path: root/it_IT.ISO8859-15/books/handbook/network-servers/chapter.sgml

<?xml version="1.0" encoding="iso-8859-15" standalone="no"?>
<!--
     The FreeBSD Italian Documentation Project

     $FreeBSD$
     Original revision: 1.102
-->

<chapter id="network-servers">
  <chapterinfo>
    <authorgroup>
      <author>
        <firstname>Murray</firstname>

        <surname>Stokely</surname>

        <contrib>Riorganizzato da </contrib>
      </author>
    </authorgroup>
  </chapterinfo>

  <title>Server di rete</title>

  <sect1 id="network-servers-synopsis">
    <title>Sinossi</title>

    <para>Questo capitolo coprirà alcuni dei servizi di rete usati
      più di frequente sui sistemi &unix;.  Fra gli argomenti
      toccati, ci saranno l'installazione, la configurazione,
      il test ed la manutenzione di molti tipi diversi di
      servizi di rete.  Per vostro beneficio
      in tutto il capitolo saranno inclusi file di
      configurazione di esempio.</para>

    <para>Dopo aver letto questo capitolo, sarai in grado
      di:</para>

    <itemizedlist>
      <listitem>
        <para>Gestire il demone <application>inetd</application>.</para>
      </listitem>

      <listitem>
        <para>Installare un file system di rete.</para>
      </listitem>

      <listitem>
        <para>Installare un server NIS per condividere
          account utenti.</para>
      </listitem>

      <listitem>
        <para>Installare impostazioni automatiche di rete usando DHCP.</para>
      </listitem>

      <listitem>
        <para>Installare un server di risoluzione dei nomi.</para>
      </listitem>

      <listitem>
        <para>Installare il server HTTP
          <application>Apache</application>.</para>
      </listitem>

      <listitem>
        <para>Installare un File Transfer Protocol (FTP) Server.</para>
      </listitem>

      <listitem>
        <para>Installare un file server e server di stampa per client
          &windows; usando <application>Samba</application>.</para>
      </listitem>

      <listitem>
        <para>Sincronizzare la data e l'ora ed installare un
          time server, col protocollo NTP.</para>
      </listitem>
    </itemizedlist>

    <para>Prima di leggere questo capitolo, dovresti:</para>

    <itemizedlist>
      <listitem>
        <para>Comprendere le basi dell'organizzazione degli scripts
          <filename>/etc/rc</filename>.</para>
      </listitem>

      <listitem>
        <para>Avere familiarità con la terminologia di rete di
          base.</para>
      </listitem>

      <listitem>
        <para>Sapere come installare software aggiuntivo di terze parti
          (<xref linkend="ports"/>).</para>
      </listitem>
    </itemizedlist>
  </sect1>

  <sect1 id="network-inetd">
    <sect1info>
      <authorgroup>
        <author>
          <firstname>Chern</firstname>

          <surname>Lee</surname>

          <contrib>Grazie al contributo di </contrib>
        </author>
      </authorgroup>

      <authorgroup>
        <author>
          <contrib>Aggiornato per &os; 6.1-RELEASE da </contrib>

          <othername>The &os; Documentation Project</othername>
        </author>
      </authorgroup>
    </sect1info>

    <title>Il
      <quote>Super-Server</quote> <application>inetd</application></title>

    <sect2 id="network-inetd-overview">
      <title>Uno sguardo d'insieme</title>

      <para>&man.inetd.8; viene talvolta definito l'<quote>Internet
        Super-Server</quote> perchè gestisce le connessioni verso
        molti servizi.  Quando una connessione
        viene ricevuta da <application>inetd</application>, questo
        determina per quale programma la connessione sia
        destinata, esegue quel particolare processo e affida a
        lui la socket (il programma è invocato con la socket
        del servizio come descrittore di standard input, output
        ed error).  Eseguire <application>inetd</application>
        per server dal carico non troppo alto può ridurre il carico
        complessivo di sistema, rispetto all'esecuzione individuale
        di ogni demone in modalità stand-alone.</para>

      <para>Principalmente, <application>inetd</application> è
        usato per lanciare altri demoni, ma molti protocolli
        triviali sono gestiti direttamente, come ad esempio
        i protocolli <application>chargen</application>,
        <application>auth</application>, e
        <application>daytime</application>.</para>

      <para>Questa sezione coprirà le basi della configurazione
        di <application>inetd</application> attraverso le
        opzioni da linea di comando
        ed il suo file di configurazione,
        <filename>/etc/inetd.conf</filename>.</para>
    </sect2>

    <sect2 id="network-inetd-settings">
      <title>Impostazioni</title>

      <para><application>inetd</application> viene inizializzato
        attraverso il sistema &man.rc.8;.
        L'opzione <literal>inetd_enable</literal> è
        impostata a <literal>NO</literal> di default, ma può essere
        attivata da <application>sysinstall</application>
        durante l'installazione, a seconda della configurazione
        scelta dall'utente.  Inserendo:</para>

      <programlisting>inetd_enable="YES"</programlisting>

      <para>o</para>

      <programlisting>inetd_enable="NO"</programlisting>

      <para>in
        <filename>/etc/rc.conf</filename> si abiliterà o meno
        la partenza di
        <application>inetd</application> al boot.
        Il comando:</para>

      <screen>&prompt.root; <userinput>/etc/rc.d/inetd rcvar</userinput></screen>

      <para>può essere utilizzato per mostrare le impostazioni
        attive al momento.</para>

