From 7d9ab2a6f9d5b13a3c597560741e4f5af4d6f591 Mon Sep 17 00:00:00 2001 From: Bjoern Heidotting Date: Fri, 15 Jul 2016 22:25:51 +0000 Subject: [PATCH] Run igor(1) on the network-servers chapter. --- .../handbook/network-servers/chapter.xml | 4328 +++++++++-------- 1 file changed, 2212 insertions(+), 2116 deletions(-) diff --git a/de_DE.ISO8859-1/books/handbook/network-servers/chapter.xml b/de_DE.ISO8859-1/books/handbook/network-servers/chapter.xml index 4a3b1c164f..255d089761 100644 --- a/de_DE.ISO8859-1/books/handbook/network-servers/chapter.xml +++ b/de_DE.ISO8859-1/books/handbook/network-servers/chapter.xml @@ -5,9 +5,11 @@ $FreeBSD$ $FreeBSDde: de-docproj/books/handbook/network-servers/chapter.xml,v 1.103 2011/12/24 15:51:18 bcr Exp $ - basiert auf: r48890 + basiert auf: r48920 --> - + - Der &man.inetd.8;-Daemon wird manchmal auch als - Internet Super-Server bezeichnet, weil er - Verbindungen für viele Dienste verwaltet. Anstatt mehrere - Anwendungen zu starten, muss nur der - inetd-Dienst gestartet werden. - Wenn eine Verbindung für einen Dienst eintrifft, der von - inetd verwaltet wird, bestimmt - inetd, welches Programm für die - eingetroffene Verbindung zuständig ist, aktiviert den - entsprechenden Prozess und reicht den Socket an ihn weiter. - Der Einsatz von inetd an Stelle - viele einzelner Daemonen kann auf nicht komplett ausgelasteten - Servern zu einer Verringerung der Systemlast führen. + Der &man.inetd.8;-Daemon wird manchmal auch als + Internet Super-Server bezeichnet, weil er + Verbindungen für viele Dienste verwaltet. Anstatt mehrere + Anwendungen zu starten, muss nur der + inetd-Dienst gestartet werden. + Wenn eine Verbindung für einen Dienst eintrifft, der von + inetd verwaltet wird, bestimmt + inetd, welches Programm für die + eingetroffene Verbindung zuständig ist, aktiviert den + entsprechenden Prozess und reicht den Socket an ihn weiter. + Der Einsatz von inetd an Stelle + viele einzelner Daemonen kann auf nicht komplett ausgelasteten + Servern zu einer Verringerung der Systemlast führen. - inetd wird vor allem dazu - verwendet, andere Daemonen zu aktivieren, einige Protokolle - werden aber auch intern verwaltet. Dazu gehören - chargen, - auth, - time, - echo, - discard sowie - daytime. + inetd wird vor allem dazu + verwendet, andere Daemonen zu aktivieren, einige Protokolle + werden aber auch intern verwaltet. Dazu gehören + chargen, + auth, + time, + echo, + discard sowie + daytime. - Dieser Abschnitt beschreibt die Konfiguration von - inetd. + Dieser Abschnitt beschreibt die Konfiguration von + inetd. Konfigurationsdatei Die Konfiguration von inetd - erfolgt über /etc/inetd.conf Jede Zeile + erfolgt über /etc/inetd.conf Jede Zeile dieser Datei repräsentiert eine Anwendung, die von inetd gestartet werden kann. In der Voreinstellung beginnt jede Zeile mit einem Kommentar @@ -192,7 +194,7 @@ Die Konfigurationsdatei von <application>inetd</application> neu einlesen - + &prompt.root; service inetd reload @@ -217,44 +219,44 @@ server-program server-program-arguments - - service-name + + service-name - - Der Dienstname eines bestimmten Daemons. Er muss - einem in /etc/services aufgelisteten - Dienst entsprechen. Hier wird festgelegt, auf - welchen Port inetd + + Der Dienstname eines bestimmten Daemons. Er muss + einem in /etc/services + aufgelisteten Dienst entsprechen. Hier wird festgelegt, + auf welchen Port inetd eingehende Verbindungen für diesen Dienst entgegennimmt. - Wenn ein neuer Dienst benutzt wird, muss er zuerst - in /etc/services - eingetragen werden. - - + Wenn ein neuer Dienst benutzt wird, muss er zuerst in + /etc/services eingetragen + werden. + + - - socket-type + + socket-type - - Entweder stream, - dgram, raw, oder + + Entweder stream, + dgram, raw, oder seqpacket. Nutzen Sie stream für TCP-Verbindungen und dgram für UDP-Dienste. - - + + - - protocol + + protocol - - Benutzen Sie eines der folgenden Protokolle: + + Benutzen Sie eines der folgenden Protokolle: - + - + Protokoll @@ -268,26 +270,32 @@ server-program-arguments TCP (IPv4) + udp oder udp4 UDP (IPv4) + tcp6 TCP (IPv6) + udp6 UDP (IPv6) + tcp46 - TCP sowohl unter IPv4 als auch unter IPv6 + TCP sowohl unter IPv4 als auch unter + IPv6 + udp46 @@ -300,10 +308,10 @@ server-program-arguments - - {wait|nowait}[/max-child[/max-connections-per-ip-per-minute[/max-child-per-ip]]] + + {wait|nowait}[/max-child[/max-connections-per-ip-per-minute[/max-child-per-ip]]] - + In diesem Feld muss oder angegeben werden. , @@ -311,29 +319,29 @@ server-program-arguments sind optional. gibt an, ob der Dienst - seinen eigenen Socket verwalten kann oder nicht. - -Sockets müssen - verwenden, während Daemonen mit + seinen eigenen Socket verwalten kann oder nicht. + -Sockets müssen + verwenden, während Daemonen mit -Sockets, die normalerweise auch aus mehreren Threads bestehen, - verwenden sollten. - gibt in der Regel mehrere Sockets an einen einzelnen - Daemon weiter, während - für jeden neuen Socket einen Childdaemon erzeugt. + verwenden sollten. gibt in der + Regel mehrere Sockets an einen einzelnen Daemon weiter, + während für jeden neuen Socket + einen Childdaemon erzeugt. - Die maximale Anzahl an Child-Daemonen, die - inetd erzeugen kann, wird durch - die Option festgelegt. Wenn - ein bestimmter Daemon 10 Instanzen benötigt, wird - der Wert /10 hinter die Option + Die maximale Anzahl an Child-Daemonen, die + inetd erzeugen kann, wird + durch die Option festgelegt. + Wenn ein bestimmter Daemon 10 Instanzen benötigt, wird + der Wert /10 hinter die Option gesetzt. Der Wert - /0 gibt an, das es keine - Beschränkung gibt. + /0 gibt an, das es keine Beschränkung + gibt. - + legt die maximale Anzahl von Verbindungsversuchen pro - Minute fest, - die von einer bestimmten IP-Adresse aus unternommen werden + Minute fest, die von einer bestimmten + IP-Adresse aus unternommen werden können. Sobald das Limit erreicht ist, werden weitere Verbindungen von dieser IP-Adresse geblockt, bis die Minute vorüber ist. Ein Wert von @@ -345,50 +353,49 @@ server-program-arguments IP-Adresse aus gestartet werden können. Durch diese Optionen lassen sich Ressourcenverbrauch sowie die Auswirkungen eines - Denial of Service (DoS)-Angriffs - begrenzen. + Denial of Service (DoS)-Angriffs + begrenzen. Ein Beispiel finden Sie in den Voreinstellungen für &man.fingerd.8;: - finger stream tcp nowait/3/10 nobody /usr/libexec/fingerd fingerd -k -s - - + finger stream tcp nowait/3/10 nobody /usr/libexec/fingerd fingerd -k -s + + - - user + + user - - Der Benutzername, unter dem der jeweilige Daemon - laufen soll. Meistens laufen Daemonen als - root, - daemon oder - nobody. - - + + Der Benutzername, unter dem der jeweilige Daemon + laufen soll. Meistens laufen Daemonen als root, daemon oder nobody. + + - - server-program + + server-program - - Der vollständige Pfad des Daemons. - Wird der Daemon von inetd - intern bereitgestellt, verwenden Sie + + Der vollständige Pfad des Daemons. Wird der Daemon + von inetd intern + bereitgestellt, verwenden Sie . - - + + - - server-program-arguments + + server-program-arguments - - Dieser Eintrag legt die Argumente fest, die bei + + Dieser Eintrag legt die Argumente fest, die bei der Aktivierung an den Daemon übergeben werden. Wenn es sich beim Daemon um einen internen Dienst handelt, - verwenden Sie wiederum - . - - + verwenden Sie wiederum . + + @@ -493,11 +500,11 @@ server-program-arguments um solche Angriffe zu begrenzen. TCP-Wrapper ist in der - Voreinstellung aktiviert. Lesen Sie - &man.hosts.access.5;, wenn Sie weitere Informationen zum - Setzen von TCP-Beschränkungen für verschiedene von - inetd aktivierte Daemonen - benötigen. + Voreinstellung aktiviert. Lesen Sie &man.hosts.access.5;, + wenn Sie weitere Informationen zum Setzen von + TCP-Beschränkungen für verschiedene von + inetd aktivierte Daemonen + benötigen. @@ -541,8 +548,8 @@ server-program-arguments Daten, die sonst auf jeden Client dupliziert würden, - können an einem zentralen Ort aufbewahrt, und von den Clients - über das Netzwerk aufgerufen werden. + können an einem zentralen Ort aufbewahrt, und von den + Clients über das Netzwerk aufgerufen werden. @@ -578,86 +585,86 @@ server-program-arguments - NFS besteht aus einem - Server und einem oder mehreren Clients. Der Client greift - über das Netzwerk auf die Daten zu, die auf dem Server - gespeichert sind. Damit dies korrekt funktioniert, müssen - einige Prozesse konfiguriert und gestartet werden: + NFS besteht aus einem Server und einem + oder mehreren Clients. Der Client greift über das Netzwerk auf + die Daten zu, die auf dem Server gespeichert sind. Damit dies + korrekt funktioniert, müssen einige Prozesse konfiguriert und + gestartet werden: - Folgende Daemonen müssen auf dem Server ausgeführt - werden: + Folgende Daemonen müssen auf dem Server ausgeführt + werden: - - NFS - Server - + + NFS + Server + - - Dateiserver - Unix-Clients - + + Dateiserver + Unix-Clients + - - rpcbind - + + rpcbind + - - mountd - + + mountd + - - nfsd - + + nfsd + - - - - + + + + - - - Daemon + + + Daemon - Beschreibung - - + Beschreibung + + - - - nfsd + + + nfsd - Der NFS-Daemon. Er bearbeitet - Anfragen der NFS-Clients. - + Der NFS-Daemon. Er bearbeitet + Anfragen der NFS-Clients. + - - mountd + + mountd - Der NFS-Mount-Daemon. Er - bearbeitet die Anfragen von - nfsd. - + Der NFS-Mount-Daemon. Er + bearbeitet die Anfragen von + nfsd. + - - rpcbind + + rpcbind - Der Portmapper-Daemon. Durch ihn erkennen die - NFS-Clients, welchen Port der - NFS-Server verwendet. - - - - + Der Portmapper-Daemon. Durch ihn erkennen die + NFS-Clients, welchen Port der + NFS-Server verwendet. + + + + - Der Einsatz von &man.nfsiod.8; ist nicht zwingend - erforderlich, kann aber die Leistung auf dem Client - verbessern. + Der Einsatz von &man.nfsiod.8; ist nicht zwingend + erforderlich, kann aber die Leistung auf dem Client + verbessern. Konfiguration des Servers - NFS + NFS einrichten @@ -672,8 +679,8 @@ server-program-arguments exportierte Dateisystem einhängen. - NFS - Export von Dateisystemen + NFS + Export von Dateisystemen Wie Dateisysteme exportiert werden, ist in der folgenden @@ -799,7 +806,7 @@ mountd_flags="-r" /mnt einzuhängen: - NFS + NFS Dateisysteme einhängen @@ -821,7 +828,8 @@ mountd_flags="-r" - Dateien sperren (<foreignphrase>Locking</foreignphrase>) + Dateien sperren + (<foreignphrase>Locking</foreignphrase>) Einige Anwendungen erfordern die Sperrung von Dateien, damit sie korrekt arbeiten. Um diese Sperre zu aktivieren, @@ -872,14 +880,16 @@ rpc_statd_enable="YES" amd - Automatic Mounter Daemon + + Automatic Mounter Daemon + &man.amd.8; (Automatic Mounter Daemon) hängt ein - entferntes Dateisystem automatisch ein, - wenn auf eine Datei oder ein Verzeichnis in diesem Dateisystem - zugegriffen wird. Dateisysteme, die über einen gewissen - Zeitraum inaktiv sind, werden von amd - automatisch abgehängt. + entferntes Dateisystem automatisch ein, wenn auf eine Datei + oder ein Verzeichnis in diesem Dateisystem zugegriffen wird. + Dateisysteme, die über einen gewissen Zeitraum inaktiv sind, + werden von amd automatisch + abgehängt. Dieser Damon ist eine Alternative zum dauerhaften Einhängen von Dateisystemen in @@ -896,15 +906,15 @@ rpc_statd_enable="YES" /host zum Einhängen von exportierten Dateisystemen eines durch seinen Namen festgelegten Rechners dient. Ein Zugriff auf eine Datei in - /host/foobar/usr würde - amd veranlassen, - das von foobar exportierte - Dateisystem /usr einzuhängen. + /host/foobar/usr würde + amd veranlassen, das von + foobar exportierte Dateisystem + /usr einzuhängen. Ein exportiertes Dateisystem mit <application>amd</application> in den Verzeichnisbaum - einhängen + einhängen showmount -e zeigt in diesem Beispiel die exportierten Dateisysteme des @@ -919,7 +929,7 @@ Exports list on foobar: Die Ausgabe von showmount zeigt - /usr als exportiertes Dateisystem an. + /usr als exportiertes Dateisystem an. Wenn man in das Verzeichnis /host/foobar/usr wechselt, fängt amd die Anfrage ab und versucht @@ -1086,46 +1096,45 @@ Exports list on foobar: Network Information System (<acronym>NIS</acronym>) - NIS - Solaris - HP-UX - AIX - Linux - NetBSD - OpenBSD + NIS + Solaris + HP-UX + AIX + Linux + NetBSD + OpenBSD - - yellow pages - NIS - + + yellow pages + NIS + - Das Network Information System (NIS) - wurde entwickelt, um &unix;-Systeme zentral verwalten zu - können. Dazu zählen beispielsweise &solaris;, HP-UX, &aix;, - Linux, NetBSD, OpenBSD und &os;. NIS war - ursprünglich als Yellow Pages bekannt, - aus markenrechtlichen Gründen wurde der Name aber - geändert. Dies ist der Grund, warum - NIS-Kommandos mit yp - beginnen. + Das Network Information System (NIS) + wurde entwickelt, um &unix;-Systeme zentral verwalten zu + können. Dazu zählen beispielsweise &solaris;, HP-UX, &aix;, + &linux;, NetBSD, OpenBSD und &os;. NIS war + ursprünglich als Yellow Pages bekannt, + aus markenrechtlichen Gründen wurde der Name aber geändert. + Dies ist der Grund, warum NIS-Kommandos mit + yp beginnen. - - NIS - Domänen - + + NIS + Domänen + - Bei NIS handelt es sich um ein - RPC-basiertes Client/Server-System. Eine - Gruppe von Rechnern greift dabei innerhalb einer - NIS-Domäne auf gemeinsame - Konfigurationsdateien zu. Dies erlaubt es einem - Systemadministrator, NIS-Clients mit - minimalem Aufwand einzurichten, sowie Änderungen an der - Systemkonfiguration von einem zentralen Ort aus - durchzuführen. + Bei NIS handelt es sich um ein + RPC-basiertes Client/Server-System. Eine + Gruppe von Rechnern greift dabei innerhalb einer + NIS-Domäne auf gemeinsame + Konfigurationsdateien zu. Dies erlaubt es einem + Systemadministrator, NIS-Clients mit + minimalem Aufwand einzurichten, sowie Änderungen an der + Systemkonfiguration von einem zentralen Ort aus + durchzuführen. - &os; verwendet die Version 2 des - NIS-Protokolls. + &os; verwendet die Version 2 des + NIS-Protokolls. <acronym>NIS</acronym>-Begriffe und -Prozesse @@ -1135,42 +1144,46 @@ Exports list on foobar: werden: - rpcbind + rpcbind <acronym>NIS</acronym> Begriffe - - - - - - Begriff - Beschreibung - - + + + - - + + + Begriff + Beschreibung + + + + + NIS-Domänenname + NIS-Masterserver und Clients benutzen einen gemeinsamen NIS-Domänennamen. In der Regel hat dieser Name nichts mit DNS zu tun. - + + + + &man.rpcbind.8; - - &man.rpcbind.8; Dieser Dienst aktiviert RPC und muss gestartet sein, damit ein NIS-Server oder -Client ausgeführt werden kann. - + - + &man.ypbind.8; + Dieser Dienst bindet einen NIS-Client an seinen NIS-Server. Der Client bezieht den @@ -1183,10 +1196,11 @@ Exports list on foobar: auf einem Client beendet, ist dieser nicht mehr in der Lage, auf den NIS-Server zuzugreifen. - + + + + &man.ypserv.8; - - &man.ypserv.8; Dies ist der Prozess für den NIS-Server. Wenn dieser Dienst nicht mehr läuft, kann der Server nicht mehr auf @@ -1199,21 +1213,22 @@ Exports list on foobar: besteht darin, den Serverprozess oder den ypbind-Prozess auf dem Client neu zu starten. - + - - &man.rpc.yppasswdd.8; - Dieser Prozess läuft nur auf dem - NIS-Masterserver. Es handelt sich - um einen Daemonprozess, der es - NIS-Clients ermöglicht, ihre - NIS-Passwörter zu ändern. Wenn - dieser Daemon nicht läuft, müssen sich die Benutzer am - NIS-Masterserver anmelden und ihre - Passwörter dort ändern. - - - + + &man.rpc.yppasswdd.8; + + Dieser Prozess läuft nur auf dem + NIS-Masterserver. Es handelt sich + um einen Daemonprozess, der es + NIS-Clients ermöglicht, ihre + NIS-Passwörter zu ändern. Wenn + dieser Daemon nicht läuft, müssen sich die Benutzer am + NIS-Masterserver anmelden und ihre + Passwörter dort ändern. + + +
