apache/Perl - integratieproject brengt de volledige kracht van de Perl - programmeertaal en de Apache HTTP - Server samen. Met de - mod_perl module is het mogelijk om - Apache modules volledig in Perl te + integratieproject brengt de volledige kracht van de + programmeertaal Perl en de Apache HTTP + Server samen. Met de module + mod_perl is het mogelijk om + Apache-modules volledig in Perl te schrijven. Daarnaast voorkomt een ingebouwde persistente - interpreter in de server de overhead van het starten van een - externe interpreter en de nadelen van het opstarten van + interpreter in de server de rompslomp van het starten van een + externe interpreter en de nadelen van de opstarttijd van Perl. - Als Apache nog niet is - geïnstalleerd, dan is er een versie van - Apache die - mod_perl bevat en - geïnstalleerd kan worden met de www/apache13-modperl port. + mod_perl is op een paar + verschillende manieren beschikbaar. Om + mod_perl te gebruiken dient + herinnerd te worden dat mod_perl + 1.0 alleen met Apache 1.3 werkt en + dat mod_perl 2.0 alleen met + Apache 2.X werkt. + mod_perl 1.0 is beschikbaar in + www/mod_perl en een + statisch gecompileerde versie is beschikbaar in www/apache13-modperl. + mod_perl 2.0 is beschikbaar in + www/mod_perl2. @@ -4866,77 +4528,106 @@ Log file format --> - PHP + mod_php - PHP + + mod_php - In de afgelopen jaren hebben steeds meer bedrijven zich - op Internet gericht om hun omzet te verhogen en hun - zichtbaarheid te vergroten. Hiermee is ook de behoefte aan - interactieve webcontent toegenomen. Hoewel sommige bedrijven - zoals µsoft; oplossingen hebben geïntroduceerd - voor hun eigen (proprietary) producten, heeft ook de open - source gemeenschap een antwoord op de vraag gegeven. Een van - die antwoorden, breed ingezet, heet - PHP. + PHP + - PHP, ook bekend als - Hypertext Preprocessor, is een algemene - scripttaal die bijzonder geschikt is voor webontwikkeling. - Het is mogelijk de taal in te bedden in - HTML en de syntaxis is afgeleid van C, - &java; en Perl met de bedoeling webontwikkelaars in staat te - stellen en dynamisch samengestelde pagina's te - schrijven. + PHP, ook bekend als PHP: + Hypertext Preprocessor, is een algemene scripttaal die + bijzonder geschikt is voor webontwikkeling. Het is mogelijk + de taal in te bedden in HTML en de syntaxis + is afgeleid van C, &java; en Perl met de bedoeling + webontwikkelaars in staat te stellen om snel dynamisch + samengestelde pagina's te schrijven. - Om aan de Apache webserver - ondersteuning voor PHP5 toe te voegen kan - eerst de port www/mod_php5 toegevoegd - worden. + Om ondersteuning voor PHP5 toe te + voegen aan de Apache webserver kan + eerst de port lang/php5 + geïnstalleerd worden. + + Als de port lang/php5 + voor het eerst geïnstalleerd wordt, worden automatisch de + beschikbare OPTIONS weergegeven. Als er + geen menu wordt weergegeven, omdat de port lang/php5 reeds in het verleden is + geïnstalleerd, is het altijd mogelijk om het optiedialoog + weer te laten verschijnen door + + &prompt.root; make config + + uit te voeren in de map van de port. + + Controleer in het optiedialoog dat de optie + APACHE mod_php5 + als een laadbare module voor de webserver + Apache bouwt. + + + Een heleboel sites draaien nog steeds + PHP4 om verschillende redenen + (compatibiliteitszaken of reeds in gebruik genomen + webapplicaties). Als mod_php4 + nodig is in plaats van mod_php5, + gebruik dan de port lang/php4. De port lang/php4 ondersteunt een groot + deel van de configuratie- en bouwopties van de port + lang/php5. + Hiermee