svn commit: r48550 - head/de_DE.ISO8859-1/books/handbook/network-servers
Bjoern Heidotting
bhd at FreeBSD.org
Fri Apr 8 17:26:00 UTC 2016
Author: bhd
Date: Fri Apr 8 17:25:59 2016
New Revision: 48550
URL: https://svnweb.freebsd.org/changeset/doc/48550
Log:
Update to r42973:
This patch finishes up the NIS section of this chapter. It does the following:
- replaces NISv1 Compatibility section with a note that FreeBSD uses v2
- renames Important Things to Remember to Adding New Users and places it as a subsection of Configuring the NIS Master Server
- removes the reference to auth.log which is now obsolete
- general tightening and clarification
Reviewed by: bcr
Differential Revision: https://reviews.freebsd.org/D5856
Modified:
head/de_DE.ISO8859-1/books/handbook/network-servers/chapter.xml
Modified: head/de_DE.ISO8859-1/books/handbook/network-servers/chapter.xml
==============================================================================
--- head/de_DE.ISO8859-1/books/handbook/network-servers/chapter.xml Thu Apr 7 17:58:37 2016 (r48549)
+++ head/de_DE.ISO8859-1/books/handbook/network-servers/chapter.xml Fri Apr 8 17:25:59 2016 (r48550)
@@ -5,7 +5,7 @@
$FreeBSD$
$FreeBSDde: de-docproj/books/handbook/network-servers/chapter.xml,v 1.103 2011/12/24 15:51:18 bcr Exp $
- basiert auf: r42970
+ basiert auf: r42973
-->
<chapter xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0" xml:id="network-servers">
<!--
@@ -1109,6 +1109,9 @@ Exports list on foobar:
Systemkonfiguration von einem zentralen Ort aus
durchzuführen.</para>
+ <para>&os; verwendet die Version 2 des
+ <acronym>NIS</acronym>-Protokolls.</para>
+
<sect2>
<title><acronym>NIS</acronym>-Begriffe und -Prozesse</title>
@@ -1190,7 +1193,7 @@ Exports list on foobar:
um einen Daemonprozess, der es
<acronym>NIS</acronym>-Clients ermöglicht, ihre
<acronym>NIS</acronym>-Passwörter zu ändern. Wenn
- dieser Dameon nicht läuft, müssen sich die Benutzer am
+ dieser Daemon nicht läuft, müssen sich die Benutzer am
<acronym>NIS</acronym>-Masterserver anmelden und ihre
Passwörter dort ändern.</entry>
</row>
@@ -1324,7 +1327,7 @@ Exports list on foobar:
</informaltable>
<para>Wenn erstmalig ein NIS-Schema eingerichtet wird, sollte
- es im Vorraus sorgfältig geplant werden. Unabhängig von der
+ es im Voraus sorgfältig geplant werden. Unabhängig von der
Größe des Netzwerks müssen einige Entscheidungen im Rahmen
des Planungsprozesses getroffen werden.</para>
@@ -1516,17 +1519,19 @@ nis_client_flags="-S <replaceable>NIS do
class="username">root</systemitem> und weitere
administrative Konten, zu entfernen.</para>
- <para>Stellen Sie sicher, dass
- <filename>/var/yp/master.passwd</filename> weder von der
- Gruppe noch von der Welt gelesen werden kann, indem Sie
- Zugriffsmodus auf <literal>600</literal>
- einstellen.</para>
+ <note>
+ <para>Stellen Sie sicher, dass
+ <filename>/var/yp/master.passwd</filename> weder von der
+ Gruppe noch von der Welt gelesen werden kann, indem Sie
+ Zugriffsmodus auf <literal>600</literal>
+ einstellen.</para>
+ </note>
<para>Nun können die <acronym>NIS</acronym>-Maps
initialisiert werden. &os; verwendet dafür das Skript
&man.ypinit.8;. Geben Sie <option>-m</option> und den
<acronym>NIS</acronym>-Domänennamen an, wenn Sie
- <acronym>NIS</acronym>Maps für den Masterserver
+ <acronym>NIS</acronym>-Maps für den Masterserver
erzeugen:</para>
<screen>ellington&prompt.root; <userinput>ypinit -m test-domain</userinput>
@@ -1563,13 +1568,36 @@ ellington has been setup as an YP master
<literal>test-domain</literal> aber auch über einen
Slaveserver verfügt, muss
<filename>/var/yp/Makefile</filename> entsprechend
- angepasst werden:
+ angepasst werden, sodass es mit einem Kommentar
+ (<literal>#</literal>) beginnt:
</para>
<programlisting>NOPUSH = "True"</programlisting>
-
- <para>auskommentieren (falls dies nicht bereits der Fall ist).</para>
</sect3>
+
+ <sect3>
+ <title>Neue Benutzer hinzufügen</title>
+
+ <para>Jedes Mal, wenn ein neuer Benutzer angelegt wird,
+ muss er am <acronym>NIS</acronym>-Masterserver hinzugefügt
+ und die <acronym>NIS</acronym>-Maps anschließend neu
+ erzeugt werden. Wird dieser Punkt vergessen, kann sich
+ der neue Benutzer <emphasis>nur</emphasis> am
+ <acronym>NIS</acronym>-Masterserver anmelden. Um
+ beispielsweise den neuen Benutzer
+ <systemitem class="username">jsmith</systemitem> zur
+ Domäne <literal>test-domain</literal> hinzufügen wollen,
+ müssen folgende Kommandos auf dem Masterserver ausgeführt
+ werden:</para>
+
+ <screen>&prompt.root; <userinput>pw useradd jsmith</userinput>
+&prompt.root; <userinput>cd /var/yp</userinput>
+&prompt.root; <userinput>make test-domain</userinput></screen>
+
+ <para>Statt <command>pw useradd jsmith</command> kann
+ auch <command>adduser jsmith</command> verwendet
+ werden.</para>
+ </sect3>
</sect2>
<sect2>
@@ -1653,11 +1681,11 @@ Remember to update map ypservers on elli
<para>Hierbei wird auf dem Slaveserver ein Verzeichnis
namens <filename>/var/yp/test-domain</filename> erstellt,
welches Kopien der
- <acronym>NIS</acronym>-Masterserver-Maps enthält.