@@ -1302,183 +1317,192 @@ Exports list on foobar: In Zukunft soll die Konfiguration wie folgt aussehen: - - - - - Rechnername - IP-Adresse - Rechneraufgabe - - - - - ellington - 10.0.0.2 - NIS-Master - - - coltrane - 10.0.0.3 - NIS-Slave - - - basie - 10.0.0.4 - Workstation der Fakultät - - - bird - 10.0.0.5 - Clientrechner - - - cli[1-11] - 10.0.0.[6-17] - Verschiedene andere Clients - - - - + + + + + Rechnername + IP-Adresse + Rechneraufgabe + + - Wenn erstmalig ein NIS-Schema eingerichtet wird, sollte - es im Voraus sorgfältig geplant werden. Unabhängig von der - Größe des Netzwerks müssen einige Entscheidungen im Rahmen - des Planungsprozesses getroffen werden. + + + ellington + 10.0.0.2 + NIS-Master + - - Einen <acronym>NIS</acronym>-Domänennamen - wählen + + coltrane + 10.0.0.3 + NIS-Slave + - - NIS - Domänenname - + + basie + 10.0.0.4 + Workstation der Fakultät + - Wenn ein Client Informationen anfordert, ist in dieser - Anforderung der Name der NIS-Domäne - enthalten. Dadurch weiß jeder Server im Netzwerk, auf - welche Anforderung er antworten muss. Stellen Sie sich - den NIS-Domänennamen als einen Namen - einer Gruppe von Rechnern vor. + + bird + 10.0.0.5 + Clientrechner + - Manchmal wird der Name der Internetdomäne auch - für die NIS-Domäne verwendet. Dies ist - allerdings nicht empfehlenswert, da es bei der Behebung - von Problemen verwirrend sein kann. Der Name der - NIS-Domäne sollte innerhalb des - Netzwerks eindeutig sein. Hilfreich ist es, wenn der - Name die Gruppe der in ihr zusammengefassten Rechner - beschreibt. Die Kunstabteilung von Acme Inc. hätte daher - vielleicht die NIS-Domäne - acme-art. Für dieses Beispiel wird der - Name test-domain verwendet. + + cli[1-11] + 10.0.0.[6-17] + Verschiedene andere Clients + + + + - Es gibt jedoch auch Betriebssysteme, die als - NIS-Domänennamen den Namen der - Internetdomäne verwenden. Wenn dies für einen oder - mehrere Rechner des Netzwerks zutrifft, - muss der Name der Internetdomäne als - NIS-Domänennamen verwendet - werden. - + Wenn erstmalig ein NIS-Schema eingerichtet wird, sollte es + im Voraus sorgfältig geplant werden. Unabhängig von der Größe + des Netzwerks müssen einige Entscheidungen im Rahmen des + Planungsprozesses getroffen werden. - - Anforderungen an den Server + + Einen <acronym>NIS</acronym>-Domänennamen + wählen - Bei der Wahl des NIS-Servers müssen - einige Dinge beachtet werden. Da die - NIS-Clients auf die Verfügbarkeit des - Servers angewiesen sind, sollten Sie einen Rechner wählen, - der nicht regelmäßig neu gestartet werden muss. Der - NIS-Server sollte idealerweise ein - alleinstehender Rechner sein, dessen einzige Aufgabe es - ist, als NIS-Server zu dienen. Wenn - das Netzwerk nicht zu stark ausgelastet ist, ist es auch - möglich, den NIS-Server als weiteren - Dienst auf einem anderen Rechner laufen zu lassen. Wenn - jedoch ein NIS-Server ausfällt, wirkt - sich dies negativ auf alle - NIS-Clients aus. + + NIS + Domänenname + + + Wenn ein Client Informationen anfordert, ist in dieser + Anforderung der Name der NIS-Domäne + enthalten. Dadurch weiß jeder Server im Netzwerk, auf + welche Anforderung er antworten muss. Stellen Sie sich + den NIS-Domänennamen als einen Namen + einer Gruppe von Rechnern vor. + + Manchmal wird der Name der Internetdomäne auch für die + NIS-Domäne verwendet. Dies ist + allerdings nicht empfehlenswert, da es bei der Behebung von + Problemen verwirrend sein kann. Der Name der + NIS-Domäne sollte innerhalb des + Netzwerks eindeutig sein. Hilfreich ist es, wenn der Name + die Gruppe der in ihr zusammengefassten Rechner beschreibt. + Die Kunstabteilung von Acme Inc. hätte daher vielleicht die + NIS-Domäne acme-art. Für + dieses Beispiel wird der Name test-domain + verwendet. + + Es gibt jedoch auch Betriebssysteme, die als + NIS-Domänennamen den Namen der + Internetdomäne verwenden. Wenn dies für einen oder + mehrere Rechner des Netzwerks zutrifft, + muss der Name der Internetdomäne als + NIS-Domänennamen verwendet werden. + + + + Anforderungen an den Server + + Bei der Wahl des NIS-Servers müssen + einige Dinge beachtet werden. Da die + NIS-Clients auf die Verfügbarkeit des + Servers angewiesen sind, sollten Sie einen Rechner wählen, + der nicht regelmäßig neu gestartet werden muss. Der + NIS-Server sollte idealerweise ein + alleinstehender Rechner sein, dessen einzige Aufgabe es + ist, als NIS-Server zu dienen. Wenn + das Netzwerk nicht zu stark ausgelastet ist, ist es auch + möglich, den NIS-Server als weiteren + Dienst auf einem anderen Rechner laufen zu lassen. Wenn + jedoch ein NIS-Server ausfällt, wirkt + sich dies negativ auf alle + NIS-Clients aus. - - Einen <acronym>NIS</acronym>-Masterserver - konfigurieren + + Einen <acronym>NIS</acronym>-Masterserver + konfigurieren - Die verbindlichen Kopien aller - NIS-Dateien befinden sich auf dem - Masterserver. Die Datenbanken, in denen die Informationen - gespeichert sind, bezeichnet man als - NIS-Maps. Unter &os; werden diese Maps - unter /var/yp/[domainname] gespeichert, - wobei [domainname] der Name der - NIS-Domäne ist. Da ein - NIS-Server mehrere Domänen verwalten - kann, können auch mehrere Verzeichnisse vorhanden sein. - Jede Domäne verfügt über ein eigenes Verzeichnis sowie einen - eigenen, von anderen Domänen unabhängigen Satz von - NIS-Maps. + Die verbindlichen Kopien aller + NIS-Dateien befinden sich auf dem + Masterserver. Die Datenbanken, in denen die Informationen + gespeichert sind, bezeichnet man als + NIS-Maps. Unter &os; werden diese Maps + unter /var/yp/[domainname] gespeichert, + wobei [domainname] der Name der + NIS-Domäne ist. Da ein + NIS-Server mehrere Domänen verwalten + kann, können auch mehrere Verzeichnisse vorhanden sein. + Jede Domäne verfügt über ein eigenes Verzeichnis sowie einen + eigenen, von anderen Domänen unabhängigen Satz von + NIS-Maps. - NIS-Master- und Slaveserver - verwenden &man.ypserv.8;, um NIS-Anfragen - zu bearbeiten. Dieser Daemon ist für eingehende Anfragen - der NIS-Clients verantwortlich. Er ermittelt aus der - angeforderten Domäne und Map einen Pfad zur entsprechenden - Datenbank, und sendet die angeforderten Daten von der - Datenbank zum Client. + NIS-Master- und Slaveserver + verwenden &man.ypserv.8;, um NIS-Anfragen + zu bearbeiten. Dieser Daemon ist für eingehende Anfragen + der NIS-Clients verantwortlich. Er + ermittelt aus der angeforderten Domäne und Map einen Pfad zur + entsprechenden Datenbank und sendet die angeforderten Daten + von der Datenbank zum Client. - - NIS - Serverkonfiguration - + + NIS + Serverkonfiguration + - Abhängig von den Anforderungen ist die Einrichtung - eines NIS-Masterservers relativ - einfach, da NIS von &os; bereits in der - Standardkonfiguration unterstützt wird. Es kann durch - folgende Zeilen in /etc/rc.conf - aktiviert werden: + Abhängig von den Anforderungen ist die Einrichtung eines + NIS-Masterservers relativ einfach, da + NIS von &os; bereits in der + Standardkonfiguration unterstützt wird. Es kann durch + folgende Zeilen in /etc/rc.conf aktiviert + werden: - nisdomainname="test-domain">>>>>>> + nisdomainname="test-domain">>>>>>> nis_server_enable="YES">>>>>>>>> nis_yppasswdd_enable="YES">>>>>> - - - Diese Zeile setzt den - NIS-Domänennamen auf - test-domain. - + + + Diese Zeile setzt den + NIS-Domänennamen auf + test-domain. + - - Dadurch werden die - NIS-Serverprozesse beim Systemstart - automatisch ausgeführt. - + + Dadurch werden die + NIS-Serverprozesse beim Systemstart + automatisch ausgeführt. + - - Durch diese Zeile wird der - &man.rpc.yppasswdd.8;-Daemon aktiviert, der die - Änderung von NIS-Passwörtern von - einem Client aus ermöglicht. - - + + Durch diese Zeile wird der + &man.rpc.yppasswdd.8;-Daemon aktiviert, der die + Änderung von NIS-Passwörtern von + einem Client aus ermöglicht. + + Wird ypserv in einer Multi-Serverdomäne verwendet, in der NIS-Server gleichzeitig als - NIS-Clients arbeiten, ist es eine gute Idee, - diese Server zu zwingen, sich an sich selbst zu binden. Damit - wird verhindert, dass Bindeanforderungen gesendet werden und - sich die Server gegenseitig binden. Sonst könnten seltsame - Fehler auftreten, wenn ein Server ausfällt, auf den andere - Server angewiesen sind. Letztlich werden alle Clients einen - Timeout melden, und versuchen, sich an andere Server zu binden. - Die dadurch entstehende Verzögerung kann beträchtlich - sein. Außerdem kann der Fehler erneut auftreten, da sich - die Server wiederum aneinander binden könnten. + NIS-Clients arbeiten, ist es eine gute + Idee, diese Server zu zwingen, sich an sich selbst zu binden. + Damit wird verhindert, dass Bindeanforderungen gesendet werden + und sich die Server gegenseitig binden. Sonst könnten + seltsame Fehler auftreten, wenn ein Server ausfällt, auf den + andere Server angewiesen sind. Letztlich werden alle Clients + einen Timeout melden, und versuchen, sich an andere Server zu + binden. Die dadurch entstehende Verzögerung kann beträchtlich + sein. Außerdem kann der Fehler erneut auftreten, da sich die + Server wiederum aneinander binden könnten. Server, die auch als Client arbeiten, können durch das Hinzufügen der folgenden Zeilen in @@ -1488,65 +1512,63 @@ nis_yppasswdd_enable="YES">>>>>>nis_client_enable="YES" # run client stuff as well nis_client_flags="-S NIS domain,server" - Nachdem die Parameter konfiguriert wurden, muss noch - /etc/netstart ausgeführt werden, um - alles entsprechend den Vorgaben in - /etc/rc.conf einzurichten. - Bevor die NIS-Maps einrichtet werden - können, muss der &man.ypserv.8;-Daemon manuell gestartet - werden: + Nachdem die Parameter konfiguriert wurden, muss noch + /etc/netstart ausgeführt werden, um alles + entsprechend den Vorgaben in /etc/rc.conf + einzurichten. Bevor die NIS-Maps + einrichtet werden können, muss der &man.ypserv.8;-Daemon + manuell gestartet werden: - &prompt.root; service ypserv start + &prompt.root; service ypserv start - - Die <acronym>NIS</acronym>-Maps - initialisieren + + Die <acronym>NIS</acronym>-Maps + initialisieren - - NIS - maps - + + NIS + maps + - NIS-Maps Sie werden am - NIS-Masterserver aus den - Konfigurationsdateien unter /etc - erzeugt. Einzige Ausnahme: - /etc/master.passwd. Dies verhindert, - dass die Passwörter für - root- oder - andere Administratorkonten an alle Server in der - NIS-Domäne verteilt werden. - Deshalb werden die primären Passwort-Dateien konfiguriert, - bevor die NIS-Maps initialisiert - werden: + NIS-Maps Sie werden am + NIS-Masterserver aus den + Konfigurationsdateien unter /etc + erzeugt. Einzige Ausnahme: + /etc/master.passwd. Dies verhindert, + dass die Passwörter für root- oder andere + Administratorkonten an alle Server in der + NIS-Domäne verteilt werden. Deshalb + werden die primären Passwort-Dateien konfiguriert, bevor die + NIS-Maps initialisiert werden: - &prompt.root; cp /etc/master.passwd /var/yp/master.passwd + &prompt.root; cp /etc/master.passwd /var/yp/master.passwd &prompt.root; cd /var/yp &prompt.root; vi master.passwd - Es ist ratsam, alle Einträge für Systemkonten sowie - Benutzerkonten, die nicht an die - NIS-Clients weitergegeben werden - sollen, wie beispielsweise root und weitere - administrative Konten, zu entfernen. + Es ist ratsam, alle Einträge für Systemkonten sowie + Benutzerkonten, die nicht an die + NIS-Clients weitergegeben werden sollen, + wie beispielsweise root und weitere + administrative Konten, zu entfernen. - - Stellen Sie sicher, dass - /var/yp/master.passwd weder von der - Gruppe noch von der Welt gelesen werden kann, indem Sie - Zugriffsmodus auf 600 - einstellen. - + + Stellen Sie sicher, dass + /var/yp/master.passwd weder von der + Gruppe noch von der Welt gelesen werden kann, indem Sie + Zugriffsmodus auf 600 + einstellen. + - Nun können die NIS-Maps - initialisiert werden. &os; verwendet dafür das Skript - &man.ypinit.8;. Geben Sie und den - NIS-Domänennamen an, wenn Sie - NIS-Maps für den Masterserver - erzeugen: + Nun können die NIS-Maps + initialisiert werden. &os; verwendet dafür das Skript + &man.ypinit.8;. Geben Sie und den + NIS-Domänennamen an, wenn Sie + NIS-Maps für den Masterserver + erzeugen: - ellington&prompt.root; ypinit -m test-domain + ellington&prompt.root; ypinit -m test-domain Server Type: MASTER Domain: test-domain Creating an YP server will require that you answer a few questions. Questions will all be asked at the beginning of the procedure. @@ -1570,70 +1592,66 @@ Is this correct? [y/n: y] y NIS Map update completed. ellington has been setup as an YP master server without any errors. - Dadurch erzeugt ypinit - /var/yp/Makefile aus - /var/yp/Makefile.dist. Diese Datei - geht in der Voreinstellung davon aus, dass in einer - NIS-Umgebung mit nur einem Server - gearbeitet wird und dass - alle Clients unter &os; laufen. Da - test-domain aber auch über einen - Slaveserver verfügt, muss - /var/yp/Makefile entsprechend - angepasst werden, sodass es mit einem Kommentar - (#) beginnt: - + Dadurch erzeugt ypinit + /var/yp/Makefile aus + /var/yp/Makefile.dist. Diese Datei + geht in der Voreinstellung davon aus, dass in einer + NIS-Umgebung mit nur einem Server + gearbeitet wird und dass alle Clients unter &os; laufen. Da + test-domain aber auch über einen + Slaveserver verfügt, muss + /var/yp/Makefile entsprechend angepasst + werden, sodass es mit einem Kommentar (#) + beginnt: - NOPUSH = "True" - + NOPUSH = "True" + - - Neue Benutzer hinzufügen + + Neue Benutzer hinzufügen - Jedes Mal, wenn ein neuer Benutzer angelegt wird, - muss er am NIS-Masterserver hinzugefügt - und die NIS-Maps anschließend neu - erzeugt werden. Wird dieser Punkt vergessen, kann sich - der neue Benutzer nur am - NIS-Masterserver anmelden. Um - beispielsweise den neuen Benutzer - jsmith zur - Domäne test-domain hinzufügen wollen, - müssen folgende Kommandos auf dem Masterserver ausgeführt - werden: + Jedes Mal, wenn ein neuer Benutzer angelegt wird, + muss er am NIS-Masterserver hinzugefügt + und die NIS-Maps anschließend neu + erzeugt werden. Wird dieser Punkt vergessen, kann sich + der neue Benutzer nur am + NIS-Masterserver anmelden. Um + beispielsweise den neuen Benutzer jsmith zur Domäne + test-domain hinzufügen wollen, müssen + folgende Kommandos auf dem Masterserver ausgeführt + werden: - &prompt.root; pw useradd jsmith + &prompt.root; pw useradd jsmith &prompt.root; cd /var/yp &prompt.root; make test-domain - Statt pw useradd jsmith kann - auch adduser jsmith verwendet - werden. - - + Statt pw useradd jsmith kann auch + adduser jsmith verwendet werden. + + - - Einen <acronym>NIS</acronym>-Slaveserver - einrichten + + Einen <acronym>NIS</acronym>-Slaveserver + einrichten - - NIS - Slaveserver - + + NIS + Slaveserver + - Um einen NIS-Slaveserver - einzurichten, melden Sie sich am Slaveserver an und - bearbeiten Sie /etc/rc.conf analog - zum Masterserver. Erzeugen Sie aber keine - NIS-Maps, da diese bereits auf dem - Server vorhanden sind. Wenn ypinit - auf dem Slaveserver ausgeführt wird, benutzen Sie - (Slave) statt - (Master). Diese Option benötigt den Namen des - NIS-Masterservers und den Domänennamen, - wie in diesem Beispiel zu sehen: + Um einen NIS-Slaveserver einzurichten, + melden Sie sich am Slaveserver an und bearbeiten Sie + /etc/rc.conf analog zum Masterserver. + Erzeugen Sie aber keine NIS-Maps, da diese + bereits auf dem Server vorhanden sind. Wenn + ypinit auf dem Slaveserver ausgeführt wird, + benutzen Sie (Slave) statt + (Master). Diese Option benötigt den Namen + des NIS-Masterservers und den Domänennamen, + wie in diesem Beispiel zu sehen: - coltrane&prompt.root; ypinit -s ellington test-domain + coltrane&prompt.root; ypinit -s ellington test-domain Server Type: SLAVE Domain: test-domain Master: ellington @@ -1690,126 +1708,121 @@ ypxfr: Exiting: Map successfully transferred coltrane has been setup as an YP slave server without any errors. Remember to update map ypservers on ellington. - Hierbei wird auf dem Slaveserver ein Verzeichnis - namens /var/yp/test-domain erstellt, - welches Kopien der - NIS-Masterserver-Maps enthält. Durch - hinzufügen der folgenden Zeilen in - /etc/crontab wird der Slaveserver - angewiesen, seine Maps mit den Maps des Masterservers zu - synchronisieren: + Hierbei wird auf dem Slaveserver ein Verzeichnis namens + /var/yp/test-domain erstellt, welches + Kopien der NIS-Masterserver-Maps enthält. + Durch hinzufügen der folgenden Zeilen in + /etc/crontab wird der Slaveserver + angewiesen, seine Maps mit den Maps des Masterservers zu + synchronisieren: - 20 * * * * root /usr/libexec/ypxfr passwd.byname + 20 * * * * root /usr/libexec/ypxfr passwd.byname 21 * * * * root /usr/libexec/ypxfr passwd.byuid - Diese Einträge sind nicht zwingend notwendig, - da der Masterserver automatisch versucht, alle Änderungen - seiner NIS-Maps an seine Slaveserver - weiterzugeben. Da Passwortinformationen aber auch für nur - vom Slaveserver abhängige Systeme vital sind, ist es eine - gute Idee, diese Aktualisierungen zu erzwingen. Besonders - wichtig ist dies in stark ausgelasteten Netzen, in denen - Map-Aktualisierungen unvollständig sein könnten. + Diese Einträge sind nicht zwingend notwendig, da der + Masterserver automatisch versucht, alle Änderungen seiner + NIS-Maps an seine Slaveserver + weiterzugeben. Da Passwortinformationen aber auch für nur vom + Slaveserver abhängige Systeme vital sind, ist es eine gute + Idee, diese Aktualisierungen zu erzwingen. Besonders wichtig + ist dies in stark ausgelasteten Netzen, in denen + Map-Aktualisierungen unvollständig sein könnten. - Um die Konfiguration abzuschließen, führen Sie - /etc/netstart auf dem Slaveserver aus, - um die NIS-Dienste erneut zu - starten. - + Um die Konfiguration abzuschließen, führen Sie + /etc/netstart auf dem Slaveserver aus, um + die NIS-Dienste erneut zu starten. + - - Einen <acronym>NIS</acronym>-Client einrichten + + Einen <acronym>NIS</acronym>-Client einrichten - Ein NIS-Client - bindet sich unter Verwendung von - ypbind an einen - NIS-Server. Dieser Daemon sendet - RPC-Anfragen auf dem lokalen Netzwerk. Diese Anfragen legen - den Namen der Domäne fest, die auf dem Client konfiguriert - ist. Wenn der Server der entsprechenden Domäne eine solche - Anforderung erhält, schickt er eine Antwort an - ypbind, das wiederum die Adresse des - Servers speichert. Wenn mehrere Server verfügbar sind, - verwendet der Client die erste erhaltene Adresse und richtet - alle Anfragen an genau diesen Server. - ypbind pingt den Server - gelegentlich an, um sicherzustellen, dass der Server - funktioniert. Antwortet der Server innerhalb eines - bestimmten Zeitraums nicht (Timeout), markiert - ypbind die Domäne als ungebunden und - beginnt erneut, RPCs über das Netzwerk zu - verteilen, um einen anderen Server zu finden. + Ein NIS-Client + bindet sich unter Verwendung von + ypbind an einen + NIS-Server. Dieser Daemon sendet + RPC-Anfragen auf dem lokalen Netzwerk. Diese Anfragen legen + den Namen der Domäne fest, die auf dem Client konfiguriert + ist. Wenn der Server der entsprechenden Domäne eine solche + Anforderung erhält, schickt er eine Antwort an + ypbind, das wiederum die Adresse des + Servers speichert. Wenn mehrere Server verfügbar sind, + verwendet der Client die erste erhaltene Adresse und richtet + alle Anfragen an genau diesen Server. + ypbind pingt den Server + gelegentlich an, um sicherzustellen, dass der Server + funktioniert. Antwortet der Server innerhalb eines bestimmten + Zeitraums nicht (Timeout), markiert ypbind + die Domäne als ungebunden und beginnt erneut, + RPCs über das Netzwerk zu verteilen, um + einen anderen Server zu finden. - - NIS - Client konfigurieren - + + NIS + Client konfigurieren + - Einen &os;-Rechner als NIS-Client - einrichten: + Einen &os;-Rechner als NIS-Client + einrichten: - - - Fügen Sie folgende Zeilen in - /etc/rc.conf ein, um den - NIS-Domänennamen festzulegen, und - um &man.ypbind.8; bei der Initialisierung - des Netzwerks zu starten: + + + Fügen Sie folgende Zeilen in + /etc/rc.conf ein, um den + NIS-Domänennamen festzulegen, und + um &man.ypbind.8; bei der Initialisierung des Netzwerks zu + starten: - nisdomainname="test-domain" + nisdomainname="test-domain" nis_client_enable="YES" - + - - Um alle Passworteinträge des - NIS-Servers zu - importieren, löschen Sie alle Benutzerkonten in - /etc/master.passwd mit - vipw. Denken Sie daran, zumindest - ein lokales Benutzerkonto zu behalten. Dieses Konto - sollte außerdem Mitglied der Gruppe wheel sein. Wenn es - mit NIS Probleme gibt, können Sie - diesen Zugang verwenden, um sich als Superuser - anzumelden und