From d82f5a8c2cd1735b352574a22bb1c7d2010b5d88 Mon Sep 17 00:00:00 2001 From: Martin Heinen Date: Sun, 1 Aug 2004 12:50:18 +0000 Subject: [PATCH] MFbed: Update the German documentation set. books/faq/book.sgml fixes only books/fdp-primer/overview/chapter.sgml fixes only books/fdp-primer/see-also/chapter.sgml fixes only books/handbook/Makefile added network-servers books/handbook/book.sgml added network-servers books/handbook/chapters.ent added network-servers books/handbook/network-servers/chapter.sgml new chapter books/handbook/advanced-networking/chapter.sgml 1.309 -> 1.336 books/handbook/boot/chapter.sgml fixes only books/handbook/config/chapter.sgml fixes only books/handbook/cutting-edge/chapter.sgml 1.200 -> 1.203 books/handbook/desktop/chapter.sgml fixes only books/handbook/disks/chapter.sgml fixes only books/handbook/eresources/chapter.sgml 1.143 -> 1.144 books/handbook/introduction/chapter.sgml 1.98 -> 1.99 books/handbook/kernelconfig/chapter.sgml fixes only books/handbook/l10n/chapter.sgml 1.96 -> 1.97 books/handbook/linuxemu/chapter.sgml 1.112 -> 1.113 books/handbook/mail/chapter.sgml fixes only books/handbook/mirrors/chapter.sgml fixes only books/handbook/multimedia/chapter.sgml fixes only books/handbook/pgpkeys/chapter.sgml 1.226 -> 1.227 books/handbook/ports/chapter.sgml 1.218 -> 1.219 books/handbook/ppp-and-slip/chapter.sgml 1.137 -> 1.138 books/handbook/preface/preface.sgml 1.19 -> 1.21 books/handbook/security/chapter.sgml fixes only books/handbook/serialcomms/chapter.sgml fixes only share/sgml/l10n.ent 1.1 -> 1.2 Obtained from: The FreeBSD German Documentation Project. --- de_DE.ISO8859-1/books/faq/book.sgml | 10 +- .../books/fdp-primer/overview/chapter.sgml | 4 +- .../books/fdp-primer/see-also/chapter.sgml | 4 +- de_DE.ISO8859-1/books/handbook/Makefile | 4 +- .../handbook/advanced-networking/chapter.sgml | 4634 +++-------------- de_DE.ISO8859-1/books/handbook/book.sgml | 4 +- .../books/handbook/boot/chapter.sgml | 4 +- de_DE.ISO8859-1/books/handbook/chapters.ent | 3 +- .../books/handbook/config/chapter.sgml | 10 +- .../books/handbook/cutting-edge/chapter.sgml | 27 +- .../books/handbook/desktop/chapter.sgml | 5 +- .../books/handbook/disks/chapter.sgml | 5 +- .../books/handbook/eresources/chapter.sgml | 14 +- .../books/handbook/introduction/chapter.sgml | 8 +- .../books/handbook/kernelconfig/chapter.sgml | 4 +- .../books/handbook/l10n/chapter.sgml | 8 +- .../books/handbook/linuxemu/chapter.sgml | 32 +- .../books/handbook/mail/chapter.sgml | 8 +- .../books/handbook/mirrors/chapter.sgml | 4 +- .../books/handbook/multimedia/chapter.sgml | 4 +- .../handbook/network-servers/chapter.sgml | 4568 ++++++++++++++++ .../books/handbook/pgpkeys/chapter.sgml | 6 +- .../books/handbook/ports/chapter.sgml | 14 +- .../books/handbook/ppp-and-slip/chapter.sgml | 6 +- .../books/handbook/preface/preface.sgml | 27 +- .../books/handbook/security/chapter.sgml | 12 +- .../books/handbook/serialcomms/chapter.sgml | 8 +- de_DE.ISO8859-1/share/sgml/l10n.ent | 7 +- 28 files changed, 5327 insertions(+), 4117 deletions(-) create mode 100644 de_DE.ISO8859-1/books/handbook/network-servers/chapter.sgml diff --git a/de_DE.ISO8859-1/books/faq/book.sgml b/de_DE.ISO8859-1/books/faq/book.sgml index 7d6b927022..915cde9f82 100644 --- a/de_DE.ISO8859-1/books/faq/book.sgml +++ b/de_DE.ISO8859-1/books/faq/book.sgml @@ -3,7 +3,7 @@ The FreeBSD German Documentation Project $FreeBSD$ -$FreeBSDde: de-docproj/books/faq/book.sgml,v 1.478 2004/06/06 18:23:02 mheinen Exp $ +$FreeBSDde: de-docproj/books/faq/book.sgml,v 1.480 2004/08/01 11:06:50 mheinen Exp $ basiert auf: 1.620 @@ -47,7 +47,7 @@ $FreeBSDde: de-docproj/books/faq/book.sgml,v 1.478 2004/06/06 18:23:02 mheinen E - $FreeBSDde: de-docproj/books/faq/book.sgml,v 1.478 2004/06/06 18:23:02 mheinen Exp $ + $FreeBSDde: de-docproj/books/faq/book.sgml,v 1.480 2004/08/01 11:06:50 mheinen Exp $ 1995 @@ -7065,7 +7065,7 @@ label=FreeBSD der blocks Spalte ist ebenfalls um 8% größer als die Summe der benutzten und verfügbaren Blöcke (die Spalten - Used und Avail). + Used und Avail). Wieviel Platz reserviert wird, können Sie mit der Option von &man.tunefs.8; einstellen. @@ -7952,7 +7952,7 @@ ttyqc none network Cache nicht benutzt werden können. Seiten im Zustand Free können auch während eines Interrupts - angefordert werden. + angefordert werden. Wired: Seiten, die fest im Speicher liegen und nicht ausgelagert werden @@ -9758,7 +9758,7 @@ tcp_extensions=NO linkend="service-redirect">FAQ-Eintrag über die Umleitung von Diensten oder die Online-Hilfe zu &man.natd.8; durchlesen. Auch in der Ports Sammlung sind diverse + url="&url.base;/ports/index.html">Ports Sammlung sind diverse Hilfsprogramme für diesen Zweck enthalten. diff --git a/de_DE.ISO8859-1/books/fdp-primer/overview/chapter.sgml b/de_DE.ISO8859-1/books/fdp-primer/overview/chapter.sgml index 7ced14534e..9c9eb90cc1 100644 --- a/de_DE.ISO8859-1/books/fdp-primer/overview/chapter.sgml +++ b/de_DE.ISO8859-1/books/fdp-primer/overview/chapter.sgml @@ -28,7 +28,7 @@ POSSIBILITY OF SUCH DAMAGE. $FreeBSD$ - $FreeBSDde: de-docproj/books/fdp-primer/overview/chapter.sgml,v 1.8 2004/06/06 15:06:38 mheinen Exp $ + $FreeBSDde: de-docproj/books/fdp-primer/overview/chapter.sgml,v 1.9 2004/08/01 11:06:51 mheinen Exp $ basiert auf: 1.20 --> @@ -132,7 +132,7 @@ Die Webseite http://www.FreeBSD.org + url="&url.base;/index.html">http://www.FreeBSD.org und ihre vielen Spiegel auf der ganzen Welt vertreten das FreeBSD-Projekt im WWW. Für viele Menschen ist sie der erste Kontakt mit FreeBSD. diff --git a/de_DE.ISO8859-1/books/fdp-primer/see-also/chapter.sgml b/de_DE.ISO8859-1/books/fdp-primer/see-also/chapter.sgml index 3ed2b5eae2..9e3b337c93 100644 --- a/de_DE.ISO8859-1/books/fdp-primer/see-also/chapter.sgml +++ b/de_DE.ISO8859-1/books/fdp-primer/see-also/chapter.sgml @@ -28,7 +28,7 @@ POSSIBILITY OF SUCH DAMAGE. $FreeBSD$ - $FreeBSDde: de-docproj/books/fdp-primer/see-also/chapter.sgml,v 1.8 2004/06/06 15:06:38 mheinen Exp $ + $FreeBSDde: de-docproj/books/fdp-primer/see-also/chapter.sgml,v 1.9 2004/08/01 11:06:51 mheinen Exp $ basiert auf: 1.11 --> @@ -46,7 +46,7 @@ - Die + Die Webseiten des FreeBSD-Dokumentationsprojektes diff --git a/de_DE.ISO8859-1/books/handbook/Makefile b/de_DE.ISO8859-1/books/handbook/Makefile index bcfe8d0436..d2d9a24111 100644 --- a/de_DE.ISO8859-1/books/handbook/Makefile +++ b/de_DE.ISO8859-1/books/handbook/Makefile @@ -1,6 +1,6 @@ # # $FreeBSD$ -# $FreeBSDde: de-docproj/books/handbook/Makefile,v 1.36 2004/06/06 18:21:21 mheinen Exp $ +# $FreeBSDde: de-docproj/books/handbook/Makefile,v 1.37 2004/07/24 15:17:14 jkois Exp $ # basiert auf: 1.81 # # Build the FreeBSD Handbook in its German translation. @@ -22,6 +22,7 @@ IMAGES_EN = advanced-networking/isdn-bus.eps IMAGES_EN+= advanced-networking/isdn-twisted-pair.eps IMAGES_EN+= advanced-networking/natd.eps IMAGES_EN+= advanced-networking/net-routing.pic +IMAGES_EN+= advanced-networking/static-routes.pic IMAGES_EN+= install/disk-layout.eps IMAGES_EN+= install/example-dir1.eps IMAGES_EN+= install/example-dir2.eps @@ -78,6 +79,7 @@ SRCS+= linuxemu/chapter.sgml SRCS+= mail/chapter.sgml SRCS+= mirrors/chapter.sgml SRCS+= multimedia/chapter.sgml +SRCS+= network-servers/chapter.sgml SRCS+= pgpkeys/chapter.sgml SRCS+= ppp-and-slip/chapter.sgml SRCS+= ports/chapter.sgml diff --git a/de_DE.ISO8859-1/books/handbook/advanced-networking/chapter.sgml b/de_DE.ISO8859-1/books/handbook/advanced-networking/chapter.sgml index 5009342578..d23891a2d9 100644 --- a/de_DE.ISO8859-1/books/handbook/advanced-networking/chapter.sgml +++ b/de_DE.ISO8859-1/books/handbook/advanced-networking/chapter.sgml @@ -3,8 +3,8 @@ The FreeBSD German Documentation Project $FreeBSD$ - $FreeBSDde: de-docproj/books/handbook/advanced-networking/chapter.sgml,v 1.101 2004/06/27 21:01:28 mheinen Exp $ - basiert auf: 1.309 + $FreeBSDde: de-docproj/books/handbook/advanced-networking/chapter.sgml,v 1.126 2004/08/01 10:36:32 mheinen Exp $ + basiert auf: 1.336 --> @@ -24,12 +24,8 @@ Übersicht - Dieses Kapitel beschreibt einige der häufiger - verwendeten Netzwerkdienste auf UNIX-Systemen. Es wird - beschrieben, wie die von FreeBSD verwendeten Netzwerkdienste - installiert, getestet und gewartet werden. Zusätzlich sind - im ganzen Kapitel Beispielkonfigurationsdateien vorhanden, von - denen Sie sicherlich profitieren werden. + Dieses Kapitel beschreibt verschiedene + weiterführende Netzwerkthemen. Nachdem Sie dieses Kapitel gelesen haben, werden Sie @@ -48,45 +44,16 @@ Eine Bridge unter FreeBSD einrichten können. - - Ein Netzwerkdateisystem (NFS) einrichten können. - - Einen plattenlosen Rechner über das Netzwerk starten können. - - Einen Netzwerkinformationsserver (NIS) für gemeinsame - Benutzerkonten einrichten können. - - - - Automatische Netzwerkeinstellungen mittels DHCP vornehmen - können. - - - - Einen Domain Name Server (DNS) einrichten können. - - - - Unter Verwendung des NTP-Protokolls Uhrzeit und Datum - synchronisieren, sowie einen Zeitserver einrichten - können. - - Wissen, wie man NAT (Network Address Translation) einrichtet. - - In der Lage sein, den - inetd-Daemon einzurichten. - - Zwei Computer über PLIP verbinden können. @@ -113,6 +80,16 @@ Mit der grundlegenden Netzwerkterminologie vertraut sein. + + + Einen neuen FreeBSD-Kernel konfigurieren und installieren + können (). + + + + Wissen, wie man zusätzliche Softwarepakete von + Drittherstellern installiert (). + @@ -281,6 +258,9 @@ host2.example.com link#1 UC 0 0 + + + U @@ -600,7 +580,13 @@ host2.example.com link#1 UC 0 0 Nehmen wir an, dass wir über folgendes Netzwerk verfügen: - + + + + + + + INTERNET | (10.0.0.1/24) Default Router to Internet | @@ -623,7 +609,9 @@ host2.example.com link#1 UC 0 0 | 192.168.2.1/24 | Internal Net 2 - + + + RouterA, ein &os;-Rechner, dient als Router für den Zugriff auf das Internet. Die @@ -801,8 +789,9 @@ route_net2="-net 192.168.1.0/24 192.168.1.1" Zusätzlich muss &man.mrouted.8;, der Multicast-Routing-Daemon, über die Datei /etc/mrouted.conf eingerichtet werden, - um Tunnel und DVMRP zu aktivieren. Weitere Informationen - zu diesem Thema finden Sie in &man.mrouted.8;. + um Tunnel und DVMRP zu aktivieren. Weitere + Informationen zu diesem Thema finden Sie in + &man.mrouted.8;. @@ -1520,7 +1509,7 @@ net.link.ether.bridge.ipfw=1 Sonstige Informationen - Wenn Sie via &man.telnet.1; auf die Bridge zugreifen wollen, + Wenn Sie via &man.ssh.1; auf die Bridge zugreifen wollen, können Sie einer der Netzkarten eine IP-Adresse zuzuweisen. Es besteht Einigkeit darüber, dass es eine schlechte Idee ist, beiden Karten eine IP-Adresse zuzuweisen. @@ -1537,618 +1526,6 @@ net.link.ether.bridge.ipfw=1 - - - - - Tom - Rhodes - Reorganisiert und erweitert von - - - - - - Bill - Swingle - Geschrieben von - - - - - NFS – Network File System - - NFS - - Eines der vielen von FreeBSD unterstützten Dateisysteme - ist das Netzwerkdateisystem, das auch als NFS - bekannt ist. NFS ermöglicht es einem - System, Dateien und Verzeichnisse über ein Netzwerk mit - anderen zu teilen. Über NFS können - Benutzer und Programme auf Daten entfernter Systeme zugreifen, und - zwar genauso, wie wenn es sich um lokale Daten handeln würde. - - - Einige der wichtigsten Vorteile von NFS - sind: - - - - Lokale Arbeitsstationen benötigen weniger - Plattenplatz, da gemeinsam benutzte Daten nur auf einem - einzigen Rechner vorhanden sind. Alle anderen Stationen - greifen über das Netzwerk auf diese Daten zu. - - - - Benutzer benötigen nur noch ein zentrales - Heimatverzeichnis auf einem NFS-Server. - Diese Verzeichnisse sind über das Netzwerk auf allen - Stationen verfügbar. - - - - Speichergeräte wie Disketten-, CD-ROM- - oder ZIP-Laufwerke können über das Netzwerk von - anderen Arbeitstationen genutzt werden. Dadurch sind für - das gesamte Netzwerk deutlich weniger Speichergeräte - nötig. - - - - - Wie funktioniert <acronym>NFS</acronym>? - - NFS besteht aus zwei Hauptteilen: Einem - Server und einem oder mehreren Clients. Der Client greift - über das Netzwerk auf die Daten zu, die auf dem Server - gespeichert sind. Damit dies korrekt funktioniert, müssen - einige Prozesse konfiguriert und gestartet werden: - - - In &os; 5.X wurde portmap - durch rpcbind ersetzt. Benutzer - von &os; 5.X müssen daher in den folgenden - Beispielen portmap durch - rpcbind ersetzen. - - - Der Server benötigt folgende Daemonen: - - - NFS - Server - - - - portmap - - - - mountd - - - - nfsd - - - - - - - Daemon - - Beschreibung - - - - - - nfsd - - Der NFS-Daemon. Er bearbeitet - Anfragen der NFS-Clients. - - - - mountd - - Der NFS-Mount-Daemon. Er - bearbeitet die Anfragen, die &man.nfsd.8; an ihn - weitergibt. - - - - portmap - - Der Portmapper-Daemon. Durch ihn erkennen die - NFS-Clients, welchen Port der - NFS-Server verwendet. - - - - - - Der Client kann ebenfalls einen Daemon aufrufen, und zwar - den nfsiod-Daemon. Der - nfsiod-Daemon bearbeitet Anfragen vom - NFS-Server. Er ist optional und verbessert - die Leistung des Netzwerks. Für eine normale und korrekte - Arbeit ist er allerdings nicht erforderlich. Mehr erfahren - Sie in der Hilfeseite &man.nfsiod.8;. - - - - <acronym>NFS</acronym> einrichten - - - NFS - einrichten - - - NFS lässt sich leicht - einrichten. Die nötigen Prozesse werden durch einige - Änderungen in /etc/rc.conf bei - jedem Systemstart gestartet. - - Stellen Sie sicher, dass auf dem - NFS-Server folgende Optionen in der Datei - /etc/rc.conf gesetzt sind: - - portmap_enable="YES" -nfs_server_enable="YES" -mountd_flags="-r" - - mountd läuft automatisch, - wenn der NFS-Server aktiviert ist. - - Auf dem Client muss in /etc/rc.conf - folgende Option gesetzt sein: - - nfs_client_enable="YES" - - /etc/exports legt fest, welche - Dateisysteme NFS exportieren (manchmal auch - als teilen bezeichnet) soll. Jede Zeile in - /etc/exports legt ein Dateisystem sowie - die Arbeitsstationen, die darauf Zugriff haben, fest. - Außerdem ist es möglich, Zugriffsoptionen - festzulegen. Es gibt viele verschiedene Optionen, allerdings - werden hier nur einige von ihnen erwähnt. Wenn Sie - Informationen zu weiteren Optionen benötigen, lesen Sie - &man.exports.5;. - - Nun folgen einige Beispieleinträge für - /etc/exports: - - - NFS - Export von Dateisystemen - - - Die folgenden Beispiele geben Ihnen Anhaltspunkte zum - Exportieren von Dateisystemen, obwohl diese Einstellungen - natürlich von Ihrer Arbeitsumgebung und Ihrer - Netzwerkkonfiguration abhängen. Das nächste - Beispiel exportiert das Verzeichnis /cdrom - für drei Rechner, die sich in derselben Domäne wie - der Server befinden oder für die entsprechende - Einträge in /etc/hosts existieren. - Die Option kennzeichnet das - exportierte Dateisystem als schreibgeschützt. Durch dieses - Flag ist das entfernte System nicht in der Lage, das exportierte - Dateisystem zu verändern. - - /cdrom -ro host1 host2 host3 - - Die nächste Zeile exportiert /home - auf drei durch IP-Adressen bestimmte Rechner. Diese Einstellung - ist nützlich, wenn Sie über ein privates Netzwerk ohne - DNS-Server verfügen. Optional - könnten interne Rechnernamen auch in - /etc/hosts konfiguriert werden. - Benötigen Sie hierzu weitere Informationen, lesen Sie bitte - &man.hosts.5;. Durch das Flag wird es - möglich, auch Unterverzeichnisse als Mountpunkte - festzulegen. Dies bedeutet aber nicht, dass alle - Unterverzeichnisse eingehängt werden, vielmehr wird es dem - Client ermöglicht, nur diejenigen Verzeichnisse - einzuhängen, die auch benötigt werden. - - /home -alldirs 10.0.0.2 10.0.0.3 10.0.0.4 - - Die nächste Zeile exportiert /a, - damit Clients von verschiedenen Domänen auf das Dateisystem - zugreifen können. Das -Flag - erlaubt es dem Benutzer root des entfernten - Systems, als root auf das exportierte - Dateisystem zu schreiben. Wenn dieses Flag nicht gesetzt ist, - kann selbst root nicht auf das exportierte - Dateisystem schreiben. - - /a -maproot=root host.example.com box.example.org - - Damit ein Client auf ein exportiertes Dateisystem zugreifen - kann, muss ihm dies explizit gestattet werden. Stellen Sie also - sicher, dass der Client in /etc/exports - aufgeführt wird. - - Jede Zeile in /etc/exports entspricht - der Exportinformation für ein Dateisystem auf einen - Rechner. Ein entfernter Rechner kann für jedes Dateisystem - nur einmal festgelegt werden, und kann auch nur einen - Standardeintrag haben. Nehmen wir an, dass - /usr ein einziges Dateisystem ist. Dann - wären folgende Zeilen ungültig: - - /usr/src client -/usr/ports client - - Das Dateisystem /usr wird hier zweimal - auf den selben Rechner (client) - exportiert. Dies ist aber nicht zulässig. Der korrekte - Eintrag sieht daher so aus: - - /usr/src /usr/ports client - - Die Eigenschaften eines auf einen anderen Rechner - exportierten Dateisystems müssen alle in einer Zeile - stehen. Zeilen, in denen kein Rechner festgelegt wird, werden - als einzelner Rechner behandelt. Dies schränkt die - Möglichkeiten zum Export von Dateisystemen ein, für - die meisten Anwender ist dies aber kein Problem. - - Eine gültige Exportliste, in der - /usr und /exports - lokale Dateisysteme sind, sieht so aus: - - # Export src and ports to client01 and client02, but only -# client01 has root privileges on it -/usr/src /usr/ports -maproot=root client01 -/usr/src /usr/ports client02 -# The client machines have root and can mount anywhere -# on /exports. Anyone in the world can mount /exports/obj read-only -/exports -alldirs -maproot=root client01 client02 -/exports/obj -ro - - Sie müssen mountd nach jeder - Änderung von /etc/exports neu - starten, damit die Änderungen wirksam werden. Dies - kann durch das Senden des HUP-Signals an den - mountd-Prozess erfolgen: - - &prompt.root; kill -HUP `cat /var/run/mountd.pid` - - Alternativ können Sie auch das System neu starten. - Dies ist allerdings nicht nötig. Wenn Sie die folgenden - Befehle als root ausführen, sollte - alles korrekt gestartet werden. - - Auf dem NFS-Server: - - &prompt.root; portmap -&prompt.root; nfsd -u -t -n 4 -&prompt.root; mountd -r - - Auf dem NFS-Client: - - &prompt.root; nfsiod -n 4 - - Nun sollte alles bereit sein, um ein entferntes Dateisystem - einhängen zu können. In unseren Beispielen nennen wir - den Server server, den Client - client. Wenn Sie ein entferntes Dateisystem - nur zeitweise einhängen wollen, oder nur Ihre Konfiguration - testen möchten, führen Sie auf dem Client als - root einen Befehl ähnlich dem - folgenden aus: - - - NFS - Dateisysteme einhängen - - - &prompt.root; mount server:/home /mnt - - Dadurch wird das Verzeichnis /home des - Servers auf dem Client unter /mnt - eingehängt. Wenn alles korrekt konfiguriert wurde, sehen - Sie auf dem Client im Verzeichnis /mnt alle - Dateien des Servers. - - Wenn Sie ein entferntes Dateisystem nach jedem Systemstart - automatisch einhängen wollen, fügen Sie das - Dateisystem in /etc/fstab ein. Dazu ein - Beispiel: - - server:/home /mnt nfs rw 0 0 - - Eine Beschreibung aller Optionen enthält - die Hilfeseite &man.fstab.5;. - - - - Praktische Anwendungen - - NFS ist in vielen Situationen - nützlich. Einige Anwendungsbereiche finden Sie in der - folgenden Liste: - - - NFS - Anwendungsbeispiele - - - - - Mehrere Maschinen können sich ein CD-ROM-Laufwerk - oder andere Medien teilen. Dies ist billiger und - außerdem praktischer, um Programme auf mehreren - Rechnern zu installieren. - - - - In größeren Netzwerken ist es praktisch, - einen zentralen NFS-Server einzurichten, - auf dem die Heimatverzeichnisse der Benutzer gespeichert - werden. Diese Heimatverzeichnisse werden über das - Netzwerk exportiert. Dadurch haben die Benutzer immer das - gleiche Heimatverzeichnis zur Verfügung, - unabhängig davon, an welchem Arbeitsplatz sie sich - anmelden. - - - - Verschiedene Rechner können auf ein gemeinsames - Verzeichnis /usr/ports/distfiles - zugreifen. Wenn Sie nun einen Port auf mehreren Rechnern - installieren wollen, greifen Sie einfach auf dieses - Verzeichnis zu, ohne die Quelldateien auf jede Maschine - zu kopieren. - - - - - - - - - Wylie - Stilwell - Beigetragen von - - - - - - Chern - Lee - Überarbeitet von - - - - - <application>AMD</application> - - amd - Automatic Mounter Daemon - - &man.amd.8; (Automatic Mounter Daemon) hängt ein - entferntes Dateisystem automatisch ein, - wenn auf eine Datei oder ein Verzeichnis in diesem Dateisystem - zugegriffen wird. Dateisysteme, die über einen gewissen - Zeitraum inaktiv sind, werden von amd - automatisch abgehängt. - amd ist eine einfache - Alternative zum dauerhaften Einhängen von Dateisystemen - in /etc/fstab. - - In der Voreinstellung stellt amd - die Verzeichnisse /host und - /net als NFS-Server bereit. Wenn auf eine - Datei in diesen Verzeichnissen zugegriffen wird, sucht - amd den entsprechenden Mountpunkt - und hängt das Dateisystem automatisch ein. - /net wird zum Einhängen von - exportierten Dateisystemen von einer IP-Adresse verwendet, - während /host zum Einhängen - von exportierten Dateisystemen eines durch seinen Namen - festgelegten Rechners dient. - - Ein Zugriff auf eine Datei in - /host/foobar/usr würde - amd veranlassen, - das von foobar exportierte Dateisystem - /usr einzuhängen. - - - Ein exportiertes Dateisystem mit - <application>amd</application> in den Verzeichnisbaum - einhängen - - Sie können sich die verfügbaren Mountpunkte - eines entfernten Rechners mit showmount - ansehen. Wollen Sie sich die Mountpunkte des Rechners - foobar ansehen, so verwenden Sie: - - &prompt.user; showmount -e foobar -Exports list on foobar: -/usr 10.10.10.0 -/a 10.10.10.0 -&prompt.user; cd /host/foobar/usr - - - Wie Sie an diesem Beispiel erkennen können, zeigt - showmount /usr - als exportiertes Dateisystem an. Wenn man in das Verzeichnis - /host/foobar/usr wechselt, versucht - amd den Rechnernamen - foobar aufzulösen und den gewünschten - Export in den Verzeichnisbaum einzuhängen. - - amd kann durch das Einfügen - der folgenden Zeile in /etc/rc.conf - automatisch gestartet werden: - - amd_enable="YES" - - Mit der Option amd_flags kann - amd angepasst werden. - Die Voreinstellung für amd_flags sieht - so aus: - - amd_flags="-a /.amd_mnt -l syslog /host /etc/amd.map /net /etc/amd.map" - - /etc/amd.map legt die Standardoptionen - fest, mit denen exportierte Dateisysteme in den Verzeichnisbaum - eingehängt werden. /etc/amd.conf - hingegen legt einige der erweiterten Optionen von - amd fest. - - Weitere Informationen finden Sie in den Hilfeseiten - &man.amd.8; und &man.amd.conf.5;. - - - - - - - John - Lind - Beigetragen von - - - - - Integrationsprobleme mit anderen Systemen - - Bestimmte ISA-Ethernetadapter haben Beschränkungen, die - zu ernsthaften Netzwerkproblemen, insbesondere mit NFS - führen können. Es handelt sich dabei nicht um ein - FreeBSD-spezifisches Problem, aber FreeBSD-Systeme sind davon - ebenfalls betroffen. - - Das Problem tritt fast ausschließlich dann auf, wenn - (FreeBSD)-PC-Systeme mit Hochleistungsrechnern verbunden werden, - wie Systemen von Silicon Graphics, Inc. oder - Sun Microsystems, Inc. Das Einhängen via NFS - funktioniert problemlos, auch einige Dateioperationen - können erfolgreich sein. Plötzlich aber wird der - Server nicht mehr auf den Client reagieren, obwohl Anfragen von - anderen Rechnern weiterhin bearbeitet werden. Dieses - Problem betrifft stets den Client, egal ob es sich beim Client - um das FreeBSD-System oder den Hochleistungsrechner handelt. - Auf vielen Systemen gibt es keine Möglichkeit mehr, den - Client ordnungsgemäß zu beenden. Die einzige - Lösung ist es oft, den Rechner neu zu starten, da dieses - NFS-Problem nicht mehr behoben werden kann. - - Die korrekte Lösung für dieses - Problem ist es, sich eine schnellere Ethernetkarte für - FreeBSD zu kaufen. Allerdings gibt es auch eine einfache und - meist zufriedenstellende Lösung, um dieses Problem zu - umgehen. Wenn es sich beim FreeBSD-System um den - Server handelt, verwenden Sie beim - Einhängen in den Verzeichnisbaum auf der Clientseite - zusätzlich die Option . Wenn es - sich beim FreeBSD-System um den Client - handelt, dann hängen Sie das NFS-Dateisystem mit der - zusätzlichen Option ein. - Diese Optionen können auf der Clientseite auch durch - das vierte Feld der Einträge in - /etc/fstab festgelegt werden, damit die - Dateisysteme automatisch eingehängt werden. Um die - Dateisysteme manuell einzuhängen, verwendet man bei - &man.mount.8; zusätzlich die Option - . - - Es gibt ein anderes Problem, das oft mit diesem verwechselt - wird. Dieses andere Problem tritt auf, wenn sich über NFS - verbundene Server und Clients in verschiedenen Netzwerken - befinden. Wenn dies der Fall ist, stellen Sie - sicher, dass Ihre Router die - nötigen UDP-Informationen weiterleiten, oder Sie werden - nirgends hingelangen, egal was Sie machen. - - In den folgenden Beispielen ist fastws der - Name des Hochleistungsrechners (bzw. dessen Schnittstelle), - freebox hingegen ist der Name des - FreeBSD-Systems, das über eine Netzkarte mit geringer - Leistung verfügt. /sharedfs ist das - exportierte NFS -Dateisystem (lesen Sie dazu auch - &man.exports.5;). Bei /project handelt es - sich um den Mountpunkt, an dem das exportierte Dateisystem auf - der Clientseite eingehängt wird. In allen Fällen - können zusätzliche Optionen, wie z.B. - , oder - wünschenswert sein. - - FreeBSD als Client (eingetragen in - /etc/fstab auf freebox): - - - fastws:/sharedfs /project nfs rw,-r=1024 0 0 - - Manuelles Einhängen auf - freebox: - - &prompt.root; mount -t nfs -o -r=1024 fastws:/sharedfs /project - - &os; als Server (eingetragen in - /etc/fstab auf fastws): - - - freebox:/sharedfs /project nfs rw,-w=1024 0 0 - - Manuelles Einhängen auf fastws: - - &prompt.root; mount -t nfs -o -w=1024 freebox:/sharedfs /project - - Nahezu alle 16-bit Ethernetadapter erlauben Operationen - ohne obengenannte Einschränkungen auf die Lese- oder - Schreibgröße. - - Für alle technisch Interessierten wird nun beschrieben, - was passiert, wenn dieser Fehler auftritt, und warum er - irreversibel ist. NFS arbeitet üblicherweise mit einer - Blockgröße von 8 kByte (obwohl - es kleinere Fragmente zulassen würde). Da die maximale - Rahmengröße von Ethernet 1500 Bytes - beträgt, wird der NFS-Block in einzelne - Ethernetrahmen aufgeteilt, obwohl es sich nach wie vor um eine - Einheit handelt, die auch als Einheit empfangen, verarbeitet - und bestätigt werden muss. Der - Hochleistungsrechner verschickt die Pakete, aus denen der - NFS-Block besteht, so eng hintereinander, wie es der Standard - erlaubt. Auf der anderen Seite (auf der sich die langsamere - Netzkarte befindet), überschreiben die späteren - Pakete ihre Vorgänger, bevor diese vom System verarbeitet - werden (Überlauf!). Dies hat zur Folge, dass der NFS-Block - nicht mehr rekonstruiert und bestätigt werden kann. Als - Folge davon glaubt der Hochleistungsrechner, dass der andere - Rechner nicht erreichbar ist (Timeout!) und versucht die - Sendung zu wiederholen. Allerdings wird wiederum der komplette - NFS-Block verschickt, so dass sich der ganze Vorgang wiederholt, - und zwar immer wieder (oder bis zum Systemneustart). - - Indem wir die Einheitengröße unter der maximalen - Größe der Ethernetpakete halten, können wir - sicherstellen, dass jedes vollständig erhaltene - Ethernetpaket individuell angesprochen werden kann und vermeiden - die Blockierung des Systems. - - Überläufe können zwar nach wie vor auftreten, - wenn ein Hochleistungsrechner Daten auf ein PC-System - transferiert. Durch die besseren (und schnelleren) Netzkarten - treten solche Überläufe allerdings nicht mehr - zwingend auf, wenn - NFS-Einheiten übertragen werden. Tritt nun - ein Überlauf auf, wird die betroffene Einheit erneut - verschickt, und es besteht eine gute Chance, dass sie nun - erhalten, verarbeitet und bestätigt werden kann. - - - @@ -2193,7 +1570,7 @@ Exports list on foobar: PXE: Das - Preboot Execution Environment System von + Preboot eXecution Environment System von &intel; ist eine Art intelligentes Boot-ROM, das in einigen Netzkarten oder Hauptplatinen verwendet wird. Weitere Informationen finden Sie in &man.pxeboot.8;. @@ -2202,7 +1579,7 @@ Exports list on foobar: Der Port - etherboot + Etherboot (net/etherboot) erzeugt ROM-fähigen Code, um einen Kernel über das Netzwerk zu laden. Dieser Code kann entweder auf ein @@ -2248,17 +1625,17 @@ Exports list on foobar: Die plattenlosen Rechner haben ein gemeinsames - root- sowie ein gemeinsames + /- sowie ein gemeinsames /usr-Dateisystem, die jeweils schreibgeschützt sind. - Das root-Dateisystem ist eine Kopie + Das root-Dateisystem ist eine Kopie eines Standardwurzelverzeichnisses von FreeBSD (üblicherweise das des Servers), bei dem einige Konfigurationsdateien durch für den plattenlosen Betrieb geeignete Versionen ersetzt wurden. - Für die Bereiche von root, die + Für die Bereiche des root-Dateisystems, die beschreibbar sein müssen, werden mit &man.mfs.8; (&os; 4.X) oder &man.md.4; (&os; 5.X) virtuelle Dateisysteme erzeugt. Dies bedeutet aber auch, dass @@ -2268,7 +1645,7 @@ Exports list on foobar: Der Kernel wird, in Abhängigkeit von der jeweiligen - Situation, entweder von etherboot + Situation, entweder von Etherboot oder von PXE transferiert und geladen. @@ -2374,7 +1751,7 @@ Exports list on foobar: - etherboot lädt den + Etherboot lädt den Kernel hingegen direkt. Dafür müssen Sie allerdings einen Kernel mit spezifischen Optionen erzeugen. @@ -2382,7 +1759,7 @@ Exports list on foobar: Auf 4.X-Systemen sind PXE und - etherboot gleichwertig. + Etherboot gleichwertig. 5.X-Kernel übergeben hingegen viele Aufgaben an den &man.loader.8;, daher ist die Verwendung von PXE auf 5.X-Systemen @@ -2392,7 +1769,7 @@ Exports list on foobar: PXE unterstützen, sollten Sie es auch verwenden. Es ist allerdings nach wie vor möglich, ein 5.X-System über - etherboot zu starten. + Etherboot zu starten. @@ -2425,15 +1802,13 @@ Exports list on foobar: des Basissystems. Sie müssen es daher zuerst installieren. Verwenden Sie dazu den Port net/isc-dhcp3-server - oder das entsprechende Paket. Allgemeine Informationen zu - Ports und Paketen finden Sie im - des Handbuchs. + oder das entsprechende Paket. Nachdem ISC DHCP installiert ist, muss das Programm konfiguriert werden (normalerweise in /usr/local/etc/dhcpd.conf). Im folgenden Beispiel verwendet Rechner margaux - etherboot, während Rechner + Etherboot, während Rechner corbieres PXE verwendet: @@ -2472,8 +1847,8 @@ Exports list on foobar: weist dhcpd an, den Wert der host-Deklaration als Rechnernamen des plattenlosen Rechners zu senden. Alternativ kann man der - Hostdeklaration Folgendes hinzufügen: - option host-name + host-Deklaration Folgendes + hinzufügen: option host-name margaux @@ -2487,10 +1862,10 @@ Exports list on foobar: Die Anweisung filename bestimmt die Datei, die - etherboot als nächstes + Etherboot als nächstes lädt. Das genaue Format hängt von der gewählten Transfermethode ab. - etherboot kann sowohl mit + Etherboot kann sowohl mit NFS als auch mit TFTP kompiliert werden. In der Voreinstellung wird der &os;-Port mit @@ -2508,6 +1883,7 @@ Exports list on foobar: GENERIC-Kernel laden, dadurch ist es möglich, PXE von einer entfernten CD-ROM zu starten. + Die Option root-path bestimmt den Pfad des @@ -2536,7 +1912,7 @@ Exports list on foobar: Beachten Sie bitte, dass - etherboot mit der Option + Etherboot mit der Option NO_DHCP_SUPPORT kompiliert werden muss, damit BOOTP verwendet werden kann. PXE hingegen benötigt @@ -2570,36 +1946,29 @@ margaux:ha=0123456789ab:tc=.def100 ausführliche Informationen, die zwar vor allem für Linux gedacht sind, aber dennoch nützliche Informationen enthalten. Im Folgenden wird daher nur grob - beschrieben, wie Sie etherboot auf + beschrieben, wie Sie Etherboot auf einem FreeBSD-System einsetzen können. Als Erstes müssen Sie net/etherboot als Paket - oder als Port installieren. Der Port - etherboot befindet sich unter - /usr/ports/net/etherboot. Wenn Sie - die Portssammlung installiert haben, reicht es aus, in dieses - Verzeichnis zu wechseln, und make install - aufzurufen. Alles Weitere sollte automatisch ablaufen. Ist - dies nicht der Fall, lesen Sie bitte , - das Informationen zu Ports und Paketen enthält. + oder als Port installieren. - Sie können etherboot so + Sie können Etherboot so konfigurieren, dass TFTP anstelle von NFS verwendet wird, indem Sie die Datei Config im Quellverzeichnis von - etherboot bearbeiten. + Etherboot bearbeiten. Für unsere Installation verwenden wir eine Startdiskette. Für Informationen zu anderen Methoden (PROM oder &ms-dos;-Programme) lesen Sie bitte die - Dokumentation zu etherboot. + Dokumentation zu Etherboot. Um eine Startdiskette zu erzeugen, legen Sie eine Diskette in das Laufwerk des Rechners ein, auf dem Sie - etherboot installiert haben. Danach + Etherboot installiert haben. Danach wechseln Sie in das Verzeichnis src des - etherboot-Verzeichnisbaums und geben + Etherboot-Verzeichnisbaums und geben Folgendes ein: &prompt.root; gmake bin32/devicetype.fd0 @@ -2657,7 +2026,7 @@ margaux:ha=0123456789ab:tc=.def100 Wenn Sie PXE oder - etherboot so konfiguriert haben, + Etherboot so konfiguriert haben, dass diese TFTP verwenden, müssen Sie auf dem Dateiserver tftpd aktivieren: @@ -2745,7 +2114,7 @@ margaux:ha=0123456789ab:tc=.def100 Kernelkonfiguration - Wenn Sie etherboot verwenden, + Wenn Sie Etherboot verwenden, müssen Sie in die Kernelkonfigurationsdatei Ihres plattenlosen Clients zusätzlich folgende Optionen einfügen: @@ -2782,11 +2151,11 @@ options BOOTP_NFSROOT # NFS mount root filesystem using BOOTP inforc.conf-Datei festlegen müssten. - + Damit ein 5.X-Kernel von - etherboot geladen werden kann, + Etherboot geladen werden kann, müssen device hints im Kernel einkompiliert sein. Dazu setzen Sie normalerweise folgende Option in die Kernelkonfigurationsdatei (sehen Sie @@ -2953,7 +2322,8 @@ host margaux { /netswapvolume -maproot=0:10 -alldirs margaux corbieres Zuletzt weisen Sie mountd - erneut an, die Exportdateien neu einzulesen. + erneut an, die exports-Datei neu + einzulesen. @@ -2992,9 +2362,10 @@ host margaux { Wenn am plattenlosen Rechner X läuft, müssen - Sie die Konfigurationsdatei von xdm - anpassen, da Fehlermeldungen in der Voreinstellung auf - /usr geschrieben werden. + Sie die Konfigurationsdatei von + XDM anpassen, da Fehlermeldungen + in der Voreinstellung auf /usr + geschrieben werden. @@ -3243,9 +2614,9 @@ host margaux { und einem autonomen ISDN-Router ist beinahe eine religiöse Angelegenheit. Zu diesem Thema gibt es viele Diskussionen in den Mailinglisten. Suchen Sie in den - - Archiven danach, wenn Sie an der kompletten Diskussion - interessiert sind. + Archiven + danach, wenn Sie an der kompletten Diskussion interessiert + sind. @@ -3401,2000 +2772,7 @@ ISDN BRI Verbindung - - - - - Bill - Swingle - Beigetragen von - - - - - - Eric - Ogren - Erweitert von - - - - Udo - Erdelhoff - - - - - NIS/YP – Network Information Service - - - Was ist NIS? - - NIS - Solaris - HP-UX - AIX - Linux - NetBSD - OpenBSD - - NIS (Network Information Service) wurde von Sun