- Verzeichnis befinden. Durch hinzufügen der folgenden
- Zeilen in <filename>/etc/crontab</filename> wird der
- Slaveserver angewiesen, seine Maps mit den Maps des
- Masterservers zu synchronisieren:</para>
+ <acronym>NIS</acronym>-Masterserver-Maps enthält. Durch
+ hinzufügen der folgenden Zeilen in
+ <filename>/etc/crontab</filename> wird der Slaveserver
+ angewiesen, seine Maps mit den Maps des Masterservers zu
+ synchronisieren:</para>
<programlisting>20 * * * * root /usr/libexec/ypxfr passwd.byname
21 * * * * root /usr/libexec/ypxfr passwd.byuid</programlisting>
@@ -1806,8 +1834,8 @@ nis_client_enable="YES"</programlisting>
bearbeitet. Gibt es keine passende Regel, wird die
Anforderung ignoriert und eine Warnmeldung aufgezeichnet.
Wenn <filename>securenets</filename> nicht existiert, erlaubt
- <command>ypserv</command> Verbindungen von jedem Rechner
- aus.</para>
+ <command>ypserv</command> Verbindungen von jedem
+ Rechner.</para>
<para><xref linkend="tcpwrappers"/> beschreibt eine
alternative Methode zur Zugriffskontrolle. Obwohl beide
@@ -1908,40 +1936,26 @@ basie&prompt.root;</screen>
<indexterm><primary>Netzgruppen</primary></indexterm>
- <para>Die im letzten Abschnitt beschriebene Methode eignet sich
- besonders, wenn spezielle Regeln für wenige Benutzer oder
- wenige Rechner benötigt werden. In großen Netzwerken werden
- Administratoren allerdings <emphasis>mit Sicherheit</emphasis>
- vergessen, einige Benutzer von der Anmeldung an bestimmten
- Rechnern auszuschließen. Oder sie werden gezwungen sein,
- jeden Rechner einzeln zu konfigurieren. Dadurch verlieren sie
- aber den Hauptvorteil von <acronym>NIS</acronym>: die
+ <para>Bestimmten Benutzern die Anmeldung an einzelnen Systemen
+ zu verweigern, kann in großen Netzwerken schnell
+ unübersichtlich werden. Dadurch verlieren Sie den
+ Hauptvorteil von <acronym>NIS</acronym>: die
<emphasis>zentrale</emphasis> Verwaltung.</para>
- <para>Die Lösung für dieses Problem sind
- <emphasis>Netzgruppen</emphasis>. Ihre Aufgabe und Bedeutung
- ist vergleichbar mit normalen, von &unix;-Dateisystemen
- verwendeten Gruppen. Die Hauptunterschiede sind das Fehlen
- einer numerischen ID sowie die Möglichkeit, Netzgruppen
- zu definieren, die sowohl Benutzer als auch andere Netzgruppen
- enthalten.</para>
-
<para>Netzgruppen wurden entwickelt, um große, komplexe
Netzwerke mit Hunderten Benutzern und Rechnern zu verwalten.
- Sie sind also von Vorteil in solchen Situationen.