das Problem zu beheben. Bevor Sie die - Änderungen speichern, fügen Sie folgende Zeile am Ende - der Datei hinzu: + + Um alle Passworteinträge des + NIS-Servers zu importieren, löschen Sie + alle Benutzerkonten in + /etc/master.passwd mit + vipw. Denken Sie daran, zumindest ein + lokales Benutzerkonto zu behalten. Dieses Konto sollte + außerdem Mitglied der Gruppe wheel sein. Wenn es mit + NIS Probleme gibt, können Sie diesen + Zugang verwenden, um sich als Superuser anzumelden und das + Problem zu beheben. Bevor Sie die Änderungen speichern, + fügen Sie folgende Zeile am Ende der Datei hinzu: - +::::::::: + +::::::::: - Diese Zeile legt für alle gültigen Benutzerkonten - der NIS-Server-Maps einen Zugang - an. Es gibt verschiedene Wege, den - NIS-Client durch Änderung dieser - Zeile zu konfigurieren. Eine Methode wird in - beschrieben. - Weitere detaillierte Informationen finden Sie im Buch - Managing NFS and NIS vom O'Reilly - Verlag. - + Diese Zeile legt für alle gültigen Benutzerkonten der + NIS-Server-Maps einen Zugang an. Es + gibt verschiedene Wege, den NIS-Client + durch Änderung dieser Zeile zu konfigurieren. Eine + Methode wird in + beschrieben. Weitere detaillierte Informationen finden + Sie im Buch Managing NFS and NIS vom + O'Reilly Verlag. + - - Um alle möglichen Gruppeneinträge vom - NIS-Server zu importieren, fügen - Sie folgende Zeile in /etc/group - ein: + + Um alle möglichen Gruppeneinträge vom + NIS-Server zu importieren, fügen Sie + folgende Zeile in /etc/group + ein: - +:*:: - - + +:*:: + + - Um den NIS-Client direkt zu - starten, führen Sie als Superuser die folgenden Befehle - aus: + Um den NIS-Client direkt zu starten, + führen Sie als Superuser die folgenden Befehle aus: - &prompt.root; /etc/netstart + &prompt.root; /etc/netstart &prompt.root; service ypbind start - Danach sollte bei der Eingabe von - ypcat passwd auf dem Client die - passwd-Map des - NIS-Servers angezeigt werden. + Danach sollte bei der Eingabe von + ypcat passwd auf dem Client die + passwd-Map des + NIS-Servers angezeigt werden. @@ -1842,77 +1855,77 @@ nis_client_enable="YES" 10.0.0.0 255.255.240.0 Wenn &man.ypserv.8; eine Anforderung von einer zu diesen - Regeln passenden Adresse erhält, wird die Anforderung - bearbeitet. Gibt es keine passende Regel, wird die - Anforderung ignoriert und eine Warnmeldung aufgezeichnet. + Regeln passenden Adresse erhält, wird die Anforderung + bearbeitet. Gibt es keine passende Regel, wird die + Anforderung ignoriert und eine Warnmeldung aufgezeichnet. Wenn securenets nicht existiert, erlaubt ypserv Verbindungen von jedem Rechner. - beschreibt eine - alternative Methode zur Zugriffskontrolle. Obwohl beide - Methoden einige Sicherheit gewähren, sind sie anfällig - für IP-Spoofing-Angriffe. Der + beschreibt eine alternative + Methode zur Zugriffskontrolle. Obwohl beide Methoden einige + Sicherheit gewähren, sind sie anfällig für + IP-Spoofing-Angriffe. Der NIS-Verkehr sollte daher von einer Firewall blockiert werden. - Server, die securenets - verwenden, können Schwierigkeiten bei der Anmeldung von - NIS-Clients haben, die ein veraltetes TCP/IP-Subsystem - besitzen. Einige dieser TCP/IP-Subsysteme setzen alle - Rechnerbits auf Null, wenn sie einen - Broadcast durchführen oder - können die Subnetzmaske nicht auslesen, wenn sie die - Broadcast-Adresse berechnen. Einige Probleme können - durch Änderungen der Clientkonfiguration behoben werden. - Andere hingegen lassen sich nur durch das Entfernen des - betreffenden Rechners aus dem Netzwerk oder den Verzicht auf - securenets umgehen. + Server, die securenets verwenden, + können Schwierigkeiten bei der Anmeldung von + NIS-Clients haben, die ein veraltetes + TCP/IP-Subsystem besitzen. Einige dieser TCP/IP-Subsysteme + setzen alle Rechnerbits auf Null, wenn sie einen + Broadcast durchführen oder können die + Subnetzmaske nicht auslesen, wenn sie die Broadcast-Adresse + berechnen. Einige Probleme können durch Änderungen der + Clientkonfiguration behoben werden. Andere hingegen lassen + sich nur durch das Entfernen des betreffenden Rechners aus dem + Netzwerk oder den Verzicht auf securenets + umgehen. - - TCP-Wrapper - + + TCP-Wrapper + - Die Verwendung der - TCP-Wrapper verlangsamt die - Reaktion des NIS-Servers. Diese zusätzliche Reaktionszeit - kann in Clientprogrammen zu Timeouts führen. Dies vor allem - in Netzwerken, die stark ausgelastet sind, oder nur über - langsame NIS-Server verfügen. Wenn ein - oder mehrere Clients dieses Problem aufweisen, sollten Sie die - betreffenden Clients in NIS-Slaveserver umwandeln, und diese - an sich selbst binden. + Die Verwendung der TCP-Wrapper + verlangsamt die Reaktion des NIS-Servers. + Diese zusätzliche Reaktionszeit kann in Clientprogrammen zu + Timeouts führen. Dies vor allem in Netzwerken, die stark + ausgelastet sind, oder nur über langsame + NIS-Server verfügen. Wenn ein oder mehrere + Clients dieses Problem aufweisen, sollten Sie die betreffenden + Clients in NIS-Slaveserver umwandeln, und + diese an sich selbst binden. - - Bestimmte Benutzer an der Anmeldung hindern + + Bestimmte Benutzer an der Anmeldung hindern - In diesem Beispiel gibt es innerhalb der - NIS-Domäne den Rechner - basie, der nur für Mitarbeiter der - Fakultät bestimmt ist. Die passwd - Datenbank des NIS-Masterservers enthält - Benutzerkonten sowohl für Fakultätsmitarbeiter als auch für - Studenten. Dieser Abschnitt beschreibt, wie Sie den - Mitarbeitern der Fakultät die Anmeldung am System - ermöglichen, während den Studenten die Anmeldung verweigert - wird. + In diesem Beispiel gibt es innerhalb der + NIS-Domäne den Rechner + basie, der nur für Mitarbeiter der + Fakultät bestimmt ist. Die passwd + Datenbank des NIS-Masterservers enthält + Benutzerkonten sowohl für Fakultätsmitarbeiter als auch für + Studenten. Dieser Abschnitt beschreibt, wie Sie den + Mitarbeitern der Fakultät die Anmeldung am System + ermöglichen, während den Studenten die Anmeldung verweigert + wird. - Es gibt eine Möglichkeit, bestimmte Benutzer an der - Anmeldung an einem bestimmten Rechner zu hindern, selbst wenn - diese in der NIS-Datenbank vorhanden sind. - Dazu kann mit vipw der Eintrag - -Benutzername und - die richtige Anzahl von Doppelpunkten an das Ende von - /etc/master.passwd gesetzt werden, wobei - Benutzername der zu blockierende - Benutzername ist. Die Zeile mit dem geblockten Benutzer muss - dabei vor der + Zeile, für zugelassene - Benutzer stehen. In diesem Beispiel wird die Anmeldung für - den Benutzer - bill am Rechner - basie blockiert: + Es gibt eine Möglichkeit, bestimmte Benutzer an der + Anmeldung an einem bestimmten Rechner zu hindern, selbst + wenn diese in der NIS-Datenbank vorhanden + sind. Dazu kann mit vipw der Eintrag + -Benutzername + und die richtige Anzahl von Doppelpunkten an das Ende von + /etc/master.passwd gesetzt werden, + wobei Benutzername der zu + blockierende Benutzername ist. Die Zeile mit dem geblockten + Benutzer muss dabei vor der + Zeile, für + zugelassene Benutzer stehen. In diesem Beispiel wird die + Anmeldung für den Benutzer bill am Rechner + basie blockiert: - basie&prompt.root; cat /etc/master.passwd + basie&prompt.root; cat /etc/master.passwd root:[password]:0:0::0:0:The super-user:/root:/bin/csh toor:[password]:0:0::0:0:The other super-user:/root:/bin/sh daemon:*:1:1::0:0:Owner of many system processes:/root:/sbin/nologin @@ -1968,88 +1981,99 @@ basie&prompt.root; Zusätzliche Benutzer - - - - Benutzername(n) - Beschreibung - - + + + + Benutzername(n) + Beschreibung + + - - - alpha, - beta - Mitarbeiter der IT-Abteilung - + + + alpha, + beta + Mitarbeiter der IT-Abteilung + - - charlie, - delta - Lehrlinge der IT-Abteilung - + + charlie, + delta + Lehrlinge der IT-Abteilung + - - echo, - foxtrott, - golf, ... - Mitarbeiter - + + echo, + foxtrott, + golf, ... + Mitarbeiter + - - able, - baker, ... - Praktikanten - - - + + able, + baker, ... + Praktikanten + + +
Zusätzliche Rechner - - - - Rechnername(n) - Beschreibung - - + + + + Rechnername(n) + Beschreibung + + - - + + - war, death, - famine, pollution - Nur Mitarbeiter der IT-Abteilung dürfen sich an - diesen Rechnern anmelden. - + war, + death, + famine, + pollution + Nur Mitarbeiter der IT-Abteilung dürfen sich an + diesen Rechnern anmelden. + - + - pride, greed, - envy, wrath, - lust, sloth - Nur Mitarbeiter und Lehrlinge der IT-Abteilung + pride, + greed, + envy, + wrath, + lust, + sloth + Nur Mitarbeiter und Lehrlinge der IT-Abteilung dürfen sich auf diesen Rechnern anmelden. - + - - one, two, - three, four, ... - Gewöhnliche Arbeitsrechner für + + one, + two, + three, + four, ... + Gewöhnliche Arbeitsrechner für Mitarbeiter. - + - - trashcan - Ein sehr alter Rechner ohne kritische Daten. + + trashcan + Ein sehr alter Rechner ohne kritische Daten. Sogar Praktikanten dürfen diesen Rechner verwenden. - - - + + +
Bei der Verwendung von Netzgruppen wird jeder Benutzer @@ -2065,8 +2089,8 @@ basie&prompt.root; verbieten. Dieses Beispiel erstellt vier Netzgruppen: - IT-Mitarbeiter, IT-Lehrlinge, normale Mitarbeiter - sowie Praktikanten: + IT-Mitarbeiter, IT-Lehrlinge, normale Mitarbeiter sowie + Praktikanten: IT_EMP (,alpha,test-domain) (,beta,test-domain) IT_APP (,charlie,test-domain) (,delta,test-domain) @@ -2082,23 +2106,24 @@ INTERNS (,able,test-domain) (,baker,test-domain) Felder in der Klammer folgende Bedeutung: - - Der Name des Rechner(s), auf dem die weiteren Felder + + Der Name des Rechner(s), auf dem die weiteren Felder für den Benutzer gültig sind. Wird kein Rechnername festgelegt, ist der Eintrag auf allen Rechnern gültig. - + - - Der Name des Benutzerkontos, der zu dieser Netzgruppe - gehört. - + + Der Name des Benutzerkontos, der zu dieser Netzgruppe + gehört. + - - Die NIS-Domäne für das Benutzerkonto. Benutzerkonten - können von anderen NIS-Domänen in eine Netzgruppe + + Die NIS-Domäne für das + Benutzerkonto. Benutzerkonten können von anderen + NIS-Domänen in eine Netzgruppe importiert werden. - + Wenn eine Gruppe mehrere Benutzer enthält, müssen diese @@ -2106,30 +2131,28 @@ INTERNS (,able,test-domain) (,baker,test-domain) Feld Wildcards enthalten. Weitere Einzelheiten finden Sie in &man.netgroup.5;. - Netzgruppen + Netzgruppen - Netzgruppennamen sollten nicht länger als 8 Zeichen - sein. Es wird zwischen Groß- und Kleinschreibung - unterschieden. Die Verwendung von Großbuchstaben für - Netzgruppennamen ermöglicht eine leichte Unterscheidung - zwischen Benutzern, Rechnern und Netzgruppen. + Netzgruppennamen sollten nicht länger als 8 Zeichen sein. + Es wird zwischen Groß- und Kleinschreibung unterschieden. Die + Verwendung von Großbuchstaben für Netzgruppennamen ermöglicht + eine leichte Unterscheidung zwischen Benutzern, Rechnern und + Netzgruppen. - Einige NIS-Clients (dies gilt nicht - für &os;) können keine Netzgruppen mit mehr als 15 Einträgen - verwalten. Diese Grenze kann umgangen werden, indem mehrere - Subnetzgruppen mit weniger als fünfzehn Benutzern angelegt - werden und diese Subnetzgruppen wiederum in einer Netzgruppe - zusammengefasst wird, wie in diesem Beispiel zu - sehen: + Einige NIS-Clients (dies gilt nicht für + &os;) können keine Netzgruppen mit mehr als 15 Einträgen + verwalten. Diese Grenze kann umgangen werden, indem mehrere + Subnetzgruppen mit weniger als fünfzehn Benutzern angelegt + werden und diese Subnetzgruppen wiederum in einer Netzgruppe + zusammengefasst wird, wie in diesem Beispiel zu sehen: - BIGGRP1 (,joe1,domain) (,joe2,domain) (,joe3,domain) [...] + BIGGRP1 (,joe1,domain) (,joe2,domain) (,joe3,domain) [...] BIGGRP2 (,joe16,domain) (,joe17,domain) [...] BIGGRP3 (,joe31,domain) (,joe32,domain) BIGGROUP BIGGRP1 BIGGRP2 BIGGRP3 - Wiederholen Sie diesen Vorgang, wenn mehr als 225 - (15*15) Benutzer in einer einzigen Netzgruppe - existieren. + Wiederholen Sie diesen Vorgang, wenn mehr als 225 (15*15) + Benutzer in einer einzigen Netzgruppe existieren. Die neue NIS-Map aktivieren und verteilen: @@ -2138,9 +2161,9 @@ BIGGROUP BIGGRP1 BIGGRP2 BIGGRP3 ellington&prompt.root; make Dadurch werden die NIS-Maps netgroup, - netgroup.byhost und - netgroup.byuser erzeugt. Prüfen Sie - die Verfügbarkeit der neuen NIS-Maps mit + netgroup.byhost und + netgroup.byuser erzeugt. Prüfen Sie die + Verfügbarkeit der neuen NIS-Maps mit &man.ypcat.1;: ellington&prompt.user; ypcat -k netgroup @@ -2230,23 +2253,22 @@ ellington&prompt.user; ypcat -k netgroup.byuser SMALLSRV IT_EMP IT_APP ITINTERN USERBOX IT_EMP ITINTERN USERS - Diese Methode funktioniert besonders gut, wenn - Rechner in Gruppen mit identischen Beschränkungen eingeteilt - werden können. Unglücklicherweise ist dies die Ausnahme und - nicht die Regel. Meistens wird die Möglichkeit zur - rechnerspezischen Zugangsbeschränkung benötigt. - + Diese Methode funktioniert besonders gut, wenn Rechner in + Gruppen mit identischen Beschränkungen eingeteilt werden + können. Unglücklicherweise ist dies die Ausnahme und nicht + die Regel. Meistens wird die Möglichkeit zur + rechnerspezischen Zugangsbeschränkung benötigt. Rechnerspezifische Netzgruppen sind eine weitere - Möglichkeit, um mit den oben beschriebenen Änderungen - umzugehen. In diesem Szenario enthält - /etc/master.passwd auf jedem Rechner zwei - mit + beginnende Zeilen. Die erste Zeile - legt die Netzgruppe mit den Benutzern fest, die sich auf diesem - Rechner anmelden dürfen. Die zweite Zeile weist allen - anderen Benutzern /sbin/nologin als Shell - zu. Verwenden Sie auch hier (analog zu den Netzgruppen) - Großbuchstaben für die Rechnernamen: + Möglichkeit, um mit den oben beschriebenen Änderungen + umzugehen. In diesem Szenario enthält + /etc/master.passwd auf jedem Rechner zwei + mit + beginnende Zeilen. Die erste Zeile legt + die Netzgruppe mit den Benutzern fest, die sich auf diesem + Rechner anmelden dürfen. Die zweite Zeile weist allen anderen + Benutzern /sbin/nologin als Shell zu. + Verwenden Sie auch hier (analog zu den Netzgruppen) + Großbuchstaben für die Rechnernamen: +@BOXNAME::::::::: +:::::::::/sbin/nologin @@ -2291,8 +2313,7 @@ ONE SECURITY # # Restrict a machine to a single user TWO (,hotel,test-domain) -# [...more groups to follow] - +# [...more groups to follow] Es ist nicht immer ratsam, rechnerbasierte Netzgruppen zu verwenden. Wenn Dutzende oder Hunderte identische Rechner @@ -2305,7 +2326,7 @@ TWO (,hotel,test-domain) Passwortformate - NIS + NIS Passwortformate @@ -2354,13 +2375,22 @@ TWO (,hotel,test-domain) - - Tom - Rhodes - + + Tom + Rhodes + Geschrieben von + + + + Björn + Heidotting + + Übersetzt von + + LDAP @@ -2396,8 +2426,8 @@ TWO (,hotel,test-domain) LDAP verwendet mehrere Begriffe die Sie verstehen sollten bevor Sie die Konfiguration beginnen. Alle Verzeichniseinträge bestehen aus einer Gruppe von - Attributen. Jede - Attributgruppe enthält einen eindeutigen Bezeichner, der als + Attributen. Jede Attributgruppe enthält + einen eindeutigen Bezeichner, der als distinguished name (DN) bekannt ist. Dieser setzt sich normalerweise aus mehreren anderen Attributen, wie dem @@ -2499,7 +2529,7 @@ result: 0 Success Die nächste Aufgabe besteht darin, einen Zertifikatsregistrierungsanforderung (CSR) - sowie einen privaten Schlüssel zu erstellen. Geben Sie + sowie einen privaten Schlüssel zu erstellen. Geben Sie folgenden Befehl ein und folgen Sie den Anweisungen: &prompt.root; openssl req -days 365 -nodes -new -keyout server.key -out server.csr @@ -2567,7 +2597,7 @@ TLS_CIPHER_SUITE HIGH:MEDIUM:+SSLv3 slappasswd. Als nächstes bearbeiten Sie - /usr/local/etc/openldap/slapd.conf und + /usr/local/etc/openldap/slapd.conf und fügen folgende Zeilen hinzu: password-hash {sha} @@ -2660,7 +2690,7 @@ adding new entry "dc=example,dc=com" adding new entry "cn=Manager,dc=example,dc=com" Stellen Sie mit einer Suche auf dem Server sicher, dass - die Daten importiert wurden. Nutzen Sie dazu + die Daten importiert wurden. Nutzen Sie dazu ldapsearch: &prompt.user; ldapsearch -Z @@ -2707,49 +2737,49 @@ result: 0 Success Dynamic Host Configuration Protocol (<acronym>DHCP</acronym>) - - Dynamic Host Configuration Protocol - DHCP - + + Dynamic Host Configuration Protocol + DHCP + - - Internet Systems Consortium (ISC) - + + Internet Systems Consortium (ISC) + - Das Dynamic Host Configuration Protocol - (DHCP) ermöglicht es einem System, sich mit - einem Netzwerk zu verbinden und die für die Kommunikation mit - diesem Netzwerk nötigen Informationen zu beziehen. &os; - verwendet den von OpenBSD stammenden - dhclient, um die Adressinformationen - zu beziehen. &os; installiert keinen - DHCP-Server, aber es stehen einige Server - in der &os; Ports-Sammlung zu Verfügung. Das - DHCP-Protokoll wird vollständig im - RFC 2131 beschrieben. Eine weitere, lehrreiche - Informationsquelle existiert unter - isc.org/downloads/dhcp/. - - In diesem Abschnitt wird beschrieben, wie der integrierte - DHCP-Client verwendet wird. Anschließend - wird erklärt, wie ein DHCP-Server zu - installieren und konfigurieren ist. + Das Dynamic Host Configuration Protocol + (DHCP) ermöglicht es einem System, sich mit + einem Netzwerk zu verbinden und die für die Kommunikation mit + diesem Netzwerk nötigen Informationen zu beziehen. &os; + verwendet den von OpenBSD stammenden + dhclient, um die Adressinformationen zu + beziehen. &os; installiert keinen + DHCP-Server, aber es stehen einige Server in + der &os; Ports-Sammlung zu Verfügung. Das + DHCP-Protokoll wird vollständig im + RFC 2131 beschrieben. Eine weitere, lehrreiche + Informationsquelle existiert unter + isc.org/downloads/dhcp/. - - Unter &os; wird das Gerät &man.bpf.4; für den - DHCP-Server und den - DHCP-Client benötigt. Das Gerät ist - bereits im GENERIC-Kernel enthalten. - Benutzer, die es vorziehen einen angepassten Kernel zu - erstellen, müssen dieses Gerät behalten, wenn - DHCP verwendet wird. + In diesem Abschnitt wird beschrieben, wie der integrierte + DHCP-Client verwendet wird. Anschließend + wird erklärt, wie ein DHCP-Server zu + installieren und konfigurieren ist. - Es sei darauf hingewiesen, dass bpf - es priviligierten Benutzern ermöglicht einen Paket-Sniffer - auf dem System auszuführen. - + + Unter &os; wird das Gerät &man.bpf.4; für den + DHCP-Server und den + DHCP-Client benötigt. Das Gerät ist + bereits im GENERIC-Kernel enthalten. + Benutzer, die es vorziehen einen angepassten Kernel zu + erstellen, müssen dieses Gerät behalten, wenn + DHCP verwendet wird. + + Es sei darauf hingewiesen, dass bpf + es priviligierten Benutzern ermöglicht einen Paket-Sniffer + auf dem System auszuführen. + Einen <acronym>DHCP</acronym>-Client @@ -2783,103 +2813,100 @@ result: 0 Success erhalten. Eine ausführliche Liste finden Sie in &man.dhcp-options.5;.