worden de modules die nodig zijn voor de - ondersteuning van dynamische webapplicaties - geïnstalleerd en ingesteld. De volgende regels dienen - in /usr/local/etc/apache/httpd.conf te - staan: + ondersteuning van dynamische + PHP-applicaties geïnstalleerd en + ingesteld. Controleer dat de volgende secties aan + /usr/local/etc/apache/httpd.conf zijn + toegevoegd: - LoadModule php5_module libexec/apache/libphp5.so -AddModule mod_php5.c + LoadModule php5_module libexec/apache/libphp5.so + + AddModule mod_php5.c <IfModule mod_php5.c> DirectoryIndex index.php index.html </IfModule> - <IfModule mod_php5.c> AddType application/x-httpd-php .php AddType application/x-httpd-php-source .phps </IfModule> - Na afronding dient eenvoudigweg apache herstart te worden - met apachectl: + Na voltooiing is een eenvoudige aanroep van het commando + apachectl voor een nette herstart nodig om + de module PHP te laden: &prompt.root; apachectl graceful + Voor toekomstig bijwerken van PHP zal + het commando make config niet nodig zijn; + de geselecteerde OPTIONS worden automatisch + bewaard door het &os; Ports raamwerk. + De ondersteuning voor PHP in &os; is - extreem modulair. Als ondersteuning voor een bepaalde - extensie gewenst is, hoeft een beheerder alleen maar de - bewust port te installeren en - Apache te herstarten zoals - hierboven is aangegeven. + extreem modulair waardoor de basisinstallatie zeer beperkt is. + Het is heel gemakkelijk om ondersteuning toe te voegen door de + port lang/php5-extensions + te gebruiken. Deze port biedt een menugestuurde interface voor + de installatie van PHP-uitbreidingen. Als + alternatief kunnen individuele uitbreidingen worden + geïnstalleerd door de juiste port te gebruiken. Om bijvoorbeeld ondersteuning voor de MySQL databaseserver aan - PHP5 toe te voegen - kan gewoonweg de port databases/php5-mysql - geïnstalleerd worden en het volgende commando gegeven - worden: + PHP5 toe te voegen kan gewoonweg de port + databases/php5-mysql + geïnstalleerd worden: + + Na de installatie van een uitbreiding moet de + Apache-server herladen worden om de + nieuwe veranderingen in de configuratie op te pikken: &prompt.root; apachectl graceful - - Hiermee wordt de MySQL - ondersteuning in - Apache ingeschakeld. @@ -4979,10 +4670,9 @@ AddModule mod_php5.c worden voor daemons, maar onbekende gebruikers mag niet toegestaan worden van die accounts gebruikt te maken. In /etc/ftpusers staat een lijst met - gebruikers die geen FTP toegang hebben. Standaard staan daar - de voorgenoemde accounts in, maar het is ook mogelijk om daar - gebruikers toe te voegen die geen FTP toegang mogen - hebben. + gebruikers die geen FTP toegang hebben. Standaard staan daar de + voorgenoemde accounts in, maar het is ook mogelijk om daar + gebruikers toe te voegen die geen FTP toegang mogen hebben. Het kan ook wenselijk zijn de FTP toegang voor sommige gebruikers te beperken, maar niet onmogelijk te maken. Dit kan @@ -5001,20 +4691,20 @@ AddModule mod_php5.c dient er een gebruiker ftp op een &os; systeem aangemaakt te worden. Dan kunnen gebruikers op de server aanmelden met de gebruikersnaam ftp - of anonymous en met ieder wachtwoord - (de geldende conventie schrijft voor dat dit een e-mail adres + of anonymous en met ieder wachtwoord (de + geldende conventie schrijft voor dat dit een emailadres van de gebruiker is). De FTP server roep bij een anonieme - aanmelding &man.chroot.2; aan, zodat er alleen toegang is tot - de thuismap van de gebruiker ftp. + aanmelding &man.chroot.2; aan, zodat er alleen toegang is tot