- Andererseits ist es dadurch beinahe unmöglich, Netzgruppen mit
- einfachen Beispielen zu erklären. Das hier verwendete
- Beispiel veranschaulicht dieses Problem.</para>
-
- <para>Nehmen wir an, dass die erfolgreiche Einführung von
- <acronym>NIS</acronym> die Aufmerksamkeit eines Vorgesetzten
- geweckt hat. Die nächste Aufgabe besteht nun darin, die
- <acronym>NIS</acronym>-Domäne um
- zusätzliche Rechner zu erweitern. Die folgenden
- Tabellen enthalten die neuen Benutzer und Rechner inklusive
- einer kurzen Beschreibung.</para>
+ Ihre Aufgabe ist vergleichbar mit &unix; Gruppen. Die
+ Hauptunterschiede sind das Fehlen einer numerischen ID sowie
+ die Möglichkeit, Netzgruppen zu definieren, die sowohl
+ Benutzer als auch andere Netzgruppen enthalten.</para>
+
+ <para>Um das Beispiel in diesem Kapitel fortzuführen, wird die
+ <acronym>NIS</acronym>-Domäne um zusätzliche Benutzer und
+ Rechner erweitert:</para>
+
+ <table frame="none" pgwide="1">
+ <title>Zusätzliche Benutzer</title>
- <informaltable frame="none" pgwide="1">
<tgroup cols="2">
<thead>
<row>
@@ -1954,32 +1968,34 @@ basie&prompt.root;</screen>
<row>
<entry><systemitem class="username">alpha</systemitem>,
<systemitem class="username">beta</systemitem></entry>
- <entry>Beschäftigte der IT-Abteilung</entry>
+ <entry>Mitarbeiter der IT-Abteilung</entry>
</row>
<row>
<entry><systemitem class="username">charlie</systemitem>,
<systemitem class="username">delta</systemitem></entry>
- <entry>Die neuen Lehrlinge der IT-Abteilung</entry>
+ <entry>Lehrlinge der IT-Abteilung</entry>
</row>
<row>
<entry><systemitem class="username">echo</systemitem>,
<systemitem class="username">foxtrott</systemitem>,
<systemitem class="username">golf</systemitem>, ...</entry>
- <entry>Normale Mitarbeiter</entry>
+ <entry>Mitarbeiter</entry>
</row>
<row>
<entry><systemitem class="username">able</systemitem>,
<systemitem class="username">baker</systemitem>, ...</entry>
- <entry>Externe Mitarbeiter</entry>
+ <entry>Praktikanten</entry>
</row>
</tbody>
</tgroup>
- </informaltable>
+ </table>
+
+ <table frame="none" pgwide="1">
+ <title>Zusätzliche Rechner</title>
- <informaltable frame="none" pgwide="1">
<tgroup cols="2">
<thead>
<row>
@@ -1994,8 +2010,8 @@ basie&prompt.root;</screen>
Pratchett. Many thanks for a brilliant book. -->
<entry><systemitem>war</systemitem>, <systemitem>death</systemitem>,
<systemitem>famine</systemitem>, <systemitem>pollution</systemitem></entry>
- <entry>Die wichtigsten Server. Nur IT-Fachleute
- dürfen sich an diesen Rechnern anmelden.</entry>
+ <entry>Nur Mitarbeiter der IT-Abteilung dürfen sich an
+ diesen Rechnern anmelden.</entry>
</row>
<row>
@@ -2003,67 +2019,42 @@ basie&prompt.root;</screen>
<entry><systemitem>pride</systemitem>, <systemitem>greed</systemitem>,
<systemitem>envy</systemitem>, <systemitem>wrath</systemitem>,
<systemitem>lust</systemitem>, <systemitem>sloth</systemitem></entry>
- <entry>Weniger wichtige Server. Alle Mitarbeiter der
- IT-Abteilung dürfen sich auf diesen Rechnern
- anmelden.</entry>
+ <entry>Nur Mitarbeiter und Lehrlinge der IT-Abteilung
+ dürfen sich auf diesen Rechnern anmelden.</entry>
</row>
<row>
<entry><systemitem>one</systemitem>, <systemitem>two</systemitem>,
<systemitem>three</systemitem>, <systemitem>four</systemitem>, ...</entry>
- <entry>Gewöhnliche Arbeitsrechner. Nur die
- <emphasis>wirklichen</emphasis> Mitarbeiter dürfen
- diese Rechner verwenden.</entry>
+ <entry>Gewöhnliche Arbeitsrechner für
+ Mitarbeiter.</entry>
</row>
<row>
<entry><systemitem>trashcan</systemitem></entry>
- <entry>Ein sehr alter Rechner ohne kritische Daten. Sogar
- externe Mitarbeiter dürfen diesen Rechner
- verwenden.</entry>
+ <entry>Ein sehr alter Rechner ohne kritische Daten.
+ Sogar Praktikanten dürfen diesen Rechner
+ verwenden.</entry>
</row>
</tbody>
</tgroup>
- </informaltable>
+ </table>
- <para>Beim Versuch, diese Einschränkungen umzusetzen, indem
- jeder Benutzer einzeln blockiert wird, müsste auf jedem System
- für jeden Benutzer eine entsprechende Zeile in
- <filename>passwd</filename> eingefügt werden. Wird nur ein
- Eintrag vergessen, kann das erhebliche Probleme verursachen.
- Es mag noch möglich sein, dies während der Erstinstallation
- zu erledigen, im täglichen Betrieb kann jedoch jemand
- vergessen, die entsprechenden Einträge für neue Benutzer
- anzulegen.</para>
-
- <para>Die Verwendung von Netzgruppen hat in dieser Situation
- mehrere Vorteile. Nicht jeder Benutzer muss einzeln verwaltet
- werden; stattdessen werden die Benutzer einer Netzgruppe
- zugewiesen und allen Mitgliedern dieser Gruppe wird die
- Anmeldung an einem Server erlaubt oder verwehrt. Wird ein
- neuer Rechner hinzugefügt, müssen die Zugangsbeschränkungen
- nur für die Netzgruppen festlegelegt werden. Wird ein neuer
- Benutzer angelegt, muss er nur einer oder mehreren Netzgruppen
- zugewiesen werden. Diese Veränderungen sind voneinander
- unabhängig; Anweisungen der Form <quote>für diese Kombination
- aus Benutzer und Rechner mache Folgendes ...</quote> sind
- nicht mehr nötig. Wenn die Einrichtung von <acronym>NIS</acronym> sorgfältig
- geplant wurde, muss nur noch eine zentrale Konfigurationsdatei
- bearbeitet werden, um den Zugriff auf bestimmte Rechner zu
- erlauben oder zu verbieten.</para>
-
- <para>Der erste Schritt ist die Initialisierung der <acronym>NIS</acronym>-Maps
- der Netzgruppe. &man.ypinit.8; kann dies unter &os; nicht
- automatisch durchführen. Sind die Maps aber erst einmal
- erzeugt, werden sie jedoch von <acronym>NIS</acronym> problemlos unterstützt.