      <para>Inoltre, diverse opzioni di linea di comando possono
        essere passate a <application>inetd</application> attraverso
        l'opzione <literal>inetd_flags</literal>.</para>
    </sect2>

    <sect2 id="network-inetd-cmdline">
      <title>Opzioni su linea di comando</title>

      <para>Come molti server di rete, <application>inetd</application>
        ha un numero di opzioni che possono essergli passate
        per modificare il suo comportamento.  La lista di tutte le opzioni è:</para>

      <para><application>inetd</application> synopsis:</para>

      <para><option>inetd [-d] [-l] [-w] [-W] [-c maximum] [-C rate]
        [-a address | hostname] [-p filename] [-R rate] [configuration
          file]</option></para>

      <para>Si possono passare opzioni ad <application>inetd</application> usando
        l'opzione <literal>inetd_flags</literal> in
        <filename>/etc/rc.conf</filename>.  Di default,
        <literal>inetd_flags</literal> è impostato a
        <literal>-wW -C 60</literal>, il che attiva il TCP wrapping per i servizi di
        <application>inetd</application>, ed impedisce ad ogni singolo
        indirizzo IP di richiedere qualsiasi servizio piùdi 60 volte
        al minuto.</para>

      <para>Gli utenti novizi possono notare con piacere che
        questi parametri di solito non devono essere modificati,
        anche se bisogna menzionare il fatto che le opzioni di
        limitazione delle connessioni sono utili solo se ci si accorge
        di ricevere un numero eccessivo di connessioni.  L'intera lista
        delle opzioni di &man.inetd.8; può essere trovata
        nel manuale di &man.inetd.8;.</para>

      <variablelist>
        <varlistentry>
          <term>-c maximum</term>

          <listitem>
            <para>Specifica il numero massimo di invocazioni simultanee
              per ogni servizio; il default è illimitato.
              Può essere sovrascritto per ogni servizio dal
              parametro <option>max-child</option>.</para>
          </listitem>
        </varlistentry>

        <varlistentry>
          <term>-C rate</term>

          <listitem>
            <para>Specifica un numero massimo di volte in cui
              un servizio può essere invocato da un singolo
              indirizzo IP in un
              minuto; il default è illimitato.  Può essere
              sovrascritto per ogni servizio con il parametro
              <option>max-connections-per-ip-per-minute</option>.</para>
          </listitem>
        </varlistentry>

        <varlistentry>
          <term>-R rate</term>

          <listitem>
            <para>Specifica il numero massimo di volte che un servizio
              può essere invocato in un minuto; il default è
              256.  L'impostazione 0 permette un numero illimitato di
              invocazioni.</para>
          </listitem>
        </varlistentry>

        <varlistentry>
          <term>-s maximum</term>

          <listitem>
            <para>Specifica il numero massimo di volte
              che un servizio può essere invocato per ogni periodo di
              tempo; il default è illimitato.  Può essere sovrascritto
              per ogni singolo servizio con il parametro <option>max-child-per-ip</option>.
            </para>
          </listitem>
        </varlistentry>
      </variablelist>
    </sect2>

    <sect2 id="network-inetd-conf">
      <title><filename>inetd.conf</filename></title>

      <para> La configurazione di <application>inetd</application>
        è fatta  attraverso il file
        <filename>/etc/inetd.conf</filename>.</para>

      <para>Quando viene apportata una modifica a
        <filename>/etc/inetd.conf</filename>,
        si può forzare <application>inetd</application>
        a rileggere il suo file di configurazione
        eseguendo il comando:</para>

      <example id="network-inetd-reread">
        <title>Ricaricare il file di configurazione
          di <application>inetd</application>
        </title>

        <screen>&prompt.root; <userinput>/etc/rc.d/inetd reload </userinput></screen>
      </example>

      <para>Ogni linea del file di configurazione specifica un
        singolo demone.  I commenti nel file sono preceduti da un
        <quote>#</quote>.  Il formato di ogni riga del file
        <filename>/etc/inetd.conf</filename> è il seguente:</para>

      <programlisting>nome del servizio
tipo della socket
protocollo
{wait|nowait}[/max-child[/max-connections-per-ip-per-minute]]
utente[:gruppo][/classe-di-login]
programma-server
argomenti-del-programma-server</programlisting>

      <para>Un esempio di linea per il
        demone &man.ftpd.8;
        usando l'IPv4:</para>

      <programlisting>ftp     stream  tcp     nowait  root /usr/libexec/ftpd       ftpd -l</programlisting>

      <variablelist>
        <varlistentry>
          <term>nome-del-servizio</term>

          <listitem>
            <para>È il nome del servizio per il demone.
              Deve corrispondere ad un servizio elencato in
              <filename>/etc/services</filename>.  Questo
              determina su quale porta
              <application>inetd</application> deve restare
              in ascolto.  Se viene creato un nuovo servizio,
              deve essere messo prima
              in <filename>/etc/services</filename>.</para>
          </listitem>
        </varlistentry>

        <varlistentry>
          <term>tipo-di-socket</term>

          <listitem>
            <para>Una a scelta fra <literal>stream</literal>,
              <literal>dgram</literal>, <literal>raw</literal>, o
              <literal>seqpacket</literal>.
              <literal>stream</literal>
              deve essere usata per demoni basati sulla
              connessione, tipo TCP, mentre
              <literal>dgram</literal> è usato per demoni che usano
              il protocollo di trasporto <acronym>UDP</acronym>.</para>
          </listitem>
        </varlistentry>