Microsystems - entwickelt, um &unix;-Systeme (ursprünglich &sunos;) - zentral verwalten zu können. Mittlerweile hat es sich zu - einem Industriestandard entwickelt, der von allen wichtigen - &unix;-Systemen (&solaris;, HP-UX, &aix;, Linux, NetBSD, - OpenBSD, FreeBSD und anderen) unterstützt wird. - - - yellow pages - NIS - - - NIS war ursprünglich als - Yellow Pages bekannt, aus markenrechtlichen - Gründen wurde der Name aber geändert. Die alte - Bezeichnung (sowie die Abkürzung YP) wird aber nach wie vor - häufig verwendet. - - - NIS - Domänen - - - Bei NIS handelt es sich um ein RPC-basiertes - Client/Server-System. Eine Gruppe von Rechnern greift dabei - innerhalb einer NIS-Domäne auf gemeinsame - Konfigurationsdateien zu. Ein Systemadministrator wird dadurch - in die Lage versetzt, NIS-Clients mit minimalem Aufwand - einzurichten, sowie Änderungen an der Systemkonfiguration - von einem zentralen Ort aus durchzuführen. - - - Windows NT - - - Die Funktion entspricht dem Domänensystem von - &windowsnt;; auch wenn sich die interne Umsetzung unterscheidet, - sind die Basisfunktionen vergleichbar. - - - - Wichtige Prozesse und Begriffe - - Es gibt verschiedene Begriffe und Anwenderprozesse, auf die - Sie stoßen werden, wenn Sie NIS unter FreeBSD einrichten, - egal ob Sie einen Server oder einen Client konfigurieren: - - - portmap - - - - - - - Begriff - - Beschreibung - - - - - - NIS-Domänenname - - Ein NIS-Masterserver sowie alle Clients (inklusive - der Slaveserver) haben einen NIS-Domänennamen. - Dieser hat (ähnlich den - &windowsnt;-Domänennamen) nichts mit DNS zu tun. - - - - - portmap - - Muss laufen, damit RPC (Remote Procedure Call, ein - von NIS verwendetes Netzwerkprotokoll) funktioniert. - NIS-Server sowie Clients funktionieren ohne - portmap nicht. - - - - ypbind - - Bindet einen NIS-Client an seinen - NIS-Server. Der Client bezieht den - NIS-Domänennamen vom System und stellt über - das RPC-Protokoll eine Verbindung zum NIS-Server her. - ypbind ist der zentrale - Bestandteil der Client-Server-Kommunikation in einer - NIS-Umgebung. Wird >ypbind - auf einem Client beendet, ist dieser nicht mehr in der - Lage, auf den NIS-Server zuzugreifen. - - - - ypserv - - Sollte nur auf dem NIS-Server laufen, da es sich um - den Serverprozess selbst handelt. Wenn &man.ypserv.8; - nicht mehr läuft, kann der Server nicht mehr auf - NIS-Anforderungen reagieren (wenn ein Slaveserver - existiert, kann dieser als Ersatz fungieren). Einige - NIS-Systeme (allerdings nicht das von - FreeBSD) versuchen allerdings erst gar nicht, sich mit - einem anderen Server zu verbinden, wenn der bisher - verwendete Server nicht mehr reagiert. Die einzige - Lösung dieses Problems besteht dann darin, den - Serverprozess (oder gar den Server selbst) oder den - ypbind-Prozess auf dem - Client neu zu starten. - - - - rpc.yppasswdd - - Ein weiterer Prozess, der nur auf dem - NIS-Masterserver laufen sollte. Es handelt sich um einen - Daemonprozess, der es NIS-Clients ermöglicht, sich - auf dem NIS-Masterserver anzumelden, um ihr Passwort zu - ändern. - - - - - - - - - Wie funktioniert NIS? - - In einer NIS-Umgebung gibt es drei Rechnerarten: - Masterserver, Slaveserver und Clients. Server dienen als - zentraler Speicherort für Rechnerkonfigurationen. - Masterserver speichern die maßgebliche Kopie dieser - Informationen, während Slaveserver diese Informationen - aus Redundanzgründen spiegeln. Die Clients beziehen - ihre Informationen immer vom Server. - - Auf diese Art und Weise können Informationen aus - verschiedenen Dateien von mehreren Rechnern gemeinsam - verwendet werden. master.passwd, - group, und hosts - werden oft gemeinsam über NIS verwendet. Immer, wenn - ein Prozess auf einem Client auf Informationen zugreifen will, - die normalerweise in lokalen Dateien vorhanden wären, - wird stattdessen eine Anfrage an den NIS-Server gestellt, an - den der Client gebunden ist. - - - Arten von NIS-Rechnern - - - - NIS - Masterserver - - - - Ein NIS-Masterserver verwaltet, - ähnlich einem &windowsnt;-Domänencontroller, die - von allen NIS-Clients gemeinsam verwendeten Dateien. - passwd, group, - sowie verschiedene andere von den Clients verwendete - Dateien existieren auf dem Masterserver. - - Ein Rechner kann auch für mehrere - NIS-Domänen als Masterserver fungieren. Dieser - Abschnitt konzentriert sich im Folgenden allerdings auf - eine relativ kleine NIS-Umgebung. - - - - NIS - Slaveserver - - - - NIS-Slaveserver. Ähnlich - einem &windowsnt;-Backupdomänencontroller, verwalten - NIS-Slaveserver Kopien der Daten des NIS-Masterservers. - NIS-Slaveserver bieten die Redundanz, die für - kritische Umgebungen benötigt wird. Zusätzlich - entlasten Slaveserver den Masterserver: NIS-Clients - verbinden sich immer mit dem NIS-Server, der zuerst - reagiert. Dieser Server kann auch ein Slaveserver sein. - - - - - NIS - Client - - - - NIS-Clients. NIS-Clients - identifizieren sich gegenüber dem NIS-Server - (ähnlich den &windowsnt;-Workstations), um sich am - Server anzumelden. - - - - - - - NIS/YP konfigurieren - - Dieser Abschnitt beschreibt an Hand eines Beispiels die - Einrichtung einer NIS-Umgebung. - - Es wird dabei davon ausgegangen, dass Sie - FreeBSD 3.3 oder eine aktuellere Version verwenden. - Wahrscheinlich funktioniert diese Anleitung - auch für FreeBSD-Versionen ab 3.0, es gibt dafür aber - keine Garantie. - - - Planung - - Nehmen wir an, Sie seien der Administrator eines kleinen - Universitätsnetzes. Dieses Netz besteht aus - fünfzehn FreeBSD-Rechnern, für die derzeit keine - zentrale Verwaltung existiert, jeder Rechner hat also eine - eigene Version von /etc/passwd und - /etc/master.passwd. Diese Dateien werden - manuell synchron gehalten; legen Sie einen neuen Benutzer an, - so muss dies auf allen fünfzehn Rechnern manuell - erledigt werden (unter Verwendung von - adduser). Da diese Lösung sehr - ineffizient ist, soll das Netzwerk in Zukunft NIS verwenden, - wobei zwei der Rechner als Server dienen sollen. - - In Zukunft soll das Netz also wie folgt aussehen: - - - - - - Rechnername - IP-Adresse - Rechneraufgabe - - - - - ellington - 10.0.0.2 - NIS-Master - - - coltrane - 10.0.0.3 - NIS-Slave - - - basie - 10.0.0.4 - Workstation der Fakultät - - - bird - 10.0.0.5 - Clientrechner - - - cli[1-11] - 10.0.0.[6-17] - Verschiedene andere Clients - - - - - - Wenn Sie NIS das erste Mal einrichten, ist es ratsam, sich - zuerst über die Vorgangsweise Gedanken zu machen. - Unabhängig von der Größe Ihres Netzwerks - müssen Sie stets einige Entscheidungen treffen. - - - Einen NIS-Domänennamen wählen - - - NIS - Domänenname - - - Dies muss nicht der Domainname sein. Es - handelt sich vielmehr um den NIS-Domainnamen. - Wenn ein Client Informationen anfordert, ist in dieser - Anforderung der Name der NIS-Domäne enthalten. - Dadurch weiß jeder Server im Netzwerk, auf welche - Anforderung er antworten muss. Stellen Sie sich den - NIS-Domänennamen als den Namen einer Gruppe von - Rechnern vor, die etwas gemeinsam haben. - - Manchmal wird der Name der Internetdomäne auch - für die NIS-Domäne verwendet. Dies ist allerdings - nicht empfehlenswert, da dies bei der Behebung von Problemen - verwirrend sein kann. Der Name der NIS-Domäne sollte - innerhalb Ihres Netzwerks einzigartig sein. Hilfreich ist - es, wenn der Name die Gruppe der in ihr zusammengefassten - Rechner beschreibt. Die Kunstabteilung von Acme Inc. - hätte daher die NIS-Domäne - acme-art. Für unser Beispiel verwenden - wir den NIS-Domänennamen - test-domain. - - SunOS - - Es gibt jedoch auch Betriebssysteme (vor allem &sunos;), - die als NIS-Domänennamen den Name der - Internetdomäne verwenden. Wenn dies für einen - oder mehrere Rechner Ihres Netzwerks zutrifft, - müssen Sie den Namen der - Internetdomäne als Ihren NIS-Domänennamen - verwenden. - - - - Anforderungen an den Server - - Wenn Sie einen NIS-Server einrichten wollen, müssen - Sie einige Dinge beachten. Eine unangenehme Eigenschaft - von NIS ist die Abhängigkeit der Clients vom Server. - Wenn sich der Client nicht über den Server mit seiner - NIS-Domäne verbinden kann, wird der Rechner oft - unbenutzbar, da das Fehlen von Benutzer- und - Gruppeninformationen zum Einfrieren des Clients führt. - Daher sollten Sie für den Server einen Rechner - auswählen, der nicht regelmäßig neu - gestartet werden muss und der nicht für Testversuche - verwendet wird. Idealerweise handelt es sich um einen - alleinstehenden Rechner, dessen einzige Aufgabe es ist, als - NIS-Server zu dienen. Wenn Sie ein Netzwerk haben, das - nicht zu stark ausgelastet ist, ist es auch möglich, - den NIS-Server als weiteren Dienst auf einem anderen Rechner - laufen zu lassen. Denken Sie aber daran, dass ein Ausfall - des NIS-Servers alle NIS-Clients - betrifft. - - - - - NIS-Server - - Die verbindlichen Kopien aller NIS-Informationen befinden - sich auf einem einzigen Rechner, dem NIS-Masterserver. Die - Datenbanken, in denen die Informationen gespeichert sind, - bezeichnet man als NIS-Maps. Unter FreeBSD werden diese - Maps unter /var/yp/[domainname] - gespeichert, wobei [domainname] der - Name der NIS-Domäne ist. Ein einzelner NIS-Server - kann gleichzeitig mehrere NIS-Domänen verwalten, daher - können auch mehrere Verzeichnisse vorhanden sein. Jede - Domäne verfügt über ein eigenes Verzeichnis - sowie einen eigenen, von anderen Domänen - unabhängigen Satz von NIS-Maps. - - NIS-Master- und Slaveserver verwenden den - ypserv-Daemon, um NIS-Anfragen zu - bearbeiten. ypserv empfängt - eingehende Anfragen der NIS-Clients, ermittelt aus der - angeforderten Domäne und Map einen Pfad zur - entsprechenden Datenbank, und sendet die angeforderten - Daten von der Datenbank zum Client. - - - Einen NIS-Masterserver einrichten - - - NIS - Serverkonfiguration - - - Abhängig von Ihren Anforderungen ist die - Einrichtung eines NIS-Masterservers relativ einfach, da - NIS von FreeBSD bereits in der Standardkonfiguration - unterstützt wird. Sie müssen nur folgende - Zeilen in /etc/rc.conf einfügen: - - - - - nisdomainname="test-domain" - - Diese Zeile setzt den NIS-Domänennamen auf - test-domain, wenn Sie das Netzwerk - initialisieren (beispielsweise nach einem Systemstart). - - - - - nis_server_enable="YES" - Dadurch werden die NIS-Serverprozesse gestartet. - - - - nis_yppasswdd_enable="YES" - Durch diese Zeile wird der - rpc.yppasswdd-Daemon aktiviert, der, - wie bereits erwähnt, die Änderung von - NIS-Passwörtern von einem Client aus - ermöglicht. - - - - - In Abhängigkeit von Ihrer NIS-Konfiguration - können weitere Einträge erforderlich sein. - Weitere Informationen finden Sie im Abschnitt - NIS-Server, die auch - als NIS-Clients arbeiten. - - - Nun müssen Sie nur noch - /etc/netstart als Superuser - ausführen, um alles entsprechend Ihren Vorgaben in - /etc/rc.conf einzurichten. - - - - Die NIS-Maps initialisieren - - - NIS - maps - - - NIS-Maps sind Datenbanken, die - sich im Verzeichnis /var/yp befinden. - Sie werden am NIS-Masterserver aus den Konfigurationsdateien - unter /etc erzeugt. Einzige Ausnahme: - /etc/master.passwd. Dies ist auch - sinnvoll, da Sie die Passwörter für Ihr - root- oder andere - Administratorkonten nicht an alle Server der NIS-Domäne - verteilen wollen. Bevor Sie also die NIS-Maps des - Masterservers einrichten, sollten Sie Folgendes tun: - - &prompt.root; cp /etc/master.passwd /var/yp/master.passwd -&prompt.root; cd /var/yp -&prompt.root; vi master.passwd - - Entfernen Sie alle Systemkonten - (wie bin, tty, - kmem oder games), - sowie alle Konten, die Sie nicht an die NIS-Clients - weitergeben wollen (beispielsweise root - und alle Konten mit der UID 0 (=Superuser). - - Stellen Sie sicher, dass - /var/yp/master.passwd weder von der - Gruppe noch von der Welt gelesen werden kann (Zugriffsmodus - 600)! Ist dies nicht der Fall, ändern Sie dies mit - chmod. - - Tru64 UNIX - - Nun können Sie die NIS-Maps initialisieren. - FreeBSD verwendet dafür das Skript - ypinit (lesen Sie dazu auch - &man.ypinit.8;). Dieses Skript ist auf fast allen - UNIX-Betriebssystemen verfügbar. Bei - Digitals Unix/Compaq Tru64 UNIX nennt es sich allerdings - ypsetup. Da wir Maps für einen - NIS-Masterserver erzeugen, verwenden wir - ypinit mit der Option - . Nachdem Sie die beschriebenen - Aktionen durchgeführt haben, erzeugen Sie nun die - NIS-Maps: - - ellington&prompt.root; ypinit -m test-domain -Server Type: MASTER Domain: test-domain -Creating an YP server will require that you answer a few questions. -Questions will all be asked at the beginning of the procedure. -Do you want this procedure to quit on non-fatal errors? [y/n: n] n -Ok, please remember to go back and redo manually whatever fails. -If you don't, something might not work. -At this point, we have to construct a list of this domains YP servers. -rod.darktech.org is already known as master server. -Please continue to add any slave servers, one per line. When you are -done with the list, type a <control D>. -master server : ellington -next host to add: coltrane -next host to add: ^D -The current list of NIS servers looks like this: -ellington -coltrane -Is this correct? [y/n: y] y - -[..output from map generation..] - -NIS Map update completed. -ellington has been setup as an YP master server without any errors. - - Dadurch erzeugt ypinit - /var/yp/Makefile aus der Datei - /var/yp/Makefile.dist. - Durch diese Datei wird festgelegt, dass Sie in einer - NIS-Umgebung mit nur einem Server arbeiten und dass alle - Clients unter FreeBSD laufen. Da - test-domain aber auch über einen - Slaveserver verfügt, müssen Sie - /var/yp/Makefile entsprechend anpassen: - - - ellington&prompt.root; vi /var/yp/Makefile - - Sie sollten die Zeile - - NOPUSH = "True" - - auskommentieren (falls dies nicht bereits der Fall ist). - - - - Einen NIS-Slaveserver einrichten - - - NIS - Slaveserver - - - Ein NIS-Slaveserver ist noch einfacher einzurichten als - ein Masterserver. Melden Sie sich am Slaveserver an und - ändern Sie /etc/rc.conf analog - zum Masterserver. Der einzige Unterschied besteht in der - Verwendung der Option , wenn Sie - ypinit aufrufen. Die Option - erfordert den Namen des - NIS-Masterservers, daher sieht unsere Ein- und Ausgabe wie - folgt aus: - - coltrane&prompt.root; ypinit -s ellington test-domain - -Server Type: SLAVE Domain: test-domain Master: ellington - -Creating an YP server will require that you answer a few questions. -Questions will all be asked at the beginning of the procedure. - -Do you want this procedure to quit on non-fatal errors? [y/n: n] n - -Ok, please remember to go back and redo manually whatever fails. -If you don't, something might not work. -There will be no further questions. The remainder of the procedure -should take a few minutes, to copy the databases from ellington. -Transferring netgroup... -ypxfr: Exiting: Map successfully transferred -Transferring netgroup.byuser... -ypxfr: Exiting: Map successfully transferred -Transferring netgroup.byhost... -ypxfr: Exiting: Map successfully transferred -Transferring master.passwd.byuid... -ypxfr: Exiting: Map successfully transferred -Transferring passwd.byuid... -ypxfr: Exiting: Map successfully transferred -Transferring passwd.byname... -ypxfr: Exiting: Map successfully transferred -Transferring group.bygid... -ypxfr: Exiting: Map successfully transferred -Transferring group.byname... -ypxfr: Exiting: Map successfully transferred -Transferring services.byname... -ypxfr: Exiting: Map successfully transferred -Transferring rpc.bynumber... -ypxfr: Exiting: Map successfully transferred -Transferring rpc.byname... -ypxfr: Exiting: Map successfully transferred -Transferring protocols.byname... -ypxfr: Exiting: Map successfully transferred -Transferring master.passwd.byname... -ypxfr: Exiting: Map successfully transferred -Transferring networks.byname... -ypxfr: Exiting: Map successfully transferred -Transferring networks.byaddr... -ypxfr: Exiting: Map successfully transferred -Transferring netid.byname... -ypxfr: Exiting: Map successfully transferred -Transferring hosts.byaddr... -ypxfr: Exiting: Map successfully transferred -Transferring protocols.bynumber... -ypxfr: Exiting: Map successfully transferred -Transferring ypservers... -ypxfr: Exiting: Map successfully transferred -Transferring hosts.byname... -ypxfr: Exiting: Map successfully transferred - -coltrane has been setup as an YP slave server without any errors. -Don't forget to update map ypservers on ellington. - - Sie sollten nun über das Verzeichnis - /var/yp/test-domain verfügen. - Die Kopien der NIS-Masterserver-Maps sollten sich in diesem - Verzeichnis befinden. Allerdings müssen Sie diese - auch aktuell halten. Die folgenden Einträge in - /etc/crontab erledigen diese Aufgabe: - - - 20 * * * * root /usr/libexec/ypxfr passwd.byname -21 * * * * root /usr/libexec/ypxfr passwd.byuid - - Diese zwei Zeilen zwingen den Slaveserver, seine Maps - mit denen des Masterservers zu synchronisieren. Diese - Einträge sind nicht zwingend, da der Masterserver - versucht, alle Änderungen seiner NIS-Maps an seine - Slaveserver weiterzugeben. Da Passwortinformationen aber - für vom Server abhängige Systeme vital sind, ist - es eine gute Idee, diese Aktualisierungen zu erzwingen. - Besonders wichtig ist dies in stark ausgelasteten Netzen, - in denen Map-Aktualisierungen unvollständig sein - könnten. - - Führen Sie nun /etc/netstart - auch auf dem Slaveserver aus, um den NIS-Server erneut zu - starten. - - - - - NIS-Clients - - Ein NIS-Client bindet sich unter - Verwendung des ypbind-Daemons an einen - NIS-Server. ypbind prüft die - Standarddomäne des Systems (die durch - domainname gesetzt wird), und beginnt - RPCs über das lokale Netzwerk zu verteilen (broadcast). - Diese Anforderungen legen den Namen der Domäne fest, - für die ypbind eine Bindung erzeugen - will. Wenn der Server der entsprechenden Domäne eine - solche Anforderung erhält, schickt er eine Antwort an - ypbind. ybind speichert - daraufhin die Adresse des Servers. Wenn mehrere Server - verfügbar sind (beispielsweise ein Master- und mehrere - Slaveserver), verwendet ypbind die erste - erhaltene Adresse. Ab diesem Zeitpunkt richtet der Client alle - Anfragen an genau diesen Server. ypbind - pingt den Server gelegentlich an, um - sicherzustellen, dass der Server funktioniert. Antwortet der - Server innerhalb eines bestimmten Zeitraums nicht (Timeout), - markiert ypbind die Domäne als - ungebunden und beginnt erneut, RPCs über das Netzwerk zu - verteilen, um einen anderen Server zu finden. - - - Einen NIS-Client konfigurieren - - - NIS - Client konfigurieren - - - Einen FreeBSD-Rechner als NIS-Client einzurichten, ist - recht einfach. - - - - Fügen Sie folgende Zeilen in - /etc/rc.conf ein, um den - NIS-Domänennamen festzulegen, und um - ypbind bei der Initialisierung des - Netzwerks zu starten: - - nisdomainname="test-domain" -nis_client_enable="YES" - - - - Um alle Passworteinträge des NIS-Servers zu - importieren, löschen Sie alle Benutzerkonten in - /etc/master.passwd und fügen - mit vipw folgende Zeile am Ende der - Datei ein: - - +::::::::: - - - Diese Zeile legt für alle gültigen - Benutzerkonten der NIS-Server-Maps einen Zugang an. - Es gibt verschiedene Wege, Ihren NIS-Client durch - Änderung dieser Zeile zu konfigurieren. Lesen - Sie dazu auch den Abschnitt über - Netzgruppen weiter - unten. Weitere detaillierte Informationen finden Sie - im Buch Managing NFS and NIS von - O'Reilly. - - - - Sie sollten zumindest ein lokales Benutzerkonto, - das nicht über NIS importiert wird, in Ihrer - /etc/master.passwd behalten. - Dieser Benutzer sollte außerdem ein Mitglied der - Gruppe wheel sein. Wenn es - mit NIS Probleme gibt, können Sie diesen Zugang - verwenden, um sich anzumelden, - root zu werden und das Problem - zu beheben. - - - - - Um alle möglichen Gruppeneinträge vom - NIS-Server zu importieren, fügen sie folgende Zeile - in /etc/group ein: - - +:*:: - - - - Nachdem Sie diese Schritte erledigt haben, sollten Sie - mit ypcat passwd die - passwd-Map des NIS-Server anzeigen - können. - - - - - - - Sicherheit unter NIS - - - NIS - Sicherheit - - - Im Allgemeinen kann jeder entfernte Anwender einen RPC an - &man.ypserv.8; schicken, um den Inhalt Ihrer NIS-Maps abzurufen, - falls er Ihren NIS-Domänennamen kennt. Um solche - unautorisierten Transaktionen zu verhindern, unterstützt - &man.ypserv.8; securenets, durch die man den - Zugriff auf bestimmte Rechner beschränken kann. - &man.ypserv.8; versucht, beim Systemstart die Informationen - über securenets aus der Datei - /var/yp/securenets zu laden. - - - Die Datei securenets kann auch - in einem anderen Verzeichnis stehen, das mit der Option - angegeben wird. Diese Datei - enthält Einträge, die aus einer Netzwerkadresse und - einer Netzmaske bestehen, die durch Leerzeichen getrennt - werden. Kommentarzeilen beginnen mit #. - /var/yp/securnets könnte - beispielsweise so aussehen: - - - # allow connections from local host -- mandatory -127.0.0.1 255.255.255.255 -# allow connections from any host -# on the 192.168.128.0 network -192.168.128.0 255.255.255.0 -# allow connections from any host -# between 10.0.0.0 to 10.0.15.255 -# this includes the machines in the testlab -10.0.0.0 255.255.240.0 - - Wenn &man.ypserv.8; eine Anforderung von einer zu diesen - Regeln passenden Adresse erhält, wird die Anforderung - bearbeitet. Gibt es keine passende Regel, wird die - Anforderung ignoriert und eine Warnmeldung aufgezeichnet. Wenn - /var/yp/securenets nicht vorhanden ist, - erlaubt ypserv Verbindungen von jedem Rechner - aus. - - ypserv unterstützt auch das - tcpwrapper-Paket von Wietse Venema. - Mit diesem Paket kann der Administrator für - Zugriffskontrollen die Konfigurationsdateien von - tcpwrapper anstelle von - /var/yp/securenets verwenden. - - - Während beide Kontrollmechanismen einige Sicherheit - gewähren, beispielsweise durch privilegierte Ports, sind - sie gegenüber IP spoofing-Attacken - verwundbar. Jeder NIS-Verkehr sollte daher von Ihrer Firewall - blockiert werden. - - Server, die /var/yp/securenets - verwenden, können Schwierigkeiten bei der Anmeldung von - Clients haben, die ein veraltetes TCP/IP-Subsystem - besitzen. Einige dieser TCP/IP-Subsysteme setzen alle - Rechnerbits auf Null, wenn Sie einen - Broadcast durchführen und/oder - können die Subnetzmaske nicht auslesen, wenn sie die - Broadcast-Adresse berechnen. Einige Probleme können - durch Änderungen der Clientkonfiguration behoben werden. - Andere hingegen lassen sich nur durch das Entfernen des - betreffenden Rechners aus dem Netzwerk oder den Verzicht auf - /var/yp/securenets umgehen. - - Die Verwendung von /var/yp/securenets - auf einem Server mit einem solch veralteten - TCP/IP-Subsystem ist eine sehr schlechte Idee, die zu - einem Verlust der NIS-Funktionalität für große - Teile Ihres Netzwerks führen kann. - - - tcpwrapper - - - Die Verwendung von tcpwrapper - verlangsamt die Reaktion Ihres NIS-Servers. Diese - zusätzliche Reaktionszeit kann in Clientprogrammen zu - Timeouts führen. Dies vor allem in Netzwerken, die - stark ausgelastet sind, oder nur über langsame NIS-Server - verfügen. Wenn ein oder mehrere Ihrer Clientsysteme - dieses Problem aufweisen, sollten Sie die betreffenden Clients - in NIS-Slaveserver umwandeln, und diese an sich selbst binden. - - - - - - Bestimmte Benutzer an der Anmeldung hindern - - - NIS - Benutzer blockieren - - - In unserem Labor gibt es den Rechner basie, - der nur für Mitarbeiter der Fakultät bestimmt ist. - Wir wollen diesen Rechner nicht aus der NIS-Domäne - entfernen, obwohl passwd des - NIS-Masterservers Benutzerkonten sowohl für - Fakultätsmitarbeiter als auch für Studenten - enthält. Was können wir also tun? - - Es gibt eine Möglichkeit, bestimmte Benutzer an der - Anmeldung an einem bestimmten Rechner zu hindern, selbst wenn - diese in der NIS-Datenbank vorhanden sind. Dazu müssen - Sie lediglich an diesem Rechner den Eintrag - -Benutzername an - das Ende von /etc/master.passwd setzen, - wobei Benutzername der zu - blockierende Benutzername ist. Diese Änderung sollte - bevorzugt durch vipw erledigt werden, da - vipw Ihre Änderungen an - /etc/master.passwd auf Plausibilität - überprüft und nach erfolgter Änderung die - Passwortdatenbank automatisch aktualisiert. Um also den - Benutzer bill an der Anmeldung am Rechner - basie zu hindern, gehen wir wie folgt vor: - - - basie&prompt.root; vipw -[add -bill to the end, exit] -vipw: rebuilding the database... -vipw: done - -basie&prompt.root; cat /etc/master.passwd - -root:[password]:0:0::0:0:The super-user:/root:/bin/csh -toor:[password]:0:0::0:0:The other super-user:/root:/bin/sh -daemon:*:1:1::0:0:Owner of many system processes:/root:/sbin/nologin -operator:*:2:5::0:0:System &:/:/sbin/nologin -bin:*:3:7::0:0:Binaries Commands and Source,,,:/:/sbin/nologin -tty:*:4:65533::0:0:Tty Sandbox:/:/sbin/nologin -kmem:*:5:65533::0:0:KMem Sandbox:/:/sbin/nologin -games:*:7:13::0:0:Games pseudo-user:/usr/games:/sbin/nologin -news:*:8:8::0:0:News Subsystem:/:/sbin/nologin -man:*:9:9::0:0:Mister Man Pages:/usr/share/man:/sbin/nologin -bind:*:53:53::0:0:Bind Sandbox:/:/sbin/nologin -uucp:*:66:66::0:0:UUCP pseudo-user:/var/spool/uucppublic:/usr/libexec/uucp/uucico -xten:*:67:67::0:0:X-10 daemon:/usr/local/xten:/sbin/nologin -pop:*:68:6::0:0:Post Office Owner:/nonexistent:/sbin/nologin -nobody:*:65534:65534::0:0:Unprivileged user:/nonexistent:/sbin/nologin -+::::::::: --bill - -basie&prompt.root; - - - - - - - Udo - Erdelhoff - Beigetragen von - - - - - Netzgruppen verwenden - - Netzgruppen - - Die im letzten Abschnitt beschriebene Methode eignet sich - besonders, wenn Sie spezielle Regeln für wenige - Benutzer oder wenige Rechner benötigen. In großen - Netzwerken werden Sie allerdings - mit Sicherheit vergessen, einige Benutzer - von der Anmeldung an bestimmten Rechnern auszuschließen. - Oder Sie werden gezwungen sein, jeden Rechner einzeln zu - konfigurieren. Dadurch verlieren Sie aber den Hauptvorteil von - NIS, die zentrale Verwaltung. - - Die Lösung für dieses Problem sind - Netzgruppen. Ihre Aufgabe und Bedeutung - ist vergleichbar mit normalen, von UNIX-Dateisystemen - verwendeten Gruppen. Die Hauptunterschiede sind das Fehlen - einer numerischen ID sowie die Möglichkeit, Netzgruppen - zu definieren, die sowohl Benutzer als auch andere Netzgruppen - enthalten. - - Netzgruppen wurden entwickelt, um große, komplexe - Netzwerke mit Hunderten Benutzern und Rechnern zu verwalten. - Sie sind also von Vorteil, wenn Sie von dieser Situation - betroffen sind. Andererseits ist es dadurch beinahe - unmöglich, Netzgruppen mit einfachen Beispielen zu - erklären. Das hier verwendete Beispiel veranschaulicht - dieses Problem. - - Nehmen wir an, dass Ihre erfolgreiche Einführung von - NIS die Aufmerksamkeit Ihrer Vorgesetzten geweckt hat. Ihre - nächste Aufgabe besteht nun darin, Ihre NIS-Domäne - um zusätzliche Rechner zu erweitern. Die folgenden - Tabellen enthalten die neuen Benutzer und Rechner inklusive - einer kurzen Beschreibung. - - - - - - Benutzername(n) - Beschreibung - - - - - - alpha, - beta - Beschäftigte der IT-Abteilung - - - - charlie, - delta - Die neuen Lehrlinge der IT-Abteilung - - - - echo, - foxtrott, - golf, ... - Normale Mitarbeiter - - - - able, - baker, ... - Externe Mitarbeiter - - - - - - - - - - Rechnername(n) - Beschreibung - - - - - - - war, death, - famine, pollution - Ihre wichtigsten Server. Nur IT-Fachleute - dürfen sich an diesen Rechnern anmelden. - - - - - pride, greed, - envy, wrath, - lust, sloth - Weniger wichtige Server. Alle Mitarbeiter der - IT-Abteilung dürfen sich auf diesen Rechnern - anmelden. - - - - one, two, - three, four, ... - Gewöhnliche Arbeitsrechner. Nur die - wirklichen Mitarbeiter dürfen - diese Rechner verwenden. - - - - trashcan - Ein sehr alter Rechner ohne kritische Daten. Sogar - externe Mitarbeiter dürfen diesen Rechner - verwenden. - - - - - - Wollten Sie diese Einschränkungen umsetzen, indem Sie - jeden Benutzer einzeln blockieren, müssten Sie auf jedem - System für jeden Benutzer eine entsprechende Zeile in - passwd einfügen. Wenn Sie nur einen - Eintrag vergessen, haben Sie ein Problem. Es mag noch angehen, - dies während der ersten Installation zu erledigen, im - täglichen Betrieb werden Sie allerdings - mit Sicherheit einmal vergessen, die - entsprechenden Einträge anzulegen. Vergessen Sie nicht: - Murphy war Optimist. - - Die Verwendung von Netzgruppen hat in dieser Situation - mehrere Vorteile. Sie müssen nicht jeden Benutzer einzeln - verwalten; weisen Sie stattdessen den Benutzer einer Netzgruppe - zu und erlauben oder verbieten Sie allen Mitglieder dieser - Gruppe die Anmeldung an einem Server. Wenn Sie einen neuen - Rechner hinzufügen, müssen Sie - Zugangsbeschränkungen nur für die Netzgruppen - festlegen. Legen Sie einen neuen Benutzer an, müssen Sie - ihn nur einer oder mehrere Netzgruppen zuweisen. Diese - Veränderungen sind voneinander unabhängig; Anweisungen - der Form für diese Kombination aus Benutzer und - Rechner mache Folgendes ... sind nicht mehr nötig. - Wenn Sie die Einrichtung von NIS sorgfältig geplant haben, - müssen Sie nur noch eine zentrale Konfigurationsdatei - bearbeiten, um den Zugriff auf bestimmte Rechner zu erlauben - oder zu verbieten. - - Der erste Schritt ist die Initialisierung der NIS-Maps - der Netzgruppe. &man.ypinit.8; kann dies unter FreeBSD nicht - automatisch durchführen. Sind die Maps aber erst einmal - erzeugt, werden sie jedoch von NIS problemlos unterstützt. - Um eine leere Map zu erzeugen, geben Sie Folgendes ein: - - ellington&prompt.root; vi /var/yp/netgroup - - Danach legen Sie die Einträge an. Für unser - Beispiel benötigen wir mindestens vier Netzgruppen: - IT-Beschäftige, IT-Lehrlinge, normale Beschäftigte - sowie Externe. - - IT_EMP (,alpha,test-domain) (,beta,test-domain) -IT_APP (,charlie,test-domain) (,delta,test-domain) -USERS (,echo,test-domain) (,foxtrott,test-domain) \ - (,golf,test-domain) -INTERNS (,able,test-domain) (,baker,test-domain) - - Bei IT_EMP, IT_APP - usw. handelt es sich um Netzgruppennamen. In den Klammern - werden diesen Netzgruppen jeweils ein oder mehrere - Benutzerkonten hinzugefügt. Die drei Felder in der - Klammer haben folgende Bedeutung: - - - - Der Name des Rechners, auf dem die folgenden Werte - gültig sind. Legen Sie keinen Rechnernamen fest, ist - der Eintrag auf allen Rechnern gültig. Dadurch - gehen Sie vielen Problemen aus dem Weg. - - - - Der Name des Benutzerkontos, der zu dieser Netzgruppe - gehört. - - - - Die NIS-Domäne für das Benutzerkonto. Sie - können Benutzerkonten von anderen NIS-Domänen in - Ihre Netzgruppe importieren, wenn Sie mehrere - NIS-Domänen verwalten. - - - - Jedes Feld kann Wildcards enthalten. Die Einzelheiten - entnehmen Sie bitte &man.netgroup.5;. - - - Netzgruppen - - Netzgruppennamen sollten nicht länger als 8 Zeichen - sein, vor allem dann, wenn Sie Rechner mit verschiedenen - Betriebssystemen in Ihrer NIS-Domäne haben. Es wird - zwischen Groß- und Kleinschreibung unterschieden. - Die Verwendung von Großbuchstaben für - Netzgruppennamen ermöglicht eine leichte Unterscheidung - zwischen Benutzern, Rechnern und Netzgruppen. - - Einige NIS-Clients (dies gilt nicht für FreeBSD) - können keine Netzgruppen mit einer großen Anzahl - von Einträgen verwalten. Einige ältere Versionen - von &sunos; haben beispielsweise Probleme, wenn Netzgruppen - mehr als fünfzehn Einträge - enthalten. Sie können dieses Problem umgehen, indem Sie - mehrere Subnetzgruppen mit weniger als fünfzehn Benutzern - anlegen und diese Subnetzgruppen wiederum in einer Netzgruppe - zusammenfassen: - - BIGGRP1 (,joe1,domain) (,joe2,domain) (,joe3,domain) [...] -BIGGRP2 (,joe16,domain) (,joe17,domain) [...] -BIGGRP3 (,joe31,domain) (,joe32,domain) -BIGGROUP BIGGRP1 BIGGRP2 BIGGRP3 - - Sie können diesen Vorgang wiederholen, wenn Sie mehr - als 255 Benutzer in einer einzigen Netzgruppe benötigen. - - - - Das Aktivieren und Verteilen Ihre neuen NIS-Map ist - einfach: - - ellington&prompt.root; cd /var/yp -ellington&prompt.root; make - - Dadurch werden die NIS-Maps netgroup, - netgroup.byhost und - netgroup.byuser erzeugt. Prüfen Sie - die Verfügbarkeit Ihrer neuen NIS-Maps mit &man.ypcat.1;. - - - ellington&prompt.user; ypcat -k netgroup -ellington&prompt.user; ypcat -k netgroup.byhost -ellington&prompt.user; ypcat -k netgroup.byuser - - Die Ausgabe des ersten Befehls gibt den Inhalt von - /var/yp/netgroup wieder. Der zweite Befehl - erzeugt nur dann eine Ausgabe, wenn Sie rechnerspezifische - Netzgruppen erzeugt haben. Der dritte Befehl gibt die - Netzgruppen nach Benutzern sortiert aus. - - Die Einrichtung der Clients ist einfach. Sie müssen - lediglich auf dem Server war - &man.vipw.8; aufrufen und die Zeile - - +::::::::: - - durch - - +@IT_EMP::::::::: - - ersetzen. - - Ab sofort werden nur noch die Daten der in der Netzgruppe - IT_EMP vorhandenen Benutzer in die - Passwortdatenbank von war importiert. - Nur diese Benutzer dürfen sich am Server anmelden. - - Unglücklicherweise gilt diese Einschränkung auch - für die ~-Funktion der Shell und - für alle Routinen, die auf Benutzernamen und numerische - Benutzer-IDs zugreifen. Oder anders formuliert, - cd ~user ist nicht - möglich, ls -l zeigt die numerische - Benutzer-ID statt dem Benutzernamen und - find . -user joe -print erzeugt die - Fehlermeldung No such user. Um dieses - Problem zu beheben, müssen Sie alle Benutzereinträge - importieren, ohne ihnen jedoch zu erlauben, sich an - Ihrem Server anzumelden. - - Dazu fügen Sie eine weitere Zeile in - /etc/master.passwd ein. Diese Zeile sollte - ähnlich der folgenden aussehen: - - +:::::::::/sbin/nologin, was in etwa - Importiere alle Einträge, aber ersetze die Shell in - den importierten Einträgen durch - /sbin/nologin entspricht. Sie - können jedes Feld dieses Eintrages ersetzen, indem Sie - einen Standardwert in /etc/master.passwd - eintragen. - - - Stellen Sie sicher, dass die Zeile - +:::::::::/sbin/nologin - nach der Zeile - +@IT_EMP::::::::: eingetragen ist. Sonst - haben alle via NIS importierten Benutzerkonten - /sbin/nologin als Loginshell. - - - Danach müssen Sie nur mehr eine einzige NIS-Map - ändern, wenn ein neuer Mitarbeiter berücksichtigt - werden muss. Für weniger wichtige Server gehen Sie analog - vor, indem Sie den alten Eintrag +::::::::: - in den lokalen Versionen von - /etc/master.passwd durch folgende - Einträge ersetzen: - - +@IT_EMP::::::::: -+@IT_APP::::::::: -+:::::::::/sbin/nologin - - Die entsprechenden Zeilen für normale Arbeitsplätze - lauten: - - +@IT_EMP::::::::: -+@USERS::::::::: -+:::::::::/sbin/nologin - - Ab jetzt wäre alles wunderbar, allerdings ändert - sich kurz darauf die Firmenpolitik: Die IT-Abteilung beginnt - damit, externe Mitarbeiter zu beschäftigen. Externe - dürfen sich an normalen Arbeitsplätzen sowie an den - weniger wichtigen Servern anmelden. Die IT-Lehrlinge - dürfen sich nun auch an den Hauptservern anmelden. Sie - legen also die neue Netzgruppe IT_INTERN an, - weisen Ihr die neuen IT-Externen