- Um eine leere Map zu erzeugen, geben Sie Folgendes ein:</para>
-
- <screen>ellington&prompt.root; <userinput>vi /var/yp/netgroup</userinput></screen>
-
- <para>Danach legen Sie die Einträge an. Für unser
- Beispiel benötigen wir mindestens vier Netzgruppen:
- IT-Beschäftige, IT-Lehrlinge, normale Beschäftigte
- sowie Praktikanten.</para>
+ <para>Bei der Verwendung von Netzgruppen wird jeder Benutzer
+ einer oder mehreren Netzgruppen zugewiesen und die Anmeldung
+ wird dann für die Netzgruppe erlaubt oder verwehrt. Wenn ein
+ neuer Rechner hinzugefügt wird, müssen die
+ Zugangsbeschränkungen nur für die Netzgruppen festgelegt
+ werden. Wird ein neuer Benutzer angelegt, muss er einer oder
+ mehreren Netzgruppen zugewiesen werden. Wenn die Einrichtung
+ von <acronym>NIS</acronym> sorgfältig geplant wurde, muss nur
+ noch eine zentrale Konfigurationsdatei bearbeitet werden, um
+ den Zugriff auf bestimmte Rechner zu erlauben oder zu
+ verbieten.</para>
+
+ <para>Dieses Beispiel erstellt vier Netzgruppen:
+ IT-Mitarbeiter, IT-Lehrlinge, normale Mitarbeiter
+ sowie Praktikanten:</para>
<programlisting>IT_EMP (,alpha,test-domain) (,beta,test-domain)
IT_APP (,charlie,test-domain) (,delta,test-domain)
@@ -2071,19 +2062,19 @@ USERS (,echo,test-domain) (,foxtro
(,golf,test-domain)
INTERNS (,able,test-domain) (,baker,test-domain)</programlisting>
- <para>Bei <literal>IT_EMP</literal>, <literal>IT_APP</literal>
- usw. handelt es sich um Netzgruppennamen. In den Klammern
- werden diesen Netzgruppen jeweils ein oder mehrere
- Benutzerkonten hinzugefügt. Die drei Felder in der
- Klammer haben folgende Bedeutung:</para>
+ <para>Jede Zeile konfiguriert eine Netzgruppe. Die erste Spalte
+ der Zeile bezeichnet den Namen der Netzgruppe. Die Einträge
+ in den Klammern stehen entweder für eine Gruppe von einem oder
+ mehreren Benutzern, oder für den Namen einer weiteren
+ Netzgruppe. Wenn ein Benutzer angegeben wird, haben die drei
+ Felder in der Klammer folgende Bedeutung:</para>
<orderedlist>
<listitem>
- <para>Der Name des Rechners, auf dem die folgenden Werte
- gültig sind. Wird kein Rechnername festgelegt, ist der
- Eintrag auf allen Rechnern gültig. Wenn ein Rechnername
- angegeben ist, muss auf viele Einzelheiten in dieser
- Konfiguration geachtet werden.</para>
+ <para>Der Name des Rechner(s), auf dem die weiteren Felder
+ für den Benutzer gültig sind. Wird kein Rechnername
+ festgelegt, ist der Eintrag auf allen Rechnern
+ gültig.</para>
</listitem>
<listitem>
@@ -2098,42 +2089,38 @@ INTERNS (,able,test-domain) (,baker,
</listitem>
</orderedlist>
- <para>Jedes Feld kann Wildcards enthalten. Die Einzelheiten
- entnehmen Sie bitte &man.netgroup.5;.</para>
+ <para>Wenn eine Gruppe mehrere Benutzer enthält, müssen diese
+ durch Leerzeichen getrennt werden. Darüber hinaus kann jedes
+ Feld Wildcards enthalten. Weitere Einzelheiten finden Sie in
+ &man.netgroup.5;.</para>
- <note>
<indexterm><primary>Netzgruppen</primary></indexterm>
<para>Netzgruppennamen sollten nicht länger als 8 Zeichen
- sein, insbesondere wenn Rechner mit verschiedenen
- Betriebssystemen in der <acronym>NIS</acronym>-Domäne betrieben werden. Es
- wird zwischen Groß- und Kleinschreibung unterschieden.
- Die Verwendung von Großbuchstaben für Netzgruppennamen
- ermöglicht eine leichte Unterscheidung zwischen Benutzern,
- Rechnern und Netzgruppen.</para>
+ sein. Es wird zwischen Groß- und Kleinschreibung
+ unterschieden. Die Verwendung von Großbuchstaben für
+ Netzgruppennamen ermöglicht eine leichte Unterscheidung
+ zwischen Benutzern, Rechnern und Netzgruppen.</para>
<para>Einige <acronym>NIS</acronym>-Clients (dies gilt nicht
- für &os;) können keine Netzgruppen mit einer großen Anzahl von
- Einträgen verwalten. Einige ältere Versionen von &sunos;
- haben beispielsweise Probleme, wenn Netzgruppen mehr als
- fünfzehn <emphasis>Einträge</emphasis> enthalten. Diese
- Grenze kann umgangen werden, indem mehrere Subnetzgruppen
- mit weniger als fünfzehn Benutzern anlegt und diese
- Subnetzgruppen wiederum in einer Netzgruppe
- zusammengefasst wird:</para>
+ für &os;) können keine Netzgruppen mit mehr als 15 Einträgen
+ verwalten. Diese Grenze kann umgangen werden, indem mehrere
+ Subnetzgruppen mit weniger als fünfzehn Benutzern angelegt
+ werden und diese Subnetzgruppen wiederum in einer Netzgruppe
+ zusammengefasst wird, wie in diesem Beispiel zu
+ sehen:</para>
<programlisting>BIGGRP1 (,joe1,domain) (,joe2,domain) (,joe3,domain) [...]