de + thuismap van de gebruiker ftp. - Er zijn twee tekstbestanden waarin welkomstberichten voor - de FTP clients gezet kunnen worden. De inhoud van + Er zijn twee tekstbestanden waarin welkomstberichten voor de + FTP-cliënten gezet kunnen worden. De inhoud van /etc/ftpwelcome wordt getoond voordat gebruikers een aanmeldprompt zien. Na een succesvolle aanmelding wordt de inhoud van - /etc/ftpmotd getoond. Het genoemde pad - is relatief ten opzichte van de aanmeldomgeving, dus voor - anonieme gebruikers wordt ~ftp/etc/ftpmotd + /etc/ftpmotd getoond. Het genoemde pad is + relatief ten opzichte van de aanmeldomgeving, dus voor anonieme + gebruikers wordt ~ftp/etc/ftpmotd getoond. Als een FTP server eenmaal correct is ingesteld, moet die @@ -5025,12 +4715,11 @@ AddModule mod_php5.c ftp stream tcp nowait root /usr/libexec/ftpd ftpd -l - Nadat het bestand met instellingen is gewijzigd, moet er - een HangUP signaal verstuurd worden naar - inetd, zoals uitgelegd in . + Zoals is uitgelegd in , + moet de configuratie van inetd worden + herladen nadat dit instellingenbestand is gewijzigd. - Nu kan aangemeld worden op de FTP server met: + Nu kan aangemeld worden op de FTP-server met: &prompt.user; ftp localhost @@ -5084,23 +4773,23 @@ AddModule mod_php5.c - Bestands- en printdiensten voor µsoft.windows; clients - (Samba) + Bestands- en printdiensten voor µsoft.windows; + cliënten (Samba) Samba server Microsoft Windows - fileserver + bestandsserver - Windows clients + Windows-cliënten printserver - Windows clients + Windows-cliënten @@ -5108,17 +4797,17 @@ AddModule mod_php5.c Samba is een populair open source softwarepakket dat bestands- en printdiensten voor - µsoft.windows; clients biedt. Die clients kunnen - dan ruimte op een &os; bestandssysteem gebruiken alsof het - een lokale schijf is en &os; printers gebruiken alsof het + µsoft.windows; cliënten biedt. Die cliënten + kunnen dan ruimte op een &os; bestandssysteem gebruiken alsof + het een lokale schijf is en &os; printers gebruiken alsof het lokale printers zijn. - Samba software packages horen + Samba softwarepakketten horen op de &os; installatiemedia te staan. Als Samba bij de basisinstallatie niet mee is geïnstalleerd, dan kan dat alsnog via de net/samba3 port of met het - package. + pakket. @@ -5137,45 +4826,45 @@ AddModule mod_php5.c smb.conf bevat de instellingen voor Samba, zoals die voor de printers en de gedeelde bestandssystemen die gedeeld worden - met &windows; clients. Het Samba - pakket bevat een webgebaseerde beheermodule die - swat heet, waarmee - smb.conf op een eenvoudige manier - ingesteld kan worden. + met &windows; cliënten. Het pakket + Samba bevat een webgebaseerde + beheermodule die swat heet, waarmee + smb.conf op een eenvoudige manier ingesteld + kan worden. De Samba webbeheermodule gebruiken (SWAT) De Samba Webbeheermodule (SWAT) draait als een daemon - vanuit inetd. Daarom dient voor - de volgende regel uit /etc/inetd.conf - het commentaarkarakter verwijderd te worden voordat + vanuit inetd. Daarom dient voor de + volgende regel uit /etc/inetd.conf het + commentaarkarakter verwijderd te worden voordat swat gebruikt kan worden om Samba in te stellen: - swat stream tcp nowait/400 root /usr/local/sbin/swat + swat stream tcp nowait/400 root /usr/local/sbin/swat swat - Nadat het bestand met instellingen is gewijzigd, moet er - een HangUP signaal verstuurd worden naar - inetd, zoals uitgelegd in . + Zoals is uitgelegd in , moet de configuratie van + inetd worden herladen nadat dit + instellingenbestand is gewijzigd. Als swat