        <varlistentry>
          <term>protocollo</term>

          <listitem>
            <para>Uno dei seguenti:</para>

            <informaltable frame="none" pgwide="1">
              <tgroup cols="2">
                <thead>
                  <row>
                    <entry>Protocollo</entry>

                    <entry>Spiegazione</entry>
                  </row>
                </thead>

                <tbody>
                  <row>
                    <entry>tcp, tcp4</entry>

                    <entry>TCP IPv4</entry>
                  </row>

                  <row>
                    <entry>udp, udp4</entry>

                    <entry>UDP IPv4</entry>
                  </row>

                  <row>
                    <entry>tcp6</entry>

                    <entry>TCP IPv6</entry>
                  </row>

                  <row>
                    <entry>udp6</entry>

                    <entry>UDP IPv6</entry>
                  </row>

                  <row>
                    <entry>tcp46</entry>

                    <entry>Entrambi TCP IPv4 e v6</entry>
                  </row>

                  <row>
                    <entry>udp46</entry>

                    <entry>Entrambi UDP IPv4 e v6</entry>
                  </row>
                </tbody>
              </tgroup>
            </informaltable>
          </listitem>
        </varlistentry>

        <varlistentry>
          <term>{wait|nowait}[/max-child[/max-connections-per-ip-per-minute[/max-child-per-ip]]]</term>

          <listitem>
            <para><option>wait|nowait</option> indica se il demone
              invocato da <application>inetd</application> è
              in grado di gestire la sua socket o meno.
              Il tipo di socket <option>dgram</option> deve usare
              l'opzione <option>wait</option>, mentre i demoni
              con socket stream,
              che sono in genere multi-thread, devono usare
              <option>nowait</option>.  <option>wait</option> in
              genere fornisce socket multiple ad un singolo demone,
              mentre <option>nowait</option> lancia un demone figlio
              per ogni nuova socket.</para>

            <para>Il massimo numero di demoni figli che
              <application>inetd</application> può lanciare si imposta
              attraverso l'opzione <option>max-child</option>.
              Se è richiesto un limite di dieci istanze per un
              particolare demone, un
              <literal>/10</literal> dovrebbe essere inserito
              dopo l'opzione <option>nowait</option>.  Specificando
              <literal>/0</literal> si lascia un numero illimitato di figli.</para>

            <para>Oltre all'opzione <option>max-child</option>,
              possono essere attivate due altre opzioni che limitano
              il massimo numero di connessioni da un singolo ip
              verso un particolare demone.
              <option>max-connections-per-ip-per-minute</option> limita
              il numero di connessioni da un particolare indirizzo IP per
              minuto, ad esempio un valore di dieci limiterebbe ogni
              singolo indirizzo IP a connettersi verso un certo servizio
              a dieci connessioni al minuto.
              <option>max-child-per-ip</option>
              limita il numero di figli che possono essere avviati su richiesta
              di un singolo indirizzo IP in ogni momento.
              Queste opzioni sono utili per prevenire
              eccessivo consumo delle risorse intenzionale o non intenzionale
              e attacchi Denial of Service (DoS) ad una macchina.</para>

            <para>In questo campo, <option>wait</option> o
              <option>nowait</option> sono obbligatorie.
              <option>max-child</option> e
              <option>max-connections-per-ip-per-minute</option>
              e <option>max-child-per-ip</option> sono
              opzionali.</para>

            <para>Un demone tipo-stream multi-thread senza
              i limiti <option>max-child</option> o
              <option>max-connections-per-ip-per-minute</option>
              dovrebbe essere semplicemente:
              <literal>nowait</literal>.</para>

            <para>Lo stesso demone con un limite massimo di
              dieci demoni dovrebbe avere:
              <literal>nowait/10</literal>.</para>

            <para>In aggiunta, la stessa impostazione con
              un limite di venti connessioni per IP al
              minuto ed un limite massimo di
              dieci demoni figli avrebbe:
              <literal>nowait/10/20</literal>.</para>

            <para>Queste opzioni sono tutte utilizzate
              di default nelle impostazioni del demone
              &man.fingerd.8; come si vede di seguito:</para>

            <programlisting>finger stream  tcp     nowait/3/10 nobody /usr/libexec/fingerd fingerd -s</programlisting>

            <para>Alla fine, un esempio di questo campo
              con 100 figli in tutto, con un massimo di 5 per singolo
              indirizzo IP sarebbe:
              <literal>nowait/100/0/5</literal>.</para>
          </listitem>
        </varlistentry>

        <varlistentry>
          <term>user</term>

          <listitem>
            <para>Questo è lo username sotto il quale un
              particolare demone dovrebbe girare.  Di
              frequente, i demoni girano
              come utente <username>root</username>.
              Per motivi di sicurezza, è normale
              trovare alcuni server che girano con l'utente
              <username>daemon</username>, o il meno privilegiato
              utente <username>nobody</username>.</para>
          </listitem>
        </varlistentry>

        <varlistentry>
          <term>server-program</term>

          <listitem>
            <para>Il percorso assoluto del demone che deve essere
              eseguito quando è ricevuta una connessione .  Se
              il demone è un servizio
              offerto da <application>inetd</application> internamente,
              bisogna usare <option>internal</option>.</para>
          </listitem>
        </varlistentry>

        <varlistentry>
          <term>server-program-arguments</term>

          <listitem>
            <para>Questa opzione funziona in congiunzione con
              <option>server-program</option> specificando gli
              argomenti, cominciando con <literal>argv[0]</literal>,
              passati al demone al momento dell'invocazione.
              Se <command>mydaemon -d</command> è la linea di comando,
              <literal>mydaemon -d</literal> sarà il valore
              dell'opzione <option>server-program-arguments</option>.
              Ancora, se un demone è un servizio interno,
              usa <option>internal</option>.</para>
          </listitem>
        </varlistentry>
      </variablelist>
    </sect2>