BIGGRP2 (,joe16,domain) (,joe17,domain) [...]
BIGGRP3 (,joe31,domain) (,joe32,domain)
BIGGROUP BIGGRP1 BIGGRP2 BIGGRP3</programlisting>
- <para>Wiederholen Sie diesen Vorgang , wenn Sie mehr als 225
- Benutzer in einer einzigen Netzgruppe benötigen.
- </para>
- </note>
+ <para>Wiederholen Sie diesen Vorgang, wenn mehr als 225
+ (15*15) Benutzer in einer einzigen Netzgruppe
+ existieren.</para>
- <para>Das Aktivieren und Verteilen der neuen
- <acronym>NIS</acronym>-Map ist einfach:</para>
+ <para>Die neue <acronym>NIS</acronym>-Map aktivieren und
+ verteilen:</para>
<screen>ellington&prompt.root; <userinput>cd /var/yp</userinput>
ellington&prompt.root; <userinput>make</userinput></screen>
@@ -2142,8 +2129,7 @@ ellington&prompt.root; <userinput>make</
<filename>netgroup.byhost</filename> und
<filename>netgroup.byuser</filename> erzeugt. Prüfen Sie
die Verfügbarkeit der neuen <acronym>NIS</acronym>-Maps mit
- &man.ypcat.1;.
- </para>
+ &man.ypcat.1;:</para>
<screen>ellington&prompt.user; <userinput>ypcat -k netgroup</userinput>
ellington&prompt.user; <userinput>ypcat -k netgroup.byhost</userinput>
@@ -2155,9 +2141,10 @@ ellington&prompt.user; <userinput>ypcat
Netzgruppen erzeugt wurden. Der dritte Befehl gibt die
Netzgruppen nach Benutzern sortiert aus.</para>
- <para>Die Einrichtung der Clients ist einfach. Es muss
- lediglich auf dem Server <systemitem>war</systemitem>
- &man.vipw.8; aufgerufen werden und die Zeile</para>
+ <para>Wenn Sie einen Client einrichten, verwenden Sie
+ &man.vipw.8; um den Namen der Netzgruppe anzugeben. Ersetzen
+ Sie beispielsweise auf dem Server namens
+ <systemitem>war</systemitem> die folgende Zeile:</para>
<programlisting>+:::::::::</programlisting>
@@ -2167,12 +2154,12 @@ ellington&prompt.user; <userinput>ypcat
<para>ersetzt werden.</para>
- <para>Ab sofort werden nur noch die Daten der in der Netzgruppe
- <literal>IT_EMP</literal> vorhandenen Benutzer in die
- Passwortdatenbank von <systemitem>war</systemitem> importiert.
- Nur diese Benutzer dürfen sich am Server anmelden.</para>
+ <para>Diese Zeile legt fest, dass nur noch Benutzer der
+ Netzgruppe <literal>IT_EMP</literal> in die Passwortdatenbank
+ dieses Systems importiert werden. Nur diese Benutzer dürfen
+ sich an diesem Server anmelden.</para>
- <para>Unglücklicherweise gilt diese Einschränkung auch für die
+ <para>Diese Konfiguration gilt auch für die
<literal>~</literal>-Funktion der Shell und für alle Routinen,
die auf Benutzernamen und numerische Benutzer-IDs zugreifen.
Oder anders formuliert, <command>cd ~user</command> ist nicht
@@ -2181,77 +2168,50 @@ ellington&prompt.user; <userinput>ypcat
<command>find . -user joe -print</command> erzeugt die
Fehlermeldung <errorname>No such user</errorname>. Um dieses
Problem zu beheben, müssen alle Benutzereinträge importiert
- werden, <emphasis>ohne ihnen jedoch zu erlauben, sich am
- Server anzumelden</emphasis>.</para>
-
- <para>Dazu fügen Sie eine weitere Zeile in
- <filename>/etc/master.passwd</filename> ein. Diese Zeile sollte
- ähnlich der folgenden aussehen:</para>
-
- <para><literal>+:::::::::/sbin/nologin</literal>, was in etwa
- <quote>Importiere alle Einträge, aber ersetze die Shell in den
- importierten Einträgen durch
- <filename>/sbin/nologin</filename></quote> entspricht. Es ist
- möglich, jedes Feld der <literal>passwd</literal>-Einträge zu
- ersetzen, indem ein einen Standardwert in
- <filename>/etc/master.passwd</filename> eingetragen
- wird.</para>
-
- <warning>
- <para>Stellen Sie sicher, dass die Zeile
- <literal>+:::::::::/sbin/nologin</literal>
- <emphasis>nach</emphasis> der Zeile
- <literal>+ at IT_EMP:::::::::</literal> eingetragen ist. Sonst
- haben alle via <acronym>NIS</acronym> importierten Benutzerkonten
- <filename>/sbin/nologin</filename> als Loginshell.</para>
- </warning>
-
- <para>
- Nach dieser Änderung muss die <acronym>NIS</acronym>-Map nur noch geändert
- werden, wenn ein neuer Mitarbeiter der IT-Abteilung beitritt.
