os/doc
3
0
Fork 0
Code Issues Pull requests Projects Releases Wiki Activity
doc/de_DE.ISO8859-1/books/handbook/network-servers/chapter.sgml
Johann Kois 06c4847dc5 MFbed: Update the German documentation set. 
books/faq/book.sgml                             1.780 -> 1.781
books/handbook/Makefile                         1.98  -> 1.100
books/handbook/book.sgml                        1.164 -> 1.166
books/handbook/chapters.ent                     1.33  -> 1.35
books/handbook/firewalls/chapter.sgml           1.66  -> 1.67
books/handbook/mirrors/chapter.sgml             1.416 -> 1.418
books/handbook/network-servers/chapter.sgml     1.79  -> 1.81
books/handbook/preface/preface.sgml             1.30  -> 1.32
flyer/Makefile                                  1.1   -> 1.2
flyer/flyer.tex                                 1.10  -> 1.13

Obtained from:  The FreeBSD German Documentation Project.
2006-05-20 17:47:39 +00:00

5660 lines
222 KiB
Text
Raw Blame History

<!--
The FreeBSD Documentation Project
The FreeBSD German Documentation Project
$FreeBSD$
$FreeBSDde: de-docproj/books/handbook/network-servers/chapter.sgml,v 1.57 2006/05/13 18:19:38 jkois Exp $
basiert auf: 1.81
-->
<chapter id="network-servers">
<chapterinfo>
<authorgroup>
<author>
<firstname>Murray</firstname>
<surname>Stokely</surname>
<contrib>&Uuml;berarbeitet von </contrib>
</author>
</authorgroup>
<!-- 23 July 2004 -->
<authorgroup>
<author>
<firstname>Johann</firstname>
<surname>Kois</surname>
<contrib>&Uuml;bersetzt von </contrib>
</author>
</authorgroup>
</chapterinfo>
<title>Netzwerkserver</title>
<sect1 id="network-servers-synopsis">
<title>&Uuml;bersicht</title>
<para>Dieses Kapitel beschreibt einige der h&auml;ufiger verwendeten
Netzwerkdienste auf &unix;-Systemen. Beschrieben werden
Installation und Konfiguration sowie Test und Wartung
verschiedener Netzwerkdienste. Zus&auml;tzlich sind im ganzen
Kapitel Beispielkonfigurationsdateien vorhanden, von denen Sie
sicherlich profitieren werden.</para>
<para>Nachdem Sie dieses Kapitel gelesen haben, werden Sie</para>
<itemizedlist>
<listitem>
<para>Den <application>inetd</application>-Daemon konfigurieren
k&ouml;nnen.</para>
</listitem>
<listitem>
<para>Wissen, wie man ein Netzwerkdateisystem einrichtet.</para>
</listitem>
<listitem>
<para>Einen <foreignphrase>Network Information
Server</foreignphrase> einrichten k&ouml;nnen, um damit
Benutzerkonten im Netzwerk zu verteilen.</para>
</listitem>
<listitem>
<para>Rechner durch Nutzung von DHCP automatisch f&uuml;r ein
Netzwerk konfigurieren k&ouml;nnen.</para>
</listitem>
<listitem>
<para>In der Lage sein, einen <foreignphrase>Domain Name
Server</foreignphrase> einzurichten.</para>
</listitem>
<listitem>
<para>Den <application>Apache</application> HTTP-Server
konfigurieren k&ouml;nnen.</para>
</listitem>
<listitem>
<para>Wissen, wie man einen <foreignphrase>File Transfer
Protocol</foreignphrase> (FTP)-Server einrichtet.</para>
</listitem>
<listitem>
<para>Mit <application>Samba</application> einen Datei- und
Druckserver f&uuml;r &windows;-Clients konfigurieren
k&ouml;nnen.</para>
</listitem>
<listitem>
<para>Unter Nutzung des NTP-Protokolls Datum und Uhrzeit
synchronisieren sowie einen Zeitserver installieren
k&ouml;nnen.</para>
</listitem>
</itemizedlist>
<para>Bevor Sie dieses Kapitel lesen, sollten Sie</para>
<itemizedlist>
<listitem>
<para>Die Grundlagen der <filename>/etc/rc</filename>-Skripte
verstanden haben.</para>
</listitem>
<listitem>
<para>Mit der grundlegenden Netzwerkterminologie vertraut sein.</para>
</listitem>
<listitem>
<para>Wissen, wie man zus&auml;tzliche Softwarepakete von
Drittherstellern installiert (<xref linkend="ports">).</para>
</listitem>
</itemizedlist>
</sect1>
<sect1 id="network-inetd">
<sect1info>
<authorgroup>
<author>
<firstname>Chern</firstname>
<surname>Lee</surname>
<contrib>Beigetragen von </contrib>
</author>
</authorgroup>
<authorgroup>
<author>
<contrib>Aktualisiert f&uuml;r &os;&nbsp;6.1-RELEASE vom </contrib>
<othername>&os;&nbsp;Documentation Project</othername>
</author>
</authorgroup>
</sect1info>
<title>Der <application>inetd</application>
<quote>Super-Server</quote></title>
<sect2 id="network-inetd-overview">
<title>&Uuml;berblick</title>
<para>&man.inetd.8; wird manchmal auch als <quote>Internet
Super-Server</quote> bezeichnet, weil er Verbindungen f&uuml;r
mehrere Dienste verwaltet. Wenn eine Verbindung eintrifft,
bestimmt <application>inetd</application>, welches Programm
f&uuml;r die eingetroffene Verbindung zust&auml;ndig ist,
aktiviert den entsprechenden Prozess und reicht den Socket an
ihn weiter (der Socket dient dabei als Standardein- und -ausgabe
sowie zur Fehlerbehandlung). Der Einsatz des
<application>inetd</application>-Daemons an Stelle
viele einzelner Daemonen kann auf nicht komplett ausgelasteten
Servern zu einer Verringerung der Systemlast f&uuml;hren.</para>
<para><application>inetd</application> wird vor allem dazu
verwendet, andere Daemonen zu aktivieren, einige Protokolle
werden aber auch direkt verwaltet. Dazu geh&ouml;ren
<application>chargen</application>,
<application>auth</application>, sowie
<application>daytime</application>.</para>
<para>Dieser Abschnitt beschreibt die Konfiguration von
<application>inetd</application> durch Kommandozeilenoptionen
sowie die Konfigurationsdatei
<filename>/etc/inetd.conf</filename>.</para>
</sect2>
<sect2 id="network-inetd-settings">
<title>Einstellungen</title>
<para><application>inetd</application> wird durch das
&man.rc.8;-System initialisiert. Die Option
<literal>inetd_enable</literal> ist in der Voreinstellung zwar
auf <literal>NO</literal> gesetzt, sie kann aber in
Abh&auml;ngigkeit von der vom Benutzer bei der Installation
gew&auml;hlten Konfiguration von
<application>sysinstall</application> aktiviert werden.
Die Verwendung von
<programlisting>inetd_enable="YES"</programlisting> oder
<programlisting>inetd_enable="NO"</programlisting> in
<filename>/etc/rc.conf</filename> deaktiviert oder startet
<application>inetd</application> beim Systemstart. &Uuml;ber
den Befehl <programlisting>/etc/rc.d/inetd rcvar</programlisting>
k&ouml;nnen Sie die aktuelle Konfiguration abfragen.</para>
<para>Weitere Optionen k&ouml;nnen &uuml;ber die Option
<literal>inetd_flags</literal> an
<application>inetd</application> &uuml;bergeben werden.</para>
</sect2>
<sect2 id="network-inetd-cmdline">
<title>Kommandozeilenoptionen</title>
<para>Wie die meisten anderen Server-Daemonen l&auml;sst
sich auch <application>inetd</application> &uuml;ber
verschiedene Optionen steuern. Die vollst&auml;ndige Syntax
f&uuml;r <application>inetd</application> lautet:</para>
<para><command>inetd</command> <option>[-d] [-l] [-w] [-W] [-c maximum] [-C rate] [-a address | hostname]
[-p filename] [-R rate] [-s maximum] [configuration file]</option></para>
<para>Die verschiedenen Optionen k&ouml;nnen &uuml;ber die Option
<literal>inetd_flags</literal> der Datei
<filename>/etc/rc.conf</filename> an
<application>inetd</application> &uuml;bergeben werden. In
der Voreinstellung hat diese Option den Wert
<literal>-wW -C 60</literal>. Durch das Setzen dieser Werte
wird das TCP-Wrapping f&uuml;r alle
<application>inetd</application>-Dienste aktiviert.
Zus&auml;tzlich kann eine einzelne IP-Adresse jeden Dienst
nur maximal 60 Mal pro Minute anfordern.</para>
<para>F&uuml;r Einsteiger ist es erfreulich, dass diese Parameter
in der Regel nicht angepasst werden m&uuml;ssen. Da diese
Parameter aber dennoch von Interesse sein k&ouml;nnen
(beispielsweise, wenn Sie eine enorme Anzahl von
Verbindungsanfragen erhalten), werden einige dieser
einschr&auml;nkenden Parameter im Folgenden n&auml;her
erl&auml;utert. Eine vollst&auml;ndige Auflistung aller
Optionen finden Sie hingegen in &man.inetd.8;.</para>
<variablelist>
<varlistentry>
<term>-c maximum</term>
<listitem>
<para>Legt die maximale Anzahl von parallen Aufrufen eines
Dienstes fest; in der Voreinstellung gibt es keine
Einschr&auml;nkung. Diese Einstellung kann f&uuml;r jeden
Dienst durch Setzen des <option>max-child</option>
-Parameters festgelegt werden.</para>
</listitem>
</varlistentry>
<varlistentry>
<term>-C rate</term>
<listitem>
<para>Legt fest, wie oft ein Dienst von einer einzelnen
IP-Adresse in einer Minute aufgerufen werden kann; in der
Voreinstellung gibt es keine Einschr&auml;nkung. Dieser
Wert kann f&uuml;r jeden Dienst durch Setzen des
Parameters
<option>max-connections-per-ip-per-minute</option>
festgelegt werden.</para>
</listitem>
</varlistentry>
<varlistentry>
<term>-R rate</term>
<listitem>
<para>Legt fest, wie oft ein Dienst in der Minute aktiviert
werden kann; in der Voreinstellung sind dies 256
Aktivierungen pro Minute. Ein Wert von 0 erlaubt
unbegrenzt viele Aktivierungen.</para>
</listitem>
</varlistentry>
<varlistentry>
<term>-s maximum</term>
<listitem>
<para>Legt fest, wie oft ein Dienst in der Minute von einer
einzelnen IP-Adresse aus aktiviert werden kann; in der
Voreinstellung gibt es hier keine Beschr&auml;nkung. Diese
Einstellung kann f&uuml;r jeden Dienst durch die Angabe
<option>max-child-per-ip</option> angepasst werden.</para>
</listitem>
</varlistentry>
</variablelist>
</sect2>
<sect2 id="network-inetd-conf">
<!-- XXX Dieser Abschnitt ist etwas verwirrend und sollte mal &uuml;berarbeitet werden. -->
<title><filename>inetd.conf</filename></title>
<para>Die Konfiguration von <application>inetd</application>
erfolgt &uuml;ber die Datei
<filename>/etc/inetd.conf</filename>.</para>
<para>Wenn <filename>/etc/inetd.conf</filename> ge&auml;ndert
wird, kann <application>inetd</application> veranlasst werden,
seine Konfigurationsdatei neu einzulesen.</para>
<example id="network-inetd-reread">
<title>Die <application>inetd</application>-Konfiguration neu
einlesen</title>
<screen>&prompt.root; <userinput>/etc/rc.d/inetd reload</userinput></screen>
</example>
<para>Jede Zeile der Konfigurationsdatei beschreibt jeweils einen
Daemon. Kommentare beginnen mit einem <quote>#</quote>. Ein
Eintrag der Datei <filename>/etc/inetd.conf</filename> hat
folgenden Aufbau:</para>
<programlisting>service-name
socket-type
protocol
{wait|nowait}[/max-child[/max-connections-per-ip-per-minute[/max-child-per-ip]]]
user[:group][/login-class]
server-program
server-program-arguments</programlisting>
<para>Ein Eintrag f&uuml;r den IPv4 verwendenden
&man.ftpd.8;-Daemon k&ouml;nnte so aussehen:</para>
<programlisting>ftp stream tcp nowait root /usr/libexec/ftpd ftpd -l</programlisting>
<variablelist>
<varlistentry>
<term>service-name</term>
<listitem>
<para>Der Dienstname eines bestimmten Daemons. Er muss
einem in <filename>/etc/services</filename> aufgelisteten
Dienst entsprechen. In dieser Datei wird festgelegt,
welchen Port <application>inetd</application> abh&ouml;ren
muss. Wenn ein neuer Dienst erzeugt wird, muss er zuerst
in die Datei <filename>/etc/services</filename>
eingetragen werden.</para>
</listitem>
</varlistentry>
<varlistentry>
<term>socket-type</term>
<listitem>
<para>Entweder <literal>stream</literal>,
<literal>dgram</literal>, <literal>raw</literal>, oder
<literal>seqpacket</literal>. <literal>stream</literal>
muss f&uuml;r verbindungsorientierte TCP-Daemonen
verwendet werden, w&auml;hrend <literal>dgram</literal>
das <acronym>UDP</acronym>-Protokoll verwaltet.</para>
</listitem>
</varlistentry>
<varlistentry>
<term>protocol</term>
<listitem>
<para>Eines der folgenden:</para>
<informaltable frame="none" pgwide="1">
<tgroup cols="2">
<thead>
<row>
<entry>Protokoll</entry>
<entry>Bedeutung</entry>
</row>
</thead>
<tbody>
<row>
<entry>tcp, tcp4</entry>
<entry>TCP (IPv4)</entry>
</row>
<row>
<entry>udp, udp4</entry>
<entry>UDP (IPv4)</entry>
</row>
<row>
<entry>tcp6</entry>
<entry>TCP (IPv6)</entry>
</row>
<row>
<entry>udp6</entry>
<entry>UDP (IPv6)</entry>
</row>
<row>
<entry>tcp46</entry>
<entry>TCP sowohl unter IPv4 als auch unter IPv6</entry>
</row>
<row>
<entry>udp46</entry>
<entry>UDP sowohl unter IPv4 als auch unter IPv6</entry>
</row>
</tbody>
</tgroup>
</informaltable>
</listitem>
</varlistentry>
<varlistentry>
<term>{wait|nowait}[/max-child[/max-connections-per-ip-per-minute[/max-child-per-ip]]]</term>
<listitem>
<para><option>wait|nowait</option> gibt an, ob der von
<application>inetd</application> aktivierte Daemon seinen
eigenen Socket verwalten kann oder nicht.
<option>dgram</option>-Sockets m&uuml;ssen die Option
<option>wait</option> verwenden, w&auml;hrend Daemonen mit
Stream-Sockets, die normalerweise auch aus mehreren
Threads bestehen, die Option <option>nowait</option>
verwenden sollten. Die Option <option>wait</option>
gibt in der Regel mehrere Sockets an einen einzelnen
Daemon weiter, w&auml;hrend <option>nowait</option>
f&uuml;r jeden neuen Socket einen Childdaemon erzeugt.</para>
<para>Die maximale Anzahl an Child-Daemonen, die
<application>inetd</application> erzeugen kann, wird durch
die Option <option>max-child</option> festgelegt. Wenn
ein bestimmter Daemon 10 Instanzen ben&ouml;tigt, sollte
der Wert <literal>/10</literal> hinter die Option
<option>nowait</option> gesetzt werden. Geben Sie
hingegen den Wert <literal>/0</literal> an, gibt es
keine Beschr&auml;nkung.</para>
<para>Zus&auml;tzlich zu <option>max-child</option> kann
die maximale Anzahl von Verbindungen eines Rechners mit
einem bestimmten Daemon durch zwei weitere Optionen
beschr&auml;nkt werden. Die Option
<option>max-connections-per-ip-per-minute</option>
legt die maximale Anzahl von Verbindungsversuchen fest,
die von einer bestimmten IP-Adresse aus unternommen werden
k&ouml;nnen. Ein Wert von zehn w&uuml;rde die maximale
Anzahl von Verbindungsversuchen einer IP-Adresse mit einem
bestimmten Dienst auf zehn Versuche in der Minute
beschr&auml;nken. Durch die Angabe der Option
<option>max-child-per-ip</option> k&ouml;nnen Sie hingegen
festlegen, wieviele Child-Daemonen von einer bestimmten
IP-Adresse aus gestartet werden k&ouml;nnen. Durch diese
Optionen lassen sich ein absichtlicher oder unabsichtlicher
Ressourcenverbrauch sowie die Auswirkungen eines
<literal>Denial of Service (DoS)</literal>-Angriffs auf
einen Rechner begrenzen.</para>
<para>Sie m&uuml;ssen hier entweder <option>wait</option>
oder <option>nowait</option> angeben. Die Angabe von
<option>max-child</option>,
<option>max-connections-per-ip-per-minute</option> und
<option>max-child-per-ip</option> ist hingegen
optional.</para>
<para>Ein multithread-Daemon vom Streamtyp ohne die Optionen
<option>max-child</option>,
<option>max-connections-per-ip-per-minute</option> oder
<option>max-child-per-ip</option> sieht so aus:
<literal>nowait</literal></para>
<para>Der gleiche Daemon mit einer maximal m&ouml;glichen
Anzahl von 10 parallelen Daemonen w&uuml;rde so aussehen:
<literal>nowait/10</literal></para>
<para>Wird zus&auml;tzlich die Anzahl der m&ouml;glichen
Verbindungen pro Minute f&uuml;r jede IP-Adresse auf
20 sowie die m&ouml;gliche Gesamtzahl von Childdaemonen
auf 10 begrenzt, so sieht der Eintrag so aus:
<literal>nowait/10/20</literal></para>
<para>All diese Optionen werden vom
&man.fingerd.8;-Daemon bereits in der Voreinstellung
verwendet:</para>
<programlisting>finger stream tcp nowait/3/10 nobody /usr/libexec/fingerd fingerd -s</programlisting>
<para>Will man die maximale Anzahl von Child-Daemonen auf
100 beschr&auml;nken, wobei von jeder IP-Adresse aus
maximal 5 Child-Daemonen gestartet werden d&uuml;rfen,
verwendet man den folgenden Eintrag:
<literal>nowait/100/0/5</literal>.</para>
</listitem>
</varlistentry>
<varlistentry>
<term>user</term>
<listitem>
<para>Der Benutzername, unter dem der jeweilige Daemon
laufen soll. Meistens laufen Daemonen als User
<username>root</username>. Aus Sicherheitsgr&uuml;nden
laufen einige Server aber auch als User
<username>daemon</username>, oder als am wenigsten
privilegierter User <username>nobody</username>.</para>
</listitem>
</varlistentry>
<varlistentry>
<term>server-program</term>
<listitem>
<para>Der vollst&auml;ndige Pfad des Daemons, der eine
Verbindung entgegennimmt. Wird der Daemon von
<application>inetd</application> intern bereitgestellt,
sollte die Option <option>internal</option> verwendet
werden.</para>
</listitem>
</varlistentry>
<varlistentry>
<term>server-program-arguments</term>
<listitem>
<para>Dieser Eintrag legt (gemeinsam mit
<option>server-program</option> und beginnend mit
<literal>argv[0]</literal>), die Argumente fest, die bei
der Aktivierung an den Daemon &uuml;bergeben werden.
Wenn die Anweisung auf der Kommandozeile also
<command>mydaemon -d</command> lautet, w&auml;re
<literal>mydaemon -d</literal> auch der Wert der Option
<option>server program arguments</option>. Wenn es sich
beim Daemon um einen internen Dienst handelt, sollte
wiederum die Option <option>internal</option> verwendet
werden.</para>
</listitem>
</varlistentry>
</variablelist>
</sect2>
<sect2 id="network-inetd-security">
<title>Sicherheit</title>
<para>Abh&auml;ngig von der bei der Installation festgelegten
Konfiguration werden viele der von
<application>inetd</application> verwalteten Dienste automatisch
aktiviert! Wenn Sie einen bestimmten Daemon nicht
ben&ouml;tigen, sollten Sie ihn deaktivieren! Dazu kommentieren
Sie den jeweiligen Daemon in <filename>/etc/inetd.conf</filename>
mit einem <quote>#</quote> aus, um danach die
<link linkend="network-inetd-reread">inetd-Konfiguration neu
einzulesen</link>. Einige Daemonen, zum Beispiel
<application>fingerd</application>, sollten generell deaktiviert
werden, da sie zu viele Informationen an einen potentiellen
Angreifer liefern.</para>
<para>Einige Daemonen haben unsichere Einstellungen, etwa
gro&szlig;e oder nichtexistierende Timeouts f&uuml;r
Verbindungsversuche, die es einem Angreifer erlauben, &uuml;ber
lange Zeit langsam Verbindungen zu einem bestimmten Daemon
aufzubauen, um dessen verf&uuml;gbare Ressourcen zu verbrauchen.
Es ist daher eine gute Idee, diese Daemonen durch die Optionen
<option>max-connections-per-ip-per-minute</option>,
<option>max-child</option> sowie
<option>max-child-per-ip</option> zu beschr&auml;nken, wenn
Sie sehr viele Verbindungsversuche mit Ihrem System
registrieren.</para>
<para>TCP-Wrapping ist in der Voreinstellung aktiviert. Lesen Sie
&man.hosts.access.5;, wenn Sie weitere Informationen zum
Setzen von TCP-Beschr&auml;nkungen f&uuml;r verschiedene von
<application>inetd</application> aktivierte Daemonen
ben&ouml;tigen.</para>
</sect2>
<sect2 id="network-inetd-misc">
<title>Verschiedenes</title>
<para>Bei <application>daytime</application>,
<application>time</application>,
<application>echo</application>,
<application>discard</application>,
<application>chargen</application>, und
<application>auth</application> handelt es sich um intern
von <application>inetd</application> bereitgestellte Dienste.
</para>
<para>Der <application>auth</application>-Dienst bietet
Identifizierungsdienste &uuml;ber das Netzwerk
an und ist bis zu einem bestimmten Grad konfigurierbar,
w&auml;hrend die meisten anderen Dienste nur aktiviert
oder deaktiviert werden k&ouml;nnen.</para>
<para>Eine ausf&uuml;hrliche Beschreibung finden Sie in
&man.inetd.8;.</para>
</sect2>
</sect1>
<sect1 id="network-nfs">
<sect1info>
<authorgroup>
<author>
<firstname>Tom</firstname>
<surname>Rhodes</surname>
<contrib>Reorganisiert und erweitert von </contrib>
</author>
</authorgroup>
<authorgroup>
<author>
<firstname>Bill</firstname>
<surname>Swingle</surname>
<contrib>Geschrieben von </contrib>
</author>
</authorgroup>
</sect1info>
<title>NFS &ndash; Network File System</title>
<indexterm><primary>NFS</primary></indexterm>
<para>Eines der vielen von FreeBSD unterst&uuml;tzten Dateisysteme
ist das Netzwerkdateisystem, das auch als <acronym role="Network
File System">NFS</acronym>
bekannt ist. <acronym role="Network File System">NFS</acronym>
erm&ouml;glicht es einem System, Dateien und Verzeichnisse
&uuml;ber ein Netzwerk mit anderen zu teilen. &Uuml;ber
<acronym role="Network File System">NFS</acronym> k&ouml;nnen
Benutzer und Programme auf Daten entfernter Systeme zugreifen, und
zwar genauso, wie wenn es sich um lokale Daten handeln w&uuml;rde.
</para>
<para>Einige der wichtigsten Vorteile von <acronym>NFS</acronym>
sind:</para>
<itemizedlist>
<listitem>
<para>Lokale Arbeitsstationen ben&ouml;tigen weniger
Plattenplatz, da gemeinsam benutzte Daten nur auf einem
einzigen Rechner vorhanden sind. Alle anderen Stationen
greifen &uuml;ber das Netzwerk auf diese Daten zu.</para>
</listitem>
<listitem>
<para>Benutzer ben&ouml;tigen nur noch ein zentrales
Heimatverzeichnis auf einem <acronym>NFS</acronym>-Server.
Diese Verzeichnisse sind &uuml;ber das Netzwerk auf allen
Stationen verf&uuml;gbar.</para>
</listitem>
<listitem>
<para>Speicherger&auml;te wie Disketten-, CD-ROM- oder
&iomegazip;-Laufwerke k&ouml;nnen &uuml;ber das Netzwerk von
anderen Arbeitstationen genutzt werden. Dadurch sind f&uuml;r
das gesamte Netzwerk deutlich weniger Speicherger&auml;te
n&ouml;tig.</para>
</listitem>
</itemizedlist>
<sect2>
<title>Wie funktioniert <acronym>NFS</acronym>?</title>
<para><acronym>NFS</acronym> besteht aus zwei Hauptteilen: Einem
Server und einem oder mehreren Clients. Der Client greift
&uuml;ber das Netzwerk auf die Daten zu, die auf dem Server
gespeichert sind. Damit dies korrekt funktioniert, m&uuml;ssen
einige Prozesse konfiguriert und gestartet werden:</para>
<note>
<para>&os;&nbsp;4.X verwendet <application>portmap</application>
an Stelle von <application>rpcbind</application>. Benutzer
von &os;&nbsp;4.X m&uuml;ssen daher in den folgenden
Beispielen <application>rpcbind</application> durch
<application>portmap</application> ersetzen.</para>
</note>
<para>Der Server ben&ouml;tigt folgende Daemonen:</para>
<indexterm>
<primary>NFS</primary>
<secondary>Server</secondary>
</indexterm>
<indexterm>
<primary>Dateiserver</primary>
<secondary>Unix-Clients</secondary>
</indexterm>
<indexterm>
<primary><application>rpcbind</application></primary>
</indexterm>
<indexterm>
<primary><application>portmap</application></primary>
</indexterm>
<indexterm>
<primary><application>mountd</application></primary>
</indexterm>
<indexterm>
<primary><application>nfsd</application></primary>
</indexterm>
<informaltable frame="none" pgwide="1">
<tgroup cols="2">
<colspec colwidth="1*">
<colspec colwidth="3*">
<thead>
<row>
<entry>Daemon</entry>
<entry>Beschreibung</entry>
</row>
</thead>
<tbody>
<row>
<entry><application>nfsd</application></entry>
<entry>Der <acronym>NFS</acronym>-Daemon. Er bearbeitet
Anfragen der <acronym>NFS</acronym>-Clients.</entry>
</row>
<row>
<entry><application>mountd</application></entry>
<entry>Der <acronym>NFS</acronym>-Mount-Daemon. Er
bearbeitet die Anfragen, die &man.nfsd.8; an ihn
weitergibt.</entry>
</row>
<row>
<entry><application>rpcbind</application></entry>
<entry> Der Portmapper-Daemon. Durch ihn erkennen die
<acronym>NFS</acronym>-Clients, welchen Port der
<acronym>NFS</acronym>-Server verwendet.</entry>
</row>
</tbody>
</tgroup>
</informaltable>
<para>Der Client kann ebenfalls einen Daemon aufrufen, und zwar
den <application>nfsiod</application>-Daemon. Der
<application>nfsiod</application>-Daemon bearbeitet Anfragen vom
<acronym>NFS</acronym>-Server. Er ist optional und verbessert
die Leistung des Netzwerks. F&uuml;r eine normale und korrekte
Arbeit ist er allerdings nicht erforderlich. Mehr erfahren
Sie in der Hilfeseite &man.nfsiod.8;.</para>
</sect2>
<sect2 id="network-configuring-nfs">
<title><acronym>NFS</acronym> einrichten</title>
<indexterm>
<primary>NFS</primary>
<secondary>einrichten</secondary>
</indexterm>
<para><acronym>NFS</acronym> l&auml;sst sich leicht
einrichten. Die n&ouml;tigen Prozesse werden durch einige
&Auml;nderungen in <filename>/etc/rc.conf</filename> bei
jedem Systemstart gestartet.</para>
<para>Stellen Sie sicher, dass auf dem
<acronym>NFS</acronym>-Server folgende Optionen in der Datei
<filename>/etc/rc.conf</filename> gesetzt sind:</para>
<programlisting>rpcbind_enable="YES"
nfs_server_enable="YES"
mountd_flags="-r"</programlisting>
<para><application>mountd</application> l&auml;uft automatisch,
wenn der <acronym>NFS</acronym>-Server aktiviert ist.</para>
<para>Auf dem Client muss in <filename>/etc/rc.conf</filename>
folgende Option gesetzt sein:</para>
<programlisting>nfs_client_enable="YES"</programlisting>
<para><filename>/etc/exports</filename> legt fest, welche
Dateisysteme <acronym>NFS</acronym> exportieren (manchmal auch
als <quote>teilen</quote> bezeichnet) soll. Jede Zeile in
<filename>/etc/exports</filename> legt ein Dateisystem sowie
die Arbeitsstationen, die darauf Zugriff haben, fest.