als Benutzer zu und beginnen - damit, die Konfiguration auf jedem einzelnen Rechner zu - ändern ... Halt. Sie haben gerade die alte Regel - Fehler in der zentralisierten Planung führen zu - globaler Verwirrung. bestätigt. - - Da NIS in der Lage ist, Netzgruppen aus anderen Netzgruppen - zu bilden, lassen sich solche Situationen leicht vermeiden. - Eine Möglichkeit ist die Erzeugung rollenbasierter - Netzgruppen. Sie könnten eine Netzgruppe - BIGSRV erzeugen, um den Zugang zu - den wichtigsten Servern zu beschränken, eine weitere - Gruppe SMALLSRV für die weniger - wichtigen Server und eine dritte Netzgruppe - USERBOX für die normalen - Arbeitsplatzrechner. Jede dieser Netzgruppen enthält die - Netzgruppen, die sich auf diesen Rechnern anmelden dürfen. - Die Einträge der Netzgruppen in der NIS-Map sollten - ähnlich den folgenden aussehen: - - BIGSRV IT_EMP IT_APP -SMALLSRV IT_EMP IT_APP ITINTERN -USERBOX IT_EMP ITINTERN USERS - - Diese Methode funktioniert besonders gut, wenn Sie - Rechner in Gruppen mit identischen Beschränkungen einteilen - können. Unglücklicherweise ist dies die Ausnahme und - nicht die Regel. Meistens werden Sie die Möglichkeit zur - rechnerspezischen Zugangsbeschränkung benötigen. - - - Rechnerspezifische Netzgruppen sind die zweite - Möglichkeit, um mit den oben beschriebenen Änderungen - umzugehen. In diesem Szenario enthält - /etc/master.passwd auf jedem Rechner zwei - mit + beginnende Zeilen. Die erste Zeile - legt die Netzgruppe mit den Benutzern fest, die sich auf diesem - Rechner anmelden dürfen. Die zweite Zeile weist allen - anderen Benutzern /sbin/nologin als Shell - zu. Verwenden Sie auch hier (analog zu den Netzgruppen) - Großbuchstaben für die Rechnernamen. Die Zeilen - sollten also ähnlich den folgenden aussehen: - - +@BOXNAME::::::::: -+:::::::::/sbin/nologin - - Wenn Sie dies für alle Rechner erledigt haben, werden - Sie die lokalen Versionen von - /etc/master.passwd nie mehr verändern - müssen. Alle weiteren Änderungen geschehen über - die NIS-Maps. Nachfolgend ein Beispiel für eine - mögliche Netzgruppen-Map, die durch einige Besonderheiten - erweitert wurde: - - # Define groups of users first -IT_EMP (,alpha,test-domain) (,beta,test-domain) -IT_APP (,charlie,test-domain) (,delta,test-domain) -DEPT1 (,echo,test-domain) (,foxtrott,test-domain) -DEPT2 (,golf,test-domain) (,hotel,test-domain) -DEPT3 (,india,test-domain) (,juliet,test-domain) -ITINTERN (,kilo,test-domain) (,lima,test-domain) -D_INTERNS (,able,test-domain) (,baker,test-domain) -# -# Now, define some groups based on roles -USERS DEPT1 DEPT2 DEPT3 -BIGSRV IT_EMP IT_APP -SMALLSRV IT_EMP IT_APP ITINTERN -USERBOX IT_EMP ITINTERN USERS -# -# And a groups for a special tasks -# Allow echo and golf to access our anti-virus-machine -SECURITY IT_EMP (,echo,test-domain) (,golf,test-domain) -# -# machine-based netgroups -# Our main servers -WAR BIGSRV -FAMINE BIGSRV -# User india needs access to this server -POLLUTION BIGSRV (,india,test-domain) -# -# This one is really important and needs more access restrictions -DEATH IT_EMP -# -# The anti-virus-machine mentioned above -ONE SECURITY -# -# Restrict a machine to a single user -TWO (,hotel,test-domain) -# [...more groups to follow] - - - Wenn Sie eine Datenbank verwenden, um Ihre Benutzerkonten zu - verwalten, sollten Sie den ersten Teil der NIS-Map mit Ihren - Datenbanktools erstellen können. Auf diese Weise haben - neue Benutzer automatisch Zugriff auf die Rechner. - - Eine letzte Warnung: Es ist nicht immer ratsam, - rechnerbasierte Netzgruppen zu verwenden. Wenn Sie Dutzende - oder gar Hunderte identische Rechner einrichten müssen, - sollten Sie rollenbasierte Netzgruppen verwenden, um die - Grösse der NIS-Maps in Grenzen zu halten. - - - - Weitere wichtige Punkte - - Nachdem Sie Ihre NIS-Umgebung eingerichtet haben, - müssen Sie einige Dinge anders als bisher erledigen. - - - - Jedes Mal, wenn Sie einen neuen Benutzer anlegen wollen, - tun Sie dies ausschließlich am - NIS-Masterserver. Außerdem - müssen Sie anschließend die - NIS-Maps neu erzeugen. Wenn Sie diesen Punkt vergessen, - kann sich der neue Benutzer nur am - NIS-Masterserver anmelden. Wenn Sie also den neuen Benutzer - jsmith anlegen, gehen Sie - folgerndermassen vor: - - &prompt.root; pw useradd jsmith -&prompt.root; cd /var/yp -&prompt.root; make test-domain - - Statt pw useradd jsmith könnten - Sie auch adduser jsmith verwenden. - - - - Tragen Sie die Administratorkonten nicht - in die NIS-Maps ein. Administratorkonten und - Passwörter dürfen nicht auf Rechnern verbreitet - werden, auf denen sich Benutzer anmelden können, die - auf diese Konten keine Zugriff haben sollen. - - - - Sichern Sie die NIS-Master- und Slaveserver - und minimieren Sie die Ausfallzeiten. Wenn - diese Rechner gehackt oder einfach nur ausgeschaltet werden, - haben viele Leute keinen Netzwerkzugriff mehr. - - Dies ist die größte Schwäche - jeder zentralen Verwaltung. Wenn Sie Ihre NIS-Server nicht - schützen, werden Sie viele verärgerte Anwender - haben. - - - - - - Kompatibilität zu NIS v1 - - - NIS - Kompatibilität zu NIS v1 - - - ypserv unterstützt NIS v1 - unter FreeBSD nur eingeschränkt. Die NIS-Implementierung - von FreeBSD verwendet nur NIS v2, andere Implementierungen - unterstützen aus Gründen der - Abwärtskompatibilität mit älteren Systemen auch - NIS v1. Die mit diesen Systemen gelieferten - ypbind-Daemonen versuchen, sich an - einen NIS-v1-Server zu binden (Dies selbst dann, wenn sie ihn - nie benötigen. Außerdem versuchen Sie auch dann, - einen v1-Server zu erreichen, wenn Sie zuvor eine Antwort von - einem v2-Server erhalten.). Während normale Clientaufrufe - unter FreeBSD unterstützt werden, sind Anforderungen zum - Transfer von v1-Maps nicht möglich. Daher kann FreeBSD - nicht als Client oder Server verwendet werden, wenn ein - NIS-Server vorhanden ist, der nur NIS v1 unterstützt. - Glücklicherweise sollte es heute keine Server mehr geben, - die nur NIS v1 unterstützen. - - - - NIS-Server, die auch als NIS-Clients arbeiten - - Wenn Sie ypserv in einer - Multi-Serverdomäne verwenden, in der NIS-Server - gleichzeitig als NIS-Clients arbeiten, ist es eine gute Idee, - diese Server zu zwingen, sich an sich selbst zu binden. Damit - wird verhindert, dass Bindeanforderungen gesendet werden und - sich die Server gegenseitig binden. Sonst könnten seltsame - Fehler auftreten, wenn ein Server ausfällt, auf den andere - Server angewiesen sind. Letztlich werden alle Clients einen - Timeout melden, und versuchen, sich an andere Server zu binden. - Die dadurch entstehende Verzögerung kann beträchtlich - sein. Außerdem kann der Fehler erneut auftreten, da sich - die Server wiederum aneinander binden könnten. - - Sie können einen Rechner durch die Verwendung von - ypbind sowie der Option - zwingen, sich an einen bestimmten Server zu binden. Um diesen - Vorgang zu automatisieren, können Sie folgende Zeilen in - /etc/rc.conf einfügen: - - nis_client_enable="YES" # run client stuff as well -nis_client_flags="-S NIS domain,server" - - Lesen Sie &man.ypbind.8;, wenn Sie weitere Informationen - benötigen. - - - - Passwortformate - - NIS - Passwortformate - - Unterschiedliche Passwortformate sind das Hauptproblem, - das beim Einrichten eines NIS-Servers auftreten kann. - Wenn der NIS-Server mit DES verschlüsselte Passwörter - verwendet, werden nur Clients unterstützt, die ebenfalls - DES benutzen. Wenn sich auf Ihrem Netzwerk beispielsweise - &solaris; NIS-Clients befinden, müssen die Passwörter - mit DES verschlüsselt werden. - - Welches Format die Server und Clients verwenden, - steht in /etc/login.conf. Wenn ein - System Passwörter mit DES verschlüsselt, - enthält die default-Klasse einen - Eintrag wie den folgenden: - - default:\ - :passwd_format=des:\ - :copyright=/etc/COPYRIGHT:\ - [weitere Einträge] - - Mögliche Werte für - passwd_format sind unter anderem - blf und md5 (mit - Blowfish und MD5 verschlüsselte Passwörter). - - Wenn die Datei /etc/login.conf - geändert wird, muss die Login-Capability Datenbank - neu erstellt werden. Geben Sie dazu als - root den folgenden Befehl ein: - - &prompt.root; cap_mkdb /etc/login.conf - - - Das Format der schon in - /etc/master.passwd befindlichen - Passwörter wird erst aktualisiert, wenn ein Benutzer - sein Passwort ändert, nachdem - die Datenbank neu erstellt wurde. - - - Damit die Passwörter auch im gewählten - Format abgespeichert werden, muss mit - crypt_default in der Datei - /etc/auth.conf die richtige - Priorität der Formate eingestellt werden. Das - gewählte Format sollte als Erstes in der Liste - stehen. Sollen die Passwörter mit DES verschlüsselt - werden, verwenden Sie den folgenden Eintrag: - - crypt_default = des blf md5 - - Wenn Sie alle &os; NIS-Server und NIS-Clients entsprechend - den obigen Schritten eingestellt haben, wird im ganzen - Netzwerk dasselbe Passwortformat verwendet. Falls Sie - Probleme mit der Authentifizierung eines NIS-Clients - haben, kontrollieren Sie die verwendeten Passwortformate. - In einer heterogenen Umgebung werden Sie DES benutzen - müssen, da dies der meist unterstützte Standard - ist. - - - - - - - - Greg - Sutter - Geschrieben von - - - - - DHCP – Dynamic Host Configuration Protocol - - - Was ist DHCP? - - - Dynamic Host Configuration Protocol - DHCP - - - - Internet Software Consortium (ISC) - - - Über DHCP, das Dynamic Host Configuration Protocol, - kann sich ein System mit einem Netzwerk verbinden und die - für die Kommunikation mit diesem Netzwerk nötigen - Informationen beziehen. FreeBSD verwendet die - DHCP-Implementation von ISC (Internet Software Consortium), - daher beziehen sich alle implementationsspezifischen - Informationen in diesem Abschnitt auf die ISC-Distribution. - - - - - Übersicht - - Dieser Abschnitt beschreibt sowohl die Client- als auch die - Serverseite des DHCP-Systems von ISC. Das Clientprogramm - dhclient ist in FreeBSD integriert, das - Serverprogramm kann über den Port - net/isc-dhcp3-server - installiert werden. Weiter Informationen finden Sie in - &man.dhclient.8;, &man.dhcp-options.5; sowie - &man.dhclient.conf.5;. - - - - Wie funktioniert DHCP? - - UDP - - Der DHCP-Client dhclient beginnt von - einem Clientrechner aus über den UDP-Port 68 - Konfigurationsinformationen anzufordern. Der Server antwortet - auf dem UDP-Port 67, indem er dem Client eine IP-Adresse - zuweist und ihm weitere wichtige Informationen über das - Netzwerk, wie Netzmasken, Router und DNS-Server mitteilt. Diese - Informationen werden als - DHCP-Lease bezeichnet und - sind nur für eine bestimmte Zeit, die vom Administrator des - DHCP-Servers vorgegeben wird, gültig. Dadurch fallen - verwaiste IP-Adressen, deren Clients nicht mehr mit dem Netzwerk - verbunden sind, automatisch an den Server zurück. - - DHCP-Clients können sehr viele Informationen von einem - DHCP-Server erhalten. Eine ausführliche Liste finden Sie - in &man.dhcp-options.5;. - - - - Integration in FreeBSD - - Der ISC-DHCP-Client ist seit FreeBSD 3.2 - vollständig in FreeBSD integriert. Sowohl während - der Installation als auch im Basissystem steht der - DHCP-Client zur Verfügung. In Netzen mit - DHCP-Servern wird dadurch die Konfiguration von - Systemen erheblich vereinfacht. - - - sysinstall - - - DHCP wird von sysinstall - unterstützt. Richten Sie eine Netzkarte unter - sysinstall ein, wird Ihnen zuerst - folgende Frage gestellt: Wollen Sie diese Karte über - DHCP einrichten? Wenn Sie diese Frage bejahen, wird - dhclient aufgerufen, und die Netzkarte wird - automatisch eingerichtet. - - Um DHCP beim Systemstart zu aktivieren, müssen Sie zwei - Dinge erledigen: - - - DHCP - Anforderungen - - - - - Stellen Sie sicher, dass bpf in - Ihren Kernel kompiliert ist. Dazu fügen Sie die Zeile - device bpf - (pseudo-device bpf unter &os; 4.X) - in Ihre Kernelkonfigurationsdatei ein und erzeugen einen - neuen Kernel. Weitere Informationen zur Kernelkonfiguration - finden Sie in des Handbuchs. - - - Das Gerät bpf ist im - GENERIC-Kernel bereits enthalten. - Für die Nutzung von DHCP muss also kein angepasster - Kernel erzeugt werden. - - - Wenn Sie um die Sicherheit Ihres Systems besorgt - sind, sollten Sie wissen, dass - bpf auch zur Ausführung - von Paketsniffern erforderlich ist (obwohl diese dennoch - als root ausgeführt werden - müssen). bpf - muss vorhanden sein, damit DHCP - funktioniert. Sind Sie sehr sicherheitsbewusst, sollten - Sie bpf aus Ihrem Kernel - entfernen, wenn Sie DHCP nicht verwenden. - - - - - Fügen Sie folgende Zeile in - /etc/rc.conf ein: - - ifconfig_fxp0="DHCP" - - - Ersetzen Sie fxp0 durch den - Eintrag für die Netzkarte, die Sie dynamisch - einrichten wollen. Lesen Sie dazu auch - . - - - Wenn Sie dhclient an einem anderen - Ort installiert haben, oder zusätzliche Flags an - dhclient übergeben wollen, - fügen Sie auch folgende (entsprechend angepasste) - Zeilen ein: - - dhcp_program="/sbin/dhclient" -dhcp_flags="" - - - - - DHCP - Server - - - Der DHCP-Server dhcpd ist als - Teil des Ports - net/isc-dhcp3-server - verfügbar. Dieser Port enthält die komplette - ISC-DHCP-Distribution, inklusive der Dokumentation. - - - - Dateien - - - DHCP - Konfigurationsdateien - - - - - /etc/dhclient.conf - - dhclient benötigt die - Konfigurationsdatei /etc/dhclient.conf. - Diese Datei enthält normalerweise nur Kommentare, da - die Vorgabewerte zumeist ausreichend sind. Lesen Sie dazu - auch &man.dhclient.conf.5;. - - - - /sbin/dhclient - - dhclient ist statisch gelinkt und - befindet sich in /sbin. Weitere - Informationen finden Sie in &man.dhclient.8;. - - - - /sbin/dhclient-script - - Bei dhclient-script handelt es sich - um das FreeBSD-spezifische Konfigurationsskript des - DHCP-Clients. Es wird in &man.dhclient-script.8; - beschrieben und kann meist unverändert übernommen - werden. - - - - /var/db/dhclient.leases - - Der DHCP-Client verfügt über eine Datenbank, - die alle derzeit gültigen Leases enthält und als - Logdatei erzeugt wird. Weitere Informationen finden Sie in - &man.dhclient.8;. - - - - - - Weitere Informationen - - Das DHCP-Protokoll wird vollständig im - RFC 2131 - beschrieben. Eine weitere, lehrreiche Informationsquelle - existiert unter - dhcp.org. - - - - Einen DHCP-Server installieren und einrichten - - - Übersicht - - Dieser Abschnitt beschreibt die Einrichtung eines - FreeBSD-Systems als DHCP-Server. Dazu wird die - DHCP-Implementation von ISC (Internet Software Consortium) - verwendet. - - Der DHCP-Server ist nicht im Basissystem von FreeBSD - enthalten, daher müssen Sie als Erstes den Port - net/isc-dhcp3-server - installieren. Lesen Sie , wenn Sie - weitere Informationen zur Portssammlung benötigen. - - - - - Den DHCP-Server installieren - - - DHCP - installieren - - - Stellen Sie sicher, dass &man.bpf.4; in Ihren Kernel - kompiliert ist. Dazu fügen Sie die Zeile - device bpf - (pseudo-device bpf unter &os; 4.X)in - Ihre Kernelkonfigurationsdatei ein und erzeugen einen neuen - Kernel. Die Kernelkonfiguration wird in - beschrieben. - - Das Gerät bpf ist im - GENERIC-Kernel bereits enthalten. - Für die Nutzung von DHCP muss also kein angepasster - Kernel erzeugt werden. - - - Wenn Sie um die Sicherheit Ihres Systems besorgt - sind, sollten Sie wissen, dass - bpf auch zur Ausführung - von Paketsniffern erforderlich ist (obwohl diese dennoch - als root ausgeführt werden - müssen). bpf - muss vorhanden sein, damit DHCP - funktioniert. Sind Sie sehr sicherheitsbewusst, sollten - Sie bpf aus Ihrem Kernel - entfernen, wenn Sie DHCP nicht verwenden. - - - Danach müssen Sie die vom Port - net/isc-dhcp3-server - erzeugte Vorlage für dhcpd.conf - anpassen. Die bei der Installation erzeugte Datei - /usr/local/etc/dhcpd.conf.sample - sollten Sie nach - /usr/local/etc/dhcpd.conf kopieren, - bevor Sie Veränderungen vornehmen. - - - - Den DHCP-Server einrichten - - - DHCP - dhcpd.conf - - - dhcpd.conf besteht aus Festlegungen - zu Subnetzen und Rechnern und lässt sich am besten an - einem Beispiel erklären: - - option domain-name "example.com"; -option domain-name-servers 192.168.4.100; -option subnet-mask 255.255.255.0; - -default-lease-time 3600; -max-lease-time 86400; -ddns-update-style none; - -subnet 192.168.4.0 netmask 255.255.255.0 { - range 192.168.4.129 192.168.4.254; - option routers 192.168.4.1; -} - -host mailhost { - hardware ethernet 02:03:04:05:06:07; - fixed-address mailhost.example.com; -} - - - - Diese Option beschreibt die Domäne, die den - Clients als Standardsuchdomäne zugewiesen wird. - Weitere Informationen finden Sie in man.resolv.conf.5;. - - - - - Diese Option legt eine, durch Kommata getrennte - Liste von DNS-Servern fest, die von den Clients - verwendet werden sollen. - - - - Die den Clients zugewiesene Netzmaske. - - - - Ein Client kann eine Lease einer bestimmten Dauer - anfordern. Geschieht dies nicht, weist der Server eine - Lease mit einer vorgegebenen Ablaufdauer (in Sekunden) - zu. - - - - Die maximale Zeitdauer, für die der Server - Konfigurationsinformationen vergibt. Sollte ein Client - eine längere Zeitspanne anfordern, wird dennoch - nur der Wert max-lease-time in - Sekunden zugewiesen. - - - - Diese Option legt fest, ob der DHCP-Server eine - DNS-Aktualisierung versuchen soll, wenn - Konfigurationsdateien vergeben oder zurückgezogen - werden. In der ISC-Implementation - muss diese Option gesetzt sein. - - - - - Dadurch werden die IP-Adressen festgelegt, die den - Clients zugewiesen werden können. IP-Adressen - zwischen diesen Grenzen sowie die einschließenden - Adressen werden den Clients zugewiesen. - - - - Legt das Standard-Gateway fest, das den Clients - zugewiesen wird. - - - - Die (Hardware-)MAC-Adresse eines Rechners (durch die - der DHCP-Server den Client erkennt, der eine Anforderung - an ihn stellt). - - - - Einem Rechner soll immer die gleiche IP-Adresse - zugewiesen werden. Beachten Sie, dass hier auch ein - Rechnername gültig ist, da der DHCP-Server den - Rechnernamen auflöst, bevor er die - Konfigurationsinformationen zuweist. - - - - Nachdem Sie dhcpd.conf fertig - konfiguriert haben, können Sie den DHCP-Server starten: - - - &prompt.root; /usr/local/etc/rc.d/isc-dhcpd.sh start - - Sollten Sie die Konfiguration Ihres Servers einmal - verändern müssen, reicht es nicht aus, ein - SIGHUP-Signal an - dhcpd zu senden, weil damit die - Konfiguration nicht erneut geladen wird - (im Gegensatz zu den meisten Daemonen). Sie müssen - den Prozess vielmehr mit dem Signal - SIGTERM stoppen, um ihn - anschließend neu zu starten. - - - - Dateien - - - Server - Konfigurationsdateien - - - - - /usr/local/sbin/dhcpd - - dhcpd ist statisch - gelinkt und befindet sich in - /usr/local/sbin. Lesen Sie auch die - mit dem Port installierte Hilfeseite &man.dhcpd.8;, wenn - Sie weitere Informationen zu - dhcpd benötigen. - - - - /usr/local/etc/dhcpd.conf - - dhcpd benötigt die - Konfigurationsdatei - /usr/local/etc/dhcpd.conf, damit - der Server den Clients seine Dienste anbieten kann. - Diese Datei muss alle Informationen enthalten, die an - die Clients weitergegeben werden soll. Außerdem - sind hier Informationen zur Konfiguration des Servers - enthalten. Die mit dem Port installierte Hilfeseite - &man.dhcpd.conf.5; enthält weitere Informationen. - - - - - /var/db/dhcpd.leases - - Der DHCP-Server hat eine Datenbank, die alle - vergebenen Leases enthält. Diese wird als Logdatei - erzeugt. Weitere Informationen finden Sie in der vom - Port installierten Hilfeseite &man.dhcpd.leases.5;. - - - - /usr/local/sbin/dhcrelay - - dhcrelay wird in - komplexen Umgebungen verwendet, in denen ein DHCP-Server - eine Anfrage eines Clients an einen DHCP-Server in einem - separaten Netzwerk weiterleitet. Wenn Sie diese - Funktion benötigen, müssen Sie den Port - net/isc-dhcp3-server - installieren. Weitere Informationen zu diesem Thema - finden Sie in &man.dhcrelay.8;. - - - - - - - + @@ -5405,1385 +2783,327 @@ host mailhost { - DNS – Domain Name Service + NAT - Network Address Translation - + Überblick - BIND + + natd + - DNS ist das für die Umwandlung von Rechnernamen in - IP-Adressen zuständige Protokoll. FreeBSD verwendet dazu - BIND (Berkeley Internet Name Domain), die am häufigsten - verwendete Implementierung von DNS. Eine Anfrage nach - www.FreeBSD.org gibt die IP-Adresse - des &os;-Webservers, eine Anfrage nach - ftp.FreeBSD.org die IP-Adresse des - entsprechenden FTP-Servers zurück. Der umgekehrte Weg - ist ebenso möglich, eine IP-Adresse kann also auch in ihren - Rechnernamen aufgelöst werden. Um eine DNS-Abfrage - durchzuführen, muss am jeweiligen Rechner kein Nameserver - installiert sein. + &man.natd.8;, der Network-Address-Translation-Daemon von + FreeBSD, akzeptiert ankommende Raw-IP-Pakete, ändert den + Sender der Daten in den eigenen Rechner und leitet diese Pakete + in den ausgehenden IP-Paketstrom um, indem IP-Adresse und Port + des Senders so geändert werden, dass bei einer Antwort der + ursprüngliche Sender wieder bestimmt und die Daten an + ihn weitergeleitet werden können. - DNS + Internet connection sharing - Im Internet wird DNS durch ein komplexes System von - autoritativen Root-Nameservern sowie anderen kleineren - Nameservern verwaltet, die individuelle Rechnerinformationen - speichern und untereinander abgleichen. + IP masquerading - Dieses Dokument beschreibt die unter FreeBSD verwendete - stabile Version BIND 8.x. BIND 9.x kann über den - Port net/bind9 - installiert werden. - - Das DNS-Protokoll wird in den RFCs 1034 und 1035 - beschrieben. - - Derzeit wird BIND vom - Internet Software Consortium verwaltet. + Der häufigste Grund für die Verwendung von NAT ist + die gemeinsame Nutzung einer Internetverbindung. - - Begriffsbestimmungen + + Einrichtung - Um dieses Dokument besser verstehen zu können, - müssen einige DNS-spezifische Begriffe genauer definiert - werden. + Wegen der begrenzten Verfügbarkeit von IPv4-Adressen + und der gestiegenen Anzahl von Breitbandverbindungen über + Kabelmodem oder DSL, wird die gemeinsame Nutzung von + Internetverbindungen immer wichtiger. Der &man.natd.8;-Daemon + ermöglicht die Anbindung von mehreren Rechnern an das + Internet unter Nutzung einer gemeinsamen Verbindung und einer + IP-Adresse. + + Häufig soll ein über Kabelmodem oder DSL und eine + IP-Adresse an das Internet angebundener Rechner mehreren + Rechnern eines lokalen Netzwerks Internetdienste anbieten. + + Um dies zu ermöglichen, muss der FreeBSD-Rechner als + Gateway fungieren. Dazu sind zwei Netzkarten notwendig. Eine + für die Verbindung zum Internet, die zweite für die + Verbindung mit dem lokalen Netzwerk. Sämtliche Rechner + des lokalen Netzwerks sind über einen Hub oder einen Switch + miteinander verbunden. + + + + + + + + _______ __________ ________ + | | | | | | + | Hub |-----| Client B |-----| Router |----- Internet + |_______| |__________| |________| + | + ____|_____ +| | +| Client A | +|__________| + + + + Network Layout + + + + Eine derartige Netzwerkkonfiguration wird vor allem zur + gemeinsamen Nutzung einer Internetverbindung verwendet. Ein + Rechner des lokalen Netzwerks (LAN) ist mit + dem Internet verbunden. Alle anderen Rechner des lokalen + Netzwerks haben nur über diesen + Gateway-Rechner Zugriff auf das Internet. + + + + + Kernel + Konfiguration + + + Kernelkonfiguration + + Folgende Optionen müssen in die + Kernelkonfigurationsdatei eingetragen werden: + + options IPFIREWALL +options IPDIVERT + + Die folgende Optionen können ebenfalls eingetragen + werden: + + options IPFIREWALL_DEFAULT_TO_ACCEPT +options IPFIREWALL_VERBOSE + + In /etc/rc.conf tragen Sie Folgendes + ein: + + gateway_enable="YES" +firewall_enable="YES" +firewall_type="OPEN" +natd_enable="YES" +natd_interface="fxp0" +natd_flags="" - - - Begriff - - Bedeutung - - - - Forward-DNS + gateway_enable="YES" - Rechnernamen in IP-Adressen umwandeln + Richtet den Rechner als Gateway ein. Die + Ausführung von + sysctl net.inet.ip.forwarding=1 + hätte den gleichen Effekt. - Origin (Ursprung) + firewall_enable="YES" - Die in einer bestimmten Zonendatei beschriebene - Domäne. - - - - named, BIND, - Nameserver - - Gebräuchliche Namen für das unter FreeBSD - verwendete BIND-Nameserverpaket - - - Resolver - - - Resolver - - Ein Systemprozess, durch den ein Rechner - Zoneninformationen von einem Nameserver anfordert. + Aktiviert die Firewallregeln in + /etc/rc.firewall beim Systemstart. - Reverse-DNS - - Reverse-DNS + firewall_type="OPEN" - Das Gegenteil von Forward-DNS; die Umwandlung von - IP-Adressen in Rechnernamen - - - root zone - - - Root-Zone - - Der Beginn der Internet-Zonenhierarchie. Alle - Zonen befinden sich innerhalb der Root-Zone. Dies ist - analog zu einem Dateisystem, in dem sich alle Dateien - und Verzeichnisse innerhalb des Wurzelverzeichnisses - befinden. + Ein vordefinierter Satz von Firewallregeln, der + alle Pakete durchlässt. Sehen Sie sich + /etc/rc.firewall an, wenn Sie diese + Option verwenden wollen. - Zone + natd_interface="fxp0" - Eine individuelle Domäne, Unterdomäne, - oder ein Teil von DNS, der von der gleichen - Autorität verwaltet wird. + Die Netzkarte, die Pakete weiterleitet (und mit dem + Internet verbunden ist). + + + + natd_flags="" + + Zusätzliche Konfigurationsoptionen, die beim + Systemstart an &man.natd.8; übergeben werden. + - - Zonen - Beispiele - + Durch die Definition dieser Optionen in + /etc/rc.conf wird die Anweisung + natd -interface fxp0 beim Systemstart + ausgeführt. Dies kann aber auch manuell erfolgen. - Es folgen nun einige Zonenbeispiele: + + Falls Sie viele Optionen an &man.natd.8; übergeben + müssen, können Sie auch eine Konfigurationsdatei + verwenden. Dazu fügen Sie folgende Zeile in + /etc/rc.conf ein: - - - . ist die Root-Zone. - + natd_flags="-f /etc/natd.conf" - - org. ist eine Zone innerhalb der - Root-Zone. - + Die Datei /etc/natd.conf enthält + verschiedene Konfigurationsoptionen, wobei jede Option in einer + Zeile steht. Das Beispiel im nächsten Abschnitt würde + folgende Konfigurationsdatei verwenden: - - example.org. ist eine Zone innerhalb - der org-Zone. - + redirect_port tcp 192.168.0.2:6667 6667 +redirect_port tcp 192.168.0.3:80 80 - - foo.example.org. ist eine - Unterdomäne, eine Zone innerhalb der Zone - example.org. - + Wenn Sie eine Konfigurationsdatei verwenden wollen, sollten + Sie sich die Handbuchseite zu &man.natd.8; durchlesen, + insbesondere den Abschnitt über die Nutzung der Option + . + - - 1.2.3.in-addr.arpa. ist die Zone mit - allen IP-Adressen des 3.2.1.*-IP-Adressraums. - - + Jedem Rechner und jeder Schnittstelle des lokalen Netzwerks + sollte eine IP-Adresse des im RFC 1918 + definierten privaten Adressraums zugewiesen werden. Der + Standardgateway entspricht der internen IP-Adresse des + natd-Rechners. - Wie man an diesen Beispielen erkennen kann, befindet sich - der spezifischere Teil eines Rechnernamens auf der linken Seite - der Adresse. example.org. beschreibt einen - Rechner also genauer als org., während - org. genauer als die Root-Zone ist. Jeder Teil - des Rechnernamens hat Ähnlichkeiten mit einem Dateisystem, - in dem etwa /dev dem Wurzelverzeichnis - untergeordnet ist. + Im Beispiel werden den LAN-Clients A und + B die IP-Adressen + 192.168.0.2 und + 192.168.0.3 zugewiesen, + während die LAN-Netzkarte des + natd-Rechners die IP-Adresse + 192.168.0.1 erhält. Der + natd-Rechner mit der IP-Adresse + 192.168.0.1 wird als + Standardgateway für die Clients A und + B gesetzt. Die externe Netzkarte des + natd-Rechners muss für die + korrekte Funktion von &man.natd.8; nicht konfiguriert + werden. - - Gründe für die Verwendung eines - Nameservers + + Ports umleiten - Es gibt zwei Arten von Nameservern: Autoritative Nameserver - sowie zwischenspeichernde (cachende) Nameserver. + Wenn Sie &man.natd.8; verwenden, sind Ihre LAN-Clients von + aussen nicht erreichbar. LAN-Clients können zwar + Verbindungen nach aussen aufbauen, sind aber für + ankommende Verbindungen nicht erreichbar. Wenn Sie + Internetdienste auf einem LAN-Client anbieten wollen, haben Sie + daher ein Problem. Eine einfache Lösung ist die Umleitung + von bestimmten Internetports des + natd-Rechners auf einen LAN-Client. - Ein autoritativer Nameserver ist notwendig, wenn + Beispielsweise könnte ein IRC-Server auf Client + A und ein Webserver auf Client + B laufen. Damit diese Konfiguration + funktioniert, müssen Verbindungen, die auf den Ports 6667 + (IRC) und 80 (Web) ankommen, auf die entsprechenden Clients + umgeleitet werden. - - - sie anderen verbindliche DNS-Ausk¨nfte erteilen - wollen. - + Dazu wird die Option unter + Nutzung folgender Syntax an &man.natd.8; übergeben: - - eine Domain, beispielsweise example.org, - registriert wird, und den zu dieser Domain gehörenden - Rechnern IP-Adressen zugewiesen werden müssen. - + -redirect_port proto targetIP:targetPORT[-targetPORT] + [aliasIP:]aliasPORT[-aliasPORT] + [remoteIP[:remotePORT[-remotePORT]]] - - ein IP-Adressblock reverse-DNS-Einträge - benötigt, um IP-Adressen in Rechnernamen auflösen - zu können. - + Für unser Beispiel heisst das: - - ein Backup-Nameserver (auch Slaveserver genannt) auf - Anfragen antworten muss, weil der Hauptserver nicht - erreichbar ist. - - + -redirect_port tcp 192.168.0.2:6667 6667 + -redirect_port tcp 192.168.0.3:80 80 - Ein cachender Nameserver ist notwendig, weil + Dadurch werden die entsprechenden + tcp-Ports auf die jeweiligen LAN-Clients + umgeleitet. - - - ein lokaler DNS-Server Daten zwischenspeichern und daher - schneller auf Anfragen reagieren kann als ein entfernter - Server. - + Mit können auch ganze + Portbereiche statt einzelner Ports umgeleitet werden. So werden + mit tcp 192.168.0.2:2000-3000 + 2000-3000 alle Verbindungen, die auf den Ports + 2000 bis 3000 ankommen, auf die entsprechenden Ports des Clients + A umgeleitet. - - die Datenmenge reduziert werden muss - (DNS-Verkehr macht etwa 5 % des gesamten Datenverkehrs im - Internet aus). - - + Diese Optionen können während des Betriebs von + &man.natd.8; oder über die Option + natd_flags="" in + /etc/rc.conf gesetzt werden. - Wird nach www.FreeBSD.org gesucht, leitet - der Resolver diese Anfrage an den Nameserver des - ISPs weiter und nimmt danach das Ergebnis der - Abfrage entgegen. Existiert ein lokaler, zwischenspeichernder - DNS-Server, muss dieser die Anfrage nur einmal nach außen - weitergeben. Für alle weiteren Anfragen ist dies nicht - mehr nötig, da diese Information nun lokal gespeichert - ist. + Eine ausführliche Konfigurationsanleitung finden Sie + in &man.natd.8;. - - Wie funktioniert DNS? + + Adressen umleiten - Unter FreeBSD wird der BIND-Daemon als - named bezeichnet. + address redirection + + Die Umleitung von Adressen ist nützlich, wenn mehrere + IP-Adressen verfügbar sind, die aber alle auf einem Rechner + verbleiben sollen. In diesem Fall kann &man.natd.8; jedem + LAN-Client eine eigene externe IP-Adresse zuweisen. Ausgehende + Pakete eines LAN-Clients werden so der entsprechenden + externen IP-Adresse des Clients zugeordnet. Ankommender Verkehr + für diese IP-Adresse wird automatisch an den entsprechenden + LAN-Client weitergeleitet. Diesen Vorgang bezeichnet man + auch als statisches NAT. Dem + natd-Gatewayrechner könnten + beispielsweise die IP-Adressen + 128.1.1.1, + 128.1.1.2 sowie + 128.1.1.3 zugewiesen werden. + 128.1.1.1 wird als die externe + IP-Adresse des natd-Gatewayrechners + verwendet, während 128.1.1.2 + und 128.1.1.3 an die LAN-Clients + A und B weitergegeben werden. + + + benutzt folgende + Syntax: + + -redirect_address localIP publicIP - - - Datei - - Beschreibung - - - - named + localIP - Der BIND-Daemon. + Die interne IP-Adresse des LAN-Clients - - ndc + publicIP - Das Steuerprogramm für - named. - - - - /etc/namedb - - Das Verzeichnis, in dem sich die Zoneninformationen - für BIND befinden. - - - - /etc/namedb/named.conf - - Die Konfigurationsdatei für - named. + Die externe IP-Adresse des LAN-Clients - Zonendateien befinden sich normalerweise im Verzeichnis - /etc/namedb und enthalten die vom - Nameserver angebotenen DNS-Zoneninformationen. + Für unser Beispiel hieße dies: + + -redirect_address 192.168.0.2 128.1.1.2 +-redirect_address 192.168.0.3 128.1.1.3 + + Analog zur Option + können Sie diese Argumente auch in der Option + natd_flags="" in + /etc/rc.conf angeben. Bei der Nutzung + der Adressumleitung ist die Portumleitung überflüssig, + weil alle für eine bestimmte IP-Adresse ankommenden Daten + umgeleitet werden. + + Die externe IP-Adresse des + natd-Rechners muss aktiv sein und + der externen Netzkarte zugewiesen sein. Weitere Informationen + zu diesem Thema finden Sie in &man.rc.conf.5;. - - - BIND starten - - - BIND - Start - - - Da BIND automatisch installiert wird, ist die Konfiguration - relativ einfach. - - Um den named-Daemon beim - Systemstart automatisch zu starten, fügen Sie folgende - Zeile in /etc/rc.conf ein: - - named_enable="YES" - - Um den Daemon (nach der Konfiguration) manuell zu starten, - geben Sie Folgendes ein: - - &prompt.root; ndc start - - - - Konfigurationsdateien - - - BIND - Konfigurationsdateien - - - - <command>make-localhost</command> verwenden - - Um die lokale reverse-DNS-Zonendatei - /etc/namedb/localhost.rev korrekt zu - erzeugen, machen Sie Folgendes: - - &prompt.root; cd /etc/namedb -&prompt.root; sh make-localhost - - - - <filename>/etc/namedb/named.conf</filename> - - // $FreeBSD$ -// -// Refer to the named(8) manual page for details. If you are ever going -// to setup a primary server, make sure you've understood the hairy -// details of how DNS is working. Even with simple mistakes, you can -// break connectivity for affected parties, or cause huge amount of -// useless Internet traffic. - -options { - directory "/etc/namedb"; - -// In addition to the "forwarders" clause, you can force your name -// server to never initiate queries of its own, but always ask its -// forwarders only, by enabling the following line: -// -// forward only; - -// If you've got a DNS server around at your upstream provider, enter -// its IP address here, and enable the line below. This will make you -// benefit from its cache, thus reduce overall DNS traffic in the -Internet. -/* - forwarders { - 127.0.0.1; - }; -*/ - - Um vom Cache Ihres Internetproviders zu profitieren, - können hier forwarders aktiviert - werden. Normalerweise sucht ein Nameserver das Internet - rekursiv ab, bis er die gesuchte Antwort findet. Durch - diese Option wird stets der Nameserver Ihres - Internetproviders zuerst abgefragt, um von dessen - Cache zu profitieren. Wenn es sich um einen schnellen, - viel benutzten Nameserver handelt, kann dies zu einer - Geschwindigkeitssteigerung führen. - - - 127.0.0.1 funktioniert - hier nicht. Ändern Sie diese - Adresse in einen Nameserver Ihres Einwahlproviders. - - - /* -* If there is a firewall between you and name servers you want -* to talk to, you might need to uncomment the query-source -* directive below. Previous versions of BIND always asked -* questions using port 53, but BIND 8.1 uses an unprivileged -* port by default. -*/ -// query-source address * port 53; - -/* -* If running in