</para> - <para>Das Gerät <filename>bpf</filename> ist im - <filename>GENERIC</filename>-Kernel bereits enthalten. - Für die Nutzung von <acronym>DHCP</acronym> muss also kein angepasster - Kernel erzeugt werden. In einer angepassten - Kernelkonfigurationsdatei muss das Gerät enthalten sein, - damit <acronym>DHCP</acronym> ordnungsgemäß - funktioniert.</para> + <para>Das Gerät <filename>bpf</filename> ist im + <filename>GENERIC</filename>-Kernel bereits enthalten. Für + die Nutzung von <acronym>DHCP</acronym> muss also kein + angepasster Kernel erzeugt werden. In einer angepassten + Kernelkonfigurationsdatei muss das Gerät enthalten sein, damit + <acronym>DHCP</acronym> ordnungsgemäß funktioniert.</para> + <para>Standardmässig läuft die + <acronym>DHCP</acronym>-Konfiguration bei &os; im Hintergrund + oder auch <firstterm>asynchron</firstterm>. Andere + Startskripte laufen weiter, während <acronym>DHCP</acronym> + fertig abgearbeitet wird, was den Systemstart + beschleunigt.</para> - <para>Standardmässig läuft die <acronym>DHCP</acronym>-Konfiguration - bei &os; im Hintergrund oder auch - <firstterm>asynchron</firstterm>. Andere Startskripte laufen - weiter, während <acronym>DHCP</acronym> fertig abgearbeitet wird, was den - Systemstart beschleunigt.</para> + <para><acronym>DHCP</acronym> im Hintergrund funktioniert gut, + wenn der <acronym>DHCP</acronym>-Server schnell auf Anfragen + der Clients antwortet. Jedoch kann <acronym>DHCP</acronym> + eine lange Zeit benötigen, um auf manchen Systemen fertig zu + werden. Falls Netzwerkdienste gestartet werden, bevor + <acronym>DHCP</acronym> die Informationen und Netzwerkadressen + gesetzt hat, werden diese fehlschlagen. Durch die Verwendung + von <acronym>DHCP</acronym> im + <firstterm>asynchronen</firstterm> Modus wird das Problem + verhindert, so dass die Startskripte pausiert werden, bis die + <acronym>DHCP</acronym>-Konfiguration abgeschlossen + ist.</para> - <para><acronym>DHCP</acronym> im Hintergrund funktioniert - gut, wenn der <acronym>DHCP</acronym>-Server schnell auf - Anfragen der Clients antwortet. Jedoch kann - <acronym>DHCP</acronym> eine lange Zeit benötigen, um auf - manchen Systemen fertig zu werden. Falls Netzwerkdienste - gestartet werden, bevor <acronym>DHCP</acronym> die - Informationen und Netzwerkadressen gesetzt hat, werden - diese fehlschlagen. Durch die Verwendung von - <acronym>DHCP</acronym> im - <firstterm>asynchronen</firstterm> Modus wird das Problem - verhindert, so dass die Startskripte pausiert werden, bis - die <acronym>DHCP</acronym>-Konfiguration abgeschlossen - ist.</para> + <para>Diese Zeile wird in <filename>/etc/rc.conf</filename> + verwendet, um den asynchronen Modus zu aktivieren:</para> - <para>Diese Zeile wird in <filename>/etc/rc.conf</filename> - verwendet, um den asynchronen Modus zu aktivieren:</para> + <programlisting>ifconfig_<replaceable>fxp0</replaceable>="DHCP"</programlisting> - <programlisting>ifconfig_<replaceable>fxp0</replaceable>="DHCP"</programlisting> + <para>Die Zeile kann bereits vorhanden sein, wenn bei der + Installation des Systems <acronym>DHCP</acronym> konfiguriert + wurde. Ersetzen Sie <replaceable>fxp0</replaceable> durch die + entsprechende Schnittstelle. Die dynamische Konfiguration von + Netzwerkkarten wird in <xref + linkend="config-network-setup"/> beschrieben.</para> - <para>Die Zeile kann bereits vorhanden sein, wenn bei der - Installation des Systems <acronym>DHCP</acronym> - konfiguriert wurde. Ersetzen Sie - <replaceable>fxp0</replaceable> durch die entsprechende - Schnittstelle. Die dynamische Konfiguration von - Netzwerkkarten wird in <xref - linkend="config-network-setup"/> beschrieben.</para> + <para>Um stattdessen den synchronen Modus zu verwenden, der + während des Systemstarts pausiert bis die + <acronym>DHCP</acronym>-Konfiguration abgeschlossen ist, + benutzen Sie <quote>SYNCDHCP</quote>:</para> - <para>Um stattdessen den synchronen Modus zu verwenden, der - während des Systemstarts pausiert bis die - <acronym>DHCP</acronym>-Konfiguration abgeschlossen ist, - benutzen Sie <quote>SYNCDHCP</quote>:</para> + <programlisting>ifconfig_<replaceable>fxp0</replaceable>="SYNCDHCP"</programlisting> - <programlisting>ifconfig_<replaceable>fxp0</replaceable>="SYNCDHCP"</programlisting> - - <para>Es stehen weitere Optionen für den Client zur - Verfügung. Suchen Sie in &man.rc.conf.5; nach - <literal>dhclient</literal>, wenn Sie an Einzelheiten - interessiert sind.</para> + <para>Es stehen weitere Optionen für den Client zur Verfügung. + Suchen Sie in &man.rc.conf.5; nach + <literal>dhclient</literal>, wenn Sie an Einzelheiten + interessiert sind.</para> <indexterm> - <primary><acronym>DHCP</acronym></primary> - <secondary>Konfigurationsdateien</secondary> + <primary><acronym>DHCP</acronym></primary> + <secondary>Konfigurationsdateien</secondary> </indexterm> <para>Der <acronym>DHCP</acronym>-Client verwendet die folgenden Dateien:</para> <itemizedlist> - <listitem> - <para><filename>/etc/dhclient.conf</filename></para> + <listitem> + <para><filename>/etc/dhclient.conf</filename></para> - <para>Die Konfigurationsdatei von + <para>Die Konfigurationsdatei von <command>dhclient</command>. Diese Datei enthält normalerweise nur Kommentare, da die Vorgabewerte zumeist ausreichend sind. Diese Konfigurationsdatei wird in &man.dhclient.conf.5; beschrieben.</para> - </listitem> + </listitem> - <listitem> - <para><filename>/sbin/dhclient</filename></para> + <listitem> + <para><filename>/sbin/dhclient</filename></para> <para>Weitere Informationen über dieses Kommando finden Sie in &man.dhclient.8;.</para> - </listitem> + </listitem> - <listitem> - <para><filename>/sbin/dhclient-script</filename></para> + <listitem> + <para><filename>/sbin/dhclient-script</filename></para> - <para>Das &os;-spezifische Konfigurationsskript des - <acronym>DHCP</acronym>-Clients. Es wird in &man.dhclient-script.8; - beschrieben und kann meist unverändert übernommen - werden.</para> - </listitem> + <para>Das &os;-spezifische Konfigurationsskript des + <acronym>DHCP</acronym>-Clients. Es wird in + &man.dhclient-script.8; beschrieben und kann meist + unverändert übernommen werden.</para> + </listitem> - <listitem> - <para><filename>/var/db/dhclient.leases.<replaceable>interface</replaceable></filename></para> + <listitem> + <para><filename>/var/db/dhclient.leases.<replaceable>interface</replaceable></filename></para> - <para>Der <acronym>DHCP</acronym>-Client verfügt über eine + <para>Der <acronym>DHCP</acronym>-Client verfügt über eine Datenbank, die alle derzeit gültigen Leases enthält und als Logdatei erzeugt wird. Diese Datei wird in &man.dhclient.leases.5; beschrieben.</para> - </listitem> + </listitem> </itemizedlist> </sect2> @@ -2887,41 +2914,41 @@ result: 0 Success <title>Einen <acronym>DHCP</acronym>-Server installieren und einrichten - Dieser Abschnitt beschreibt die Einrichtung eines - &os;-Systems als DHCP-Server. Dazu wird - die DHCP-Implementation von ISC (Internet - Systems Consortium) verwendet. Diese Implementation und die - Dokumentation können als Port oder Paket - net/isc-dhcp43-server installiert - werden. - - - DHCP - Server - + Dieser Abschnitt beschreibt die Einrichtung eines + &os;-Systems als DHCP-Server. Dazu wird + die DHCP-Implementation von ISC (Internet + Systems Consortium) verwendet. Diese Implementation und die + Dokumentation können als Port oder Paket + net/isc-dhcp43-server installiert + werden. - - DHCP - installieren - + + DHCP + Server + - Der Port net/isc-dhcp43-server - installiert eine Beispiel-Konfigurationsdatei. Kopieren - Sie /usr/local/etc/dhcpd.conf.example - nach /usr/local/etc/dhcpd.conf und - nehmen Sie die Änderungen an der neuen Datei vor. + + DHCP + installieren + - - DHCP - dhcpd.conf - + Der Port net/isc-dhcp43-server + installiert eine Beispiel-Konfigurationsdatei. Kopieren Sie + /usr/local/etc/dhcpd.conf.example nach + /usr/local/etc/dhcpd.conf und nehmen Sie + die Änderungen an der neuen Datei vor. - Diese Konfigurationsdatei umfasst Deklarationen für - Subnetze und Rechner, die den - DHCP-Cleints zur Verfügung gestellt wird. - Die folgenden Zeilen konfigurieren Folgendes: + + DHCP + dhcpd.conf + - option domain-name "example.org"; + Diese Konfigurationsdatei umfasst Deklarationen für + Subnetze und Rechner, die den DHCP-Cleints + zur Verfügung gestellt wird. Die folgenden Zeilen + konfigurieren Folgendes: + + option domain-name "example.org"; option domain-name-servers ns1.example.org; option subnet-mask 255.255.255.0; @@ -2939,157 +2966,151 @@ host fantasia { fixed-address fantasia.fugue.com; } - - - Diese Option beschreibt die Standardsuchdomäne, - die den Clients zugewiesen wird. Weitere - Informationen finden Sie in - &man.resolv.conf.5;. - + + + Diese Option beschreibt die Standardsuchdomäne, die + den Clients zugewiesen wird. Weitere Informationen finden + Sie in &man.resolv.conf.5;. + - - Diese Option legt eine, durch Kommata getrennte - Liste von DNS-Servern fest, die von - den Clients verwendet werden sollen. Die Server - können über den Namen (FQDN) oder - die IP-Adresse spezifiziert - werden. - + + Diese Option legt eine, durch Kommata getrennte Liste + von DNS-Servern fest, die von den + Clients verwendet werden sollen. Die Server können über + den Namen (FQDN) oder die + IP-Adresse spezifiziert werden. + - - Die den Clients zugewiesene Subnetzmaske. - + + Die den Clients zugewiesene Subnetzmaske. + - - Die Voreinstellung für die Ablaufzeit des Lease in - Sekunden. Ein Client kann diesen Wert in der - Konfiguration überschreiben. - + + Die Voreinstellung für die Ablaufzeit des Lease in + Sekunden. Ein Client kann diesen Wert in der + Konfiguration überschreiben. + - - Die maximale Zeitdauer, für die der Server Leases - vergibt. Sollte ein Client eine längere Zeitspanne - anfordern, wird dennoch nur der Wert - max-lease-time zugewiesen. - + + Die maximale Zeitdauer, für die der Server Leases + vergibt. Sollte ein Client eine längere Zeitspanne + anfordern, wird dennoch nur der Wert + max-lease-time zugewiesen. + - - Die Voreinstellung - deaktiviert dynamische DNS-Updates. - Bei der Einstellung - aktualisiert der DHCP-Server den - DNS-Server, wenn ein Lease vergeben - oder zurückgezogen wurde. Ändern Sie die - Voreinstellung nicht, wenn der Server so konfiguriert - wurde, dynamische DNS-Updates zu - unterstützen. - + + Die Voreinstellung deaktiviert + dynamische DNS-Updates. Bei der + Einstellung aktualisiert der + DHCP-Server den + DNS-Server, wenn ein Lease vergeben + oder zurückgezogen wurde. Ändern Sie die Voreinstellung + nicht, wenn der Server so konfiguriert wurde, dynamische + DNS-Updates zu unterstützen. + - - Diese Zeile erstellt einen Pool der verfügbaren - IP-Adressen, die für die Zuweisung - der DHCP-Clients reserviert sind. - Der Bereich muss für das angegebene Netz oder Subnetz - aus der vorherigen Zeile gültig sein. - + + Diese Zeile erstellt einen Pool der verfügbaren + IP-Adressen, die für die Zuweisung der + DHCP-Clients reserviert sind. Der + Bereich muss für das angegebene Netz oder Subnetz aus der + vorherigen Zeile gültig sein. + - - Legt das Standard-Gateway für das Netz oder - Subnetz fest, das nach der öffnenden Klammer - { gültig ist. - + + Legt das Standard-Gateway für das Netz oder Subnetz + fest, das nach der öffnenden Klammer { + gültig ist. + - - Bestimmt die - Hardware-MAC-Adresse eines Clients, - durch die der DHCP-Server den - Client erkennt, der eine Anforderung an ihn - stellt. - + + Bestimmt die Hardware-MAC-Adresse + eines Clients, durch die der + DHCP-Server den Client erkennt, der + eine Anforderung an ihn stellt. + - - Einem Rechner soll immer die gleiche - IP-Adresse zugewiesen werden. Hier - ist auch ein Rechnername gültig, da der - DHCP-Server den Rechnernamen - auflöst, bevor er das Lease zuweist. - - + + Einem Rechner soll immer die gleiche + IP-Adresse zugewiesen werden. Hier ist + auch ein Rechnername gültig, da der + DHCP-Server den Rechnernamen auflöst, + bevor er das Lease zuweist. + + - Die Konfigurationsdatei unterstützt viele weitere - Optionen. Lesen Sie &man.dhcpd.conf.5;, die mit dem Server - installiert wird, für Details und Beispiele. + Die Konfigurationsdatei unterstützt viele weitere + Optionen. Lesen Sie &man.dhcpd.conf.5;, die mit dem Server + installiert wird, für Details und Beispiele. - Nachdem dhcpd.conf - konfiguriert ist, aktivieren Sie den - DHCP-Server - /etc/rc.conf: + Nachdem dhcpd.conf konfiguriert ist, + aktivieren Sie den DHCP-Server in + /etc/rc.conf: - dhcpd_enable="YES" + dhcpd_enable="YES" dhcpd_ifaces="dc0" - Dabei müssen Sie dc0 durch die - Gerätedatei (mehrere Gerätedateien müssen durch Leerzeichen - getrennt werden) ersetzen, die der - DHCP-Server auf Anfragen von - DHCP-Clients hin überwachen soll. + Dabei müssen Sie dc0 durch die + Gerätedatei (mehrere Gerätedateien müssen durch Leerzeichen + getrennt werden) ersetzen, die der + DHCP-Server auf Anfragen von + DHCP-Clients hin überwachen soll. - Starten Sie den Server mit folgenden Befehl: + Starten Sie den Server mit folgenden Befehl: - &prompt.root; service isc-dhcpd start + &prompt.root; service isc-dhcpd start - Künftige Änderungen an der Konfiguration des Servers - erfordern, dass der Dienst dhcpd gestoppt - und anschließend mit &man.service.8; gestartet wird. + Künftige Änderungen an der Konfiguration des Servers + erfordern, dass der Dienst dhcpd gestoppt + und anschließend mit &man.service.8; gestartet wird. - - DHCP - Konfigurationsdateien - + + DHCP + Konfigurationsdateien + - - - /usr/local/sbin/dhcpd + + + /usr/local/sbin/dhcpd - Weitere Informationen zu - dhcpd finden Sie in - &man.dhcpd.8;. - + Weitere Informationen zu + dhcpd finden Sie in + &man.dhcpd.8;. + - - /usr/local/etc/dhcpd.conf + + /usr/local/etc/dhcpd.conf - Die Konfigurationsdatei des Servers muss alle - Informationen enthalten, die an - die Clients weitergegeben werden soll. Außerdem - sind hier Informationen zur Konfiguration des Servers - enthalten. Diese Konfigurationsdatei wird in - &man.dhcpd.conf.5; beschrieben. - + Die Konfigurationsdatei des Servers muss alle + Informationen enthalten, die an die Clients weitergegeben + werden soll. Außerdem sind hier Informationen zur + Konfiguration des Servers enthalten. Diese + Konfigurationsdatei wird in &man.dhcpd.conf.5; + beschrieben. + - - /var/db/dhcpd.leases + + /var/db/dhcpd.leases - Der DHCP-Server hat eine Datenbank, die alle - vergebenen Leases enthält. Diese wird als Logdatei - erzeugt. &man.dhcpd.leases.5; enthält eine ausführliche - Beschreibung. - + Der DHCP-Server hat eine Datenbank, + die alle vergebenen Leases enthält. Diese wird als + Logdatei erzeugt. &man.dhcpd.leases.5; enthält eine + ausführliche Beschreibung. + - - /usr/local/sbin/dhcrelay + + /usr/local/sbin/dhcrelay - Dieser Daemon wird in - komplexen Umgebungen verwendet, in denen ein - DHCP-Server eine Anfrage eines - Clients an einen DHCP-Server in einem - separaten Netzwerk weiterleitet. Wenn Sie diese - Funktion benötigen, müssen Sie - net/isc-dhcp43-relay installieren. - Weitere Informationen zu diesem Thema finden Sie in - &man.dhcrelay.8;. - - + Dieser Daemon wird in komplexen Umgebungen verwendet, + in denen ein DHCP-Server eine Anfrage + eines Clients an einen DHCP-Server in + einem separaten Netzwerk weiterleitet. Wenn Sie diese + Funktion benötigen, müssen Sie + net/isc-dhcp43-relay installieren. + Weitere Informationen zu diesem Thema finden Sie in + &man.dhcrelay.8;. + + @@ -3105,208 +3126,215 @@ dhcpd_ifaces="dc0" --> Domain Name System (<acronym>DNS</acronym>) - DNS + DNS - DNS ist das für die Umwandlung von - Rechnernamen in IP-Adressen zuständige - Protokoll. Im Internet wird DNS durch ein - komplexes System von autoritativen Root-Nameservern, Top Level - Domain-Servern (TLD) sowie anderen - kleineren Nameservern verwaltet, die individuelle - Domaininformationen speichern und untereinander abgleichen. - Für einfache DNS-Anfragen wird auf dem - lokalen System kein Nameserver benötigt. + DNS ist das für die Umwandlung von + Rechnernamen in IP-Adressen zuständige + Protokoll. Im Internet wird DNS durch ein + komplexes System von autoritativen Root-Nameservern, Top Level + Domain-Servern (TLD) sowie anderen + kleineren Nameservern verwaltet, die individuelle + Domaininformationen speichern und untereinander abgleichen. + Für einfache DNS-Anfragen wird auf dem + lokalen System kein Nameserver benötigt. - BIND + BIND - In &os; 10 wurde Berkeley Internet Name Domain - (BIND) aus dem Basissystem entfernt und - durch Unbound ersetzt. Unbound ist für die lokale - Namensauflösung zuständig. In der Ports-Sammlung ist - BIND immer noch als - dns/bind99 und - dns/bind98 verfügbar und in &os; 9 und - älteren Versionen ist BIND im Basissystem - enthalten. Die Version in &os; bietet erweiterte - Sicherheitsfunktionen, ein neues Dateisystem-Layout und eine - automatisierte &man.chroot.8; Konfiguration. - BIND wird betreut vom - - Internet Systems Consortium. + In &os; 10 wurde Berkeley Internet Name Domain + (BIND) aus dem Basissystem entfernt und + durch Unbound ersetzt. Unbound ist für die lokale + Namensauflösung zuständig. In der Ports-Sammlung ist + BIND immer noch als + dns/bind99 und + dns/bind98 verfügbar und in &os; 9 und + älteren Versionen ist BIND im Basissystem + enthalten. Die Version in &os; bietet erweiterte + Sicherheitsfunktionen, ein neues Dateisystem-Layout und eine + automatisierte &man.chroot.8; Konfiguration. + BIND wird betreut vom Internet Systems + Consortium. - Resolver - Reverse-DNS - Root-Zone + Resolver + + Reverse-DNS + + Root-Zone - Die folgende Tabelle beschreibt einige mit - DNS verbundenen Begriffe: + Die folgende Tabelle beschreibt einige mit + DNS verbundenen Begriffe: - - <acronym>DNS</acronym>-Begriffe - - - +