Au&szlig;erdem ist es m&ouml;glich, Zugriffsoptionen
festzulegen. Es gibt viele verschiedene Optionen, allerdings
werden hier nur einige von ihnen erw&auml;hnt. Wenn Sie
Informationen zu weiteren Optionen ben&ouml;tigen, lesen Sie
&man.exports.5;.</para>
<para>Nun folgen einige Beispieleintr&auml;ge f&uuml;r
<filename>/etc/exports</filename>:</para>
<indexterm>
<primary>NFS</primary>
<secondary>Export von Dateisystemen</secondary>
</indexterm>
<para>Die folgenden Beispiele geben Ihnen Anhaltspunkte zum
Exportieren von Dateisystemen, obwohl diese Einstellungen
nat&uuml;rlich von Ihrer Arbeitsumgebung und Ihrer
Netzwerkkonfiguration abh&auml;ngen. Das n&auml;chste
Beispiel exportiert das Verzeichnis <filename>/cdrom</filename>
f&uuml;r drei Rechner, die sich in derselben Dom&auml;ne wie
der Server befinden oder f&uuml;r die entsprechende
Eintr&auml;ge in <filename>/etc/hosts</filename> existieren.
Die Option <option>-ro</option> kennzeichnet das
exportierte Dateisystem als schreibgesch&uuml;tzt. Durch dieses
Flag ist das entfernte System nicht in der Lage, das exportierte
Dateisystem zu ver&auml;ndern.</para>
<programlisting>/cdrom -ro host1 host2 host3</programlisting>
<para>Die n&auml;chste Zeile exportiert <filename>/home</filename>
auf drei durch IP-Adressen bestimmte Rechner. Diese Einstellung
ist n&uuml;tzlich, wenn Sie &uuml;ber ein privates Netzwerk ohne
<acronym>DNS</acronym>-Server verf&uuml;gen. Optional
k&ouml;nnten interne Rechnernamen auch in
<filename>/etc/hosts</filename> konfiguriert werden.
Ben&ouml;tigen Sie hierzu weitere Informationen, lesen Sie bitte
&man.hosts.5;. Durch das Flag <option>-alldirs</option> wird es
m&ouml;glich, auch Unterverzeichnisse als Mountpunkte
festzulegen. Dies bedeutet aber nicht, dass alle
Unterverzeichnisse eingeh&auml;ngt werden, vielmehr wird es dem
Client erm&ouml;glicht, nur diejenigen Verzeichnisse
einzuh&auml;ngen, die auch ben&ouml;tigt werden.</para>
<programlisting>/home -alldirs 10.0.0.2 10.0.0.3 10.0.0.4</programlisting>
<para>Die n&auml;chste Zeile exportiert <filename>/a</filename>,
damit Clients von verschiedenen Dom&auml;nen auf das Dateisystem
zugreifen k&ouml;nnen. Das <option>-maproot=root</option>-Flag
erlaubt es dem Benutzer <username>root</username> des entfernten
Systems, als <username>root</username> auf das exportierte
Dateisystem zu schreiben. Wenn dieses Flag nicht gesetzt ist,
kann selbst <username>root</username> nicht auf das exportierte
Dateisystem schreiben.</para>
<programlisting>/a -maproot=root host.example.com box.example.org</programlisting>
<para>Damit ein Client auf ein exportiertes Dateisystem zugreifen
kann, muss ihm dies explizit gestattet werden. Stellen Sie also
sicher, dass der Client in <filename>/etc/exports</filename>
aufgef&uuml;hrt wird.</para>
<para>Jede Zeile in <filename>/etc/exports</filename> entspricht
der Exportinformation f&uuml;r ein Dateisystem auf einen
Rechner. Ein entfernter Rechner kann f&uuml;r jedes Dateisystem
nur einmal festgelegt werden, und kann auch nur einen
Standardeintrag haben. Nehmen wir an, dass
<filename>/usr</filename> ein einziges Dateisystem ist. Dann
w&auml;ren folgende Zeilen ung&uuml;ltig:</para>
<programlisting>#Nicht erlaubt, wenn /usr ein einziges Dateisystem ist
/usr/src client
/usr/ports client</programlisting>
<para>Das Dateisystem <filename>/usr</filename> wird hier zweimal
auf den selben Rechner (<hostid>client</hostid>)
exportiert. Dies ist aber nicht zul&auml;ssig. Der korrekte
Eintrag sieht daher so aus:</para>
<programlisting>/usr/src /usr/ports client</programlisting>
<para>Die Eigenschaften eines auf einen anderen Rechner
exportierten Dateisystems m&uuml;ssen alle in einer Zeile
stehen. Zeilen, in denen kein Rechner festgelegt wird, werden
als einzelner Rechner behandelt. Dies schr&auml;nkt die
M&ouml;glichkeiten zum Export von Dateisystemen ein, f&uuml;r
die meisten Anwender ist dies aber kein Problem.</para>
<para>Eine g&uuml;ltige Exportliste, in der
<filename>/usr</filename> und <filename>/exports</filename>
lokale Dateisysteme sind, sieht so aus:</para>
<programlisting># Export src and ports to client01 and client02, but only
# client01 has root privileges on it
/usr/src /usr/ports -maproot=root client01
/usr/src /usr/ports client02
# The client machines have root and can mount anywhere
# on /exports. Anyone in the world can mount /exports/obj read-only
/exports -alldirs -maproot=root client01 client02
/exports/obj -ro</programlisting>
<para>Der Daemon <application>mountd</application> muss
die Datei <filename>/etc/exports</filename> nach jeder
&Auml;nderung neu einlesen, damit die &Auml;nderungen
wirksam werden. Dies kann durch das Senden des
HUP-Signals an den <command>mountd</command>-Prozess
erfolgen:</para>
<screen>&prompt.root; <userinput>kill -HUP `cat /var/run/mountd.pid`</userinput></screen>
<para>Alternativ k&ouml;nnen Sie das
<command>mountd</command>-&man.rc.8;-Skript auch mit dem
passenden Parameter aufrufen:</para>
<screen>&prompt.root; <userinput>/etc/rc.d/mountd reload</userinput></screen>
<para>Lesen Sie bitte <xref linkend="configtuning-rcd">
des Handbuchs f&uuml;r Informationen zum Einsatz der
rc-Skripte.</para>
<para>Eine weitere M&ouml;glichkeit, diese &Auml;nderungen zu
&uuml;bernehmen, w&auml;re der Neustart des Systems. Dies ist
allerdings nicht n&ouml;tig. Wenn Sie die folgenden
Befehle als <username>root</username> ausf&uuml;hren, sollte
alles korrekt gestartet werden.</para>
<para>Auf dem <acronym>NFS</acronym>-Server:</para>
<screen>&prompt.root; <userinput>rpcbind</userinput>
&prompt.root; <userinput>nfsd -u -t -n 4</userinput>
&prompt.root; <userinput>mountd -r</userinput></screen>
<para>Auf dem <acronym>NFS</acronym>-Client:</para>
<screen>&prompt.root; <userinput>nfsiod -n 4</userinput></screen>
<para>Nun sollte alles bereit sein, um ein entferntes Dateisystem
einh&auml;ngen zu k&ouml;nnen. In unseren Beispielen nennen wir
den Server <hostid>server</hostid>, den Client
<hostid>client</hostid>. Wenn Sie ein entferntes Dateisystem
nur zeitweise einh&auml;ngen wollen, oder nur Ihre Konfiguration
testen m&ouml;chten, f&uuml;hren Sie auf dem Client als
<username>root</username> einen Befehl &auml;hnlich dem
folgenden aus:</para>
<indexterm>
<primary>NFS</primary>
<secondary>Dateisysteme einh&auml;ngen</secondary>
</indexterm>
<screen>&prompt.root; <userinput>mount server:/home /mnt</userinput></screen>
<para>Dadurch wird das Verzeichnis <filename>/home</filename> des
Servers auf dem Client unter <filename>/mnt</filename>
eingeh&auml;ngt. Wenn alles korrekt konfiguriert wurde, sehen
Sie auf dem Client im Verzeichnis <filename>/mnt</filename> alle
Dateien des Servers.</para>
<para>Wenn Sie ein entferntes Dateisystem nach jedem Systemstart
automatisch einh&auml;ngen wollen, f&uuml;gen Sie das
Dateisystem in <filename>/etc/fstab</filename> ein. Dazu ein
Beispiel:</para>
<programlisting>server:/home /mnt nfs rw 0 0</programlisting>
<para>Eine Beschreibung aller Optionen enth&auml;lt
die Hilfeseite &man.fstab.5;.</para>
</sect2>
<sect2>
<title>Praktische Anwendungen</title>
<para><acronym>NFS</acronym> ist in vielen Situationen
n&uuml;tzlich. Einige Anwendungsbereiche finden Sie in der
folgenden Liste:</para>
<indexterm>
<primary>NFS</primary>
<secondary>Anwendungsbeispiele</secondary>
</indexterm>
<itemizedlist>
<listitem>
<para>Mehrere Maschinen k&ouml;nnen sich ein CD-ROM-Laufwerk
oder andere Medien teilen. Dies ist billiger und
au&szlig;erdem praktischer, um Programme auf mehreren
Rechnern zu installieren.</para>
</listitem>
<listitem>
<para>In gr&ouml;&szlig;eren Netzwerken ist es praktisch,
einen zentralen <acronym>NFS</acronym>-Server einzurichten,
auf dem die Heimatverzeichnisse der Benutzer gespeichert
werden. Diese Heimatverzeichnisse werden &uuml;ber das
Netzwerk exportiert. Dadurch haben die Benutzer immer das
gleiche Heimatverzeichnis zur Verf&uuml;gung,
unabh&auml;ngig davon, an welchem Arbeitsplatz sie sich
anmelden.</para>
</listitem>
<listitem>
<para>Verschiedene Rechner k&ouml;nnen auf ein gemeinsames
Verzeichnis <filename>/usr/ports/distfiles</filename>
zugreifen. Wenn Sie nun einen Port auf mehreren Rechnern
installieren wollen, greifen Sie einfach auf dieses
Verzeichnis zu, ohne die Quelldateien auf jede Maschine
zu kopieren.</para>
</listitem>
</itemizedlist>
</sect2>
<sect2 id="network-amd">
<sect2info>
<authorgroup>
<author>
<firstname>Wylie</firstname>
<surname>Stilwell</surname>
<contrib>Beigetragen von </contrib>
</author>
</authorgroup>
<authorgroup>
<author>
<firstname>Chern</firstname>
<surname>Lee</surname>
<contrib>&Uuml;berarbeitet von </contrib>
</author>
</authorgroup>
</sect2info>
<title><application>AMD</application></title>
<indexterm><primary>amd</primary></indexterm>
<indexterm><primary>Automatic Mounter Daemon</primary></indexterm>
<para>&man.amd.8; (Automatic Mounter Daemon) h&auml;ngt ein
entferntes Dateisystem automatisch ein,
wenn auf eine Datei oder ein Verzeichnis in diesem Dateisystem
zugegriffen wird. Dateisysteme, die &uuml;ber einen gewissen
Zeitraum inaktiv sind, werden von <application>amd</application>
automatisch abgeh&auml;ngt.
<application>amd</application> ist eine einfache
Alternative zum dauerhaften Einh&auml;ngen von Dateisystemen
in <filename>/etc/fstab</filename>.</para>
<para>In der Voreinstellung stellt <application>amd</application>
die Verzeichnisse <filename>/host</filename> und
<filename>/net</filename> als NFS-Server bereit. Wenn auf eine
Datei in diesen Verzeichnissen zugegriffen wird, sucht
<application>amd</application> den entsprechenden Mountpunkt
und h&auml;ngt das Dateisystem automatisch ein.
<filename>/net</filename> wird zum Einh&auml;ngen von
exportierten Dateisystemen von einer IP-Adresse verwendet,
w&auml;hrend <filename>/host</filename> zum Einh&auml;ngen
von exportierten Dateisystemen eines durch seinen Namen
festgelegten Rechners dient.</para>
<para>Ein Zugriff auf eine Datei in
<filename>/host/foobar/usr</filename> w&uuml;rde
<application>amd</application> veranlassen,
das von <hostid>foobar</hostid> exportierte Dateisystem
<filename>/usr</filename> einzuh&auml;ngen.</para>
<example>
<title>Ein exportiertes Dateisystem mit
<application>amd</application> in den Verzeichnisbaum
einh&auml;ngen</title>
<para>Sie k&ouml;nnen sich die verf&uuml;gbaren Mountpunkte
eines entfernten Rechners mit <command>showmount</command>
ansehen. Wollen Sie sich die Mountpunkte des Rechners
<hostid>foobar</hostid> ansehen, so verwenden Sie:</para>
<screen>&prompt.user; <userinput>showmount -e foobar</userinput>
Exports list on foobar:
/usr 10.10.10.0
/a 10.10.10.0
&prompt.user; <userinput>cd /host/foobar/usr</userinput></screen>
</example>
<para>Wie Sie an diesem Beispiel erkennen k&ouml;nnen, zeigt
<command>showmount</command> <filename>/usr</filename>
als exportiertes Dateisystem an. Wenn man in das Verzeichnis
<filename>/host/foobar/usr</filename> wechselt, versucht
<application>amd</application> den Rechnernamen
<hostid>foobar</hostid> aufzul&ouml;sen und den gew&uuml;nschten
Export in den Verzeichnisbaum einzuh&auml;ngen.</para>
<para><application>amd</application> kann durch das Einf&uuml;gen
der folgenden Zeile in <filename>/etc/rc.conf</filename>
automatisch gestartet werden:</para>
<programlisting>amd_enable="YES"</programlisting>
<para>Mit der Option <varname>amd_flags</varname> kann
<application>amd</application> angepasst werden.
Die Voreinstellung f&uuml;r <varname>amd_flags</varname> sieht
so aus:</para>
<programlisting>amd_flags="-a /.amd_mnt -l syslog /host /etc/amd.map /net /etc/amd.map"</programlisting>
<para><filename>/etc/amd.map</filename> legt die Standardoptionen
fest, mit denen exportierte Dateisysteme in den Verzeichnisbaum
eingeh&auml;ngt werden. <filename>/etc/amd.conf</filename>
hingegen legt einige der erweiterten Optionen von
<application>amd</application> fest.</para>
<para>Weitere Informationen finden Sie in den Hilfeseiten
&man.amd.8; und &man.amd.conf.5;.</para>
</sect2>
<sect2 id="network-nfs-integration">
<sect2info>
<authorgroup>
<author>
<firstname>John</firstname>
<surname>Lind</surname>
<contrib>Beigetragen von </contrib>
</author>
</authorgroup>
</sect2info>
<title>Integrationsprobleme mit anderen Systemen</title>
<para>Bestimmte ISA-Ethernetadapter haben Beschr&auml;nkungen, die
zu ernsthaften Netzwerkproblemen, insbesondere mit NFS
f&uuml;hren k&ouml;nnen. Es handelt sich dabei nicht um ein
FreeBSD-spezifisches Problem, aber FreeBSD-Systeme sind davon
ebenfalls betroffen.</para>
<para>Das Problem tritt fast ausschlie&szlig;lich dann auf, wenn
(FreeBSD)-PC-Systeme mit Hochleistungsrechnern verbunden werden,
wie Systemen von Silicon&nbsp;Graphics, Inc. oder
Sun&nbsp;Microsystems, Inc. Das Einh&auml;ngen via NFS
funktioniert problemlos, auch einige Dateioperationen
k&ouml;nnen erfolgreich sein. Pl&ouml;tzlich aber wird der
Server nicht mehr auf den Client reagieren, obwohl Anfragen von
anderen Rechnern weiterhin bearbeitet werden. Dieses
Problem betrifft stets den Client, egal ob es sich beim Client
um das FreeBSD-System oder den Hochleistungsrechner handelt.
Auf vielen Systemen gibt es keine M&ouml;glichkeit mehr, den
Client ordnungsgem&auml;&szlig; zu beenden. Die einzige
L&ouml;sung ist es oft, den Rechner neu zu starten, da dieses
NFS-Problem nicht mehr behoben werden kann.</para>
<para>Die <quote>korrekte</quote> L&ouml;sung f&uuml;r dieses
Problem ist es, sich eine schnellere Ethernetkarte f&uuml;r
FreeBSD zu kaufen. Allerdings gibt es auch eine einfache und
meist zufriedenstellende L&ouml;sung, um dieses Problem zu
umgehen. Wenn es sich beim FreeBSD-System um den
<emphasis>Server</emphasis> handelt, verwenden Sie beim
Einh&auml;ngen in den Verzeichnisbaum auf der Clientseite
zus&auml;tzlich die Option <option>-w=1024</option> . Wenn es
sich beim FreeBSD-System um den <emphasis>Client</emphasis>
handelt, dann h&auml;ngen Sie das NFS-Dateisystem mit der
zus&auml;tzlichen Option <option>-r=1024</option> ein.
Diese Optionen k&ouml;nnen auf der Clientseite auch durch
das vierte Feld der Eintr&auml;ge in
<filename>/etc/fstab</filename> festgelegt werden, damit die
Dateisysteme automatisch eingeh&auml;ngt werden. Um die
Dateisysteme manuell einzuh&auml;ngen, verwendet man bei
&man.mount.8; zus&auml;tzlich die Option
<option>-o</option>.</para>
<para>Es gibt ein anderes Problem, das oft mit diesem verwechselt
wird. Dieses andere Problem tritt auf, wenn sich &uuml;ber NFS
verbundene Server und Clients in verschiedenen Netzwerken
befinden. Wenn dies der Fall ist, stellen Sie
<emphasis>sicher</emphasis>, dass Ihre Router die
n&ouml;tigen <acronym>UDP</acronym>-Informationen weiterleiten,
oder Sie werden nirgends hingelangen, egal was Sie machen.</para>
<para>In den folgenden Beispielen ist <hostid>fastws</hostid> der
Name des Hochleistungsrechners (bzw. dessen Schnittstelle),
<hostid>freebox</hostid> hingegen ist der Name des
FreeBSD-Systems, das &uuml;ber eine Netzkarte mit geringer
Leistung verf&uuml;gt. <filename>/sharedfs</filename> ist das
exportierte NFS&nbsp;-Dateisystem (lesen Sie dazu auch
&man.exports.5;). Bei <filename>/project</filename> handelt es
sich um den Mountpunkt, an dem das exportierte Dateisystem auf
der Clientseite eingeh&auml;ngt wird. In allen F&auml;llen
k&ouml;nnen zus&auml;tzliche Optionen, wie z.B.
<option>hard</option>, <option>soft</option> oder
<option>bg</option> w&uuml;nschenswert sein.</para>
<para>FreeBSD als Client (eingetragen in
<filename>/etc/fstab</filename> auf <hostid>freebox</hostid>):
</para>
<programlisting>fastws:/sharedfs /project nfs rw,-r=1024 0 0</programlisting>
<para>Manuelles Einh&auml;ngen auf
<hostid>freebox</hostid>:</para>
<screen>&prompt.root; <userinput>mount -t nfs -o -r=1024 fastws:/sharedfs /project</userinput></screen>
<para>&os; als Server (eingetragen in
<filename>/etc/fstab</filename> auf <hostid>fastws</hostid>):
</para>
<programlisting>freebox:/sharedfs /project nfs rw,-w=1024 0 0</programlisting>
<para>Manuelles Einh&auml;ngen auf <hostid>fastws</hostid>:</para>
<screen>&prompt.root; <userinput>mount -t nfs -o -w=1024 freebox:/sharedfs /project</userinput></screen>
<para>Nahezu alle 16-bit Ethernetadapter erlauben Operationen
ohne obengenannte Einschr&auml;nkungen auf die Lese- oder
Schreibgr&ouml;&szlig;e.</para>
<para>F&uuml;r alle technisch Interessierten wird nun beschrieben,
was passiert, wenn dieser Fehler auftritt, und warum er
irreversibel ist. NFS arbeitet &uuml;blicherweise mit einer
<quote>Blockgr&ouml;&szlig;e</quote> von 8&nbsp;kByte (obwohl
es kleinere Fragmente zulassen w&uuml;rde). Da die maximale
Rahmengr&ouml;&szlig;e von Ethernet 1500&nbsp;Bytes
betr&auml;gt, wird der NFS-<quote>Block</quote> in einzelne
Ethernetrahmen aufgeteilt, obwohl es sich nach wie vor um eine
Einheit handelt, die auch als Einheit empfangen, verarbeitet
und <emphasis>best&auml;tigt</emphasis> werden muss. Der
Hochleistungsrechner verschickt die Pakete, aus denen der
NFS-Block besteht, so eng hintereinander, wie es der Standard
erlaubt. Auf der anderen Seite (auf der sich die langsamere
Netzkarte befindet), &uuml;berschreiben die sp&auml;teren
Pakete ihre Vorg&auml;nger, bevor diese vom System verarbeitet
werden (&Uuml;berlauf!). Dies hat zur Folge, dass der NFS-Block
nicht mehr rekonstruiert und best&auml;tigt werden kann. Als
Folge davon glaubt der Hochleistungsrechner, dass der andere
Rechner nicht erreichbar ist (Timeout!) und versucht die
Sendung zu wiederholen. Allerdings wird wiederum der komplette
NFS-Block verschickt, so dass sich der ganze Vorgang wiederholt,
und zwar immer wieder (oder bis zum Systemneustart).</para>
<para>Indem wir die Einheitengr&ouml;&szlig;e unter der maximalen
Gr&ouml;&szlig;e der Ethernetpakete halten, k&ouml;nnen wir
sicherstellen, dass jedes vollst&auml;ndig erhaltene
Ethernetpaket individuell angesprochen werden kann und vermeiden
die Blockierung des Systems.</para>
<para>&Uuml;berl&auml;ufe k&ouml;nnen zwar nach wie vor auftreten,
wenn ein Hochleistungsrechner Daten auf ein PC-System
transferiert. Durch die besseren (und schnelleren) Netzkarten
treten solche &Uuml;berl&auml;ufe allerdings nicht mehr
<emphasis>zwingend</emphasis> auf, wenn
NFS-<quote>Einheiten</quote> &uuml;bertragen werden. Tritt nun
ein &Uuml;berlauf auf, wird die betroffene Einheit erneut
verschickt, und es besteht eine gute Chance, dass sie nun
erhalten, verarbeitet und best&auml;tigt werden kann.</para>
</sect2>
</sect1>
<sect1 id="network-nis">
<sect1info>
<authorgroup>
<author>
<firstname>Bill</firstname>
<surname>Swingle</surname>
<contrib>Beigetragen von </contrib>
</author>
</authorgroup>
<authorgroup>
<author>
<firstname>Eric</firstname>
<surname>Ogren</surname>
<contrib>Erweitert von </contrib>
</author>
<author>
<firstname>Udo</firstname>
<surname>Erdelhoff</surname>
</author>
</authorgroup>
</sect1info>
<title>NIS/YP &ndash; Network Information Service</title>
<sect2>
<title>Was ist NIS?</title>
<indexterm><primary>NIS</primary></indexterm>
<indexterm><primary>Solaris</primary></indexterm>
<indexterm><primary>HP-UX</primary></indexterm>
<indexterm><primary>AIX</primary></indexterm>
<indexterm><primary>Linux</primary></indexterm>
<indexterm><primary>NetBSD</primary></indexterm>
<indexterm><primary>OpenBSD</primary></indexterm>
<para><acronym role="Network Information Service">NIS</acronym>
wurde von Sun Microsystems entwickelt, um &unix;-Systeme
(urspr&uuml;nglich &sunos;) zentral verwalten zu k&ouml;nnen.
Mittlerweile hat es sich zu einem Industriestandard entwickelt,
der von allen wichtigen &unix;-Systemen (&solaris;, HP-UX,
&aix;, Linux, NetBSD, OpenBSD, FreeBSD und anderen)
unterst&uuml;tzt wird.</para>
<indexterm>
<primary>yellow pages</primary>
<see>NIS</see>
</indexterm>
<para><acronym role="Network Information Service">NIS</acronym> war
urspr&uuml;nglich als <emphasis>Yellow Pages</emphasis> bekannt,
aus markenrechtlichen Gr&uuml;nden wurde der Name aber
ge&auml;ndert. Die alte Bezeichnung (sowie die Abk&uuml;rzung YP)
wird aber nach wie vor h&auml;ufig verwendet.</para>
<indexterm>
<primary>NIS</primary>
<secondary>Dom&auml;nen</secondary>
</indexterm>
<para>Bei NIS handelt es sich um ein RPC-basiertes
Client/Server-System. Eine Gruppe von Rechnern greift dabei
innerhalb einer NIS-Dom&auml;ne auf gemeinsame
Konfigurationsdateien zu. Ein Systemadministrator wird dadurch
in die Lage versetzt, NIS-Clients mit minimalem Aufwand
einzurichten, sowie &Auml;nderungen an der Systemkonfiguration
von einem zentralen Ort aus durchzuf&uuml;hren.</para>
<indexterm>
<primary>Windows NT</primary>
</indexterm>
<para>Die Funktion entspricht dem Dom&auml;nensystem von
&windowsnt;; auch wenn sich die interne Umsetzung unterscheidet,
sind die Basisfunktionen vergleichbar.</para>
</sect2>
<sect2>
<title>Wichtige Prozesse und Begriffe</title>
<para>Es gibt verschiedene Begriffe und Anwenderprozesse, auf die
Sie sto&szlig;en werden, wenn Sie NIS unter FreeBSD einrichten,
egal ob Sie einen Server oder einen Client konfigurieren:</para>
<indexterm>
<primary><application>rpcbind</application></primary>
</indexterm>
<indexterm>
<primary><application>portmap</application></primary>
</indexterm>
<informaltable frame="none" pgwide="1">
<tgroup cols="2">
<colspec colwidth="1*">
<colspec colwidth="3*">
<thead>
<row>
<entry>Begriff</entry>
<entry>Beschreibung</entry>
</row>
</thead>
<tbody>
<row>
<entry>NIS-Dom&auml;nenname</entry>
<entry>Ein NIS-Masterserver sowie alle Clients
(inklusive der Slaveserver) haben einen
NIS-Dom&auml;nennamen. Dieser hat (&auml;hnlich den
&windowsnt;-Dom&auml;nennamen) nichts mit DNS zu tun.
</entry>
</row>
<row>
<entry><application>rpcbind</application></entry>
<entry>Muss laufen, damit RPC (Remote Procedure Call, ein
von NIS verwendetes Netzwerkprotokoll) funktioniert.
NIS-Server sowie Clients funktionieren ohne
<application>rpcbind</application> nicht. Unter
&os;&nbsp;4.X ersetzen Sie
<application>rpcbind</application> durch
<application>portmap</application>.</entry>
</row>
<row>
<entry><application>ypbind</application></entry>
<entry><quote>Bindet</quote> einen NIS-Client an seinen
NIS-Server. Der Client bezieht den
NIS-Dom&auml;nennamen vom System und stellt &uuml;ber
das RPC-Protokoll eine Verbindung zum NIS-Server her.
<application>ypbind</application> ist der zentrale
Bestandteil der Client-Server-Kommunikation in einer
NIS-Umgebung. Wird <application>>ypbind</application>
auf einem Client beendet, ist dieser nicht mehr in der
Lage, auf den NIS-Server zuzugreifen.</entry>
</row>
<row>
<entry><application>ypserv</application></entry>
<entry>Sollte nur auf dem NIS-Server laufen, da es sich um
den Serverprozess selbst handelt. Wenn &man.ypserv.8;
nicht mehr l&auml;uft, kann der Server nicht mehr auf
NIS-Anforderungen reagieren (wenn ein Slaveserver
existiert, kann dieser als Ersatz fungieren). Einige
NIS-Systeme (allerdings nicht das von FreeBSD) versuchen
allerdings erst gar nicht, sich mit einem anderen Server
zu verbinden, wenn der bisher verwendete Server nicht
mehr reagiert. Die einzige L&ouml;sung dieses Problems
besteht dann darin, den Serverprozess (oder gar den
Server selbst) oder den
<application>ypbind</application>-Prozess auf dem Client
neu zu starten.</entry>
</row>
<row>
<entry><application>rpc.yppasswdd</application></entry>
<entry>Ein weiterer Prozess, der nur auf dem
NIS-Masterserver laufen sollte. Es handelt sich um einen
Daemonprozess, der es NIS-Clients erm&ouml;glicht, sich
auf dem NIS-Masterserver anzumelden, um ihr Passwort zu
&auml;ndern.</entry>
</row>
</tbody>
</tgroup>
</informaltable>
<!-- XXX Missing: rpc.ypxfrd (not important, though) May only run
on the master -->
</sect2>
<sect2>
<title>Wie funktioniert NIS?</title>
<para>In einer NIS-Umgebung gibt es drei Rechnerarten:
Masterserver, Slaveserver und Clients. Server dienen als
zentraler Speicherort f&uuml;r Rechnerkonfigurationen.