is ingeschakeld in - inetd.conf, kan de module gebruikt - worden door met een browser een verbinding te maken met - . Er dient - aangemeld te worden met de root account - van het systeem. + inetd.conf, kan de module gebruikt worden + door met een browser een verbinding te maken met . Er dient aangemeld te + worden met het root account van het + systeem. Na succesvol aanmelden op de hoofdpagina voor de - Samba instellingen, is het - mogelijk de systeemdocumentatie te bekijken of te starten - door op het tabblad Globals te klikken. - Het onderdeel Globals correspondeert met - de sectie [global] in - /usr/local/etc/smb.conf. + Samba instellingen, is het mogelijk + de systeemdocumentatie te bekijken of te starten door op het + tabblad Globals te klikken. Het onderdeel + Globals correspondeert met de sectie + [global] in + /usr/local/etc/smb.conf. @@ -5184,29 +4873,28 @@ AddModule mod_php5.c Of Samba nu wordt ingesteld door /usr/local/etc/smb.conf direct te bewerken of met swat, de eerste - instellingen die gemaakt moeten worden zijn de - volgende: + instellingen die gemaakt moeten worden zijn de volgende: workgroup - NT Domeinnaam of Werkgroepnaam voor de computers - die verbinding gaan maken met de server. + NT Domeinnaam of Werkgroepnaam voor de computers die + verbinding gaan maken met de server. - netbios name + netbiosnaam NetBIOS Hiermee wordt de NetBIOS naam waaronder de Samba server bekend zal zijn - ingesteld. Standaard is de naam het eerste gedeelte - van de DNS naam van een host. + ingesteld. Standaard is de naam het eerste gedeelte van + de DNS-naam van een host. @@ -5214,11 +4902,10 @@ AddModule mod_php5.c server string - Hiermee wordt de string ingesteld die te zien is - als het commando net view en een - aantal andere commando's die gebruik maken van de - descriptieve tekst voor de server gebruikt - worden. + Hiermee wordt de string ingesteld die te zien is als + het commando net view en een aantal + andere commando's die gebruik maken van de + beschrijvende tekst voor de server gebruikt worden. @@ -5228,10 +4915,10 @@ AddModule mod_php5.c Beveiligingsinstellingen Twee van de belangrijkste instellingen in - /usr/local/etc/smb.conf zijn het - gekozen beveiligingsmodel en het wachtwoord voor - clientgebruikers. Deze worden met de volgende instellingen - gemaakt: + /usr/local/etc/smb.conf zijn het gekozen + beveiligingsmodel en het wachtwoord voor + cliëntgebruikers. Deze worden met de volgende + instellingen gemaakt: @@ -5240,22 +4927,21 @@ AddModule mod_php5.c De twee meest gebruikte mogelijkheden hier zijn security = share en - security = user. Als de clients - gebruikersnamen hebben die overeenkomen met hun - gebruikersnaam op de &os; machine, dan is het + security = user. Als de + cliënten gebruikersnamen hebben die overeenkomen + met hun gebruikersnaam op de &os; machine, dan is het verstandig om te kiezen voor beveiliging op gebruikersniveau. Dit is het standaard - beveiligingsbeleid en kent als voorwaarde dat - gebruikers zich eerst moeten aanmelden voordat ze - toegang krijgen tot gedeelde bronnen. + beveiligingsbeleid en kent als voorwaarde dat gebruikers + zich eerst moeten aanmelden voordat ze toegang krijgen + tot gedeelde bronnen. - Bij beveiliging op shareniveau hoeft een client - niet met een geldige gebruikersnaam en wachtwoord aan - te melden op de server voor het mogelijk is om een - verbinding te proberen te krijgen met een gedeelde - bron. Dit was het standaardbeveiligingsmodel voor - oudere versies van - Samba. + Bij beveiliging op shareniveau hoeft een cliënt + niet