a sandbox, you may have to specify a different -* location for the dumpfile. -*/ -// dump-file "s/named_dump.db"; -}; - -// Note: the following will be supported in a future release. -/* -host { any; } { - topology { - 127.0.0.0/8; - }; -}; -*/ - -// Setting up secondaries is way easier and the rough picture for this -// is explained below. -// -// If you enable a local name server, don't forget to enter 127.0.0.1 -// into your /etc/resolv.conf so this server will be queried first. -// Also, make sure to enable it in /etc/rc.conf. - -zone "." { - type hint; - file "named.root"; -}; - -zone "0.0.127.IN-ADDR.ARPA" { - type master; - file "localhost.rev"; -}; - -zone -"0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.INT" { - type master; - file "localhost.rev"; -}; - -// NB: Do not use the IP addresses below, they are faked, and only -// serve demonstration/documentation purposes! -// -// Example secondary config entries. It can be convenient to become -// a secondary at least for the zone where your own domain is in. Ask -// your network administrator for the IP address of the responsible -// primary. -// -// Never forget to include the reverse lookup (IN-ADDR.ARPA) zone! -// (This is the first bytes of the respective IP address, in reverse -// order, with ".IN-ADDR.ARPA" appended.) -// -// Before starting to setup a primary zone, better make sure you fully -// understand how DNS and BIND works, however. There are sometimes -// unobvious pitfalls. Setting up a secondary is comparably simpler. -// -// NB: Don't blindly enable the examples below. :-) Use actual names -// and addresses instead. -// -// NOTE!!! FreeBSD runs bind in a sandbox (see named_flags in rc.conf). -// The directory containing the secondary zones must be write accessible -// to bind. The following sequence is suggested: -// -// mkdir /etc/namedb/s -// chown bind:bind /etc/namedb/s -// chmod 750 /etc/namedb/s - - Wenn Sie BIND innerhalb einer Sandbox betreiben wollen, - lesen Sie bitte den - . - - /* -zone "example.com" { - type slave; - file "s/example.com.bak"; - masters { - 192.168.1.1; - }; -}; - -zone "0.168.192.in-addr.arpa" { - type slave; - file "s/0.168.192.in-addr.arpa.bak"; - masters { - 192.168.1.1; - }; -}; -*/ - - Hierbei handelt es sich um Slave-Einträge für - eine Reverse- und Forward-DNS-Zone, die in der Datei - named.conf definiert sind. - - Für jede neue Zone muss ein zusätzlicher Eintrag - in named.conf erstellt werden. - - Ein einfacher Eintrag für eine Zone - example.org könnte - beispielsweise so aussehen: - - zone "example.org" { - type master; - file "example.org"; -}; - - Die Option legt fest, dass es sich - um eine Master-Zone handelt, deren Zoneninformationen sich in - der Datei /etc/namedb/example.org - befinden. Diese Datei wird durch die Option - festgelegt. - - zone "example.org" { - type slave; - file "example.org"; -}; - - Hier handelt es sich um einen Slaveserver, der seine - Informationen vom Masterserver der betreffenden Zone bezieht - und diese in der angegebenen Datei speichert. Wenn der - Masterserver nicht erreichbar ist, verfügt der - Slaveserver über die transferierten Zoneninformationen - und kann diese an andere Rechner weitergeben. - - - - Zonendateien - - Die in der Datei - /etc/namedb/example.org definierte - Zonendatei für example.org könnte - etwa so aussehen: - - $TTL 3600 - -example.org. IN SOA ns1.example.org. admin.example.org. ( - 5 ; Serial - 10800 ; Refresh - 3600 ; Retry - 604800 ; Expire - 86400 ) ; Minimum TTL - -; DNS Servers -@ IN NS ns1.example.org. -@ IN NS ns2.example.org. - -; Machine Names -localhost IN A 127.0.0.1 -ns1 IN A 3.2.1.2 -ns2 IN A 3.2.1.3 -mail IN A 3.2.1.10 -@ IN A 3.2.1.30 - -; Aliases -www IN CNAME @ - -; MX Record -@ IN MX 10 mail.example.org. - - Beachten Sie, dass jeder mit einem . - endende Rechnername ein exakter Rechnername ist, während - sich alles ohne einen abschließenden . - auf den Ursprung bezieht. www steht daher - für www + Ursprung. In unserer - fiktiven Zonendatei ist example.org. der - Ursprung, daher steht www für - www.example.org. - - Eine Zonendatei hat folgenden Aufbau: - - recordname IN recordtype value - - - DNS - Einträge - - - Die am häufigsten verwendeten DNS-Einträge sind: - - - - SOA - - - Start der Zonenautorität - - - - - NS - - - Ein autoritativer Nameserver - - - - - A - - Eine Rechneradresse - - - - CNAME - - - Der kanonische Name eines Alias - - - - - MX - - Mail Exchanger - - - - PTR - - - Ein (bei Reverse-DNS verwendeter) Domain Name - Pointer - - - - - example.org. IN SOA ns1.example.org. admin.example.org. ( - 5 ; Serial - 10800 ; Refresh after 3 hours - 3600 ; Retry after 1 hour - 604800 ; Expire after 1 week - 86400 ) ; Minimum TTL of 1 day - - - - example.org. - - Der Name der Domäne und damit der - Ursprung dieser Zonendatei. - - - - - ns1.example.org. - - Der primäre/autoritative Nameserver - dieser Zone. - - - - - admin.example.org. - - Die für diese Zone verantwortliche - Person. Das Zeichen @ wird dabei - ersetzt (admin@example.org wird also zu - admin.example.org). - - - - - 5 - - Die Seriennummer der Datei. Sie muss - stets inkrementiert werden, wenn die Zonendatei - geändert wird. Viele Administratoren bevorzugen - ein JJJJMMTTRR-Format, um die - Seriennummer festzulegen. 2001041002 steht also für - den 10.04.2001, die beiden letzten Stellen für die - zweite Modifikation der Zonendatei an diesem Tag. Die - Seriennummer ist von großer Bedeutung, da - Slaveserver daran eine aktualisierte Zonendatei erkennen - können. - - - - - @ IN NS ns1.example.org. - - Ein NS-Eintrag. Jeder Nameserver, der - für eine Zone verantwortlich ist, muss über einen - solchen Eintrag verfügen. Das Zeichen - @ steht in unserem Beispiel für - example.org., - @ verweist also auf den Ursprung. - - localhost IN A 127.0.0.1 -ns1 IN A 3.2.1.2 -ns2 IN A 3.2.1.3 -mail IN A 3.2.1.10 -@ IN A 3.2.1.30 - - Der Eintrag A bezieht sich auf - Rechnernamen. ns1.example.org würde - also zu 3.2.1.2 aufgelöst - werden. Da das (Ursprungs-)Symbol @ - verwendet wird, wird example.org zu - 3.2.1.30 aufgelöst. - - www IN CNAME @ - - Der Eintrag für den kanonischen Namen wird dazu - verwendet, Aliase für einen Rechner zu vergeben. Im - Beispiel ist www ein Alias für den - Ursprungsrechner (example.org oder - 3.2.1.30). Durch die Option - CNAME können Aliasnamen vergeben - werden. Ein Rechnername kann aber auch abwechselnd - verschiedenen Rechnern zugewiesen werden. - - - MX-Eintrag - - - @ IN MX 10 mail.example.org. - - Die Option MX legt fest, welcher - Mailserver für eintreffende Mails der Zone - verantwortlich ist. - mail.example.org ist der - Rechnername des Mailservers, der eine Priorität von 10 - hat. - - Es können auch mehrere Mailserver mit verschiedener - Priorität vorhanden sein. Ein Mailserver, der eine Mail - an example.org verschicken - will, verwendet zuerst den MX mit der höchsten - Priorität, danach den mit der nächsthöheren, - bis die E-Mail zugestellt werden kann. - - Für (bei Reverse-DNS verwendete) - in-addr.arpa-Zonendateien wird das gleiche - Format verwendet. Der einzige Unterschied besteht in der - Verwendung der Option PTR an Stelle der - Optionen A und CNAME. - - $TTL 3600 - -1.2.3.in-addr.arpa. IN SOA ns1.example.org. admin.example.org. ( - 5 ; Serial - 10800 ; Refresh - 3600 ; Retry - 604800 ; Expire - 3600 ) ; Minimum - -@ IN NS ns1.example.org. -@ IN NS ns2.example.org. - -2 IN PTR ns1.example.org. -3 IN PTR ns2.example.org. -10 IN PTR mail.example.org. -30 IN PTR example.org. - - Durch diese Datei werden den Rechnernamen der fiktiven - Domäne IP-Adressen zugewiesen. - - - - - Zwischenspeichernde (cachende) Nameserver - - - BIND - Zwischenspeichernde Nameserver - - - Ein cachender Nameserver ist für keine Zonen - verantwortlich. Er stellt lediglich eigene Anfragen und - speichert deren Ergebnisse ab. Um einen solchen Nameserver - einzurichten, gehen Sie wie gewohnt vor, allerdings definieren - Sie keine Zonen. - - - - <application>named</application> in einer Sandbox - ausführen - - - BIND - Sandbox - - - - chroot - - - Es ist möglich, &man.named.8; als nicht privilegierter - Benutzer in einer mit &man.chroot.8; definierten Sandbox - auszuführen. Dadurch hat der - named-Daemon keinen Zugriff auf - Verzeichnisse und Dateien außerhalb der Sandbox. Sollte - named kompromittiert werden, - lässt sich dadurch der mögliche Schaden begrenzen. - FreeBSD erzeugt dazu automatisch einen Benutzer und eine - Gruppe namens bind. - - - Manchmal wird auch empfohlen, statt mit - chroot das Wurzelverzeichnis für - named zu ändern, - named innerhalb eines &man.jail.8;s - auszuführen. Diese Situation wird hier jedoch nicht - beschrieben. - - - Da named keinen Zugriff auf - Dateien außerhalb der Sandbox (wie Systembibliotheken oder - Protokolldateien) hat, sind einige Vorbereitungen notwendig, - damit named korrekt funktioniert. - Im Folgenden wird angenommen, dass die Sandbox unter - /etc/namedb eingerichtet wird. Außerdem - befinden sich die Dateien in diesem Verzeichnis noch im - Originalzustand. Alle Schritte müssen als - root durchgeführt werden. - - - - Erzeugen Sie alle Verzeichnisse, die - named benötigt: - - &prompt.root; cd /etc/namedb -&prompt.root; mkdir -p bin dev etc var/tmp var/run master slave -&prompt.root; chown bind:bind slave var/* - - - - Da named nur schreibend - auf diese Verzeichnisse zugreifen muss, werden auch - keine weiteren Rechte zugeteilt. - - - - - - Erzeugen Sie die Basiszonen sowie die nötigen - Konfigurationsdateien: - - &prompt.root; cp /etc/localtime etc -&prompt.root; mv named.conf etc && ln -sf etc/named.conf -&prompt.root; mv named.root master - -&prompt.root; sh make-localhost && mv localhost.rev localhost-v6.rev master&prompt.root; cat > master/named.localhost -$ORIGIN localhost. -$TTL 6h -@ IN SOA localhost. postmaster.localhost. ( - 1 ; serial - 3600 ; refresh - 1800 ; retry - 604800 ; expiration - 3600 ) ; minimum - IN NS localhost. - IN A 127.0.0.1 -^D - - - - Dadurch ist es named - möglich, die korrekte Systemzeit an &man.syslogd.8; - weiterzugeben. - - - - - - Wenn Sie FreeBSD in einer Version vor 4.9-RELEASE - verwenden, erzeugen Sie eine statisch gelinkte Kopie von - named-xfer und kopieren diese - in Ihre Sandbox: - - &prompt.root; cd /usr/src/lib/libisc -&prompt.root; make cleandir && make cleandir && make depend && make all -&prompt.root; cd /usr/src/lib/libbind -&prompt.root; make cleandir && make cleandir && make depend && make all -&prompt.root; cd /usr/src/libexec/named-xfer -&prompt.root; make cleandir && make cleandir && make depend && make NOSHARED=yes all -&prompt.root; cp named-xfer /etc/namedb/bin && chmod 555 /etc/namedb/bin/named-xfer - - Nachdem Sie ihre statische gelinkte Version von - named-xfer installiert haben, - müssen Sie etwas aufräumen, damit keine - veralteten Kopien von Bibliotheken oder Programmen in Ihrem - Quellbaum verbleiben: - - &prompt.root; cd /usr/src/lib/libisc -&prompt.root; make cleandir -&prompt.root; cd /usr/src/lib/libbind -&prompt.root; make cleandir -&prompt.root; cd /usr/src/libexec/named-xfer -&prompt.root; make cleandir - - - - Dieser Schritt kann manchmal fehlschlagen. Wenn - dies passiert, machen Sie Folgendes: - - &prompt.root; cd /usr/src && make cleandir && make cleandir - - Danach löschen Sie - /usr/obj inklusive aller - Unterverzeichnisse: - - &prompt.root; rm -fr /usr/obj && mkdir /usr/obj - - Dadurch entfernen Sie den ganzen - Müll aus Ihrem Quellbaum und die - fehlgeschlagenen Schritte sollten nun ebenfalls - funktionieren. - - - - Wenn Sie &os; in der Version 4.9-RELEASE oder neuer - verwenden, wird die in /usr/libexec - vorhandene Kopie von named-xfer - automatisch statisch gelinkt und Sie können die Datei - einfach mit &man.cp.1; in Ihre Sandbox kopieren. - - - - Erzeugen Sie ein dev/null, auf - das named lesend und schreibend - zugreifen kann: - - &prompt.root; cd /etc/namedb/dev && mknod null c 2 2 -&prompt.root; chmod 666 null - - - - Linken Sie /etc/namedb/var/run/ndc - symbolisch nach /var/run/ndc: - - &prompt.root; ln -sf /etc/namedb/var/run/ndc /var/run/ndc - - - Dadurch können Sie auf die Option - verzichten, wenn Sie &man.ndc.8; - aufrufen. Der Inhalt von /var/run - wird beim Systemstart automatisch gelöscht. Diese - Anweisung kann unter Nutzung der Option - in die - crontab von root - eingebaut werden. Lesen Sie dazu auch die Hilfeseite - &man.crontab.5;. - - - - - Weisen Sie &man.syslogd.8; an, einen zusätzlichen - log-Socket zu erzeugen, auf den - named Schreibzugriff hat. Dazu - hängen Sie in der Datei - /etc/rc.conf an den Eintrag - syslogd_flags die Option - -l /etc/namedb/dev/log an. - - - - Stellen Sie sicher, dass - named gestartet wird und sein - Wurzelverzeichnis mittels chroot in die - Sandbox setzt, indem Sie folgende Einträge in - /etc/rc.conf einfügen: - - named_enable="YES" -named_flags="-u bind -g bind -t /etc/namedb /etc/named.conf" - - - Beachten Sie, dass die Konfigurationsdatei - /etc/named.conf durch einen - absoluten Pfad (aber relativ zur - Sandbox) festgelegt wird. Bei der im obigen Beispiel - angesprochenen Datei handelt es sich also um - /etc/namedb/etc/named.conf. - - - - - Danach bearbeiten Sie - /etc/namedb/etc/named.conf, damit - named weiß, welche Zonen geladen - werden müssen und wo sich diese befinden. Es folgt nun - ein kommentiertes Beispiel (alle nicht dokumentierten - Einträge gelten auch für einen DNS-Server, der nicht - in einer Sandbox läuft): - - options { - directory "/"; - named-xfer "/bin/named-xfer"; - version ""; // Don't reveal BIND version - query-source address * port 53; -}; -// ndc control socket -controls { - unix "/var/run/ndc" perm 0600 owner 0 group 0; -}; -// Zones follow: -zone "localhost" IN { - type master; - file "master/named.localhost"; - allow-transfer { localhost; }; - notify no; -}; -zone "0.0.127.in-addr.arpa" IN { - type master; - file "master/localhost.rev"; - allow-transfer { localhost; }; - notify no; -}; -zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.int" { - type master; - file "master/localhost-v6.rev"; - allow-transfer { localhost; }; - notify no; -}; -zone "." IN { - type hint; - file "master/named.root"; -}; -zone "private.example.net" in { - type master; - file "master/private.example.net.db"; - allow-transfer { 192.168.10.0/24; }; -}; -zone "10.168.192.in-addr.arpa" in { - type slave; - masters { 192.168.10.2; }; - file "slave/192.168.10.db"; -}; - - - - directory wird als - / festgelegt, da sich alle von - named benötigten Dateien in - diesem Verzeichnis befinden (analog zur - /etc/namedb eines - normalen Benutzers. - - - - Legt den vollständigen Pfad zur Binärdatei - named-xfer aus der Sicht von - named fest. Das ist nötig, - weil named per Voreinstellung - im Verzeichnis /usr/libexec nach - named-xfer sucht. - - - - Legt die Datei (relativ zum - directory-Statement) fest, in der - named die Zonendatei für - diese Zone findet. - - - - Legt die Datei (relativ zum - directory-Statement) fest, in die - named eine Kopie der Zonendatei - dieser Zone schreibt, nachdem diese erfolgreich vom - Masterserver angefordert wurde. Aus diesem Grund musste in - den vorherigen Schritten auch bind - der Eigentümer des Verzeichnisses - slave sein. - - - - Nachdem Sie diese Schritte erledigt haben, müssen Sie - entweder den Rechner oder &man.syslogd.8; neu starten. Danach - starten Sie &man.named.8; unter Verwendung der neuen, unter - syslogd_flags und - named_flags festgelegten Optionen. Sie - verwenden nun eine Sandboxversion von - named! - - - - Sicherheit - - Obwohl BIND die am meisten verwendete (und kontrollierte) - Implementierung von DNS darstellt, werden dennoch manchmal neue - Sicherheitsprobleme entdeckt. - - Es ist daher eine gute Idee, die Mailinglisten von - CERT sowie - - freebsd-security-notifications zu abonnieren, um sich - über Sicherheitsprobleme im Zusammenhang mit dem Internet - und FreeBSD zu informieren. - - - Tritt ein Problem auf, kann es nie schaden, die - Quellen zu aktualisieren und named - neu zu kompilieren. - - - - - Weitere Informationsquellen - - - - Hilfeseiten zu BIND/named: - &man.ndc.8;, &man.named.8;, &man.named.conf.5; - - - - Offizielle ISC-Seite - zu BIND - - - - - BIND FAQs - - - - O'Reilly - DNS and BIND 4th Edition - - - - RFC1034 - - Domain Names - Concepts and Facilities - - - - - RFC1035 - - Domain Names - Implementation and Specification - - - - - - - - - - - Tom - Hukins - Beigetragen von - - - - - NTP – Network Time Protocol - - NTP - - - Überblick - - Da die interne Uhrzeit eines Computers nie ganz exakt ist, - wurde mit NTP - (Network Time Protocol) eine - Möglichkeit geschaffen, die exakte Uhrzeit zu ermitteln - und festzulegen. - - Viele Internetdienste sind von einer exakten Uhrzeit - abhängig. Ein Webserver könnte beispielsweise die - Anforderung erhalten, eine Datei zu versenden, wenn sich diese - in einer bestimmten Zeitspanne geändert hat. Dienste wie - &man.cron.8; führen Befehle zu einem bestimmten Zeitpunkt - aus. Ist die Uhrzeit nicht korrekt, kann dies zu Problemen - führen. - - - NTP - ntpd - - - &os; verwendet den &man.ntpd.8;-NTP-Server, um die genaue - Uhrzeit von anderen NTP-Servern abzufragen, die eigene - Systemzeit zu setzen, oder um diese anderen Rechnern - anzubieten. - - - - Einen passenden NTP-Server auswählen - - - NTP - Serverwahl - - - Um die Uhrzeit zu synchronisieren, müssen Sie sich mit - einem NTP-Server verbinden. Ihr Netzwerkadministrator oder Ihr - Internetprovider haben vielleicht schon einen NTP-Server - eingerichtet. Lesen Sie deren Dokumentation, um dies zu - überprüfen. Es gibt eine - - Liste mit frei zugänglichen NTP-Servern, aus der - Sie sich einen in Ihrer Nähe gelegenen Server - auswählen können. Beachten Sie aber auf jeden Fall - die Nutzungsbedingungen des entsprechenden Servers, und fragen - Sie um Erlaubnis, wenn dies nötig ist. - - Die Auswahl von mehreren NTP-Servern kann sinnvoll sein, - wenn ein Server ausfällt oder falsche Zeiten liefert. - &man.ntpd.8; verwendet die Antworten anderer Server, um - zuverlässige Server zu bestimmen, die dann bevorzugt - abgefragt werden. - - - - NTP unter &os; einrichten - - - NTP - Konfiguration - - - - NTP aktivieren - - ntpdate - - Wenn Sie Ihre Uhrzeit nur beim Systemstart - synchronisieren wollen, können Sie &man.ntpdate.8; - verwenden. Für Desktoprechner, die regelmäßig - neu gestartet werden und keine ständige Synchronisation - benötigen, ist dies akzeptabel. In allen anderen - Fällen sollten Sie jedoch &man.ntpd.8; verwenden. - - Die Ausführung von &man.ntpdate.8; während des - Systemstarts ist aber auch für Rechner, die &man.ntpd.8; - verwenden, sinnvoll. &man.ntpd.8; passt die Systemzeit nur - bei größeren Abweichungen an, während - &man.ntpdate.8; die Zeit immer synchronisiert, egal wie - groß die Differenz zwischen Systemzeit und korrekter - Zeit ist. - - Um &man.ntpdate.8; beim Systemstart zu aktivieren, - fügen Sie den Eintrag - ntpdate_enable="YES" in - /etc/rc.conf ein. Außerdem müssen - Sie alle Server, mit denen Sie sich synchronisieren wollen, - sowie alle an &man.ntpdate.8; zu übergebenden Optionen - in den ntpdate_flags angeben. - - - - - NTP - ntp.conf - - - NTP einrichten - - Die Konfiguration von NTP erfolgt über die Datei - /etc/ntp.conf, und wird in der - Hilfeseite &man.ntp.conf.5; beschrieben. Dazu ein - einfaches Beispiel: - - server ntplocal.example.com prefer -server timeserver.example.org -server ntp2a.example.net - -driftfile /var/db/ntp.drift - - Die Option server legt die zu - verwendenden Server fest, wobei jeder Server in einer eigenen - Zeile steht. Wenn ein Server mit der Option - prefer versehen ist, wie dies hier bei - ntplocal.example.com der Fall - ist, wird dieser Server bevorzugt verwendet. Eine Antwort von - einem bevorzugten Server wird nur dann verworfen, wenn sie - signifikant von denen anderer Server abweicht, ansonsten wird - sie ohne Abfrage weiterer Server verwendet. Die Option - prefer wird gewöhnlich nur für - sehr zuverlässige und genaue Server verwendet, die - über spezielle Hardware zur Zeitüberwachung - verfügen. - - Die Option driftfile legt fest, in - welcher Datei die Abweichungen der Systemuhr protokolliert - werden. &man.ntpd.8; verwendet diese Datei, um die Systemzeit - automatisch anzupassen, selbst wenn kurzzeitig kein NTP-Server - zur Synchronisation verfügbar ist. - - Weiterhin legt die Option driftfile fest, - wo Informationen über frühere Antworten des von - Ihnen verwendeten NTP-Servers gespeichert werden sollen. - Diese Datei enthält NTP-interne Informationen, sie sollte - daher von anderen Prozessen nicht verändert werden. - - - - Den Zugang zu Ihrem NTP-Server beschränken - - In der Voreinstellung ist Ihr NTP-Server für alle - Rechner im Internet erreichbar. Über die Option - restrict in der Datei - /etc/ntp.conf können Sie den - Zugang zu Ihrem Server beschränken. - - Wenn Sie alle Rechner vom Zugriff auf Ihren NTP-Server - ausschließen wollen, fügen Sie folgende Zeile in - /etc/ntp.conf ein: - - restrict default ignore - - Wenn Sie nur Rechnern Ihres eigenen Netzwerks die - Synchronisation mit Ihrem NTP-Server erlauben, gleichzeitig - aber verhindern wollen, dass diese den NTP-Server - konfigurieren oder als Server für andere Rechner dienen - können, fügen Sie folgende Zeile ein: - - restrict 192.168.1.0 mask 255.255.255.0 notrust nomodify notrap - - Bei 192.168.1.0 handelt es - sich um einen Rechner Ihres Netzwerks. - 255.255.255.0 ist die - Netzmaske Ihres Netzwerks. - - /etc/ntp.conf kann verschiedene - restrict-Optionen enthalten. - Weiteres erfahren Sie im Abschnitt - Access Control Support der - Hilfeseite &man.ntp.conf.5;. - - - - - Den NTP-Server starten - - Damit der NTP-Server beim Systemstart automatisch gestartet - wird, fügen Sie den Eintrag - xntpd_enable="YES" in - /etc/rc.conf ein. Wenn Sie weitere - Argumente an &man.ntpd.8; übergeben wollen, passen Sie - die Option xntpd_flags in der Datei - /etc/rc.conf entsprechend an. - - Um den NTP-Server ohne einen Systemneustart zu starten, - rufen Sie ntpd mit den unter - xntpd_flags in - /etc/rc.conf festgelegten Parametern auf. - Hierzu ein Beispiel: - - &prompt.root; ntpd -p /var/run/ntpd.pid - - Unter &os; 5.X wurden verschiedene Optionen in - /etc/rc.conf umbenannt. Daher - müssen Sie alle Vorkommen von xntpd - durch ntpd ersetzen. - - - - ntpd mit einer Einwahlverbindung verwenden - - &man.ntpd.8; benötigt keine ständige - Internetverbindung. Wenn Sie sich ins Internet einwählen, - ist es sinnvoll, zu verhindern, dass NTP-Verkehr eine Verbindung - aufbauen oder aufrechterhalten kann. Wenn Sie user-PPP - verwenden, können Sie dies in den - filter-Direktiven von - /etc/ppp/ppp.conf festlegen. Sehen Sie - sich dazu das folgende Beispiel ein: - - set filter dial 0 deny udp src eq 123 -# Prevent NTP traffic from initiating dial out -set filter dial 1 permit 0 0 -set filter alive 0 deny udp src eq 123 -# Prevent incoming NTP traffic from keeping the connection open -set filter alive 1 deny udp dst eq 123 -# Prevent outgoing NTP traffic from keeping the connection open -set filter alive 2 permit 0/0 0/0 - - Weitere Informationen finden Sie im Abschnitt - PACKET FILTERING von &man.ppp.8; sowie in den - Beispielen unter /usr/share/examples/ppp/. - - Einige Internetprovider blockieren Ports mit niedrigen - Nummern. In solchen Fällen funktioniert NTP leider - nicht, da Antworten eines NTP-Servers Ihren Rechner nicht - erreichen werden. - - - - Weitere Informationen - - Weiterführende Dokumentation (im HTML-Format) - zum NTP-Server finden Sie unter - /usr/share/doc/ntp/. - - - - - NATD – Network Address Translation Daemon - - Dieser Abschnitt ist noch nicht übersetzt. Lesen Sie - bitte - das Original in englischer Sprache. - - - - inetd <quote>Super-Server</quote> - - Dieser Abschnitt ist noch nicht übersetzt. Lesen Sie - bitte - das Original in englischer Sprache. @@ -6821,7 +3141,7 @@ set filter alive 2 permit 0/0 0/0 Netzwerkkabels aus einem gewöhnlichen parallelen Druckerkabel. - +
Die Netzwerk-Verdrahtung eines parallelen Kabels @@ -7059,6 +3379,14 @@ round-trip min/avg/max/stddev = 2.530/2.643/2.774/0.103 ms Überarbeitet und erweitert von + + + + Brad + Davis + Erweitert von + + IPv6 – Internet Protocol Version 6 @@ -7198,7 +3526,7 @@ round-trip min/avg/max/stddev = 2.530/2.643/2.774/0.103 ms xxx.xxx.xxx.255) wird bei IPv6 durch Multicast-Adressen verwirklicht. -
+
Reservierte IPv6-Adressen: @@ -7454,15 +3782,309 @@ gif0: flags=8010<POINTOPOINT,MULTICAST> mtu 1280 dns/djbdns (bei Verwendung des IPv6-Patches) unterstützen AAAA-Einträge. + + + <filename>/etc/rc.conf</filename> für die Nutzung von + IPv6 anpassen + + + Einen Client unter IPv6 einrichten + + Dieser Abschnitt beschreibt die Konfiguration eines + Rechners, der in Ihrem LAN als Client, aber nicht als Router + verwendet wird. Um die Schnittstelle während des + Systemstarts mit &man.rtsol.8; automatisch einzurichten, + fügen Sie folgende Zeile in + /etc/rc.conf ein: + + ipv6_enable="YES" + + Durch die folgende Zeile weisen Sie Ihrer Schnittstelle + fxp0 die statische IP-Adresse 2001:471:1f11:251:290:27ff:fee0:2093 + zu: + + ipv6_ifconfig_fxp0="2001:471:1f11:251:290:27ff:fee0:2093" + + Um 2001:471:1f11:251::1 + als Standardrouter festzulegen, fügen Sie folgende Zeile + in /etc/rc.conf ein: + + ipv6_defaultrouter="2001:471:1f11:251::1" + + + + Gateways und Router unter IPv6 einrichten + + Dieser Abschnitt beschreibt, wie Sie Ihren Rechner mit + Hilfe der von Ihrem Tunnel-Anbieter, beispielsweise + 6bone, erhaltenen + Anweisungen dauerhaft für die Nutzung von IPv6 + einrichten. Um den Tunnel beim Systemstart + wiederherzustellen, passen Sie + /etc/rc.conf wie folgt an: + + Listen Sie die einzurichtenden Tunnelschnittstellen + (hier gif0) auf: + + gif_interfaces="gif0" + + Um den lokalen Endpunkt + MY_IPv4_ADDR über diese + Schnittstelle mit dem entfernten Endpunkt + REMOTE_IPv4_ADDR zu + verbinden, verwenden Sie folgende Zeile: + + gif_config_gif0="MY_IPv4_ADDR REMOTE_IPv4_ADDR" + + Um die Ihnen zugewiesene IPv6-Adresse als Endpunkt Ihres + IPv6-Tunnels zu verwenden, fügen Sie folgende Zeile + ein: + + ipv6_ifconfig_gif0="MY_ASSIGNED_IPv6_TUNNEL_ENDPOINT_ADDR" + + Nun müssen Sie nur noch die IPv6-Standardroute + angeben. Diese legt das andere Ende des IPv6-Tunnels + fest. + + ipv6_defaultrouter="MY_IPv6_REMOTE_TUNNEL_ENDPOINT_ADDR" + + + + + Bekanntmachung von Routen und automatische + Rechnerkonfiguration + + Dieser Abschnitt beschreibt die Einrichtung von + &man.rtadvd.8;, das Sie bei der Bekanntmachung der + IPv6-Standardroute unterstützt. + + Um &man.rtadvd.8; zu aktivieren, fügen Sie folgende + Zeile in /etc/rc.conf ein: + + rtadvd_enable="YES" + + Es ist wichtig, die Schnittstelle anzugeben, über die + IPv6-Routen bekanntgemacht werden sollen. Soll &man.rtadvd.8; + fxp0 verwenden, ist folgender Eintrag + nötig: + + rtadvd_interfaces="fxp0" + + Danach erzeugen Sie die Konfigurationsdatei + /etc/rtadvd.conf. Dazu ein Beispiel: + + fxp0:\ + :addrs#1:addr="2001:471:1f11:246::":prefixlen#64:tc=ether: + + Ersetzen Sie dabei fxp0 durch die + zu verwendende Schnittstelle. + + Anschließend ersetzen Sie + 2001:471:1f11:246:: durch das + Präfix der Ihnen zugewiesenen Verbindung. + + Wenn Sie eine /64-Netzmaske + verwenden, müssen Sie keine weiteren Anpassungen vornehmen. + Anderenfalls müssen Sie prefixlen# + auf den korrekten Wert setzen. + - ATM – Asynchronous Transfer Mode + + + + Harti + Brandt + Beigetragen von + + + - Dieser Abschnitt ist noch nicht übersetzt. Lesen Sie - bitte - das Original in englischer Sprache. + ATM - Asynchronous Transfer Mode unter &os; 5.X + + + <foreignphrase>Classical IP over ATM</foreignphrase> + als PVC-Verbindung einrichten + + Classical IP over ATM + (CLIP) ist die einfachste Möglichkeit, + um IP-Verkehr über ATM (Asynchronous + Transfer Mode-Verbindungen zu übertragen. + CLIP kann sowohl mit geschalteten Verbindungen (SVCs) als auch + mit permanenten Verbindungen (PVCs) verwendet werden. Dieser + Abschnitt beschreibt die Einrichtung eines PVC-basierten + Netzwerks. + + + Ein vollständig vermaschtes Netzwerk aufbauen + + Bei einem vollständig vermaschten + (fully meshed) Netzwerk ist + jeder Rechner über eine dezidierte Verbindung mit jedem + anderen Rechner des Netzwerks verbunden. Die Konfiguration + ist - vor allem für kleinere Netzwerke - relativ einfach. + Unser Beispielnetzwerk besteht aus vier Rechnern, die jeweils + über eine + ATM-Adapterkarte + mit dem + ATM-Netzwerk + verbunden sind. Als ersten Konfigurationsschritt planen wir + die Vergabe von IP-Adressen sowie die anzulegenden + ATM-Verbindungen: + + + + + + + + + Rechner + IP-Adresse + + + + + + hostA + 192.168.173.1 + + + + hostB + 192.168.173.2 + + + + hostC + 192.168.173.3 + + + + hostD + 192.168.173.4 + + + + + + Um ein vollständiges Netz aufzubauen, benötigen + wir für jedes Rechnerpaar eine eigene ATM-Verbindung: + + + + + + + + Rechnerpaar + VPI.VCI-Paar + + + + + + hostA - hostB + 0.100 + + + + hostA - hostC + 0.101 + + + + hostA - hostD + 0.102 + + + + hostB - hostC + 0.103 + + + + hostB - hostD + 0.104 + + + + hostC - hostD + 0.105 + + + + + + Die Werte VPI und VCI an den Verbindungsenden können + natürlich unterschiedlich sein. Wir nehmen hier aber an, + dass sie gleich sind. Nun müssen wir die + ATM-Schnittstellen auf jedem Rechner einrichten: + + hostA&prompt.root; ifconfig hatm0 192.168.173.1 up +hostB&prompt.root; ifconfig hatm0 192.168.173.2 up +hostC&prompt.root; ifconfig hatm0 192.168.173.3 up +hostD&prompt.root; ifconfig hatm0 192.168.173.4 up + + Dabei setzen wir voraus, dass + hatm0 auf allen Rechnern die + ATM-Schnittstelle darstellt. Danach werden, beginnend mit + hostA, die PVCs auf den einzelnen Rechnern + eingerichtet (Wir nehmen an, dass die PVCs auf den + ATM-Switches bereits eingerichet sind. Lesen Sie die + entsprechenden Handbücher, wenn Sie einen Switch + einrichten müssen.): + + hostA&prompt.root; atmconfig natm add 192.168.173.2 hatm0 0 100 llc/snap ubr +hostA&prompt.root; atmconfig natm add 192.168.173.3 hatm0 0 101 llc/snap ubr +hostA&prompt.root; atmconfig natm add 192.168.173.4 hatm0 0 102 llc/snap ubr + +hostB&prompt.root; atmconfig natm add 192.168.173.1 hatm0 0 100 llc/snap ubr +hostB&prompt.root; atmconfig natm add 192.168.173.3 hatm0 0 103 llc/snap ubr +hostB&prompt.root; atmconfig natm add 192.168.173.4 hatm0 0 104 llc/snap ubr + +hostC&prompt.root; atmconfig natm add 192.168.173.1 hatm0 0 101 llc/snap ubr +hostC&prompt.root; atmconfig natm add 192.168.173.2 hatm0 0 103 llc/snap ubr +hostC&prompt.root; atmconfig natm add 192.168.173.4 hatm0 0 105 llc/snap ubr + +hostD&prompt.root; atmconfig natm add 192.168.173.1 hatm0 0 102 llc/snap ubr +hostD&prompt.root; atmconfig natm add 192.168.173.2 hatm0 0 104 llc/snap ubr +hostD&prompt.root; atmconfig natm add 192.168.173.3 hatm0 0 105 llc/snap ubr + + Statt UBR können auch andere + traffic contracts verwendet + werden. Voraussetzung ist allerdings, dass diese von Ihrem + ATM-Adapter unterstützt werden. Ist dies der Fall, + folgen auf den Namen des + traffic contracts die + entsprechenden Konfigurationsparameter. Weitere Informationen + zur Konfiguration von ATM-Adapterkarten erhalten Sie über + den Befehl + + &prompt.root; atmconfig help natm add + + oder durch das Lesen von &man.atmconfig.8;. + + Die Konfiguration von ATM-Adaptern kann auch über die + Datei /etc/rc.conf erfolgen. Für + hostA sähe die Konfiguration so + aus: + + network_interfaces="lo0 hatm0" +ifconfig_hatm0="inet 192.168.173.1 up" +natm_static_routes="hostB hostC hostD" +route_hostB="192.168.173.2 hatm0 0 100 llc/snap ubr" +route_hostC="192.168.173.3 hatm0 0 101 llc/snap ubr" +route_hostD="192.168.173.4 hatm0 0 102 llc/snap ubr" + + Mit dem folgenden Befehl lässt sich der derzeitige + Status aller CLIP-Routen anzeigen: + + hostA&prompt.root; atmconfig natm show + + diff --git a/de_DE.ISO8859-1/books/handbook/book.sgml b/de_DE.ISO8859-1/books/handbook/book.sgml index 8f4f1aca7e..2cd6dd84d0 100644 --- a/de_DE.ISO8859-1/books/handbook/book.sgml +++ b/de_DE.ISO8859-1/books/handbook/book.sgml @@ -3,7 +3,7 @@ The FreeBSD German Documentation Project $FreeBSD$ - $FreeBSDde: de-docproj/books/handbook/book.sgml,v 1.61 2004/06/06 15:06:38 mheinen Exp $ + $FreeBSDde: de-docproj/books/handbook/book.sgml,v 1.62 2004/07/24 15:20:05 jkois Exp $ basiert auf: 1.147 --> @@ -53,6 +53,7 @@ + @@ -248,6 +249,7 @@ + diff --git a/de_DE.ISO8859-1/books/handbook/boot/chapter.sgml b/de_DE.ISO8859-1/books/handbook/boot/chapter.sgml index 8d2f0f3bf0..ecd39c3131 100644 --- a/de_DE.ISO8859-1/books/handbook/boot/chapter.sgml +++ b/de_DE.ISO8859-1/books/handbook/boot/chapter.sgml @@ -3,7 +3,7 @@ The FreeBSD German Documentation Project $FreeBSD$ - $FreeBSDde: de-docproj/books/handbook/boot/chapter.sgml,v 1.45 2004/04/26 23:44:22 mheinen Exp $ + $FreeBSDde: de-docproj/books/handbook/boot/chapter.sgml,v 1.46 2004/07/07 23:07:08 mheinen Exp $ basiert auf: 1.56 --> @@ -769,7 +769,7 @@ boot: linkend="boot-multiuser">Mehrbenutzer Modus heraus durch den Befehl &man.shutdown.8; ohne die reboot () oder halt () Option - erreicht werden. + erreicht werden.Falls die System-Konsole (console) in /etc/ttys auf insecure diff --git a/de_DE.ISO8859-1/books/handbook/chapters.ent b/de_DE.ISO8859-1/books/handbook/chapters.ent index 6d3eeb83da..42e3abb210 100644 --- a/de_DE.ISO8859-1/books/handbook/chapters.ent +++ b/de_DE.ISO8859-1/books/handbook/chapters.ent @@ -8,7 +8,7 @@ referenziert wird. $FreeBSD$ - $FreeBSDde: de-docproj/books/handbook/chapters.ent,v 1.21 2004/03/14 17:10:23 mheinen Exp $ + $FreeBSDde: de-docproj/books/handbook/chapters.ent,v 1.22 2004/07/24 15:22:35 jkois Exp $ basiert auf: 1.25 --> @@ -35,6 +35,7 @@ + diff --git a/de_DE.ISO8859-1/books/handbook/config/chapter.sgml b/de_DE.ISO8859-1/books/handbook/config/chapter.sgml index e2fca18b91..011ed2f194 100644 --- a/de_DE.ISO8859-1/books/handbook/config/chapter.sgml +++ b/de_DE.ISO8859-1/books/handbook/config/chapter.sgml @@ -3,7 +3,7 @@ The FreeBSD German Documentation Project $FreeBSD$ - $FreeBSDde: de-docproj/books/handbook/config/chapter.sgml,v 1.89 2004/06/27 20:56:00 mheinen Exp $ + $FreeBSDde: de-docproj/books/handbook/config/chapter.sgml,v 1.90 2004/07/07 23:07:08 mheinen Exp $ basiert auf: 1.156 --> @@ -186,7 +186,7 @@ Swap kann zu einer Leistungsverminderung im VM page scanning Code führen, sowie Probleme verursachen, wenn Sie später - mehr Speicher in Ihre Maschine bauen. + mehr Speicher in Ihre Maschine bauen. Auf größeren Systemen mit mehreren SCSI-Laufwerken (oder mehreren IDE-Laufwerken an unterschiedlichen Controllern) @@ -1298,13 +1298,13 @@ round-trip min/avg/max/stddev = 0.700/0.729/0.766/0.025 ms Die IP-Adresse eines Nameservers, den der Resolver abfragen soll. Bis zu drei Server werden in der Reihenfolge, in der sie aufgezählt - sind, abgefragt. + sind, abgefragt. search Suchliste mit Domain-Namen zum Auflösen von Hostnamen. Die Liste wird normalerweise durch den - Domain-Teil des lokalen Hostnamens festgelegt. + Domain-Teil des lokalen Hostnamens festgelegt. domain @@ -2973,6 +2973,7 @@ hw.acpi.s4bios: 0 das Sie in der ASL finden, in der Datei /boot/loader.conf anzugeben: hw.acpi.osname="Windows 2001". + Fehlende Return-Anweisungen @@ -3019,6 +3020,7 @@ acpi_dsdt_name="/boot/DSDT.aml" DSDT.aml im Verzeichnis /boot befindet. + <acronym>ACPI</acronym>-Meldungen zur diff --git a/de_DE.ISO8859-1/books/handbook/cutting-edge/chapter.sgml b/de_DE.ISO8859-1/books/handbook/cutting-edge/chapter.sgml index 4bd6323f97..c98f929bb1 100644 --- a/de_DE.ISO8859-1/books/handbook/cutting-edge/chapter.sgml +++ b/de_DE.ISO8859-1/books/handbook/cutting-edge/chapter.sgml @@ -3,8 +3,8 @@ The FreeBSD German Documentation Project $FreeBSD$ - $FreeBSDde: de-docproj/books/handbook/cutting-edge/chapter.sgml,v 1.64 2004/06/06 18:26:47 mheinen Exp $ - basiert auf: 1.200 + $FreeBSDde: de-docproj/books/handbook/cutting-edge/chapter.sgml,v 1.68 2004/08/01 10:32:59 mheinen Exp $ + basiert auf: 1.203 --> <chapter id="cutting-edge"> @@ -352,7 +352,7 @@ wir sie nicht ewig unterstützen. Eine vollständige Beschreibung der Sicherheitspolitik für alte FreeBSD Releases entnehmen Sie bitte <ulink - url="&url.main;/security/index.html">http://www.FreeBSD.org/security/</ulink>.