Masterserver speichern die ma&szlig;gebliche Kopie dieser
Informationen, w&auml;hrend Slaveserver diese Informationen
aus Redundanzgr&uuml;nden spiegeln. Die Clients beziehen
ihre Informationen immer vom Server.</para>
<para>Auf diese Art und Weise k&ouml;nnen Informationen aus
verschiedenen Dateien von mehreren Rechnern gemeinsam
verwendet werden. <filename>master.passwd</filename>,
<filename>group</filename>, und <filename>hosts</filename>
werden oft gemeinsam &uuml;ber NIS verwendet. Immer, wenn
ein Prozess auf einem Client auf Informationen zugreifen will,
die normalerweise in lokalen Dateien vorhanden w&auml;ren,
wird stattdessen eine Anfrage an den NIS-Server gestellt, an
den der Client gebunden ist.</para>
<sect3>
<title>Arten von NIS-Rechnern</title>
<itemizedlist>
<indexterm>
<primary>NIS</primary>
<secondary>Masterserver</secondary>
</indexterm>
<listitem>
<para>Ein <emphasis>NIS-Masterserver</emphasis> verwaltet,
&auml;hnlich einem &windowsnt;-Dom&auml;nencontroller, die
von allen NIS-Clients gemeinsam verwendeten Dateien.
<filename>passwd</filename>, <filename>group</filename>,
sowie verschiedene andere von den Clients verwendete
Dateien existieren auf dem Masterserver.</para>
<note><para>Ein Rechner kann auch f&uuml;r mehrere
NIS-Dom&auml;nen als Masterserver fungieren. Dieser
Abschnitt konzentriert sich im Folgenden allerdings auf
eine relativ kleine NIS-Umgebung.</para></note>
</listitem>
<indexterm>
<primary>NIS</primary>
<secondary>Slaveserver</secondary>
</indexterm>
<listitem>
<para><emphasis>NIS-Slaveserver</emphasis>. &Auml;hnlich
einem &windowsnt;-Backupdom&auml;nencontroller, verwalten
NIS-Slaveserver Kopien der Daten des NIS-Masterservers.
NIS-Slaveserver bieten die Redundanz, die f&uuml;r
kritische Umgebungen ben&ouml;tigt wird. Zus&auml;tzlich
entlasten Slaveserver den Masterserver: NIS-Clients
verbinden sich immer mit dem NIS-Server, der zuerst
reagiert. Dieser Server kann auch ein Slaveserver sein.
</para>
</listitem>
<indexterm>
<primary>NIS</primary>
<secondary>Client</secondary>
</indexterm>
<listitem>
<para><emphasis>NIS-Clients</emphasis>. NIS-Clients
identifizieren sich gegen&uuml;ber dem NIS-Server
(&auml;hnlich den &windowsnt;-Workstations), um sich am
Server anzumelden.</para>
</listitem>
</itemizedlist>
</sect3>
</sect2>
<sect2>
<title>NIS/YP konfigurieren</title>
<para>Dieser Abschnitt beschreibt an Hand eines Beispiels die
Einrichtung einer NIS-Umgebung.</para>
<note><para>Es wird dabei davon ausgegangen, dass Sie
FreeBSD&nbsp;3.3 oder eine aktuellere Version verwenden.
<emphasis>Wahrscheinlich</emphasis> funktioniert diese Anleitung
auch f&uuml;r FreeBSD-Versionen ab 3.0, es gibt daf&uuml;r aber
keine Garantie.</para></note>
<sect3>
<title>Planung</title>
<para>Nehmen wir an, Sie seien der Administrator eines kleinen
Universit&auml;tsnetzes. Dieses Netz besteht aus
f&uuml;nfzehn FreeBSD-Rechnern, f&uuml;r die derzeit keine
zentrale Verwaltung existiert, jeder Rechner hat also eine
eigene Version von <filename>/etc/passwd</filename> und
<filename>/etc/master.passwd</filename>. Diese Dateien werden
manuell synchron gehalten; legen Sie einen neuen Benutzer an,
so muss dies auf allen f&uuml;nfzehn Rechnern manuell
erledigt werden (unter Verwendung von
<command>adduser</command>). Da diese L&ouml;sung sehr
ineffizient ist, soll das Netzwerk in Zukunft NIS verwenden,
wobei zwei der Rechner als Server dienen sollen.</para>
<para>In Zukunft soll das Netz also wie folgt aussehen:</para>
<informaltable frame="none" pgwide="1">
<tgroup cols="3">
<thead>
<row>
<entry>Rechnername</entry>
<entry>IP-Adresse</entry>
<entry>Rechneraufgabe</entry>
</row>
</thead>
<tbody>
<row>
<entry><hostid>ellington</hostid></entry>
<entry><hostid role="ipaddr">10.0.0.2</hostid></entry>
<entry>NIS-Master</entry>
</row>
<row>
<entry><hostid>coltrane</hostid></entry>
<entry><hostid role="ipaddr">10.0.0.3</hostid></entry>
<entry>NIS-Slave</entry>
</row>
<row>
<entry><hostid>basie</hostid></entry>
<entry><hostid role="ipaddr">10.0.0.4</hostid></entry>
<entry>Workstation der Fakult&auml;t</entry>
</row>
<row>
<entry><hostid>bird</hostid></entry>
<entry><hostid role="ipaddr">10.0.0.5</hostid></entry>
<entry>Clientrechner</entry>
</row>
<row>
<entry><hostid>cli[1-11]</hostid></entry>
<entry><hostid role="ipaddr">10.0.0.[6-17]</hostid></entry>
<entry>Verschiedene andere Clients</entry>
</row>
</tbody>
</tgroup>
</informaltable>
<para>Wenn Sie NIS das erste Mal einrichten, ist es ratsam, sich
zuerst &uuml;ber die Vorgangsweise Gedanken zu machen.
Unabh&auml;ngig von der Gr&ouml;&szlig;e Ihres Netzwerks
m&uuml;ssen Sie stets einige Entscheidungen treffen.</para>
<sect4>
<title>Einen NIS-Dom&auml;nennamen w&auml;hlen</title>
<indexterm>
<primary>NIS</primary>
<secondary>Dom&auml;nenname</secondary>
</indexterm>
<para>Dies muss nicht der <quote>Domainname</quote> sein. Es
handelt sich vielmehr um den <quote>NIS-Domainnamen</quote>.
Wenn ein Client Informationen anfordert, ist in dieser
Anforderung der Name der NIS-Dom&auml;ne enthalten.
Dadurch wei&szlig; jeder Server im Netzwerk, auf welche
Anforderung er antworten muss. Stellen Sie sich den
NIS-Dom&auml;nennamen als den Namen einer Gruppe von
Rechnern vor, die etwas gemeinsam haben.</para>
<para>Manchmal wird der Name der Internetdom&auml;ne auch
f&uuml;r die NIS-Dom&auml;ne verwendet. Dies ist allerdings
nicht empfehlenswert, da dies bei der Behebung von Problemen
verwirrend sein kann. Der Name der NIS-Dom&auml;ne sollte
innerhalb Ihres Netzwerks einzigartig sein. Hilfreich ist
es, wenn der Name die Gruppe der in ihr zusammengefassten
Rechner beschreibt. Die Kunstabteilung von Acme Inc.
h&auml;tte daher die NIS-Dom&auml;ne
<quote>acme-art</quote>. F&uuml;r unser Beispiel verwenden
wir den NIS-Dom&auml;nennamen
<literal>test-domain</literal>.</para>
<indexterm><primary>SunOS</primary></indexterm>
<para>Es gibt jedoch auch Betriebssysteme (vor allem &sunos;),
die als NIS-Dom&auml;nennamen den Name der
Internetdom&auml;ne verwenden. Wenn dies f&uuml;r einen
oder mehrere Rechner Ihres Netzwerks zutrifft,
<emphasis>m&uuml;ssen</emphasis> Sie den Namen der
Internetdom&auml;ne als Ihren NIS-Dom&auml;nennamen
verwenden.</para>
</sect4>
<sect4>
<title>Anforderungen an den Server</title>
<para>Wenn Sie einen NIS-Server einrichten wollen, m&uuml;ssen
Sie einige Dinge beachten. Eine unangenehme Eigenschaft
von NIS ist die Abh&auml;ngigkeit der Clients vom Server.
Wenn sich der Client nicht &uuml;ber den Server mit seiner
NIS-Dom&auml;ne verbinden kann, wird der Rechner oft
unbenutzbar, da das Fehlen von Benutzer- und
Gruppeninformationen zum Einfrieren des Clients f&uuml;hrt.
Daher sollten Sie f&uuml;r den Server einen Rechner
ausw&auml;hlen, der nicht regelm&auml;&szlig;ig neu
gestartet werden muss und der nicht f&uuml;r Testversuche
verwendet wird. Idealerweise handelt es sich um einen
alleinstehenden Rechner, dessen einzige Aufgabe es ist, als
NIS-Server zu dienen. Wenn Sie ein Netzwerk haben, das
nicht zu stark ausgelastet ist, ist es auch m&ouml;glich,
den NIS-Server als weiteren Dienst auf einem anderen Rechner
laufen zu lassen. Denken Sie aber daran, dass ein Ausfall
des NIS-Servers <emphasis>alle</emphasis> NIS-Clients
betrifft.</para>
</sect4>
</sect3>
<sect3>
<title>NIS-Server</title>
<para>Die verbindlichen Kopien aller NIS-Informationen befinden
sich auf einem einzigen Rechner, dem NIS-Masterserver. Die
Datenbanken, in denen die Informationen gespeichert sind,
bezeichnet man als NIS-Maps. Unter FreeBSD werden diese
Maps unter <filename>/var/yp/[domainname]</filename>
gespeichert, wobei <filename>[domainname]</filename> der
Name der NIS-Dom&auml;ne ist. Ein einzelner NIS-Server
kann gleichzeitig mehrere NIS-Dom&auml;nen verwalten, daher
k&ouml;nnen auch mehrere Verzeichnisse vorhanden sein. Jede
Dom&auml;ne verf&uuml;gt &uuml;ber ein eigenes Verzeichnis
sowie einen eigenen, von anderen Dom&auml;nen
unabh&auml;ngigen Satz von NIS-Maps.</para>
<para>NIS-Master- und Slaveserver verwenden den
<command>ypserv</command>-Daemon, um NIS-Anfragen zu
bearbeiten. <command>ypserv</command> empf&auml;ngt
eingehende Anfragen der NIS-Clients, ermittelt aus der
angeforderten Dom&auml;ne und Map einen Pfad zur
entsprechenden Datenbank, und sendet die angeforderten
Daten von der Datenbank zum Client.</para>
<sect4>
<title>Einen NIS-Masterserver einrichten</title>
<indexterm>
<primary>NIS</primary>
<secondary>Serverkonfiguration</secondary>
</indexterm>
<para>Abh&auml;ngig von Ihren Anforderungen ist die
Einrichtung eines NIS-Masterservers relativ einfach, da
NIS von FreeBSD bereits in der Standardkonfiguration
unterst&uuml;tzt wird. Sie m&uuml;ssen nur folgende
Zeilen in <filename>/etc/rc.conf</filename> einf&uuml;gen:
</para>
<procedure>
<step>
<programlisting>nisdomainname="test-domain"</programlisting>
<para>Diese Zeile setzt den NIS-Dom&auml;nennamen auf
<literal>test-domain</literal>, wenn Sie das Netzwerk
initialisieren (beispielsweise nach einem Systemstart).
</para>
</step>
<step>
<para><programlisting>nis_server_enable="YES"</programlisting>
Dadurch werden die NIS-Serverprozesse gestartet.</para>
</step>
<step>
<para><programlisting>nis_yppasswdd_enable="YES"</programlisting>
Durch diese Zeile wird der
<command>rpc.yppasswdd</command>-Daemon aktiviert, der,
wie bereits erw&auml;hnt, die &Auml;nderung von
NIS-Passw&ouml;rtern von einem Client aus
erm&ouml;glicht.</para>
</step>
</procedure>
<note>
<para>In Abh&auml;ngigkeit von Ihrer NIS-Konfiguration
k&ouml;nnen weitere Eintr&auml;ge erforderlich sein.
Weitere Informationen finden Sie im Abschnitt
<link linkend="nis-server-is-client">NIS-Server, die
auch als NIS-Clients arbeiten</link>.</para>
</note>
<para>Nun m&uuml;ssen Sie nur noch
<command>/etc/netstart</command> als Superuser
ausf&uuml;hren, um alles entsprechend Ihren Vorgaben in
<filename>/etc/rc.conf</filename> einzurichten.</para>
</sect4>
<sect4>
<title>Die NIS-Maps initialisieren</title>
<indexterm>
<primary>NIS</primary>
<secondary>maps</secondary>
</indexterm>
<para><emphasis>NIS-Maps</emphasis> sind Datenbanken, die
sich im Verzeichnis <filename>/var/yp</filename> befinden.
Sie werden am NIS-Masterserver aus den Konfigurationsdateien
unter <filename>/etc</filename> erzeugt. Einzige Ausnahme:
<filename>/etc/master.passwd</filename>. Dies ist auch
sinnvoll, da Sie die Passw&ouml;rter f&uuml;r Ihr
<username>root</username>- oder andere
Administratorkonten nicht an alle Server der NIS-Dom&auml;ne
verteilen wollen. Bevor Sie also die NIS-Maps des
Masterservers einrichten, sollten Sie Folgendes tun:</para>
<screen>&prompt.root; <userinput>cp /etc/master.passwd /var/yp/master.passwd</userinput>
&prompt.root; <userinput>cd /var/yp</userinput>
&prompt.root; <userinput>vi master.passwd</userinput></screen>
<para>Entfernen Sie alle Systemkonten
(wie <username>bin</username>, <username>tty</username>,
<username>kmem</username> oder <username>games</username>),
sowie alle Konten, die Sie nicht an die NIS-Clients
weitergeben wollen (beispielsweise <username>root</username>
und alle Konten mit der UID 0 (=Superuser).</para>
<note><para>Stellen Sie sicher, dass
<filename>/var/yp/master.passwd</filename> weder von der
Gruppe noch von der Welt gelesen werden kann (Zugriffsmodus
600)! Ist dies nicht der Fall, &auml;ndern Sie dies mit
<command>chmod</command>.</para></note>
<indexterm><primary>Tru64 UNIX</primary></indexterm>
<para>Nun k&ouml;nnen Sie die NIS-Maps initialisieren.
FreeBSD verwendet daf&uuml;r das Skript
<command>ypinit</command> (lesen Sie dazu auch
&man.ypinit.8;). Dieses Skript ist auf fast allen
UNIX-Betriebssystemen verf&uuml;gbar. Bei
Digitals Unix/Compaq Tru64 UNIX nennt es sich allerdings
<command>ypsetup</command>. Da wir Maps f&uuml;r einen
NIS-Masterserver erzeugen, verwenden wir
<command>ypinit</command> mit der Option
<option>-m</option>. Nachdem Sie die beschriebenen
Aktionen durchgef&uuml;hrt haben, erzeugen Sie nun die
NIS-Maps:</para>
<screen>ellington&prompt.root; <userinput>ypinit -m test-domain</userinput>
Server Type: MASTER Domain: test-domain
Creating an YP server will require that you answer a few questions.
Questions will all be asked at the beginning of the procedure.
Do you want this procedure to quit on non-fatal errors? [y/n: n] <userinput>n</userinput>
Ok, please remember to go back and redo manually whatever fails.
If you don't, something might not work.
At this point, we have to construct a list of this domains YP servers.
rod.darktech.org is already known as master server.
Please continue to add any slave servers, one per line. When you are
done with the list, type a &lt;control D&gt;.
master server : ellington
next host to add: <userinput>coltrane</userinput>
next host to add: <userinput>^D</userinput>
The current list of NIS servers looks like this:
ellington
coltrane
Is this correct? [y/n: y] <userinput>y</userinput>
[..output from map generation..]
NIS Map update completed.
ellington has been setup as an YP master server without any errors.</screen>
<para>Dadurch erzeugt <command>ypinit</command>
<filename>/var/yp/Makefile</filename> aus der Datei
<filename>/var/yp/Makefile.dist</filename>.
Durch diese Datei wird festgelegt, dass Sie in einer
NIS-Umgebung mit nur einem Server arbeiten und dass alle
Clients unter FreeBSD laufen. Da
<literal>test-domain</literal> aber auch &uuml;ber einen
Slaveserver verf&uuml;gt, m&uuml;ssen Sie
<filename>/var/yp/Makefile</filename> entsprechend anpassen:
</para>
<screen>ellington&prompt.root; <userinput>vi /var/yp/Makefile</userinput></screen>
<para>Sie sollten die Zeile</para>
<programlisting>NOPUSH = "True"</programlisting>
<para>auskommentieren (falls dies nicht bereits der Fall ist).</para>
</sect4>
<sect4>
<title>Einen NIS-Slaveserver einrichten</title>
<indexterm>
<primary>NIS</primary>
<secondary>Slaveserver</secondary>
</indexterm>
<para>Ein NIS-Slaveserver ist noch einfacher einzurichten als
ein Masterserver. Melden Sie sich am Slaveserver an und
&auml;ndern Sie <filename>/etc/rc.conf</filename> analog
zum Masterserver. Der einzige Unterschied besteht in der
Verwendung der Option <option>-s</option>, wenn Sie
<command>ypinit</command> aufrufen. Die Option
<option>-s</option> erfordert den Namen des
NIS-Masterservers, daher sieht unsere Ein- und Ausgabe wie
folgt aus:</para>
<screen>coltrane&prompt.root; <userinput>ypinit -s ellington test-domain</userinput>
Server Type: SLAVE Domain: test-domain Master: ellington
Creating an YP server will require that you answer a few questions.
Questions will all be asked at the beginning of the procedure.
Do you want this procedure to quit on non-fatal errors? [y/n: n] <userinput>n</userinput>
Ok, please remember to go back and redo manually whatever fails.
If you don't, something might not work.
There will be no further questions. The remainder of the procedure
should take a few minutes, to copy the databases from ellington.
Transferring netgroup...
ypxfr: Exiting: Map successfully transferred
Transferring netgroup.byuser...
ypxfr: Exiting: Map successfully transferred
Transferring netgroup.byhost...
ypxfr: Exiting: Map successfully transferred
Transferring master.passwd.byuid...
ypxfr: Exiting: Map successfully transferred
Transferring passwd.byuid...
ypxfr: Exiting: Map successfully transferred
Transferring passwd.byname...
ypxfr: Exiting: Map successfully transferred
Transferring group.bygid...
ypxfr: Exiting: Map successfully transferred
Transferring group.byname...
ypxfr: Exiting: Map successfully transferred
Transferring services.byname...
ypxfr: Exiting: Map successfully transferred
Transferring rpc.bynumber...
ypxfr: Exiting: Map successfully transferred
Transferring rpc.byname...
ypxfr: Exiting: Map successfully transferred
Transferring protocols.byname...
ypxfr: Exiting: Map successfully transferred
Transferring master.passwd.byname...
ypxfr: Exiting: Map successfully transferred
Transferring networks.byname...
ypxfr: Exiting: Map successfully transferred
Transferring networks.byaddr...
ypxfr: Exiting: Map successfully transferred
Transferring netid.byname...
ypxfr: Exiting: Map successfully transferred
Transferring hosts.byaddr...
ypxfr: Exiting: Map successfully transferred
Transferring protocols.bynumber...
ypxfr: Exiting: Map successfully transferred
Transferring ypservers...
ypxfr: Exiting: Map successfully transferred
Transferring hosts.byname...
ypxfr: Exiting: Map successfully transferred
coltrane has been setup as an YP slave server without any errors.
Don't forget to update map ypservers on ellington.</screen>
<para>Sie sollten nun &uuml;ber das Verzeichnis
<filename>/var/yp/test-domain</filename> verf&uuml;gen.
Die Kopien der NIS-Masterserver-Maps sollten sich in diesem
Verzeichnis befinden. Allerdings m&uuml;ssen Sie diese
auch aktuell halten. Die folgenden Eintr&auml;ge in
<filename>/etc/crontab</filename> erledigen diese Aufgabe:
</para>
<programlisting>20 * * * * root /usr/libexec/ypxfr passwd.byname
21 * * * * root /usr/libexec/ypxfr passwd.byuid</programlisting>
<para>Diese zwei Zeilen zwingen den Slaveserver, seine Maps
mit denen des Masterservers zu synchronisieren. Diese
Eintr&auml;ge sind nicht zwingend, da der Masterserver
versucht, alle &Auml;nderungen seiner NIS-Maps an seine
Slaveserver weiterzugeben. Da Passwortinformationen aber
f&uuml;r vom Server abh&auml;ngige Systeme vital sind, ist
es eine gute Idee, diese Aktualisierungen zu erzwingen.
Besonders wichtig ist dies in stark ausgelasteten Netzen,
in denen Map-Aktualisierungen unvollst&auml;ndig sein
k&ouml;nnten.</para>
<para>F&uuml;hren Sie nun <command>/etc/netstart</command>
auch auf dem Slaveserver aus, um den NIS-Server erneut zu
starten.</para>
</sect4>
</sect3>
<sect3>
<title>NIS-Clients</title>
<para>Ein NIS-Client <literal>bindet</literal> sich unter
Verwendung des <command>ypbind</command>-Daemons an einen
NIS-Server. <command>ypbind</command> pr&uuml;ft die
Standarddom&auml;ne des Systems (die durch
<command>domainname</command> gesetzt wird), und beginnt
RPCs &uuml;ber das lokale Netzwerk zu verteilen (broadcast).
Diese Anforderungen legen den Namen der Dom&auml;ne fest,
f&uuml;r die <command>ypbind</command> eine Bindung erzeugen
will. Wenn der Server der entsprechenden Dom&auml;ne eine
solche Anforderung erh&auml;lt, schickt er eine Antwort an
<command>ypbind</command>. <command>ybind</command> speichert
daraufhin die Adresse des Servers. Wenn mehrere Server
verf&uuml;gbar sind (beispielsweise ein Master- und mehrere
Slaveserver), verwendet <command>ypbind</command> die erste
erhaltene Adresse. Ab diesem Zeitpunkt richtet der Client alle
Anfragen an genau diesen Server. <command>ypbind</command>
<quote>pingt</quote> den Server gelegentlich an, um
sicherzustellen, dass der Server funktioniert. Antwortet der
Server innerhalb eines bestimmten Zeitraums nicht (Timeout),
markiert <command>ypbind</command> die Dom&auml;ne als
ungebunden und beginnt erneut, RPCs &uuml;ber das Netzwerk zu
verteilen, um einen anderen Server zu finden.</para>
<sect4>
<title>Einen NIS-Client konfigurieren</title>
<indexterm>
<primary>NIS</primary>
<secondary>Client konfigurieren</secondary>
</indexterm>
<para>Einen FreeBSD-Rechner als NIS-Client einzurichten, ist
recht einfach.</para>
<procedure>
<step>
<para>F&uuml;gen Sie folgende Zeilen in
<filename>/etc/rc.conf</filename> ein, um den
NIS-Dom&auml;nennamen festzulegen, und um
<command>ypbind</command> bei der Initialisierung des
Netzwerks zu starten:</para>
<programlisting>nisdomainname="test-domain"
nis_client_enable="YES"</programlisting>
</step>
<step>
<para>Um alle Passworteintr&auml;ge des NIS-Servers zu
importieren, l&ouml;schen Sie alle Benutzerkonten in
<filename>/etc/master.passwd</filename> und f&uuml;gen
mit <command>vipw</command> folgende Zeile am Ende der
Datei ein:</para>
<programlisting>+:::::::::</programlisting>
<note>
<para>Diese Zeile legt f&uuml;r alle g&uuml;ltigen
Benutzerkonten der NIS-Server-Maps einen Zugang an.
Es gibt verschiedene Wege, Ihren NIS-Client durch
&Auml;nderung dieser Zeile zu konfigurieren. Lesen
Sie dazu auch den Abschnitt &uuml;ber
<link linkend="netgroups">Netzgruppen</link> weiter
unten. Weitere detaillierte Informationen finden Sie
im Buch <literal>Managing NFS and NIS</literal> von
O'Reilly.</para>
</note>
<note>
<para>Sie sollten zumindest ein lokales Benutzerkonto,
das nicht &uuml;ber NIS importiert wird, in Ihrer
<filename>/etc/master.passwd</filename> behalten.
Dieser Benutzer sollte au&szlig;erdem ein Mitglied der
Gruppe <groupname>wheel</groupname> sein. Wenn es
mit NIS Probleme gibt, k&ouml;nnen Sie diesen Zugang
verwenden, um sich anzumelden,
<username>root</username> zu werden und das Problem
zu beheben.</para>
</note>
</step>
<step>
<para>Um alle m&ouml;glichen Gruppeneintr&auml;ge vom
NIS-Server zu importieren, f&uuml;gen sie folgende Zeile
in <filename>/etc/group</filename> ein:</para>
<programlisting>+:*::</programlisting>
</step>
</procedure>
<para>Nachdem Sie diese Schritte erledigt haben, sollten Sie
mit <command>ypcat passwd</command> die
<literal>passwd-Map</literal> des NIS-Servers anzeigen
k&ouml;nnen.</para>
</sect4>
</sect3>
</sect2>
<sect2>
<title>Sicherheit unter NIS</title>
<indexterm>
<primary>NIS</primary>
<secondary>Sicherheit</secondary>
</indexterm>
<para>Im Allgemeinen kann jeder entfernte Anwender einen RPC an
&man.ypserv.8; schicken, um den Inhalt Ihrer NIS-Maps abzurufen,
falls er Ihren NIS-Dom&auml;nennamen kennt. Um solche
unautorisierten Transaktionen zu verhindern, unterst&uuml;tzt
&man.ypserv.8; <quote>securenets</quote>, durch die man den
Zugriff auf bestimmte Rechner beschr&auml;nken kann.
&man.ypserv.8; versucht, beim Systemstart die Informationen
&uuml;ber <literal>securenets</literal> aus der Datei
<filename>/var/yp/securenets</filename> zu laden.</para>
<note>
<para>Die Datei <filename>securenets</filename> kann auch
in einem anderen Verzeichnis stehen, das mit der Option
<option>-p</option> angegeben wird. Diese Datei
enth&auml;lt Eintr&auml;ge, die aus einer Netzwerkadresse und
einer Netzmaske bestehen, die durch Leerzeichen getrennt
werden. Kommentarzeilen beginnen mit <quote>#</quote>.
<filename>/var/yp/securnets</filename> k&ouml;nnte
beispielsweise so aussehen:</para>
</note>
<programlisting># allow connections from local host -- mandatory
127.0.0.1 255.255.255.255
# allow connections from any host
# on the 192.168.128.0 network
192.168.128.0 255.255.255.0
# allow connections from any host
# between 10.0.0.0 to 10.0.15.255
# this includes the machines in the testlab
10.0.0.0 255.255.240.0</programlisting>
<para>Wenn &man.ypserv.8; eine Anforderung von einer zu diesen
Regeln passenden Adresse erh&auml;lt, wird die Anforderung
bearbeitet. Gibt es keine passende Regel, wird die
Anforderung ignoriert und eine Warnmeldung aufgezeichnet. Wenn
<filename>/var/yp/securenets</filename> nicht vorhanden ist,
erlaubt <command>ypserv</command> Verbindungen von jedem Rechner
aus.</para>
<para><command>ypserv</command> unterst&uuml;tzt auch das
<application>TCP-Wrapper</application>-Paket von Wietse Venema.
Mit diesem Paket kann der Administrator f&uuml;r
Zugriffskontrollen die Konfigurationsdateien von
<application>TCP-Wrapper</application> anstelle von
<filename>/var/yp/securenets</filename> verwenden.</para>
<note>
<para>W&auml;hrend beide Kontrollmechanismen einige Sicherheit
gew&auml;hren, beispielsweise durch privilegierte Ports, sind
sie gegen&uuml;ber <quote>IP spoofing</quote>-Attacken
verwundbar. Jeder NIS-Verkehr sollte daher von Ihrer Firewall
blockiert werden.</para>
<para>Server, die <filename>/var/yp/securenets</filename>
verwenden, k&ouml;nnen Schwierigkeiten bei der Anmeldung von
Clients haben, die ein veraltetes TCP/IP-Subsystem
besitzen. Einige dieser TCP/IP-Subsysteme setzen alle
Rechnerbits auf Null, wenn Sie einen
<literal>Broadcast</literal> durchf&uuml;hren und/oder
k&ouml;nnen die Subnetzmaske nicht auslesen, wenn sie die
Broadcast-Adresse berechnen. Einige Probleme k&ouml;nnen
durch &Auml;nderungen der Clientkonfiguration behoben werden.
Andere hingegen lassen sich nur durch das Entfernen des
betreffenden Rechners aus dem Netzwerk oder den Verzicht auf
<filename>/var/yp/securenets</filename> umgehen.</para>
<para>Die Verwendung von <filename>/var/yp/securenets</filename>
auf einem Server mit einem solch veralteten
TCP/IP-Subsystem ist eine sehr schlechte Idee, die zu
einem Verlust der NIS-Funktionalit&auml;t f&uuml;r gro&szlig;e
Teile Ihres Netzwerks f&uuml;hren kann.</para>
<indexterm>
<primary>TCP-Wrapper</primary>
</indexterm>
<para>Die Verwendung der <application>TCP-Wrapper</application>
verlangsamt die Reaktion Ihres NIS-Servers. Diese
zus&auml;tzliche Reaktionszeit kann in Clientprogrammen zu
Timeouts f&uuml;hren. Dies vor allem in Netzwerken, die
stark ausgelastet sind, oder nur &uuml;ber langsame NIS-Server
verf&uuml;gen. Wenn ein oder mehrere Ihrer Clientsysteme
dieses Problem aufweisen, sollten Sie die betreffenden Clients
in NIS-Slaveserver umwandeln, und diese an sich selbst binden.