met een geldige gebruikersnaam en wachtwoord aan te + melden op de server voor het mogelijk is om een + verbinding te proberen te krijgen met een gedeelde bron. + Dit was het standaardbeveiligingsmodel voor oudere + versies van Samba. @@ -5271,8 +4957,8 @@ AddModule mod_php5.c Samba kent aan de achterkant verschillende authenticatiemodellen. - Clients kunnen authenticeren met LDAP, NIS+, een SQL - database of een aangepast wachtwoordbestand. De + Cliënten kunnen authenticeren met LDAP, NIS+, een + SQL-database of een aangepast wachtwoordbestand. De standaard authenticatiemethode is smbpasswd. Meer wordt hier niet behandeld. @@ -5283,17 +4969,28 @@ AddModule mod_php5.c Als aangenomen wordt dat de standaard achterkant smbpasswd wordt gebruikt, dan moet /usr/local/private/smbpasswd gemaakt - worden om Samba in staat te - stellen clients te authenticeren. Alle &unix; - gebruikersaccounts toegang geven vanaf &windows; clients gaat - met het volgende commando: + worden om Samba in staat te stellen + cliënten te authenticeren. Als het gewenst is om uw + &unix; gebruikersaccounts toegang te geven vanaf &windows; + cliënten, gebruik dan het volgende commando: - &prompt.root; grep -v "^#" /etc/passwd | make_smbpasswd > /usr/local/private/smbpasswd -&prompt.root; chmod 600 /usr/local/private/smbpasswd + &prompt.root; smbpasswd -a gebruikersnaam - In de Samba documentatie staat - meer informatie over instellingen. Met de hier gegeven - basisuitleg moet het mogelijk zijn + + Sinds Samba 3.0.23c is de + eigenlijke map voor authenticatiebestanden /usr/local/etc/samba. De + aanbevolen backend is nu tdbsam, en het + volgende commando dient gebruikt te worden om + gebruikersaccounts toe te voegen: + + &prompt.root; pdbedit gebruikersnaam + + + In de Official + Samba HOWTO staat meer informatie over instelopties. + Met de hier gegeven basisuitleg moet het mogelijk zijn Samba draaiende te krijgen. @@ -5301,38 +4998,57 @@ AddModule mod_php5.c <application>Samba</application> starten - Om Samba in te schakelen bij het - starten van een systeem dient de volgende regel aan + De port net/samba3 voegt + een nieuw opstartscript toe, dat gebruikt kan worden om + Samba te beheren. Om dit script te + activeren, zodat het bijvoorbeeld gebruikt kan worden om + Samba te starten, stoppen, of te + herstarten, dient de volgende regel aan /etc/rc.conf toegevoegd te worden: samba_enable="YES" - Samba kan op ieder moment - gestart worden met: + Of, voor fijnkorrelig beheer: - &prompt.root; /usr/local/etc/rc.d/samba.sh start + nmbd_enable="YES" + + smbd_enable="YES" + + + Dit stelt Samba ook in om + automatisch tijdens het opstarten te starten. + + + Vervolgens is het mogelijk om + Samba op elk moment te starten door + dit te typen: + + &prompt.root; /usr/local/etc/rc.d/samba start Starting SAMBA: removing stale tdbs : Starting nmbd. Starting smbd. + Refereer aan voor meer + informatie over het gebruikt van rc-scripts. + Samba bestaat feitelijk uit drie afzonderlijke daemons. Het script - samba.sh start de daemons + samba start de daemons nmbd en - smbd. Als de winbind name - resolution diensten in smb.conf zijn + smbd. Als de winbind + naamresolutiediensten in smb.conf zijn ingeschakeld, dan start ook de daemon winbindd. - Samba kan op ieder moment - gestopt worden met: + Samba kan op ieder moment gestopt + worden met: - &prompt.root; /usr/local/etc/rc.d/samba.sh stop + &prompt.root; /usr/local/etc/rc.d/samba stop Samba is een complexe - softwaresuite met functionaliteit waarmee verregaande - ingratie met µsoft.windows; netwerken