    <sect2 id="network-inetd-security">
      <title>Sicurezza</title>

      <para>A seconda delle scelte fatte all'installazione,
        molti servizi di <application>inetd</application>
        potrebbero essere attivi di default.  Se
        non c'è necessità
        apparente per un particolare demone,
        considera di disabilitarlo.  Usa un <quote>#</quote> a capo della
        riga del demone in questione in <filename>/etc/inetd.conf</filename>,
        e quindi <link linkend="network-inetd-reread">ricarica la
        configurazione di inetd</link>.  Alcuni demoni, come
        <application>fingerd</application>, potrebbero
        non essere assolutamente desiderati,
        poichè forniscono all'attaccante informazioni che gli potrebbero
        risultare utili.</para>

      <para>Alcuni demoni non sono stati creati coll'obiettivo
        della sicurezza ed hanno timeout lunghi, o non esistenti.
        Questo permette ad un attaccante di inviare
        lentamente connessioni
        ad un particolare demone, saturando in questo modo
        le risorse disponibile.  Può essere una buona idea
        impostare le limitazioni
        <option>max-connections-per-ip-per-minute</option> e
        <option>max-child</option> o <option>max-child-per-ip</option> su certi
        demoni se scopri di avere troppe connessioni.</para>

      <para>Di default, il TCP wrapping è attivo.
        Consulta la pagina del manuale
        di &man.hosts.access.5; per impostare
        delle restrizioni TCP su certi demoni
        invocati da <application>inetd</application>.</para>
    </sect2>

    <sect2 id="network-inetd-misc">
      <title>Miscellanei</title>

      <para><application>daytime</application>,
        <application>time</application>,
        <application>echo</application>,
        <application>discard</application>,
        <application>chargen</application>, e
        <application>auth</application> sono tutti servizi interni
        di <application>inetd</application>.</para>

      <para>Il servizio <application>auth</application>
        fornisce servizi di rete di identificazione
        ed è configurabile fino ad un certo punto,
        mentre gli altri possono solo essere accesi o spenti.</para>

      <para>Consulta la paigna di manuale di &man.inetd.8;
         per dettagli più approfonditi.</para>
    </sect2>
  </sect1>

  <sect1 id="network-nfs">
    <sect1info>
      <authorgroup>
        <author>
          <firstname>Tom</firstname>

          <surname>Rhodes</surname>

          <contrib>Riorganizzato e migliorato da </contrib>
        </author>
      </authorgroup>

      <authorgroup>
        <author>
          <firstname>Bill</firstname>

          <surname>Swingle</surname>

          <contrib>Scritto da </contrib>
        </author>
      </authorgroup>
    </sect1info>

    <title>Network File System (NFS)</title>

    <indexterm><primary>NFS</primary></indexterm>

    <para>Fra i molti differenti file system che
      FreeBSD supporta c'è il Network File System,
      conosciuto anche come <acronym role="Network
      File System">NFS</acronym>.  <acronym role="Network File
      System">NFS</acronym> permette ad un sistema di
      condividere directory
      e file con altri sistemi in rete.  Usando <acronym
      role="Network File System">NFS</acronym>,
      utenti e programmi possono
      accedere a file su sistemi remoti quasi
      come se fossero files locali.</para>

    <para>Alcuni dei più notevoli benefici che
      <acronym>NFS</acronym> ci fornisce sono:</para>

    <itemizedlist>
      <listitem>
        <para>Workstation locali usano meno spazio su
          disco perchè i dati usati in locale possono
          essere conservati su una singola
          macchina e restano accessibili agli altri sulla rete.</para>
      </listitem>

      <listitem>
        <para>Non c'è bisogno per gli utenti di avere
          home directory separate su ogni macchina in rete.
          Le home directory possono essere poste sul
          server <acronym>NFS</acronym> e
          rese disponibili attraverso la rete.</para>
      </listitem>

      <listitem>
        <para>Device di storage come floppy disk, drive
          CDROM, e drive &iomegazip; possono essere usati
          da altre macchine sulla rete.
          Questo può ridurre il numero di device di
          storage rimuovibili sulla rete.</para>
      </listitem>
    </itemizedlist>

    <sect2>
      <title>Come Funziona <acronym>NFS</acronym></title>

      <para><acronym>NFS</acronym> consiste di almeno due parti:
        un server ed uno o più client.  Il client
        accede da remoto ai dati conservati sulla macchina
        server.  Affinchè questo funzioni, alcuni processi
        devono essere configurati
        e devono essere attivi.</para>

      <para>Il server deve avere attivi i seguenti demoni:</para>

      <indexterm>
        <primary>NFS</primary>
        <secondary>server</secondary>
      </indexterm>
      <indexterm>
        <primary>file server</primary>
        <secondary>UNIX clients</secondary>
      </indexterm>
      <indexterm>
        <primary><application>rpcbind</application></primary>
      </indexterm>
      <indexterm>
        <primary><application>mountd</application></primary>
      </indexterm>
      <indexterm>
        <primary><application>nfsd</application></primary>
      </indexterm>

      <informaltable frame="none" pgwide="1">
        <tgroup cols="2">
          <colspec colwidth="1*"/>

          <colspec colwidth="3*"/>

          <thead>
            <row>
              <entry>Demone</entry>

              <entry>Descrizione</entry>
            </row>
          </thead>

          <tbody>
            <row>
              <entry><application>nfsd</application></entry>