</para>
</note>
</sect2>
<sect2>
<title>Bestimmte Benutzer an der Anmeldung hindern</title>
<indexterm>
<primary>NIS</primary>
<secondary>Benutzer blockieren</secondary>
</indexterm>
<para>In unserem Labor gibt es den Rechner <hostid>basie</hostid>,
der nur f&uuml;r Mitarbeiter der Fakult&auml;t bestimmt ist.
Wir wollen diesen Rechner nicht aus der NIS-Dom&auml;ne
entfernen, obwohl <filename>passwd</filename> des
NIS-Masterservers Benutzerkonten sowohl f&uuml;r
Fakult&auml;tsmitarbeiter als auch f&uuml;r Studenten
enth&auml;lt. Was k&ouml;nnen wir also tun?</para>
<para>Es gibt eine M&ouml;glichkeit, bestimmte Benutzer an der
Anmeldung an einem bestimmten Rechner zu hindern, selbst wenn
diese in der NIS-Datenbank vorhanden sind. Dazu m&uuml;ssen
Sie lediglich an diesem Rechner den Eintrag
<literal>-<replaceable>Benutzername</replaceable></literal> an
das Ende von <filename>/etc/master.passwd</filename> setzen,
wobei <replaceable>Benutzername</replaceable> der zu
blockierende Benutzername ist. Diese &Auml;nderung sollte
bevorzugt durch <command>vipw</command> erledigt werden, da
<command>vipw</command> Ihre &Auml;nderungen an
<filename>/etc/master.passwd</filename> auf Plausibilit&auml;t
&uuml;berpr&uuml;ft und nach erfolgter &Auml;nderung die
Passwortdatenbank automatisch aktualisiert. Um also den
Benutzer <username>bill</username> an der Anmeldung am Rechner
<hostid>basie</hostid> zu hindern, gehen wir wie folgt vor:
</para>
<screen>basie&prompt.root; <userinput>vipw</userinput>
<userinput>[add -bill to the end, exit]</userinput>
vipw: rebuilding the database...
vipw: done
basie&prompt.root; <userinput>cat /etc/master.passwd</userinput>
root:[password]:0:0::0:0:The super-user:/root:/bin/csh
toor:[password]:0:0::0:0:The other super-user:/root:/bin/sh
daemon:*:1:1::0:0:Owner of many system processes:/root:/sbin/nologin
operator:*:2:5::0:0:System &:/:/sbin/nologin
bin:*:3:7::0:0:Binaries Commands and Source,,,:/:/sbin/nologin
tty:*:4:65533::0:0:Tty Sandbox:/:/sbin/nologin
kmem:*:5:65533::0:0:KMem Sandbox:/:/sbin/nologin
games:*:7:13::0:0:Games pseudo-user:/usr/games:/sbin/nologin
news:*:8:8::0:0:News Subsystem:/:/sbin/nologin
man:*:9:9::0:0:Mister Man Pages:/usr/share/man:/sbin/nologin
bind:*:53:53::0:0:Bind Sandbox:/:/sbin/nologin
uucp:*:66:66::0:0:UUCP pseudo-user:/var/spool/uucppublic:/usr/libexec/uucp/uucico
xten:*:67:67::0:0:X-10 daemon:/usr/local/xten:/sbin/nologin
pop:*:68:6::0:0:Post Office Owner:/nonexistent:/sbin/nologin
nobody:*:65534:65534::0:0:Unprivileged user:/nonexistent:/sbin/nologin
+:::::::::
-bill
basie&prompt.root;</screen>
</sect2>
<sect2 id="netgroups">
<sect2info>
<authorgroup>
<author>
<firstname>Udo</firstname>
<surname>Erdelhoff</surname>
<contrib>Beigetragen von </contrib>
</author>
</authorgroup>
</sect2info>
<title>Netzgruppen verwenden</title>
<indexterm><primary>Netzgruppen</primary></indexterm>
<para>Die im letzten Abschnitt beschriebene Methode eignet sich
besonders, wenn Sie spezielle Regeln f&uuml;r wenige
Benutzer oder wenige Rechner ben&ouml;tigen. In gro&szlig;en
Netzwerken werden Sie allerdings
<emphasis>mit Sicherheit</emphasis> vergessen, einige Benutzer
von der Anmeldung an bestimmten Rechnern auszuschlie&szlig;en.
Oder Sie werden gezwungen sein, jeden Rechner einzeln zu
konfigurieren. Dadurch verlieren Sie aber den Hauptvorteil von
NIS, die <emphasis>zentrale</emphasis> Verwaltung.</para>
<para>Die L&ouml;sung f&uuml;r dieses Problem sind
<emphasis>Netzgruppen</emphasis>. Ihre Aufgabe und Bedeutung
ist vergleichbar mit normalen, von UNIX-Dateisystemen
verwendeten Gruppen. Die Hauptunterschiede sind das Fehlen
einer numerischen ID sowie die M&ouml;glichkeit, Netzgruppen
zu definieren, die sowohl Benutzer als auch andere Netzgruppen
enthalten.</para>
<para>Netzgruppen wurden entwickelt, um gro&szlig;e, komplexe
Netzwerke mit Hunderten Benutzern und Rechnern zu verwalten.
Sie sind also von Vorteil, wenn Sie von dieser Situation
betroffen sind. Andererseits ist es dadurch beinahe
unm&ouml;glich, Netzgruppen mit einfachen Beispielen zu
erkl&auml;ren. Das hier verwendete Beispiel veranschaulicht
dieses Problem.</para>
<para>Nehmen wir an, dass Ihre erfolgreiche Einf&uuml;hrung von
NIS die Aufmerksamkeit Ihrer Vorgesetzten geweckt hat. Ihre
n&auml;chste Aufgabe besteht nun darin, Ihre NIS-Dom&auml;ne
um zus&auml;tzliche Rechner zu erweitern. Die folgenden
Tabellen enthalten die neuen Benutzer und Rechner inklusive
einer kurzen Beschreibung.</para>
<informaltable frame="none" pgwide="1">
<tgroup cols="2">
<thead>
<row>
<entry>Benutzername(n)</entry>
<entry>Beschreibung</entry>
</row>
</thead>
<tbody>
<row>
<entry><username>alpha</username>,
<username>beta</username></entry>
<entry>Besch&auml;ftigte der IT-Abteilung</entry>
</row>
<row>
<entry><username>charlie</username>,
<username>delta</username></entry>
<entry>Die neuen Lehrlinge der IT-Abteilung</entry>
</row>
<row>
<entry><username>echo</username>,
<username>foxtrott</username>,
<username>golf</username>, ...</entry>
<entry>Normale Mitarbeiter</entry>
</row>
<row>
<entry><username>able</username>,
<username>baker</username>, ...</entry>
<entry>Externe Mitarbeiter</entry>
</row>
</tbody>
</tgroup>
</informaltable>
<informaltable frame="none" pgwide="1">
<tgroup cols="2">
<thead>
<row>
<entry>Rechnername(n)</entry>
<entry>Beschreibung</entry>
</row>
</thead>
<tbody>
<row>
<!-- Names taken from "Good Omens" by Neil Gaiman and Terry
Pratchett. Many thanks for a brilliant book. -->
<entry><hostid>war</hostid>, <hostid>death</hostid>,
<hostid>famine</hostid>, <hostid>pollution</hostid></entry>
<entry>Ihre wichtigsten Server. Nur IT-Fachleute
d&uuml;rfen sich an diesen Rechnern anmelden.</entry>
</row>
<row>
<!-- gluttony was omitted because it was too fat -->
<entry><hostid>pride</hostid>, <hostid>greed</hostid>,
<hostid>envy</hostid>, <hostid>wrath</hostid>,
<hostid>lust</hostid>, <hostid>sloth</hostid></entry>
<entry>Weniger wichtige Server. Alle Mitarbeiter der
IT-Abteilung d&uuml;rfen sich auf diesen Rechnern
anmelden.</entry>
</row>
<row>
<entry><hostid>one</hostid>, <hostid>two</hostid>,
<hostid>three</hostid>, <hostid>four</hostid>, ...</entry>
<entry>Gew&ouml;hnliche Arbeitsrechner. Nur die
<emphasis>wirklichen</emphasis> Mitarbeiter d&uuml;rfen
diese Rechner verwenden.</entry>
</row>
<row>
<entry><hostid>trashcan</hostid></entry>
<entry>Ein sehr alter Rechner ohne kritische Daten. Sogar
externe Mitarbeiter d&uuml;rfen diesen Rechner
verwenden.</entry>
</row>
</tbody>
</tgroup>
</informaltable>
<para>Wollten Sie diese Einschr&auml;nkungen umsetzen, indem Sie
jeden Benutzer einzeln blockieren, m&uuml;ssten Sie auf jedem
System f&uuml;r jeden Benutzer eine entsprechende Zeile in
<filename>passwd</filename> einf&uuml;gen. Wenn Sie nur einen
Eintrag vergessen, haben Sie ein Problem. Es mag noch angehen,
dies w&auml;hrend der ersten Installation zu erledigen, im
t&auml;glichen Betrieb werden Sie allerdings
<emphasis>mit Sicherheit</emphasis> einmal vergessen, die
entsprechenden Eintr&auml;ge anzulegen. Vergessen Sie nicht:
Murphy war Optimist.</para>
<para>Die Verwendung von Netzgruppen hat in dieser Situation
mehrere Vorteile. Sie m&uuml;ssen nicht jeden Benutzer einzeln
verwalten; weisen Sie stattdessen den Benutzer einer Netzgruppe
zu und erlauben oder verbieten Sie allen Mitglieder dieser
Gruppe die Anmeldung an einem Server. Wenn Sie einen neuen
Rechner hinzuf&uuml;gen, m&uuml;ssen Sie
Zugangsbeschr&auml;nkungen nur f&uuml;r die Netzgruppen
festlegen. Legen Sie einen neuen Benutzer an, m&uuml;ssen Sie
ihn nur einer oder mehrere Netzgruppen zuweisen. Diese
Ver&auml;nderungen sind voneinander unabh&auml;ngig; Anweisungen
der Form <quote>f&uuml;r diese Kombination aus Benutzer und
Rechner mache Folgendes ...</quote> sind nicht mehr n&ouml;tig.
Wenn Sie die Einrichtung von NIS sorgf&auml;ltig geplant haben,
m&uuml;ssen Sie nur noch eine zentrale Konfigurationsdatei
bearbeiten, um den Zugriff auf bestimmte Rechner zu erlauben
oder zu verbieten.</para>
<para>Der erste Schritt ist die Initialisierung der NIS-Maps
der Netzgruppe. &man.ypinit.8; kann dies unter FreeBSD nicht
automatisch durchf&uuml;hren. Sind die Maps aber erst einmal
erzeugt, werden sie jedoch von NIS problemlos unterst&uuml;tzt.
Um eine leere Map zu erzeugen, geben Sie Folgendes ein:</para>
<screen>ellington&prompt.root; <userinput>vi /var/yp/netgroup</userinput></screen>
<para>Danach legen Sie die Eintr&auml;ge an. F&uuml;r unser
Beispiel ben&ouml;tigen wir mindestens vier Netzgruppen:
IT-Besch&auml;ftige, IT-Lehrlinge, normale Besch&auml;ftigte
sowie Externe.</para>
<programlisting>IT_EMP (,alpha,test-domain) (,beta,test-domain)
IT_APP (,charlie,test-domain) (,delta,test-domain)
USERS (,echo,test-domain) (,foxtrott,test-domain) \
(,golf,test-domain)
INTERNS (,able,test-domain) (,baker,test-domain)</programlisting>
<para>Bei <literal>IT_EMP</literal>, <literal>IT_APP</literal>
usw. handelt es sich um Netzgruppennamen. In den Klammern
werden diesen Netzgruppen jeweils ein oder mehrere
Benutzerkonten hinzugef&uuml;gt. Die drei Felder in der
Klammer haben folgende Bedeutung:</para>
<orderedlist>
<listitem>
<para>Der Name des Rechners, auf dem die folgenden Werte
g&uuml;ltig sind. Legen Sie keinen Rechnernamen fest, ist
der Eintrag auf allen Rechnern g&uuml;ltig. Dadurch
gehen Sie vielen Problemen aus dem Weg.</para>
</listitem>
<listitem>
<para>Der Name des Benutzerkontos, der zu dieser Netzgruppe
geh&ouml;rt.</para>
</listitem>
<listitem>
<para>Die NIS-Dom&auml;ne f&uuml;r das Benutzerkonto. Sie
k&ouml;nnen Benutzerkonten von anderen NIS-Dom&auml;nen in
Ihre Netzgruppe importieren, wenn Sie mehrere
NIS-Dom&auml;nen verwalten.</para>
</listitem>
</orderedlist>
<para>Jedes Feld kann Wildcards enthalten. Die Einzelheiten
entnehmen Sie bitte &man.netgroup.5;.</para>
<note>
<indexterm><primary>Netzgruppen</primary></indexterm>
<para>Netzgruppennamen sollten nicht l&auml;nger als 8 Zeichen
sein, vor allem dann, wenn Sie Rechner mit verschiedenen
Betriebssystemen in Ihrer NIS-Dom&auml;ne haben. Es wird
zwischen Gro&szlig;- und Kleinschreibung unterschieden.
Die Verwendung von Gro&szlig;buchstaben f&uuml;r
Netzgruppennamen erm&ouml;glicht eine leichte Unterscheidung
zwischen Benutzern, Rechnern und Netzgruppen.</para>
<para>Einige NIS-Clients (dies gilt nicht f&uuml;r FreeBSD)
k&ouml;nnen keine Netzgruppen mit einer gro&szlig;en Anzahl
von Eintr&auml;gen verwalten. Einige &auml;ltere Versionen
von &sunos; haben beispielsweise Probleme, wenn Netzgruppen
mehr als f&uuml;nfzehn <emphasis>Eintr&auml;ge</emphasis>
enthalten. Sie k&ouml;nnen dieses Problem umgehen, indem Sie
mehrere Subnetzgruppen mit weniger als f&uuml;nfzehn Benutzern
anlegen und diese Subnetzgruppen wiederum in einer Netzgruppe
zusammenfassen:</para>
<programlisting>BIGGRP1 (,joe1,domain) (,joe2,domain) (,joe3,domain) [...]
BIGGRP2 (,joe16,domain) (,joe17,domain) [...]
BIGGRP3 (,joe31,domain) (,joe32,domain)
BIGGROUP BIGGRP1 BIGGRP2 BIGGRP3</programlisting>
<para>Sie k&ouml;nnen diesen Vorgang wiederholen, wenn Sie mehr
als 255 Benutzer in einer einzigen Netzgruppe ben&ouml;tigen.
</para>
</note>
<para>Das Aktivieren und Verteilen Ihre neuen NIS-Map ist
einfach:</para>
<screen>ellington&prompt.root; <userinput>cd /var/yp</userinput>
ellington&prompt.root; <userinput>make</userinput></screen>
<para>Dadurch werden die NIS-Maps <filename>netgroup</filename>,
<filename>netgroup.byhost</filename> und
<filename>netgroup.byuser</filename> erzeugt. Pr&uuml;fen Sie
die Verf&uuml;gbarkeit Ihrer neuen NIS-Maps mit &man.ypcat.1;.
</para>
<screen>ellington&prompt.user; <userinput>ypcat -k netgroup</userinput>
ellington&prompt.user; <userinput>ypcat -k netgroup.byhost</userinput>
ellington&prompt.user; <userinput>ypcat -k netgroup.byuser</userinput></screen>
<para>Die Ausgabe des ersten Befehls gibt den Inhalt von
<filename>/var/yp/netgroup</filename> wieder. Der zweite Befehl
erzeugt nur dann eine Ausgabe, wenn Sie rechnerspezifische
Netzgruppen erzeugt haben. Der dritte Befehl gibt die
Netzgruppen nach Benutzern sortiert aus.</para>
<para>Die Einrichtung der Clients ist einfach. Sie m&uuml;ssen
lediglich auf dem Server <hostid>war</hostid>
&man.vipw.8; aufrufen und die Zeile</para>
<programlisting>+:::::::::</programlisting>
<para>durch</para>
<programlisting>+@IT_EMP:::::::::</programlisting>
<para>ersetzen.</para>
<para>Ab sofort werden nur noch die Daten der in der Netzgruppe
<literal>IT_EMP</literal> vorhandenen Benutzer in die
Passwortdatenbank von <hostid>war</hostid> importiert.
Nur diese Benutzer d&uuml;rfen sich am Server anmelden.</para>
<para>Ungl&uuml;cklicherweise gilt diese Einschr&auml;nkung auch
f&uuml;r die <literal>~</literal>-Funktion der Shell und
f&uuml;r alle Routinen, die auf Benutzernamen und numerische
Benutzer-IDs zugreifen. Oder anders formuliert,
<command>cd ~<replaceable>user</replaceable></command> ist nicht
m&ouml;glich, <command>ls -l</command> zeigt die numerische
Benutzer-ID statt dem Benutzernamen und
<command>find . -user joe -print</command> erzeugt die
Fehlermeldung <errorname>No such user</errorname>. Um dieses
Problem zu beheben, m&uuml;ssen Sie alle Benutzereintr&auml;ge
importieren, <emphasis>ohne ihnen jedoch zu erlauben, sich an
Ihrem Server anzumelden</emphasis>.</para>
<para>Dazu f&uuml;gen Sie eine weitere Zeile in
<filename>/etc/master.passwd</filename> ein. Diese Zeile sollte
&auml;hnlich der folgenden aussehen:</para>
<para><literal>+:::::::::/sbin/nologin</literal>, was in etwa
<quote>Importiere alle Eintr&auml;ge, aber ersetze die Shell in
den importierten Eintr&auml;gen durch
<filename>/sbin/nologin</filename></quote> entspricht. Sie
k&ouml;nnen jedes Feld dieses Eintrages ersetzen, indem Sie
einen Standardwert in <filename>/etc/master.passwd</filename>
eintragen.</para>
<warning>
<para>Stellen Sie sicher, dass die Zeile
<literal>+:::::::::/sbin/nologin</literal>
<emphasis>nach</emphasis> der Zeile
<literal>+@IT_EMP:::::::::</literal> eingetragen ist. Sonst
haben alle via NIS importierten Benutzerkonten
<filename>/sbin/nologin</filename> als Loginshell.</para>
</warning>
<para>Danach m&uuml;ssen Sie nur mehr eine einzige NIS-Map
&auml;ndern, wenn ein neuer Mitarbeiter ber&uuml;cksichtigt
werden muss. F&uuml;r weniger wichtige Server gehen Sie analog
vor, indem Sie den alten Eintrag <literal>+:::::::::</literal>
in den lokalen Versionen von
<filename>/etc/master.passwd</filename> durch folgende
Eintr&auml;ge ersetzen:</para>
<programlisting>+@IT_EMP:::::::::
+@IT_APP:::::::::
+:::::::::/sbin/nologin</programlisting>
<para>Die entsprechenden Zeilen f&uuml;r normale Arbeitspl&auml;tze
lauten:</para>
<programlisting>+@IT_EMP:::::::::
+@USERS:::::::::
+:::::::::/sbin/nologin</programlisting>
<para>Ab jetzt w&auml;re alles wunderbar, allerdings &auml;ndert
sich kurz darauf die Firmenpolitik: Die IT-Abteilung beginnt
damit, externe Mitarbeiter zu besch&auml;ftigen. Externe
d&uuml;rfen sich an normalen Arbeitspl&auml;tzen sowie an den
weniger wichtigen Servern anmelden. Die IT-Lehrlinge
d&uuml;rfen sich nun auch an den Hauptservern anmelden. Sie
legen also die neue Netzgruppe <literal>IT_INTERN</literal> an,
weisen Ihr die neuen IT-Externen als Benutzer zu und beginnen
damit, die Konfiguration auf jedem einzelnen Rechner zu
&auml;ndern ... Halt. Sie haben gerade die alte Regel
<quote>Fehler in der zentralisierten Planung f&uuml;hren zu
globaler Verwirrung.</quote> best&auml;tigt.</para>
<para>Da NIS in der Lage ist, Netzgruppen aus anderen Netzgruppen
zu bilden, lassen sich solche Situationen leicht vermeiden.
Eine M&ouml;glichkeit ist die Erzeugung rollenbasierter
Netzgruppen. Sie k&ouml;nnten eine Netzgruppe
<literal>BIGSRV</literal> erzeugen, um den Zugang zu
den wichtigsten Servern zu beschr&auml;nken, eine weitere
Gruppe <literal>SMALLSRV</literal> f&uuml;r die weniger
wichtigen Server und eine dritte Netzgruppe
<literal>USERBOX</literal> f&uuml;r die normalen
Arbeitsplatzrechner. Jede dieser Netzgruppen enth&auml;lt die
Netzgruppen, die sich auf diesen Rechnern anmelden d&uuml;rfen.
Die Eintr&auml;ge der Netzgruppen in der NIS-Map sollten
&auml;hnlich den folgenden aussehen:</para>
<programlisting>BIGSRV IT_EMP IT_APP
SMALLSRV IT_EMP IT_APP ITINTERN
USERBOX IT_EMP ITINTERN USERS</programlisting>
<para>Diese Methode funktioniert besonders gut, wenn Sie
Rechner in Gruppen mit identischen Beschr&auml;nkungen einteilen
k&ouml;nnen. Ungl&uuml;cklicherweise ist dies die Ausnahme und
nicht die Regel. Meistens werden Sie die M&ouml;glichkeit zur
rechnerspezischen Zugangsbeschr&auml;nkung ben&ouml;tigen.
</para>
<para>Rechnerspezifische Netzgruppen sind die zweite
M&ouml;glichkeit, um mit den oben beschriebenen &Auml;nderungen
umzugehen. In diesem Szenario enth&auml;lt
<filename>/etc/master.passwd</filename> auf jedem Rechner zwei
mit <quote>+</quote> beginnende Zeilen. Die erste Zeile
legt die Netzgruppe mit den Benutzern fest, die sich auf diesem
Rechner anmelden d&uuml;rfen. Die zweite Zeile weist allen
anderen Benutzern <filename>/sbin/nologin</filename> als Shell
zu. Verwenden Sie auch hier (analog zu den Netzgruppen)
Gro&szlig;buchstaben f&uuml;r die Rechnernamen. Die Zeilen
sollten also &auml;hnlich den folgenden aussehen:</para>
<programlisting>+@<replaceable>BOXNAME</replaceable>:::::::::
+:::::::::/sbin/nologin</programlisting>
<para>Wenn Sie dies f&uuml;r alle Rechner erledigt haben, werden
Sie die lokalen Versionen von
<filename>/etc/master.passwd</filename> nie mehr ver&auml;ndern
m&uuml;ssen. Alle weiteren &Auml;nderungen geschehen &uuml;ber
die NIS-Maps. Nachfolgend ein Beispiel f&uuml;r eine
m&ouml;gliche Netzgruppen-Map, die durch einige Besonderheiten
erweitert wurde:</para>
<programlisting># Define groups of users first
IT_EMP (,alpha,test-domain) (,beta,test-domain)
IT_APP (,charlie,test-domain) (,delta,test-domain)
DEPT1 (,echo,test-domain) (,foxtrott,test-domain)
DEPT2 (,golf,test-domain) (,hotel,test-domain)
DEPT3 (,india,test-domain) (,juliet,test-domain)
ITINTERN (,kilo,test-domain) (,lima,test-domain)
D_INTERNS (,able,test-domain) (,baker,test-domain)
#
# Now, define some groups based on roles
USERS DEPT1 DEPT2 DEPT3
BIGSRV IT_EMP IT_APP
SMALLSRV IT_EMP IT_APP ITINTERN
USERBOX IT_EMP ITINTERN USERS
#
# And a groups for a special tasks
# Allow echo and golf to access our anti-virus-machine
SECURITY IT_EMP (,echo,test-domain) (,golf,test-domain)
#
# machine-based netgroups
# Our main servers
WAR BIGSRV
FAMINE BIGSRV
# User india needs access to this server
POLLUTION BIGSRV (,india,test-domain)
#
# This one is really important and needs more access restrictions
DEATH IT_EMP
#
# The anti-virus-machine mentioned above
ONE SECURITY
#
# Restrict a machine to a single user
TWO (,hotel,test-domain)
# [...more groups to follow]
</programlisting>
<para>Wenn Sie eine Datenbank verwenden, um Ihre Benutzerkonten zu
verwalten, sollten Sie den ersten Teil der NIS-Map mit Ihren
Datenbanktools erstellen k&ouml;nnen. Auf diese Weise haben
neue Benutzer automatisch Zugriff auf die Rechner.</para>
<para>Eine letzte Warnung: Es ist nicht immer ratsam,
rechnerbasierte Netzgruppen zu verwenden. Wenn Sie Dutzende
oder gar Hunderte identische Rechner einrichten m&uuml;ssen,
sollten Sie rollenbasierte Netzgruppen verwenden, um die
Gr&ouml;sse der NISs-Maps in Grenzen zu halten.</para>
</sect2>
<sect2>
<title>Weitere wichtige Punkte</title>
<para>Nachdem Sie Ihre NIS-Umgebung eingerichtet haben,
m&uuml;ssen Sie einige Dinge anders als bisher erledigen.</para>
<itemizedlist>
<listitem>
<para>Jedes Mal, wenn Sie einen neuen Benutzer anlegen wollen,
tun Sie dies <emphasis>ausschlie&szlig;lich</emphasis> am
NIS-Masterserver. Au&szlig;erdem
<emphasis>m&uuml;ssen</emphasis> Sie anschlie&szlig;end die
NIS-Maps neu erzeugen. Wenn Sie diesen Punkt vergessen,
kann sich der neue Benutzer <emphasis>nur</emphasis> am
NIS-Masterserver anmelden. Wenn Sie also den neuen Benutzer
<username>jsmith</username> anlegen, gehen Sie
folgerndermassen vor:</para>
<screen>&prompt.root; <userinput>pw useradd jsmith</userinput>
&prompt.root; <userinput>cd /var/yp</userinput>
&prompt.root; <userinput>make test-domain</userinput></screen>
<para>Statt <command>pw useradd jsmith</command> k&ouml;nnten
Sie auch <command>adduser jsmith</command> verwenden.</para>
</listitem>
<listitem>
<para><emphasis>Tragen Sie die Administratorkonten nicht
in die NIS-Maps ein</emphasis>. Administratorkonten und
Passw&ouml;rter d&uuml;rfen nicht auf Rechnern verbreitet
werden, auf denen sich Benutzer anmelden k&ouml;nnen, die
auf diese Konten keine Zugriff haben sollen.</para>
</listitem>
<listitem>
<para><emphasis>Sichern Sie die NIS-Master- und Slaveserver
und minimieren Sie die Ausfallzeiten</emphasis>. Wenn
diese Rechner gehackt oder einfach nur ausgeschaltet werden,
haben viele Leute keinen Netzwerkzugriff mehr.</para>
<para>Dies ist die gr&ouml;&szlig;te Schw&auml;che
jeder zentralen Verwaltung. Wenn Sie Ihre NIS-Server nicht
sch&uuml;tzen, werden Sie viele ver&auml;rgerte Anwender
haben.</para>
</listitem>
</itemizedlist>
</sect2>
<sect2>
<title>Kompatibilit&auml;t zu NIS v1</title>
<indexterm>
<primary>NIS</primary>
<secondary>Kompatibilit&auml;t zu NIS v1</secondary>
</indexterm>
<para><application>ypserv</application> unterst&uuml;tzt NIS v1
unter FreeBSD nur eingeschr&auml;nkt. Die NIS-Implementierung
von FreeBSD verwendet nur NIS v2, andere Implementierungen
unterst&uuml;tzen aus Gr&uuml;nden der
Abw&auml;rtskompatibilit&auml;t mit &auml;lteren Systemen auch
NIS v1. Die mit diesen Systemen gelieferten
<application>ypbind</application>-Daemonen versuchen, sich an
einen NIS-v1-Server zu binden (Dies selbst dann, wenn sie ihn
nie ben&ouml;tigen. Au&szlig;erdem versuchen Sie auch dann,
einen v1-Server zu erreichen, wenn Sie zuvor eine Antwort von
einem v2-Server erhalten.). W&auml;hrend normale Clientaufrufe
unter FreeBSD unterst&uuml;tzt werden, sind Anforderungen zum
Transfer von v1-Maps nicht m&ouml;glich. Daher kann FreeBSD
nicht als Client oder Server verwendet werden, wenn ein
NIS-Server vorhanden ist, der nur NIS v1 unterst&uuml;tzt.