mogelijk wordt. - Informatie die verder gaat dan de basisinstallatie staat op + softwaresuite met functionaliteit waarmee verregaande integratie + met µsoft.windows; netwerken mogelijk wordt. Informatie + die verder gaat dan de basisinstallatie staat op . @@ -5359,16 +5075,15 @@ Starting smbd. uit de pas lopen. Het Netwerk Tijd Protocol (NTP) kan ervoor zorgen dat de tijd accuraat blijft. - Veel diensten op internet zijn afhankelijk, of hebben veel - voordeel, van het betrouwbaar zijn van de tijd. Zo ontvangt - een webserver bijvoorbeeld veel verzoeken om een bestand te - sturen als dat gewijzigd is sinds een bepaald moment. In een - LAN omgeving is het van groot belang dat computers die - bestanden delen van eenzelfde server gesynchroniseerde tijd - hebben zodat de tijdstempels consistent blijven. Diensten - zoals &man.cron.8; zijn ook afhankelijk van een betrouwbare - systeemtijd om commando's op het ingestelde moment uit te - voeren. + Veel diensten op Internet zijn afhankelijk, of hebben veel + voordeel, van het betrouwbaar zijn van de tijd. Zo ontvangt een + webserver bijvoorbeeld veel verzoeken om een bestand te sturen + als dat gewijzigd is sinds een bepaald moment. In een + LAN-omgeving is het van groot belang dat computers die bestanden + delen van eenzelfde server gesynchroniseerde tijd hebben zodat + de tijdstempels consistent blijven. Diensten zoals &man.cron.8; + zijn ook afhankelijk van een betrouwbare systeemtijd om + commando's op het ingestelde moment uit te voeren. NTP @@ -5376,42 +5091,42 @@ Starting smbd. ntpd - Bij &os; zit de &man.ntpd.8; NTP server die gebruikt kan worden - om bij andere Bij &os; zit de &man.ntpd.8; NTP server die gebruikt kan worden om bij + andere NTP servers de tijd op - te vragen om de eigen klok gelijk te zetten of om de juiste - tijd te verstrekken aan andere apparaten. + te vragen om de eigen klok gelijk te zetten of om de juiste tijd + te verstrekken aan andere apparaten. - Passende NTP servers kiezen + Passende NTP-servers kiezen NTP - choosing servers + servers kiezen - Om de tijd te synchroniseren moeten er één - of meer NTP - servers beschikbaar zijn. Een lokale systeembeheerder of een - ISP heeft wellicht een NTP server voor dit doel opgezet. Het - is verstandig om documentatie te raadplegen en te bekijken of - dat het geval is. Er is een online - lijst van publiek toegankelijke NTP servers waarop een - NTP server gezocht kan worden die in geografische zin dichtbij + Om de tijd te synchroniseren moeten er één of + meer NTP-servers + beschikbaar zijn. Een lokale systeembeheerder of een ISP heeft + wellicht een NTP-server voor dit doel opgezet. Het is + verstandig om documentatie te raadplegen en te bekijken of dat + het geval is. Er is een online lijst + van publiek toegankelijke NTP-servers waarop een + NTP-server gezocht kan worden die in geografische zin dichtbij een te synchroniseren computer ligt. Het is belangrijk te - voldoen aan het beleid voor de betreffende server en - toestemming te vragen als dat in de voorwaarden staat. + voldoen aan het beleid voor de betreffende server en toestemming + te vragen als dat in de voorwaarden staat. Het is verstandig meerdere, niet van elkaar afhankelijke, - NTP servers te kiezen voor het geval een van de servers niet + NTP-servers te kiezen voor het geval een van de servers niet langer betrouwbaar is of niet bereikbaar is. &man.ntpd.8; gebruikt de antwoorden die van andere servers ontvangen worden op intelligente wijze: betrouwbare servers krijgen voorrang - boven ontbetrouwbare servers. + boven