              <entry>Il demone <acronym>NFS</acronym> che serve
                richieste da client <acronym>NFS</acronym>.</entry>
            </row>

            <row>
              <entry><application>mountd</application></entry>

              <entry>Il demone di mount <acronym>NFS</acronym>
                che serve le richieste
                che &man.nfsd.8; gli passa.</entry>
            </row>

            <row>
              <entry><application>rpcbind</application></entry>

              <entry> Questo demone permette ai client
                <acronym>NFS</acronym> di scoprire quali porte il server
                <acronym>NFS</acronym> sta usando.</entry>
            </row>
          </tbody>
        </tgroup>
      </informaltable>

      <para>Il client può anche eseguire un demone,
        noto come <application>nfsiod</application>.
        Il demone <application>nfsiod</application>
        serve le richieste dal server
        <acronym>NFS</acronym>.  E' opzionale, aiuta a
        migliorare le prestazioni ma non è indispensabile
        per operazioni corrette.  Consultare la pagina
        di manuale di &man.nfsiod.8;
        per più informazioni.
      </para>
    </sect2>

    <sect2 id="network-configuring-nfs">
      <title>Configurare <acronym>NFS</acronym></title>

      <indexterm>
        <primary>NFS</primary>
        <secondary>configurazione</secondary>
      </indexterm>

      <para>La configurazione di <acronym>NFS</acronym>
        è un processo relativamente semplice.
        I processi che devono essere attivi
        possono essere tutti avviati al boot della macchina
        con poche modifiche al tuo file
        <filename>/etc/rc.conf</filename>.</para>

      <para>Sul server <acronym>NFS</acronym> assicurati
        che le seguenti opzioni sono configurati nel file
        <filename>/etc/rc.conf</filename>:</para>

      <programlisting>rpcbind_enable="YES"
nfs_server_enable="YES"
mountd_flags="-r"</programlisting>

      <para><application>mountd</application> viene
        eseguito automaticamente in caso il server
        <acronym>NFS</acronym> sia abilitato.</para>

      <para>Sul client, accertati che questa riga sia
        attiva nel file
        <filename>/etc/rc.conf</filename>:</para>

      <programlisting>nfs_client_enable="YES"</programlisting>

      <para>Il file <filename>/etc/exports</filename>
        specifica quali file system <acronym>NFS</acronym>
        dovrebbe esportare (talora
        chiamate anche <quote>share</quote>).  Ogni linea di
        <filename>/etc/exports</filename> specifica un
        file system che deve essere esportato e quali
        macchine hanno accesso a quel file system.
        Assieme alle macchine che hanno accesso a quel file system,
        possono esserci specificate anche opzioni.   Ci
        sono molte opzioni di questo tipo che possono essere
        usate in questo file ma solo poche saranno menzionate
        qui.  Puoi facilmente
        scoprire le altre opzioni leggendo la pagina di manuale
        di &man.exports.5;.</para>

      <para>Queste sono alcune linee di esempio del file
        <filename>/etc/exports</filename>:</para>

      <indexterm>
        <primary>NFS</primary>
        <secondary>esempi di export</secondary>
      </indexterm>

      <para>I seguenti esempi danno un'idea di
        come esportare file system, anche se le
        impostazioni possono essere diverse
        a seconda del tuo ambiente e della tua
        configurazione di rete.
        Ad esempio, per esportare la directory
        <filename>/cdrom</filename>
        a tre macchine di esempio che hanno lo
        stesso nome di dominio del server (da qui
        la mancanza di nome dominio per ognuno)
        o hanno delle linee nel vostro file
        <filename>/etc/hosts</filename>.
        L'opzione <option>-ro</option> rende il
        file system esportato read-only.  Con
        questo flag, il sistema remoto non sarà in grado
        di scrivere alcun cambiamento sul file system
        esportato.</para>

      <programlisting>/cdrom -ro host1 host2 host3</programlisting>

      <para>La seguente linea esporta la directory
        <filename>/home</filename> a tre host
        identificati da indirizzo IP.  E' una
        impostazione utile in caso tu abbia
        una rete privata senza un <acronym>DNS</acronym> server
        configurato.  Opzionalmente il file
        <filename>/etc/hosts</filename>
        può essere configurato per hostname interni.
        Per favore rileggi
        &man.hosts.5; per più informazioni.  Il flag
        <option>-alldirs</option> permette alle sottodirectory
        di fungere da mount point.  In altre parole, non monterà
        le sottodirectory ma permetterà  ai client di montare
        solo le directory che necessita o di cui ha bisogno.</para>

      <programlisting>/home  -alldirs  10.0.0.2 10.0.0.3 10.0.0.4</programlisting>

      <para>La linea seguente esporta <filename>/a</filename>
        cosicchè due client da diversi domini possono accedere
        al file system.  L'opzione <option>-maproot=root</option>
        permette all'utente <username>root</username> sul
        sistema remoto di scrivere dati
        sul file system esportato come utente <username>root</username>.
        Se il flag <literal>-maproot=root</literal> non
        è specificato, anche se l'utente ha accesso come
        <username>root</username> sul file system remoto,
        non sarà  in grado di modificare files sul file system
        esportato.</para>

      <programlisting>/a  -maproot=root  host.example.com box.example.org</programlisting>

      <para>Affinchè un client abbia accesso ad
        un file system, questo deve avere permessi adeguati.
        Assicurati che il client sia elencato nel
        file <filename>/etc/exports</filename>.</para>