+ <acronym>DNS</acronym>-Begriffe - - - Begriff + + + - Bedeutung - - + + + Begriff - - - Forward-DNS + Bedeutung + + - Rechnernamen in IP-Adressen - umwandeln. - + + + Forward-DNS - - Origin (Ursprung) + Rechnernamen in IP-Adressen + umwandeln. + - Die in einer bestimmten Zonendatei beschriebene - Domäne. - + + Origin (Ursprung) - - named, BIND + Die in einer bestimmten Zonendatei beschriebene + Domäne. + - Gebräuchliche Namen für das unter &os; - verwendete BIND-Nameserverpaket. - + + named, BIND - - Resolver + Gebräuchliche Namen für das unter &os; verwendete + BIND-Nameserverpaket. + - Ein Systemprozess, durch den ein Rechner - Zoneninformationen von einem Nameserver anfordert. - + + Resolver - - Reverse-DNS + Ein Systemprozess, durch den ein Rechner + Zoneninformationen von einem Nameserver + anfordert. + - die Umwandlung von IP-Adressen in - Rechnernamen - + + Reverse-DNS - - Root-Zone + die Umwandlung von IP-Adressen + in Rechnernamen + - Der Beginn der Internet-Zonenhierarchie. Alle - Zonen befinden sich innerhalb der Root-Zone. Dies ist - analog zu einem Dateisystem, in dem sich alle Dateien - und Verzeichnisse innerhalb des Wurzelverzeichnisses - befinden. - + + Root-Zone - - Zone + Der Beginn der Internet-Zonenhierarchie. Alle + Zonen befinden sich innerhalb der Root-Zone. Dies ist + analog zu einem Dateisystem, in dem sich alle Dateien + und Verzeichnisse innerhalb des Wurzelverzeichnisses + befinden. + - Eine individuelle Domäne, Unterdomäne, - oder ein Teil von DNS, der von der - gleichen Autorität verwaltet wird. - - - -
+ + Zone - - Zonen - Beispiele - + Eine individuelle Domäne, Unterdomäne, oder ein + Teil von DNS, der von der gleichen + Autorität verwaltet wird. + + + + - Es folgen nun einige Zonenbeispiele: + + Zonen + Beispiele + - - - Innerhalb der Dokumentation wird die Root-Zone in der - Regel mit . bezeichnet. - + Es folgen nun einige Zonenbeispiele: - - org. ist eine Top level Domain - (TLD) innerhalb der Root-Zone. - + + + Innerhalb der Dokumentation wird die Root-Zone in der + Regel mit . bezeichnet. + - - example.org. - ist eine Zone innerhalb der - org.-TLD. - + + org. ist eine Top level Domain + (TLD) innerhalb der Root-Zone. + - - 1.168.192.in-addr.arpa. ist die Zone mit - allen IP-Adressen des 192.168.1.*-IP-Bereichs. - - + + example.org. ist eine + Zone innerhalb der + org.-TLD. + - Wie man an diesen Beispielen erkennen kann, befindet sich - der spezifischere Teil eines Rechnernamens auf der linken Seite - der Adresse. example.org. - beschreibt einen Rechner also genauer als org., - während org. genauer als die Root-Zone - ist. Jeder Teil des Rechnernamens hat Ähnlichkeiten mit - einem Dateisystem, in dem etwa /dev dem - Wurzelverzeichnis untergeordnet ist. + + 1.168.192.in-addr.arpa. ist die + Zone mit allen IP-Adressen des Bereichs + 192.168.1.*. + + + + Wie man an diesen Beispielen erkennen kann, befindet sich + der spezifischere Teil eines Rechnernamens auf der linken Seite + der Adresse. example.org. beschreibt + einen Rechner also genauer als org., + während org. genauer als die Root-Zone + ist. Jeder Teil des Rechnernamens hat Ähnlichkeiten mit + einem Dateisystem, in dem etwa /dev dem + Wurzelverzeichnis untergeordnet ist. - Gründe für die Verwendung eines - Nameservers + Gründe für die Verwendung eines Nameservers - Es gibt zwei Arten von Nameservern: Autoritative Nameserver - sowie zwischenspeichernde (cachende, auch bekannt als - auflösende) Nameserver. + Es gibt zwei Arten von Nameservern: Autoritative + Nameserver sowie zwischenspeichernde (cachende, auch bekannt + als auflösende) Nameserver. Ein autoritativer Nameserver ist notwendig, wenn - + Sie anderen verbindliche DNS-Auskünfte erteilen wollen. - + - - eine Domain, beispielsweise - example.org, registriert - wird, und den zu dieser Domain gehörenden Rechnern - IP-Adressen zugewiesen werden - müssen. - + + eine Domain, beispielsweise example.org, + registriert wird, und den zu dieser Domain gehörenden + Rechnern IP-Adressen zugewiesen werden + müssen. + - - ein IP-Adressblock - reverse-DNS-Einträge benötigt, - um IP-Adressen in Rechnernamen - auflösen zu können. - + + ein IP-Adressblock + reverse-DNS-Einträge benötigt, um + IP-Adressen in Rechnernamen auflösen zu + können. + - - ein Backup-Nameserver (auch Slaveserver genannt) oder - ein zweiter Nameserver auf Anfragen antworten soll. - + + ein Backup-Nameserver (auch Slaveserver genannt) oder + ein zweiter Nameserver auf Anfragen antworten soll. + Ein cachender Nameserver ist notwendig, weil - - ein lokaler DNS-Server Daten zwischenspeichern und daher - schneller auf Anfragen reagieren kann als ein entfernter - Server. - + + ein lokaler DNS-Server Daten + zwischenspeichern und daher schneller auf Anfragen + reagieren kann als ein entfernter Server. + - Wird nach www.FreeBSD.org - gesucht, leitet der Resolver diese Anfrage an den Nameserver des - ISPs weiter und nimmt danach das Ergebnis der - Abfrage entgegen. Existiert ein lokaler, zwischenspeichernder - DNS-Server, muss dieser die Anfrage nur einmal - nach außen weitergeben. Für alle weiteren Anfragen - ist dies nicht mehr nötig, da diese Information nun lokal - gespeichert ist. + Wird nach www.FreeBSD.org gesucht, + leitet der Resolver diese Anfrage an den Nameserver des + ISPs weiter und nimmt danach das Ergebnis + der Abfrage entgegen. Existiert ein lokaler, + zwischenspeichernder DNS-Server, muss + dieser die Anfrage nur einmal nach außen weitergeben. Für + alle weiteren Anfragen ist dies nicht mehr nötig, da diese + Information nun lokal gespeichert ist. @@ -3394,113 +3422,116 @@ freebsd.org. (A) 9.X Unter &os; wird der BIND-Daemon als - named bezeichnet. + named bezeichnet. - - - - Datei + + + + Datei - Beschreibung - - + Beschreibung + + - - - named + + + named - Der BIND-Daemon. - + Der BIND-Daemon. + - - &man.rndc.8; + + &man.rndc.8; - Das Steuerprogramm für - named. - + Das Steuerprogramm für + named. + - - /etc/namedb + + /etc/namedb - Das Verzeichnis, in dem sich die Zoneninformationen - für BIND befinden. - + Das Verzeichnis, in dem sich die + Zoneninformationen für BIND befinden. + - - /etc/namedb/named.conf + + /etc/namedb/named.conf - Die Konfigurationsdatei für - named. - - - + Die Konfigurationsdatei für + named. + + + - Je nachdem, wie eine Zone auf dem Server konfiguriert wurde, - finden sich die zur Zone gehörendenden Dateien in den - Unterverzeichnissen master, slave, oder dynamic des Verzeichnisses - /etc/namedb. Diese + Je nachdem, wie eine Zone auf dem Server konfiguriert + wurde, finden sich die zur Zone gehörendenden Dateien in den + Unterverzeichnissen master, + slave, oder dynamic + des Verzeichnisses /etc/namedb. Diese Dateien enthalten die DNS-Informationen, die der Nameserver für die Beantwortung von Anfragen benötigt. - - BIND starten + + BIND starten - - BIND - Start - + + BIND + Start + - Da BIND automatisch installiert wird, ist die Konfiguration - relativ einfach. + Da BIND automatisch installiert wird, ist die + Konfiguration relativ einfach. - In der Voreinstellung wird ein in einer &man.chroot.8;-Umgebung - betriebener named-Server zur einfachen - Namensauflösung eingerichtet, der nur im lokalen - IPv4-Loopback-Adressbereich (127.0.0.1) lauscht. Um den Server - manuell zu starten, verwenden Sie den folgenden Befehl: + In der Voreinstellung wird ein in einer + &man.chroot.8;-Umgebung betriebener + named-Server zur einfachen + Namensauflösung eingerichtet, der nur im lokalen + IPv4-Loopback-Adressbereich (127.0.0.1) lauscht. Um den + Server manuell zu starten, verwenden Sie den folgenden + Befehl: - &prompt.root; service named onestart + &prompt.root; service named onestart - Um den named-Daemon beim - Systemstart automatisch zu starten, fügen Sie folgende - Zeile in /etc/rc.conf ein: + Um den named-Daemon beim + Systemstart automatisch zu starten, fügen Sie folgende + Zeile in /etc/rc.conf ein: - named_enable="YES" + named_enable="YES" - /etc/namedb/named.conf bietet - zahlreiche Konfigurationsoptionen, die in diesem Dokument - nicht alle beschrieben werden können. Weitere Startoptionen - von named unter &os; finden Sie in - den - named_*-Flags in - /etc/defaults/rc.conf sowie in - &man.rc.conf.5;. Zusätzliche Informationen finden Sie im - . - + /etc/namedb/named.conf bietet + zahlreiche Konfigurationsoptionen, die in diesem Dokument + nicht alle beschrieben werden können. Weitere Startoptionen + von named unter &os; finden Sie + in den + named_*-Flags + in /etc/defaults/rc.conf sowie in + &man.rc.conf.5;. Zusätzliche Informationen finden Sie im + . + - - Konfigurationsdateien + + Konfigurationsdateien - - BIND - Konfigurationsdateien - + + BIND + Konfigurationsdateien + - Die Konfigurationsdateien von - named finden sich unter - /etc/namedb und müssen - in der Regel an Ihre Bedürfnisse angepasst werden. Es sei - denn, Sie benötigen nur einen einfachen Resolver. Ein - Großteil der Konfigurationsarbeiten erfolgt dabei in - diesem Verzeichnis. + Die Konfigurationsdateien von + named finden sich unter + /etc/namedb und müssen + in der Regel an Ihre Bedürfnisse angepasst werden. Es sei + denn, Sie benötigen nur einen einfachen Resolver. Ein + Großteil der Konfigurationsarbeiten erfolgt dabei in + diesem Verzeichnis. - - <filename>/etc/namedb/named.conf</filename> + + <filename>/etc/namedb/named.conf</filename> - // $FreeBSD$ + // $FreeBSD$ // // Refer to the named.conf(5) and named(8) man pages, and the documentation // in /usr/share/doc/bind9 for more details. @@ -3554,26 +3585,26 @@ options { // the entries in /etc/resolv.conf, uncomment the following line and // set named_auto_forward=yes in /etc/rc.conf. You can also enable // named_auto_forward_only (the effect of which is described above). -// include "/etc/namedb/auto_forward.conf"; - +// include "/etc/namedb/auto_forward.conf"; - Um vom Cache Ihres Internetproviders zu profitieren, - können hier forwarders aktiviert - werden. Normalerweise sucht ein Nameserver das Internet - rekursiv ab, bis er die gesuchte Antwort findet. Durch - diese Option wird stets der Nameserver Ihres - Internetproviders zuerst abgefragt, um von dessen - Cache zu profitieren. Wenn es sich um einen schnellen, - viel benutzten Nameserver handelt, kann dies zu einer - Geschwindigkeitssteigerung führen. + Um vom Cache Ihres Internetproviders zu profitieren, + können hier forwarders aktiviert + werden. Normalerweise sucht ein Nameserver das Internet + rekursiv ab, bis er die gesuchte Antwort findet. Durch + diese Option wird stets der Nameserver des + Internetproviders zuerst abgefragt, um von dessen + Cache zu profitieren. Wenn es sich um einen schnellen, + viel benutzten Nameserver handelt, kann dies zu einer + Geschwindigkeitssteigerung führen. - - 127.0.0.1 funktioniert - hier nicht. Ändern Sie diese - Adresse in einen Nameserver des Einwahlproviders. - + + 127.0.0.1 + funktioniert hier nicht. Ändern + Sie diese Adresse in einen Nameserver des + Einwahlproviders. + - /* + /* Modern versions of BIND use a random UDP port for each outgoing query by default in order to dramatically reduce the possibility of cache poisoning. All users are strongly encouraged to utilize @@ -3814,56 +3845,57 @@ zone "1.168.192.in-addr.arpa" { }; */ - Hierbei handelt es sich um Slave-Einträge für - eine Reverse- und Forward-DNS-Zone, die in der Datei - named.conf definiert sind. + Hierbei handelt es sich um Slave-Einträge für + eine Reverse- und Forward-DNS-Zone, die in der Datei + named.conf definiert sind. - Für jede neue Zone muss ein zusätzlicher Eintrag - in named.conf erstellt werden. + Für jede neue Zone muss ein zusätzlicher Eintrag + in named.conf erstellt werden. - Ein einfacher Eintrag für eine Zone - example.org könnte - beispielsweise so aussehen: + Ein einfacher Eintrag für eine Zone example.org könnte + beispielsweise so aussehen: - zone "example.org" { + zone "example.org" { type master; file "master/example.org"; -}; +}; - Die Option legt fest, dass es sich - um eine Master-Zone handelt, deren Zoneninformationen sich in - der Datei /etc/namedb/master/example.org - befinden. Diese Datei wird durch die Option - festgelegt. + Die Option legt fest, dass es + sich um eine Master-Zone handelt, deren Zoneninformationen + sich in der Datei + /etc/namedb/master/example.org + befinden. Diese Datei wird durch die Option + festgelegt. - zone "example.org" { + zone "example.org" { type slave; file "slave/example.org"; -}; +}; - Hier handelt es sich um einen Slaveserver, der seine - Informationen vom Masterserver der betreffenden Zone bezieht - und diese in der angegebenen Datei speichert. Wenn der - Masterserver nicht erreichbar ist, verfügt der - Slaveserver über die transferierten Zoneninformationen - und kann diese an andere Rechner weitergeben. - + Hier handelt es sich um einen Slaveserver, der seine + Informationen vom Masterserver der betreffenden Zone + bezieht und diese in der angegebenen Datei speichert. + Wenn der Masterserver nicht erreichbar ist, verfügt der + Slaveserver über die transferierten Zoneninformationen + und kann diese an andere Rechner weitergeben. + - - Zonendateien + + Zonendateien - - BIND - Zonendatei - + + BIND + Zonendatei + - Die in der Datei - /etc/namedb/master/example.org definierte - Zonendatei für - example.org könnte - etwa so aussehen: + Die in der Datei + /etc/namedb/master/example.org + definierte Zonendatei für example.org könnte + etwa so aussehen: - $TTL 3600 ; 1 hour default TTL + $TTL 3600 ; 1 hour default TTL example.org. IN SOA ns1.example.org. admin.example.org. ( 2006051501 ; Serial 10800 ; Refresh @@ -3892,193 +3924,200 @@ mail IN A 192.168.1.5 ; Aliases www IN CNAME example.org. - Beachten Sie, dass jeder mit einem . - endende Rechnername ein exakter Rechnername ist, während - sich alles ohne einen abschließenden . - relativ auf den Ursprung bezieht. ns1 - steht daher beispielsweise für - ns1.example.org.. + Beachten Sie, dass jeder mit einem . + endende Rechnername ein exakter Rechnername ist, während + sich alles ohne einen abschließenden . + relativ auf den Ursprung bezieht. ns1 + steht daher beispielsweise für + ns1.example.org.. - Eine Zonendatei hat folgenden Aufbau: + Eine Zonendatei hat folgenden Aufbau: - recordname IN recordtype value + recordname IN recordtype value - - DNS - Einträge - + + DNS + Einträge + - Die am häufigsten verwendeten - DNS-Einträge sind: + Die am häufigsten verwendeten + DNS-Einträge sind: - - - SOA + + + SOA - - Start der Zonenautorität - - + + Start der Zonenautorität + + - - NS + + NS - - Ein autoritativer Nameserver - - + + Ein autoritativer Nameserver + + - - A + + A - Eine Rechneradresse - + Eine Rechneradresse + - - CNAME + + CNAME - - Der kanonische Name eines Alias - - + + Der kanonische Name eines Alias + + - - MX + + MX - Mail Exchanger - + Mail Exchanger + - - PTR + + PTR - - Ein (bei Reverse-DNS verwendeter) Domain Name - Pointer - - - + + Ein (bei Reverse-DNS verwendeter) Domain Name + Pointer + + + - example.org. IN SOA ns1.example.org. admin.example.org. ( + example.org. IN SOA ns1.example.org. admin.example.org. ( 2006051501 ; Serial 10800 ; Refresh after 3 hours 3600 ; Retry after 1 hour 604800 ; Expire after 1 week 300 ) ; Negative Response TTL - - - example.org. + + + example.org. - Der Name der Domäne und damit der - Ursprung dieser Zonendatei. - - + + Der Name der Domäne und damit der Ursprung + dieser Zonendatei. + + - - ns1.example.org. + + ns1.example.org. - Der primäre/autoritative Nameserver - dieser Zone. - - + + Der primäre/autoritative Nameserver + dieser Zone. + + - - admin.example.org. + + admin.example.org. - Die für diese Zone verantwortliche - Person. Das Zeichen @ wird dabei - ersetzt (admin@example.org wird also zu - admin.example.org). - - + + Die für diese Zone verantwortliche + Person. Das Zeichen @ wird dabei + ersetzt (admin@example.org wird also + zu admin.example.org). + + - - 2006051501 + + 2006051501 - Die Seriennummer der Datei. Sie muss - stets inkrementiert werden, wenn die Zonendatei - geändert wird. Viele Administratoren bevorzugen - ein JJJJMMTTRR-Format, um die - Seriennummer festzulegen. - 2006051501 steht also für - den 15.05.2006, die beiden letzten Stellen für die - erste Modifikation der Zonendatei an diesem Tag. Die - Seriennummer ist von großer Bedeutung, da - Slaveserver daran eine aktualisierte Zonendatei erkennen - können. - - - + + Die Seriennummer der Datei. Sie muss + stets inkrementiert werden, wenn die Zonendatei + geändert wird. Viele Administratoren bevorzugen + ein JJJJMMTTRR-Format, um die + Seriennummer festzulegen. + 2006051501 steht also für + den 15.05.2006, die beiden letzten Stellen für die + erste Modifikation der Zonendatei an diesem Tag. + Die Seriennummer ist von großer Bedeutung, da + Slaveserver daran eine aktualisierte Zonendatei + erkennen können. + + + - - IN NS ns1.example.org. + IN NS ns1.example.org. - Ein NS-Eintrag. Jeder Nameserver, der für eine Zone - verantwortlich ist, muss über einen solchen Eintrag - verfügen. + Ein NS-Eintrag. Jeder Nameserver, der für eine Zone + verantwortlich ist, muss über einen solchen Eintrag + verfügen. - - localhost IN A 127.0.0.1 - ns1 IN A 192.168.1.2 - ns2 IN A 192.168.1.3 - mx IN A 192.168.1.4 - mail IN A 192.168.1.5 + localhost IN A 127.0.0.1 +ns1 IN A 192.168.1.2 +ns2 IN A 192.168.1.3 +mx IN A 192.168.1.4 +mail IN A 192.168.1.5 - Der Eintrag A bezieht sich auf - Rechnernamen. ns1.example.org - würde also zu 192.168.1.2 - aufgelöst werden. + Der Eintrag A bezieht sich auf + Rechnernamen. ns1.example.org würde + also zu 192.168.1.2 aufgelöst + werden. - - IN A 192.168.1.1 + IN A 192.168.1.1 - Diese Zeile weist die IP-Adresse - 192.168.1.1 dem aktuellen - Ursprung, in unserem Fall also - example.org, zu. + Diese Zeile weist die IP-Adresse + 192.168.1.1 dem + aktuellen Ursprung, in diesem Fall also example.org, + zu. - - www IN