onbetrouwbare servers. @@ -5430,23 +5145,23 @@ Starting smbd. Als het alleen de bedoeling is de tijd te synchroniseren bij het opstarten van een machine, dan kan &man.ntpdate.8; - gebruikt worden. Dit kan van toepassing zijn op desktops - die regelmatig herstart worden en niet echt regelmatig + gebruikt worden. Dit kan van toepassing zijn op desktops die + regelmatig herstart worden en niet echt regelmatig gesynchroniseerd hoeven te worden. Op sommige machines hoort echter &man.ntpd.8; te draaien. Het gebruik van &man.ntpdate.8; bij het opstarten is ook een goed idee voor machines waarop &man.ntpd.8; draait. De &man.ntpd.8; wijzigt de tijd geleidelijk, terwijl - &man.ntpdate.8; gewoon de tijd instelt, hoe groot het - verschil tussen de bestaande tijd van een machine en de - correcte tijd ook is. + &man.ntpdate.8; gewoon de tijd instelt, hoe groot het verschil + tussen de bestaande tijd van een machine en de correcte tijd + ook is. Om &man.ntpdate.8; tijdens het opstarten in te schakelen kan ntpdate_enable="YES" aan /etc/rc.conf worden toegevoegd. Alle - voor de synchronisatie te gebruiken servers moeten dan, - samen met eventuele opties voor &man.ntpdate.8;, in + voor de synchronisatie te gebruiken servers moeten dan, samen + met eventuele opties voor &man.ntpdate.8;, in ntpdate_flags aangegeven worden. @@ -5470,9 +5185,9 @@ server ntp2a.example.net driftfile /var/db/ntp.drift - De optie server geeft aan welke - servers er gebruikt moeten worden, met op elke regel een - server. Als de server wordt ingesteld met het argument + De optie server geeft aan welke servers + er gebruikt moeten worden, met op elke regel een server. Als + de server wordt ingesteld met het argument prefer, zoals bij ntplocal.example.com, dan krijgt die server de voorkeur boven de andere. Een antwoord van een @@ -5480,9 +5195,9 @@ driftfile /var/db/ntp.drift van de antwoorden van de andere servers. In andere gevallen wordt het gebruikt zonder rekening te houden met de andere antwoorden. Het argument prefer wordt - meestal gebruikt voor NTP servers waarvan bekend is dat ze - erg betrouwbaar zijn, zoals die met speciale tijdbewaking - hardware. + meestal gebruikt voor NTP-servers waarvan bekend is dat ze erg + betrouwbaar zijn, zoals die met speciale + tijdbewakingshardware. De optie driftfile geeft aan welk bestand gebruikt wordt om de offset van de klokfrequentie van @@ -5492,19 +5207,19 @@ driftfile /var/db/ntp.drift redelijke accurate tijdsinstelling mogelijk is. De optie driftfile geeft aan welk - bestand gebruikt wordt om informatie over eerdere - antwoorden van NTP servers die gebruikt worden op te slaan. - Dit bestand bevat interne informatie voor NTP. Het hoort - niet door andere processen gewijzigd te worden. + bestand gebruikt wordt om informatie over eerdere antwoorden + van NTP-servers die gebruikt worden op te slaan. Dit bestand + bevat interne informatie voor NTP. Het hoort niet door andere + processen gewijzigd te worden. Toegang tot een server instellen - Een NTP server is standaard toegankelijk voor alle - hosts op een netwerk. De optie restrict - in /etc/ntp.conf maakt het mogelijk om - aan te geven welke machines de dienst mogen benaderen. + Een NTP-server is standaard toegankelijk voor alle hosts + op een netwerk. De optie restrict in + /etc/ntp.conf maakt het mogelijk om aan + te geven welke machines de dienst mogen benaderen. Voor het blokkeren van toegang voor alle andere machines kan de volgende regel aan /etc/ntp.conf @@ -5512,30 +5227,39 @@ driftfile /var/db/ntp.drift restrict default ignore - Om alleen