- Ein ähnlicher Ansatz für weniger wichtige Server kann durch
- das Ersetzten des alten Eintrags <literal>+:::::::::</literal>
- in der lokalen Version von
- <filename>/etc/master.passwd</filename> mit etwas wie folgt
- verwendet werden:</para>
+ werden, ohne ihnen jedoch zu erlauben, sich am Server
+ anzumelden. Dies kann durch das Hinzufügen einer zusätzlichen
+ Zeile erreicht werden:</para>
+
+ <programlisting>+:::::::::/sbin/nologin</programlisting>
+
+ <para>Diese Zeile weist den Client an, alle Einträge zu
+ importieren, aber die Shell in diesen Einträgen durch
+ <filename>/sbin/nologin</filename> zu ersetzen.</para>
+
+ <para>Stellen Sie sicher, dass die zusätzliche Zeile
+ <emphasis>nach</emphasis> der Zeile
+ <literal>+ at IT_EMP:::::::::</literal> eingetragen ist.
+ Andernfalls haben alle via <acronym>NIS</acronym>
+ importierten Benutzerkonten <filename>/sbin/nologin</filename>
+ als Loginshell und niemand wird sich mehr am System anmelden
+ können.</para>
+
+ <para>Um die weniger wichtigen Server zu konfigurieren, ersetzen
+ Sie den alten Eintrag <literal>+:::::::::</literal> auf den
+ Servern mit diesen Zeilen:</para>
<programlisting>+ at IT_EMP:::::::::
+ at IT_APP:::::::::
+:::::::::/sbin/nologin</programlisting>
- <para>Die entsprechenden Zeilen für normale Arbeitsplätze
- lauten:</para>
+ <para>Die entsprechenden Zeilen für Arbeitsplätze lauten:</para>
<programlisting>+ at IT_EMP:::::::::
+ at USERS:::::::::
+:::::::::/sbin/nologin</programlisting>
- <para>Ab jetzt wäre alles wunderbar, allerdings ändert
- sich kurz darauf die Firmenpolitik: Die IT-Abteilung beginnt
- damit, Praktikanten zu beschäftigen. Praktikanten
- dürfen sich an normalen Arbeitsplätzen sowie an den
- weniger wichtigen Servern anmelden. Die IT-Praktikanten
- dürfen sich nun auch an den Hauptservern anmelden. Sie
- legen also die neue Netzgruppe <literal>IT_INTERN</literal>
- an, weisen Ihr die neuen IT-Praktikanten als Benutzer zu und
- beginnen damit, die Konfiguration auf jedem einzelnen Rechner
- zu ändern. Halt! Sie haben gerade die alte Regel
- <quote>Fehler in der zentralisierten Planung führen zu
- globaler Verwirrung.</quote> bestätigt.</para>
-
- <para>Da <acronym>NIS</acronym> in der Lage ist, Netzgruppen aus anderen Netzgruppen
- zu bilden, lassen sich solche Situationen leicht vermeiden.
- Eine Möglichkeit ist die Erzeugung rollenbasierter
- Netzgruppen. Sie könnten eine Netzgruppe
- <literal>BIGSRV</literal> erzeugen, um den Zugang zu
- den wichtigsten Servern zu beschränken, eine weitere
- Gruppe <literal>SMALLSRV</literal> für die weniger
- wichtigen Server und eine dritte Netzgruppe
- <literal>USERBOX</literal> für die normalen
- Arbeitsplatzrechner. Jede dieser Netzgruppen enthält die
- Netzgruppen, die sich auf diesen Rechnern anmelden dürfen.
- Die Einträge der Netzgruppen in der <acronym>NIS</acronym>-Map sollten
- ähnlich den folgenden aussehen:</para>
+ <para><acronym>NIS</acronym> ist in der Lage, Netzgruppen aus
+ anderen Netzgruppen zu bilden. Dies kann nützlich sein, wenn
+ sich die Firmenpolitik ändert. Eine Möglichkeit ist die
+ Erzeugung rollenbasierter Netzgruppen. Sie könnten eine
+ Netzgruppe <literal>BIGSRV</literal> erzeugen, um den Zugang
+ zu den wichtigsten Servern zu beschränken, eine weitere Gruppe
+ <literal>SMALLSRV</literal> für die weniger wichtigen Server
+ und eine dritte Netzgruppe <literal>USERBOX</literal> für die
+ Arbeitsplatzrechner. Jede dieser Netzgruppen enthält die
+ Netzgruppen, die sich auf diesen Rechnern anmelden dürfen.
+ Die Einträge der Netzgruppen in der <acronym>NIS</acronym>-Map
+ sollten ähnlich den folgenden aussehen:</para>
<programlisting>BIGSRV IT_EMP IT_APP
SMALLSRV IT_EMP IT_APP ITINTERN
@@ -2264,7 +2224,7 @@ USERBOX IT_EMP ITINTERN USERS</progra
rechnerspezischen Zugangsbeschränkung benötigt.