Gl&uuml;cklicherweise sollte es heute keine Server mehr geben,
die nur NIS v1 unterst&uuml;tzen.</para>
</sect2>
<sect2 id="nis-server-is-client">
<title>NIS-Server, die auch als NIS-Clients arbeiten</title>
<para>Wenn Sie <application>ypserv</application> in einer
Multi-Serverdom&auml;ne verwenden, in der NIS-Server
gleichzeitig als NIS-Clients arbeiten, ist es eine gute Idee,
diese Server zu zwingen, sich an sich selbst zu binden. Damit
wird verhindert, dass Bindeanforderungen gesendet werden und
sich die Server gegenseitig binden. Sonst k&ouml;nnten seltsame
Fehler auftreten, wenn ein Server ausf&auml;llt, auf den andere
Server angewiesen sind. Letztlich werden alle Clients einen
Timeout melden, und versuchen, sich an andere Server zu binden.
Die dadurch entstehende Verz&ouml;gerung kann betr&auml;chtlich
sein. Au&szlig;erdem kann der Fehler erneut auftreten, da sich
die Server wiederum aneinander binden k&ouml;nnten.</para>
<para>Sie k&ouml;nnen einen Rechner durch die Verwendung von
<command>ypbind</command> sowie der Option <option>-S</option>
zwingen, sich an einen bestimmten Server zu binden. Um diesen
Vorgang zu automatisieren, k&ouml;nnen Sie folgende Zeilen in
<filename>/etc/rc.conf</filename> einf&uuml;gen:</para>
<programlisting>nis_client_enable="YES" # run client stuff as well
nis_client_flags="-S <replaceable>NIS domain</replaceable>,<replaceable>server</replaceable>"</programlisting>
<para>Lesen Sie &man.ypbind.8;, wenn Sie weitere Informationen
ben&ouml;tigen.</para>
</sect2>
<sect2>
<title>Passwortformate</title>
<indexterm>
<primary>NIS</primary>
<secondary>Passwortformate</secondary>
</indexterm>
<para>Unterschiedliche Passwortformate sind das Hauptproblem,
das beim Einrichten eines NIS-Servers auftreten kann.
Wenn der NIS-Server mit DES verschl&uuml;sselte Passw&ouml;rter
verwendet, werden nur Clients unterst&uuml;tzt, die ebenfalls
DES benutzen. Wenn sich auf Ihrem Netzwerk beispielsweise
&solaris; NIS-Clients befinden, m&uuml;ssen die Passw&ouml;rter
mit DES verschl&uuml;sselt werden.</para>
<para>Welches Format die Server und Clients verwenden,
steht in <filename>/etc/login.conf</filename>. Wenn ein
System Passw&ouml;rter mit DES verschl&uuml;sselt,
enth&auml;lt die <literal>default</literal>-Klasse einen
Eintrag wie den folgenden:</para>
<programlisting>default:\
:passwd_format=des:\
:copyright=/etc/COPYRIGHT:\
[weitere Eintr&auml;ge]</programlisting>
<para>M&ouml;gliche Werte f&uuml;r
<literal>passwd_format</literal> sind unter anderem
<literal>blf</literal> und <literal>md5</literal> (mit
Blowfish und MD5 verschl&uuml;sselte Passw&ouml;rter).</para>
<para>Wenn die Datei <filename>/etc/login.conf</filename>
ge&auml;ndert wird, muss die Login-Capability Datenbank
neu erstellt werden. Geben Sie dazu als
<username>root</username> den folgenden Befehl ein:</para>
<screen>&prompt.root; <userinput>cap_mkdb /etc/login.conf</userinput></screen>
<note>
<para>Das Format der schon in
<filename>/etc/master.passwd</filename> befindlichen
Passw&ouml;rter wird erst aktualisiert, wenn ein Benutzer
sein Passwort &auml;ndert, <emphasis>nachdem</emphasis>
die Datenbank neu erstellt wurde.</para>
</note>
<para>Damit die Passw&ouml;rter auch im gew&auml;hlten
Format abgespeichert werden, muss mit
<literal>crypt_default</literal> in der Datei
<filename>/etc/auth.conf</filename> die richtige
Priorit&auml;t der Formate eingestellt werden. Das
gew&auml;hlte Format sollte als Erstes in der Liste
stehen. Sollen die Passw&ouml;rter mit DES verschl&uuml;sselt
werden, verwenden Sie den folgenden Eintrag:</para>
<programlisting>crypt_default = des blf md5</programlisting>
<para>Wenn Sie alle &os; NIS-Server und NIS-Clients entsprechend
den obigen Schritten eingestellt haben, wird im ganzen
Netzwerk dasselbe Passwortformat verwendet. Falls Sie
Probleme mit der Authentifizierung eines NIS-Clients
haben, kontrollieren Sie die verwendeten Passwortformate.
In einer heterogenen Umgebung werden Sie DES benutzen
m&uuml;ssen, da dies der meist unterst&uuml;tzte Standard
ist.</para>
</sect2>
</sect1>
<sect1 id="network-dhcp">
<sect1info>
<authorgroup>
<author>
<firstname>Greg</firstname>
<surname>Sutter</surname>
<contrib>Geschrieben von </contrib>
</author>
</authorgroup>
</sect1info>
<title>Automatische Netzwerkkonfiguration mit DHCP</title>
<sect2>
<title>Was ist DHCP?</title>
<indexterm>
<primary>Dynamic Host Configuration Protocol</primary>
<see>DHCP</see>
</indexterm>
<indexterm>
<primary>Internet Software Consortium (ISC)</primary>
</indexterm>
<para>&Uuml;ber DHCP, das Dynamic Host Configuration Protocol,
kann sich ein System mit einem Netzwerk verbinden und die
f&uuml;r die Kommunikation mit diesem Netzwerk n&ouml;tigen
Informationen beziehen. &os;-Versionen vor 6.0 verwenden
die DHCP-Client-Implementierung (&man.dhclient.8;) von ISC
(Internet Software Consortium). Ab 6.0 wird der von
OpenBSD&nbsp;3.7 stammende <command>dhclient</command>
zum Einsatz kommen. Die Informationen in diesem Abschnitt
beziehen sich daher sowohl auf den <command>dhclient</command>
von ISC als auch auf den von OpenBSD. Als DHCP-Server wird
in beiden F&auml;llen der DHCP-Server der ISC-Distribution
verwendet.</para>
</sect2>
<sect2>
<title>&Uuml;bersicht</title>
<para>Dieser Abschnitt beschreibt sowohl die Clientseite des
ISC- als auch des OpenBSD-Clients sowie die
Serverseite des DHCP-Systems von ISC. Das Clientprogramm
<command>dhclient</command> ist in FreeBSD integriert, das
Serverprogramm kann &uuml;ber den Port
<filename role="package">net/isc-dhcp3-server</filename>
installiert werden. Weiter Informationen finden Sie in
&man.dhclient.8;, &man.dhcp-options.5; sowie
&man.dhclient.conf.5;.</para>
</sect2>
<sect2>
<title>Wie funktioniert DHCP?</title>
<indexterm><primary>UDP</primary></indexterm>
<para>Der DHCP-Client <command>dhclient</command> beginnt von
einem Clientrechner aus &uuml;ber den UDP-Port 68
Konfigurationsinformationen anzufordern. Der Server antwortet
auf dem UDP-Port 67, indem er dem Client eine IP-Adresse
zuweist und ihm weitere wichtige Informationen &uuml;ber das
Netzwerk, wie Netzmasken, Router und DNS-Server mitteilt. Diese
Informationen werden als
<firstterm>DHCP-Lease</firstterm> bezeichnet und
sind nur f&uuml;r eine bestimmte Zeit, die vom Administrator des
DHCP-Servers vorgegeben wird, g&uuml;ltig. Dadurch fallen
verwaiste IP-Adressen, deren Clients nicht mehr mit dem Netzwerk
verbunden sind, automatisch an den Server zur&uuml;ck.</para>
<para>DHCP-Clients k&ouml;nnen sehr viele Informationen von einem
DHCP-Server erhalten. Eine ausf&uuml;hrliche Liste finden Sie
in &man.dhcp-options.5;.</para>
</sect2>
<sect2>
<title>Integration in FreeBSD</title>
<para>In Abh&auml;ngigkeit von der eingesetzten &os;-Version wird
entweder der ISC-DHCP-Client oder der DHCP-Client von OpenBSD
in FreeBSD integriert. Sowohl w&auml;hrend der Installation als
auch im Basissystem steht der DHCP-Client zur Verf&uuml;gung.
In Netzen mit DHCP-Servern wird dadurch die Konfiguration von
Systemen erheblich vereinfacht. <command>dhclient</command>
ist seit der Version 3.2 in &os; enthalten.</para>
<indexterm>
<primary><application>sysinstall</application></primary>
</indexterm>
<para>DHCP wird von <application>sysinstall</application>
unterst&uuml;tzt. Wenn Sie eine Netzwerkkarte mit
<application>sysinstall</application> konfigurieren, lautet
die zweite Frage <quote>Do you want to try DHCP configuration
of the interface?</quote>. Wenn Sie diese Frage bejahen, wird
<command>dhclient</command> aufgerufen, und die Netzkarte wird
automatisch eingerichtet.</para>
<para>Um DHCP beim Systemstart zu aktivieren, m&uuml;ssen Sie zwei
Dinge erledigen:</para>
<indexterm>
<primary>DHCP</primary>
<secondary>Anforderungen</secondary>
</indexterm>
<itemizedlist>
<listitem>
<para>Stellen Sie sicher, dass <devicename>bpf</devicename> in
Ihren Kernel kompiliert ist. Dazu f&uuml;gen Sie die Zeile
<literal>device bpf</literal>
(<literal>pseudo-device bpf</literal> unter &os;&nbsp;4.X)
in Ihre Kernelkonfigurationsdatei ein und erzeugen einen
neuen Kernel. Weitere Informationen zur Kernelkonfiguration
finden Sie in <xref linkend="kernelconfig"> des Handbuchs.
</para>
<para>Das Ger&auml;t <devicename>bpf</devicename> ist im
<filename>GENERIC</filename>-Kernel bereits enthalten.
F&uuml;r die Nutzung von DHCP muss also kein angepasster
Kernel erzeugt werden.</para>
<note>
<para>Wenn Sie um die Sicherheit Ihres Systems besorgt
sind, sollten Sie wissen, dass
<devicename>bpf</devicename> auch zur Ausf&uuml;hrung
von Paketsniffern erforderlich ist (obwohl diese dennoch
als <username>root</username> ausgef&uuml;hrt werden
m&uuml;ssen). <devicename>bpf</devicename>
<emphasis>muss</emphasis> vorhanden sein, damit DHCP
funktioniert. Sind Sie sehr sicherheitsbewusst, sollten
Sie <devicename>bpf</devicename> aus Ihrem Kernel
entfernen, wenn Sie DHCP nicht verwenden.</para>
</note>
</listitem>
<listitem>
<para>F&uuml;gen Sie folgende Zeile in
<filename>/etc/rc.conf</filename> ein:</para>
<programlisting>ifconfig_fxp0="DHCP"</programlisting>
<note>
<para>Ersetzen Sie <literal>fxp0</literal> durch den
Eintrag f&uuml;r die Netzkarte, die Sie dynamisch
einrichten wollen. Lesen Sie dazu auch
<xref linkend="config-network-setup">.</para>
</note>
<para>Wenn Sie <command>dhclient</command> an einem anderen
Ort installiert haben, oder zus&auml;tzliche Flags an
<command>dhclient</command> &uuml;bergeben wollen,
f&uuml;gen Sie auch folgende (entsprechend angepasste)
Zeilen ein:</para>
<programlisting>dhcp_program="/sbin/dhclient"
dhcp_flags=""</programlisting>
</listitem>
</itemizedlist>
<indexterm>
<primary>DHCP</primary>
<secondary>Server</secondary>
</indexterm>
<para>Der DHCP-Server <application>dhcpd</application> ist als
Teil des Ports
<filename role="package">net/isc-dhcp3-server</filename>
verf&uuml;gbar. Dieser Port enth&auml;lt die komplette
ISC-DHCP-Distribution, inklusive der Dokumentation.</para>
</sect2>
<sect2>
<title>Dateien</title>
<indexterm>
<primary>DHCP</primary>
<secondary>Konfigurationsdateien</secondary>
</indexterm>
<itemizedlist>
<listitem>
<para><filename>/etc/dhclient.conf</filename></para>
<para><command>dhclient</command> ben&ouml;tigt die
Konfigurationsdatei <filename>/etc/dhclient.conf</filename>.
Diese Datei enth&auml;lt normalerweise nur Kommentare, da
die Vorgabewerte zumeist ausreichend sind. Lesen Sie dazu
auch &man.dhclient.conf.5;.</para>
</listitem>
<listitem>
<para><filename>/sbin/dhclient</filename></para>
<para><command>dhclient</command> ist statisch gelinkt und
befindet sich in <filename>/sbin</filename>. Weitere
Informationen finden Sie in &man.dhclient.8;.</para>
</listitem>
<listitem>
<para><filename>/sbin/dhclient-script</filename></para>
<para>Bei <command>dhclient-script</command> handelt es sich
um das FreeBSD-spezifische Konfigurationsskript des
DHCP-Clients. Es wird in &man.dhclient-script.8;
beschrieben und kann meist unver&auml;ndert &uuml;bernommen
werden.</para>
</listitem>
<listitem>
<para><filename>/var/db/dhclient.leases</filename></para>
<para>Der DHCP-Client verf&uuml;gt &uuml;ber eine Datenbank,
die alle derzeit g&uuml;ltigen Leases enth&auml;lt und als
Logdatei erzeugt wird. Weitere Informationen finden Sie in
&man.dhclient.8;.</para>
</listitem>
</itemizedlist>
</sect2>
<sect2>
<title>Weitere Informationen</title>
<para>Das DHCP-Protokoll wird vollst&auml;ndig im
<ulink url="http://www.freesoft.org/CIE/RFC/2131/">RFC 2131</ulink>
beschrieben. Eine weitere, lehrreiche Informationsquelle
existiert unter
<ulink url="http://www.dhcp.org/"></ulink>.</para>
</sect2>
<sect2 id="network-dhcp-server">
<title>Einen DHCP-Server installieren und einrichten</title>
<sect3>
<title>&Uuml;bersicht</title>
<para>Dieser Abschnitt beschreibt die Einrichtung eines
FreeBSD-Systems als DHCP-Server. Dazu wird die
DHCP-Implementation von ISC (Internet Software Consortium)
verwendet.</para>
<para>Der DHCP-Server ist nicht im Basissystem von FreeBSD
enthalten, daher m&uuml;ssen Sie als Erstes den Port
<filename role="package">net/isc-dhcp3-server</filename>
installieren. Lesen Sie <xref linkend="ports">, wenn Sie
weitere Informationen zur Ports-Sammlung ben&ouml;tigen.
</para>
</sect3>
<sect3>
<title>Den DHCP-Server installieren</title>
<indexterm>
<primary>DHCP</primary>
<secondary>installieren</secondary>
</indexterm>
<para>Stellen Sie sicher, dass &man.bpf.4; in Ihren Kernel
kompiliert ist. Dazu f&uuml;gen Sie die Zeile
<literal>device bpf</literal>
(<literal>pseudo-device bpf</literal> unter &os;&nbsp;4.X)in
Ihre Kernelkonfigurationsdatei ein und erzeugen einen neuen
Kernel. Die Kernelkonfiguration wird in
<xref linkend="kernelconfig"> beschrieben.</para>
<para>Das Ger&auml;t <devicename>bpf</devicename> ist im
<filename>GENERIC</filename>-Kernel bereits enthalten.
F&uuml;r die Nutzung von DHCP muss also kein angepasster
Kernel erzeugt werden.</para>
<note>
<para>Wenn Sie um die Sicherheit Ihres Systems besorgt
sind, sollten Sie wissen, dass
<devicename>bpf</devicename> auch zur Ausf&uuml;hrung
von Paketsniffern erforderlich ist (obwohl diese dennoch
als <username>root</username> ausgef&uuml;hrt werden
m&uuml;ssen). <devicename>bpf</devicename>
<emphasis>muss</emphasis> vorhanden sein, damit DHCP
funktioniert. Sind Sie sehr sicherheitsbewusst, sollten
Sie <devicename>bpf</devicename> aus Ihrem Kernel
entfernen, wenn Sie DHCP nicht verwenden.</para>
</note>
<para>Danach m&uuml;ssen Sie die vom Port
<filename role="package">net/isc-dhcp3-server</filename>
erzeugte Vorlage f&uuml;r <filename>dhcpd.conf</filename>
anpassen. Die bei der Installation erzeugte Datei
<filename>/usr/local/etc/dhcpd.conf.sample</filename>
sollten Sie nach
<filename>/usr/local/etc/dhcpd.conf</filename> kopieren,
bevor Sie Ver&auml;nderungen vornehmen.</para>
</sect3>
<sect3>
<title>Den DHCP-Server einrichten</title>
<indexterm>
<primary>DHCP</primary>
<secondary>dhcpd.conf</secondary>
</indexterm>
<para><filename>dhcpd.conf</filename> besteht aus Festlegungen
zu Subnetzen und Rechnern und l&auml;sst sich am besten an
einem Beispiel erkl&auml;ren:</para>
<programlisting>option domain-name "example.com";<co id="domain-name">
option domain-name-servers 192.168.4.100;<co id="domain-name-servers">
option subnet-mask 255.255.255.0;<co id="subnet-mask">
default-lease-time 3600;<co id="default-lease-time">
max-lease-time 86400;<co id="max-lease-time">
ddns-update-style none;<co id="ddns-update-style">
subnet 192.168.4.0 netmask 255.255.255.0 {
range 192.168.4.129 192.168.4.254;<co id="range">
option routers 192.168.4.1;<co id="routers">
}
host mailhost {
hardware ethernet 02:03:04:05:06:07;<co id="hardware">
fixed-address mailhost.example.com;<co id="fixed-address">
}</programlisting>
<calloutlist>
<callout arearefs="domain-name">
<para>Diese Option beschreibt die Dom&auml;ne, die den
Clients als Standardsuchdom&auml;ne zugewiesen wird.
Weitere Informationen finden Sie in man.resolv.conf.5;.
</para>
</callout>
<callout arearefs="domain-name-servers">
<para>Diese Option legt eine, durch Kommata getrennte
Liste von DNS-Servern fest, die von den Clients
verwendet werden sollen.</para>
</callout>
<callout arearefs="subnet-mask">
<para>Die den Clients zugewiesene Netzmaske.</para>
</callout>
<callout arearefs="default-lease-time">
<para>Ein Client kann eine Lease einer bestimmten Dauer
anfordern. Geschieht dies nicht, weist der Server eine
Lease mit einer vorgegebenen Ablaufdauer (in Sekunden)
zu.</para>
</callout>
<callout arearefs="max-lease-time">
<para>Die maximale Zeitdauer, f&uuml;r die der Server
Konfigurationsinformationen vergibt. Sollte ein Client
eine l&auml;ngere Zeitspanne anfordern, wird dennoch
nur der Wert <literal>max-lease-time</literal> in
Sekunden zugewiesen.</para>
</callout>
<callout arearefs="ddns-update-style">
<para>Diese Option legt fest, ob der DHCP-Server eine
DNS-Aktualisierung versuchen soll, wenn
Konfigurationsdateien vergeben oder zur&uuml;ckgezogen
werden. In der ISC-Implementation
<emphasis>muss</emphasis> diese Option gesetzt sein.
</para>
</callout>
<callout arearefs="range">
<para>Dadurch werden die IP-Adressen festgelegt, die den
Clients zugewiesen werden k&ouml;nnen. IP-Adressen
zwischen diesen Grenzen sowie die einschlie&szlig;enden
Adressen werden den Clients zugewiesen.</para>
</callout>
<callout arearefs="routers">
<para>Legt das Standard-Gateway fest, das den Clients
zugewiesen wird.</para>
</callout>
<callout arearefs="hardware">
<para>Die (Hardware-)MAC-Adresse eines Rechners (durch die
der DHCP-Server den Client erkennt, der eine Anforderung
an ihn stellt).</para>
</callout>
<callout arearefs="fixed-address">
<para>Einem Rechner soll immer die gleiche IP-Adresse
zugewiesen werden. Beachten Sie, dass hier auch ein
Rechnername g&uuml;ltig ist, da der DHCP-Server den
Rechnernamen aufl&ouml;st, bevor er die
Konfigurationsinformationen zuweist.</para>
</callout>
</calloutlist>
<para>Nachdem Sie <filename>dhcpd.conf</filename> fertig
konfiguriert haben, sollten Sie den DHCP-Server aktivieren,
indem Sie folgende Zeilen in
<filename>/etc/rc.conf</filename> aufnehmen:</para>
<programlisting>dhcpd_enable="YES"
dhcpd_ifaces="dc0"</programlisting>
<para>Dabei m&uuml;ssen Sie den Ger&auml;teeintrag
<literal>dc0</literal> durch die Ger&auml;tedatei (mehrere
Ger&auml;tedateien m&uuml;ssen durch Leerzeichen getrennt
werden) ersetzen, die Ihr DHCP-Server auf Anfragen von
DHCP-Clients hin &uuml;berwachen soll.</para>
<para>Danach k&ouml;nnen Sie den Server durch Eingabe des
folgenden Befehls starten:</para>
<screen>&prompt.root; <userinput>/usr/local/etc/rc.d/isc-dhcpd.sh start</userinput></screen>
<para>Sollten Sie die Konfiguration Ihres Servers einmal
ver&auml;ndern m&uuml;ssen, reicht es nicht aus, ein
<literal>SIGHUP</literal>-Signal an
<application>dhcpd</application> zu senden, weil damit die
Konfiguration <emphasis>nicht</emphasis> erneut geladen wird
(im Gegensatz zu den meisten Daemonen). Sie m&uuml;ssen
den Prozess vielmehr mit dem Signal
<literal>SIGTERM</literal> stoppen, um ihn
anschlie&szlig;end neu zu starten.</para>
</sect3>
<sect3>
<title>Dateien</title>
<indexterm>
<primary>Server</primary>
<secondary>Konfigurationsdateien</secondary>
</indexterm>
<itemizedlist>
<listitem>
<para><filename>/usr/local/sbin/dhcpd</filename></para>
<para><application>dhcpd</application> ist statisch
gelinkt und befindet sich in
<filename>/usr/local/sbin</filename>. Lesen Sie auch die
mit dem Port installierte Hilfeseite &man.dhcpd.8;, wenn
Sie weitere Informationen zu
<application>dhcpd</application> ben&ouml;tigen.</para>
</listitem>
<listitem>
<para><filename>/usr/local/etc/dhcpd.conf</filename></para>
<para><application>dhcpd</application> ben&ouml;tigt die
Konfigurationsdatei
<filename>/usr/local/etc/dhcpd.conf</filename>, damit
der Server den Clients seine Dienste anbieten kann.
Diese Datei muss alle Informationen enthalten, die an
die Clients weitergegeben werden soll. Au&szlig;erdem
sind hier Informationen zur Konfiguration des Servers
enthalten. Die mit dem Port installierte Hilfeseite
&man.dhcpd.conf.5; enth&auml;lt weitere Informationen.
</para>
</listitem>
<listitem>
<para><filename>/var/db/dhcpd.leases</filename></para>
<para>Der DHCP-Server hat eine Datenbank, die alle
vergebenen Leases enth&auml;lt. Diese wird als Logdatei
erzeugt. Weitere Informationen finden Sie in der vom
Port installierten Hilfeseite &man.dhcpd.leases.5;.</para>
</listitem>
<listitem>
<para><filename>/usr/local/sbin/dhcrelay</filename></para>
<para><application>dhcrelay</application> wird in
komplexen Umgebungen verwendet, in denen ein DHCP-Server
eine Anfrage eines Clients an einen DHCP-Server in einem
separaten Netzwerk weiterleitet. Wenn Sie diese
Funktion ben&ouml;tigen, m&uuml;ssen Sie den Port
<filename role="package">net/isc-dhcp3-relay</filename>
installieren. Weitere Informationen zu diesem Thema
finden Sie in &man.dhcrelay.8;.</para>
</listitem>
</itemizedlist>
</sect3>
</sect2>
</sect1>
<sect1 id="network-dns">
<sect1info>
<authorgroup>
<author>
<firstname>Chern</firstname>
<surname>Lee</surname>
<contrib>Beigetragen von </contrib>
</author>
</authorgroup>
</sect1info>
<title>DNS &ndash; Domain Name Service</title>
<sect2>
<title>&Uuml;berblick</title>
<indexterm><primary>BIND</primary></indexterm>
<para>DNS ist das f&uuml;r die Umwandlung von Rechnernamen in
IP-Adressen zust&auml;ndige Protokoll. FreeBSD verwendet dazu
BIND (Berkeley Internet Name Domain), die am h&auml;ufigsten
verwendete Implementierung von DNS. Eine Anfrage nach
<hostid role="fqdn">www.FreeBSD.org</hostid> gibt die
IP-Adresse des &os;-Webservers, eine Anfrage nach
<hostid role="fqdn">ftp.FreeBSD.org</hostid> die IP-Adresse des
entsprechenden FTP-Servers zur&uuml;ck. Der umgekehrte Weg
ist ebenso m&ouml;glich, eine IP-Adresse kann also auch in ihren
Rechnernamen aufgel&ouml;st werden. Um eine DNS-Abfrage
durchzuf&uuml;hren, muss auf dem jeweiligen Rechner kein Nameserver
installiert sein.</para>
<indexterm><primary>DNS</primary></indexterm>
<para>Im Internet wird DNS durch ein komplexes System von
autoritativen Root-Nameservern sowie anderen kleineren
Nameservern verwaltet, die individuelle Rechnerinformationen
speichern und untereinander abgleichen.</para>
<para>Dieses Dokument beschreibt die unter &os; verwendete
stabile Version BIND 8.x. Seit &os;&nbsp;5.3 ist BIND 9.x
im Basissystem enthalten, dessen Konfiguration weiter hinten
im diesem Abschnitt besprochen wird. Nutzer von &os;&nbsp;5.2
und &auml;lter k&ouml;nnen BIND9 &uuml;ber den Port
<filename role="package">net/bind9</filename> installieren.</para>
<para>Das DNS-Protokoll wird in den RFCs 1034 und 1035
beschrieben.</para>
<para>Derzeit wird BIND vom Internet Software Consortium
(<ulink url="http://www.isc.org/"></ulink>) verwaltet.</para>
</sect2>
<sect2>
<title>Begriffsbestimmungen</title>
<para>Um dieses Dokument besser verstehen zu k&ouml;nnen,
m&uuml;ssen einige DNS-spezifische Begriffe genauer definiert
werden.</para>
<indexterm><primary>Resolver</primary></indexterm>
<indexterm><primary>Reverse-DNS</primary></indexterm>
<indexterm><primary>root zone</primary></indexterm>
<informaltable frame="none" pgwide="1">
<tgroup cols="2">
<colspec colwidth="1*">
<colspec colwidth="3*">
<thead>
<row>
<entry>Begriff</entry>
<entry>Bedeutung</entry>
</row>
</thead>
<tbody>
<row>
<entry>Forward-DNS</entry>
<entry>Rechnernamen in IP-Adressen umwandeln</entry>
</row>
<row>
<entry>Origin (Ursprung)</entry>
<entry>Die in einer bestimmten Zonendatei beschriebene
Dom&auml;ne.</entry>
</row>
<row>
<entry><application>named</application>, BIND,
Nameserver</entry>
<entry>Gebr&auml;uchliche Namen f&uuml;r das unter FreeBSD
verwendete BIND-Nameserverpaket</entry>
</row>
<row>
<entry>Resolver</entry>
<entry>Ein Systemprozess, durch den ein Rechner
Zoneninformationen von einem Nameserver anfordert.