CNAME @ + www IN CNAME @ - Der Eintrag für den kanonischen Namen wird dazu - verwendet, Aliase für einen Rechner zu vergeben. Im - Beispiel ist www ein Alias für den - Master-Rechner, dessen Name dem Domainnamen - example.org (oder - 192.168.1.1) entspricht. - CNAMEs können daher niemals gleichzeitig mit einem - anderen Eintrag für denselben Hostname eingerichtet - werden. + Der Eintrag für den kanonischen Namen wird dazu + verwendet, Aliase für einen Rechner zu vergeben. Im + Beispiel ist www ein Alias für + den Master-Rechner, dessen Name dem + Domainnamen example.org (oder + 192.168.1.1) + entspricht. CNAMEs können daher niemals gleichzeitig mit + einem anderen Eintrag für denselben Hostname eingerichtet + werden. - - MX-Eintrag - + + MX-Eintrag + - - IN MX 10 mail.example.org. + IN MX 10 mail.example.org. - Der MX-Eintrag legt fest, welcher Mailserver für - eintreffende Mails der Zone verantwortlich ist. - mail.example.org ist der - Rechnername des Mailservers, der eine Priorität von 10 - hat. + Der MX-Eintrag legt fest, welcher Mailserver für + eintreffende Mails der Zone verantwortlich ist. + mail.example.org ist + der Rechnername des Mailservers, der eine Priorität von 10 + hat. - Es können auch mehrere Mailserver mit verschiedener - Priorität (10, 20, ...) vorhanden sein. Ein Mailserver, - der eine Mail an example.org - verschicken will, verwendet zuerst den MX mit der höchsten - Priorität (das heißt den mit der niedrigsten - Prioritätsnummer), danach den mit der - nächsthöheren Priorität. Und dies solange, - bis die E-Mail zugestellt werden kann. + Es können auch mehrere Mailserver mit verschiedener + Priorität (10, 20, ...) vorhanden sein. Ein Mailserver, + der eine Mail an example.org + verschicken will, verwendet zuerst den MX mit der höchsten + Priorität (das heißt den mit der niedrigsten + Prioritätsnummer), danach den mit der nächsthöheren + Priorität. Und dies solange, bis die E-Mail zugestellt + werden kann. - Für (bei Reverse-DNS verwendete) - in-addr.arpa-Zonendateien wird das gleiche - Format verwendet. Der einzige Unterschied besteht in der - Verwendung der Option PTR an Stelle der Optionen A und - CNAME. + Für (bei Reverse-DNS verwendete) + in-addr.arpa-Zonendateien wird das + gleiche Format verwendet. Der einzige Unterschied besteht + in der Verwendung der Option PTR an Stelle der Optionen A + und CNAME. - $TTL 3600 + $TTL 3600 1.168.192.in-addr.arpa. IN SOA ns1.example.org. admin.example.org. ( 2006051501 ; Serial @@ -4096,103 +4135,116 @@ www IN CNAME example.org. 4 IN PTR mx.example.org. 5 IN PTR mail.example.org. - Durch diese Datei werden den Rechnernamen der fiktiven - Domäne IP-Adressen zugewiesen. + Durch diese Datei werden den Rechnernamen der fiktiven + Domäne IP-Adressen zugewiesen. - Beachten Sie bitte, dass es sich bei allen Namen auf der - rechten Seite eines PTR-Eintrags um absolute - (fully qualified) Domainnamen handeln - muss, die mit . enden. - - + Beachten Sie bitte, dass es sich bei allen Namen auf + der rechten Seite eines PTR-Eintrags um absolute + (fully qualified) Domainnamen handeln + muss, die mit . enden. + + - - Zwischenspeichernde (cachende) Nameserver + + Zwischenspeichernde (cachende) Nameserver - - BIND - Zwischenspeichernde Nameserver - + + BIND + Zwischenspeichernde Nameserver + - Ein cachender Nameserver hat primär die Aufgabe, - rekursive Abfragen aufzulösen. Er stellt lediglich - eigene Anfragen und speichert deren Ergebnisse ab. - + Ein cachender Nameserver hat primär die Aufgabe, + rekursive Abfragen aufzulösen. Er stellt lediglich + eigene Anfragen und speichert deren Ergebnisse ab. + - - <acronym role="Doman Name Security Extensions">DNSSEC</acronym> - - BIND - DNS security extensions - + + <acronym role="Doman Name Security Extensions"> + DNSSEC</acronym> - Domain Name System Security Extensions, oder kurz DNSSEC, ist eine - Sammlung von Spezifikationen, um auflösende Nameserver von - gefälschten DNS-Daten, wie beispielsweise - vorgetäuschte DNS-Einträge, zu - schützen. Durch die Verwendung von digitalen Signaturen kann - ein Resolver die Integrität des Eintrages - überprüfen. Wichtig dabei ist, dass DNSSEC nur die - Integrität über digital signierte Resource Records - (RRe) bereitstellt. - Weder wird die Vertraulichkeit noch der Schutz vor falschen - Annahmen des Endbenutzers sichergestellt. Dies bedeutet, dass es - Leute nicht davor schützen kann, zu example.net anstatt zu example.com zu gelangen. Das - einzige, was DNSSEC tut, ist die - Authentifizierung, dass die Daten während der - Übertragung nicht verändert wurden. Die Sicherheit von - DNS ist ein wichtiger Schritt in der - generellen Absicherung des Internets. Für weitere, - tiefergehende Details über die Funktionsweise von - DNSSEC sind die dazugehörigen - RFCs ein guter Einstieg in die Thematik. Sehen - Sie sich dazu die Liste in an. + + BIND + DNS security + extensions + - Der folgende Abschnitt wird zeigen, wie man - DNSSEC für einen autoritativen - DNS-Server und einen rekursiven (oder cachenden) - DNS-Server, der jeweils - BIND 9 verwenden, einrichten kann. Obwohl alle - Versionen von BIND 9 DNSSEC - unterstützen, ist es notwendig, mindestens die Version 9.6.2 - zu verwenden, um in der Lage zu sein, die signierten Root-Zonen zu - benutzen, wenn DNS-Abfragen geprüft - werden. Der Grund dafür ist, dass früheren Versionen - die Algorithmen fehlen, um die Überprüfung des - Root-Zonenschlüssels zu aktivieren. Es wird dringend empfohlen, - die letzte Version von BIND 9.7 oder höher - einzusetzen, um von den Vorteilen der automatischen - Schlüsselaktualisierung des Root-Zonenschlüssels - Gebrauch zu machen, genauso wie andere Eigenschaften, um - automatisch Zonen signieren zu lassen und Signaturen aktuell zu - halten. Unterschiede zwischen den Versionen 9.6.2 und 9.7 und - höher werden an den betreffenden Stellen angesprochen. + Domain Name System Security Extensions, oder kurz + DNSSEC, + ist eine Sammlung von Spezifikationen, um auflösende + Nameserver von gefälschten DNS-Daten, wie + beispielsweise vorgetäuschte + DNS-Einträge, zu schützen. Durch die + Verwendung von digitalen Signaturen kann ein Resolver die + Integrität des Eintrages überprüfen. Wichtig dabei ist, + dass DNSSEC + nur die Integrität über digital signierte Resource Records + (RR) + bereitstellt. Weder wird die Vertraulichkeit noch der + Schutz vor falschen Annahmen des Endbenutzers + sichergestellt. Dies bedeutet, dass es Benutzer nicht davor + schützen kann, zu example.net anstatt zu + example.com zu + gelangen. Das einzige, was DNSSEC tut, + ist die Authentifizierung, dass die Daten während der + Übertragung nicht verändert wurden. Die Sicherheit von + DNS ist ein wichtiger Schritt in der + generellen Absicherung des Internets. Für weitere, + tiefergehende Details über die Funktionsweise von + DNSSEC sind die dazugehörigen + RFCs ein guter Einstieg in die Thematik. + Sehen Sie sich dazu die Liste in + an. - - Rekursive <acronym>DNS</acronym>-Server Konfiguration + Der folgende Abschnitt wird zeigen, wie man + DNSSEC für einen autoritativen + DNS-Server und einen rekursiven (oder + cachenden) DNS-Server, der jeweils + BIND 9 verwenden, einrichten kann. + Obwohl alle Versionen von BIND 9 + DNSSEC unterstützen, ist es notwendig, + mindestens die Version 9.6.2 zu verwenden, um in der Lage zu + sein, die signierten Root-Zonen zu benutzen, wenn + DNS-Abfragen geprüft werden. Der Grund + dafür ist, dass früheren Versionen die Algorithmen fehlen, + um die Überprüfung des Root-Zonenschlüssels zu aktivieren. + Es wird dringend empfohlen, die letzte Version von + BIND 9.7 oder höher einzusetzen, um von + den Vorteilen der automatischen Schlüsselaktualisierung des + Root-Zonenschlüssels Gebrauch zu machen, genauso wie andere + Eigenschaften, um automatisch Zonen signieren zu lassen und + Signaturen aktuell zu halten. Unterschiede zwischen den + Versionen 9.6.2 und 9.7 und höher werden an den betreffenden + Stellen angesprochen. - Die Aktivierung der - DNSSEC-Überprüfung von Anfragen, - die von einem rekursiven DNS-Server - stammen, benötigt ein paar Änderungen in der - named.conf. Bevor man jedoch diese - Änderungen durchführt, muss der - Root-Zonenschlüssel oder Vertrauensanker erworben werden. - Momentan ist der Root-Zonenschlüssel nicht in einem - Dateiformat verfügbar, dass von BIND - benutzt werden kann, so dass dieser manuell in das richtige - Format konvertiert werden muss. Der Schlüssel selbst kann - durch Abfrage an die Root-Zone erhalten werden, indem man dazu - dig verwendet. Durch Aufruf - von + + Rekursive <acronym>DNS</acronym>-Server + Konfiguration - &prompt.user; dig +multi +noall +answer DNSKEY . > root.dnskey + Die Aktivierung der + DNSSEC-Überprüfung von Anfragen, die + von einem rekursiven DNS-Server + stammen, benötigt ein paar Änderungen in der + named.conf. Bevor man jedoch diese + Änderungen durchführt, muss der Root-Zonenschlüssel oder + Vertrauensanker erworben werden. Momentan ist der + Root-Zonenschlüssel nicht in einem Dateiformat verfügbar, + dass von BIND benutzt werden kann, so + dass dieser manuell in das richtige Format konvertiert + werden muss. Der Schlüssel selbst kann durch Abfrage an + die Root-Zone erhalten werden, indem man dazu + dig verwendet. Durch Aufruf + von: - wird der Schlüssel in - root.dnskey abgelegt. Der Inhalt sollte - so ähnlich wie folgt aussehen: + &prompt.user; dig +multi +noall +answer DNSKEY . > root.dnskey - . 93910 IN DNSKEY 257 3 8 ( + wird der Schlüssel in root.dnskey + abgelegt. Der Inhalt sollte so ähnlich wie folgt + aussehen: + + . 93910 IN DNSKEY 257 3 8 ( AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQ bSEW0O8gcCjFFVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh /RStIoO8g0NfnfL2MTJRkxoXbfDaUeVPQuYEhg37NZWA @@ -4209,58 +4261,68 @@ www IN CNAME example.org. EGJ/1h6dNaiXuRHwR+7oWh7DnzkIJChcTqlFrXDW3tjt ) ; key id = 34525 - Seien Sie nicht alarmiert, wenn der von Ihnen bezogene - Schlüssel anders als in diesem Beispiel aussieht. Diese - könnten sich in der Zwischenzeit geändert haben. In - dieser Ausgabe sind eigentlich zwei Schlüssel enthalten. - Der erste Schüssel mit dem Wert 257 nach dem - DNSKEY-Eintrag ist derjenige, der benötigt wird. Der - Wert zeigt an, dass es sich um einen sicheren Einstiegspunkt - (SEP), gemein - auch als Schlüsselsignierungsschlüssel (KSK) bekannt, handelt. Der - zweite Schüssel mit dem Wert 256 ist der untergeordnete - Schlüssel, im allgemeinen auch als - Zonen-Signaturschlüssel (ZSK) bezeichnet. Weitere - Schlüsselarten werden später in erläutert. + Seien Sie nicht alarmiert, wenn der von Ihnen bezogene + Schlüssel anders als in diesem Beispiel aussieht. Diese + könnten sich in der Zwischenzeit geändert haben. In + dieser Ausgabe sind eigentlich zwei Schlüssel enthalten. + Der erste Schüssel mit dem Wert 257 nach dem + DNSKEY-Eintrag ist derjenige, der benötigt wird. Der Wert + zeigt an, dass es sich um einen sicheren Einstiegspunkt + (SEP), gemein + auch als Schlüsselsignierungsschlüssel (KSK) bekannt, handelt. + Der zweite Schüssel mit dem Wert 256 ist der + untergeordnete Schlüssel, im allgemeinen auch als + Zonen-Signaturschlüssel (ZSK) bezeichnet. + Weitere Schlüsselarten werden später in erläutert. - Nun muss der Schlüssel verifiziert und so formatiert - werden, dass BIND diesen verwenden kann. - Um den Schlüssel zu verifizieren, erzeugen Sie einen - DS RR-Satz. Erstellen Sie eine - Datei, welche die RRs enthält, - mittels + Nun muss der Schlüssel verifiziert und so formatiert + werden, dass BIND diesen verwenden + kann. Um den Schlüssel zu verifizieren, erzeugen Sie + einen DS + RR-Satz. + Erstellen Sie eine Datei, welche die RRs enthält, + mittels: - &prompt.user; dnssec-dsfromkey -f root.dnskey . > root.ds + &prompt.user; dnssec-dsfromkey -f root.dnskey . > root.ds - Diese Einträge verwenden SHA-1 sowie SHA-256 und - sollten ähnlich zu folgendem Beispiel aussehen, in dem - der längere, SHA-256, benutzt wird. + Diese Einträge verwenden SHA-1 sowie SHA-256 und + sollten ähnlich zu folgendem Beispiel aussehen, in dem + der längere, SHA-256, benutzt wird. - . IN DS 19036 8 1 B256BD09DC8DD59F0E0F0D8541B8328DD986DF6E + . IN DS 19036 8 1 B256BD09DC8DD59F0E0F0D8541B8328DD986DF6E . IN DS 19036 8 2 49AAC11D7B6F6446702E54A1607371607A1A41855200FD2CE1CDDE32F24E8FB5 - Der SHA-256 RR kann nun mit dem Abriss - in https://data.iana.org/root-anchors/root-anchors.xml verglichen werden. Um - absolut sicher zu sein, dass der Schlüssel nicht - zusammen mit den XML-Daten verändert - wurde, kann die Datei mittels der PGP - Signatur in https://data.iana.org/root-anchors/root-anchors.asc überprüft werden. + Der SHA-256 RR kann nun mit dem + Abriss in + https://data.iana.org/root-anchors/root-anchors.xml + verglichen werden. Um absolut sicher zu sein, dass der + Schlüssel nicht zusammen mit den + XML-Daten verändert wurde, kann die + Datei mittels der PGP-Signatur in + https://data.iana.org/root-anchors/root-anchors.asc + überprüft werden. - Als nächstes muss der Schlüssel in das passende - Format gebracht werden. Dies unterscheidet sich ein bisschen - von den BIND Versionen 9.6.2 und 9.7 und - höhere. In Version 9.7 wurde die Ünterstützung - zur automatischen Verfolgung und notwendigen Aktualisierung - von Änderungen am Schlüssel eingebaut. Dies wird - durch den Einsatz von managed-keys - erreicht, wie in dem Beispiel unten gezeigt ist. Wenn die - ältere Version eingesetzt wird, kann der Schlüssel - durch eine trusted-keys-Anweisung eingebaut - werden und die Aktualisierung muss händisch erfolgen. - In BIND 9.6.2 sollte das Format - folgendermassen aussehen: + Als nächstes muss der Schlüssel in das passende Format + gebracht werden. Dies unterscheidet sich ein bisschen von + den BIND Versionen 9.6.2 und 9.7 und + höhere. In Version 9.7 wurde die Ünterstützung zur + automatischen Verfolgung und notwendigen Aktualisierung + von Änderungen am Schlüssel eingebaut. Dies wird durch + den Einsatz von managed-keys erreicht, + wie in dem Beispiel unten gezeigt ist. Wenn die ältere + Version eingesetzt wird, kann der Schlüssel durch eine + trusted-keys-Anweisung eingebaut werden + und die Aktualisierung muss händisch erfolgen. In + BIND 9.6.2 sollte das Format + folgendermaßen aussehen: - trusted-keys { + trusted-keys { "." 257 3 8 "AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjF FVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoX @@ -4271,10 +4333,10 @@ www IN CNAME example.org. QxA+Uk1ihz0="; }; - In 9.7 wird das Format stattdessen wie folgt - aussehen: + In 9.7 wird das Format stattdessen wie folgt + aussehen: - managed-keys { + managed-keys { "." initial-key 257 3 8 "AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjF FVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoX @@ -4285,207 +4347,224 @@ www IN CNAME example.org. QxA+Uk1ihz0="; }; - Der Root-Schlüssel kann nun zu - named.conf hinzugefügt werden, - entweder direkt oder durch Inkludierung der Datei, die den - Schlüssel enthält. Nachdem diese Schritte - absolviert sind, muss BIND konfiguriert - werden, um DNSSEC-Validierung für - Anfragen durchzuführen, indem - named.conf bearbeitet und die folgende - options-Direktive hinzugefügt - wird: + Der Root-Schlüssel kann nun zu + named.conf hinzugefügt werden, + entweder direkt oder durch Inkludierung der Datei, die den + Schlüssel enthält. Nachdem diese Schritte absolviert + sind, muss BIND konfiguriert werden, um + DNSSEC-Validierung für Anfragen + durchzuführen, indem named.conf + bearbeitet und die folgende + options-Direktive hinzugefügt + wird: - dnssec-enable yes; + dnssec-enable yes; dnssec-validation yes; - Um zu prüfen, dass es tatsächlich funktioniert, - benutzen Sie dig, um eine Anfrage - zu einer signierten Zone durch den Resolver, der gerade - konfiguriert wurde, zu stellen. Eine erfolgreiche Antwort - wird den AD-Eintrag aufweisen, um - anzudeuten, dass die Daten authentisiert sind. Eine Anfrage - wie + Um zu prüfen, dass es tatsächlich funktioniert, + benutzen Sie dig, um eine + Anfrage zu einer signierten Zone durch den Resolver, der + gerade konfiguriert wurde, zu stellen. Eine erfolgreiche + Antwort wird den AD-Eintrag aufweisen, + um anzudeuten, dass die Daten authentisiert sind. Eine + Anfrage wie: - &prompt.user; dig @resolver +dnssec se ds + &prompt.user; dig @resolver +dnssec se ds - sollte den DS RR - für die .se-Zone zurückgeben. In - dem Abschnitt flags: sollte der - AD-Eintrag gesetzt sein, wie im folgenden - zu sehen ist: + sollte den DS RR + für die .se-Zone zurückgeben. In dem + Abschnitt flags: sollte der + AD-Eintrag gesetzt sein, wie im + folgenden zu sehen ist: - ... + ... ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1 ... - Der Resolver ist nun in der Lage, Anfragen ans - DNS zu authentisieren. + Der Resolver ist nun in der Lage, Anfragen ans + DNS zu authentisieren. + - + + Autoritative <acronym>DNS</acronym>-Server + Konfiguration - - Autoritative <acronym>DNS</acronym>-Server - Konfiguration + Um einen autoritativen Nameserver dazu zu bringen, als + eine DNSSEC-signierte Zone zu + fungieren, ist ein wenig mehr Aufwand nötig. Eine Zone + ist durch kryptographische Schlüssel signiert, die erzeugt + werden müssen. Es ist möglich, nur einen Schlüssel dazu + zu verwenden. Die vorgeschlagene Methode ist jedoch, + einen starken, gut geschützten + Schlüsselsignierungsschlüssel (KSK) einzusetzen, der + nicht oft gewechselt wird und einen + Zonensignierungsschlüssel (ZSK), der öfter + ausgewechselt wird. Informationen zu vorgeschlagenen + Einsatzszenarien können in RFC + 4641: DNSSEC Operational Practices + nachgelesen werden. Einsatzszenarien, welche die + Root-Zone betreffen, finden Sie in DNSSEC Practice + Statement for the Root Zone KSK + operator sowie DNSSEC Practice + Statement for the Root Zone ZSK + operator. Der KSK wird dazu + verwendet, um eine Kette von Autorität für die Daten, die + diese Validierung benötigen, zu erschaffen und wird als + solche auch als sicherer Einstiegspunkt (SEP)-Schlüssel + bezeichnet. Ein Nachrichtenabriss dieses Schlüssels, der + auch Delegation Signer (DS)-Eintrag genannt + wird, muss in der Elternzone veröffentlicht werden, um die + Vertrauenskette herzustellen. Wie dies erreicht wird, + hängt von dem Besitzer der Elternzone ab. Der ZSK wird verwendet, um + die Zone zu signieren und muss nur dort öffentlich + zugänglich gemacht werden. - Um einen autoritativen Nameserver dazu zu bringen, als - eine DNSSEC-signierte Zone zu fungieren, - ist ein wenig mehr Aufwand nötig. Eine Zone ist durch - kryptographische Schlüssel signiert, die erzeugt werden - müssen. Es ist möglich, nur einen Schlüssel - dazu zu verwenden. Die vorgeschlagene Methode ist jedoch, - einen starken, gut geschützten - Schlüsselsignierungsschlüssel (KSK) einzusetzen, der nicht - oft gewechselt wird und einen Zonensignierungsschlüssel - (ZSK), der - öfter ausgewechselt wird. Informationen zu - vorgeschlagenen Einsatzarten können in RFC - 4641: DNSSEC Operational Practices - nachgelesen werden. Einsatzszenarien, welche die Root-Zone - betreffen, finden Sie in DNSSEC Practice Statement for the Root Zone - KSK operator sowie DNSSEC Practice Statement for the Root Zone - ZSK operator. Der KSK wird dazu verwendet, um - eine Kette von Autorität für die Daten, die diese - Validierung benötigen, zu erschaffen und wird als solche - auch als sicherer Einstiegspunkt (SEP)-Schlüssel - bezeichnet. Ein Nachrichtenabriss dieses Schlüssels, - der auch Delegation Signer (DS)-Eintrag genannt wird, - muss in der Elternzone veröffentlicht werden, um die - Vertrauenskette herzustellen. Wie dies erreicht wird, - hängt von dem Besitzer der Elternzone ab. Der ZSK wird verwendet, um die - Zone zu signieren und muss nur dort öffentlich - zugänglich gemacht werden. + Um DNSSEC für die example.com-Zone, + welche in den vorherigen Beispielen verwendet wird, zu + aktivieren, muss als erster Schritt + dnssec-keygen benutzt werden, + um das KSK- und + ZSK-Schlüsselpaar zu generieren. + Dieses Schlüsselpaar kann unterschiedliche + kryptographische Algorithmen nutzen. Es wird empfohlen, + RSA/SHA256 für die Schlüssel zu nutzen. Eine + Schlüssellänge von 2048 Bits sollte genügen. Um den + KSK für example.com zu + generieren, geben Sie: - Um DNSSEC für die example.com-Zone, welche in den - vorherigen Beispielen verwendet wird, zu aktivieren, muss - als erster Schritt dnssec-keygen - benutzt werden, um das KSK und - ZSK Schlüsselpaar zu generieren. - Dieses Schlüsselpaar kann unterschiedliche - kryptographische Algorithmen nutzen. Es wird empfohlen, - RSA/SHA256 für die Schlüssel zu nutzen. Eine - Schlüssellänge von 2048 Bits sollte genügen. - Um den KSK für example.com zu generieren, geben - Sie + &prompt.user; dnssec-keygen -f KSK -a RSASHA256 -b 2048 -n ZONE example.com - &prompt.user; dnssec-keygen -f KSK -a RSASHA256 -b 2048 -n ZONE example.com + ein und um den ZSK zu erzeugen, + setzen Sie folgenden Befehl ab: - ein und um den ZSK zu erzeugen, setzen - Sie folgenden Befehl ab: + &prompt.user; dnssec-keygen -a RSASHA256 -b 2048 -n ZONE example.com - &prompt.user; dnssec-keygen -a RSASHA256 -b 2048 -n ZONE example.com + dnssec-keygen gibt zwei + Dateien aus, den öffentlichen und den privaten Schlüssel + und zwar in Dateinamen, die ähnlich lauten wie + Kexample.com.+005+nnnnn.key + (öffentlich) und + Kexample.com.+005+nnnnn.private + (privat). Der nnnnn-Teil des + Dateinamens ist eine fünfstellige Schlüsselkennung. + Passen Sie genau auf, welche Kennung zu welchem + Schlüssel gehört. Das ist besonders wichtig, wenn mehrere + Schlüssel in einer Zone vorliegen. Es ist auch möglich, + die Schlüssel umzubenennen. Für jede + KSK-Datei tun Sie folgendes: - dnssec-keygen gibt zwei - Dateien aus, den öffentlichen und den privaten - Schlüssel und zwar in Dateinamen, die ähnlich - lauten wie Kexample.com.+005+nnnnn.key - (öffentlich) und - Kexample.com.+005+nnnnn.private - (privat). Der nnnnn-Teil des Dateinamens - ist eine fünfstellige Schlüsselkennung. Passen - Sie genau auf, welche Kennung zu welchem Schlüssel - gehört. Das ist besonders wichtig, wenn mehrere - Schlüssel in einer Zone vorliegen. Es ist auch - möglich, die Schlüssel umzubenennen. Für - jede KSK-Datei tun Sie folgendes: - - &prompt.user; mv Kexample.com.+005+nnnnn.key Kexample.com.+005+nnnnn.KSK.key + &prompt.user; mv Kexample.com.+005+nnnnn.key Kexample.com.+005+nnnnn.KSK.key &prompt.user; mv Kexample.com.+005+nnnnn.private Kexample.com.+005+nnnnn.KSK.private - Für die ZSK-Dateien ersetzen Sie - KSK für ZSK wenn - nötig. Die Dateien können nun in der Zonendatei - inkludiert werden, indem die $include - Anweisung verwendet wird. Es sollte folgendermassen - aussehen: + Für die ZSK-Dateien ersetzen Sie + KSK für ZSK wenn + nötig. Die Dateien können nun in der Zonendatei + inkludiert werden, indem die $include + Anweisung verwendet wird. Es sollte folgendermaßen + aussehen: - $include Kexample.com.+005+nnnnn.KSK.key ; KSK + $include Kexample.com.+005+nnnnn.KSK.key ; KSK $include Kexample.com.+005+nnnnn.ZSK.key ; ZSK - Schliesslich signieren Sie die Zone und weisen - BIND an, die signierte Zonendatei zu - benutzen. Um eine Zone zu signieren, wird - dnssec-signzone eingesetzt. Der - Befehl, um eine Zone example.com zu signieren, die in - example.com.db liegt, sollte - wie folgt aussehen: + Schliesslich signieren Sie die Zone und weisen + BIND an, die signierte Zonendatei zu + benutzen. Um eine Zone zu signieren, wird + dnssec-signzone eingesetzt. + Der Befehl, um eine Zone example.com zu + signieren, die in example.com.db + liegt, sollte wie folgt aussehen: - &prompt.user; dnssec-signzone -o example.com -k Kexample.com.+005+nnnnn.KSK example.com.db Kexample.com.+005+nnnnn.ZSK.key + &prompt.user; dnssec-signzone -o example.com -k Kexample.com.+005+nnnnn.KSK example.com.db Kexample.com.+005+nnnnn.ZSK.key - Der Schlüssel, welcher mit dem Argument - übergeben wird, ist der - KSK und die andere Schlüsseldatei ist - der ZSK, welcher für die Signatur - benutzt werden soll. Es ist möglich, mehr als einen - KSK und ZSK anzugeben, - was das Ergebnis zur Folge hat, dass die Zone mit allen - übergebenen Schlüsseln signiert wird. Dies kann - dann benötigt werden, um Zonendaten mit mehr als einem - Algorithmus zur Signierung zu verwenden. Die Ausgabe von - dnssec-signzone ist eine - Zonendatei mit allen signierten RRs. - Diese Ausgabe wird in einer Datei mit der Endung - .signed abgelegt, wie beispielsweise - example.com.db.signed. Die DS-Einträge werden - ebenfalls in eine separate Datei - dsset-example.com geschrieben. Um diese - signierte Zone zu verwenden, ändern Sie die - Zonendirektive in named.conf, so dass - example.com.db.signed benutzt wird. - Standardmässig sind die Signaturen nur 30 Tage - gültig, was bedeutet, dass die Zone in etwa 15 Tagen - erneut signiert werden muss, um sicher zu stellen, dass - Resolver keine Einträge mit veralteten Signaturen - zwischenspeichern. Es ist möglich, ein Skript und einen - cron-Job zu schreiben, um dies zu erledigen. Lesen Sie dazu - die relevanten Anleitungen, um Details zu erfahren. + Der Schlüssel, welcher mit dem Argument + übergeben wird, ist der + KSK und die andere Schlüsseldatei ist + der ZSK, welcher für die Signatur + benutzt werden soll. Es ist möglich, mehr als einen + KSK und ZSK + anzugeben, was das Ergebnis zur Folge hat, dass die Zone + mit allen übergebenen Schlüsseln signiert wird. Dies kann + dann benötigt werden, um Zonendaten mit mehr als einem + Algorithmus zur Signierung zu verwenden. Die Ausgabe von + dnssec-signzone ist eine + Zonendatei mit allen signierten RRs. + Diese Ausgabe wird in einer Datei mit der Endung + .signed abgelegt, wie beispielsweise + example.com.db.signed. Die DS-Einträge werden + ebenfalls in eine separate Datei + dsset-example.com geschrieben. Um + diese signierte Zone zu verwenden, ändern Sie die + Zonendirektive in named.conf, so dass + example.com.db.signed benutzt wird. + Standardmässig sind die Signaturen nur 30 Tage gültig, was + bedeutet, dass die Zone in etwa 15 Tagen erneut signiert + werden muss, um sicher zu stellen, dass Resolver keine + Einträge mit veralteten Signaturen zwischenspeichern. Es + ist möglich, ein Skript und einen cron-Job zu schreiben, + um dies zu erledigen. Lesen Sie dazu die relevanten + Anleitungen, um Details zu erfahren. - Stellen Sie sicher, dass die privaten Schlüssel - vertraulich bleiben, genau wie mit allen anderen - kryptographischen Schlüsseln auch. Wenn ein - Schlüssel geändert wird, ist es gute Praxis den - neuen Schlüssel in die Zone zu inkludieren, noch - während der alte Schlüssel noch zum signieren - eingesetzt wird, um dann auf den neuen Schlüssel zum - signieren zu wechseln. Nachdem diese Schritte erfolgt sind, - kann der alte Schlüssel aus der Zone entfernt werden. - Wenn das nicht geschieht, können - DNS-Daten für einige Zeit nicht - verfügbar sein, bis der neue Schlüssel durch die - DNS-Hierarchie propagiert wurde. - Für weitere Informationen bezüglich - Schlüsselübergabe und andere - DNSSEC-Einsatzszenarien lesen Sie RFC - 4641: DNSSEC Operational practices. - + Stellen Sie sicher, dass die privaten Schlüssel + vertraulich bleiben, genau wie mit allen anderen + kryptographischen Schlüsseln auch. Wenn ein Schlüssel + geändert wird, ist es gute Praxis den neuen Schlüssel in + die Zone zu inkludieren, noch während der alte Schlüssel + noch zum signieren eingesetzt wird, um dann auf den neuen + Schlüssel zum signieren zu wechseln. Nachdem diese + Schritte erfolgt sind, kann der alte Schlüssel aus der + Zone entfernt werden. Wenn das nicht geschieht, können + DNS-Daten für einige Zeit nicht + verfügbar sein, bis der neue Schlüssel durch die + DNS-Hierarchie propagiert wurde. Für + weitere Informationen bezüglich Schlüsselübergabe und + andere DNSSEC-Einsatzszenarien lesen + Sie RFC + 4641: DNSSEC Operational + practices. + - - Automatisierung mittels <acronym>BIND</acronym> 9.7 oder - höher + + Automatisierung mittels <acronym>BIND</acronym> 9.7 + oder höher - Beginnend mit der Version 9.7 von BIND - wurde eine neue Eigenschaft vorgestellt, die - Smart Signing genannt wird. Diese zielt - darauf ab, das Schlüsselmanagement und den - Signierungsprozess einfacher zu gestalten und zu - automatisieren. Durch ablegen der Schlüssel in ein - Verzeichnis, genannt key repository - und die Verwendung der neuen Option - auto-dnssec, ist es möglich eine - dynamische Zone zu erzeugen, welche dann erneut signiert - wird, wenn dazu der Bedarf besteht. Um diese Zone zu - aktualisieren, benutzen Sie - nsupdate mit der neuen Option - . Es hat also - rndc die Fähigkeit gewonnen, - Zonen mit Schlüsseln im Key Repository zu verwenden, - indem die Option eingesetzt wird. Um - BIND anzuweisen, diese automatische - Signierung und Zonenaktualisierung für example.com zu nutzen, fügen - Sie die folgenden Zeilen zur named.conf - hinzu: + Beginnend mit der Version 9.7 von + BIND wurde eine neue Eigenschaft + vorgestellt, die Smart Signing + genannt wird. Diese zielt darauf ab, das + Schlüsselmanagement und den Signierungsprozess einfacher + zu gestalten und zu automatisieren. Durch ablegen der + Schlüssel in ein Verzeichnis, genannt + key repository und die Verwendung der + neuen Option auto-dnssec, ist es + möglich eine dynamische Zone zu erzeugen, welche dann bei + Bedarf erneut signiert wird. Um diese Zone zu + aktualisieren, benutzen Sie + nsupdate mit der neuen Option + . Es hat also + rndc die Fähigkeit gewonnen, + Zonen mit Schlüsseln im Key Repository zu verwenden, indem + die Option eingesetzt wird. Um + BIND anzuweisen, diese automatische + Signierung und Zonenaktualisierung für example.com zu nutzen, + fügen Sie die folgenden Zeilen in + named.conf hinzu: - zone example.com { + zone example.com { type master; key-directory "/etc/named/keys"; update-policy local; @@ -4493,121 +4572,139 @@ $include Kexample.com.+005+nnnnn.ZSK.key ; ZSK file "/etc/named/dynamic/example.com.zone"; }; - Nachdem diese Änderungen durchgeführt wurden, - erzeugen Sie die Schlüssel für die Zone wie in - beschrieben wird, legen - diese Schlüssel im Key Repository ab, dass als Argument - key-directory in der Zonenkonfiguration - steht und die Zone wird automatisch signiert. - Aktualisierungen für eine Zone, die auf diese Art und - Weise konfiguriert wurde, muss mittels - nsupdate erfolgen, dass sich um - die erneute Signierung der Zone mit den hinzugefügten - Daten kümmern wird. Für weitere Details, lesen - Sie und die Dokumentation von - BIND. - - + Nachdem diese Änderungen durchgeführt wurden, erzeugen + Sie die Schlüssel für die Zone wie in beschrieben wird, legen + diese Schlüssel im Key Repository ab, dass als Argument + key-directory in der Zonenkonfiguration + steht und die Zone wird automatisch signiert. + Aktualisierungen für eine Zone, die auf diese Art und + Weise konfiguriert wurde, muss mittels + nsupdate erfolgen, dass sich um + die erneute Signierung der Zone mit den hinzugefügten + Daten kümmern wird. Für weitere Details, lesen Sie und die Dokumentation von + BIND. + + - - Sicherheit + + Sicherheit - Obwohl BIND die am meisten verwendete Implementierung von - DNS darstellt, werden dennoch manchmal neue - Sicherheitsprobleme entdeckt. + Obwohl BIND die am meisten verwendete Implementierung + von DNS darstellt, werden dennoch + manchmal neue Sicherheitsprobleme entdeckt. - Zwar startet &os; named - automatisch in einer &man.chroot.8;-Umgebung, es gibt aber - noch weitere Sicherheitsmechanismen, mit denen Sie potentielle - DNS-Serviceattacken erschweren - können. + Zwar startet &os; named + automatisch in einer &man.chroot.8;-Umgebung, es gibt aber + noch weitere Sicherheitsmechanismen, mit denen Sie + potentielle DNS-Serviceattacken + erschweren können. - Es ist daher eine gute Idee, die Sicherheitshinweise von - CERT zu lesen sowie - die Mailingliste &a.security-notifications; zu abonnieren, um - sich über Sicherheitsprobleme im Zusammenhang mit dem - Internet und FreeBSD zu informieren. + Es ist daher eine gute Idee, die Sicherheitshinweise von + CERT zu lesen + sowie die Mailingliste &a.security-notifications; zu + abonnieren, um sich über Sicherheitsprobleme im Zusammenhang + mit dem Internet und &os; zu informieren. - - Tritt ein Problem auf, kann es nie schaden, die - Quellen zu aktualisieren und named - neu zu kompilieren. - - + + Tritt ein Problem auf, kann es nie schaden, die + Quellen zu aktualisieren und + named neu zu + kompilieren. + + - - Weitere Informationsquellen + + Weitere Informationsquellen - Hilfeseiten zu BIND/named: - &man.rndc.8; &man.named.8; &man.named.conf.5; &man.nsupdate.1; - &man.dnssec-signzone.8; &man.dnssec-keygen.8; + Hilfeseiten zu BIND/named: + &man.rndc.8; &man.named.8; &man.named.conf.5; + &man.nsupdate.1; &man.dnssec-signzone.8; + &man.dnssec-keygen.8; - - - Offizielle ISC-Seite - zu BIND - + + + + Offizielle ISC-Seite zu BIND + - - Offizielles Forum zu - ISC- BIND - + + + Offizielles Forum zu ISC-BIND + - - O'Reilly - DNS and BIND 5th Edition - + + + O'Reilly DNS and BIND 5th + Edition + - - Root - DNSSEC - + + + Root DNSSEC + - - - DNSSEC Vertrauensanker-Publikation für - die Root-Zone - + + + DNSSEC Vertrauensanker-Publikation + für die Root-Zone + - - RFC1034 - - Domain Names - Concepts and Facilities - + + RFC + 1034 - Domain Names - Concepts and Facilities + - - RFC1035 - - Domain Names - Implementation and - Specification - + + RFC + 1035 - Domain Names - Implementation and + Specification + - - RFC4033 - - DNS Security Introduction and Requirements - + + RFC + 4033 - DNS Security Introduction + and Requirements + - - RFC4034 - - Resource Records for the DNS Security - Extensions - + + RFC + 4034 - Resource Records for the + DNS Security Extensions + - - RFC4035 - - Protocol Modifications for the DNS Security Extensions - + + RFC + 4035 - Protocol Modifications for the + DNS Security Extensions + - - RFC4641 - - DNSSEC Operational Practices - + + RFC + 4641 - DNSSEC Operational + Practices + - - RFC 5011 - - Automated Updates of DNS Security (DNSSEC) - Trust Anchors - - - + + RFC + 5011 - Automated Updates of DNS + Security (DNSSEC) Trust Anchors + + + @@ -4666,14 +4763,14 @@ $include Kexample.com.+005+nnnnn.ZSK.key ; ZSK Legt das Standardwurzelverzeichnis für die - Apache-Installation fest. - Binärdateien werden in die Verzeichnisse - bin und - sbin unterhalb des - Serverwurzelverzeichnisses installiert, während sich - Konfigurationsdateien im Unterverzeichnis - etc/apache2x - befinden. + Apache-Installation fest. + Binärdateien werden in die Verzeichnisse + bin und + sbin unterhalb des + Serverwurzelverzeichnisses installiert, während sich + Konfigurationsdateien im Unterverzeichnis + etc/apache2x + befinden. @@ -4683,8 +4780,8 @@ $include Kexample.com.+005+nnnnn.ZSK.key ; ZSK Die E-Mail-Adresse, an die Mitteilungen über Serverprobleme geschickt werden. Diese Adresse - erscheint auf vom Server erzeugten Seiten, beispielsweise - auf Fehlerseiten. + erscheint auf vom Server erzeugten Seiten, + beispielsweise auf Fehlerseiten. @@ -4708,11 +4805,10 @@ $include Kexample.com.+005+nnnnn.ZSK.key ; ZSK DocumentRoot "/usr/local/www/apache2x/data" - Das Verzeichnis, in - dem die Dokumente abgelegt sind. In der Voreinstellung - befinden sich alle Seiten in diesem Verzeichnis, durch - symbolische Links oder Aliase lassen sich aber auch andere - Orte festlegen. + Das Verzeichnis, in dem die Dokumente abgelegt sind. + In der Voreinstellung befinden sich alle Seiten in + diesem Verzeichnis, durch symbolische Links oder Aliase + lassen sich aber auch andere Orte festlegen. @@ -4726,12 +4822,14 @@ $include Kexample.com.+005+nnnnn.ZSK.key ; ZSK Befehl apachectl configtest sollte Syntax OK zurückgeben. - Apache - Starten oder Beenden + + Apache + Starten oder Beenden + Um den Apache beim Systemstart - zu starten, fügen Sie folgende Zeile in - /etc/rc.conf ein: + zu starten, fügen Sie folgende Zeile in + /etc/rc.conf ein: apache24_enable="YES" @@ -4778,19 +4876,19 @@ $include Kexample.com.