</para>
- <para>Rechnerspezifische Netzgruppen sind die zweite
+ <para>Rechnerspezifische Netzgruppen sind eine weitere
Möglichkeit, um mit den oben beschriebenen Änderungen
umzugehen. In diesem Szenario enthält
<filename>/etc/master.passwd</filename> auf jedem Rechner zwei
@@ -2273,18 +2233,16 @@ USERBOX IT_EMP ITINTERN USERS</progra
Rechner anmelden dürfen. Die zweite Zeile weist allen
anderen Benutzern <filename>/sbin/nologin</filename> als Shell
zu. Verwenden Sie auch hier (analog zu den Netzgruppen)
- Großbuchstaben für die Rechnernamen. Die Zeilen
- sollten also ähnlich den folgenden aussehen:</para>
+ Großbuchstaben für die Rechnernamen:</para>
<programlisting>+@<replaceable>BOXNAME</replaceable>:::::::::
+:::::::::/sbin/nologin</programlisting>
<para>Sobald dies für alle Rechner erledigt ist, müssen die
- lokalen Versionen von <filename>/etc/master.passwd</filename>
+ lokalen Versionen von <filename>/etc/master.passwd</filename>
nie mehr verändert werden. Alle weiteren Änderungen geschehen
- über die <acronym>NIS</acronym>-Maps. Nachfolgend ein Beispiel für eine
- mögliche Netzgruppen-Map, die durch einige Besonderheiten
- erweitert wurde:</para>
+ über die <acronym>NIS</acronym>-Maps. Nachfolgend ein
+ Beispiel für eine mögliche Netzgruppen-Map:</para>
<programlisting># Define groups of users first
IT_EMP (,alpha,test-domain) (,beta,test-domain)
@@ -2323,164 +2281,56 @@ TWO (,hotel,test-domain)
# [...more groups to follow]
</programlisting>
- <para>Wenn eine Datenbank verwendet wird, um Benutzerkonten zu
- verwalten, kann es möglich sein, den ersten Teil der <acronym>NIS</acronym>-Map
- mit den Datenbanktools zu erstellen. Auf diese Weise haben
- neue Benutzer automatisch Zugriff auf die Rechner.</para>
-
- <para>Eine letzte Warnung: Es ist nicht immer ratsam,
- rechnerbasierte Netzgruppen zu verwenden. Wenn Dutzende
- oder gar Hunderte identische Rechner einrichtet werden müssen,
- sollten rollenbasierte Netzgruppen verwendet werden, um die
- Größe der <acronym>NIS</acronym>-Maps in Grenzen zu halten.</para>
- </sect2>
-
- <sect2>
- <title>Weitere wichtige Punkte</title>
-
- <para>Nachdem die Rechner in der <acronym>NIS</acronym>-Umgebung
- eingerichtet sind, müssen Administratoren einige Dinge anders
- als bisher erledigen.</para>
-
- <itemizedlist>
- <listitem>
- <para>Jedes Mal, wenn ein neuer Benutzer angelegt wird,
- muss er am <acronym>NIS</acronym>-Masterserver hinzugefügt
- und die <acronym>NIS</acronym>-Maps anschließend neu
- erzeugt werden. Wird dieser Punkt vergessen, kann sich
- der neue Benutzer <emphasis>nur</emphasis> am
- <acronym>NIS</acronym>-Masterserver anmelden.
- Wenn wir also den neuen Benutzer
- <systemitem class="username">jsmith</systemitem> anlegen,
- gehen wir folgerndermassen vor:</para>
-
- <screen>&prompt.root; <userinput>pw useradd jsmith</userinput>
-&prompt.root; <userinput>cd /var/yp</userinput>
-&prompt.root; <userinput>make test-domain</userinput></screen>
-
- <para>Statt <command>pw useradd jsmith</command> kann
- auch <command>adduser jsmith</command> verwendet
- werden.</para>
- </listitem>
-
- <listitem>
- <para><emphasis>Tragen Sie die Administratorkonten nicht
- in die <acronym>NIS</acronym>-Maps ein</emphasis>. Dies ist unerwünscht und
- stellt ein Sicherheitsrisiko dar. Diese Benutzer und
- Passwörter sollten nicht auf alle Maschinen verteilt
- werden. Vor allem, wenn sich Benutzer anmelden können, die
- auf diese Konten keinen Zugriff haben sollen.</para>
- </listitem>
-
- <listitem>
- <para><emphasis>Sichern Sie die
- <acronym>NIS</acronym>-Master- und Slaveserver
- und minimieren Sie die Ausfallzeiten</emphasis>. Wenn
- diese Rechner gehackt oder einfach nur ausgeschaltet
- werden, haben viele Leute keinen Netzwerkzugriff
- mehr.</para>
-
- <para>Dies ist die größte Schwäche jeder zentralen
- Verwaltung. Wenn die <acronym>NIS</acronym>-Server nicht geschützt sind,
- wird es viele verärgerte Anwender und ein unzufriedenes
- Management geben.</para>
- </listitem>
- </itemizedlist>
- </sect2>
-
- <sect2>
- <title>Kompatibilität zu <acronym>NIS</acronym> v1</title>
-
- <para>&os;s <application>ypserv</application> unterstützt
- <acronym>NIS</acronym> v1 nur eingeschränkt. Die
- <acronym>NIS</acronym>-Implementierung von &os; verwendet nur
- <acronym>NIS</acronym> v2, andere Implementierungen
- unterstützen aus Gründen der Abwärtskompatibilität mit älteren
- Systemen auch <acronym>NIS</acronym> v1. Die mit diesen
- Systemen gelieferten
- <application>ypbind</application>-Daemonen versuchen, sich an
- einen <acronym>NIS</acronym>-v1-Server zu binden (Dies selbst
- dann, wenn sie ihn nie benötigen. Außerdem versuchen Sie auch