</entry>
</row>
<row>
<entry>Reverse-DNS</entry>
<entry>Das Gegenteil von Forward-DNS; die Umwandlung von
IP-Adressen in Rechnernamen</entry>
</row>
<row>
<entry>Root-Zone</entry>
<entry>Der Beginn der Internet-Zonenhierarchie. Alle
Zonen befinden sich innerhalb der Root-Zone. Dies ist
analog zu einem Dateisystem, in dem sich alle Dateien
und Verzeichnisse innerhalb des Wurzelverzeichnisses
befinden.</entry>
</row>
<row>
<entry>Zone</entry>
<entry>Eine individuelle Dom&auml;ne, Unterdom&auml;ne,
oder ein Teil von DNS, der von der gleichen
Autorit&auml;t verwaltet wird.</entry>
</row>
</tbody>
</tgroup>
</informaltable>
<indexterm>
<primary>Zonen</primary>
<secondary>Beispiele</secondary>
</indexterm>
<para>Es folgen nun einige Zonenbeispiele:</para>
<itemizedlist>
<listitem>
<para><hostid>.</hostid> ist die Root-Zone.</para>
</listitem>
<listitem>
<para><hostid>org.</hostid> ist eine Zone innerhalb der
Root-Zone.</para>
</listitem>
<listitem>
<para><hostid role="domainname">example.org.</hostid>
ist eine Zone innerhalb der
<hostid>org.</hostid>-Zone.</para>
</listitem>
<listitem>
<para><hostid role="domainname">foo.example.org.</hostid>
ist eine Unterdom&auml;ne, eine Zone innerhalb der Zone
<hostid role="domainname">example.org</hostid>.</para>
</listitem>
<listitem>
<para><hostid>1.2.3.in-addr.arpa.</hostid> ist die Zone mit
allen IP-Adressen des <hostid
role="domainname">3.2.1.*</hostid>-IP-Adressraums.</para>
</listitem>
</itemizedlist>
<para>Wie man an diesen Beispielen erkennen kann, befindet sich
der spezifischere Teil eines Rechnernamens auf der linken Seite
der Adresse. <hostid role="domainname">example.org.</hostid>
beschreibt einen Rechner also genauer als <hostid>org.</hostid>,
w&auml;hrend <hostid>org.</hostid> genauer als die Root-Zone
ist. Jeder Teil des Rechnernamens hat &Auml;hnlichkeiten mit
einem Dateisystem, in dem etwa <filename>/dev</filename> dem
Wurzelverzeichnis untergeordnet ist.</para>
</sect2>
<sect2>
<title>Gr&uuml;nde f&uuml;r die Verwendung eines
Nameservers</title>
<para>Es gibt zwei Arten von Nameservern: Autoritative Nameserver
sowie zwischenspeichernde (cachende) Nameserver.</para>
<para>Ein autoritativer Nameserver ist notwendig, wenn</para>
<itemizedlist>
<listitem>
<para>Sie anderen verbindliche DNS-Ausk&uuml;nfte erteilen
wollen.</para>
</listitem>
<listitem>
<para>eine Domain, beispielsweise
<hostid role="domainname">example.org</hostid>, registriert
wird, und den zu dieser Domain geh&ouml;renden Rechnern
IP-Adressen zugewiesen werden m&uuml;ssen.</para>
</listitem>
<listitem>
<para>ein IP-Adressblock reverse-DNS-Eintr&auml;ge
ben&ouml;tigt, um IP-Adressen in Rechnernamen aufl&ouml;sen
zu k&ouml;nnen.</para>
</listitem>
<listitem>
<para>ein Backup-Nameserver (auch Slaveserver genannt) auf
Anfragen antworten muss, weil der Hauptserver nicht
erreichbar ist.</para>
</listitem>
</itemizedlist>
<para>Ein cachender Nameserver ist notwendig, weil</para>
<itemizedlist>
<listitem>
<para>ein lokaler DNS-Server Daten zwischenspeichern und daher
schneller auf Anfragen reagieren kann als ein entfernter
Server.</para>
</listitem>
<listitem>
<para>die Datenmenge reduziert werden muss
(DNS-Verkehr macht etwa 5 % des gesamten Datenverkehrs im
Internet aus).</para>
</listitem>
</itemizedlist>
<para>Wird nach <hostid role="fqdn">www.FreeBSD.org</hostid>
gesucht, leitet der Resolver diese Anfrage an den Nameserver des
ISPs weiter und nimmt danach das Ergebnis der
Abfrage entgegen. Existiert ein lokaler, zwischenspeichernder
DNS-Server, muss dieser die Anfrage nur einmal nach au&szlig;en
weitergeben. F&uuml;r alle weiteren Anfragen ist dies nicht
mehr n&ouml;tig, da diese Information nun lokal gespeichert
ist.</para>
</sect2>
<sect2>
<title>Wie funktioniert DNS?</title>
<para>Unter FreeBSD wird der BIND-Daemon als
<application>named</application> bezeichnet.</para>
<informaltable frame="none" pgwide="1">
<tgroup cols="2">
<thead>
<row>
<entry>Datei</entry>
<entry>Beschreibung</entry>
</row>
</thead>
<tbody>
<row>
<entry><application>named</application></entry>
<entry>Der BIND-Daemon.</entry>
</row>
<row>
<entry><command>ndc</command></entry>
<entry>Das Steuerprogramm f&uuml;r
<application>named</application>.</entry>
</row>
<row>
<entry><filename>/etc/namedb</filename></entry>
<entry>Das Verzeichnis, in dem sich die Zoneninformationen
f&uuml;r BIND befinden.</entry>
</row>
<row>
<entry><filename>/etc/namedb/named.conf</filename></entry>
<entry>Die Konfigurationsdatei f&uuml;r
<application>named</application>.</entry>
</row>
</tbody>
</tgroup>
</informaltable>
<para>Zonendateien befinden sich normalerweise im Verzeichnis
<filename>/etc/namedb</filename> und enthalten die vom
Nameserver angebotenen DNS-Zoneninformationen.</para>
</sect2>
<sect2>
<title>BIND starten</title>
<indexterm>
<primary>BIND</primary>
<secondary>Start</secondary>
</indexterm>
<para>Da BIND automatisch installiert wird, ist die Konfiguration
relativ einfach.</para>
<para>Um den <application>named</application>-Daemon beim
Systemstart automatisch zu starten, f&uuml;gen Sie folgende
Zeile in <filename>/etc/rc.conf</filename> ein:</para>
<programlisting>named_enable="YES"</programlisting>
<para>Um den Daemon (nach der Konfiguration) manuell zu starten,
geben Sie Folgendes ein:</para>
<screen>&prompt.root; <userinput>ndc start</userinput></screen>
</sect2>
<sect2>
<title>Konfigurationsdateien</title>
<indexterm>
<primary>BIND</primary>
<secondary>Konfigurationsdateien</secondary>
</indexterm>
<sect3>
<title><command>make-localhost</command> verwenden</title>
<para>Um die lokale reverse-DNS-Zonendatei
<filename>/etc/namedb/master/localhost.rev</filename> korrekt zu
erzeugen, machen Sie Folgendes:</para>
<screen>&prompt.root; <userinput>cd /etc/namedb</userinput>
&prompt.root; <userinput>sh make-localhost</userinput></screen>
</sect3>
<sect3>
<title><filename>/etc/namedb/named.conf</filename></title>
<programlisting>// &dollar;FreeBSD$
//
// Refer to the named(8) manual page for details. If you are ever going
// to setup a primary server, make sure you've understood the hairy
// details of how DNS is working. Even with simple mistakes, you can
// break connectivity for affected parties, or cause huge amount of
// useless Internet traffic.
options {
directory "/etc/namedb";
// In addition to the "forwarders" clause, you can force your name
// server to never initiate queries of its own, but always ask its
// forwarders only, by enabling the following line:
//
// forward only;
// If you've got a DNS server around at your upstream provider, enter
// its IP address here, and enable the line below. This will make you
// benefit from its cache, thus reduce overall DNS traffic in the
Internet.
/*
forwarders {
127.0.0.1;
};
*/ </programlisting>
<para>Um vom Cache Ihres Internetproviders zu profitieren,
k&ouml;nnen hier <literal>forwarders</literal> aktiviert
werden. Normalerweise sucht ein Nameserver das Internet
rekursiv ab, bis er die gesuchte Antwort findet. Durch
diese Option wird stets der Nameserver Ihres
Internetproviders zuerst abgefragt, um von dessen
Cache zu profitieren. Wenn es sich um einen schnellen,
viel benutzten Nameserver handelt, kann dies zu einer
Geschwindigkeitssteigerung f&uuml;hren.</para>
<warning>
<para><hostid role="ipaddr">127.0.0.1</hostid> funktioniert
hier <emphasis>nicht</emphasis>. &Auml;ndern Sie diese
Adresse in einen Nameserver Ihres Einwahlproviders.</para>
</warning>
<programlisting>/*
* If there is a firewall between you and name servers you want
* to talk to, you might need to uncomment the query-source
* directive below. Previous versions of BIND always asked
* questions using port 53, but BIND 8.1 uses an unprivileged
* port by default.
*/
// query-source address * port 53;
/*
* If running in a sandbox, you may have to specify a different
* location for the dumpfile.
*/
// dump-file "s/named_dump.db";
};
// Note: the following will be supported in a future release.
/*
host { any; } {
topology {
127.0.0.0/8;
};
};
*/
// Setting up secondaries is way easier and the rough picture for this
// is explained below.
//
// If you enable a local name server, don't forget to enter 127.0.0.1
// into your /etc/resolv.conf so this server will be queried first.
// Also, make sure to enable it in /etc/rc.conf.
zone "." {
type hint;
file "named.root";
};
zone "0.0.127.IN-ADDR.ARPA" {
type master;
file "localhost.rev";
};
// NB: Do not use the IP addresses below, they are faked, and only
// serve demonstration/documentation purposes!
//
// Example secondary config entries. It can be convenient to become
// a secondary at least for the zone where your own domain is in. Ask
// your network administrator for the IP address of the responsible
// primary.
//
// Never forget to include the reverse lookup (IN-ADDR.ARPA) zone!
// (This is the first bytes of the respective IP address, in reverse
// order, with ".IN-ADDR.ARPA" appended.)
//
// Before starting to setup a primary zone, better make sure you fully
// understand how DNS and BIND works, however. There are sometimes
// unobvious pitfalls. Setting up a secondary is comparably simpler.
//
// NB: Don't blindly enable the examples below. :-) Use actual names
// and addresses instead.
//
// NOTE!!! FreeBSD runs BIND in a sandbox (see named_flags in rc.conf).
// The directory containing the secondary zones must be write accessible
// to BIND. The following sequence is suggested:
//
// mkdir /etc/namedb/s
// chown bind:bind /etc/namedb/s
// chmod 750 /etc/namedb/s</programlisting>
<para>Wenn Sie BIND innerhalb einer Sandbox betreiben wollen,
lesen Sie bitte den
<xref linkend="network-named-sandbox">.</para>
<programlisting>/*
zone "example.com" {
type slave;
file "s/example.com.bak";
masters {
192.168.1.1;
};
};
zone "0.168.192.in-addr.arpa" {
type slave;
file "s/0.168.192.in-addr.arpa.bak";
masters {
192.168.1.1;
};
};
*/ </programlisting>
<para>Hierbei handelt es sich um Slave-Eintr&auml;ge f&uuml;r
eine Reverse- und Forward-DNS-Zone, die in der Datei
<filename>named.conf</filename> definiert sind.</para>
<para>F&uuml;r jede neue Zone muss ein zus&auml;tzlicher Eintrag
in <filename>named.conf</filename> erstellt werden.</para>
<para>Ein einfacher Eintrag f&uuml;r eine Zone
<hostid role="domainname">example.org</hostid> k&ouml;nnte
beispielsweise so aussehen:</para>
<programlisting>zone "example.org" {
type master;
file "example.org";
}; </programlisting>
<para>Die Option <option>type</option> legt fest, dass es sich
um eine Master-Zone handelt, deren Zoneninformationen sich in
der Datei <filename>/etc/namedb/example.org</filename>
befinden. Diese Datei wird durch die Option
<option>file</option> festgelegt.</para>
<programlisting>zone "example.org" {
type slave;
file "example.org";
}; </programlisting>
<para>Hier handelt es sich um einen Slaveserver, der seine
Informationen vom Masterserver der betreffenden Zone bezieht
und diese in der angegebenen Datei speichert. Wenn der
Masterserver nicht erreichbar ist, verf&uuml;gt der
Slaveserver &uuml;ber die transferierten Zoneninformationen
und kann diese an andere Rechner weitergeben.</para>
</sect3>
<sect3>
<title>Zonendateien</title>
<para>Die in der Datei
<filename>/etc/namedb/example.org</filename> definierte
Zonendatei f&uuml;r
<hostid role="domainname">example.org</hostid> k&ouml;nnte
etwa so aussehen:</para>
<programlisting>$TTL 3600
example.org. IN SOA ns1.example.org. admin.example.org. (
5 ; Serial
10800 ; Refresh
3600 ; Retry
604800 ; Expire
86400 ) ; Minimum TTL
; DNS Servers
@ IN NS ns1.example.org.
@ IN NS ns2.example.org.
; Machine Names
localhost IN A 127.0.0.1
ns1 IN A 3.2.1.2
ns2 IN A 3.2.1.3
mail IN A 3.2.1.10
@ IN A 3.2.1.30
; Aliases
www IN CNAME @
; MX Record
@ IN MX 10 mail.example.org.</programlisting>
<para>Beachten Sie, dass jeder mit einem <quote>.</quote>
endende Rechnername ein exakter Rechnername ist, w&auml;hrend
sich alles ohne einen abschlie&szlig;enden <quote>.</quote>
auf den Ursprung bezieht. <literal>www</literal> steht daher
f&uuml;r
<literal>www.<replaceable>Ursprung</replaceable></literal>.
In unserer fiktiven Zonendatei ist
<hostid>example.org.</hostid> der Ursprung, daher steht
<literal>www</literal> f&uuml;r
<hostid>www.example.org.</hostid></para>
<para>Eine Zonendatei hat folgenden Aufbau:</para>
<programlisting>recordname IN recordtype value</programlisting>
<indexterm>
<primary>DNS</primary>
<secondary>Eintr&auml;ge</secondary>
</indexterm>
<para>Die am h&auml;ufigsten verwendeten DNS-Eintr&auml;ge sind:</para>
<variablelist>
<varlistentry>
<term>SOA</term>
<listitem>
<para>Start der Zonenautorit&auml;t</para>
</listitem>
</varlistentry>
<varlistentry>
<term>NS</term>
<listitem>
<para>Ein autoritativer Nameserver</para>
</listitem>
</varlistentry>
<varlistentry>
<term>A</term>
<listitem><para>Eine Rechneradresse</para></listitem>
</varlistentry>
<varlistentry>
<term>CNAME</term>
<listitem>
<para>Der kanonische Name eines Alias</para>
</listitem>
</varlistentry>
<varlistentry>
<term>MX</term>
<listitem><para>Mail Exchanger</para></listitem>
</varlistentry>
<varlistentry>
<term>PTR</term>
<listitem>
<para>Ein (bei Reverse-DNS verwendeter) Domain Name
Pointer</para>
</listitem>
</varlistentry>
</variablelist>
<programlisting>example.org. IN SOA ns1.example.org. admin.example.org. (
5 ; Serial
10800 ; Refresh after 3 hours
3600 ; Retry after 1 hour
604800 ; Expire after 1 week
86400 ) ; Minimum TTL of 1 day</programlisting>
<variablelist>
<varlistentry>
<term><hostid role="domainname">example.org.</hostid></term>
<listitem><para>Der Name der Dom&auml;ne und damit der
Ursprung dieser Zonendatei.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><hostid role="fqdn">ns1.example.org.</hostid></term>
<listitem><para>Der prim&auml;re/autoritative Nameserver
dieser Zone.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><literal>admin.example.org.</literal></term>
<listitem><para>Die f&uuml;r diese Zone verantwortliche
Person. Das Zeichen <quote>@</quote> wird dabei
ersetzt (<email>admin@example.org</email> wird also zu
<literal>admin.example.org</literal>).</para>
</listitem>
</varlistentry>
<varlistentry>
<term><literal>5</literal></term>
<listitem><para>Die Seriennummer der Datei. Sie muss
stets inkrementiert werden, wenn die Zonendatei
ge&auml;ndert wird. Viele Administratoren bevorzugen
ein <literal>JJJJMMTTRR</literal>-Format, um die
Seriennummer festzulegen.
<literal>2001041002</literal> steht also f&uuml;r
den 10.04.2001, die beiden letzten Stellen f&uuml;r die
zweite Modifikation der Zonendatei an diesem Tag. Die
Seriennummer ist von gro&szlig;er Bedeutung, da
Slaveserver daran eine aktualisierte Zonendatei erkennen
k&ouml;nnen.</para>
</listitem>
</varlistentry>
</variablelist>
<programlisting>@ IN NS ns1.example.org.</programlisting>
<para>Ein NS-Eintrag. Jeder Nameserver, der f&uuml;r eine Zone
verantwortlich ist, muss &uuml;ber einen solchen Eintrag
verf&uuml;gen. Das Zeichen <literal>@</literal> steht in
unserem Beispiel f&uuml;r
<hostid role="domainname">example.org.</hostid>,
<literal>@</literal> verweist also auf den Ursprung.</para>
<programlisting>localhost IN A 127.0.0.1
ns1 IN A 3.2.1.2
ns2 IN A 3.2.1.3
mail IN A 3.2.1.10
@ IN A 3.2.1.30</programlisting>
<para>Der Eintrag <literal>A</literal> bezieht sich auf
Rechnernamen. <hostid role="fqdn">ns1.example.org</hostid>
w&uuml;rde also zu <hostid role="ipaddr">3.2.1.2</hostid>
aufgel&ouml;st werden. Da das (Ursprungs-)Symbol
<literal>@</literal> verwendet wird, wird
<hostid role="domainname">example.org</hostid> zu
<hostid role="ipaddr">3.2.1.30</hostid> aufgel&ouml;st.</para>
<programlisting>www IN CNAME @</programlisting>
<para>Der Eintrag f&uuml;r den kanonischen Namen wird dazu
verwendet, Aliase f&uuml;r einen Rechner zu vergeben. Im
Beispiel ist <hostid>www</hostid> ein Alias f&uuml;r den
Ursprungsrechner
(<hostid role="domainname">example.org</hostid> oder
<hostid role="ipaddr">3.2.1.30</hostid>). Durch die Option
CNAME k&ouml;nnen Aliasnamen vergeben werden. Ein Rechnername
kann aber auch abwechselnd verschiedenen Rechnern zugewiesen
werden.</para>
<indexterm>
<primary>MX-Eintrag</primary>
</indexterm>
<programlisting>@ IN MX 10 mail.example.org.</programlisting>
<para>Die Option MX legt fest, welcher Mailserver f&uuml;r
eintreffende Mails der Zone verantwortlich ist.
<hostid role="fqdn">mail.example.org</hostid> ist der
Rechnername des Mailservers, der eine Priorit&auml;t von 10
hat.</para>
<para>Es k&ouml;nnen auch mehrere Mailserver mit verschiedener
Priorit&auml;t vorhanden sein. Ein Mailserver, der eine Mail
an <hostid role="domainname">example.org</hostid> verschicken
will, verwendet zuerst den MX mit der h&ouml;chsten
Priorit&auml;t, danach den mit der n&auml;chsth&ouml;heren,
bis die E-Mail zugestellt werden kann.</para>
<para>F&uuml;r (bei Reverse-DNS verwendete)
<literal>in-addr.arpa</literal>-Zonendateien wird das gleiche
Format verwendet. Der einzige Unterschied besteht in der
Verwendung der Option PTR an Stelle der Optionen A und
CNAME.</para>
<programlisting>$TTL 3600
1.2.3.in-addr.arpa. IN SOA ns1.example.org. admin.example.org. (
5 ; Serial
10800 ; Refresh
3600 ; Retry
604800 ; Expire
3600 ) ; Minimum
@ IN NS ns1.example.org.
@ IN NS ns2.example.org.
2 IN PTR ns1.example.org.
3 IN PTR ns2.example.org.
10 IN PTR mail.example.org.
30 IN PTR example.org.</programlisting>
<para>Durch diese Datei werden den Rechnernamen der fiktiven
Dom&auml;ne IP-Adressen zugewiesen.</para>
</sect3>
</sect2>
<sect2>
<title>Zwischenspeichernde (cachende) Nameserver</title>
<indexterm>
<primary>BIND</primary>
<secondary>Zwischenspeichernde Nameserver</secondary>
</indexterm>
<para>Ein cachender Nameserver ist f&uuml;r keine Zonen
verantwortlich. Er stellt lediglich eigene Anfragen und
speichert deren Ergebnisse ab. Um einen solchen Nameserver
einzurichten, gehen Sie wie gewohnt vor, allerdings definieren
Sie keine Zonen.</para>
</sect2>
<sect2 id="network-named-sandbox">
<title><application>named</application> in einer Sandbox
ausf&uuml;hren</title>
<indexterm>
<primary>BIND</primary>
<secondary>Sandbox</secondary>
</indexterm>
<indexterm>
<primary><command>chroot</command></primary>
</indexterm>
<para>Es ist m&ouml;glich, &man.named.8; als nicht privilegierter
Benutzer in einer mit &man.chroot.8; definierten Sandbox
auszuf&uuml;hren. Dadurch hat der
<application>named</application>-Daemon keinen Zugriff auf
Verzeichnisse und Dateien au&szlig;erhalb der Sandbox. Sollte
<application>named</application> kompromittiert werden,
l&auml;sst sich dadurch der m&ouml;gliche Schaden begrenzen.
FreeBSD erzeugt dazu automatisch einen Benutzer und eine
Gruppe namens <groupname>bind</groupname>.</para>
<note>
<para>Manchmal wird auch empfohlen, statt mit
<command>chroot</command> das Wurzelverzeichnis f&uuml;r
<application>named</application> zu &auml;ndern,
<application>named</application> innerhalb eines &man.jail.8;s
auszuf&uuml;hren. Diese Situation wird hier jedoch nicht
beschrieben.</para>
</note>
<para>Da <application>named</application> keinen Zugriff auf
Dateien au&szlig;erhalb der Sandbox (wie Systembibliotheken oder
Protokolldateien) hat, sind einige Vorbereitungen notwendig,
damit <application>named</application> korrekt funktioniert.
Im Folgenden wird angenommen, dass die Sandbox unter
<filename>/etc/namedb</filename> eingerichtet wird. Au&szlig;erdem
befinden sich die Dateien in diesem Verzeichnis noch im
Originalzustand. Alle Schritte m&uuml;ssen als
<username>root</username> durchgef&uuml;hrt werden.</para>
<itemizedlist>
<listitem>
<para>Erzeugen Sie alle Verzeichnisse, die
<application>named</application> ben&ouml;tigt:</para>
<screen>&prompt.root; <userinput>cd /etc/namedb</userinput>
&prompt.root; <userinput>mkdir -p bin dev etc var/tmp var/run master slave</userinput>
&prompt.root; <userinput>chown bind:bind slave var/*</userinput><co id="chown-slave"></screen>
<calloutlist>
<callout arearefs="chown-slave">
<para>Da <application>named</application> nur schreibend
auf diese Verzeichnisse zugreifen muss, werden auch
keine weiteren Rechte zugeteilt.</para>
</callout>
</calloutlist>
</listitem>
<listitem>
<para>Erzeugen Sie die Basiszonen sowie die n&ouml;tigen
Konfigurationsdateien:</para>
<screen>&prompt.root; <userinput>cp /etc/localtime etc</userinput><co id="localtime">
&prompt.root; <userinput>mv named.conf etc &amp;&amp; ln -sf etc/named.conf</userinput>
&prompt.root; <userinput>mv named.root master</userinput>
<!-- I don't like this next bit -->
&prompt.root; <userinput>sh make-localhost</userinput>
&prompt.root; <userinput>cat &gt; master/named.localhost
$ORIGIN localhost.
$TTL 6h
@ IN SOA localhost. postmaster.localhost. (
1 ; serial
3600 ; refresh
1800 ; retry
604800 ; expiration
3600 ) ; minimum
IN NS localhost.
IN A 127.0.0.1
^D</userinput></screen>
<calloutlist>
<callout arearefs="localtime">
<para>Dadurch ist es <application>named</application>
m&ouml;glich, die korrekte Systemzeit an &man.syslogd.8;
weiterzugeben.</para>
</callout>
</calloutlist>
</listitem>
<listitem>
<indexterm><primary>syslog</primary></indexterm>
<indexterm>
<primary>Logdateien</primary>
<secondary>named</secondary>
</indexterm>
<para>Wenn Sie FreeBSD in einer Version vor 4.9-RELEASE
verwenden, erzeugen Sie eine statisch gelinkte Kopie von
<application>named-xfer</application> und kopieren diese
in Ihre Sandbox:</para>
<screen>&prompt.root; <userinput>cd /usr/src/lib/libisc</userinput>
&prompt.root; <userinput>make cleandir &amp;&amp; make cleandir &amp;&amp; make depend &amp;&amp; make all</userinput>
&prompt.root; <userinput>cd /usr/src/lib/libbind</userinput>
&prompt.root; <userinput>make cleandir &amp;&amp; make cleandir &amp;&amp; make depend &amp;&amp; make all</userinput>
&prompt.root; <userinput>cd /usr/src/libexec/named-xfer</userinput>
&prompt.root; <userinput>make cleandir &amp;&amp; make cleandir &amp;&amp; make depend &amp;&amp; make NOSHARED=yes all</userinput>
&prompt.root; <userinput>cp named-xfer /etc/namedb/bin &amp;&amp; chmod 555 /etc/namedb/bin/named-xfer</userinput><co id="clean-cruft"></screen>
<para>Nachdem Sie ihre statische gelinkte Version von
<command>named-xfer</command> installiert haben,
m&uuml;ssen Sie etwas aufr&auml;umen, damit keine
veralteten Kopien von Bibliotheken oder Programmen in Ihrem
Quellbaum verbleiben:</para>
<screen>&prompt.root; <userinput>cd /usr/src/lib/libisc</userinput>
&prompt.root; <userinput>make cleandir</userinput>
&prompt.root; <userinput>cd /usr/src/lib/libbind</userinput>
&prompt.root; <userinput>make cleandir</userinput>
&prompt.root; <userinput>cd /usr/src/libexec/named-xfer</userinput>
&prompt.root; <userinput>make cleandir</userinput></screen>
<calloutlist>
<callout arearefs="clean-cruft">
<para>Dieser Schritt kann manchmal fehlschlagen. Wenn
dies passiert, machen Sie Folgendes:</para>
<screen>&prompt.root; <userinput>cd /usr/src &amp;&amp; make cleandir &amp;&amp; make cleandir</userinput></screen>
<para>Danach l&ouml;schen Sie
<filename>/usr/obj</filename> inklusive aller
Unterverzeichnisse:</para>
<screen>&prompt.root; <userinput>rm -fr /usr/obj &amp;&amp; mkdir /usr/obj</userinput></screen>
<para>Dadurch entfernen Sie den ganzen
<quote>M&uuml;ll</quote> aus Ihrem Quellbaum und die
fehlgeschlagenen Schritte sollten nun ebenfalls
funktionieren.</para>
</callout>
</calloutlist>
<para>Wenn Sie &os; in der Version 4.9-RELEASE oder neuer
verwenden, wird die in <filename>/usr/libexec</filename>
vorhandene Kopie von <command>named-xfer</command>
automatisch statisch gelinkt und Sie k&ouml;nnen die Datei
einfach mit &man.cp.1; in Ihre Sandbox kopieren.</para>
</listitem>
<listitem>
<para>Erzeugen Sie ein <filename>dev/null</filename>, auf
das <application>named</application> lesend und schreibend
zugreifen kann:</para>
<screen>&prompt.root; <userinput>cd /etc/namedb/dev &amp;&amp; mknod null c 2 2</userinput>
&prompt.root; <userinput>chmod 666 null</userinput></screen>
</listitem>
<listitem>
<para>Linken Sie <filename>/etc/namedb/var/run/ndc</filename>
symbolisch nach <filename>/var/run/ndc</filename>:</para>
<screen>&prompt.root; <userinput>ln -sf /etc/namedb/var/run/ndc /var/run/ndc</userinput></screen>
<note>
<para>Dadurch k&ouml;nnen Sie auf die Option
<option>-c</option> verzichten, wenn Sie &man.ndc.8;
aufrufen. Der Inhalt von <filename>/var/run</filename>
wird beim Systemstart automatisch gel&ouml;scht. Diese
Anweisung kann unter Nutzung der Option
<option>@reboot</option> in die
<filename>crontab</filename> von <username>root</username>
eingebaut werden. Lesen Sie dazu auch die Hilfeseite
&man.crontab.5;.</para>
</note>
</listitem>
<listitem>
<indexterm><primary>syslog</primary></indexterm>
<indexterm>
<primary>Logdateien</primary>
<secondary>named</secondary>
</indexterm>
<para>Weisen Sie &man.syslogd.8; an, einen zus&auml;tzlichen
<devicename>log</devicename>-Socket zu erzeugen, auf den
<application>named</application> Schreibzugriff hat. Dazu
h&auml;ngen Sie in der Datei
<filename>/etc/rc.conf</filename> an den Eintrag
<varname>syslogd_flags</varname> die Option
<literal>-l /etc/namedb/dev/log</literal> an.</para>
</listitem>
<listitem>
<indexterm><primary><command>chroot</command></primary></indexterm>
<para>Stellen Sie sicher, dass
<application>named</application> gestartet wird und sein
Wurzelverzeichnis mittels <command>chroot</command> in die
Sandbox setzt, indem Sie folgende Eintr&auml;ge in
<filename>/etc/rc.conf</filename> einf&uuml;gen:</para>
<programlisting>named_enable="YES"
named_flags="-u bind -g bind -t /etc/namedb /etc/named.conf"</programlisting>
<note>
<para>Beachten Sie, dass die Konfigurationsdatei
<replaceable>/etc/named.conf</replaceable> durch einen
absoluten Pfad (aber <emphasis>relativ</emphasis> zur
Sandbox) festgelegt wird. Bei der im obigen Beispiel
angesprochenen Datei handelt es sich also um
<filename>/etc/namedb/etc/named.conf</filename>.</para>
</note>
</listitem>
</itemizedlist>
<para>Danach bearbeiten Sie
<filename>/etc/namedb/etc/named.conf</filename>, damit
<application>named</application> wei&szlig;, welche Zonen geladen
werden m&uuml;ssen und wo sich diese befinden. Es folgt nun
ein kommentiertes Beispiel (alle nicht dokumentierten
Eintr&auml;ge gelten auch f&uuml;r einen DNS-Server, der nicht
in einer Sandbox l&auml;uft):</para>
<programlisting>options {
directory "/";<co id="directory">
named-xfer "/bin/named-xfer";<co id="named-xfer">
version ""; // Don't reveal BIND version
query-source address * port 53;
};
// ndc control socket
controls {
unix "/var/run/ndc" perm 0600 owner 0 group 0;
};
// Zones follow:
zone "localhost" IN {
type master;
file "master/named.localhost";<co id="master">
allow-transfer { localhost; };
notify no;
};
zone "0.0.127.in-addr.arpa" IN {
type master;
file "master/localhost.rev";
allow-transfer { localhost; };
notify no;
};
zone "." IN {
type hint;
file "master/named.root";
};
zone "private.example.net" in {
type master;
file "master/private.example.net.db";
allow-transfer { 192.168.10.0/24; };
};
zone "10.168.192.in-addr.arpa" in {
type slave;
masters { 192.168.10.2; };
file "slave/192.168.10.db";<co id="slave">
}; </programlisting>
<calloutlist>
<callout arearefs="directory">
<para><literal>directory</literal> wird als
<filename>/</filename> festgelegt, da sich alle von
<application>named</application> ben&ouml;tigten Dateien in
diesem Verzeichnis befinden (analog zur
<filename>/etc/namedb</filename> eines
<quote>normalen</quote> Benutzers.</para>
</callout>
<callout arearefs="named-xfer">
<para>Legt den vollst&auml;ndigen Pfad zur Bin&auml;rdatei
<command>named-xfer</command> aus der Sicht von
<application>named</application> fest. Das ist n&ouml;tig,
weil <application>named</application> per Voreinstellung
im Verzeichnis <filename>/usr/libexec</filename> nach
<command>named-xfer</command> sucht.</para>
</callout>
<callout arearefs="master">
<para>Legt die Datei (relativ zum
<literal>directory</literal>-Statement) fest, in der
<application>named</application> die Zonendatei f&uuml;r
diese Zone findet.</para>
</callout>
<callout arearefs="slave">
<para>Legt die Datei (relativ zum
<literal>directory</literal>-Statement) fest, in die
<application>named</application> eine Kopie der Zonendatei
dieser Zone schreibt, nachdem diese erfolgreich vom
Masterserver angefordert wurde. Aus diesem Grund musste in
den vorherigen Schritten auch <groupname>bind</groupname>
der Eigent&uuml;mer des Verzeichnisses
<filename>slave</filename> sein.</para>
</callout>
</calloutlist>
<para>Nachdem Sie diese Schritte erledigt haben, m&uuml;ssen Sie
entweder den Rechner oder &man.syslogd.8; neu starten. Danach
starten Sie &man.named.8; unter Verwendung der neuen, unter
<varname>syslogd_flags</varname> und
<varname>named_flags</varname> festgelegten Optionen. Sie
verwenden nun eine Sandboxversion von
<application>named</application>!</para>
</sect2>
<sect2>
<title>Sicherheit</title>
<para>Obwohl BIND die am meisten verwendete (und kontrollierte)
Implementierung von DNS darstellt, werden dennoch manchmal neue
Sicherheitsprobleme entdeckt.</para>
<para>Es ist daher eine gute Idee, die Sicherheitshinweise von
<ulink url="http://www.cert.org/">CERT</ulink> zu lesen sowie
die Mailingliste &a.security-notifications; zu abonnieren, um
sich &uuml;ber Sicherheitsprobleme im Zusammenhang mit dem
Internet und FreeBSD zu informieren.</para>
<tip>
<para>Tritt ein Problem auf, kann es nie schaden, die
Quellen zu aktualisieren und <application>named</application>
neu zu kompilieren.</para>
</tip>
</sect2>
<sect2>
<title>Weitere Informationsquellen</title>
<itemizedlist>
<listitem>
<para>Hilfeseiten zu BIND/<application>named</application>:
&man.ndc.8;, &man.named.8;, &man.named.conf.5;</para>
</listitem>
<listitem>
<para><ulink
url="http://www.isc.org/products/BIND/">Offizielle ISC-Seite
zu BIND</ulink></para>
</listitem>
<listitem>
<para><ulink
url="http://www.nominum.com/getOpenSourceResource.php?id=6">
BIND FAQs</ulink></para>
</listitem>
<listitem>
<para><ulink url="http://www.oreilly.com/catalog/dns4/">O'Reilly
DNS and BIND 4th Edition</ulink></para>
</listitem>
<listitem>
<para><ulink
url="ftp://ftp.isi.edu/in-notes/rfc1034.txt">RFC1034
- Domain Names - Concepts and Facilities</ulink></para>
</listitem>
<listitem>
<para>
<ulink url="ftp://ftp.isi.edu/in-notes/rfc1035.txt">RFC1035
- Domain Names - Implementation and Specification</ulink>
</para>
</listitem>
</itemizedlist>
</sect2>
</sect1>
<sect1 id="network-bind9">
<sect1info>
<authorgroup>
<author>
<firstname>Tom</firstname>
<surname>Rhodes</surname>
<contrib>Geschrieben von </contrib>
</author>
</authorgroup>
</sect1info>
<title><acronym>BIND</acronym>9 und &os;</title>
<!-- This section is here to get users up with BIND9 configurations! It
does not cover the terminology, theoretical discussion (why run a name
server) or the further reading which is still in the previous section.