machines op bijvoorbeeld het locale netwerk toe - te staan hun tijd te synchroniseren met een server, maar - ze tegelijkertijd niet toe te staan om de server te draaien - of de server als referentie voor synchronisatie te gebruiken, - kan de volgende regel toegevoegd worden: + + Dit zal ook toegang van uw server naar alle servers die + vermeld staan in uw lokale configuratie verhinderen. Als u + uw NTP-server moet synchroniseren met een externe + NTP-server, dient u deze specifieke server toe te staan. + Lees de handleiding voor &man.ntp.conf.5; voor meer + informatie. + + + Om alleen machines op bijvoorbeeld het lokale netwerk toe + te staan hun tijd te synchroniseren met een server, maar ze + tegelijkertijd niet toe te staan om de server te draaien of de + server als referentie voor synchronisatie te gebruiken, kan de + volgende regel toegevoegd worden: restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap Hierboven is 192.168.1.0 - een IP adres op een LAN en 255.255.255.0 is het bijbehorende netwerkmasker. - /etc/ntp.conf mag meerdere regels - met restrict bevatten. Meer details staan - in het onderdeel Access Control Support - van &man.ntp.conf.5;. + /etc/ntp.conf mag meerdere regels met + restrict bevatten. Meer details staan in + het onderdeel Access Control Support van + &man.ntp.conf.5;. - De NTP server draaien + De NTP-server draaien - De NTP server kan bij het opstarten gestart worden door de + De NTP-server kan bij het opstarten gestart worden door de regel ntpd_enable="YES" aan /etc/rc.conf toe te voegen. Om extra opties aan &man.ntpd.8; mee te geven kan de parameter @@ -5548,12 +5272,6 @@ driftfile /var/db/ntp.drift /etc/rc.conf. Bijvoorbeeld: &prompt.root; ntpd -p /var/run/ntpd.pid - - - In &os; 4.X, dienen de - ntpd uit het bovenstaande voorbeeld - vervangen te worden door xntpd. - @@ -5563,36 +5281,36 @@ driftfile /var/db/ntp.drift &man.ntpd.8; heeft geen permanente verbinding met een netwerk nodig om goed te werken. Maar als er gebruik gemaakt wordt van een inbelverbinding, is het wellicht verstandig om - ervoor te zorgen dat uitgaande NTP verzoeken geen uitgaande + ervoor te zorgen dat uitgaande NTP-verzoeken geen uitgaande verbinding kunnen starten. Als er gebruik gemaakt wordt van - user PPP, kunnen er filter commando's + gebruikers-PPP, kunnen er filter commando's ingesteld worden in /etc/ppp/ppp.conf. - Bijboorbeeld: + Bijvoorbeeld: set filter dial 0 deny udp src eq 123 -# NTP verkeer zorgt niet voor uitbellen +# NTP-verkeer zorgt niet voor uitbellen set filter dial 1 permit 0 0 set filter alive 0 deny udp src eq 123 -# Inkomend NTP verkeer houdt de verbinding niet open +# Inkomend NTP-verkeer houdt de verbinding niet open set filter alive 1 deny udp dst eq 123 -# Uitgaand NTP verkeer houdt de verbinding niet open +# Uitgaand NTP-verkeer houdt de verbinding niet open set filter alive 2 permit 0/0 0/0 - Meer details staan in de PACKET - FILTERING sectie in &man.ppp.8; en in de voorbeelden - in /usr/share/examples/ppp/. + Meer details staan in de sectie PACKET + FILTERING in &man.ppp.8; en in de voorbeelden in + /usr/share/examples/ppp/. - Sommige internet providers blokkeren lage poorten, - waardoor NTP niet kan werken omdat er nooit een antwoord - ontvangen kan worden door een machine. + Sommige Internetproviders blokkeren lage poorten, waardoor + NTP niet kan werken omdat er nooit een antwoord ontvangen kan + worden door een machine. Meer informatie - HTML documentatie voor de NTP server staat in + HTML-documentatie voor de NTP-server staat in /usr/share/doc/ntp/.