+005+nnnnn.ZSK.key ; ZSK Virtual Hosting ermöglicht es, mehrere Webseiten auf einem - Apache-Server laufen zu lassen. - Die virtuellen Hosts können IP-basiert - oder namensbasiert sein. - IP-basiertes virtual Hosting verwendet - eine IP-Adresse für jede Webseite. Beim - namensbasierten virtual Hosting wird der HTTP/1.1-Header der - Clients dazu verwendet, den Rechnernamen zu bestimmen. - Dadurch wird es möglich, mehrere Domains unter der gleichen - IP-Adresse zu betreiben. + Apache-Server laufen zu lassen. + Die virtuellen Hosts können IP-basiert + oder namensbasiert sein. + IP-basiertes virtual Hosting verwendet eine + IP-Adresse für jede Webseite. Beim + namensbasierten virtual Hosting wird der HTTP/1.1-Header der + Clients dazu verwendet, den Rechnernamen zu bestimmen. + Dadurch wird es möglich, mehrere Domains unter der gleichen + IP-Adresse zu betreiben. - Damit der Apache namenbasierte - virtuelle Domains verwalten kann, fügen Sie für jede Webseite - einen separaten VirtualHost-Block ein. + Damit der Apache namenbasierte + virtuelle Domains verwalten kann, fügen Sie für jede Webseite + einen separaten VirtualHost-Block ein. Wenn der Webserver beispielsweise www.domain.tld heißt und die virtuelle Domain Werte für ServerName und DocumentRoot. - Ausführliche Informationen zum Einrichten von - virtuellen Hosts finden Sie in der offiziellen - Apache-Dokumentation unter - http://httpd.apache.org/docs/vhosts/. - + Ausführliche Informationen zum Einrichten von virtuellen + Hosts finden Sie in der offiziellen + Apache-Dokumentation unter + http://httpd.apache.org/docs/vhosts/. @@ -4843,11 +4941,11 @@ $include Kexample.com.+005+nnnnn.ZSK.key ; ZSK drei der am häufigsten verwendeten Module. - <filename>mod_ssl</filename> + <filename>mod_ssl</filename> Webserver - Verschlüsselung + Verschlüsselung @@ -4858,7 +4956,7 @@ $include Kexample.com.+005+nnnnn.ZSK.key ; ZSK Verschlüsselung - Das Modul mod_ssl verwendet die + Das Modul mod_ssl verwendet die OpenSSL-Bibliothek, um über die Protokolle Secure Sockets Layer (SSLv3) sowie Transport Layer Security (TLSv1) @@ -4876,14 +4974,14 @@ $include Kexample.com.+005+nnnnn.ZSK.key ; ZSK - <filename>mod_perl</filename> + <filename>mod_perl</filename> mod_perl Perl - Das Modul mod_perl macht es + Das Modul mod_perl macht es möglich, vollständig in Perl geschriebene Apache-Module zu erzeugen. Da der @@ -4900,10 +4998,10 @@ $include Kexample.com.+005+nnnnn.ZSK.key ; ZSK - + <filename>mod_php</filename> - + Tom @@ -4911,8 +5009,8 @@ $include Kexample.com.+005+nnnnn.ZSK.key ; ZSK Geschrieben von - - + + mod_php @@ -4967,9 +5065,9 @@ I don't think this is still needed Der Port bietet ein Auswahlmenü, über das Sie verschiedene PHP-Erweiterungen installieren können. - + Alternativ können einzelne Erweiterungen über den - jeweiligen Port installieren. Um beispielsweise die + jeweiligen Port installieren. Um beispielsweise die Unterstützung des Datenbankservers MySQL in PHP zu aktivieren, installieren Sie den Port @@ -5003,7 +5101,7 @@ I don't think this is still needed Ruby on Rails. - Django + Django Python Django @@ -5067,7 +5165,7 @@ I don't think this is still needed - Ruby on Rails + Ruby on Rails Ruby on Rails @@ -5119,7 +5217,7 @@ I don't think this is still needed welche Benutzer auf den FTP-Server zugreifen dürfen. Ein &os;-System verfügt über diverse Systembenutzerkonten, die jedoch nicht auf den - FTP-Server zugreifen sollen. Die Datei + FTP-Server zugreifen sollen. Die Datei /etc/ftpusers enthält alle Benutzer, die vom FTP-Zugriff ausgeschlossen sind. In der Voreinstellung gilt dies auch die gerade erwähnten @@ -5195,7 +5293,7 @@ I don't think this is still needed Der ftpd-Daemon verwendet - &man.syslog.3;, um Protokolldateien zu erstellen. In der + &man.syslog.3;, um Protokolldateien zu erstellen. In der Voreinstellung werden alle FTP betreffenden Nachrichten nach /var/log/xferlog geschrieben. Dies lässt @@ -5248,32 +5346,32 @@ I don't think this is still needed Windows-Clients - Samba ist ein beliebtes - Open Source Softwarepaket, das Datei- und Druckdienste über - das SMB/CIFS-Protokoll zur Verfügung - stellt. Dieses Protokoll ist in µsoft.windows;-Systemen - enthalten und kann über die Installation der - Samba-Client-Bibliotheken in andere - Betriebssysteme integriert werden. Das Protokoll ermöglicht - es Clients auf freigegebene Daten und Drucker zuzugreifen, so - als ob es sich um lokale Drucker und Festplatten handeln - würde. + Samba ist ein beliebtes + Open Source Softwarepaket, das Datei- und Druckdienste über + das SMB/CIFS-Protokoll zur Verfügung + stellt. Dieses Protokoll ist in µsoft.windows;-Systemen + enthalten und kann über die Installation der + Samba-Client-Bibliotheken in andere + Betriebssysteme integriert werden. Das Protokoll ermöglicht + es Clients auf freigegebene Daten und Drucker zuzugreifen, so + als ob es sich um lokale Drucker und Festplatten handeln + würde. - Unter &os; können die - Samba-Client-Bibliotheken über den - Port oder das Paket net/samba-smbclient - installiert werden. Der Client ermöglicht es einem - &os;-System auf SMB/CIFS-Freigaben in einem - µsoft.windows;-Netzwerk zuzugreifen. + Unter &os; können die + Samba-Client-Bibliotheken über den + Port oder das Paket net/samba-smbclient + installiert werden. Der Client ermöglicht es einem + &os;-System auf SMB/CIFS-Freigaben in einem + µsoft.windows;-Netzwerk zuzugreifen. - Ein &os;-System kann auch als - Samba-Server agieren, wenn Sie den - Port oder das Paket net/samba43 - installieren. Dies erlaubt es dem Administrator - SMB/CIFS-Freigaben auf dem &os;-System - einzurichten, auf welche dann Clients mit µsoft.windows; - oder den Samba-Client-Bibliotheken - zugreifen können. + Ein &os;-System kann auch als + Samba-Server agieren, wenn Sie den + Port oder das Paket net/samba43 + installieren. Dies erlaubt es dem Administrator + SMB/CIFS-Freigaben auf dem &os;-System + einzurichten, auf welche dann Clients mit µsoft.windows; + oder den Samba-Client-Bibliotheken + zugreifen können. Konfiguration des Servers @@ -5319,7 +5417,7 @@ directory mask = 0755 /usr/local/etc/smb4.conf definiert: - + workgroup @@ -5335,9 +5433,9 @@ directory mask = 0755 NetBIOS Der NetBIOS-Namen fest, unter dem der - Samba-Server bekannt ist. - In der Regel handelt es sich dabei um den ersten - Teil des DNS-Namens des + Samba-Server bekannt ist. + In der Regel handelt es sich dabei um den ersten + Teil des DNS-Namens des Servers. @@ -5347,9 +5445,9 @@ directory mask = 0755 Legt die Beschreibung fest, die angezeigt wird, - wenn mit net view oder anderen - Netzwerkprogrammen Informationen - über den Server angefordert werden. + wenn mit net view oder anderen + Netzwerkprogrammen Informationen über den Server + angefordert werden. @@ -5364,7 +5462,7 @@ directory mask = 0755 Netzwerk. - + @@ -5376,29 +5474,28 @@ directory mask = 0755 Backend-Passwortformat. Die folgenden Direktiven steuern diese Optionen: - + security Die häufigsten Optionen sind - security = share und - security = user. Wenn die Clients - Benutzernamen verwenden, die den Benutzernamen auf dem - &os;-Rechner entsprechen, dann sollte die - Einstellung user level - verwendet werden. Dies ist die Standardeinstellung. - Allerdings ist es dazu erforderlich, dass sich die - Clients auf dem Rechner anmelden, bevor sie auf - gemeinsame Ressourcen zugreifen können. + security = share und + security = user. Wenn die Clients + Benutzernamen verwenden, die den Benutzernamen auf dem + &os;-Rechner entsprechen, dann sollte die Einstellung + user level verwendet werden. Dies + ist die Standardeinstellung. Allerdings ist es dazu + erforderlich, dass sich die Clients auf dem Rechner + anmelden, bevor sie auf gemeinsame Ressourcen + zugreifen können. - In der Einstellung - share level müssen - sich Clients nicht unter Verwendung eines gültigen - Logins auf dem Rechner anmelden, bevor sie auf - gemeinsame Ressourcen zugreifen können. In - früheren Samba-Versionen - war dies die Standardeinstellung. + In der Einstellung share level + müssen sich Clients nicht unter Verwendung eines + gültigen Logins auf dem Rechner anmelden, bevor sie + auf gemeinsame Ressourcen zugreifen können. In + früheren Samba-Versionen + war dies die Standardeinstellung. @@ -5411,16 +5508,16 @@ directory mask = 0755 SQL database Samba erlaubt - verschiedene Backend-Authentifizierungsmodelle. - Clients können sich durch LDAP, NIS+, eine SQL-Datenbank - oder eine Passwortdatei authentifizieren. Die - empfohlene Authentifizierungsmethode, - tdbsam, ist ideal für einfache - Netzwerke und wird hier vorgestellt. Für größere oder - komplexere Netzwerke wird ldapsam - empfohlen. smbpasswd war der - frühere Standard und gilt mittlerweile als - veraltet. + verschiedene Backend-Authentifizierungsmodelle. + Clients können sich durch LDAP, NIS+, eine + SQL-Datenbank oder eine Passwortdatei + authentifizieren. Die empfohlene + Authentifizierungsmethode, tdbsam, + ist ideal für einfache Netzwerke und wird hier + vorgestellt. Für größere oder komplexere Netzwerke + wird ldapsam empfohlen. + smbpasswd war der frühere Standard + und gilt mittlerweile als veraltet. @@ -5478,11 +5575,12 @@ Starting smbd. &prompt.root; service samba stop Samba ist ein komplexes - Softwarepaket mit umfassenden Funktionen, die eine weitreichende - Integration von µsoft.windows;-Netzwerken ermöglichen. - Für eine Beschreibung dieser Zusatzfunktionen sollten Sie - sich auf - http://www.samba.org umsehen. + Softwarepaket mit umfassenden Funktionen, die eine + weitreichende Integration von µsoft.windows;-Netzwerken + ermöglichen. Für eine Beschreibung dieser Zusatzfunktionen + sollten Sie sich auf http://www.samba.org + umsehen. @@ -5496,46 +5594,46 @@ Starting smbd. --> Die Uhrzeit mit NTP synchronisieren - - NTP - ntpd - + + NTP + ntpd + - Die interne Uhrzeit eines Computers ist nie ganz exakt. - Dies ist problematisch, da viele Dienste darauf angewiesen - sind, dass die Computer im Netzwerk die exakte Uhrzeit - übermitteln. Die exakte Uhrzeit ist auch erforderlich um - sicherzustellen, dass die Zeitstempel der Dateien konsistent - bleiben. Das - Network Time Protocol - (NTP) bietet die Möglichkeit, die exakte - Uhrzeit in einem Netzwerk zur Verfügung zu stellen. + Die interne Uhrzeit eines Computers ist nie ganz exakt. + Dies ist problematisch, da viele Dienste darauf angewiesen + sind, dass die Computer im Netzwerk die exakte Uhrzeit + übermitteln. Die exakte Uhrzeit ist auch erforderlich um + sicherzustellen, dass die Zeitstempel der Dateien konsistent + bleiben. Das + Network Time Protocol + (NTP) bietet die Möglichkeit, die exakte + Uhrzeit in einem Netzwerk zur Verfügung zu stellen. - Mit &man.ntpd.8; enthält &os; ein Werkzeug, das andere - NTP-Server abfragen kann um die Uhrzeit - auf diesem Computer zu synchronisieren, oder um selbst die - Uhrzeit für andere Computer im Netzwerk bereitzustellen. Die - Server, die abgefragt werden, können lokal oder von einem - ISP zur Verfügung gestellt werden. Darüber - hinaus gibt es eine - Liste von öffentlich zugänglichen - NTP-Servern. Falls Sie sich für - einen solchen öffentlichen Server entscheiden, wählen Sie - einen nahegelegenen Server und prüfen Sie die - Nutzungsbedingungen. + Mit &man.ntpd.8; enthält &os; ein Werkzeug, das andere + NTP-Server abfragen kann um die Uhrzeit + auf diesem Computer zu synchronisieren, oder um selbst die + Uhrzeit für andere Computer im Netzwerk bereitzustellen. Die + Server, die abgefragt werden, können lokal oder von einem + ISP zur Verfügung gestellt werden. Darüber + hinaus gibt es eine + Liste von öffentlich zugänglichen + NTP-Servern. Falls Sie sich für + einen solchen öffentlichen Server entscheiden, wählen Sie + einen nahegelegenen Server und prüfen Sie die + Nutzungsbedingungen. - Die Auswahl von mehreren NTP-Servern - wird empfohlen, falls sich ein Server nicht erreichbar ist - oder sich als unzuverlässig herausstellt. - ntpd verwendet die Antworten - anderer Server, um zuverlässige Server zu bestimmen, die dann - bevorzugt abgefragt werden. + Die Auswahl von mehreren NTP-Servern + wird empfohlen, falls sich ein Server nicht erreichbar ist + oder sich als unzuverlässig herausstellt. + ntpd verwendet die Antworten + anderer Server, um zuverlässige Server zu bestimmen, die dann + bevorzugt abgefragt werden. - Dieser Abschnitt beschreibt die Konfiguration von - ntpd unter &os;. Zusätzliche - Dokumentation im HTML-Format finden Sie in - /usr/share/doc/ntp/. + Dieser Abschnitt beschreibt die Konfiguration von + ntpd unter &os;. Zusätzliche + Dokumentation im HTML-Format finden Sie in + /usr/share/doc/ntp/. <acronym>NTP</acronym> konfigurieren @@ -5555,93 +5653,92 @@ Starting smbd. werden. Weitere Details finden Sie in &man.rc.conf.5; und &man.ntpd.8;. - Das Programm liest /etc/ntp.conf - um herauszufinden, welche NTP-Server - abgefragt werden müssen. Hier ist ein einfaches Beispiel - einer /etc/ntp.conf: + Das Programm liest /etc/ntp.conf + um herauszufinden, welche NTP-Server + abgefragt werden müssen. Hier ist ein einfaches Beispiel + einer /etc/ntp.conf: - - Beispiel einer - <filename>/etc/ntp.conf</filename> + + Beispiel einer + <filename>/etc/ntp.conf</filename> - server ntplocal.example.com prefer + server ntplocal.example.com prefer server timeserver.example.org server ntp2a.example.net driftfile /var/db/ntp.drift - + - Das Format dieser Datei wird in &man.ntp.conf.5; - beschrieben. Die Option server legt die zu - verwendenden Server fest, wobei jeder Server in einer eigenen - Zeile steht. Wenn ein Server mit der Option - prefer versehen ist, - wird dieser Server bevorzugt verwendet. Eine Antwort von - einem bevorzugten Server wird verworfen, wenn sie - signifikant von den Antworten anderer Server abweicht, - ansonsten wird sie akzeptiert. Die Option - prefer sollte nur für sehr zuverlässige - und genaue NTP-Server verwendet werden, - die über eine spezielle Hardware zur Zeitüberwachung - verfügen. + Das Format dieser Datei wird in &man.ntp.conf.5; + beschrieben. Die Option server legt die zu + verwendenden Server fest, wobei jeder Server in einer eigenen + Zeile steht. Wenn ein Server mit der Option + prefer versehen ist, wird dieser Server + bevorzugt verwendet. Eine Antwort von einem bevorzugten + Server wird verworfen, wenn sie signifikant von den Antworten + anderer Server abweicht, ansonsten wird sie akzeptiert. Die + Option prefer sollte nur für sehr + zuverlässige und genaue NTP-Server + verwendet werden, die über eine spezielle Hardware zur + Zeitüberwachung verfügen. - Die Option driftfile legt fest, in - welcher Datei die Abweichungen der Systemuhr protokolliert - werden. ntpd verwendet diese - Datei, um die Systemzeit automatisch anzupassen, selbst wenn - kurzzeitig kein NTP-Server zur - Synchronisation verfügbar ist. Weiterhin werden in dieser - Datei Informationen über frühere Anworten von - NTP-Server. Da diese Datei interne - Informationen für NTP enthält, sollte sie - nicht verändert werden. + Die Option driftfile legt fest, in + welcher Datei die Abweichungen der Systemuhr protokolliert + werden. ntpd verwendet diese + Datei, um die Systemzeit automatisch anzupassen, selbst wenn + kurzzeitig kein NTP-Server zur + Synchronisation verfügbar ist. Weiterhin werden in dieser + Datei Informationen über frühere Anworten von + NTP-Server. Da diese Datei interne + Informationen für NTP enthält, sollte sie + nicht verändert werden. - In der Voreinstellung ist der - NTP-Server für alle Rechner im Netzwerk - erreichbar. Die Option restrict in - /etc/ntp.conf steuert, welche Rechner - auf den Server zugreifen können. Wenn Sie beispielsweise - alle Rechner vom Zugriff auf den - NTP-Server ausschließen wollen, fügen Sie - folgende Zeile in /etc/ntp.conf - ein: + In der Voreinstellung ist der + NTP-Server für alle Rechner im Netzwerk + erreichbar. Die Option restrict in + /etc/ntp.conf steuert, welche Rechner + auf den Server zugreifen können. Wenn Sie beispielsweise + alle Rechner vom Zugriff auf den + NTP-Server ausschließen wollen, fügen Sie + folgende Zeile in /etc/ntp.conf + ein: - restrict default ignore + restrict default ignore - - Dieser Eintrag verhindert auch den Zugriff von anderen - NTP-Servern. Besteht die - Notwendigkeit, sich mit einem externen - NTP-Server zu synchronisieren, muss - dieser Server explizit zugelassen werden. Weitere - Informationen finden Sie in &man.ntp.conf.5;. - + + Dieser Eintrag verhindert auch den Zugriff von anderen + NTP-Servern. Besteht die + Notwendigkeit, sich mit einem externen + NTP-Server zu synchronisieren, muss + dieser Server explizit zugelassen werden. Weitere + Informationen finden Sie in &man.ntp.conf.5;. + - Wenn Sie nur Rechnern innerhalb des Netzwerks die - Synchronisation mit dem Server erlauben, gleichzeitig - aber verhindern wollen, dass diese den Server - konfigurieren oder als Server für andere Rechner dienen - können, fügen Sie folgende Zeile ein: + Wenn Sie nur Rechnern innerhalb des Netzwerks die + Synchronisation mit dem Server erlauben, gleichzeitig + aber verhindern wollen, dass diese den Server + konfigurieren oder als Server für andere Rechner dienen + können, fügen Sie folgende Zeile ein: - restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap + restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap - 192.168.1.0 - ist die lokale Adresse des Netzwerks, 255.255.255.0 ist die - Netzmaske des Netzwerks. + 192.168.1.0 + ist die lokale Adresse des Netzwerks, 255.255.255.0 ist die Netzmaske + des Netzwerks. - Es werden mehrere restict-Einträge - untstützt. Weitere Details finden Sie im Abschnitt - Access Control Support von - &man.ntp.conf.5;. + Es werden mehrere restict-Einträge + untstützt. Weitere Details finden Sie im Abschnitt + Access Control Support von + &man.ntp.conf.5;. - Sobald ntpd_enable="YES" in - /etc/rc.conf hinzugefügt wurde, - kann ntpd direkt - gestartet werden: + Sobald ntpd_enable="YES" in + /etc/rc.conf hinzugefügt wurde, + kann ntpd direkt + gestartet werden: - &prompt.root; service ntpd start - + &prompt.root; service ntpd start + <acronym>NTP</acronym> mit einer @@ -6030,8 +6127,7 @@ iqn.2012-06.com.example:target0 10.10.10.10 Authentication f <programlisting>iscsictl_enable="YES" iscsictl_flags="-Aa"</programlisting> - - </sect3> + </sect3> </sect2> </sect1> </chapter>