I did things this way to avoid repetition of content and obviously we
cannot just remove the previous section since other supported releases
use it. When the previous section is removed then those comments
should be moved here. // Tom Rhodes -->
<indexterm><primary>bind9</primary>
<secondary>Konfiguration</secondary></indexterm>
<para>Mit &os;&nbsp;5.3 wurde der <acronym>DNS</acronym>-Server
<acronym>BIND</acronym>9 in das Basissystem aufgenommen. Vorteile
der neuen Version sind die verbesserte Sicherheit, ein neues
Dateisystem sowie eine automatisierte Konfiguration von
&man.chroot.8;. Der erste Teil dieses Abschnitts beschreibt diese
Neuerungen inklusive ihrer Konfiguration, der zweite Teil
konzentriert sich auf den Umstieg auf &os;&nbsp;5.3. Der
<acronym>BIND</acronym>-Server wird im Folgenden als &man.named.8;
bezeichnet. Die Grundlagen von <acronym>DNS</acronym> wurden
bereits im letzten Abschnitt beschrieben. Lesen Sie sich diesen
Abschnitt noch einmal durch, bevor Sie fortfahren.</para>
<para>Die Konfigurationsdateien f&uuml;r
<application>named</application> befinden sich unter
<filename class="directory">/var/named/etc/namedb/</filename> und
m&uuml;ssen von Ihnen angepasst werden, bevor sie verwendet werden
k&ouml;nnen. Ein Gro&szlig;teil der &Auml;nderungen betrifft
Dateien in diesem Verzeichnis.</para>
<sect2>
<title>Eine Master-Zone einrichten</title>
<para>Um eine Master-Zone einzurichten, wechseln Sie ins
Verzeichnis
<filename class="directory">/var/named/etc/namedb/</filename>
und geben den folgenden Befehl ein:</para>
<screen>&prompt.root; <userinput>sh make-localhost</userinput></screen>
<para>Wenn alles klappt, wird die lokale reverse-DNS-Zonendatei
<filename>localhost.rev</filename>
(<filename>localhost-v6.rev</filename> bei Verwendung von
<acronym>IPv6</acronym>) im Verzeichnis
<filename class="directory">master</filename> angelegt. Da es
sich dabei um die Standardkonfigurationsdatei handelt, wird
diese automatisch in <filename>named.conf</filename>
eingebunden.</para>
</sect2>
<sect2>
<title>Eine Slave-Zone einrichten</title>
<para>Weitere Domains oder Subdomains werden konfiguriert, indem
man sie als Slave-Zonen einrichtet. In den meisten F&auml;llen
kann die Datei <filename>master/localhost.rev</filename> einfach in das
Verzeichnis <filename class="directory">slave</filename> kopiert
und angepasst werden. Danach werden die Dateien in
<filename>named.conf</filename> eingebunden. Das folgende
Beispiel beschreibt die Konfiguration der Domain
<hostid role="domainname">example.com</hostid>:</para>
<programlisting>zone "example.com" {
type slave;
file "slave/example.com";
masters {
10.0.0.1;
};
};
zone "0.168.192.in-addr.arpa" {
type slave;
file "slave/0.168.192.in-addr.arpa";
masters {
10.0.0.1;
};
}; </programlisting>
<para>Beachten Sie, dass die Master-<acronym>IP</acronym>-Adresse
nur den prim&auml;ren Domainserver festlegt, von dem die Zonen
transferiert werden. Das hei&szlig;t aber nicht, dass dieser
Server auch als <acronym>DNS</acronym>-Server arbeitet.</para>
</sect2>
<sect2>
<title><acronym>BIND</acronym> automatisch starten</title>
<para>Um den <application>named</application>-Daemon beim
Systemstart automatisch zu starten, f&uuml;gen Sie
folgende Zeile in <filename>rc.conf</filename> ein:</para>
<programlisting>named_enable="YES"</programlisting>
<para>Obwohl es noch weitere Optionen gibt, sollten
Sie <application>named</application> bereits jetzt starten k&ouml;nnen.
Zus&auml;tzliche Konfigurationsoptionen werden in
&man.rc.conf.5; beschrieben. Wenn Sie <command>named</command>
nicht &uuml;ber die Datei <filename>rc.conf</filename> starten
wollen, k&ouml;nnen Sie auch den folgenden Befehl eingeben:</para>
<screen>&prompt.root; <userinput>/etc/rc.d/named start</userinput></screen>
</sect2>
<sect2>
<title><acronym>BIND</acronym>9 absichern</title>
<para>&os; f&uuml;hrt <application>named</application> automatisch in
einer &man.chroot.8;-Umgebung (Sandbox) aus, es gibt aber
noch weitere M&ouml;glichkeiten, potentielle Angriffe auf Ihren
<acronym>DNS</acronym>-Server abzuwehren.</para>
<sect3>
<title>Zugriffskontrolllisten
(<foreignphrase>Access Control Lists</foreignphrase>)
verwenden</title>
<para>Durch Zugriffskontrolllisten k&ouml;nnen Sie die Abfrage
von Zoneninformationen einschr&auml;nken. Dazu definieren Sie
das entsprechende Netzwerk im <literal>acl</literal>-Abschnitt
und f&uuml;gen anschlie&szlig;end die
<acronym>IP</acronym>-Adressen in die Zonenkonfigurationsdatei
ein. Um den Zugriff auf Zoneninformationen zu erlauben,
f&uuml;gen Sie Zeilen &auml;hnlich den folgenden ein:</para>
<programlisting>acl "example.com" {
192.168.0.0/24;
};
zone "example.com" {
type slave;
file "slave/example.com";
masters {
10.0.0.1;
};
allow-query { example.com; };
};
zone "0.168.192.in-addr.arpa" {
type slave;
file "slave/0.168.192.in-addr.arpa";
masters {
10.0.0.1;
};
allow-query { example.com; };
}; </programlisting>
</sect3>
<sect3>
<title>Die Ausgabe der Versionsnummer unterbinden</title>
<para>Die Abfrage der Versionsnummer des <acronym>DNS</acronym>-
Servers kann einem Angreifer den Zugriff auf das System
erm&ouml;glichen. Er ist dadurch in der Lage, gezielt nach
bekannten Sicherheitsl&uuml;cken dieser Version zu suchen und
diese auf Ihr System anzuwenden.</para>
<warning>
<para>Die Angabe einer falschen Versionsnummer behebt keine
Sicherheitsl&uuml;cken. Nur die Aktualisierung auf eine
Version, die nicht mehr angreifbar ist, sch&uuml;tzt Ihren
Server.</para>
</warning>
<para>Dennoch ist es eine gute Idee, eine falsche Angabe im
Abschitt <literal>options</literal> der Datei
<filename>named.conf</filename> anzugeben:</para>
<programlisting>options {
directory "/etc/namedb";
pid-file "/var/run/named/pid";
dump-file "/var/dump/named_dump.db";
statistics-file "/var/stats/named.stats";
version "None of your business";
}; </programlisting>
</sect3>
</sect2>
</sect1>
<sect1 id="network-apache">
<sect1info>
<authorgroup>
<author>
<firstname>Murray</firstname>
<surname>Stokely</surname>
<contrib>Beigetragen von </contrib>
</author>
</authorgroup>
</sect1info>
<title>Der Apache HTTP-Server</title>
<indexterm>
<primary>Webserver</primary>
<secondary>konfigurieren</secondary>
</indexterm>
<indexterm><primary>Apache</primary></indexterm>
<sect2>
<title>&Uuml;berblick</title>
<para>Einige der weltgr&ouml;&szlig;ten Internetauftritte laufen
unter &os;. Die Mehrzahl der Webserver im Internet nutzt
den <application>Apache</application> HTTP-Server. Die
Installationspakete f&uuml;r den
<application>Apache</application> sollten auf Ihrem
Installationsmedium vorhanden sein. Wenn Sie den
<application>Apache</application> noch nicht installiert haben,
k&ouml;nnen Sie dies jederzeit &uuml;ber den Port
<filename role="package">www/apache13</filename> oder
<filename role="package">www/apache20</filename> nachholen.</para>
<para>Nachdem der <application>Apache</application> erfolgreich
installiert wurde, muss er noch konfiguriert werden.</para>
<note><para>Dieser Abschnitt beschreibt die Version 1.3.X des
<application>Apache</application> HTTP-Servers, da diese Version
unter &os; am h&auml;ufigsten verwendet wird.
<application>Apache</application>&nbsp;2.X bringt zwar viele
Verbesserungen mit sich, wird hier aber nicht beschrieben.
Sollten Sie an <application>Apache</application>&nbsp;2.X
interessiert sein, informieren Sie sich bitte auf
<ulink url="http://httpd.apache.org/"></ulink>.</para></note>
</sect2>
<sect2>
<title>Konfiguration</title>
<indexterm><primary>Apache</primary>
<secondary>Konfigurationsdatei</secondary></indexterm>
<para>Der <application>Apache</application> HTTP-Server wird unter
&os; prim&auml;r &uuml;ber die Datei
<filename>/usr/local/etc/apache/httpd.conf</filename>
konfiguriert. Bei dieser Datei handelt es sich um eine typische
&unix;-Konfigurationsdatei, in der Kommentarzeilen mit einem
<literal>#</literal>-Zeichen beginnen. Eine komplette
Beschreibung aller Optionen w&uuml;rde den Rahmen dieses
Handbuchs sprengen, daher beschreiben wir hier nur die am
h&auml;ufigsten verwendeten Optionen.</para>
<variablelist>
<varlistentry>
<term><literal>ServerRoot "/usr/local"</literal></term>
<listitem>
<para>Legt das Standardwurzelverzeichnis f&uuml;r die
<application>Apache</application>-Installation fest.
Bin&auml;rdateien werden in die Verzeichnisse
<filename class="directory">bin</filename> und
<filename class="directory">sbin</filename> unterhalb des
Serverwurzelverzeichnisses installiert, w&auml;hrend sich
Konfigurationsdateien im Verzeichnis
<filename class="directory">etc/apache</filename>
befinden.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><literal>ServerAdmin you@your.address</literal></term>
<listitem>
<para>Die E-Mail-Adresse, an die Mitteilungen &uuml;ber
Serverprobleme geschickt werden sollen. Diese Adresse
erscheint auf vom Server erzeugten Seiten, beispielsweise
auf Fehlerseiten.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><literal>ServerName www.example.com</literal></term>
<listitem>
<para>&Uuml;ber die Option <literal>ServerName</literal>
k&ouml;nnen Sie einen Rechnernamen festlegen, den Ihr
Server an die Clients sendet, wenn sich dieser von
tats&auml;chlichen Rechnernamen unterscheidet (sie
k&ouml;nnten etwa <hostid>www</hostid> statt des richtigen
Rechnernamens verwenden).</para>
</listitem>
</varlistentry>
<varlistentry>
<term><literal>DocumentRoot "/usr/local/www/data"</literal></term>
<listitem>
<para><literal>DocumentRoot</literal>: Das Verzeichnis, in
dem Sie Ihre Dokumente ablegen. In der Voreinstellung
befinden sich alle Seiten in diesem Verzeichnis, durch
symbolische Links oder Aliase lassen sich aber auch andere
Orte festlegen.</para>
</listitem>
</varlistentry>
</variablelist>
<para>Es ist empfehlenswert, eine Sicherungskopie Ihrer
Konfigurationsdatei anzulegen, bevor Sie &Auml;nderungen
durchf&uuml;hren. Nachdem Sie die Konfiguration beendet
haben, k&ouml;nnen Sie den
<application>Apache</application> starten.</para>
<!-- sect3 for performance tuning directives? maxservers minservers -->
<!-- etc..?? -->
<!-- Advanced configuration section.
Performance tuning directives.
Log file format -->
</sect2>
<sect2>
<title>Den <application>Apache</application> betreiben</title>
<indexterm><primary>Apache</primary>
<secondary>Starten oder Beenden</secondary></indexterm>
<para>Der <application>Apache</application> wird, im Gegensatz zu
vielen anderen Netzwerkservern, nicht vom
<application>inetd</application>-Super-Server verwaltet, sondern
wird als eigenst&auml;ndiger Server betrieben, um die
Leistung f&uuml;r eintreffende HTTP-Anfragen von den Clients
(also von Internetbrowsern) zu verbessern. Gestartet, beendet
oder neu gestartet wird der Server &uuml;ber einen
Shellskript-Wrapper. Um den <application>Apache</application>
erstmals zu starten, geben Sie einfach Folgendes ein:</para>
<screen>&prompt.root; <userinput>/usr/local/sbin/apachectl start</userinput></screen>
<para>Wenn Sie den Server beenden wollen, geben Sie Folgendes ein:</para>
<screen>&prompt.root; <userinput>/usr/local/sbin/apachectl stop</userinput></screen>
<para>Wenn Sie die Konfigurationsdatei ver&auml;ndern, m&uuml;ssen
Sie den Server neu starten:</para>
<screen>&prompt.root; <userinput>/usr/local/sbin/apachectl restart</userinput></screen>
<para>Um den <application>Apache</application> ohne den Abbruch
bestehender Verbindungen neu zu starten, geben Sie Folgendes
ein:</para>
<screen>&prompt.root; <userinput>/usr/local/sbin/apachectl graceful</userinput></screen>
<para>Diese und weitere Optionen werden in
&man.apachectl.8; beschrieben.</para>
<para>Um den <application>Apache</application> beim Systemstart
zu starten, f&uuml;gen Sie folgende Zeile in
<filename>/etc/rc.conf</filename> ein:</para>
<programlisting>apache_enable="YES"</programlisting>
<para>Wenn Sie w&auml;hrend des Systemstarts weitere Parameter an
den
<application>Apache</application>-<command>httpd</command>-Daemon
&uuml;bergeben wollen, k&ouml;nnen Sie diese durch eine
zus&auml;tzliche Zeile in <filename>rc.conf</filename>
angeben:</para>
<programlisting>apache_flags=""</programlisting>
<para>Nachdem der Webserver gestartet ist, k&ouml;nnen Sie sich
Ihre Internetseite ansehen, indem Sie in Ihren Browser die
Adresse <literal>http://localhost/</literal> eingeben. Die
vordefinierte Standardstartseite ist
<filename>/usr/local/www/data/index.html</filename>.</para>
</sect2>
<sect2>
<title>Virtual Hosting</title>
<para>Der <application>Apache</application> unterst&uuml;tzt zwei
Formen des <foreignphrase>Virtual Hostings</foreignphrase>. Die
erste M&ouml;glichkeit bezeichnet man als namenbasiertes
virtuelles Hosting. Dabei wird der HTTP/1.1-Header der Clients
dazu verwendet, den Rechnernamen zu bestimmen. Dadurch wird es
m&ouml;glich, mehrere Domains unter der gleichen IP-Adresse zu
betreiben.</para>
<para>Damit der <application>Apache</application> namenbasierte
virtuelle Domains verwalten kann, f&uuml;gen Sie die folgende
Zeile in <filename>httpd.conf</filename> ein:</para>
<programlisting>NameVirtualHost *</programlisting>
<para>Wenn Ihr Webserver
<hostid role="fqdn">www.domain.tld</hostid> hei&szlig;t und Sie die
virtuelle Domain
<hostid role="fqdn">www.someotherdomain.tld</hostid> einrichten
wollen, erg&auml;nzen Sie <filename>httpd.conf</filename> um
folgende Eintr&auml;ge:</para>
<screen>&lt;VirtualHost *&gt;
ServerName www.domain.tld
DocumentRoot /www/domain.tld
&lt;/VirtualHost&gt;
&lt;VirtualHost *&gt;
ServerName www.someotherdomain.tld
DocumentRoot /www/someotherdomain.tld
&lt;/VirtualHost&gt;</screen>
<para>Ersetzen Sie dabei die Adressen sowie den Pfad zu den
Dokumenten durch Ihre eigenen Einstellungen.</para>
<para>Ausf&uuml;hrliche Informationen zum Einrichten von
virtuellen Domains finden Sie in der offiziellen
<application>Apache</application>-Dokumentation unter
<ulink
url="http://httpd.apache.org/docs/vhosts/"></ulink>.</para>
</sect2>
<sect2>
<title>H&auml;ufig verwendete Apache-Module</title>
<indexterm><primary>Apache</primary>
<secondary>Module</secondary></indexterm>
<para>Es gibt viele verschiedene
<application>Apache</application>-Module, die den Server
um zus&auml;tzliche Funktionen erweitern. Die
FreeBSD-Ports-Sammlung erm&ouml;glicht es Ihnen, den
<application>Apache</application> gemeinsam mit einigen der
beliebtesten Zusatzmodule zu installieren.</para>
<sect3>
<title>mod_ssl</title>
<indexterm>
<primary>Webserver</primary>
<secondary>Verschl&uuml;sselung</secondary>
</indexterm>
<indexterm>
<primary>SSL</primary>
</indexterm>
<indexterm>
<primary>Verschl&uuml;sselung</primary>
</indexterm>
<para>Das Modul <application>mod_ssl</application> verwendet die
OpenSSL-Bibliothek, um, unter Nutzung der Protokolle Secure
Sockets Layer (SSL v2/v3) sowie Transport Layer Security
(TLS v1) starke Verschl&uuml;sselung zu erm&ouml;glichen.
Durch dieses Modul k&ouml;nnen Sie ein signiertes Zertifikat
von einer Zertifizierungsstelle anfordern, damit Sie einen
sicheren Webserver unter &os; betreiben k&ouml;nnen.</para>
<para>Wenn Sie den <application>Apache</application>&nbsp;1.3.X noch
nicht installiert haben, k&ouml;nnen Sie &uuml;ber den
Port <filename
role="package">www/apache13-modssl</filename> eine
<application>Apache</application>-Version installieren, in die
<application>mod_ssl</application> als Modul einkompiliert
wurde. Bevorzugen Sie den
<application>Apache</application>&nbsp;2.X, installieren Sie
stattdessen den Port
<filename role="package">www/apache20</filename>, bei dem die
SSL-Unterst&uuml;tzung bereits in der Voreinstellung aktiviert
ist.</para>
<!-- XXX add more information about configuring mod_ssl here. -->
<!-- Generating keys, getting the key signed, setting up your secure -->
<!-- web server! -->
</sect3>
<sect3>
<title>Dynamische Webseiten mit Perl &amp; PHP</title>
<para>In den vergangenen Jahren haben immer mehr Unternehmen
das Internet als Mittel f&uuml;r die Steigerung ihrer
Einnahmen sowie f&uuml;r die Erh&ouml;hung ihrer Reichweite
entdeckt. Dadurch stieg auch die Nachfrage nach interaktiven
Internetinhalten. Neben einigen Unternehmen, darunter
&microsoft;, die daf&uuml;r propriet&auml;re Produkte
entwickelt haben, hat auch die Open Source Community auf
diesen Umstand reagiert und unter anderem mit
<application>mod_perl</application> und
<application>mod_php</application> M&ouml;glichkeiten zur
Generierung dynamischer Internetseiten geschaffen.</para>
<sect4>
<title>mod_perl</title>
<indexterm>
<primary>mod_perl</primary>
<secondary>Perl</secondary>
</indexterm>
<para>Die Kombination <application>Apache</application>/Perl
vereinigt die Vorteile der Programmiersprache Perl und des
<application>Apache</application> HTTP-Servers. Durch
das Modul <application>mod_perl</application> ist es
m&ouml;glich, vollst&auml;ndig in Perl geschriebene
<application>Apache</application>-Module zu erzeugen.
Da der Perl-Interpreter in den Server eingebettet wird,
m&uuml;ssen Sie weder einen externen Interpreter noch
Perl zus&auml;tzlich aufrufen.</para>
<para><application>mod_perl</application> ist in verschiedenen
Versionen erh&auml;ltlich. Bevor Sie
<application>mod_perl</application> einsetzen,denken Sie
bitte daran, dass <application>mod_perl</application>&nbsp;1.0
nur mit <application>Apache</application>&nbsp;1.3 und
<application>mod_perl</application>&nbsp;2.0 nur mit
<application>Apache</application>&nbsp;2 zusammenarbeitet.
<application>mod_perl</application>&nbsp;1.0 kann &uuml;ber
den Port <filename role="package">www/mod_perl</filename>,
eine statisch kompilierte Version hingegen &uuml;ber den
Port <filename role="package">www/apache13-modperl</filename>
installiert werden. F&uuml;r die Installation von
<application>mod_perl</application>&nbsp;2.0 schlie&szlig;lich
verwenden Sie den Port <filename
role="package">www/mod_perl2</filename>.</para>
</sect4>
<sect4>
<sect4info>
<authorgroup>
<author>
<firstname>Tom</firstname>
<surname>Rhodes</surname>
<contrib>Geschrieben von </contrib>
</author>
</authorgroup>
</sect4info>
<title>mod_php</title>
<indexterm>
<primary>mod_php</primary>
<secondary>PHP</secondary>
</indexterm>
<para>Bei PHP, dem <quote>Hypertext Preprocessor</quote>,
handelt es sich um eine vielseitig verwendbare Skriptsprache,
die besonders f&uuml;r die Internetprogrammierung geeignet
ist. PHP kann in <acronym>HTML</acronym> eingebettet werden
und &auml;hnelt von der Syntax her Sprachen wie C, &java; und
Perl. Das Hauptanliegen von PHP ist es, Internetprogrammierern
die rasche Erstellung von dynamisch erzeugten Internetseiten zu
erm&ouml;glichen.</para>
<para>Damit Ihr System <acronym>PHP</acronym>5 unterst&uuml;tzt,
m&uuml;ssen Sie als Erstes den <application>Apache</application>
Webserver &uuml;ber den Port
<filename role="package">www/mod_php5</filename>
installieren.</para>
<para>Dieser Port installiert und konfiguriert die Module, die
f&uuml;r die Unterst&uuml;tzung von dynamischen
<acronym>PHP</acronym>-Anwendungen ben&ouml;tigt werden.
Stellen Sie danach sicher, dass Ihre
<filename>/usr/local/etc/apache/httpd.conf</filename> die
folgenden Abschnitte enth&auml;lt:</para>
<programlisting>LoadModule php5_module libexec/apache/libphp5.so</programlisting>
<programlisting>AddModule mod_php5.c
&lt;IfModule mod_php5.c&gt;
DirectoryIndex index.php index.html
&lt;/IfModule&gt;
&lt;IfModule mod_php5.c&gt;
AddType application/x-httpd-php .php
AddType application/x-httpd-php-source .phps
&lt;/IfModule&gt;</programlisting>
<para>Nachdem dies erledigt ist, rufen Sie
<command>apachectl</command> auf, um das
<acronym>PHP</acronym>-Modul zu laden:</para>
<screen>&prompt.root; <userinput>apachectl graceful</userinput></screen>
<para>Die <acronym>PHP</acronym>-Unterst&uuml;tzung von &os; ist
stark modular aufgebaut, daher verf&uuml;gt eine
Basisinstallation nur &uuml;ber wenige Funktionen. Eine
Erweiterung um zus&auml;tzliche Funktionen ist allerdings sehr
einfach &uuml;ber den Port <filename
role="package">lang/php5-extensions</filename> m&ouml;glich.