</para> + url="&url.base;/security/index.html">http://www.FreeBSD.org/security/</ulink>.</para> </footnote> wie sie einen sicherheitsrelevanten Fehler beheben. Wenn Sie den Entwicklungszweig aus Sicherheitsgründen @@ -578,7 +578,7 @@ wenn Sie Teile des Quellbaums gelöscht haben und keine Sicherung besitzen, müssen Sie von neuem, das heißt vom letzten <quote>Basis-Delta</quote>, starten und die Änderungen wieder - mit <application>CTM</application> nachziehen. + mit <application>CTM</application> nachziehen.</para> </sect1> <sect1 id="makeworld"> @@ -1054,15 +1054,9 @@ Script done, …</screen> dass Ihr System funktioniert, können Sie einen neuen Kernel mit Ihrer Konfigurationsdatei bauen.</para> - <para>Wenn Sie einen Update nach &os; 4.0 oder höher - durchführen, sollten Sie den Kernel nicht mit der - <quote>herkömmlichen</quote> Methode, - die in <xref linkend="kernelconfig"> - beschrieben ist, bauen. Stattdessen benutzen Sie die nachstehenden - Kommandos (die <quote>neue</quote> Methode) - <emphasis>nach</emphasis> dem <link linkend="make-buildworld"> - Bau des Basissystems mit - <maketarget>buildworld</maketarget></link>.</para> + <para>In aktuellen &os;-Versionen müssen Sie das + <link linkend="make-buildworld">Basissystem neu bauen</link>, + bevor Sie einen neuen Kernel erstellen.</para> <note> <para>Wenn Sie einen angepassten Kernel erstellen wollen und @@ -1311,7 +1305,8 @@ Script done, …</screen> den schon existierenden Dateien vergleichen.</para> <para>Einige der installierten Dateien unter - <filename>/var/tmp/root</filename> beginnen mit einem <quote/./. + <filename>/var/tmp/root</filename> beginnen mit einem + <quote>.</quote>. Als dieses Kapitel verfasst wurde, waren das nur die Startdateien für die Shells in <filename>/var/tmp/root/</filename> und @@ -1644,7 +1639,7 @@ Script done, …</screen> Dies führt häufig zu unnötigen Diskussionen auf den &os; Mailinglisten, wenn sich jemand über einen kaputten Bau beschwert, aber nicht sieht, dass er - Probleme hat, weil er eine Abkürzung genommen hat.<para> + Probleme hat, weil er eine Abkürzung genommen hat.</para> </answer> </qandaentry> @@ -1876,7 +1871,7 @@ Building everything.. <emphasis>Testmaschine</emphasis>, auf der Sie die Updates testen, bevor Sie sie in Produktion installieren. Dies sollte eine Maschine, eventuell der Bau-Master, sein, die über einen - längeren Zeitraum nicht zur Verfügung stehen kann. + längeren Zeitraum nicht zur Verfügung stehen kann.</para> <para>Alle Maschinen der Baugruppe müssen <filename>/usr/obj</filename> und <filename>/usr/src</filename> von diff --git a/de_DE.ISO8859-1/books/handbook/desktop/chapter.sgml b/de_DE.ISO8859-1/books/handbook/desktop/chapter.sgml index 50f91b4580..603b3b63be 100644 --- a/de_DE.ISO8859-1/books/handbook/desktop/chapter.sgml +++ b/de_DE.ISO8859-1/books/handbook/desktop/chapter.sgml @@ -3,7 +3,7 @@ The FreeBSD German Documentation Project $FreeBSD$ - $FreeBSDde: de-docproj/books/handbook/desktop/chapter.sgml,v 1.29 2004/01/07 22:54:50 mheinen Exp $ + $FreeBSDde: de-docproj/books/handbook/desktop/chapter.sgml,v 1.30 2004/07/07 23:07:08 mheinen Exp $ basiert auf: 1.31 --> @@ -350,7 +350,8 @@ export LD_PRELOAD</programlisting> FreeBSD-Version und der Linux-Version. Für jedes Betriebssystem gibt es eine kostenlose Version, die Werbung anzeigt. Die Version ohne Werbung können Sie auf der - <ulink url="http://www.opera.com">Opera Webseite</ulink> erstehen. + <ulink url="http://www.opera.com">Opera Webseite</ulink> + erstehen.</para> <para>Wenn Sie das Web mit der FreeBSD-Version von <application>Opera</application> erkunden diff --git a/de_DE.ISO8859-1/books/handbook/disks/chapter.sgml b/de_DE.ISO8859-1/books/handbook/disks/chapter.sgml index 24d5949058..a9fdd5712f 100644 --- a/de_DE.ISO8859-1/books/handbook/disks/chapter.sgml +++ b/de_DE.ISO8859-1/books/handbook/disks/chapter.sgml @@ -3,7 +3,7 @@ The FreeBSD German Documentation Project $FreeBSD$ - $FreeBSDde: de-docproj/books/handbook/disks/chapter.sgml,v 1.99 2004/06/13 18:39:37 mheinen Exp $ + $FreeBSDde: de-docproj/books/handbook/disks/chapter.sgml,v 1.100 2004/07/07 23:07:08 mheinen Exp $ basiert auf: 1.201 --> @@ -62,6 +62,7 @@ </listitem> <listitem><para>Was Schnappschüsse sind und wie sie eingesetzt werden.</para> + </listitem> </itemizedlist> </sect1> @@ -936,7 +937,7 @@ ar0: ATA RAID1 subdisks: ad4 ad6 status: REBUILDING 0% completed</screen> Rock-Ridge-Erweiterungen werden durch <option>-R</option> aktiviert, <option>-J</option> aktiviert die von Microsoft Systemen benutzten Joliet-Erweiterungen und <option>-hfs</option> - dient dazu, um das von &macos; benutzte HFS zu erstellen. + dient dazu, um das von &macos; benutzte HFS zu erstellen.</para> <para>Für CDs, die nur auf FreeBSD-Systemen verwendet werden sollen, kann <option>-U</option> genutzt werden, um alle diff --git a/de_DE.ISO8859-1/books/handbook/eresources/chapter.sgml b/de_DE.ISO8859-1/books/handbook/eresources/chapter.sgml index 0cb298c083..9de48501d8 100644 --- a/de_DE.ISO8859-1/books/handbook/eresources/chapter.sgml +++ b/de_DE.ISO8859-1/books/handbook/eresources/chapter.sgml @@ -3,8 +3,8 @@ The FreeBSD German Documentation Project $FreeBSD$ - $FreeBSDde: de-docproj/books/handbook/eresources/chapter.sgml,v 1.43 2004/06/06 18:24:01 mheinen Exp $ - basiert auf: 1.143 + $FreeBSDde: de-docproj/books/handbook/eresources/chapter.sgml,v 1.46 2004/07/28 21:02:01 jkois Exp $ + basiert auf: 1.144 --> <appendix id="eresources"> @@ -46,7 +46,7 @@ würden.</para> <para>Alle Mailinglisten werden archiviert und können auf dem - <ulink url="&url.main;/search/index.html">FreeBSD World Wide Web + <ulink url="&url.base;/search/index.html">FreeBSD World Wide Web Server</ulink> durchsucht werden. Das nach Schlüsselwörtern durchsuchbare Archiv bietet die hervorragende Möglichkeit, Antworten auf häufig gestellte @@ -517,7 +517,7 @@ <row> <entry>&a.www.name;</entry> - <entry>Betreuer von <ulink url="&url.main;/index.html">www.FreeBSD.org</ulink></entry> + <entry>Betreuer von <ulink url="&url.base;/index.html">www.FreeBSD.org</ulink></entry> </row> </tbody> </tgroup> @@ -817,7 +817,7 @@ <para>Auf dieser Liste werden Fehlerberichte gesammelt. Fehlerberichte sollten immer mit &man.send-pr.1; oder dem - <ulink url="&url.main;/send-pr.html">Web Formular</ulink> + <ulink url="&url.base;/send-pr.html">Web Formular</ulink> erstellt werden.</para> </listitem> </varlistentry> @@ -839,7 +839,7 @@ technischen Listen wichtige Ereignisse wie Feste, Hochzeiten oder Geburten angekündigt werden, aber nachfolgende Nachrichten sollten auf die Liste &a.chat; gesendet - werden.<para> + werden.</para> </listitem> </varlistentry> @@ -1032,7 +1032,7 @@ Andere Formate, wie <acronym>PDF</acronym> oder HTML, werden von den Lesern akzeptiert. Nicht offene Formate wie µsoft; Word (<filename>.doc</filename>) - werden vom Server der Liste abgelehnt. + werden vom Server der Liste abgelehnt.</para> </listitem> </varlistentry> diff --git a/de_DE.ISO8859-1/books/handbook/introduction/chapter.sgml b/de_DE.ISO8859-1/books/handbook/introduction/chapter.sgml index 59b3650481..695ca1e3d6 100644 --- a/de_DE.ISO8859-1/books/handbook/introduction/chapter.sgml +++ b/de_DE.ISO8859-1/books/handbook/introduction/chapter.sgml @@ -3,8 +3,8 @@ The FreeBSD German Documentation Project $FreeBSD$ - $FreeBSDde: de-docproj/books/handbook/introduction/chapter.sgml,v 1.29 2004/06/06 15:06:38 mheinen Exp $ - basiert auf: 1.98 + $FreeBSDde: de-docproj/books/handbook/introduction/chapter.sgml,v 1.31 2004/07/28 21:08:05 jkois Exp $ + basiert auf: 1.99 --> <chapter id="introduction"> @@ -1075,7 +1075,7 @@ <para>Quellcode ist nicht der einzige Weg, etwas zum Projekt beizusteuern. Eine genauere Übersicht über offene Aufgaben finden Sie auf der <ulink - url="&url.main;/index.html">FreeBSD-Web-Site</ulink>.</para> + url="&url.base;/index.html">FreeBSD-Web-Site</ulink>.</para> </listitem> </varlistentry> </variablelist> @@ -1210,7 +1210,7 @@ <para>Es besteht auch die Möglichkeit, die (am häufigst-aktualisierten) Referenzdokumente unter <ulink - url="&url.main;/index.html">http://www.FreeBSD.org/</ulink> + url="&url.base;/index.html">http://www.FreeBSD.org/</ulink> anzusehen.</para> </sect2> </sect1> diff --git a/de_DE.ISO8859-1/books/handbook/kernelconfig/chapter.sgml b/de_DE.ISO8859-1/books/handbook/kernelconfig/chapter.sgml index 356e6699f3..a081ea5fb7 100644 --- a/de_DE.ISO8859-1/books/handbook/kernelconfig/chapter.sgml +++ b/de_DE.ISO8859-1/books/handbook/kernelconfig/chapter.sgml @@ -3,7 +3,7 @@ The FreeBSD German Documentation Project $FreeBSD$ - $FreeBSDde: de-docproj/books/handbook/kernelconfig/chapter.sgml,v 1.63 2004/06/13 18:37:14 mheinen Exp $ + $FreeBSDde: de-docproj/books/handbook/kernelconfig/chapter.sgml,v 1.64 2004/07/07 23:07:08 mheinen Exp $ basiert auf: 1.132 --> @@ -1624,7 +1624,7 @@ device bpf # Berkeley packet filter</programlisting> <para>Da alle SCSI Controller die gleichen Einträge in <filename>/dev</filename> benutzen, brauchen Sie diese nicht erstellen. Weiterhin haben Netzwerkkarten sowie SLIP/PPP-Pseudo-Geräte keine - Einträge in <filename>/dev</filename>. + Einträge in <filename>/dev</filename>.</para> </sect1> <sect1 id="kernelconfig-trouble"> diff --git a/de_DE.ISO8859-1/books/handbook/l10n/chapter.sgml b/de_DE.ISO8859-1/books/handbook/l10n/chapter.sgml index 4a14c61936..6fe4ce1072 100644 --- a/de_DE.ISO8859-1/books/handbook/l10n/chapter.sgml +++ b/de_DE.ISO8859-1/books/handbook/l10n/chapter.sgml @@ -3,8 +3,8 @@ The FreeBSD German Documentation Project $FreeBSD$ - $FreeBSDde: de-docproj/books/handbook/l10n/chapter.sgml,v 1.34 2004/06/06 15:06:38 mheinen Exp $ - basiert auf: 1.96 + $FreeBSDde: de-docproj/books/handbook/l10n/chapter.sgml,v 1.37 2004/07/28 21:37:37 jkois Exp $ + basiert auf: 1.97 --> <chapter id="l10n"> @@ -57,7 +57,7 @@ <itemizedlist> <listitem><para>wie verschiedene Sprachen und Lokalisierungen in modernen Betriebssystemen codiert werden,</para></listitem> - <listitem><para>wie Sie die Locale Ihrer Login-Shell setzen,</para> + <listitem><para>wie Sie die Locale Ihrer Login-Shell setzen,</para></listitem> <listitem><para>wie Sie die Konsole für nicht-englische Sprachen konfigurieren,</para></listitem> <listitem><para>wie Sie das X Window System mit verschiedenen @@ -200,7 +200,7 @@ nachträglich konfigurieren muss. Um es möglich zu machen, Wide- oder Multibyte-Zeichen einzugeben und zu verarbeiten, unterstützt die <ulink - url="&url.main;/ports/index.html">FreeBSD-Ports-Sammlung</ulink> + url="&url.base;/ports/index.html">FreeBSD-Ports-Sammlung</ulink> verschiedene Sprachen für diverse Programme. Bitte konsultieren Sie die I18N-Dokumentation des entsprechenden FreeBSD-Ports.</para> diff --git a/de_DE.ISO8859-1/books/handbook/linuxemu/chapter.sgml b/de_DE.ISO8859-1/books/handbook/linuxemu/chapter.sgml index e4d29d4cb9..9e1de768fe 100644 --- a/de_DE.ISO8859-1/books/handbook/linuxemu/chapter.sgml +++ b/de_DE.ISO8859-1/books/handbook/linuxemu/chapter.sgml @@ -3,8 +3,8 @@ The FreeBSD German Documentation Project $FreeBSD$ - $FreeBSDde: de-docproj/books/handbook/linuxemu/chapter.sgml,v 1.63 2004/05/10 00:32:45 mheinen Exp $ - basiert auf: 1.112 + $FreeBSDde: de-docproj/books/handbook/linuxemu/chapter.sgml,v 1.65 2004/07/19 20:23:43 jkois Exp $ + basiert auf: 1.113 --> <chapter id="linuxemu"> @@ -32,7 +32,6 @@ <author> <firstname>Johann</firstname> <surname>Kois</surname> - <!-- j.kois@web.de, 23. November 2002 --> <contrib>Übersetzt von </contrib> </author> </authorgroup> @@ -1387,7 +1386,7 @@ export PATH</programlisting> <sect3 id="software-46b"> <title>&sap.r3; 4.6B, &oracle; 8.0.5 - + @@ -1460,7 +1459,7 @@ export PATH &sap.r3; 4.6C SR2, &oracle; 8.1.7 - + @@ -1541,7 +1540,7 @@ export PATH &sap.r3; 4.6B, &oracle; 8.0.5 - + @@ -1595,7 +1594,7 @@ export PATH &sap.r3; 4.6C, &oracle; 8.1.7 - + @@ -1667,7 +1666,7 @@ export PATH Produktionszwecke benötigt man natürlich eine exakte Bestimmung dieser Größen: - + @@ -1761,7 +1760,7 @@ export PATH /dev/amr0s1a anstelle von /dev/da0s1a vorfinden): - + @@ -1943,7 +1942,7 @@ pam-0.68-7.i386.rpm Für eine einfache Installation reicht es aus, folgende Dateisysteme zu erzeugen: - + @@ -2019,7 +2018,7 @@ ERROR 2002-03-19 16:45:36 R3LINKS_IND_IND Ins_SetupLinks:0 es handelt sich nur um Werte, die für diese spezielle Installation verwendet wurden): - + @@ -2060,7 +2059,7 @@ ERROR 2002-03-19 16:45:36 R3LINKS_IND_IND Ins_SetupLinks:0 Zusätzlich werden auch folgende Benutzer benötigt: - + @@ -2412,7 +2411,7 @@ options SEMUME=100 #number of UNDO keys (Vorgaben stehen dabei in Klammern, gefolgt von den aktuellen Eingaben): - + @@ -2618,7 +2617,7 @@ options SEMUME=100 #number of UNDO keys Das Skript stellt anschließend einige Fragen (Vorgaben in Klammern, gefolgt von den aktuellen Eingaben): - + @@ -2884,7 +2883,7 @@ options SEMUME=100 #number of UNDO keys Ihnen allerdings etwas an der Sicherheit Ihres Systems, so verwenden Sie andere Passwörter. - + @@ -3017,7 +3016,7 @@ LICENSE KEY = Lizenzschlüssel, 24 Zeichen

ddic und sap* normalerweise folgende Aufgaben durch: - + @@ -3543,7 +3542,6 @@ options SHMMAXPGS=393216 - Weiterführende Themen diff --git a/de_DE.ISO8859-1/books/handbook/mail/chapter.sgml b/de_DE.ISO8859-1/books/handbook/mail/chapter.sgml index 66b17894f1..b6d8687b6e 100644 --- a/de_DE.ISO8859-1/books/handbook/mail/chapter.sgml +++ b/de_DE.ISO8859-1/books/handbook/mail/chapter.sgml @@ -5,7 +5,7 @@ Original Revision der ersten Uebersetzung: 1.20 $FreeBSD$ - $FreeBSDde: de-docproj/books/handbook/mail/chapter.sgml,v 1.49 2004/06/06 18:27:11 mheinen Exp $ + $FreeBSDde: de-docproj/books/handbook/mail/chapter.sgml,v 1.50 2004/07/07 23:07:09 mheinen Exp $ basiert auf: 1.117 --> @@ -2437,7 +2437,7 @@ doc/zh_* FreeBSD-Version veröffentlicht wurde. Sie gelten für die Quellbäume src/, ports/, doc/ - und www/. + und www/. diff --git a/de_DE.ISO8859-1/books/handbook/multimedia/chapter.sgml b/de_DE.ISO8859-1/books/handbook/multimedia/chapter.sgml index 26bc34f45e..5c0c41df01 100644 --- a/de_DE.ISO8859-1/books/handbook/multimedia/chapter.sgml +++ b/de_DE.ISO8859-1/books/handbook/multimedia/chapter.sgml @@ -3,7 +3,7 @@ The FreeBSD German Documentation Project $FreeBSD$ - $FreeBSDde: de-docproj/books/handbook/multimedia/chapter.sgml,v 1.55 2004/06/27 20:58:29 mheinen Exp $ + $FreeBSDde: de-docproj/books/handbook/multimedia/chapter.sgml,v 1.56 2004/07/07 23:07:09 mheinen Exp $ basiert auf: 1.83 --> @@ -86,7 +86,7 @@ Die Wiedergabe von DVDs, .mpg- - und .avi-Dateien. + und .avi-Dateien. diff --git a/de_DE.ISO8859-1/books/handbook/network-servers/chapter.sgml b/de_DE.ISO8859-1/books/handbook/network-servers/chapter.sgml new file mode 100644 index 0000000000..343857f851 --- /dev/null +++ b/de_DE.ISO8859-1/books/handbook/network-servers/chapter.sgml @@ -0,0 +1,4568 @@ + + + + + + + Johann + Kois + Übersetzt von + + + + + Netzwerkserver + + + Übersicht + + Dieses Kapitel beschreibt einige der häufiger verwendeten + Netzwerkdienste auf &unix;-Systemen. Beschrieben werden + Installation und Konfiguration sowie Test und Wartung + verschiedener Netzwerkdienste. Zusätzlich sind im ganzen + Kapitel Beispielkonfigurationsdateien vorhanden, von denen Sie + sicherlich profitieren werden. + + Nachdem Sie dieses Kapitel gelesen haben, werden Sie + + + + Wissen, wie man ein Netzwerkdateisystem einrichtet. + + + + Einen Network Information + Server einrichten können, um damit + Benutzerkonten im Netzwerk zu verteilen. + + + + Rechner durch Nutzung von DHCP automatisch für ein + Netzwerk konfigurieren können. + + + + In der Lage sein, einen Domain Name + Server einzurichten. + + + + Unter Nutzung des NTP-Protokolls Datum und Uhrzeit + synchronisieren sowie einen Zeitserver installieren + können. + + + + Den inetd-Daemon konfigurieren + können. + + + + Bevor Sie dieses Kapitel lesen, sollten Sie + + + + Die Grundlagen der /etc/rc-Skripte + verstanden haben. + + + + Mit der grundlegenden Netzwerkterminologie vertraut sein. + + + + + + + + + Tom + Rhodes + Reorganisiert und erweitert von + + + + + + Bill + Swingle + Geschrieben von + + + + + NFS – Network File System + + NFS + + Eines der vielen von FreeBSD unterstützten Dateisysteme + ist das Netzwerkdateisystem, das auch als NFS + bekannt ist. NFS ermöglicht es einem + System, Dateien und Verzeichnisse über ein Netzwerk mit + anderen zu teilen. Über NFS können + Benutzer und Programme auf Daten entfernter Systeme zugreifen, und + zwar genauso, wie wenn es sich um lokale Daten handeln würde. + + + Einige der wichtigsten Vorteile von NFS + sind: + + + + Lokale Arbeitsstationen benötigen weniger + Plattenplatz, da gemeinsam benutzte Daten nur auf einem + einzigen Rechner vorhanden sind. Alle anderen Stationen + greifen über das Netzwerk auf diese Daten zu. + + + + Benutzer benötigen nur noch ein zentrales + Heimatverzeichnis auf einem NFS-Server. + Diese Verzeichnisse sind über das Netzwerk auf allen + Stationen verfügbar. + + + + Speichergeräte wie Disketten-, CD-ROM- + oder ZIP-Laufwerke können über das Netzwerk von + anderen Arbeitstationen genutzt werden. Dadurch sind für + das gesamte Netzwerk deutlich weniger Speichergeräte + nötig. + + + + + Wie funktioniert <acronym>NFS</acronym>? + + NFS besteht aus zwei Hauptteilen: Einem + Server und einem oder mehreren Clients. Der Client greift + über das Netzwerk auf die Daten zu, die auf dem Server + gespeichert sind. Damit dies korrekt funktioniert, müssen + einige Prozesse konfiguriert und gestartet werden: + + + In &os; 5.X wurde portmap + durch rpcbind ersetzt. Benutzer + von &os; 5.X müssen daher in den folgenden + Beispielen portmap durch + rpcbind ersetzen. + + + Der Server benötigt folgende Daemonen: + + + NFS + Server + + + + portmap + + + + mountd + + + + nfsd + + + + + + + + + + Daemon + + Beschreibung + + + + + + nfsd + + Der NFS-Daemon. Er bearbeitet + Anfragen der NFS-Clients. + + + + mountd + + Der NFS-Mount-Daemon. Er + bearbeitet die Anfragen, die &man.nfsd.8; an ihn + weitergibt. + + + + portmap + + Der Portmapper-Daemon. Durch ihn erkennen die + NFS-Clients, welchen Port der + NFS-Server verwendet. + + + + + + Der Client kann ebenfalls einen Daemon aufrufen, und zwar + den nfsiod-Daemon. Der + nfsiod-Daemon bearbeitet Anfragen vom + NFS-Server. Er ist optional und verbessert + die Leistung des Netzwerks. Für eine normale und korrekte + Arbeit ist er allerdings nicht erforderlich. Mehr erfahren + Sie in der Hilfeseite &man.nfsiod.8;. + + + + <acronym>NFS</acronym> einrichten + + + NFS + einrichten + + + NFS lässt sich leicht + einrichten. Die nötigen Prozesse werden durch einige + Änderungen in /etc/rc.conf bei + jedem Systemstart gestartet. + + Stellen Sie sicher, dass auf dem + NFS-Server folgende Optionen in der Datei + /etc/rc.conf gesetzt sind: + + portmap_enable="YES" +nfs_server_enable="YES" +mountd_flags="-r" + + mountd läuft automatisch, + wenn der NFS-Server aktiviert ist. + + Auf dem Client muss in /etc/rc.conf + folgende Option gesetzt sein: + + nfs_client_enable="YES" + + /etc/exports legt fest, welche + Dateisysteme NFS exportieren (manchmal auch + als teilen bezeichnet) soll. Jede Zeile in + /etc/exports legt ein Dateisystem sowie + die Arbeitsstationen, die darauf Zugriff haben, fest. + Außerdem ist es möglich, Zugriffsoptionen + festzulegen. Es gibt viele verschiedene Optionen, allerdings + werden hier nur einige von ihnen erwähnt. Wenn Sie + Informationen zu weiteren Optionen benötigen, lesen Sie + &man.exports.5;. + + Nun folgen einige Beispieleinträge für + /etc/exports: + + + NFS + Export von Dateisystemen + + + Die folgenden Beispiele geben Ihnen Anhaltspunkte zum + Exportieren von Dateisystemen, obwohl diese Einstellungen + natürlich von Ihrer Arbeitsumgebung und Ihrer + Netzwerkkonfiguration abhängen. Das nächste + Beispiel exportiert das Verzeichnis /cdrom + für drei Rechner, die sich in derselben Domäne wie + der Server befinden oder für die entsprechende + Einträge in /etc/hosts existieren. + Die Option kennzeichnet das + exportierte Dateisystem als schreibgeschützt. Durch dieses + Flag ist das entfernte System nicht in der Lage, das exportierte + Dateisystem zu verändern. + + /cdrom -ro host1 host2 host3 + + Die nächste Zeile exportiert /home + auf drei durch IP-Adressen bestimmte Rechner. Diese Einstellung + ist nützlich, wenn Sie über ein privates Netzwerk ohne + DNS-Server verfügen. Optional + könnten interne Rechnernamen auch in + /etc/hosts konfiguriert werden. + Benötigen Sie hierzu weitere Informationen, lesen Sie bitte + &man.hosts.5;. Durch das Flag wird es + möglich, auch Unterverzeichnisse als Mountpunkte + festzulegen. Dies bedeutet aber nicht, dass alle + Unterverzeichnisse eingehängt werden, vielmehr wird es dem + Client ermöglicht, nur diejenigen Verzeichnisse + einzuhängen, die auch benötigt werden. + + /home -alldirs 10.0.0.2 10.0.0.3 10.0.0.4 + + Die nächste Zeile exportiert /a, + damit Clients von verschiedenen Domänen auf das Dateisystem + zugreifen können. Das -Flag + erlaubt es dem Benutzer root des entfernten + Systems, als root auf das exportierte + Dateisystem zu schreiben. Wenn dieses Flag nicht gesetzt ist, + kann selbst root nicht auf das exportierte + Dateisystem schreiben. + + /a -maproot=root host.example.com box.example.org + + Damit ein Client auf ein exportiertes Dateisystem zugreifen + kann, muss ihm dies explizit gestattet werden. Stellen Sie also + sicher, dass der Client in /etc/exports + aufgeführt wird. + + Jede Zeile in /etc/exports entspricht + der Exportinformation für ein Dateisystem auf einen + Rechner. Ein entfernter Rechner kann für jedes Dateisystem + nur einmal festgelegt werden, und kann auch nur einen + Standardeintrag haben. Nehmen wir an, dass + /usr ein einziges Dateisystem ist. Dann + wären folgende Zeilen ungültig: + + /usr/src client +/usr/ports client + + Das Dateisystem /usr wird hier zweimal + auf den selben Rechner (client) + exportiert. Dies ist aber nicht zulässig. Der korrekte + Eintrag sieht daher so aus: + + /usr/src /usr/ports client + + Die Eigenschaften eines auf einen anderen Rechner + exportierten Dateisystems müssen alle in einer Zeile + stehen. Zeilen, in denen kein Rechner festgelegt wird, werden + als einzelner Rechner behandelt. Dies schränkt die + Möglichkeiten zum Export von Dateisystemen ein, für + die meisten Anwender ist dies aber kein Problem. + + Eine gültige Exportliste, in der + /usr und /exports + lokale Dateisysteme sind, sieht so aus: + + # Export src and ports to client01 and client02, but only +# client01 has root privileges on it +/usr/src /usr/ports -maproot=root client01 +/usr/src /usr/ports client02 +# The client machines have root and can mount anywhere +# on /exports. Anyone in the world can mount /exports/obj read-only +/exports -alldirs -maproot=root client01 client02 +/exports/obj -ro + + Sie müssen mountd nach jeder + Änderung von /etc/exports neu + starten, damit die Änderungen wirksam werden. Dies + kann durch das Senden des HUP-Signals an den + mountd-Prozess erfolgen: + + &prompt.root; kill -HUP `cat /var/run/mountd.pid` + + Alternativ können Sie auch das System neu starten. + Dies ist allerdings nicht nötig. Wenn Sie die folgenden + Befehle als root ausführen, sollte + alles korrekt gestartet werden. + + Auf dem NFS-Server: + + &prompt.root; portmap +&prompt.root; nfsd -u -t -n 4 +&prompt.root; mountd -r + + Auf dem NFS-Client: + + &prompt.root; nfsiod -n 4 + + Nun sollte alles bereit sein, um ein entferntes Dateisystem + einhängen zu können. In unseren Beispielen nennen wir + den Server server, den Client + client. Wenn Sie ein entferntes Dateisystem + nur zeitweise einhängen wollen, oder nur Ihre Konfiguration + testen möchten, führen Sie auf dem Client als + root einen Befehl ähnlich dem + folgenden aus: + + + NFS + Dateisysteme einhängen + + + &prompt.root; mount server:/home /mnt + + Dadurch wird das Verzeichnis /home des + Servers auf dem Client unter /mnt + eingehängt. Wenn alles korrekt konfiguriert wurde, sehen + Sie auf dem Client im Verzeichnis /mnt alle + Dateien des Servers. + + Wenn Sie ein entferntes Dateisystem nach jedem Systemstart + automatisch einhängen wollen, fügen Sie das + Dateisystem in /etc/fstab ein. Dazu ein + Beispiel: + + server:/home /mnt nfs rw 0 0 + + Eine Beschreibung aller Optionen enthält + die Hilfeseite &man.fstab.5;. + + + + Praktische Anwendungen + + NFS ist in vielen Situationen + nützlich. Einige Anwendungsbereiche finden Sie in der + folgenden Liste: + + + NFS + Anwendungsbeispiele + + + + + Mehrere Maschinen können sich ein CD-ROM-Laufwerk + oder andere Medien teilen. Dies ist billiger und + außerdem praktischer, um Programme auf mehreren + Rechnern zu installieren. + + + + In größeren Netzwerken ist es praktisch, + einen zentralen NFS-Server einzurichten, + auf dem die Heimatverzeichnisse der Benutzer gespeichert + werden. Diese Heimatverzeichnisse werden über das + Netzwerk exportiert. Dadurch haben die Benutzer immer das + gleiche Heimatverzeichnis zur Verfügung, + unabhängig davon, an welchem Arbeitsplatz sie sich + anmelden. + + + + Verschiedene Rechner können auf ein gemeinsames + Verzeichnis /usr/ports/distfiles + zugreifen. Wenn Sie nun einen Port auf mehreren Rechnern + installieren wollen, greifen Sie einfach auf dieses + Verzeichnis zu, ohne die Quelldateien auf jede Maschine + zu kopieren. + + + + + + + + + Wylie + Stilwell + Beigetragen von + + + + + + Chern + Lee + Überarbeitet von + + + + + <application>AMD</application> + + amd + Automatic Mounter Daemon + + &man.amd.8; (Automatic Mounter Daemon) hängt ein + entferntes Dateisystem automatisch ein, + wenn auf eine Datei oder ein Verzeichnis in diesem Dateisystem + zugegriffen wird. Dateisysteme, die über einen gewissen + Zeitraum inaktiv sind, werden von amd + automatisch abgehängt. + amd ist eine einfache + Alternative zum dauerhaften Einhängen von Dateisystemen + in /etc/fstab. + + In der Voreinstellung stellt amd + die Verzeichnisse /host und + /net als NFS-Server bereit. Wenn auf eine + Datei in diesen Verzeichnissen zugegriffen wird, sucht + amd den entsprechenden Mountpunkt + und hängt das Dateisystem automatisch ein. + /net wird zum Einhängen von + exportierten Dateisystemen von einer IP-Adresse verwendet, + während /host zum Einhängen + von exportierten Dateisystemen eines durch seinen Namen + festgelegten Rechners dient. + + Ein Zugriff auf eine Datei in + /host/foobar/usr würde + amd veranlassen, + das von foobar exportierte Dateisystem + /usr einzuhängen. + + + Ein exportiertes Dateisystem mit + <application>amd</application> in den Verzeichnisbaum + einhängen + + Sie können sich die verfügbaren Mountpunkte + eines entfernten Rechners mit showmount + ansehen. Wollen Sie sich die Mountpunkte des Rechners + foobar ansehen, so verwenden Sie: + + &prompt.user; showmount -e foobar +Exports list on foobar: +/usr 10.10.10.0 +/a 10.10.10.0 +&prompt.user; cd /host/foobar/usr + + + Wie Sie an diesem Beispiel erkennen können, zeigt + showmount /usr + als exportiertes Dateisystem an. Wenn man in das Verzeichnis + /host/foobar/usr wechselt, versucht + amd den Rechnernamen + foobar aufzulösen und den gewünschten + Export in den Verzeichnisbaum einzuhängen. + + amd kann durch das Einfügen + der folgenden Zeile in /etc/rc.conf + automatisch gestartet werden: + + amd_enable="YES" + + Mit der Option amd_flags kann + amd angepasst werden. + Die Voreinstellung für amd_flags sieht + so aus: + + amd_flags="-a /.amd_mnt -l syslog /host /etc/amd.map /net /etc/amd.map" + + /etc/amd.map legt die Standardoptionen + fest, mit denen exportierte Dateisysteme in den Verzeichnisbaum + eingehängt werden. /etc/amd.conf + hingegen legt einige der erweiterten Optionen von + amd fest. + + Weitere Informationen finden Sie in den Hilfeseiten + &man.amd.8; und &man.amd.conf.5;. + + + + + + + John + Lind + Beigetragen von + + + + + Integrationsprobleme mit anderen Systemen + + Bestimmte ISA-Ethernetadapter haben Beschränkungen, die + zu ernsthaften Netzwerkproblemen, insbesondere mit NFS + führen können. Es handelt sich dabei nicht um ein + FreeBSD-spezifisches Problem, aber FreeBSD-Systeme sind davon + ebenfalls betroffen. + + Das Problem tritt fast ausschließlich dann auf, wenn + (FreeBSD)-PC-Systeme mit Hochleistungsrechnern verbunden werden, + wie Systemen von Silicon Graphics, Inc. oder + Sun Microsystems, Inc. Das Einhängen via NFS + funktioniert problemlos, auch einige Dateioperationen + können erfolgreich sein. Plötzlich aber wird der + Server nicht mehr auf den Client reagieren, obwohl Anfragen von + anderen Rechnern weiterhin bearbeitet werden. Dieses + Problem betrifft stets den Client, egal ob es sich beim Client + um das FreeBSD-System oder den Hochleistungsrechner handelt. + Auf vielen Systemen gibt es keine Möglichkeit mehr, den + Client ordnungsgemäß zu beenden. Die einzige + Lösung ist es oft, den Rechner neu zu starten, da dieses + NFS-Problem nicht mehr behoben werden kann. + + Die korrekte Lösung für dieses + Problem ist es, sich eine schnellere Ethernetkarte für + FreeBSD zu kaufen. Allerdings gibt es auch eine einfache und + meist zufriedenstellende Lösung, um dieses Problem zu + umgehen. Wenn es sich beim FreeBSD-System um den + Server handelt, verwenden Sie beim + Einhängen in den Verzeichnisbaum auf der Clientseite + zusätzlich die Option . Wenn es + sich beim FreeBSD-System um den Client + handelt, dann hängen Sie das NFS-Dateisystem mit der + zusätzlichen Option ein. + Diese Optionen können auf der Clientseite auch durch + das vierte Feld der Einträge in + /etc/fstab festgelegt werden, damit die + Dateisysteme automatisch eingehängt werden. Um die + Dateisysteme manuell einzuhängen, verwendet man bei + &man.mount.8; zusätzlich die Option + . + + Es gibt ein anderes Problem, das oft mit diesem verwechselt + wird. Dieses andere Problem tritt auf, wenn sich über NFS + verbundene Server und Clients in verschiedenen Netzwerken + befinden. Wenn dies der Fall ist, stellen Sie + sicher, dass Ihre Router die + nötigen UDP-Informationen weiterleiten, oder Sie werden + nirgends hingelangen, egal was Sie machen. + + In den folgenden Beispielen ist fastws der + Name des Hochleistungsrechners (bzw. dessen Schnittstelle), + freebox hingegen ist der Name des + FreeBSD-Systems, das über eine Netzkarte mit geringer + Leistung verfügt. /sharedfs ist das + exportierte NFS -Dateisystem (lesen Sie dazu auch + &man.exports.5;). Bei /project handelt es + sich um den Mountpunkt, an dem das exportierte Dateisystem auf + der Clientseite eingehängt wird. In allen Fällen + können zusätzliche Optionen, wie z.B. + , oder + wünschenswert sein. + + FreeBSD als Client (eingetragen in + /etc/fstab auf freebox): + + + fastws:/sharedfs /project nfs rw,-r=1024 0 0 + + Manuelles Einhängen auf + freebox: + + &prompt.root; mount -t nfs -o -r=1024 fastws:/sharedfs /project + + &os; als Server (eingetragen in + /etc/fstab auf fastws): + + + freebox:/sharedfs /project nfs rw,-w=1024 0 0 + + Manuelles Einhängen auf fastws: + + &prompt.root; mount -t nfs -o -w=1024 freebox:/sharedfs /project + + Nahezu alle 16-bit Ethernetadapter erlauben Operationen + ohne obengenannte Einschränkungen auf die Lese- oder + Schreibgröße. + + Für alle technisch Interessierten wird nun beschrieben, + was passiert, wenn dieser Fehler auftritt, und warum er + irreversibel ist. NFS arbeitet üblicherweise mit einer + Blockgröße von 8 kByte (obwohl + es kleinere Fragmente zulassen würde). Da die maximale + Rahmengröße von Ethernet 1500 Bytes + beträgt, wird der NFS-Block in einzelne + Ethernetrahmen aufgeteilt, obwohl es sich nach wie vor um eine + Einheit handelt, die auch als Einheit empfangen, verarbeitet + und bestätigt werden muss. Der + Hochleistungsrechner verschickt die Pakete, aus denen der + NFS-Block besteht, so eng hintereinander, wie es der Standard + erlaubt. Auf der anderen Seite (auf der sich die langsamere + Netzkarte befindet), überschreiben die späteren + Pakete ihre Vorgänger, bevor diese vom System verarbeitet + werden (Überlauf!). Dies hat zur Folge, dass der NFS-Block + nicht mehr rekonstruiert und bestätigt werden kann. Als + Folge davon glaubt der Hochleistungsrechner, dass der andere + Rechner nicht erreichbar ist (Timeout!) und versucht die + Sendung zu wiederholen. Allerdings wird wiederum der komplette + NFS-Block verschickt, so dass sich der ganze Vorgang wiederholt, + und zwar immer wieder (oder bis zum Systemneustart). + + Indem wir die Einheitengröße unter der maximalen + Größe der Ethernetpakete halten, können wir + sicherstellen, dass jedes vollständig erhaltene + Ethernetpaket individuell angesprochen werden kann und vermeiden + die Blockierung des Systems. + + Überläufe können zwar nach wie vor auftreten, + wenn ein Hochleistungsrechner Daten auf ein PC-System + transferiert. Durch die besseren (und schnelleren) Netzkarten + treten solche Überläufe allerdings nicht mehr + zwingend auf, wenn + NFS-Einheiten übertragen werden. Tritt nun + ein Überlauf auf, wird die betroffene Einheit erneut + verschickt, und es besteht eine gute Chance, dass sie nun + erhalten, verarbeitet und bestätigt werden kann. + + + + + + + + Bill + Swingle + Beigetragen von + + + + + + Eric + Ogren + Erweitert von + + + + Udo + Erdelhoff + + + + + NIS/YP – Network Information Service + + + Was ist NIS? + + NIS + Solaris + HP-UX + AIX + Linux + NetBSD + OpenBSD + + NIS (Network Information Service) wurde von Sun Microsystems + entwickelt, um &unix;-Systeme (ursprünglich &sunos;) + zentral verwalten zu können. Mittlerweile hat es sich zu + einem Industriestandard entwickelt, der von allen wichtigen + &unix;-Systemen (&solaris;, HP-UX, &aix;, Linux, NetBSD, + OpenBSD, FreeBSD und anderen) unterstützt wird. + + + yellow pages + NIS + + + NIS war ursprünglich als + Yellow Pages bekannt, aus markenrechtlichen + Gründen wurde der Name aber geändert. Die alte + Bezeichnung (sowie die Abkürzung YP) wird