      <para>In <filename>/etc/exports</filename>, ogni
        linea rappresenta le informazioni per un
        file system esportato ad un host.  Un
        host remoto può essere specificato solo
        una volta per file system, e può
        avere solo una entry di default.  Ad esempio,
        supponi che <filename>/usr</filename> sia
        un singolo file system.  Il seguente
        <filename>/etc/exports</filename> sarebbe
        invalido:</para>

      <programlisting># Invalid when /usr is one file system
/usr/src   client
/usr/ports client</programlisting>

      <para>Un file system, <filename>/usr</filename>,
        ha due linee che specificano exports verso lo stesso
        host, <hostid>client</hostid>.
        Il formato corretto per questa situazione è:</para>

      <programlisting>/usr/src /usr/ports  client</programlisting>

      <para>Le proprietà di un file system esportato
        ad un dato host devono essere tutte su una
        riga.  Linee senza un cliente specificato
        sono trattate come un singolo host.  Questo
        limita il modo di esportare file system, ma
        per la maggior parte delle persone
        non è un problema.</para>

      <para>Il seguente è un esempio di valida
        lista di esportazione, dove
        <filename>/usr</filename> e <filename>/exports</filename>
        <filename>/usr</filename> and <filename>/exports</filename>
        sono file system locali:</para>

      <programlisting># Export src and ports to client01 and client02, but
only
# client01 has root privileges on it
/usr/src /usr/ports -maproot=root    client01
/usr/src /usr/ports               client02
# The client machines have root and can mount anywhere
# on /exports. Anyone in the world can mount /exports/obj read-only
/exports -alldirs -maproot=root      client01 client02
/exports/obj -ro</programlisting>

      <para>Il demone <application>mountd</application> deve
        essere forzato a rileggere il file <filename>/etc/exports</filename>
        ogni volta che lo modifichi,
        cosicchè i cambiamenti abbiano effetto.
        Questo può essere ottenuto inviando un segnale HUP
        al processo <command>mountd</command>:</para>

      <screen>&prompt.root; <userinput>kill -HUP `cat /var/run/mountd.pid`</userinput></screen>

      <para>o invocando lo script <command>mountd</command> &man.rc.8;
        con i parametri appropriati:</para>

      <screen>&prompt.root; <userinput>/etc/rc.d/mountd onereload</userinput></screen>

      <para>Sei invitato a far riferimento a <xref linkend="configtuning-initial"/> per
        maggiori informazioni sugli script rc.</para>


      <para>Alternativamente, un reboot farà  sì
        che FreeBSD imposti tutto
        correttamente.  Non è necessario tuttavia effettuare
        un reboot.  L'esecuzione del seguente comando da
        utente <username>root</username>
        dovrebbe avviare tutto.</para>

      <para>Sul server <acronym>NFS</acronym>:</para>

      <screen>&prompt.root; <userinput>rpcbind</userinput>
&prompt.root; <userinput>nfsd -u -t -n 4</userinput>
&prompt.root; <userinput>mountd -r</userinput></screen>

      <para>Sul client <acronym>NFS</acronym>:</para>

      <screen>&prompt.root; <userinput>nfsiod -n 4</userinput></screen>

      <para>Ora dovrebbe essere tutto pronto per montare
        un file system remoto.
        In questi esempi il nome del server
        sarà  <hostid>server</hostid> e quello del client
        sarà  <hostid>client</hostid>.  Se vuoi solo
        temporaneamente montare un file system remoto o
        anche testare la configurazione, basta che
        esegui un comando come questo
        come utente <username>root</username> sul client:</para>

      <indexterm>
        <primary>NFS</primary>
        <secondary>mounting</secondary>
      </indexterm>

      <screen>&prompt.root; <userinput>mount server:/home
/mnt</userinput></screen>

      <para>Questo monterà  la directory
        <filename>/home</filename> del server
        sopra <filename>/mnt</filename> sul client.  Se
        tutto è impostato correttamente dovresti
        essere in grado di entrare nella directory
        <filename>/mnt</filename> sul client e vedere
        tutti i file che sono sul server.</para>

      <para>Se vuoi montare automaticamente un
        file system remoto ogni volta che il
        computer fa boot, aggiungi il file system
        al file <filename>/etc/fstab</filename>.
        Questo è un esempio:</para>

      <programlisting>server:/home /mnt nfs rw 0 0</programlisting>

      <para>La pagina di manuale di &man.fstab.5;
        elenca tutte le possibili opzioni.</para>
    </sect2>

    <sect2>
      <title>Locking</title>

      <para>Alcune applicazioni (es. <application>mutt</application>)
        richiedono il lock dei file per operare in modo corretto.
        In caso di <acronym>NFS</acronym>, può essere utilizzato
        <application>rpc.lockd</application> per il lock dei file.
        Per abilitarlo, aggiungi la seguente riga al file
        <filename>/etc/rc.conf</filename> sia sul client che sul
        server (assumendo che il client e server <acronym>NFS</acronym>
        siano già configurati):</para>

      <programlisting>rpc_lockd_enable="YES"
rpc_statd_enable="YES"</programlisting>

      <para>Avvia l'applicazione con:</para>

      <screen>&prompt.root; <userinput>/etc/rc.d/nfslocking start</userinput></screen>

      <para>Se non è richiesto un lock reale tra il server
       e il client <acronym>NFS</acronym>, è possibile
       dire al client <acronym>NFS</acronym>  di fare un lock locale
       passando l'opzione <option>-L</option> a &man.mount.nfs.8;.
       Ulteriori dettagli possono essere trovati nella pagina man di
       &man.mount.nfs.8;.</para>
    </sect2>