Der Port bietet Ihnen ein Auswahlmen&uuml;, &uuml;ber das Sie
verschiedene <acronym>PHP</acronym>-Erweiterungen installieren
k&ouml;nnen. Alternativ k&ouml;nnen Sie einzelne Erweiterungen
aber weiterhin direkt &uuml;ber den jeweiligen Port
installieren.</para>
<para>Um beispielsweise die Unterst&uuml;tzung des
Datenbankservers <application>MySQL</application> in
<acronym>PHP</acronym>5 zu aktivieren, installieren Sie
den Port <filename
role="package">databases/php5-mysql</filename>.</para>
<para>Nachdem Sie eine Erweiterung installiert haben,
m&uuml;ssen Sie den
<application>Apache</application>-Server neu starten, damit
die Erweiterung auch erkannt wird:</para>
<screen>&prompt.root; <userinput>apachectl graceful</userinput></screen>
<para>Ab nun wird <application>MySQL</application> von
<application>PHP</application> unterst&uuml;tzt.</para>
</sect4>
</sect3>
</sect2>
</sect1>
<sect1 id="network-ftp">
<sect1info>
<authorgroup>
<author>
<firstname>Murray</firstname>
<surname>Stokely</surname>
<contrib>Beigetragen von </contrib>
</author>
</authorgroup>
</sect1info>
<title>FTP &ndash; File Transfer Protocol</title>
<indexterm><primary>FTP-Server</primary></indexterm>
<sect2>
<title>&Uuml;berblick</title>
<para>Das File Transfer Protocol (FTP) erm&ouml;glicht
auf einfache Art und Weise den Dateiaustausch mit einem
<acronym role="File Transfer Protocol">FTP</acronym>-Server.
Der
<acronym role="File Transfer Protocol">FTP</acronym>-Server
<application>ftpd</application> ist bei &os; bereits im
Basisystem enthalten. Daher sind Konfiguration und Betrieb
eines
<acronym role="File Transfer Protocol">FTP</acronym>-Servers
unter FreeBSD relativ einfach.</para>
</sect2>
<sect2>
<title>Konfiguration</title>
<para>Der wichtigste Punkt ist hier die Entscheidung dar&uuml;ber,
welche Benutzer auf Ihren FTP-Server zugreifen d&uuml;rfen.
Ein FreeBSD-System verf&uuml;gt &uuml;ber diverse
Systembenutzerkonten, um einzelnen Daemonen den Zugriff auf
das System zu erm&ouml;glichen. Anonyme Benutzer sollten sich
allerdings nicht &uuml;ber diese Benutzerkonten anmelden
d&uuml;rfen. Die Datei <filename>/etc/ftpusers</filename>
enth&auml;lt alle Benutzer, die vom FTP-Zugriff ausgeschlossen
sind. In der Voreinstellung gilt dies auch die gerade
erw&auml;hnten Systembenutzerkonten. Sie k&ouml;nnen &uuml;ber
diese Datei weitere Benutzer vom FTP-Zugriff
ausschlie&szlig;en.</para>
<para>Sie k&ouml;nnen den Zugriff f&uuml;r einige Benutzer
einschr&auml;nken, ohne FTP komplett zu verbieten. Dazu
passen Sie <filename>/etc/ftpchroot</filename> entsprechend an.
Diese Datei enth&auml;lt Benutzer und Gruppen sowie die f&uuml;r
sie geltenden FTP-Einschr&auml;nkungen und wird in
&man.ftpchroot.5; ausf&uuml;hrlich beschrieben.</para>
<indexterm>
<primary>FTP</primary>
<secondary>anonymous</secondary>
</indexterm>
<para>Wenn Sie einen anonymen FTP-Zugriff auf Ihren Server
erm&ouml;glichen wollen, m&uuml;ssen Sie den Benutzer
<username>ftp</username> auf Ihrem &os;-System anlegen.
Danach k&ouml;nnen sich Benutzer mit dem Benutzernamen
<username>ftp</username> oder <username>anonymous</username>
auf Ihrem FTP-Server anmelden. Das Passwort ist dabei
beliebig (allerdings wird dazu in der Regel eine E-Mail-Adresse
verwendet). Meldet sich ein anonymer Benutzer an, aktiviert
der FTP-Server &man.chroot.2;, um den Zugriff auf das
Heimatverzeichnis des Benutzers <username>ftp</username>
zu beschr&auml;nken.</para>
<para>Es gibt zwei Textdateien, deren Inhalt Sie bei der Anmeldung
an Ihrem FTP-Server anzeigen lassen k&ouml;nnen. Der Inhalt von
<filename>/etc/ftpwelcome</filename> wird angezeigt, bevor der
Login-Prompt erscheint. Nach einer erfolgreichen Anmeldung wird
der Inhalt von <filename>/etc/ftpmotd</filename> angezeigt.
Beachten Sie aber, dass es dabei um einen Pfad relativ zur
Umgebung des anzumeldenden Benutzers handelt. Bei einer
anonymen Anmeldung w&uuml;rde also die Datei
<filename>~ftp/etc/ftpmotd</filename> angezeigt.</para>
<para>Nachdem Sie den FTP-Server konfiguriert haben, m&uuml;ssen
Sie Ihn in <filename>/etc/inetd.conf</filename> aktivieren.
Dazu m&uuml;ssen Sie lediglich das Kommentarsymbol
<quote>#</quote> am Beginn der bereits vorhandenen
<application>ftpd</application>-Zeile entfernen:</para>
<programlisting>ftp stream tcp nowait root /usr/libexec/ftpd ftpd -l</programlisting>
<para>Nachdem Sie diese &Auml;nderung durchgef&uuml;hrt haben,
m&uuml;ssen Sie, wie in <xref linkend="network-inetd-reread">
beschrieben, die <application>inetd</application>-Konfiguration
neu einlesen.</para>
<para>Danach k&ouml;nnen Sie sich auf Ihrem FTP-Server anmelden:</para>
<screen>&prompt.user; <userinput>ftp localhost</userinput></screen>
</sect2>
<sect2>
<title>Wartung</title>
<indexterm><primary>syslog</primary></indexterm>
<indexterm>
<primary>Logdateien</primary>
<secondary>FTP</secondary>
</indexterm>
<para>Der <application>ftpd</application>-Daemon verwendet
&man.syslog.3;, um Protokolldateien zu erstellen. In der
Voreinstellung werden alle FTP betreffenden Nachrichten
in die Datei <filename>/var/log/xferlog</filename>
geschrieben. Dies l&auml;sst sich aber durch das Einf&uuml;gen
der folgenden Zeile in <filename>/etc/syslog.conf</filename>
&auml;ndern:</para>
<programlisting>ftp.info /var/log/xferlog</programlisting>
<indexterm>
<primary>FTP</primary>
<secondary>anonymous</secondary>
</indexterm>
<para>Beachten Sie, dass mit dem Betrieb eines anonymen
FTP-Servers verschiedene Sicherheitsrisiken verbunden sind.
Problematisch ist hier vor allem die Erlaubnis zum anonymen
Upload von Dateien. Dadurch k&ouml;nnte Ihr Server zur
Verbreitung von illegaler oder nicht lizensierter Software
oder noch Schlimmeren missbraucht werden. Wollen Sie
anonyme Uploads dennoch erlauben, sollten Sie die
Zugriffsrechte so setzen, dass solche Dateien erst nach Ihrer
Zustimmung von anderen Benutzern heruntergeladen werden
k&ouml;nnen.</para>
</sect2>
</sect1>
<sect1 id="network-samba">
<sect1info>
<authorgroup>
<author>
<firstname>Murray</firstname>
<surname>Stokely</surname>
<contrib>Beigetragen von </contrib>
</author>
</authorgroup>
</sect1info>
<title>Mit Samba einen Datei- und Druckserver f&uuml;r
&microsoft.windows;-Clients einrichten</title>
<indexterm><primary>Samba-Server</primary></indexterm>
<indexterm><primary>Microsoft Windows</primary></indexterm>
<indexterm>
<primary>Dateiserver</primary>
<secondary>Windows-Clients</secondary>
</indexterm>
<indexterm>
<primary>Druckserver</primary>
<secondary>Windows-Clients</secondary>
</indexterm>
<sect2>
<title>&Uuml;berblick</title>
<para><application>Samba</application> ist ein beliebtes
Open Source-Softwarepaket, das es Ihnen erm&ouml;glicht,
einen Datei- und Druckserver f&uuml;r
&microsoft.windows;-Clients einzurichten. Clients k&ouml;nnen
sich dadurch mit einem FreeBSD-System verbinden und dessen
Speicherplatz oder dessen Drucker verwenden. Dies genauso, als
wenn es sich um lokale Drucker oder Festplatten handeln
w&uuml;rde.</para>
<para><application>Samba</application> sollte als Softwarepaket
auf Ihren Installationsmedien vorhanden sein. Wenn Sie
<application>Samba</application> noch nicht installiert haben,
k&ouml;nnen Sie dies jederzeit &uuml;ber den Port oder das
Paket <filename role="package">net/samba3</filename>
nachholen.</para>
<!-- mention LDAP, Active Directory, WinBIND, ACL, Quotas, PAM, .. -->
</sect2>
<sect2>
<title>Konfiguration</title>
<para>Die Standardkonfigurationsdatei von
<application>Samba</application> hei&szlig;t
<filename>/usr/local/etc/smb.conf.default</filename>. Diese
Datei muss nach <filename>/usr/local/etc/smb.conf</filename>
kopiert und angepasst werden, bevor
<application>Samba</application> verwendet werden kann.</para>
<para>Die Datei <filename>smb.conf</filename> enth&auml;lt
Laufzeitinformationen f&uuml;r
<application>Samba</application>, beispielsweise
Druckerdefinitionen oder
<foreignphrase>filesystem shares</foreignphrase>, also Bereiche
des Dateisystems, die Sie mit &windows;-Clients teilen wollen.
Die Konfiguration der Datei <filename>smb.conf</filename>
erfolgt webbasiert &uuml;ber das im
<application>Samba</application>-Paket enthaltene Programm
<application>swat</application>.</para>
<sect3>
<title>Das Samba Web Administration Tool (SWAT) verwenden</title>
<para>Das
<foreignphrase>Samba Web Administration Tool</foreignphrase>
(SWAT) wird als Daemon von <application>inetd</application>
aktiviert. Daher m&uuml;ssen Sie den Kommentar vor der
folgenden Zeile in <filename>/etc/inetd.conf</filename>
entfernen, bevor Sie <application>swat</application> zur
Konfiguration von <application>Samba</application> verwenden
k&ouml;nnen:</para>
<programlisting>swat stream tcp nowait/400 root /usr/local/sbin/swat</programlisting>
<para>Wie bereits in <xref linkend="network-inetd-reread">
beschrieben, m&uuml;ssen Sie die
<application>inetd</application>-Konfiguration neu einlesen,
nachdem Sie diese &Auml;nderung durchgef&uuml;hrt haben.</para>
<para>Nachdem <application>swat</application> in der Datei
<filename>inetd.conf</filename> aktiviert wurde, rufen Sie
in Ihrem Internetbrowser die Adresse
<ulink url="http://localhost:901"></ulink> auf und melden sich
mit dem <username>root</username>-Benutzerkonto an.</para>
<!-- XXX screenshots go here, loader is creating them -->
<para>Nachdem Sie sich erfolgreich angemeldet haben, wird die
Hauptkonfigurationseite von <application>Samba</application>
geladen. Sie k&ouml;nnen nun die Dokumentation lesen, oder
durch einen Klick auf die
<guimenu>Globals</guimenu>-Karteikarte mit der Konfiguration
beginnen. Die Einstellungen, die Sie hier vornehmen
k&ouml;nnen, entsprechen denen des Abschnitts
<literal>[global]</literal> von
<filename>/usr/local/etc/smb.conf</filename>.</para>
</sect3>
<sect3>
<title>Globale Einstellungen</title>
<para>Unabh&auml;ngig davon, ob Sie
<application>swat</application> verwenden, oder
<filename>/usr/local/etc/smb.conf</filename> direkt
editieren, sollten Sie zuerst folgende Einstellungen
anpassen:</para>
<variablelist>
<varlistentry>
<term><literal>workgroup</literal></term>
<listitem>
<para>Der NT-Dom&auml;nenname oder der Arbeitsgruppenname der
Rechner, die auf den Server Zugriff haben sollen.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><literal>netbios name</literal></term>
<indexterm><primary>NetBIOS</primary></indexterm>
<listitem>
<para>Legt den NetBIOS-Namen fest, unter dem der
<application>Samba</application>-Server bekannt ist.
In der Regel handelt es sich dabei um den ersten
Teil des DNS-Namens des Servers.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><literal>server string</literal></term>
<listitem>
<para>Legt die Beschreibung fest, die angezeigt werden
soll, wenn mit <command>net view</command> oder
&uuml;ber andere Netzwerkprogramme Informationen
&uuml;ber den Server angefordert werden.</para>
</listitem>
</varlistentry>
</variablelist>
</sect3>
<sect3>
<title>Samba absichern</title>
<para>Zwei der wichtigsten Einstellungen in
<filename>/usr/local/etc/smb.conf</filename> betreffen
das zu verwendende Sicherheitsmodell sowie das
Backend-Passwortformat f&uuml;r die Benutzer der
Samba-Clients. Folgende Optionen sind daf&uuml;r
verantwortlich:</para>
<variablelist>
<varlistentry>
<term><literal>security</literal></term>
<listitem>
<para>Die h&auml;ufigsten Optionen sind
<literal>security = share</literal> und
<literal>security = user</literal>. Wenn Ihre Clients
Benutzernamen verwenden, die den Benutzernamen auf Ihrem
&os;-Rechner entsprechen, dann sollten Sie die
Einstellung <foreignphrase>user level</foreignphrase>
verwenden. Dies ist auch die Standardeinstellung.
Allerdings ist es dazu erforderlich, dass sich die
Clients auf Ihrem Rechner anmelden, bevor sie auf
gemeinsame Ressourcen zugreifen k&ouml;nnen.</para>
<para>In der Einstellung
<foreignphrase>share level</foreignphrase> m&uuml;ssen
sich Clients nicht unter Verwendung eines g&uuml;ltigen
Logins auf Ihrem Rechner anmelden, bevor sie auf
gemeinsame Ressourcen zugreifen k&ouml;nnen. In
fr&uuml;heren <application>Samba</application>-Versionen
war dies die Standardeinstellung.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><literal>passdb backend</literal></term>
<indexterm><primary>NIS+</primary></indexterm>
<indexterm><primary>LDAP</primary></indexterm>
<indexterm><primary>SQL database</primary></indexterm>
<listitem>
<para><application>Samba</application> erlaubt
verschiedene Backend-Authentifizierungsmodelle. Sie
k&ouml;nnen Clients durch LDAP, NIS+, eine SQL-Datenbank
oder eine Passwortdatei authentifizieren. In der
Voreinstellung wird <literal>smbpasswd</literal>
verwendet. Diese Methode wird im folgenden Abschnitt
n&auml;her beschrieben.</para>
</listitem>
</varlistentry>
</variablelist>
<para>Wenn Sie <literal>smbpasswd</literal> verwenden, m&uuml;ssen
Sie die Datei <filename>/usr/local/private/smbpasswd</filename>
erzeugen, damit <application>Samba</application> in der Lage
ist, Clients zu authentifizieren. Wenn Sie allen auf Ihrem
&unix;-Rechner vorhandenen Benutzern den Zugriff von einem
&windows;-Client aus erm&ouml;glichen wollen, verwenden Sie den
folgenden Befehl:</para>
<screen>&prompt.root; <userinput>grep -v "^#" /etc/passwd | make_smbpasswd &gt; /usr/local/private/smbpasswd</userinput>
&prompt.root; <userinput>chmod 600 /usr/local/private/smbpasswd</userinput></screen>
<para>F&uuml;r ausf&uuml;hrliche Informationen zur Konfiguration
von <application>Samba</application> sollten Sie die
mitinstallierte Dokumentation lesen. Sie sollten aber nach dem
Lesen dieses Abschnitts in der Lage sein,
<application>Samba</application> zu starten.</para>
</sect3>
</sect2>
<sect2>
<title><application>Samba</application> starten</title>
<para>Um <application>Samba</application> beim Systemstart zu
aktivieren, f&uuml;gen Sie folgende Zeile in
<filename>/etc/rc.conf</filename> ein:</para>
<programlisting>samba_enable="YES"</programlisting>
<para>Danach k&ouml;nnen Sie <application>Samba</application>
jederzeit durch folgenden Befehl starten:</para>
<screen>&prompt.root; <userinput>/usr/local/etc/rc.d/samba.sh start</userinput>
Starting SAMBA: removing stale tdbs :
Starting nmbd.
Starting smbd.</screen>
<para><application>Samba</application> verwendet drei Daemonen.
Beachten Sie, dass sowohl <application>nmbd</application> als
auch <application>smbd</application> durch das Skript
<filename>samba.sh</filename> gestartet werden. Wenn Sie die
<foreignphrase>winbind name resolution services</foreignphrase>
in <filename>smb.conf</filename> aktiviert haben, wird
zus&auml;tzlich der <application>winbindd</application>-Daemon
gestartet.</para>
<para>Sie k&ouml;nnen <application>Samba</application> jederzeit
durch den folgenden Befehl beenden:</para>
<screen>&prompt.root; <userinput>/usr/local/etc/rc.d/samba.sh stop</userinput></screen>
<para><application>Samba</application> ist ein komplexes
Softwarepaket mit umfassenden Funktionen, die eine weitreichende
Integration von &microsoft.windows;-Netzwerken erm&ouml;glichen.
F&uuml;r eine Beschreibung dieser Zusatzfunktionen sollten Sie
sich auf <ulink url="http://www.samba.org"></ulink> umsehen.</para>
</sect2>
</sect1>
<sect1 id="network-ntp">
<sect1info>
<authorgroup>
<author>
<firstname>Tom</firstname>
<surname>Hukins</surname>
<contrib>Beigetragen von </contrib>
</author>
</authorgroup>
</sect1info>
<title>Die Uhrzeit mit NTP synchronisieren</title>
<indexterm><primary>NTP</primary></indexterm>
<sect2>
<title>&Uuml;berblick</title>
<para>Da die interne Uhrzeit eines Computers nie ganz exakt ist,
wurde mit NTP
(<foreignphrase>Network Time Protocol</foreignphrase>) eine
M&ouml;glichkeit geschaffen, die exakte Uhrzeit zu ermitteln
und festzulegen.</para>
<para>Viele Internetdienste sind von einer exakten Uhrzeit
abh&auml;ngig. Ein Webserver k&ouml;nnte beispielsweise die
Anforderung erhalten, eine Datei zu versenden, wenn sich diese
in einer bestimmten Zeitspanne ge&auml;ndert hat. In einem
lokalen Netzwerk ist es unbedingt notwendig, dass Rechner, die
Dateien von einem gemeinsamen Dateiserver beziehen, ihre
Uhrzeit synchronisieren, damit die Zeitstempel der Dateien
konstistent bleiben. Dienste wie &man.cron.8; f&uuml;hren
Befehle zu einem bestimmten Zeitpunkt aus. Ist die Uhrzeit
nicht korrekt, kann dies zu Problemen f&uuml;hren.</para>
<indexterm>
<primary>NTP</primary>
<secondary>ntpd</secondary>
</indexterm>
<para>&os; verwendet den &man.ntpd.8;-
<acronym role="Network Time Protocol">NTP</acronym>-Server,
um die genaue Uhrzeit von anderen
<acronym role="Network Time Protocol">NTP</acronym>-Servern
abzufragen, die eigene Systemzeit zu setzen, oder um diese
anderen Rechnern anzubieten.</para>
</sect2>
<sect2>
<title>Einen passenden NTP-Server ausw&auml;hlen</title>
<indexterm>
<primary>NTP</primary>
<secondary>Serverwahl</secondary>
</indexterm>
<para>Um die Uhrzeit zu synchronisieren, m&uuml;ssen Sie sich mit
einem
<acronym role="Network Time Protocol">NTP</acronym>-Server
verbinden. Ihr Netzwerkadministrator oder Ihr Internetprovider
haben vielleicht schon einen NTP-Server eingerichtet. Lesen Sie
deren Dokumentation, um dies zu &uuml;berpr&uuml;fen. Es gibt
im Internet eine
<ulink url="http://ntp.isc.org/bin/view/Servers/WebHome">
Liste mit frei zug&auml;nglichen NTP-Servern</ulink>, aus der
Sie sich einen in Ihrer N&auml;he gelegenen Server
ausw&auml;hlen k&ouml;nnen. Beachten Sie aber auf jeden Fall
die Nutzungsbedingungen des entsprechenden Servers, und fragen
Sie um Erlaubnis, wenn dies n&ouml;tig ist.</para>
<para>Die Auswahl von mehreren NTP-Servern kann sinnvoll sein,
wenn ein Server ausf&auml;llt oder falsche Zeiten liefert.
&man.ntpd.8; verwendet die Antworten anderer Server, um
zuverl&auml;ssige Server zu bestimmen, die dann bevorzugt
abgefragt werden.</para>
</sect2>
<sect2>
<title>NTP unter &os; einrichten</title>
<indexterm>
<primary>NTP</primary>
<secondary>Konfiguration</secondary>
</indexterm>
<sect3>
<title>NTP aktivieren</title>
<indexterm><primary>ntpdate</primary></indexterm>
<para>Wenn Sie Ihre Uhrzeit nur beim Systemstart
synchronisieren wollen, k&ouml;nnen Sie &man.ntpdate.8;
verwenden. F&uuml;r Desktoprechner, die regelm&auml;&szlig;ig
neu gestartet werden und keine st&auml;ndige Synchronisation
ben&ouml;tigen, ist dies akzeptabel. In allen anderen
F&auml;llen sollten Sie jedoch &man.ntpd.8; verwenden.</para>
<para>Die Ausf&uuml;hrung von &man.ntpdate.8; w&auml;hrend des
Systemstarts ist aber auch f&uuml;r Rechner, die &man.ntpd.8;
verwenden, sinnvoll. &man.ntpd.8; passt die Systemzeit nur
bei gr&ouml;&szlig;eren Abweichungen an, w&auml;hrend
&man.ntpdate.8; die Zeit immer synchronisiert, egal wie
gro&szlig; die Differenz zwischen Systemzeit und korrekter
Zeit ist.</para>
<para>Um &man.ntpdate.8; beim Systemstart zu aktivieren,
f&uuml;gen Sie den Eintrag
<literal>ntpdate_enable="YES"</literal> in
<filename>/etc/rc.conf</filename> ein. Au&szlig;erdem m&uuml;ssen
Sie alle Server, mit denen Sie sich synchronisieren wollen,
sowie alle an &man.ntpdate.8; zu &uuml;bergebenden Optionen
in den <varname>ntpdate_flags</varname> angeben.</para>
</sect3>
<sect3>
<indexterm>
<primary>NTP</primary>
<secondary>ntp.conf</secondary>
</indexterm>
<title>NTP einrichten</title>
<para>Die Konfiguration von NTP erfolgt &uuml;ber die Datei
<filename>/etc/ntp.conf</filename>, und wird in der
Hilfeseite &man.ntp.conf.5; beschrieben. Dazu ein
einfaches Beispiel:</para>
<programlisting>server ntplocal.example.com prefer
server timeserver.example.org
server ntp2a.example.net
driftfile /var/db/ntp.drift</programlisting>
<para>Die Option <literal>server</literal> legt die zu
verwendenden Server fest, wobei jeder Server in einer eigenen
Zeile steht. Wenn ein Server mit der Option
<literal>prefer</literal> versehen ist, wie dies hier bei
<hostid role="fqdn">ntplocal.example.com</hostid> der Fall
ist, wird dieser Server bevorzugt verwendet. Eine Antwort von
einem bevorzugten Server wird nur dann verworfen, wenn sie
signifikant von denen anderer Server abweicht, ansonsten wird
sie ohne Abfrage weiterer Server verwendet. Die Option
<literal>prefer</literal> wird gew&ouml;hnlich nur f&uuml;r
sehr zuverl&auml;ssige und genaue Server verwendet, die
&uuml;ber spezielle Hardware zur Zeit&uuml;berwachung
verf&uuml;gen.</para>
<para>Die Option <literal>driftfile</literal> legt fest, in
welcher Datei die Abweichungen der Systemuhr protokolliert
werden. &man.ntpd.8; verwendet diese Datei, um die Systemzeit
automatisch anzupassen, selbst wenn kurzzeitig kein NTP-Server
zur Synchronisation verf&uuml;gbar ist.</para>
<para>Weiterhin legt die Option <literal>driftfile</literal> fest,
wo Informationen &uuml;ber fr&uuml;here Antworten des von
Ihnen verwendeten NTP-Servers gespeichert werden sollen.
Diese Datei enth&auml;lt NTP-interne Informationen, sie sollte
daher von anderen Prozessen nicht ver&auml;ndert werden.</para>
</sect3>
<sect3>
<title>Den Zugang zu Ihrem NTP-Server beschr&auml;nken</title>
<para>In der Voreinstellung ist Ihr NTP-Server f&uuml;r alle
Rechner im Internet erreichbar. &Uuml;ber die Option
<literal>restrict</literal> in der Datei
<filename>/etc/ntp.conf</filename> k&ouml;nnen Sie den
Zugang zu Ihrem Server beschr&auml;nken.</para>
<para>Wenn Sie alle Rechner vom Zugriff auf Ihren NTP-Server
ausschlie&szlig;en wollen, f&uuml;gen Sie folgende Zeile in
<filename>/etc/ntp.conf</filename> ein:</para>
<programlisting>restrict default ignore</programlisting>
<para>Wenn Sie nur Rechnern Ihres eigenen Netzwerks die
Synchronisation mit Ihrem NTP-Server erlauben, gleichzeitig
aber verhindern wollen, dass diese den NTP-Server
konfigurieren oder als Server f&uuml;r andere Rechner dienen
k&ouml;nnen, f&uuml;gen Sie folgende Zeile ein:</para>
<programlisting>restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap</programlisting>
<para>Bei <hostid role="ipaddr">192.168.1.0</hostid> handelt es
sich um einen Rechner Ihres Netzwerks.
<hostid role="netmask">255.255.255.0</hostid> ist die
Netzmaske Ihres Netzwerks.</para>
<para><filename>/etc/ntp.conf</filename> kann verschiedene
<literal>restrict</literal>-Optionen enthalten.
Weiteres erfahren Sie im Abschnitt
<literal>Access Control Support</literal> der
Hilfeseite &man.ntp.conf.5;.</para>
</sect3>
</sect2>
<sect2>
<title>Den NTP-Server starten</title>
<para>Damit der NTP-Server beim Systemstart automatisch gestartet
wird, f&uuml;gen Sie den Eintrag
<literal>ntpd_enable="YES"</literal> in
<filename>/etc/rc.conf</filename> ein. Wenn Sie weitere
Argumente an &man.ntpd.8; &uuml;bergeben wollen, passen Sie
die Option <varname>ntpd_flags</varname> in der Datei
<filename>/etc/rc.conf</filename> entsprechend an.</para>
<para>Um den NTP-Server ohne einen Systemneustart zu starten,
rufen Sie <command>ntpd</command> mit den unter
<varname>ntpd_flags</varname> in
<filename>/etc/rc.conf</filename> festgelegten Parametern auf.
Hierzu ein Beispiel:</para>
<screen>&prompt.root; <userinput>ntpd -p /var/run/ntpd.pid</userinput></screen>
<note><para>Unter &os;&nbsp;4.X
m&uuml;ssen Sie alle Vorkommen von <literal>ntpd</literal>
durch <literal>xntpd</literal> ersetzen.</para></note>
</sect2>
<sect2>
<title>ntpd mit einer Einwahlverbindung verwenden</title>
<para>&man.ntpd.8; ben&ouml;tigt keine st&auml;ndige
Internetverbindung. Wenn Sie sich ins Internet einw&auml;hlen,
ist es sinnvoll, zu verhindern, dass NTP-Verkehr eine Verbindung
aufbauen oder aufrechterhalten kann. Wenn Sie user-PPP
verwenden, k&ouml;nnen Sie dies in den
<literal>filter</literal>-Direktiven von
<filename>/etc/ppp/ppp.conf</filename> festlegen. Sehen Sie
sich dazu das folgende Beispiel ein:</para>
<programlisting>set filter dial 0 deny udp src eq 123
# Prevent NTP traffic from initiating dial out
set filter dial 1 permit 0 0
set filter alive 0 deny udp src eq 123
# Prevent incoming NTP traffic from keeping the connection open
set filter alive 1 deny udp dst eq 123
# Prevent outgoing NTP traffic from keeping the connection open
set filter alive 2 permit 0/0 0/0</programlisting>
<para>Weitere Informationen finden Sie im Abschnitt
<literal>PACKET FILTERING</literal> von &man.ppp.8; sowie in den
Beispielen unter <filename>/usr/share/examples/ppp/</filename>.</para>
<note><para>Einige Internetprovider blockieren Ports mit niedrigen
Nummern. In solchen F&auml;llen funktioniert NTP leider
nicht, da Antworten eines NTP-Servers Ihren Rechner nicht
erreichen werden.</para></note>
</sect2>
<sect2>
<title>Weitere Informationen</title>
<para>Weiterf&uuml;hrende Dokumentation (im HTML-Format)
zum NTP-Server finden Sie unter
<filename>/usr/share/doc/ntp/</filename>.</para>
</sect2>
</sect1>
</chapter>
<!--
Local Variables:
mode: sgml
sgml-declaration: "../chapter.decl"
sgml-indent-data: t
sgml-omittag: nil
sgml-always-quote-attributes: t
sgml-parent-document: ("../book.sgml" "part" "chapter")
End:
-->
Reference in a new issue View git blame Copy permalink