aber nach wie vor + häufig verwendet. + + + NIS + Domänen + + + Bei NIS handelt es sich um ein RPC-basiertes + Client/Server-System. Eine Gruppe von Rechnern greift dabei + innerhalb einer NIS-Domäne auf gemeinsame + Konfigurationsdateien zu. Ein Systemadministrator wird dadurch + in die Lage versetzt, NIS-Clients mit minimalem Aufwand + einzurichten, sowie Änderungen an der Systemkonfiguration + von einem zentralen Ort aus durchzuführen. + + + Windows NT + + + Die Funktion entspricht dem Domänensystem von + &windowsnt;; auch wenn sich die interne Umsetzung unterscheidet, + sind die Basisfunktionen vergleichbar. + + + + Wichtige Prozesse und Begriffe + + Es gibt verschiedene Begriffe und Anwenderprozesse, auf die + Sie stoßen werden, wenn Sie NIS unter FreeBSD einrichten, + egal ob Sie einen Server oder einen Client konfigurieren: + + + portmap + + + + + + + + + + Begriff + + Beschreibung + + + + + + NIS-Domänenname + + Ein NIS-Masterserver sowie alle Clients (inklusive + der Slaveserver) haben einen NIS-Domänennamen. + Dieser hat (ähnlich den + &windowsnt;-Domänennamen) nichts mit DNS zu tun. + + + + + portmap + + Muss laufen, damit RPC (Remote Procedure Call, ein + von NIS verwendetes Netzwerkprotokoll) funktioniert. + NIS-Server sowie Clients funktionieren ohne + portmap nicht. + + + + ypbind + + Bindet einen NIS-Client an seinen + NIS-Server. Der Client bezieht den + NIS-Domänennamen vom System und stellt über + das RPC-Protokoll eine Verbindung zum NIS-Server her. + ypbind ist der zentrale + Bestandteil der Client-Server-Kommunikation in einer + NIS-Umgebung. Wird >ypbind + auf einem Client beendet, ist dieser nicht mehr in der + Lage, auf den NIS-Server zuzugreifen. + + + + ypserv + + Sollte nur auf dem NIS-Server laufen, da es sich um + den Serverprozess selbst handelt. Wenn &man.ypserv.8; + nicht mehr läuft, kann der Server nicht mehr auf + NIS-Anforderungen reagieren (wenn ein Slaveserver + existiert, kann dieser als Ersatz fungieren). Einige + NIS-Systeme (allerdings nicht das von + FreeBSD) versuchen allerdings erst gar nicht, sich mit + einem anderen Server zu verbinden, wenn der bisher + verwendete Server nicht mehr reagiert. Die einzige + Lösung dieses Problems besteht dann darin, den + Serverprozess (oder gar den Server selbst) oder den + ypbind-Prozess auf dem + Client neu zu starten. + + + + rpc.yppasswdd + + Ein weiterer Prozess, der nur auf dem + NIS-Masterserver laufen sollte. Es handelt sich um einen + Daemonprozess, der es NIS-Clients ermöglicht, sich + auf dem NIS-Masterserver anzumelden, um ihr Passwort zu + ändern. + + + + + + + + + Wie funktioniert NIS? + + In einer NIS-Umgebung gibt es drei Rechnerarten: + Masterserver, Slaveserver und Clients. Server dienen als + zentraler Speicherort für Rechnerkonfigurationen. + Masterserver speichern die maßgebliche Kopie dieser + Informationen, während Slaveserver diese Informationen + aus Redundanzgründen spiegeln. Die Clients beziehen + ihre Informationen immer vom Server. + + Auf diese Art und Weise können Informationen aus + verschiedenen Dateien von mehreren Rechnern gemeinsam + verwendet werden. master.passwd, + group, und hosts + werden oft gemeinsam über NIS verwendet. Immer, wenn + ein Prozess auf einem Client auf Informationen zugreifen will, + die normalerweise in lokalen Dateien vorhanden wären, + wird stattdessen eine Anfrage an den NIS-Server gestellt, an + den der Client gebunden ist. + + + Arten von NIS-Rechnern + + + + NIS + Masterserver + + + + Ein NIS-Masterserver verwaltet, + ähnlich einem &windowsnt;-Domänencontroller, die + von allen NIS-Clients gemeinsam verwendeten Dateien. + passwd, group, + sowie verschiedene andere von den Clients verwendete + Dateien existieren auf dem Masterserver. + + Ein Rechner kann auch für mehrere + NIS-Domänen als Masterserver fungieren. Dieser + Abschnitt konzentriert sich im Folgenden allerdings auf + eine relativ kleine NIS-Umgebung. + + + + NIS + Slaveserver + + + + NIS-Slaveserver. Ähnlich + einem &windowsnt;-Backupdomänencontroller, verwalten + NIS-Slaveserver Kopien der Daten des NIS-Masterservers. + NIS-Slaveserver bieten die Redundanz, die für + kritische Umgebungen benötigt wird. Zusätzlich + entlasten Slaveserver den Masterserver: NIS-Clients + verbinden sich immer mit dem NIS-Server, der zuerst + reagiert. Dieser Server kann auch ein Slaveserver sein. + + + + + NIS + Client + + + + NIS-Clients. NIS-Clients + identifizieren sich gegenüber dem NIS-Server + (ähnlich den &windowsnt;-Workstations), um sich am + Server anzumelden. + + + + + + + NIS/YP konfigurieren + + Dieser Abschnitt beschreibt an Hand eines Beispiels die + Einrichtung einer NIS-Umgebung. + + Es wird dabei davon ausgegangen, dass Sie + FreeBSD 3.3 oder eine aktuellere Version verwenden. + Wahrscheinlich funktioniert diese Anleitung + auch für FreeBSD-Versionen ab 3.0, es gibt dafür aber + keine Garantie. + + + Planung + + Nehmen wir an, Sie seien der Administrator eines kleinen + Universitätsnetzes. Dieses Netz besteht aus + fünfzehn FreeBSD-Rechnern, für die derzeit keine + zentrale Verwaltung existiert, jeder Rechner hat also eine + eigene Version von /etc/passwd und + /etc/master.passwd. Diese Dateien werden + manuell synchron gehalten; legen Sie einen neuen Benutzer an, + so muss dies auf allen fünfzehn Rechnern manuell + erledigt werden (unter Verwendung von + adduser). Da diese Lösung sehr + ineffizient ist, soll das Netzwerk in Zukunft NIS verwenden, + wobei zwei der Rechner als Server dienen sollen. + + In Zukunft soll das Netz also wie folgt aussehen: + + + + + + Rechnername + IP-Adresse + Rechneraufgabe + + + + + ellington + 10.0.0.2 + NIS-Master + + + coltrane + 10.0.0.3 + NIS-Slave + + + basie + 10.0.0.4 + Workstation der Fakultät + + + bird + 10.0.0.5 + Clientrechner + + + cli[1-11] + 10.0.0.[6-17] + Verschiedene andere Clients + + + + + + Wenn Sie NIS das erste Mal einrichten, ist es ratsam, sich + zuerst über die Vorgangsweise Gedanken zu machen. + Unabhängig von der Größe Ihres Netzwerks + müssen Sie stets einige Entscheidungen treffen. + + + Einen NIS-Domänennamen wählen + + + NIS + Domänenname + + + Dies muss nicht der Domainname sein. Es + handelt sich vielmehr um den NIS-Domainnamen. + Wenn ein Client Informationen anfordert, ist in dieser + Anforderung der Name der NIS-Domäne enthalten. + Dadurch weiß jeder Server im Netzwerk, auf welche + Anforderung er antworten muss. Stellen Sie sich den + NIS-Domänennamen als den Namen einer Gruppe von + Rechnern vor, die etwas gemeinsam haben. + + Manchmal wird der Name der Internetdomäne auch + für die NIS-Domäne verwendet. Dies ist allerdings + nicht empfehlenswert, da dies bei der Behebung von Problemen + verwirrend sein kann. Der Name der NIS-Domäne sollte + innerhalb Ihres Netzwerks einzigartig sein. Hilfreich ist + es, wenn der Name die Gruppe der in ihr zusammengefassten + Rechner beschreibt. Die Kunstabteilung von Acme Inc. + hätte daher die NIS-Domäne + acme-art. Für unser Beispiel verwenden + wir den NIS-Domänennamen + test-domain. + + SunOS + + Es gibt jedoch auch Betriebssysteme (vor allem &sunos;), + die als NIS-Domänennamen den Name der + Internetdomäne verwenden. Wenn dies für einen + oder mehrere Rechner Ihres Netzwerks zutrifft, + müssen Sie den Namen der + Internetdomäne als Ihren NIS-Domänennamen + verwenden. + + + + Anforderungen an den Server + + Wenn Sie einen NIS-Server einrichten wollen, müssen + Sie einige Dinge beachten. Eine unangenehme Eigenschaft + von NIS ist die Abhängigkeit der Clients vom Server. + Wenn sich der Client nicht über den Server mit seiner + NIS-Domäne verbinden kann, wird der Rechner oft + unbenutzbar, da das Fehlen von Benutzer- und + Gruppeninformationen zum Einfrieren des Clients führt. + Daher sollten Sie für den Server einen Rechner + auswählen, der nicht regelmäßig neu + gestartet werden muss und der nicht für Testversuche + verwendet wird. Idealerweise handelt es sich um einen + alleinstehenden Rechner, dessen einzige Aufgabe es ist, als + NIS-Server zu dienen. Wenn Sie ein Netzwerk haben, das + nicht zu stark ausgelastet ist, ist es auch möglich, + den NIS-Server als weiteren Dienst auf einem anderen Rechner + laufen zu lassen. Denken Sie aber daran, dass ein Ausfall + des NIS-Servers alle NIS-Clients + betrifft. + + + + + NIS-Server + + Die verbindlichen Kopien aller NIS-Informationen befinden + sich auf einem einzigen Rechner, dem NIS-Masterserver. Die + Datenbanken, in denen die Informationen gespeichert sind, + bezeichnet man als NIS-Maps. Unter FreeBSD werden diese + Maps unter /var/yp/[domainname] + gespeichert, wobei [domainname] der + Name der NIS-Domäne ist. Ein einzelner NIS-Server + kann gleichzeitig mehrere NIS-Domänen verwalten, daher + können auch mehrere Verzeichnisse vorhanden sein. Jede + Domäne verfügt über ein eigenes Verzeichnis + sowie einen eigenen, von anderen Domänen + unabhängigen Satz von NIS-Maps. + + NIS-Master- und Slaveserver verwenden den + ypserv-Daemon, um NIS-Anfragen zu + bearbeiten. ypserv empfängt + eingehende Anfragen der NIS-Clients, ermittelt aus der + angeforderten Domäne und Map einen Pfad zur + entsprechenden Datenbank, und sendet die angeforderten + Daten von der Datenbank zum Client. + + + Einen NIS-Masterserver einrichten + + + NIS + Serverkonfiguration + + + Abhängig von Ihren Anforderungen ist die + Einrichtung eines NIS-Masterservers relativ einfach, da + NIS von FreeBSD bereits in der Standardkonfiguration + unterstützt wird. Sie müssen nur folgende + Zeilen in /etc/rc.conf einfügen: + + + + + nisdomainname="test-domain" + + Diese Zeile setzt den NIS-Domänennamen auf + test-domain, wenn Sie das Netzwerk + initialisieren (beispielsweise nach einem Systemstart). + + + + + nis_server_enable="YES" + Dadurch werden die NIS-Serverprozesse gestartet. + + + + nis_yppasswdd_enable="YES" + Durch diese Zeile wird der + rpc.yppasswdd-Daemon aktiviert, der, + wie bereits erwähnt, die Änderung von + NIS-Passwörtern von einem Client aus + ermöglicht. + + + + + In Abhängigkeit von Ihrer NIS-Konfiguration + können weitere Einträge erforderlich sein. + Weitere Informationen finden Sie im Abschnitt + NIS-Server, die auch + als NIS-Clients arbeiten. + + + Nun müssen Sie nur noch + /etc/netstart als Superuser + ausführen, um alles entsprechend Ihren Vorgaben in + /etc/rc.conf einzurichten. + + + + Die NIS-Maps initialisieren + + + NIS + maps + + + NIS-Maps sind Datenbanken, die + sich im Verzeichnis /var/yp befinden. + Sie werden am NIS-Masterserver aus den Konfigurationsdateien + unter /etc erzeugt. Einzige Ausnahme: + /etc/master.passwd. Dies ist auch + sinnvoll, da Sie die Passwörter für Ihr + root- oder andere + Administratorkonten nicht an alle Server der NIS-Domäne + verteilen wollen. Bevor Sie also die NIS-Maps des + Masterservers einrichten, sollten Sie Folgendes tun: + + &prompt.root; cp /etc/master.passwd /var/yp/master.passwd +&prompt.root; cd /var/yp +&prompt.root; vi master.passwd + + Entfernen Sie alle Systemkonten + (wie bin, tty, + kmem oder games), + sowie alle Konten, die Sie nicht an die NIS-Clients + weitergeben wollen (beispielsweise root + und alle Konten mit der UID 0 (=Superuser). + + Stellen Sie sicher, dass + /var/yp/master.passwd weder von der + Gruppe noch von der Welt gelesen werden kann (Zugriffsmodus + 600)! Ist dies nicht der Fall, ändern Sie dies mit + chmod. + + Tru64 UNIX + + Nun können Sie die NIS-Maps initialisieren. + FreeBSD verwendet dafür das Skript + ypinit (lesen Sie dazu auch + &man.ypinit.8;). Dieses Skript ist auf fast allen + UNIX-Betriebssystemen verfügbar. Bei + Digitals Unix/Compaq Tru64 UNIX nennt es sich allerdings + ypsetup. Da wir Maps für einen + NIS-Masterserver erzeugen, verwenden wir + ypinit mit der Option + . Nachdem Sie die beschriebenen + Aktionen durchgeführt haben, erzeugen Sie nun die + NIS-Maps: + + ellington&prompt.root; ypinit -m test-domain +Server Type: MASTER Domain: test-domain +Creating an YP server will require that you answer a few questions. +Questions will all be asked at the beginning of the procedure. +Do you want this procedure to quit on non-fatal errors? [y/n: n] n +Ok, please remember to go back and redo manually whatever fails. +If you don't, something might not work. +At this point, we have to construct a list of this domains YP servers. +rod.darktech.org is already known as master server. +Please continue to add any slave servers, one per line. When you are +done with the list, type a <control D>. +master server : ellington +next host to add: coltrane +next host to add: ^D +The current list of NIS servers looks like this: +ellington +coltrane +Is this correct? [y/n: y] y + +[..output from map generation..] + +NIS Map update completed. +ellington has been setup as an YP master server without any errors. + + Dadurch erzeugt ypinit + /var/yp/Makefile aus der Datei + /var/yp/Makefile.dist. + Durch diese Datei wird festgelegt, dass Sie in einer + NIS-Umgebung mit nur einem Server arbeiten und dass alle + Clients unter FreeBSD laufen. Da + test-domain aber auch über einen + Slaveserver verfügt, müssen Sie + /var/yp/Makefile entsprechend anpassen: + + + ellington&prompt.root; vi /var/yp/Makefile + + Sie sollten die Zeile + + NOPUSH = "True" + + auskommentieren (falls dies nicht bereits der Fall ist). + + + + Einen NIS-Slaveserver einrichten + + + NIS + Slaveserver + + + Ein NIS-Slaveserver ist noch einfacher einzurichten als + ein Masterserver. Melden Sie sich am Slaveserver an und + ändern Sie /etc/rc.conf analog + zum Masterserver. Der einzige Unterschied besteht in der + Verwendung der Option , wenn Sie + ypinit aufrufen. Die Option + erfordert den Namen des + NIS-Masterservers, daher sieht unsere Ein- und Ausgabe wie + folgt aus: + + coltrane&prompt.root; ypinit -s ellington test-domain + +Server Type: SLAVE Domain: test-domain Master: ellington + +Creating an YP server will require that you answer a few questions. +Questions will all be asked at the beginning of the procedure. + +Do you want this procedure to quit on non-fatal errors? [y/n: n] n + +Ok, please remember to go back and redo manually whatever fails. +If you don't, something might not work. +There will be no further questions. The remainder of the procedure +should take a few minutes, to copy the databases from ellington. +Transferring netgroup... +ypxfr: Exiting: Map successfully transferred +Transferring netgroup.byuser... +ypxfr: Exiting: Map successfully transferred +Transferring netgroup.byhost... +ypxfr: Exiting: Map successfully transferred +Transferring master.passwd.byuid... +ypxfr: Exiting: Map successfully transferred +Transferring passwd.byuid... +ypxfr: Exiting: Map successfully transferred +Transferring passwd.byname... +ypxfr: Exiting: Map successfully transferred +Transferring group.bygid... +ypxfr: Exiting: Map successfully transferred +Transferring group.byname... +ypxfr: Exiting: Map successfully transferred +Transferring services.byname... +ypxfr: Exiting: Map successfully transferred +Transferring rpc.bynumber... +ypxfr: Exiting: Map successfully transferred +Transferring rpc.byname... +ypxfr: Exiting: Map successfully transferred +Transferring protocols.byname... +ypxfr: Exiting: Map successfully transferred +Transferring master.passwd.byname... +ypxfr: Exiting: Map successfully transferred +Transferring networks.byname... +ypxfr: Exiting: Map successfully transferred +Transferring networks.byaddr... +ypxfr: Exiting: Map successfully transferred +Transferring netid.byname... +ypxfr: Exiting: Map successfully transferred +Transferring hosts.byaddr... +ypxfr: Exiting: Map successfully transferred +Transferring protocols.bynumber... +ypxfr: Exiting: Map successfully transferred +Transferring ypservers... +ypxfr: Exiting: Map successfully transferred +Transferring hosts.byname... +ypxfr: Exiting: Map successfully transferred + +coltrane has been setup as an YP slave server without any errors. +Don't forget to update map ypservers on ellington. + + Sie sollten nun über das Verzeichnis + /var/yp/test-domain verfügen. + Die Kopien der NIS-Masterserver-Maps sollten sich in diesem + Verzeichnis befinden. Allerdings müssen Sie diese + auch aktuell halten. Die folgenden Einträge in + /etc/crontab erledigen diese Aufgabe: + + + 20 * * * * root /usr/libexec/ypxfr passwd.byname +21 * * * * root /usr/libexec/ypxfr passwd.byuid + + Diese zwei Zeilen zwingen den Slaveserver, seine Maps + mit denen des Masterservers zu synchronisieren. Diese + Einträge sind nicht zwingend, da der Masterserver + versucht, alle Änderungen seiner NIS-Maps an seine + Slaveserver weiterzugeben. Da Passwortinformationen aber + für vom Server abhängige Systeme vital sind, ist + es eine gute Idee, diese Aktualisierungen zu erzwingen. + Besonders wichtig ist dies in stark ausgelasteten Netzen, + in denen Map-Aktualisierungen unvollständig sein + könnten. + + Führen Sie nun /etc/netstart + auch auf dem Slaveserver aus, um den NIS-Server erneut zu + starten. + + + + + NIS-Clients + + Ein NIS-Client bindet sich unter + Verwendung des ypbind-Daemons an einen + NIS-Server. ypbind prüft die + Standarddomäne des Systems (die durch + domainname gesetzt wird), und beginnt + RPCs über das lokale Netzwerk zu verteilen (broadcast). + Diese Anforderungen legen den Namen der Domäne fest, + für die ypbind eine Bindung erzeugen + will. Wenn der Server der entsprechenden Domäne eine + solche Anforderung erhält, schickt er eine Antwort an + ypbind. ybind speichert + daraufhin die Adresse des Servers. Wenn mehrere Server + verfügbar sind (beispielsweise ein Master- und mehrere + Slaveserver), verwendet ypbind die erste + erhaltene Adresse. Ab diesem Zeitpunkt richtet der Client alle + Anfragen an genau diesen Server. ypbind + pingt den Server gelegentlich an, um + sicherzustellen, dass der Server funktioniert. Antwortet der + Server innerhalb eines bestimmten Zeitraums nicht (Timeout), + markiert ypbind die Domäne als + ungebunden und beginnt erneut, RPCs über das Netzwerk zu + verteilen, um einen anderen Server zu finden. + + + Einen NIS-Client konfigurieren + + + NIS + Client konfigurieren + + + Einen FreeBSD-Rechner als NIS-Client einzurichten, ist + recht einfach. + + + + Fügen Sie folgende Zeilen in + /etc/rc.conf ein, um den + NIS-Domänennamen festzulegen, und um + ypbind bei der Initialisierung des + Netzwerks zu starten: + + nisdomainname="test-domain" +nis_client_enable="YES" + + + + Um alle Passworteinträge des NIS-Servers zu + importieren, löschen Sie alle Benutzerkonten in + /etc/master.passwd und fügen + mit vipw folgende Zeile am Ende der + Datei ein: + + +::::::::: + + + Diese Zeile legt für alle gültigen + Benutzerkonten der NIS-Server-Maps einen Zugang an. + Es gibt verschiedene Wege, Ihren NIS-Client durch + Änderung dieser Zeile zu konfigurieren. Lesen + Sie dazu auch den Abschnitt über + Netzgruppen weiter + unten. Weitere detaillierte Informationen finden Sie + im Buch Managing NFS and NIS von + O'Reilly. + + + + Sie sollten zumindest ein lokales Benutzerkonto, + das nicht über NIS importiert wird, in Ihrer + /etc/master.passwd behalten. + Dieser Benutzer sollte außerdem ein Mitglied der + Gruppe wheel sein. Wenn es + mit NIS Probleme gibt, können Sie diesen Zugang + verwenden, um sich anzumelden, + root zu werden und das Problem + zu beheben. + + + + + Um alle möglichen Gruppeneinträge vom + NIS-Server zu importieren, fügen sie folgende Zeile + in /etc/group ein: + + +:*:: + + + + Nachdem Sie diese Schritte erledigt haben, sollten Sie + mit ypcat passwd die + passwd-Map des NIS-Server anzeigen + können. + + + + + + + Sicherheit unter NIS + + + NIS + Sicherheit + + + Im Allgemeinen kann jeder entfernte Anwender einen RPC an + &man.ypserv.8; schicken, um den Inhalt Ihrer NIS-Maps abzurufen, + falls er Ihren NIS-Domänennamen kennt. Um solche + unautorisierten Transaktionen zu verhindern, unterstützt + &man.ypserv.8; securenets, durch die man den + Zugriff auf bestimmte Rechner beschränken kann. + &man.ypserv.8; versucht, beim Systemstart die Informationen + über securenets aus der Datei + /var/yp/securenets zu laden. + + + Die Datei securenets kann auch + in einem anderen Verzeichnis stehen, das mit der Option + angegeben wird. Diese Datei + enthält Einträge, die aus einer Netzwerkadresse und + einer Netzmaske bestehen, die durch Leerzeichen getrennt + werden. Kommentarzeilen beginnen mit #. + /var/yp/securnets könnte + beispielsweise so aussehen: + + + # allow connections from local host -- mandatory +127.0.0.1 255.255.255.255 +# allow connections from any host +# on the 192.168.128.0 network +192.168.128.0 255.255.255.0 +# allow connections from any host +# between 10.0.0.0 to 10.0.15.255 +# this includes the machines in the testlab +10.0.0.0 255.255.240.0 + + Wenn &man.ypserv.8; eine Anforderung von einer zu diesen + Regeln passenden Adresse erhält, wird die Anforderung + bearbeitet. Gibt es keine passende Regel, wird die + Anforderung ignoriert und eine Warnmeldung aufgezeichnet. Wenn + /var/yp/securenets nicht vorhanden ist, + erlaubt ypserv Verbindungen von jedem Rechner + aus. + + ypserv unterstützt auch das + tcpwrapper-Paket von Wietse Venema. + Mit diesem Paket kann der Administrator für + Zugriffskontrollen die Konfigurationsdateien von + tcpwrapper anstelle von + /var/yp/securenets verwenden. + + + Während beide Kontrollmechanismen einige Sicherheit + gewähren, beispielsweise durch privilegierte Ports, sind + sie gegenüber IP spoofing-Attacken + verwundbar. Jeder NIS-Verkehr sollte daher von Ihrer Firewall + blockiert werden. + + Server, die /var/yp/securenets + verwenden, können Schwierigkeiten bei der Anmeldung von + Clients haben, die ein veraltetes TCP/IP-Subsystem + besitzen. Einige dieser TCP/IP-Subsysteme setzen alle + Rechnerbits auf Null, wenn Sie einen + Broadcast durchführen und/oder + können die Subnetzmaske nicht auslesen, wenn sie die + Broadcast-Adresse berechnen. Einige Probleme können + durch Änderungen der Clientkonfiguration behoben werden. + Andere hingegen lassen sich nur durch das Entfernen des + betreffenden Rechners aus dem Netzwerk oder den Verzicht auf + /var/yp/securenets umgehen. + + Die Verwendung von /var/yp/securenets + auf einem Server mit einem solch veralteten + TCP/IP-Subsystem ist eine sehr schlechte Idee, die zu + einem Verlust der NIS-Funktionalität für große + Teile Ihres Netzwerks führen kann. + + + tcpwrapper + + + Die Verwendung von tcpwrapper + verlangsamt die Reaktion Ihres NIS-Servers. Diese + zusätzliche Reaktionszeit kann in Clientprogrammen zu + Timeouts führen. Dies vor allem in Netzwerken, die + stark ausgelastet sind, oder nur über langsame NIS-Server + verfügen. Wenn ein oder mehrere Ihrer Clientsysteme + dieses Problem aufweisen, sollten Sie die betreffenden Clients + in NIS-Slaveserver umwandeln, und diese an sich selbst binden. + + + + + + Bestimmte Benutzer an der Anmeldung hindern + + + NIS + Benutzer blockieren + + + In unserem Labor gibt es den Rechner basie, + der nur für Mitarbeiter der Fakultät bestimmt ist. + Wir wollen diesen Rechner nicht aus der NIS-Domäne + entfernen, obwohl passwd des + NIS-Masterservers Benutzerkonten sowohl für + Fakultätsmitarbeiter als auch für Studenten + enthält. Was können wir also tun? + + Es gibt eine Möglichkeit, bestimmte Benutzer an der + Anmeldung an einem bestimmten Rechner zu hindern, selbst wenn + diese in der NIS-Datenbank vorhanden sind. Dazu müssen + Sie lediglich an diesem Rechner den Eintrag + -Benutzername an + das Ende von /etc/master.passwd setzen, + wobei Benutzername der zu + blockierende Benutzername ist. Diese Änderung sollte + bevorzugt durch vipw erledigt werden, da + vipw Ihre Änderungen an + /etc/master.passwd auf Plausibilität + überprüft und nach erfolgter Änderung die + Passwortdatenbank automatisch aktualisiert. Um also den + Benutzer bill an der Anmeldung am Rechner + basie zu hindern, gehen wir wie folgt vor: + + + basie&prompt.root; vipw +[add -bill to the end, exit] +vipw: rebuilding the database... +vipw: done + +basie&prompt.root; cat /etc/master.passwd + +root:[password]:0:0::0:0:The super-user:/root:/bin/csh +toor:[password]:0:0::0:0:The other super-user:/root:/bin/sh +daemon:*:1:1::0:0:Owner of many system processes:/root:/sbin/nologin +operator:*:2:5::0:0:System &:/:/sbin/nologin +bin:*:3:7::0:0:Binaries Commands and Source,,,:/:/sbin/nologin +tty:*:4:65533::0:0:Tty Sandbox:/:/sbin/nologin +kmem:*:5:65533::0:0:KMem Sandbox:/:/sbin/nologin +games:*:7:13::0:0:Games pseudo-user:/usr/games:/sbin/nologin +news:*:8:8::0:0:News Subsystem:/:/sbin/nologin +man:*:9:9::0:0:Mister Man Pages:/usr/share/man:/sbin/nologin +bind:*:53:53::0:0:Bind Sandbox:/:/sbin/nologin +uucp:*:66:66::0:0:UUCP pseudo-user:/var/spool/uucppublic:/usr/libexec/uucp/uucico +xten:*:67:67::0:0:X-10 daemon:/usr/local/xten:/sbin/nologin +pop:*:68:6::0:0:Post Office Owner:/nonexistent:/sbin/nologin +nobody:*:65534:65534::0:0:Unprivileged user:/nonexistent:/sbin/nologin ++::::::::: +-bill + +basie&prompt.root; + + + + + + + Udo + Erdelhoff + Beigetragen von + + + + + Netzgruppen verwenden + + Netzgruppen + + Die im letzten Abschnitt beschriebene Methode eignet sich + besonders, wenn Sie spezielle Regeln für wenige + Benutzer oder wenige Rechner benötigen. In großen + Netzwerken werden Sie allerdings + mit Sicherheit vergessen, einige Benutzer + von der Anmeldung an bestimmten Rechnern auszuschließen. + Oder Sie werden gezwungen sein, jeden Rechner einzeln zu + konfigurieren. Dadurch verlieren Sie aber den Hauptvorteil von + NIS, die zentrale Verwaltung. + + Die Lösung für dieses Problem sind + Netzgruppen. Ihre Aufgabe und Bedeutung + ist vergleichbar mit normalen, von UNIX-Dateisystemen + verwendeten Gruppen. Die Hauptunterschiede sind das Fehlen + einer numerischen ID sowie die Möglichkeit, Netzgruppen + zu definieren, die sowohl Benutzer als auch andere Netzgruppen + enthalten. + + Netzgruppen wurden entwickelt, um große, komplexe + Netzwerke mit Hunderten Benutzern und Rechnern zu verwalten. + Sie sind also von Vorteil, wenn Sie von dieser Situation + betroffen sind. Andererseits ist es dadurch beinahe + unmöglich, Netzgruppen mit einfachen Beispielen zu + erklären. Das hier verwendete Beispiel veranschaulicht + dieses Problem. + + Nehmen wir an, dass Ihre erfolgreiche Einführung von + NIS die Aufmerksamkeit Ihrer Vorgesetzten geweckt hat. Ihre + nächste Aufgabe besteht nun darin, Ihre NIS-Domäne + um zusätzliche Rechner zu erweitern. Die folgenden + Tabellen enthalten die neuen Benutzer und Rechner inklusive + einer kurzen Beschreibung. + + + + + + Benutzername(n) + Beschreibung + + + + + + alpha, + beta + Beschäftigte der IT-Abteilung + + + + charlie, + delta + Die neuen Lehrlinge der IT-Abteilung + + + + echo, + foxtrott, + golf, ... + Normale Mitarbeiter + + + + able, + baker, ... + Externe Mitarbeiter + + + + + + + + + + Rechnername(n) + Beschreibung + + + + + + + war, death, + famine, pollution + Ihre wichtigsten Server. Nur IT-Fachleute + dürfen sich an diesen Rechnern anmelden. + + + + + pride, greed, + envy, wrath, + lust, sloth + Weniger wichtige Server. Alle Mitarbeiter der + IT-Abteilung dürfen sich auf diesen Rechnern + anmelden. + + + + one, two, + three, four, ... + Gewöhnliche Arbeitsrechner. Nur die + wirklichen Mitarbeiter dürfen + diese Rechner verwenden. + + + + trashcan + Ein sehr alter Rechner ohne kritische Daten. Sogar + externe Mitarbeiter dürfen diesen Rechner + verwenden. + + + + + + Wollten Sie diese Einschränkungen umsetzen, indem Sie + jeden Benutzer einzeln blockieren, müssten Sie auf jedem + System für jeden Benutzer eine entsprechende Zeile in + passwd einfügen. Wenn Sie nur einen + Eintrag vergessen, haben Sie ein Problem. Es mag noch angehen, + dies während der ersten Installation zu erledigen, im + täglichen Betrieb werden Sie allerdings + mit Sicherheit einmal vergessen, die + entsprechenden Einträge anzulegen. Vergessen Sie nicht: + Murphy war Optimist. + + Die Verwendung von Netzgruppen hat in dieser Situation + mehrere Vorteile. Sie müssen nicht jeden Benutzer einzeln + verwalten; weisen Sie stattdessen den Benutzer einer Netzgruppe + zu und erlauben oder verbieten Sie allen Mitglieder dieser + Gruppe die Anmeldung an einem Server. Wenn Sie einen neuen + Rechner hinzufügen, müssen Sie + Zugangsbeschränkungen nur für die Netzgruppen + festlegen. Legen Sie einen neuen Benutzer an, müssen Sie + ihn nur einer oder mehrere Netzgruppen zuweisen. Diese + Veränderungen sind voneinander unabhängig; Anweisungen + der Form für diese Kombination aus Benutzer und + Rechner mache Folgendes ... sind nicht mehr nötig. + Wenn Sie die Einrichtung von NIS sorgfältig geplant haben, + müssen Sie nur noch eine zentrale Konfigurationsdatei + bearbeiten, um den Zugriff auf bestimmte Rechner zu erlauben + oder zu verbieten. + + Der erste Schritt ist die Initialisierung der NIS-Maps + der Netzgruppe. &man.ypinit.8; kann dies unter FreeBSD nicht + automatisch durchführen. Sind die Maps aber erst einmal + erzeugt, werden sie jedoch von NIS problemlos unterstützt. + Um eine leere Map zu erzeugen, geben Sie Folgendes ein: + + ellington&prompt.root; vi /var/yp/netgroup + + Danach legen Sie die Einträge an. Für unser + Beispiel benötigen wir mindestens vier Netzgruppen: + IT-Beschäftige, IT-Lehrlinge, normale Beschäftigte + sowie Externe. + + IT_EMP (,alpha,test-domain) (,beta,test-domain) +IT_APP (,charlie,test-domain) (,delta,test-domain) +USERS (,echo,test-domain) (,foxtrott,test-domain) \ + (,golf,test-domain) +INTERNS (,able,test-domain) (,baker,test-domain) + + Bei IT_EMP, IT_APP + usw. handelt es sich um Netzgruppennamen. In den Klammern + werden diesen Netzgruppen jeweils ein oder mehrere + Benutzerkonten hinzugefügt. Die drei Felder in der + Klammer haben folgende Bedeutung: + + + + Der Name des Rechners, auf dem die folgenden Werte + gültig sind. Legen Sie keinen Rechnernamen fest, ist + der Eintrag auf allen Rechnern gültig. Dadurch + gehen Sie vielen Problemen aus dem Weg. + + + + Der Name des Benutzerkontos, der zu dieser Netzgruppe + gehört. + + + + Die NIS-Domäne für das Benutzerkonto. Sie + können Benutzerkonten von anderen NIS-Domänen in + Ihre Netzgruppe importieren, wenn Sie mehrere + NIS-Domänen verwalten. + + + + Jedes Feld kann Wildcards enthalten. Die Einzelheiten + entnehmen Sie bitte &man.netgroup.5;. + + + Netzgruppen + + Netzgruppennamen sollten nicht länger als 8 Zeichen + sein, vor allem dann, wenn Sie Rechner mit verschiedenen + Betriebssystemen in Ihrer NIS-Domäne haben. Es wird + zwischen Groß- und Kleinschreibung unterschieden. + Die Verwendung von Großbuchstaben für + Netzgruppennamen ermöglicht eine leichte Unterscheidung + zwischen Benutzern, Rechnern und Netzgruppen. + + Einige NIS-Clients (dies gilt nicht für FreeBSD) + können keine Netzgruppen mit einer großen Anzahl + von Einträgen verwalten. Einige ältere Versionen + von &sunos; haben beispielsweise Probleme, wenn Netzgruppen + mehr als fünfzehn Einträge + enthalten. Sie können dieses Problem umgehen, indem Sie + mehrere Subnetzgruppen mit weniger als fünfzehn Benutzern + anlegen und diese Subnetzgruppen wiederum in einer Netzgruppe + zusammenfassen: + + BIGGRP1 (,joe1,domain) (,joe2,domain) (,joe3,domain) [...] +BIGGRP2 (,joe16,domain) (,joe17,domain) [...] +BIGGRP3 (,joe31,domain) (,joe32,domain) +BIGGROUP BIGGRP1 BIGGRP2 BIGGRP3 + + Sie können diesen Vorgang wiederholen, wenn Sie mehr + als 255 Benutzer in einer einzigen Netzgruppe benötigen. + + + + Das Aktivieren und Verteilen Ihre neuen NIS-Map ist + einfach: + + ellington&prompt.root; cd /var/yp +ellington&prompt.root; make + + Dadurch werden die NIS-Maps netgroup, + netgroup.byhost und + netgroup.byuser erzeugt. Prüfen Sie + die Verfügbarkeit Ihrer neuen NIS-Maps mit &man.ypcat.1;. + + + ellington&prompt.user; ypcat -k netgroup +ellington&prompt.user; ypcat -k netgroup.byhost +ellington&prompt.user; ypcat -k netgroup.byuser + + Die Ausgabe des ersten Befehls gibt den Inhalt von + /var/yp/netgroup wieder. Der zweite Befehl + erzeugt nur dann eine Ausgabe, wenn Sie rechnerspezifische + Netzgruppen erzeugt haben. Der dritte Befehl gibt die + Netzgruppen nach Benutzern sortiert aus. + + Die Einrichtung der Clients ist einfach. Sie müssen + lediglich auf dem Server war + &man.vipw.8; aufrufen und die Zeile + + +::::::::: + + durch + + +@IT_EMP::::::::: + + ersetzen. + + Ab sofort werden nur noch die Daten der in der Netzgruppe + IT_EMP vorhandenen Benutzer in die + Passwortdatenbank von war importiert. + Nur diese Benutzer dürfen sich am Server anmelden. + + Unglücklicherweise gilt diese Einschränkung auch + für die ~-Funktion der Shell und + für alle Routinen, die auf Benutzernamen und numerische + Benutzer-IDs zugreifen. Oder anders formuliert, + cd ~user ist nicht + möglich, ls -l zeigt die numerische + Benutzer-ID statt dem Benutzernamen und + find . -user joe -print erzeugt die + Fehlermeldung No such user. Um dieses + Problem zu beheben, müssen Sie alle Benutzereinträge + importieren, ohne ihnen jedoch zu erlauben, sich an + Ihrem Server anzumelden. + + Dazu fügen Sie eine weitere Zeile in + /etc/master.passwd ein. Diese Zeile sollte + ähnlich der folgenden aussehen: + + +:::::::::/sbin/nologin, was in etwa + Importiere alle Einträge, aber ersetze die Shell in + den importierten Einträgen durch + /sbin/nologin entspricht. Sie + können jedes Feld dieses Eintrages ersetzen, indem Sie + einen Standardwert in /etc/master.passwd + eintragen. + + + Stellen Sie sicher, dass die Zeile + +:::::::::/sbin/nologin + nach der Zeile + +@IT_EMP::::::::: eingetragen ist. Sonst + haben alle via NIS importierten Benutzerkonten + /sbin/nologin als Loginshell. + + + Danach müssen Sie nur mehr eine einzige NIS-Map + ändern, wenn ein neuer Mitarbeiter berücksichtigt + werden muss. Für weniger wichtige Server gehen Sie analog + vor, indem Sie den alten Eintrag +::::::::: + in den lokalen Versionen von + /etc/master.passwd durch folgende + Einträge ersetzen: + + +@IT_EMP::::::::: ++@IT_APP::::::::: ++:::::::::/sbin/nologin + + Die entsprechenden Zeilen für normale Arbeitsplätze + lauten: + + +@IT_EMP::::::::: ++@USERS::::::::: ++:::::::::/sbin/nologin + + Ab jetzt wäre alles wunderbar, allerdings ändert + sich kurz darauf die Firmenpolitik: Die IT-Abteilung beginnt + damit, externe Mitarbeiter zu beschäftigen. Externe + dürfen sich an normalen Arbeitsplätzen sowie an den + weniger wichtigen Servern anmelden. Die IT-Lehrlinge + dürfen sich nun auch an den Hauptservern anmelden. Sie + legen also die neue Netzgruppe IT_INTERN an, + weisen Ihr die neuen IT-Externen als Benutzer zu und beginnen + damit, die Konfiguration auf jedem einzelnen Rechner zu + ändern ... Halt. Sie haben gerade die alte Regel + Fehler in der zentralisierten Planung führen zu + globaler Verwirrung. bestätigt. + + Da NIS in der Lage ist, Netzgruppen aus anderen Netzgruppen + zu bilden, lassen sich solche Situationen leicht vermeiden. + Eine Möglichkeit ist die Erzeugung rollenbasierter + Netzgruppen. Sie könnten eine Netzgruppe + BIGSRV erzeugen, um den Zugang zu + den