- dann, einen v1-Server zu erreichen, wenn Sie zuvor eine
- Antwort von einem v2-Server erhalten.). Während normale
- Clientaufrufe unter &os; unterstützt werden, sind
- Anforderungen zum Transfer von v1-Maps nicht möglich. Zudem
- kann &os; nicht als Client oder Server verwendet werden, wenn
- ein <acronym>NIS</acronym>-Server vorhanden ist, der nur
- <acronym>NIS</acronym> v1 unterstützt. Glücklicherweise
- sollte es heute keine Server mehr geben, die nur
- <acronym>NIS</acronym> v1 unterstützen.</para>
+ <para>Es ist nicht immer ratsam, rechnerbasierte Netzgruppen zu
+ verwenden. Wenn Dutzende oder Hunderte identische Rechner
+ eingerichtet werden müssen, sollten rollenbasierte Netzgruppen
+ verwendet werden, um die Größe der <acronym>NIS</acronym>-Maps
+ in Grenzen zu halten.</para>
</sect2>
<sect2>
<title>Passwortformate</title>
+
<indexterm>
<primary>NIS</primary>
<secondary>Passwortformate</secondary>
</indexterm>
- <para>Unterschiedliche Passwortformate sind das Hauptproblem,
- das beim Einrichten eines <acronym>NIS</acronym>-Servers
- auftreten kann. Wenn der <acronym>NIS</acronym>-Server mit
- DES verschlüsselte Passwörter
- verwendet, werden nur Clients unterstützt, die ebenfalls
- DES benutzen. Wenn sich im Netzwerk beispielsweise
- &solaris; <acronym>NIS</acronym>-Clients befinden, müssen die
- Passwörter sehr wahrscheinlich mit DES verschlüsselt
- werden.</para>
+
+ <para>Alle Rechner innerhalb der <acronym>NIS</acronym>-Domäne
+ müssen für die Verschlüsselung von Passwörtern das gleiche
+ Format benutzen. Wenn Benutzer Schwierigkeiten bei der
+ Authentifizierung auf einem <acronym>NIS</acronym>-Client
+ haben, liegt dies möglicherweise an einem anderen
+ Passwort-Format. In einem heterogenen Netzwerk muss das
+ verwendete Format von allen Betriebssystemen unterstützt
+ werden, wobei <acronym>DES</acronym> der kleinste gemeinsame
+ Standard ist.</para>
<para>Welches Format die Server und Clients verwenden,
- steht in <filename>/etc/login.conf</filename>. Wenn ein
- System Passwörter mit DES verschlüsselt,
- enthält die <literal>default</literal>-Klasse einen
- Eintrag wie den folgenden:</para>
+ steht in <filename>/etc/login.conf</filename>:</para>
<programlisting>default:\
:passwd_format=des:\
:copyright=/etc/COPYRIGHT:\
[weitere Einträge]</programlisting>
- <para>Mögliche Werte für
- <literal>passwd_format</literal> sind unter anderem
- <literal>blf</literal> und <literal>md5</literal> (mit
+ <para>In diesem Beispiel verwendet das System das Format
+ <acronym>DES</acronym>. Weitere mögliche Werte sind unter
+ anderem <literal>blf</literal> und <literal>md5</literal> (mit
Blowfish und MD5 verschlüsselte Passwörter).</para>
- <para>Wenn die Datei <filename>/etc/login.conf</filename>
- geändert wird, muss die Login-Capability Datenbank
- neu erstellt werden. Geben Sie dazu als
- <systemitem class="username">root</systemitem> den folgenden
- Befehl ein:</para>
+ <para>Wird auf einem Rechner das Format entsprechend der
+ <acronym>NIS</acronym>-Domäne geändert, muss anschließend die
+ Login-Capability Datenbank neu erstellt werden:</para>
<screen>&prompt.root; <userinput>cap_mkdb /etc/login.conf</userinput></screen>
<note>
- <para>Das Format der schon in
- <filename>/etc/master.passwd</filename> befindlichen
- Passwörter wird erst aktualisiert, wenn ein Benutzer
- sein Passwort ändert, <emphasis>nachdem</emphasis>
- die Datenbank neu erstellt wurde.</para>
+ <para>Das Format der schon bestehenden Passwörter wird erst
+ aktualisiert, wenn ein Benutzer sein Passwort ändert,
+ <emphasis>nachdem</emphasis> die Datenbank neu erstellt
+ wurde.</para>
</note>
-
- <para>Damit die Passwörter auch im gewählten
- Format abgespeichert werden, muss mit
- <literal>crypt_default</literal> in der Datei
- <filename>/etc/auth.conf</filename> die richtige
- Priorität der Formate eingestellt werden. Das
- gewählte Format sollte als Erstes in der Liste
- stehen. Sollen die Passwörter mit DES verschlüsselt
- werden, verwenden Sie den folgenden Eintrag:</para>
-
- <programlisting>crypt_default = des blf md5</programlisting>
-
- <para>Wenn alle &os; basierten <acronym>NIS</acronym>-Server und
- <acronym>NIS</acronym>-Clients entsprechend
- den obigen Schritten eingestellt sind, wird im ganzen
- Netzwerk dasselbe Passwortformat verwendet. Falls Benutzer
- Probleme mit der Authentifizierung eines
- <acronym>NIS</acronym>-Clients
- haben, kontrollieren Sie die verwendeten Passwortformate.
- In einer heterogenen Umgebung wird wahrscheinlich DES benutzt
- werden müssen, da dies der meist unterstützte Standard
- ist.</para>
</sect2>
</sect1>
More information about the svn-doc-head
mailing list