    <sect2>
      <title>Usi Pratici</title>

      <para><acronym>NFS</acronym> ha molti usi
        pratici.  Alcuni
        dei più usati sono elencati di seguito:</para>

      <indexterm>
        <primary>NFS</primary>
        <secondary>usi</secondary>
      </indexterm>

      <itemizedlist>
        <listitem>
          <para>Fa sì che alcune macchine
            condividano un CDROM o un altro media
            fra di loro.  Questo è un metodo
            più economico e spesso più convieniente
            di installare software su molte macchine.</para>
        </listitem>

        <listitem>
          <para>Su grandi reti, potrebbe essere più
            conveniente configurare un server
            <acronym>NFS</acronym> centrale in cui
            conservare tutte le home directory degi utenti.
            Queste home directory
            possono essere esportate sulla rete cosicchè
            gli utenti abbiano sempre la stessa directory,
            indipendentemente dalla workstation dalla quale
            effettuino il login.</para>
        </listitem>

        <listitem>
          <para>Molte macchine potrebbero avere una
            directory comune
            <filename>/usr/ports/distfiles</filename>.
            In questo modo, quando hai bisogno di
            installare un port su molte macchine,
            puoi velocemente accedere al sorgente senza
            scaricarlo su ogni macchina.</para>
       </listitem>
      </itemizedlist>
    </sect2>

    <sect2 id="network-amd">
      <sect2info>
        <authorgroup>
          <author>
            <firstname>Wylie</firstname>

            <surname>Stilwell</surname>

            <contrib>Grazie al contributo di </contrib>
          </author>
        </authorgroup>

        <authorgroup>
          <author>
            <firstname>Chern</firstname>

            <surname>Lee</surname>

            <contrib>Riscritto da </contrib>
          </author>
        </authorgroup>
      </sect2info>

      <title>Mount automatici con <application>amd</application></title>

      <indexterm><primary>amd</primary></indexterm>
      <indexterm><primary>demone di mount automatico</primary></indexterm>

      <para>&man.amd.8; (il demone di mount automatico)
        monta automaticamente un file system remoto
        ogni volta che un file o una directory in quel
        file system viene acceduto.  I file system che sono
        inattivi per un certo periodo di tempo possono
        anche essere smontati automaticamente da
        <application>amd</application>.  L'uso di
        <application>amd</application> fornisce una semplice
        alternativa a mount permanenti, dato che i mount
        permanenti sono di solito
        elencati in <filename>/etc/fstab</filename>.</para>

      <para><application>amd</application> opera connettendosi
        ad un server NFS sulle directory
        <filename>/host</filename> e
        <filename>/net</filename>.  Quando si accede ad un file
        all'interno di una di queste directory,
        <application>amd</application>
        fa una ricerca del mount remoto corrispondente e lo
        monta automaticamente.  <filename>/net</filename>
        è usato per montare
        un file system esportato da un indirizzo IP,
        mentre <filename>/host</filename>
        è usato per montare un export da un hostname remoto.</para>

      <para>Un accesso ad un file in
        <filename>/host/foobar/usr</filename> dovrebbe
        comunicare a <application>amd</application> di
        cercare di montare
        l'export <filename>/usr</filename> sull'host
        <hostid>foobar</hostid>.</para>

      <example>
        <title>Montare un export con
          <application>amd</application></title>

        <para>Puoi osservare i mount disponibili di un
          host remoto con il comando
          <command>showmount</command>.  Ad esempio, per
          vedere i mounts di un host chiamato
          <hostid>foobar</hostid>, puoi usare:</para>

        <screen>&prompt.user; <userinput>showmount -e foobar</userinput>
Exports list on foobar:
/usr                               10.10.10.0
/a                                 10.10.10.0
&prompt.user; <userinput>cd /host/foobar/usr</userinput></screen>
      </example>

      <para>Come si vede nell'esempio,
        il comando <command>showmount</command> mostra
        <filename>/usr</filename> come un export.
        Quando si cambia directory in
        <filename>/host/foobar/usr</filename>,
        <application>amd</application>
        cerca di risolvere <hostid>foobar</hostid> e
        automaticamente monta l'export desiderato.</para>

      <para><application>amd</application> può essere
        avviato dagli scripts di startup inserendo le
        seguenti linee in
        <filename>/etc/rc.conf</filename>:</para>

      <programlisting>amd_enable="YES"</programlisting>

      <para>Inoltre, altri flags personalizzati possono essere
        ad <application>amd</application> con le opzioni
        <varname>amd_flags</varname>.  Di default,
        <varname>amd_flags</varname> è impostato a:</para>

      <programlisting>amd_flags="-a /.amd_mnt -l syslog /host /etc/amd.map
/net /etc/amd.map"</programlisting>

      <para>Il file <filename>/etc/amd.map</filename>
        definisce le opzioni di default con le quali
        gli export sono montati.  Il file
        <filename>/etc/amd.conf</filename> definisce
        alcune delle più avanzate caratteristiche di
        <application>amd</application>.</para>

      <para>Consulta le pagine di manuale di &man.amd.8;
        e &man.amd.conf.5;
        per maggiori informazioni.</para>
    </sect2>

    <sect2 id="network-nfs-integration">
      <sect2info>
        <authorgroup>
          <author>
            <firstname>John</firstname>

            <surname>Lind</surname>

            <contrib>Grazie al contributo di </contrib>
          </author>
        </authorgroup>
      </sect2info>