wichtigsten Servern zu beschränken, eine weitere + Gruppe SMALLSRV für die weniger + wichtigen Server und eine dritte Netzgruppe + USERBOX für die normalen + Arbeitsplatzrechner. Jede dieser Netzgruppen enthält die + Netzgruppen, die sich auf diesen Rechnern anmelden dürfen. + Die Einträge der Netzgruppen in der NIS-Map sollten + ähnlich den folgenden aussehen: + + BIGSRV IT_EMP IT_APP +SMALLSRV IT_EMP IT_APP ITINTERN +USERBOX IT_EMP ITINTERN USERS + + Diese Methode funktioniert besonders gut, wenn Sie + Rechner in Gruppen mit identischen Beschränkungen einteilen + können. Unglücklicherweise ist dies die Ausnahme und + nicht die Regel. Meistens werden Sie die Möglichkeit zur + rechnerspezischen Zugangsbeschränkung benötigen. + + + Rechnerspezifische Netzgruppen sind die zweite + Möglichkeit, um mit den oben beschriebenen Änderungen + umzugehen. In diesem Szenario enthält + /etc/master.passwd auf jedem Rechner zwei + mit + beginnende Zeilen. Die erste Zeile + legt die Netzgruppe mit den Benutzern fest, die sich auf diesem + Rechner anmelden dürfen. Die zweite Zeile weist allen + anderen Benutzern /sbin/nologin als Shell + zu. Verwenden Sie auch hier (analog zu den Netzgruppen) + Großbuchstaben für die Rechnernamen. Die Zeilen + sollten also ähnlich den folgenden aussehen: + + +@BOXNAME::::::::: ++:::::::::/sbin/nologin + + Wenn Sie dies für alle Rechner erledigt haben, werden + Sie die lokalen Versionen von + /etc/master.passwd nie mehr verändern + müssen. Alle weiteren Änderungen geschehen über + die NIS-Maps. Nachfolgend ein Beispiel für eine + mögliche Netzgruppen-Map, die durch einige Besonderheiten + erweitert wurde: + + # Define groups of users first +IT_EMP (,alpha,test-domain) (,beta,test-domain) +IT_APP (,charlie,test-domain) (,delta,test-domain) +DEPT1 (,echo,test-domain) (,foxtrott,test-domain) +DEPT2 (,golf,test-domain) (,hotel,test-domain) +DEPT3 (,india,test-domain) (,juliet,test-domain) +ITINTERN (,kilo,test-domain) (,lima,test-domain) +D_INTERNS (,able,test-domain) (,baker,test-domain) +# +# Now, define some groups based on roles +USERS DEPT1 DEPT2 DEPT3 +BIGSRV IT_EMP IT_APP +SMALLSRV IT_EMP IT_APP ITINTERN +USERBOX IT_EMP ITINTERN USERS +# +# And a groups for a special tasks +# Allow echo and golf to access our anti-virus-machine +SECURITY IT_EMP (,echo,test-domain) (,golf,test-domain) +# +# machine-based netgroups +# Our main servers +WAR BIGSRV +FAMINE BIGSRV +# User india needs access to this server +POLLUTION BIGSRV (,india,test-domain) +# +# This one is really important and needs more access restrictions +DEATH IT_EMP +# +# The anti-virus-machine mentioned above +ONE SECURITY +# +# Restrict a machine to a single user +TWO (,hotel,test-domain) +# [...more groups to follow] + + + Wenn Sie eine Datenbank verwenden, um Ihre Benutzerkonten zu + verwalten, sollten Sie den ersten Teil der NIS-Map mit Ihren + Datenbanktools erstellen können. Auf diese Weise haben + neue Benutzer automatisch Zugriff auf die Rechner. + + Eine letzte Warnung: Es ist nicht immer ratsam, + rechnerbasierte Netzgruppen zu verwenden. Wenn Sie Dutzende + oder gar Hunderte identische Rechner einrichten müssen, + sollten Sie rollenbasierte Netzgruppen verwenden, um die + Grösse der NIS-Maps in Grenzen zu halten. + + + + Weitere wichtige Punkte + + Nachdem Sie Ihre NIS-Umgebung eingerichtet haben, + müssen Sie einige Dinge anders als bisher erledigen. + + + + Jedes Mal, wenn Sie einen neuen Benutzer anlegen wollen, + tun Sie dies ausschließlich am + NIS-Masterserver. Außerdem + müssen Sie anschließend die + NIS-Maps neu erzeugen. Wenn Sie diesen Punkt vergessen, + kann sich der neue Benutzer nur am + NIS-Masterserver anmelden. Wenn Sie also den neuen Benutzer + jsmith anlegen, gehen Sie + folgerndermassen vor: + + &prompt.root; pw useradd jsmith +&prompt.root; cd /var/yp +&prompt.root; make test-domain + + Statt pw useradd jsmith könnten + Sie auch adduser jsmith verwenden. + + + + Tragen Sie die Administratorkonten nicht + in die NIS-Maps ein. Administratorkonten und + Passwörter dürfen nicht auf Rechnern verbreitet + werden, auf denen sich Benutzer anmelden können, die + auf diese Konten keine Zugriff haben sollen. + + + + Sichern Sie die NIS-Master- und Slaveserver + und minimieren Sie die Ausfallzeiten. Wenn + diese Rechner gehackt oder einfach nur ausgeschaltet werden, + haben viele Leute keinen Netzwerkzugriff mehr. + + Dies ist die größte Schwäche + jeder zentralen Verwaltung. Wenn Sie Ihre NIS-Server nicht + schützen, werden Sie viele verärgerte Anwender + haben. + + + + + + Kompatibilität zu NIS v1 + + + NIS + Kompatibilität zu NIS v1 + + + ypserv unterstützt NIS v1 + unter FreeBSD nur eingeschränkt. Die NIS-Implementierung + von FreeBSD verwendet nur NIS v2, andere Implementierungen + unterstützen aus Gründen der + Abwärtskompatibilität mit älteren Systemen auch + NIS v1. Die mit diesen Systemen gelieferten + ypbind-Daemonen versuchen, sich an + einen NIS-v1-Server zu binden (Dies selbst dann, wenn sie ihn + nie benötigen. Außerdem versuchen Sie auch dann, + einen v1-Server zu erreichen, wenn Sie zuvor eine Antwort von + einem v2-Server erhalten.). Während normale Clientaufrufe + unter FreeBSD unterstützt werden, sind Anforderungen zum + Transfer von v1-Maps nicht möglich. Daher kann FreeBSD + nicht als Client oder Server verwendet werden, wenn ein + NIS-Server vorhanden ist, der nur NIS v1 unterstützt. + Glücklicherweise sollte es heute keine Server mehr geben, + die nur NIS v1 unterstützen. + + + + NIS-Server, die auch als NIS-Clients arbeiten + + Wenn Sie ypserv in einer + Multi-Serverdomäne verwenden, in der NIS-Server + gleichzeitig als NIS-Clients arbeiten, ist es eine gute Idee, + diese Server zu zwingen, sich an sich selbst zu binden. Damit + wird verhindert, dass Bindeanforderungen gesendet werden und + sich die Server gegenseitig binden. Sonst könnten seltsame + Fehler auftreten, wenn ein Server ausfällt, auf den andere + Server angewiesen sind. Letztlich werden alle Clients einen + Timeout melden, und versuchen, sich an andere Server zu binden. + Die dadurch entstehende Verzögerung kann beträchtlich + sein. Außerdem kann der Fehler erneut auftreten, da sich + die Server wiederum aneinander binden könnten. + + Sie können einen Rechner durch die Verwendung von + ypbind sowie der Option + zwingen, sich an einen bestimmten Server zu binden. Um diesen + Vorgang zu automatisieren, können Sie folgende Zeilen in + /etc/rc.conf einfügen: + + nis_client_enable="YES" # run client stuff as well +nis_client_flags="-S NIS domain,server" + + Lesen Sie &man.ypbind.8;, wenn Sie weitere Informationen + benötigen. + + + + Passwortformate + + NIS + Passwortformate + + Unterschiedliche Passwortformate sind das Hauptproblem, + das beim Einrichten eines NIS-Servers auftreten kann. + Wenn der NIS-Server mit DES verschlüsselte Passwörter + verwendet, werden nur Clients unterstützt, die ebenfalls + DES benutzen. Wenn sich auf Ihrem Netzwerk beispielsweise + &solaris; NIS-Clients befinden, müssen die Passwörter + mit DES verschlüsselt werden. + + Welches Format die Server und Clients verwenden, + steht in /etc/login.conf. Wenn ein + System Passwörter mit DES verschlüsselt, + enthält die default-Klasse einen + Eintrag wie den folgenden: + + default:\ + :passwd_format=des:\ + :copyright=/etc/COPYRIGHT:\ + [weitere Einträge] + + Mögliche Werte für + passwd_format sind unter anderem + blf und md5 (mit + Blowfish und MD5 verschlüsselte Passwörter). + + Wenn die Datei /etc/login.conf + geändert wird, muss die Login-Capability Datenbank + neu erstellt werden. Geben Sie dazu als + root den folgenden Befehl ein: + + &prompt.root; cap_mkdb /etc/login.conf + + + Das Format der schon in + /etc/master.passwd befindlichen + Passwörter wird erst aktualisiert, wenn ein Benutzer + sein Passwort ändert, nachdem + die Datenbank neu erstellt wurde. + + + Damit die Passwörter auch im gewählten + Format abgespeichert werden, muss mit + crypt_default in der Datei + /etc/auth.conf die richtige + Priorität der Formate eingestellt werden. Das + gewählte Format sollte als Erstes in der Liste + stehen. Sollen die Passwörter mit DES verschlüsselt + werden, verwenden Sie den folgenden Eintrag: + + crypt_default = des blf md5 + + Wenn Sie alle &os; NIS-Server und NIS-Clients entsprechend + den obigen Schritten eingestellt haben, wird im ganzen + Netzwerk dasselbe Passwortformat verwendet. Falls Sie + Probleme mit der Authentifizierung eines NIS-Clients + haben, kontrollieren Sie die verwendeten Passwortformate. + In einer heterogenen Umgebung werden Sie DES benutzen + müssen, da dies der meist unterstützte Standard + ist. + + + + + + + + Greg + Sutter + Geschrieben von + + + + + DHCP – Dynamic Host Configuration Protocol + + + Was ist DHCP? + + + Dynamic Host Configuration Protocol + DHCP + + + + Internet Software Consortium (ISC) + + + Über DHCP, das Dynamic Host Configuration Protocol, + kann sich ein System mit einem Netzwerk verbinden und die + für die Kommunikation mit diesem Netzwerk nötigen + Informationen beziehen. FreeBSD verwendet die + DHCP-Implementation von ISC (Internet Software Consortium), + daher beziehen sich alle implementationsspezifischen + Informationen in diesem Abschnitt auf die ISC-Distribution. + + + + + Übersicht + + Dieser Abschnitt beschreibt sowohl die Client- als auch die + Serverseite des DHCP-Systems von ISC. Das Clientprogramm + dhclient ist in FreeBSD integriert, das + Serverprogramm kann über den Port + net/isc-dhcp3-server + installiert werden. Weiter Informationen finden Sie in + &man.dhclient.8;, &man.dhcp-options.5; sowie + &man.dhclient.conf.5;. + + + + Wie funktioniert DHCP? + + UDP + + Der DHCP-Client dhclient beginnt von + einem Clientrechner aus über den UDP-Port 68 + Konfigurationsinformationen anzufordern. Der Server antwortet + auf dem UDP-Port 67, indem er dem Client eine IP-Adresse + zuweist und ihm weitere wichtige Informationen über das + Netzwerk, wie Netzmasken, Router und DNS-Server mitteilt. Diese + Informationen werden als + DHCP-Lease bezeichnet und + sind nur für eine bestimmte Zeit, die vom Administrator des + DHCP-Servers vorgegeben wird, gültig. Dadurch fallen + verwaiste IP-Adressen, deren Clients nicht mehr mit dem Netzwerk + verbunden sind, automatisch an den Server zurück. + + DHCP-Clients können sehr viele Informationen von einem + DHCP-Server erhalten. Eine ausführliche Liste finden Sie + in &man.dhcp-options.5;. + + + + Integration in FreeBSD + + Der ISC-DHCP-Client ist seit FreeBSD 3.2 + vollständig in FreeBSD integriert. Sowohl während + der Installation als auch im Basissystem steht der + DHCP-Client zur Verfügung. In Netzen mit + DHCP-Servern wird dadurch die Konfiguration von + Systemen erheblich vereinfacht. + + + sysinstall + + + DHCP wird von sysinstall + unterstützt. Richten Sie eine Netzkarte unter + sysinstall ein, wird Ihnen zuerst + folgende Frage gestellt: Wollen Sie diese Karte über + DHCP einrichten? Wenn Sie diese Frage bejahen, wird + dhclient aufgerufen, und die Netzkarte wird + automatisch eingerichtet. + + Um DHCP beim Systemstart zu aktivieren, müssen Sie zwei + Dinge erledigen: + + + DHCP + Anforderungen + + + + + Stellen Sie sicher, dass bpf in + Ihren Kernel kompiliert ist. Dazu fügen Sie die Zeile + device bpf + (pseudo-device bpf unter &os; 4.X) + in Ihre Kernelkonfigurationsdatei ein und erzeugen einen + neuen Kernel. Weitere Informationen zur Kernelkonfiguration + finden Sie in des Handbuchs. + + + Das Gerät bpf ist im + GENERIC-Kernel bereits enthalten. + Für die Nutzung von DHCP muss also kein angepasster + Kernel erzeugt werden. + + + Wenn Sie um die Sicherheit Ihres Systems besorgt + sind, sollten Sie wissen, dass + bpf auch zur Ausführung + von Paketsniffern erforderlich ist (obwohl diese dennoch + als root ausgeführt werden + müssen). bpf + muss vorhanden sein, damit DHCP + funktioniert. Sind Sie sehr sicherheitsbewusst, sollten + Sie bpf aus Ihrem Kernel + entfernen, wenn Sie DHCP nicht verwenden. + + + + + Fügen Sie folgende Zeile in + /etc/rc.conf ein: + + ifconfig_fxp0="DHCP" + + + Ersetzen Sie fxp0 durch den + Eintrag für die Netzkarte, die Sie dynamisch + einrichten wollen. Lesen Sie dazu auch + . + + + Wenn Sie dhclient an einem anderen + Ort installiert haben, oder zusätzliche Flags an + dhclient übergeben wollen, + fügen Sie auch folgende (entsprechend angepasste) + Zeilen ein: + + dhcp_program="/sbin/dhclient" +dhcp_flags="" + + + + + DHCP + Server + + + Der DHCP-Server dhcpd ist als + Teil des Ports + net/isc-dhcp3-server + verfügbar. Dieser Port enthält die komplette + ISC-DHCP-Distribution, inklusive der Dokumentation. + + + + Dateien + + + DHCP + Konfigurationsdateien + + + + + /etc/dhclient.conf + + dhclient benötigt die + Konfigurationsdatei /etc/dhclient.conf. + Diese Datei enthält normalerweise nur Kommentare, da + die Vorgabewerte zumeist ausreichend sind. Lesen Sie dazu + auch &man.dhclient.conf.5;. + + + + /sbin/dhclient + + dhclient ist statisch gelinkt und + befindet sich in /sbin. Weitere + Informationen finden Sie in &man.dhclient.8;. + + + + /sbin/dhclient-script + + Bei dhclient-script handelt es sich + um das FreeBSD-spezifische Konfigurationsskript des + DHCP-Clients. Es wird in &man.dhclient-script.8; + beschrieben und kann meist unverändert übernommen + werden. + + + + /var/db/dhclient.leases + + Der DHCP-Client verfügt über eine Datenbank, + die alle derzeit gültigen Leases enthält und als + Logdatei erzeugt wird. Weitere Informationen finden Sie in + &man.dhclient.8;. + + + + + + Weitere Informationen + + Das DHCP-Protokoll wird vollständig im + RFC 2131 + beschrieben. Eine weitere, lehrreiche Informationsquelle + existiert unter + dhcp.org. + + + + Einen DHCP-Server installieren und einrichten + + + Übersicht + + Dieser Abschnitt beschreibt die Einrichtung eines + FreeBSD-Systems als DHCP-Server. Dazu wird die + DHCP-Implementation von ISC (Internet Software Consortium) + verwendet. + + Der DHCP-Server ist nicht im Basissystem von FreeBSD + enthalten, daher müssen Sie als Erstes den Port + net/isc-dhcp3-server + installieren. Lesen Sie , wenn Sie + weitere Informationen zur Portssammlung benötigen. + + + + + Den DHCP-Server installieren + + + DHCP + installieren + + + Stellen Sie sicher, dass &man.bpf.4; in Ihren Kernel + kompiliert ist. Dazu fügen Sie die Zeile + device bpf + (pseudo-device bpf unter &os; 4.X)in + Ihre Kernelkonfigurationsdatei ein und erzeugen einen neuen + Kernel. Die Kernelkonfiguration wird in + beschrieben. + + Das Gerät bpf ist im + GENERIC-Kernel bereits enthalten. + Für die Nutzung von DHCP muss also kein angepasster + Kernel erzeugt werden. + + + Wenn Sie um die Sicherheit Ihres Systems besorgt + sind, sollten Sie wissen, dass + bpf auch zur Ausführung + von Paketsniffern erforderlich ist (obwohl diese dennoch + als root ausgeführt werden + müssen). bpf + muss vorhanden sein, damit DHCP + funktioniert. Sind Sie sehr sicherheitsbewusst, sollten + Sie bpf aus Ihrem Kernel + entfernen, wenn Sie DHCP nicht verwenden. + + + Danach müssen Sie die vom Port + net/isc-dhcp3-server + erzeugte Vorlage für dhcpd.conf + anpassen. Die bei der Installation erzeugte Datei + /usr/local/etc/dhcpd.conf.sample + sollten Sie nach + /usr/local/etc/dhcpd.conf kopieren, + bevor Sie Veränderungen vornehmen. + + + + Den DHCP-Server einrichten + + + DHCP + dhcpd.conf + + + dhcpd.conf besteht aus Festlegungen + zu Subnetzen und Rechnern und lässt sich am besten an + einem Beispiel erklären: + + option domain-name "example.com"; +option domain-name-servers 192.168.4.100; +option subnet-mask 255.255.255.0; + +default-lease-time 3600; +max-lease-time 86400; +ddns-update-style none; + +subnet 192.168.4.0 netmask 255.255.255.0 { + range 192.168.4.129 192.168.4.254; + option routers 192.168.4.1; +} + +host mailhost { + hardware ethernet 02:03:04:05:06:07; + fixed-address mailhost.example.com; +} + + + + Diese Option beschreibt die Domäne, die den + Clients als Standardsuchdomäne zugewiesen wird. + Weitere Informationen finden Sie in man.resolv.conf.5;. + + + + + Diese Option legt eine, durch Kommata getrennte + Liste von DNS-Servern fest, die von den Clients + verwendet werden sollen. + + + + Die den Clients zugewiesene Netzmaske. + + + + Ein Client kann eine Lease einer bestimmten Dauer + anfordern. Geschieht dies nicht, weist der Server eine + Lease mit einer vorgegebenen Ablaufdauer (in Sekunden) + zu. + + + + Die maximale Zeitdauer, für die der Server + Konfigurationsinformationen vergibt. Sollte ein Client + eine längere Zeitspanne anfordern, wird dennoch + nur der Wert max-lease-time in + Sekunden zugewiesen. + + + + Diese Option legt fest, ob der DHCP-Server eine + DNS-Aktualisierung versuchen soll, wenn + Konfigurationsdateien vergeben oder zurückgezogen + werden. In der ISC-Implementation + muss diese Option gesetzt sein. + + + + + Dadurch werden die IP-Adressen festgelegt, die den + Clients zugewiesen werden können. IP-Adressen + zwischen diesen Grenzen sowie die einschließenden + Adressen werden den Clients zugewiesen. + + + + Legt das Standard-Gateway fest, das den Clients + zugewiesen wird. + + + + Die (Hardware-)MAC-Adresse eines Rechners (durch die + der DHCP-Server den Client erkennt, der eine Anforderung + an ihn stellt). + + + + Einem Rechner soll immer die gleiche IP-Adresse + zugewiesen werden. Beachten Sie, dass hier auch ein + Rechnername gültig ist, da der DHCP-Server den + Rechnernamen auflöst, bevor er die + Konfigurationsinformationen zuweist. + + + + Nachdem Sie dhcpd.conf fertig + konfiguriert haben, können Sie den DHCP-Server starten: + + + &prompt.root; /usr/local/etc/rc.d/isc-dhcpd.sh start + + Sollten Sie die Konfiguration Ihres Servers einmal + verändern müssen, reicht es nicht aus, ein + SIGHUP-Signal an + dhcpd zu senden, weil damit die + Konfiguration nicht erneut geladen wird + (im Gegensatz zu den meisten Daemonen). Sie müssen + den Prozess vielmehr mit dem Signal + SIGTERM stoppen, um ihn + anschließend neu zu starten. + + + + Dateien + + + Server + Konfigurationsdateien + + + + + /usr/local/sbin/dhcpd + + dhcpd ist statisch + gelinkt und befindet sich in + /usr/local/sbin. Lesen Sie auch die + mit dem Port installierte Hilfeseite &man.dhcpd.8;, wenn + Sie weitere Informationen zu + dhcpd benötigen. + + + + /usr/local/etc/dhcpd.conf + + dhcpd benötigt die + Konfigurationsdatei + /usr/local/etc/dhcpd.conf, damit + der Server den Clients seine Dienste anbieten kann. + Diese Datei muss alle Informationen enthalten, die an + die Clients weitergegeben werden soll. Außerdem + sind hier Informationen zur Konfiguration des Servers + enthalten. Die mit dem Port installierte Hilfeseite + &man.dhcpd.conf.5; enthält weitere Informationen. + + + + + /var/db/dhcpd.leases + + Der DHCP-Server hat eine Datenbank, die alle + vergebenen Leases enthält. Diese wird als Logdatei + erzeugt. Weitere Informationen finden Sie in der vom + Port installierten Hilfeseite &man.dhcpd.leases.5;. + + + + /usr/local/sbin/dhcrelay + + dhcrelay wird in + komplexen Umgebungen verwendet, in denen ein DHCP-Server + eine Anfrage eines Clients an einen DHCP-Server in einem + separaten Netzwerk weiterleitet. Wenn Sie diese + Funktion benötigen, müssen Sie den Port + net/isc-dhcp3-server + installieren. Weitere Informationen zu diesem Thema + finden Sie in &man.dhcrelay.8;. + + + + + + + + + + + Chern + Lee + Beigetragen von + + + + + DNS – Domain Name Service + + + Überblick + + BIND + + DNS ist das für die Umwandlung von Rechnernamen in + IP-Adressen zuständige Protokoll. FreeBSD verwendet dazu + BIND (Berkeley Internet Name Domain), die am häufigsten + verwendete Implementierung von DNS. Eine Anfrage nach + www.FreeBSD.org gibt die + IP-Adresse des &os;-Webservers, eine Anfrage nach + ftp.FreeBSD.org die IP-Adresse des + entsprechenden FTP-Servers zurück. Der umgekehrte Weg + ist ebenso möglich, eine IP-Adresse kann also auch in ihren + Rechnernamen aufgelöst werden. Um eine DNS-Abfrage + durchzuführen, muss am jeweiligen Rechner kein Nameserver + installiert sein. + + DNS + + Im Internet wird DNS durch ein komplexes System von + autoritativen Root-Nameservern sowie anderen kleineren + Nameservern verwaltet, die individuelle Rechnerinformationen + speichern und untereinander abgleichen. + + Dieses Dokument beschreibt die unter FreeBSD verwendete + stabile Version BIND 8.x. BIND 9.x kann über den + Port net/bind9 + installiert werden. + + Das DNS-Protokoll wird in den RFCs 1034 und 1035 + beschrieben. + + Derzeit wird BIND vom + Internet Software Consortium verwaltet. + + + + Begriffsbestimmungen + + Um dieses Dokument besser verstehen zu können, + müssen einige DNS-spezifische Begriffe genauer definiert + werden. + + + + + + + + + Begriff + + Bedeutung + + + + + + Forward-DNS + + Rechnernamen in IP-Adressen umwandeln + + + + Origin (Ursprung) + + Die in einer bestimmten Zonendatei beschriebene + Domäne. + + + + named, BIND, + Nameserver + + Gebräuchliche Namen für das unter FreeBSD + verwendete BIND-Nameserverpaket + + + Resolver + + + Resolver + + Ein Systemprozess, durch den ein Rechner + Zoneninformationen von einem Nameserver anfordert. + + + + Reverse-DNS + + + Reverse-DNS + + Das Gegenteil von Forward-DNS; die Umwandlung von + IP-Adressen in Rechnernamen + + + root zone + + + Root-Zone + + Der Beginn der Internet-Zonenhierarchie. Alle + Zonen befinden sich innerhalb der Root-Zone. Dies ist + analog zu einem Dateisystem, in dem sich alle Dateien + und Verzeichnisse innerhalb des Wurzelverzeichnisses + befinden. + + + + Zone + + Eine individuelle Domäne, Unterdomäne, + oder ein Teil von DNS, der von der gleichen + Autorität verwaltet wird. + + + + + + + Zonen + Beispiele + + + Es folgen nun einige Zonenbeispiele: + + + + . ist die Root-Zone. + + + + org. ist eine Zone innerhalb der + Root-Zone. + + + + example.org. + ist eine Zone innerhalb der + org-Zone. + + + + foo.example.org. + ist eine Unterdomäne, eine Zone innerhalb der Zone + example.org. + + + + 1.2.3.in-addr.arpa. ist die Zone mit + allen IP-Adressen des 3.2.1.*-IP-Adressraums. + + + + Wie man an diesen Beispielen erkennen kann, befindet sich + der spezifischere Teil eines Rechnernamens auf der linken Seite + der Adresse. example.org. + beschreibt einen Rechner also genauer als org., + während org. genauer als die Root-Zone + ist. Jeder Teil des Rechnernamens hat Ähnlichkeiten mit + einem Dateisystem, in dem etwa /dev dem + Wurzelverzeichnis untergeordnet ist. + + + + Gründe für die Verwendung eines + Nameservers + + Es gibt zwei Arten von Nameservern: Autoritative Nameserver + sowie zwischenspeichernde (cachende) Nameserver. + + Ein autoritativer Nameserver ist notwendig, wenn + + + + sie anderen verbindliche DNS-Auskünfte erteilen + wollen. + + + + eine Domain, beispielsweise + example.org, registriert + wird, und den zu dieser Domain gehörenden Rechnern + IP-Adressen zugewiesen werden müssen. + + + + ein IP-Adressblock reverse-DNS-Einträge + benötigt, um IP-Adressen in Rechnernamen auflösen + zu können. + + + + ein Backup-Nameserver (auch Slaveserver genannt) auf + Anfragen antworten muss, weil der Hauptserver nicht + erreichbar ist. + + + + Ein cachender Nameserver ist notwendig, weil + + + + ein lokaler DNS-Server Daten zwischenspeichern und daher + schneller auf Anfragen reagieren kann als ein entfernter + Server. + + + + die Datenmenge reduziert werden muss + (DNS-Verkehr macht etwa 5 % des gesamten Datenverkehrs im + Internet aus). + + + + Wird nach www.FreeBSD.org + gesucht, leitet der Resolver diese Anfrage an den Nameserver des + ISPs weiter und nimmt danach das Ergebnis der + Abfrage entgegen. Existiert ein lokaler, zwischenspeichernder + DNS-Server, muss dieser die Anfrage nur einmal nach außen + weitergeben. Für alle weiteren Anfragen ist dies nicht + mehr nötig, da diese Information nun lokal gespeichert + ist. + + + + Wie funktioniert DNS? + + Unter FreeBSD wird der BIND-Daemon als + named bezeichnet. + + + + + + Datei + + Beschreibung + + + + + + named + + Der BIND-Daemon. + + + + ndc + + Das Steuerprogramm für + named. + + + + /etc/namedb + + Das Verzeichnis, in dem sich die Zoneninformationen + für BIND befinden. + + + + /etc/namedb/named.conf + + Die Konfigurationsdatei für + named. + + + + + + Zonendateien befinden sich normalerweise im Verzeichnis + /etc/namedb und enthalten die vom + Nameserver angebotenen DNS-Zoneninformationen. + + + + BIND starten + + + BIND + Start + + + Da BIND automatisch installiert wird, ist die Konfiguration + relativ einfach. + + Um den named-Daemon beim + Systemstart automatisch zu starten, fügen Sie folgende + Zeile in /etc/rc.conf ein: + + named_enable="YES" + + Um den Daemon (nach der Konfiguration) manuell zu starten, + geben Sie Folgendes ein: + + &prompt.root; ndc start + + + + Konfigurationsdateien + + + BIND + Konfigurationsdateien + + + + <command>make-localhost</command> verwenden + + Um die lokale reverse-DNS-Zonendatei + /etc/namedb/localhost.rev korrekt zu + erzeugen, machen Sie Folgendes: + + &prompt.root; cd /etc/namedb +&prompt.root; sh make-localhost + + + + <filename>/etc/namedb/named.conf</filename> + + // $FreeBSD$ +// +// Refer to the named(8) manual page for details. If you are ever going +// to setup a primary server, make sure you've understood the hairy +// details of how DNS is working. Even with simple mistakes, you can +// break connectivity for affected parties, or cause huge amount of +// useless Internet traffic. + +options { + directory "/etc/namedb"; + +// In addition to the "forwarders" clause, you can force your name +// server to never initiate queries of its own, but always ask its +// forwarders only, by enabling the following line: +// +// forward only; + +// If you've got a DNS server around at your upstream provider, enter +// its IP address here, and enable the line below. This will make you +// benefit from its cache, thus reduce overall DNS traffic in the +Internet. +/* + forwarders { + 127.0.0.1; + }; +*/ + + Um vom Cache Ihres Internetproviders zu profitieren, + können hier forwarders aktiviert + werden. Normalerweise sucht ein Nameserver das Internet + rekursiv ab, bis er die gesuchte Antwort findet. Durch + diese Option wird stets der Nameserver Ihres + Internetproviders zuerst abgefragt, um von dessen + Cache zu profitieren. Wenn es sich um einen schnellen, + viel benutzten Nameserver handelt, kann dies zu einer + Geschwindigkeitssteigerung führen. + + + 127.0.0.1 funktioniert + hier nicht. Ändern Sie diese + Adresse in einen Nameserver Ihres Einwahlproviders. + + + /* +* If there is a firewall between you and name servers you want +* to talk to, you might need to uncomment the query-source +* directive below. Previous versions of BIND always asked +* questions using port 53, but BIND 8.1 uses an unprivileged +* port by default. +*/ +// query-source address * port 53; + +/* +* If running in a sandbox, you may have to specify a different +* location for the dumpfile. +*/ +// dump-file "s/named_dump.db"; +}; + +// Note: the following will be supported in a future release. +/* +host { any; } { + topology { + 127.0.0.0/8; + }; +}; +*/ + +// Setting up secondaries is way easier and the rough picture for this +// is explained below. +// +// If you enable a local name server, don't forget to enter 127.0.0.1 +// into your /etc/resolv.conf so this server will be queried first. +// Also, make sure to enable it in /etc/rc.conf. + +zone "." { + type hint; + file "named.root"; +}; + +zone "0.0.127.IN-ADDR.ARPA" { + type master; + file "localhost.rev"; +}; + +zone +"0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.INT" { + type master; + file "localhost.rev"; +}; + +// NB: Do not use the IP addresses below, they are faked, and only +// serve demonstration/documentation purposes! +// +// Example secondary config entries. It can be convenient to become +// a secondary at least for the zone where your own domain is in. Ask +// your network administrator for the IP address of the responsible +// primary. +// +// Never forget to include the reverse lookup (IN-ADDR.ARPA) zone! +// (This is the first bytes of the respective IP address, in reverse +// order, with ".IN-ADDR.ARPA" appended.) +// +// Before starting to setup a primary zone, better make sure you fully +// understand how DNS and BIND works, however. There are sometimes +// unobvious pitfalls. Setting up a secondary is comparably simpler. +// +// NB: Don't blindly enable the examples below. :-) Use actual names +// and addresses instead. +// +// NOTE!!! FreeBSD runs BIND in a sandbox (see named_flags in rc.conf). +// The directory containing the secondary zones must be write accessible +// to BIND. The following sequence is suggested: +// +// mkdir /etc/namedb/s +// chown bind:bind /etc/namedb/s +// chmod 750 /etc/namedb/s + + Wenn Sie BIND innerhalb einer Sandbox betreiben wollen, + lesen Sie bitte den + . + + /* +zone "example.com" { + type slave; + file "s/example.com.bak"; + masters { + 192.168.1.1; + }; +}; + +zone "0.168.192.in-addr.arpa" { + type slave; + file "s/0.168.192.in-addr.arpa.bak"; + masters { + 192.168.1.1; + }; +}; +*/ + + Hierbei handelt es sich um Slave-Einträge für + eine Reverse- und Forward-DNS-Zone, die in der Datei + named.conf definiert sind. + + Für jede neue Zone muss ein zusätzlicher Eintrag + in named.conf erstellt werden. + + Ein einfacher Eintrag für eine Zone + example.org könnte + beispielsweise so aussehen: + + zone "example.org" { + type master; + file "example.org"; +}; + + Die Option legt fest, dass es sich + um eine Master-Zone handelt, deren Zoneninformationen sich in + der Datei /etc/namedb/example.org + befinden. Diese Datei wird durch die Option + festgelegt. + + zone "example.org" { + type slave; + file "example.org"; +}; + + Hier handelt es sich um einen Slaveserver, der seine + Informationen vom Masterserver der betreffenden Zone bezieht + und diese in der angegebenen Datei speichert. Wenn der + Masterserver nicht erreichbar ist, verfügt der + Slaveserver über die transferierten Zoneninformationen + und kann diese an andere Rechner weitergeben. + + + + Zonendateien + + Die in der Datei + /etc/namedb/example.org definierte + Zonendatei für + example.org könnte + etwa so aussehen: + + $TTL 3600 + +example.org. IN SOA ns1.example.org. admin.example.org. ( + 5 ; Serial + 10800 ; Refresh + 3600 ; Retry + 604800 ; Expire + 86400 ) ; Minimum TTL + +; DNS Servers +@ IN NS ns1.example.org. +@ IN NS ns2.example.org. + +; Machine Names +localhost IN A 127.0.0.1 +ns1 IN A 3.2.1.2 +ns2 IN A 3.2.1.3 +mail IN A 3.2.1.10 +@ IN A 3.2.1.30 + +; Aliases +www IN CNAME @ + +; MX Record +@ IN MX 10 mail.example.org. + + Beachten Sie, dass jeder mit einem . + endende Rechnername ein exakter Rechnername ist, während + sich alles ohne einen abschließenden . + auf den Ursprung bezieht. www steht daher + für + www.Ursprung. + In unserer fiktiven Zonendatei ist + example.org. der Ursprung, daher steht + www für + www.example.org. + + Eine Zonendatei hat folgenden Aufbau: + + recordname IN recordtype value + + + DNS + Einträge + + + Die am häufigsten verwendeten DNS-Einträge sind: + + + + SOA + + + Start der Zonenautorität + + + + + NS + + + Ein autoritativer Nameserver + + + + + A + + Eine Rechneradresse + + + + CNAME + + + Der kanonische Name eines Alias + + + + + MX + + Mail Exchanger + + + + PTR + + + Ein (bei Reverse-DNS verwendeter) Domain Name + Pointer + + + + + example.org. IN SOA ns1.example.org. admin.example.org. ( + 5 ; Serial + 10800 ; Refresh after 3 hours + 3600 ; Retry after 1 hour + 604800 ; Expire after 1 week + 86400 ) ; Minimum TTL of 1 day + + + + example.org. + + Der Name der Domäne und damit der + Ursprung dieser Zonendatei. + + + + + ns1.example.org. + + Der primäre/autoritative Nameserver + dieser Zone. + + + + + admin.example.org. + + Die für diese Zone verantwortliche + Person. Das Zeichen @ wird dabei + ersetzt (admin@example.org wird also zu + admin.example.org). + + + + + 5 + + Die Seriennummer der Datei. Sie muss + stets inkrementiert werden, wenn die Zonendatei + geändert wird. Viele Administratoren bevorzugen + ein JJJJMMTTRR-Format, um die + Seriennummer festzulegen. + 2001041002 steht also für + den 10.04.2001, die beiden letzten Stellen für die + zweite Modifikation der Zonendatei an diesem Tag. Die + Seriennummer ist von großer Bedeutung, da + Slaveserver daran eine aktualisierte Zonendatei erkennen + können. + + + + + @ IN NS ns1.example.org. + + Ein NS-Eintrag. Jeder Nameserver, der für eine Zone + verantwortlich ist, muss über einen solchen Eintrag + verfügen. Das Zeichen @ steht in + unserem Beispiel für + example.org., + @ verweist also auf den Ursprung. + + localhost IN A 127.0.0.1 +ns1 IN A 3.2.1.2 +ns2 IN A 3.2.1.3 +mail IN A 3.2.1.10 +@ IN A 3.2.1.30 + + Der Eintrag A bezieht sich auf + Rechnernamen. ns1.example.org + würde also zu 3.2.1.2 + aufgelöst werden. Da das (Ursprungs-)Symbol + @ verwendet wird, wird + example.org zu + 3.2.1.30 aufgelöst. + + www IN CNAME @ + + Der Eintrag für den kanonischen Namen wird dazu + verwendet, Aliase für einen Rechner zu vergeben. Im + Beispiel ist www ein Alias für den + Ursprungsrechner + (example.org oder + 3.2.1.30). Durch die Option + CNAME können Aliasnamen vergeben werden. Ein Rechnername + kann aber auch abwechselnd verschiedenen Rechnern zugewiesen + werden. + + + MX-Eintrag + + + @ IN MX 10 mail.example.org. + + Die Option MX legt fest, welcher Mailserver für + eintreffende Mails der Zone verantwortlich ist. + mail.example.org ist der + Rechnername des Mailservers, der eine Priorität von 10 + hat. + + Es können auch mehrere Mailserver mit verschiedener + Priorität vorhanden sein. Ein Mailserver, der eine Mail + an example.org verschicken + will, verwendet zuerst den MX mit der höchsten + Priorität, danach den mit der nächsthöheren, + bis die E-Mail zugestellt werden kann. + + Für (bei Reverse-DNS verwendete) + in-addr.arpa-Zonendateien wird das gleiche + Format verwendet. Der einzige Unterschied besteht in der + Verwendung der Option PTR an Stelle der Optionen A und + CNAME. + + $TTL 3600 + +1.2.3.in-addr.arpa. IN SOA ns1.example.org. admin.example.org. ( + 5 ; Serial + 10800 ; Refresh + 3600 ; Retry + 604800 ; Expire + 3600 ) ; Minimum + +@ IN NS ns1.example.org. +@ IN NS ns2.example.org. + +2 IN PTR ns1.example.org. +3 IN PTR ns2.example.org. +10 IN PTR mail.example.org. +30 IN PTR example.org. + + Durch diese Datei werden den Rechnernamen der fiktiven + Domäne IP-Adressen zugewiesen. + + + + + Zwischenspeichernde (cachende) Nameserver + + + BIND + Zwischenspeichernde Nameserver + + + Ein cachender Nameserver ist für keine Zonen + verantwortlich. Er stellt lediglich eigene Anfragen und + speichert deren Ergebnisse ab. Um einen solchen Nameserver + einzurichten, gehen Sie wie gewohnt vor, allerdings definieren + Sie keine Zonen. + + + + <application>named</application> in einer Sandbox + ausführen + + + BIND + Sandbox + + + + chroot + + + Es ist möglich, &man.named.8; als nicht privilegierter + Benutzer in einer mit &man.chroot.8; definierten Sandbox + auszuführen. Dadurch hat der + named-Daemon keinen Zugriff auf + Verzeichnisse und Dateien außerhalb der Sandbox. Sollte + named kompromittiert werden, + lässt sich dadurch der mögliche Schaden begrenzen. + FreeBSD erzeugt dazu automatisch einen Benutzer und eine + Gruppe namens bind. + + + Manchmal wird auch empfohlen, statt mit + chroot das Wurzelverzeichnis für + named zu ändern, + named innerhalb eines &man.jail.8;s + auszuführen. Diese Situation wird hier jedoch nicht + beschrieben. + + + Da named keinen Zugriff auf + Dateien außerhalb der Sandbox (wie Systembibliotheken oder + Protokolldateien) hat, sind einige Vorbereitungen notwendig, + damit named korrekt funktioniert. + Im Folgenden wird angenommen, dass die Sandbox unter + /etc/namedb eingerichtet wird. Außerdem + befinden sich die Dateien in diesem Verzeichnis noch im + Originalzustand. Alle Schritte müssen als + root durchgeführt werden. + + + + Erzeugen Sie alle Verzeichnisse, die + named benötigt: + + &prompt.root; cd /etc/namedb +&prompt.root; mkdir -p bin dev etc var/tmp var/run master slave +&prompt.root; chown bind:bind slave var/* + + + + Da named nur schreibend + auf diese Verzeichnisse zugreifen muss, werden auch + keine weiteren Rechte zugeteilt. + + + + + + Erzeugen Sie die Basiszonen sowie die nötigen + Konfigurationsdateien: + + &prompt.root; cp /etc/localtime etc +&prompt.root; mv named.conf etc && ln -sf etc/named.conf +&prompt.root; mv named.root master + +&prompt.root; sh make-localhost && mv localhost.rev localhost-v6.rev master&prompt.root; cat > master/named.localhost +$ORIGIN localhost. +$TTL 6h +@ IN SOA localhost. postmaster.localhost. ( + 1 ; serial + 3600 ; refresh + 1800 ; retry + 604800 ; expiration + 3600 ) ; minimum + IN NS localhost. + IN A 127.0.0.1 +^D + + + + Dadurch ist es named + möglich, die korrekte Systemzeit an &man.syslogd.8; + weiterzugeben. + + + + + + Wenn Sie FreeBSD in einer Version vor 4.9-RELEASE + verwenden, erzeugen Sie eine statisch gelinkte Kopie von + named-xfer und kopieren diese + in Ihre Sandbox: + + &prompt.root; cd /usr/src/lib/libisc +&prompt.root; make cleandir && make cleandir && make depend && make all +&prompt.root; cd /usr/src/lib/libbind +&prompt.root; make cleandir && make cleandir && make depend && make all +&prompt.root; cd /usr/src/libexec/named-xfer +&prompt.root; make cleandir && make cleandir && make depend && make NOSHARED=yes all +&prompt.root; cp named-xfer /etc/namedb/bin && chmod 555 /etc/namedb/bin/named-xfer + + Nachdem Sie ihre statische gelinkte Version von + named-xfer installiert haben, + müssen Sie etwas aufräumen, damit keine + veralteten Kopien von Bibliotheken oder Programmen in Ihrem + Quellbaum verbleiben: + + &prompt.root; cd /usr/src/lib/libisc +&prompt.root; make cleandir +&prompt.root; cd /usr/src/lib/libbind +&prompt.root; make cleandir +&prompt.root; cd /usr/src/libexec/named-xfer +&prompt.root; make cleandir + + + + Dieser Schritt kann manchmal fehlschlagen. Wenn + dies passiert, machen Sie Folgendes: + + &prompt.root; cd /usr/src && make cleandir && make cleandir + + Danach löschen Sie + /usr/obj inklusive aller + Unterverzeichnisse: + + &prompt.root; rm -fr /usr/obj && mkdir /usr/obj + + Dadurch entfernen Sie den ganzen + Müll aus Ihrem Quellbaum und die + fehlgeschlagenen Schritte sollten nun ebenfalls + funktionieren. + + + + Wenn Sie &os; in der Version 4.9-RELEASE oder neuer + verwenden, wird die in /usr/libexec + vorhandene Kopie von named-xfer + automatisch statisch gelinkt und Sie können die Datei + einfach mit &man.cp.1; in Ihre Sandbox kopieren. + + + + Erzeugen Sie ein dev/null, auf + das named lesend und schreibend + zugreifen kann: + + &prompt.root; cd /etc/namedb/dev && mknod null c 2 2 +&prompt.root; chmod 666 null + + + + Linken Sie /etc/namedb/var/run/ndc + symbolisch nach /var/run/ndc: + + &prompt.root; ln -sf /etc/namedb/var/run/ndc /var/run/ndc + + + Dadurch können Sie auf die Option + verzichten, wenn Sie &man.ndc.8; + aufrufen. Der Inhalt von /var/run + wird beim Systemstart automatisch gelöscht. Diese + Anweisung kann unter Nutzung der Option + in die + crontab von root + eingebaut werden. Lesen Sie dazu auch die Hilfeseite + &man.crontab.5;. + + + + + Weisen Sie &man.syslogd.8; an, einen zusätzlichen + log-Socket zu erzeugen, auf den + named Schreibzugriff hat. Dazu + hängen Sie in der Datei + /etc/rc.conf an den Eintrag + syslogd_flags die Option + -l /etc/namedb/dev/log an. + + + + Stellen Sie sicher, dass + named gestartet wird und sein + Wurzelverzeichnis mittels chroot in die + Sandbox setzt, indem Sie folgende Einträge in + /etc/rc.conf einfügen: + + named_enable="YES" +named_flags="-u bind -g bind -t /etc/namedb /etc/named.conf" + + + Beachten Sie, dass die Konfigurationsdatei + /etc/named.conf durch einen + absoluten Pfad (aber relativ zur + Sandbox) festgelegt wird. Bei der im obigen Beispiel + angesprochenen Datei handelt es sich also um + /etc/namedb/etc/named.conf. + + + + + Danach bearbeiten Sie + /etc/namedb/etc/named.conf, damit + named weiß, welche Zonen geladen + werden müssen und wo sich diese befinden. Es folgt nun + ein kommentiertes Beispiel (alle nicht dokumentierten + Einträge gelten auch für einen DNS-Server, der nicht + in einer Sandbox läuft): + + options { + directory "/"; + named-xfer "/bin/named-xfer"; + version ""; // Don't reveal BIND version + query-source address * port 53; +}; +// ndc control socket +controls { + unix "/var/run/ndc" perm 0600 owner 0 group 0; +}; +// Zones follow: +zone "localhost" IN { + type master; + file "master/named.localhost"; + allow-transfer { localhost; }; + notify no; +}; +zone "0.0.127.in-addr.arpa" IN { + type master; + file "master/localhost.rev"; + allow-transfer { localhost; }; + notify no; +}; +zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.int" { + type master; + file "master/localhost-v6.rev"; + allow-transfer { localhost; }; + notify no; +}; +zone "." IN { + type hint; + file "master/named.root"; +}; +zone "private.example.net" in { + type master; + file "master/private.example.net.db"; + allow-transfer { 192.168.10.0/24; }; +}; +zone "10.168.192.in-addr.arpa" in { + type slave; + masters { 192.168.10.2; }; + file "slave/192.168.10.db"; +}; + + + + directory wird als + / festgelegt, da sich alle von + named benötigten Dateien in + diesem Verzeichnis befinden (analog zur + /etc/namedb eines + normalen Benutzers. + + + + Legt den vollständigen Pfad zur Binärdatei + named-xfer aus der Sicht von + named fest. Das ist nötig, + weil named per Voreinstellung + im Verzeichnis /usr/libexec nach + named-xfer sucht. + + + + Legt die Datei (relativ zum + directory-Statement) fest, in der + named die Zonendatei für + diese Zone findet. + + + + Legt die Datei (relativ zum + directory-Statement) fest, in die + named eine Kopie der Zonendatei + dieser Zone schreibt, nachdem diese erfolgreich vom + Masterserver angefordert wurde. Aus diesem Grund musste in + den vorherigen Schritten auch bind + der Eigentümer des Verzeichnisses + slave sein. + + + + Nachdem Sie diese Schritte erledigt haben, müssen Sie + entweder den Rechner oder &man.syslogd.8; neu starten. Danach + starten Sie &man.named.8; unter Verwendung der neuen, unter + syslogd_flags und + named_flags festgelegten Optionen. Sie + verwenden nun eine Sandboxversion von + named! + + + + Sicherheit + + Obwohl BIND die am meisten verwendete (und kontrollierte) + Implementierung von DNS darstellt, werden dennoch manchmal neue + Sicherheitsprobleme entdeckt. + + Es ist daher eine gute Idee, die Sicherheitshinweise von + CERT zu lesen sowie + die Mailingliste &a.security-notifications; zu abonnieren, um + sich über Sicherheitsprobleme im Zusammenhang mit dem + Internet und FreeBSD zu informieren. + + + Tritt ein Problem auf, kann es nie schaden, die + Quellen zu aktualisieren und named + neu zu kompilieren. + + + + + Weitere Informationsquellen + + + + Hilfeseiten zu BIND/named: + &man.ndc.8;, &man.named.8;, &man.named.conf.5; + + + + Offizielle ISC-Seite + zu BIND + + + + + BIND FAQs + + + + O'Reilly + DNS and BIND 4th Edition + + + + RFC1034 + - Domain Names - Concepts and Facilities + + + + + RFC1035 + - Domain Names - Implementation and Specification + + + + + + + + + + + Tom + Hukins + Beigetragen von + + + + + NTP – Network Time Protocol + + NTP + + + Überblick + + Da die interne Uhrzeit eines Computers nie ganz exakt ist, + wurde mit NTP + (Network Time Protocol) eine + Möglichkeit geschaffen, die exakte Uhrzeit zu ermitteln + und festzulegen. + + Viele Internetdienste sind von einer exakten Uhrzeit + abhängig. Ein Webserver könnte beispielsweise die + Anforderung erhalten, eine Datei zu versenden, wenn sich diese + in einer bestimmten Zeitspanne geändert hat. Dienste wie + &man.cron.8; führen Befehle zu einem bestimmten Zeitpunkt + aus. Ist die Uhrzeit nicht korrekt, kann dies zu Problemen + führen. + + + NTP + ntpd + + + &os; verwendet den &man.ntpd.8;-NTP-Server, um die genaue + Uhrzeit von anderen NTP-Servern abzufragen, die eigene + Systemzeit zu setzen, oder um diese anderen Rechnern + anzubieten. + + + + Einen passenden NTP-Server auswählen + + + NTP + Serverwahl + + + Um die Uhrzeit zu synchronisieren, müssen Sie sich mit + einem NTP-Server verbinden. Ihr Netzwerkadministrator oder Ihr + Internetprovider haben vielleicht schon einen NTP-Server + eingerichtet. Lesen Sie deren Dokumentation, um dies zu + überprüfen. Es gibt eine + + Liste mit frei zugänglichen NTP-Servern, aus der + Sie sich einen in Ihrer Nähe gelegenen Server + auswählen können. Beachten Sie aber auf jeden Fall + die Nutzungsbedingungen des entsprechenden Servers, und fragen + Sie um Erlaubnis, wenn dies nötig ist. + + Die Auswahl von mehreren NTP-Servern kann sinnvoll sein, + wenn ein Server ausfällt oder falsche Zeiten liefert. + &man.ntpd.8; verwendet die Antworten anderer Server, um + zuverlässige Server zu bestimmen, die dann bevorzugt + abgefragt werden. + + + + NTP unter &os; einrichten + + + NTP + Konfiguration + + + + NTP aktivieren + + ntpdate + + Wenn Sie Ihre Uhrzeit nur beim Systemstart + synchronisieren wollen, können Sie &man.ntpdate.8; + verwenden. Für Desktoprechner, die regelmäßig + neu gestartet werden und keine ständige Synchronisation + benötigen, ist dies akzeptabel. In allen anderen + Fällen sollten Sie jedoch &man.ntpd.8; verwenden. + + Die Ausführung von &man.ntpdate.8; während des + Systemstarts ist aber auch für Rechner, die &man.ntpd.8; + verwenden, sinnvoll. &man.ntpd.8; passt die Systemzeit nur + bei größeren Abweichungen an, während + &man.ntpdate.8; die Zeit immer synchronisiert, egal wie + groß die Differenz zwischen Systemzeit und korrekter + Zeit ist. + + Um &man.ntpdate.8; beim Systemstart zu aktivieren, + fügen Sie den Eintrag + ntpdate_enable="YES" in + /etc/rc.conf ein. Außerdem müssen + Sie alle Server, mit denen Sie sich synchronisieren wollen, + sowie alle an &man.ntpdate.8; zu übergebenden Optionen + in den ntpdate_flags angeben. + + + + + NTP + ntp.conf + + + NTP einrichten + + Die Konfiguration von NTP erfolgt über die Datei + /etc/ntp.conf, und wird in der + Hilfeseite &man.ntp.conf.5; beschrieben. Dazu ein + einfaches Beispiel: + + server ntplocal.example.com prefer +server timeserver.example.org +server ntp2a.example.net + +driftfile /var/db/ntp.drift + + Die Option server legt die zu + verwendenden Server fest, wobei jeder Server in einer eigenen + Zeile steht. Wenn ein Server mit der Option + prefer versehen ist, wie dies hier bei + ntplocal.example.com der Fall + ist, wird dieser Server bevorzugt verwendet. Eine Antwort von + einem bevorzugten Server wird nur dann verworfen, wenn sie + signifikant von denen anderer Server abweicht, ansonsten wird + sie ohne Abfrage weiterer Server verwendet. Die Option + prefer wird gewöhnlich nur für + sehr zuverlässige und genaue Server verwendet, die + über spezielle Hardware zur Zeitüberwachung + verfügen. + + Die Option driftfile legt fest, in + welcher Datei die Abweichungen der Systemuhr protokolliert + werden. &man.ntpd.8; verwendet diese Datei, um die Systemzeit + automatisch anzupassen, selbst wenn kurzzeitig kein NTP-Server + zur Synchronisation verfügbar ist. + + Weiterhin legt die Option driftfile fest, + wo Informationen über frühere Antworten des von + Ihnen verwendeten NTP-Servers gespeichert werden sollen. + Diese Datei enthält NTP-interne Informationen, sie sollte + daher von anderen Prozessen nicht verändert werden. + + + + Den Zugang zu Ihrem NTP-Server beschränken + + In der Voreinstellung ist Ihr NTP-Server für alle + Rechner im Internet erreichbar. Über die Option + restrict in der Datei + /etc/ntp.conf können Sie den + Zugang zu Ihrem Server beschränken. + + Wenn Sie alle Rechner vom Zugriff auf Ihren NTP-Server + ausschließen wollen, fügen Sie folgende Zeile in + /etc/ntp.conf ein: + + restrict default ignore + + Wenn Sie nur Rechnern Ihres eigenen Netzwerks die + Synchronisation mit Ihrem NTP-Server erlauben, gleichzeitig + aber verhindern wollen, dass diese den NTP-Server + konfigurieren oder als Server für andere Rechner dienen + können, fügen Sie folgende Zeile ein: + + restrict 192.168.1.0 mask 255.255.255.0 notrust nomodify notrap + + Bei 192.168.1.0 handelt es + sich um einen Rechner Ihres Netzwerks. + 255.255.255.0 ist die + Netzmaske Ihres Netzwerks. + + /etc/ntp.conf kann verschiedene + restrict-Optionen enthalten. + Weiteres erfahren Sie im Abschnitt + Access Control Support der + Hilfeseite &man.ntp.conf.5;. + + + + + Den NTP-Server starten + + Damit der NTP-Server beim Systemstart automatisch gestartet + wird, fügen Sie den Eintrag + xntpd_enable="YES" in + /etc/rc.conf ein. Wenn Sie weitere + Argumente an &man.ntpd.8; übergeben wollen, passen Sie + die Option xntpd_flags in der Datei + /etc/rc.conf entsprechend an. + + Um den NTP-Server ohne einen Systemneustart zu starten, + rufen Sie ntpd mit den unter + xntpd_flags in + /etc/rc.conf festgelegten Parametern auf. + Hierzu ein Beispiel: + + &prompt.root; ntpd -p /var/run/ntpd.pid + + Unter &os; 5.X wurden verschiedene Optionen in + /etc/rc.conf umbenannt. Daher + müssen Sie alle Vorkommen von xntpd + durch ntpd ersetzen. + + + + ntpd mit einer Einwahlverbindung verwenden + + &man.ntpd.8; benötigt keine ständige + Internetverbindung. Wenn Sie sich ins Internet einwählen, + ist es sinnvoll, zu verhindern, dass NTP-Verkehr eine Verbindung + aufbauen oder aufrechterhalten kann. Wenn Sie user-PPP + verwenden, können Sie dies in den + filter-Direktiven von + /etc/ppp/ppp.conf festlegen. Sehen Sie + sich dazu das folgende Beispiel ein: + + set filter dial 0 deny udp src eq 123 +# Prevent NTP traffic from initiating dial out +set filter dial 1 permit 0 0 +set filter alive 0 deny udp src eq 123 +# Prevent incoming NTP traffic from keeping the connection open +set filter alive 1 deny udp dst eq 123 +# Prevent outgoing NTP traffic from keeping the connection open +set filter alive 2 permit 0/0 0/0 + + Weitere Informationen finden Sie im Abschnitt + PACKET FILTERING von &man.ppp.8; sowie in den + Beispielen unter /usr/share/examples/ppp/. + + Einige Internetprovider blockieren Ports mit niedrigen + Nummern. In solchen Fällen funktioniert NTP leider + nicht, da Antworten eines NTP-Servers Ihren Rechner nicht + erreichen werden. + + + + Weitere Informationen + + Weiterführende Dokumentation (im HTML-Format) + zum NTP-Server finden Sie unter + /usr/share/doc/ntp/. + + + + + + + + Chern + Lee + Beigetragen von + + + + + Der <application>inetd</application> + <quote>Super-Server</quote> + + + Überblick + + &man.inetd.8; wird auch als Internet + Super-Server bezeichnet, weil er Verbindungen für + mehrere Daemonen verwaltet. Daemonen sind Programme, die + Netzwerkdienste anbieten, inetd + dient also als Verwaltungsserver für andere Daemonen. + Wenn eine Verbindung eintrifft, bestimmt + inetd, welcher Daemon dafür + zuständig ist, aktiviert den Daemon und gibt die + Verbindung an ihn weiter. Durch die Nutzung einer einzigen + Instanz des inetd-Daemons an Stelle + viele einzelner Daemonen lässt sich die Systemlast + verringern. + + inetd wird vor allem dazu + verwendet, andere Daemonen zu aktivieren, einige Protokolle + werden aber auch direkt verwaltet. Dazu gehören + chargen, + auth, sowie + daytime. + + Dieser Abschnitt beschreibt die Konfiguration von + inetd durch Kommandozeilenoptionen + sowie die Konfigurationsdatei + /etc/inetd.conf. + + + + Einstellungen + + inetd wird durch + /etc/rc.conf initialisiert. Die Option + inetd_enable ist in der Voreinstellung auf + NO gesetzt, wird aber oft von + sysinstall aktiviert, wenn man das + mittlere Sicherheitsprofil auswählt. Die Verwendung von + inetd_enable="YES" oder + inetd_enable="NO" in + /etc/rc.conf deaktiviert oder startet + inetd beim Systemstart. + + Weitere Optionen können über die Option + inetd_flags an + inetd übergeben werden. + + + + Kommandozeilenoptionen + + inetd verwendet folgende + Syntax: + + + + + + -d + + + Debugging aktivieren. + + + + + -l + + + Die Protokollierung von erfolgreich aufgebauten + Verbindungen aktivieren. + + + + + -w + + + TCP-Wrapping für externe Dienste aktivieren + (Voreinstellung). + + + + + -W + + + TCP-Wrapping für interne, in + inetd eingebaute Dienste + aktivieren (Voreinstellung). + + + + + -c maximum + + + Legt die maximale Anzahl von parallen Aufrufen eines + Dienstes fest; in der Voreinstellung gibt es keine + Einschränkung. Diese Einstellung kann für jeden + Dienst durch Setzen des + -Parameters festgelegt werden. + + + + + -C rate + + + Legt fest, wie oft ein Dienst von einer einzelnen + IP-Adresse in einer Minute aufgerufen werden kann; in der + Voreinstellung gibt es keine Einschränkung. Dieser + Wert kann für jeden Dienst durch Setzen des + Parameters + + festgelegt werden. + + + + + -R rate + + + Legt fest, wie oft ein Dienst in der Minute aktiviert + werden kann; in der Voreinstellung sind dies 256 + Aktivierungen pro Minute. Ein Wert von 0 erlaubt + unbegrenzt viele Aktivierungen. + + + + + -a + + + Legt die IP-Adresse fest, an die ein Dienst gebunden + wird. Alternativ kann auch ein Rechnername angegeben + werden. In diesem Fall wird die IPv4- oder IPv6-Adresse + des Rechners verwendet. Ein Rechnername wird meist dann + festgelegt, wenn inetd + innerhalb eines &man.jail.8;s läuft. In diesem Fall + entspricht der Rechnername der &man.jail.8;-Umgebung. + + Wenn ein Rechnername angegeben wird, und sowohl IPv4 + als auch IPv6 benötigt werden, muss jedes Protokoll + durch einen Eintrag in + /etc/inetd.conf an jeden einzelnen + benötigten Dienst gebunden werden. Ein TCP-basierter + Dienst benötigt also zwei Einträge, einen + für tcp4, den anderen für + tcp6. + + + + + -p + + + Legt eine alternative Datei fest, in der Prozess-IDs + gespeichert werden sollen. + + + + + Diese Argumente können durch das Setzen der Option + inetd_flags in der Datei + /etc/rc.conf an + inetd übergeben werden. In der + Voreinstellung hat inetd_flags den Wert + -wW. TCP-Wrapping ist also für interne + und externe Dienste von inetd + aktiviert. Im Normalfall müssen diese Parameter weder + geändert noch in /etc/rc.conf + eingetragen werden. + + + Ein externer Dienst ist ein Daemon ausserhalb von + inetd, der nur aktiviert wird, wenn + eine Verbindung für ihn ankommt. Ein interner Dienst + wird hingegen von inetd selbst + bereitgestellt. + + + + + <filename>inetd.conf</filename> + + Die Konfiguration von inetd + erfolgt über die Datei + /etc/inetd.conf. + + Wenn /etc/inetd.conf geändert + wird, kann inetd durch Senden eines + HangUP-Signals an den inetd-Prozess + veranlasst werden, seine Konfigurationsdatei neu einzulesen. + + + + Ein HangUP-Signal an <application>inetd</application> + senden + + &prompt.root; kill -HUP `cat /var/run/inetd.pid` + + + Jede Zeile der Konfigurationsdatei beschreibt jeweils einen + Daemon. Kommentare beginnen mit einem #. + /etc/inetd.conf hat folgenden Aufbau: + + + service-name +socket-type +protocol +{wait|nowait}[/max-child[/max-connections-per-ip-per-minute]] +user[:group][/login-class] +server-program +server-program-arguments + + Ein Eintrag für den IPv4 verwendenden + ftpd-Daemon könnte so + aussehen: + + ftp stream tcp nowait root /usr/libexec/ftpd ftpd -l + + + + service-name + + + Der Dienstname eines bestimmten Daemons. Er muss + einem in /etc/services aufgelisteten + Dienst entsprechen. In dieser Datei wird festgelegt, + welchen Port inetd abhören + muss. Wenn ein neuer Dienst erzeugt wird, muss er zuerst + in die Datei /etc/services + eingetragen werden. + + + + + socket-type + + + Entweder stream, + dgram, raw, oder + seqpacket. stream + muss für verbindungsorientierte TCP-Daemonen + verwendet werden, während dgram + das UDP-Protokoll verwaltet. + + + + + protocol + + + Eines der folgenden: + + + + + + Protokoll + + Bedeutung + + + + + + tcp, tcp4 + + TCP (IPv4) + + + udp, udp4 + + UDP (IPv4) + + + tcp6 + + TCP (IPv6) + + + udp6 + + UDP (IPv6) + + + tcp46 + + TCP sowohl unter IPv4 als auch unter IPv6 + + + udp46 + + UDP sowohl unter IPv4 als auch unter IPv6 + + + + + + + + + {wait|nowait}[/max-child[/max-connections-per-ip-per-minute]] + + + gibt an, ob der von + inetd aktivierte Daemon seinen + eigenen Socket verwalten kann oder nicht. + -Sockets müssen die Option + verwenden, während Daemonen mit + Stream-Sockets, die normalerweise auch aus mehreren + Threads bestehen, die Option + verwenden sollten. Die Option + gibt in der Regel mehrere Sockets an einen einzelnen + Daemon weiter, während + für jeden neuen Socket einen Childdaemon erzeugt. + + Die maximale Anzahl an Childdaemonen, die + inetd erzeugen kann, wird durch + die Option festgelegt. Wenn + ein bestimmter Daemon 10 Instanzen benötigt, sollte + der Wert /10 hinter die Option + gesetzt werden. + + Zusätzlich zu kann + die maximale Anzahl von Verbindungen eines Rechners mit + einem bestimmten Daemon durch die Option + + beschränkt werden. Ein Wert von zehn würde + die maximale Anzahl von Verbindungsversuchen einer + IP-Adresse mit einem bestimmten Dienst auf zehn Versuche + in der Minute beschränken. Dadurch lassen sich ein + absichtlicher oder unabsichtlicher Ressourcenverbrauch + sowie die Auswirkungen eines + Denial of Service (DoS)-Angriffs auf + einen Rechner begrenzen. + + oder + sind in diesem Fall obligatorisch. + und + sind + hingegen optional. + + Ein multithread-Daemon vom Streamtyp ohne die Optionen + oder + sieht + so aus: nowait + + Der gleiche Daemon mit einer maximal möglichen + Anzahl von 10 parallelen Daemonen würde so aussehen: + nowait/10 + + Wird zusätzlich die Anzahl der möglichen + Verbindungen pro Minute für jede IP-Adresse auf + 20 sowie die mögliche Gesamtzahl von Childdaemonen + auf 10 begrenzt, so sieht der Eintrag so aus: + nowait/10/20 + + All diese Optionen werden vom + fingerd-Daemon bereits in der + Voreinstellung verwendet: + + finger stream tcp nowait/3/10 nobody /usr/libexec/fingerd fingerd -s + + + + + user + + + Der Benutzername, unter dem der jeweilige Daemon + laufen soll. Meistens laufen Daemonen als User + root. Aus Sicherheitsgründen + laufen einige Server aber auch als User + daemon, oder als am wenigsten + privilegierter User nobody. + + + + + server-program + + + Der vollständige Pfad des Daemons, der eine + Verbindung entgegennimmt. Wird der Daemon von + inetd intern bereitgestellt, + sollte die Option verwendet + werden. + + + + + server-program-arguments + + + Dieser Eintrag legt (gemeinsam mit + und beginnend mit + argv[0]), die Argumente fest, die bei + der Aktivierung an den Daemon übergeben werden. + Wenn die Anweisung auf der Kommandozeile also + mydaemon -d lautet, wäre + mydaemon -d auch der Wert der Option + . Wenn es sich + beim Daemon um einen internen Dienst handelt, sollte + wiederum die Option verwendet + werden. + + + + + + + Sicherheit + + Abhängig von dem bei der Installation ausgewählten + Sicherheitsprofil werden viele der von + inetd verwalteten Daemonen automatisch + aktiviert! Wenn Sie einen bestimmten Daemon nicht + benötigen, deaktivieren Sie ihn! Dazu kommentieren Sie den + jeweiligen Daemon mit einem # aus, und senden ein + Hangup-Signal (HUP) an + inetd. Einige Daemonen, zum Beispiel + fingerd, sollten generell deaktiviert + werden, da sie einen potentiellen Angreifer mit zu viel + Informationen versorgen. + + Einige Daemonen haben unsichere Einstellungen, etwa + große oder nichtexistierende Timeouts für + Verbindungsversuche, die es einem Angreifer erlauben, über + lange Zeit langsam Verbindungen zu einem bestimmten Daemon + aufzubauen, um dessen verfügbare Ressourcen zu verbrauchen. + Es ist daher eine gute Idee, diese Daemonen durch die Optionen + und + zu beschränken. + + TCP-Wrapping ist in der Voreinstellung aktiviert. Lesen Sie + &man.hosts.access.5;, wenn Sie weitere Informationen zum + Setzen von TCP-Beschränkungen für verschiedene von + inetd aktivierte Daemonen + benötigen. + + + + Verschiedenes + + Bei daytime, + time, + echo, + discard, + chargen, und + auth handelt es sich um intern + von inetd bereitgestellte Dienste. + + + Der auth-Dienst bietet + Identifizierungsdienste (ident, + identd) über das Netzwerk + an und ist bis zu einem bestimmten Grad konfigurierbar. + + Eine ausführliche Beschreibung finden Sie in + &man.inetd.8;. + + + + + diff --git a/de_DE.ISO8859-1/books/handbook/pgpkeys/chapter.sgml b/de_DE.ISO8859-1/books/handbook/pgpkeys/chapter.sgml index 6d77917acc..2d5661fd74 100644 --- a/de_DE.ISO8859-1/books/handbook/pgpkeys/chapter.sgml +++ b/de_DE.ISO8859-1/books/handbook/pgpkeys/chapter.sgml @@ -3,8 +3,8 @@ The FreeBSD German Documentation Project $FreeBSD$ - $FreeBSDde: de-docproj/books/handbook/pgpkeys/chapter.sgml,v 1.25 2004/06/06 18:27:47 mheinen Exp $ - basiert auf: 1.226 + $FreeBSDde: de-docproj/books/handbook/pgpkeys/chapter.sgml,v 1.26 2004/07/28 21:13:02 jkois Exp $ + basiert auf: 1.227 --> @@ -16,7 +16,7 @@ E-Mail an einen Ansprechpartner oder einen Entwickler schicken wollen. Den vollständigen Schlüsselring der Benutzer von FreeBSD.org finden Sie unter - http://www.FreeBSD.org/doc/pgpkeyring.txt. + http://www.FreeBSD.org/doc/pgpkeyring.txt. Ansprechpartner diff --git a/de_DE.ISO8859-1/books/handbook/ports/chapter.sgml b/de_DE.ISO8859-1/books/handbook/ports/chapter.sgml index a643980bd0..3c7a27357a 100644 --- a/de_DE.ISO8859-1/books/handbook/ports/chapter.sgml +++ b/de_DE.ISO8859-1/books/handbook/ports/chapter.sgml @@ -3,8 +3,8 @@ The FreeBSD German Documentation Project $FreeBSD$ - $FreeBSDde: de-docproj/books/handbook/ports/chapter.sgml,v 1.60 2004/06/06 15:06:38 mheinen Exp $ - basiert auf: 1.218 + $FreeBSDde: de-docproj/books/handbook/ports/chapter.sgml,v 1.62 2004/07/28 21:10:57 jkois Exp $ + basiert auf: 1.219 --> @@ -261,7 +261,7 @@ Eine aktuelle Liste verfügbarer Anwendungen, die sich auch durchsuchen lässt, finden Sie unter http://www.FreeBSD.org/ports/. + url="&url.base;/ports/index.html">http://www.FreeBSD.org/ports/. Die Anwendungen sind in Kategorien unterteilt und Sie können sich alle Anwendungen einer Kategorie anzeigen lassen. Wenn Sie den Namen der Anwendung kennen, können @@ -420,7 +420,7 @@ docbook = ... Die Symbole in der zweiten Spalte zeigen das Alter des Pakets - im Vergleich zu der lokalen Version aus der Ports-Sammlung an. + im Vergleich zu der lokalen Version aus der Ports-Sammlung an. @@ -692,7 +692,7 @@ docbook = pkg-message, die vom Portsystem benutzt werden, um spezielle Situationen zu handhaben. Wenn Sie mehr über diese Dateien oder das Port-System erfahren sollen, lesen - Sie bitte im FreeBSD + Sie bitte im FreeBSD FreeBSD Porter's Handbook weiter. Nun haben Sie genug Hintergrund Informationen über @@ -703,7 +703,7 @@ docbook = Bevor Sie damit beginnen, müssen Sie sich natürlich einen Port zum Installieren aussuchen. Sie können dazu mehrere Wege gehen, als einfachste Methode gibt es die - Liste aller Ports auf + Liste aller Ports auf dem FreeBSD-Web-Server. Sie können dort suchen oder in der Liste schmökern. Jeder Port enthält außerdem eine Beschreibung, so dass Sie sich vor der @@ -1302,7 +1302,7 @@ ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/distfiles/ fetch Reparieren Sie ihn! Das FreeBSD + url="&url.base;/doc/en_US.ISO8859-1/books/porters-handbook/index.html">FreeBSD Porter's Handbook enthält eine detaillierte Beschreibung des Portsystems. Damit sind Sie in der Lage, einen gelegentlich kaputten Port zu reparieren oder einen diff --git a/de_DE.ISO8859-1/books/handbook/ppp-and-slip/chapter.sgml b/de_DE.ISO8859-1/books/handbook/ppp-and-slip/chapter.sgml index 152f29cfe4..a118c28eb9 100644 --- a/de_DE.ISO8859-1/books/handbook/ppp-and-slip/chapter.sgml +++ b/de_DE.ISO8859-1/books/handbook/ppp-and-slip/chapter.sgml @@ -3,8 +3,8 @@ The FreeBSD German Documentation Project $FreeBSD$ - $FreeBSDde: de-docproj/books/handbook/ppp-and-slip/chapter.sgml,v 1.54 2004/06/13 23:19:20 mheinen Exp $ - basiert auf: 1.137 + $FreeBSDde: de-docproj/books/handbook/ppp-and-slip/chapter.sgml,v 1.55 2004/07/28 21:45:58 jkois Exp $ + basiert auf: 1.138 --> @@ -2999,7 +2999,7 @@ water.CS.Example localhost.Example. UGH 34 47641234 lo0 - 0.438 sehen Sie sich bitte das Tutorium zur Konfiguration von Einwähldiensten an. Wenn Sie einen WWW-Browser zur Verfügung haben, schauen Sie in der Liste der Tutorien unter - http://www.FreeBSD.org/ + http://www.FreeBSD.org/ nach. Sie können auch die Manual-Seiten &man.sio.4; für Informationen zum Gerätetreiber der seriellen Schnittstelle &man.ttys.5;, &man.gettytab.5;, &man.getty.8;, diff --git a/de_DE.ISO8859-1/books/handbook/preface/preface.sgml b/de_DE.ISO8859-1/books/handbook/preface/preface.sgml index 6e0445070c..9d9850b274 100644 --- a/de_DE.ISO8859-1/books/handbook/preface/preface.sgml +++ b/de_DE.ISO8859-1/books/handbook/preface/preface.sgml @@ -3,8 +3,8 @@ The FreeBSD German Documentation Project $FreeBSD$ - $FreeBSDde: de-docproj/books/handbook/preface/preface.sgml,v 1.14 2004/03/14 17:10:23 mheinen Exp $ - basiert auf: 1.19 + $FreeBSDde: de-docproj/books/handbook/preface/preface.sgml,v 1.16 2004/08/01 10:36:32 mheinen Exp $ + basiert auf: 1.21 --> @@ -337,15 +337,28 @@ + + , + Netzwerkserver + + Bietet ausführliche Informationen und + Beispielkonfigurationen, die es Ihnen ermöglichen, + Ihren FreeBSD-Rechner als + Network File System Server, + Domain Name Server, + Network Information Server, + oder als Zeitsynchronisationsserver einzurichten. + + + , Weiterführende Netzwerkthemen - Behandelt viele Netz-Themen zum Beispiel wie eine - Internet-Verbindung anderen Rechnern im LAN zugänglich - gemacht wird, wie Dateisysteme über das Netz genutzt werden, - wie Account-Informationen mit NIS zugänglich gemacht werden - oder wie ein Nameserver eingerichtet wird. + Behandelt viele Netzwerkthemen, beispielsweise das + Verfügbarmachen einer Internetverbindung für andere + Rechner eines LANs, Routing, drahtlose Netzwerke, Bluetooth, + IPv6, ATM und andere mehr. diff --git a/de_DE.ISO8859-1/books/handbook/security/chapter.sgml b/de_DE.ISO8859-1/books/handbook/security/chapter.sgml index 5108def629..991b7d4f2b 100644 --- a/de_DE.ISO8859-1/books/handbook/security/chapter.sgml +++ b/de_DE.ISO8859-1/books/handbook/security/chapter.sgml @@ -3,7 +3,7 @@ The FreeBSD German Documentation Project $FreeBSD$ - $FreeBSDde: de-docproj/books/handbook/security/chapter.sgml,v 1.95 2004/06/27 21:05:26 mheinen Exp $ + $FreeBSDde: de-docproj/books/handbook/security/chapter.sgml,v 1.96 2004/07/07 23:07:09 mheinen Exp $ basiert auf: 1.206 --> @@ -466,6 +466,7 @@ Sie können auch festlegen, dass ein Benutzer nach einer bestimmten Zeit, z.B. nach einem Monat, das Passwort wechseln muss. + Absichern von unter <username>root</username> laufenden @@ -875,7 +876,7 @@ <para><application>Syslogd</application> kann direkt angegriffen werden. Daher empfehlen wir Ihnen unbedingt die Option <option>-s</option> zu benutzen. Sollte das nicht möglich - sein, benutzen Sie bitte <option>-a</option>. + sein, benutzen Sie bitte <option>-a</option>.</para> <para>Vorsicht ist auch mit Diensten geboten, die automatisch eine Rückverbindung eröffnen, wie der @@ -1534,7 +1535,7 @@ permit port ttyd0</programlisting> jederzeit System-Passwörter zu verwenden. Dies sollte allerdings nur für Benutzer konfiguriert werden, die das <command>key</command> Programm nicht benutzen können (Leute - mit <quote>dumb</quote> Terminals oder wirklich uneinsichtige). + mit <quote>dumb</quote> Terminals oder wirklich uneinsichtige).</para> <para>Die dritte Zeile (<literal>permit port</literal>) erlaubt allen Benutzern, die sich an dem angegebenen Terminal anmelden, @@ -3307,7 +3308,7 @@ jdoe@example.org</screen> <term>icmp</term> <listitem> - <para>Passt auf jedes ICMP-Paket.<para> + <para>Passt auf jedes ICMP-Paket.</para> </listitem> </varlistentry> @@ -5560,7 +5561,7 @@ user@unfirewalled-system.example.org's password: <userinput>*******</userinput>< <sect2 id="mac-policy-seeotheruids"> <title>See Other Uids (mac_seeotheruids) - Richtlinie + Richtlinie See Other Uids Hersteller: TrustedBSD Project @@ -5928,6 +5929,7 @@ VII. References Das Feld Correction Details enthält die CVS-Tags der betroffenen Dateien zusammen mit zugehörigen Revisionsnummern. + Im Feld References finden sich diff --git a/de_DE.ISO8859-1/books/handbook/serialcomms/chapter.sgml b/de_DE.ISO8859-1/books/handbook/serialcomms/chapter.sgml index c280cd05f9..ccaad55b08 100644 --- a/de_DE.ISO8859-1/books/handbook/serialcomms/chapter.sgml +++ b/de_DE.ISO8859-1/books/handbook/serialcomms/chapter.sgml @@ -3,7 +3,7 @@ The FreeBSD German Documentation Project $FreeBSD$ - $FreeBSDde: de-docproj/books/handbook/serialcomms/chapter.sgml,v 1.49 2004/06/06 18:25:46 mheinen Exp $ + $FreeBSDde: de-docproj/books/handbook/serialcomms/chapter.sgml,v 1.51 2004/07/28 21:19:14 jkois Exp $ basiert auf: 1.88 --> @@ -1154,7 +1154,7 @@ ttyd5 "/usr/libexec/getty std.19200" vt100 on insecure der Verbindung nicht kennt. Damit können bildschirmorientierte Programme wie Emacs ihren Bildschirmaufbau nicht an langsame Verbindungen anpassen, - um die Antwortzeiten zu verbessern. + um die Antwortzeiten zu verbessern. Die andere Möglichkeit besteht darin, die Geschwindigkeit der RS-232 Schnittstelle des lokalen Modems an die Geschwindigkeit @@ -2226,7 +2226,7 @@ raisechar=^^ wollen. Der Zweck dieser Option ist es, dieses Gerät für das Remote-Debuggen zu reservieren. Das + url="&url.base;/doc/en_US.ISO8859-1/books/developers-handbook/index.html"> FreeBSD Developers' Handbook enthält dazu weitere Informationen. @@ -2465,7 +2465,7 @@ boot: - keine + keine interne interne interne diff --git a/de_DE.ISO8859-1/share/sgml/l10n.ent b/de_DE.ISO8859-1/share/sgml/l10n.ent index d0854ef2b3..92b593916d 100644 --- a/de_DE.ISO8859-1/share/sgml/l10n.ent +++ b/de_DE.ISO8859-1/share/sgml/l10n.ent @@ -2,10 +2,13 @@ DocBook Language Specific Entities for Localization (en). $FreeBSD$ - $FreeBSDde: de-docproj/share/sgml/l10n.ent,v 1.1 2003/04/23 22:35:56 mheinen Exp $ - basiert auf: 1.1 + $FreeBSDde: de-docproj/share/sgml/l10n.ent,v 1.2 2004/08/01 11:07:59 mheinen Exp $ + basiert auf: 1.2 --> + + +