      <title>Problemi nell'integrazione con altri sistemi</title>

      <para>Alcuni adapter Ethernet per sistemi PC hanno
        limitazioni che possono portare a seri
        problemi seri di rete, in particolare con NFS.
        Questa difficoltà  non è specifica a FreeBSD,
        ma i sistemi FreeBSD ne sono affetti.</para>

      <para>I problemi avvengono quasi sempre
        quando sistemi PC (FreeBSD) sono
        connessi in rete con workstation ad alta
        performance, tipo quelli di
        Silicon Graphics, Inc., e Sun Microsystems, Inc.
        Il mount NFS funziona, ed alcune operazioni possono
        avere successo, ma d'improvviso sembra che il
        server non dia più risposte al client,
        anche se le richieste da e verso altri sistemi
        continuano ad essere processate.
        Questo avviene sul sistema client, sia che
        il client sia il sistema
        FreeBSD sia che sia la workstation.  Su molti sistemi,
        non c'è modo di effettuare lo shutdown del client
        in modo pulito una volta che questo problema si
        sia manifestato.  L'unica soluzione
        è spesso quella di resettare il client,
        poichè la situazione NFS
        non può essere risolta.</para>

      <para>Anche se la soluzione <quote>corretta</quote>
        è usare un adapter Ethernet dalle migliori
        prestazioni e capacità , c'è un semplice
        workaround che permetterà  operazioni soddisfacenti.
        Se il sistem FreeBSD è il <emphasis>server</emphasis>,
        includi le opzioni <option>-w=1024</option> al
        mount dal client.  Se il sistema FreeBSD
        è il <emphasis>client</emphasis>, allora monta
        il file system NFS con l'opzione <option>-r=1024</option>.
        Queste opzioni possono essere specificate usando
        il quarto campo della linea di
        <filename>fstab</filename> sul client per
        mount automatici, o usa il parametro <option>-o</option>
        del comando &man.mount.8; per mount manuali.</para>

      <para>Bisognerebbe notare che c'è un problema diverso,
        a volte confuso con questo, quando il server NFS ed
        il client sono su reti diverse.  Se è questo
        il caso, <emphasis>accertatevi</emphasis>
        che i vostri router indirizzino correttamente l'informazione
        necessaria su <acronym>UDP</acronym>, o non andrai
        da nessuna parte, indipendentemente da cosa tu
        stia cercando di fare.</para>

      <para>Nei seguenti esempi, <hostid>fastws</hostid> è
        il nome host (interfaccia) di una workstation
        ad alte prestazioni, e <hostid>freebox</hostid>
        è il nome host (interfaccia) di un sistema FreeBSD con
        un adapter Ethernet a basse prestazioni.  Inoltre,
        <filename>/sharedfs</filename> sarà  il file system esportato
        (vedi &man.exports.5;), e <filename>/project</filename>
        sarà  il mount point sul client per il file system
        montato.  In tutti i casi, nota che le opzioni
        <option>hard</option> o <option>soft</option> e
        <option>bg</option> possono essere utili
        nella tua applicazione.</para>

      <para>Esempi dal sistema FreeBSD (<hostid>freebox</hostid>)
        come client da <filename>/etc/fstab</filename> su
        <hostid>freebox</hostid>:</para>

      <programlisting>fastws:/sharedfs /project nfs rw,-r=1024 0 0</programlisting>

      <para>Come comando manuale di mount da
        <hostid>freebox</hostid>:</para>

      <screen>&prompt.root; <userinput>mount -t nfs -o -r=1024 fastws:/sharedfs /project</userinput></screen>

      <para>Esempi dal sistema FreeBSD come server in
        <filename>/etc/fstab</filename> su
        <hostid>fastws</hostid>:</para>

      <programlisting>freebox:/sharedfs /project nfs rw,-w=1024 0 0</programlisting>

      <para>Come comando di mount manuale su
        <hostid>fastws</hostid>:</para>

      <screen>&prompt.root; <userinput>mount -t nfs -o -w=1024 freebox:/sharedfs /project</userinput></screen>

      <para>Praticamente ogni Ethernet adapter a 16-bit permetterà 
        operazioni senza le succitate restrizioni sulla dimensione
        di lettura e scrittura.</para>

      <para>Per chiunque è interessato, ecco cosa succede quando
        occorre il problema, il che spiega anche perchè sia
        non riparabile.  NFS tipicamente lavora con una dimensione
        di <quote>block</quote> di 8&nbsp;K (anche se può creare
        frammenti di dimensione minore).  Dal momento che la
        massima dimensione dei pacchetti Ethernet è attorno
        a 1500&nbsp;bytes, il <quote>block</quote> NFS sarà 
        diviso in molti pacchetti Ethernet
        anche se è pur sempre una singola unità  per il codice
        di più alto livello e deve essere ricevuto, assemblato
        e <emphasis>riconosciuto</emphasis> come una unità .
        La workstation ad alta performance può inviare
        pacchetti che comprendono le unità  NFS una dietro l'altra,
        l'una vicino all'altra come permette lo standard.i
        Sulla scheda a minore capacità , gli ultimi pacchetti
        sovrascrivono i precedenti pacchetti della stessa
        unità  prima che possano essere trasferiti all'host
        e l'unità  nella
        sua interezza non può essere ricostruita
        o riconosciuta.  Come risultato, la workstation andrà 
        in timeout e cercherà  ancora di ripetere l'operazione,
        ma cercherà  con la stessa unità  da 8&nbsp;K, ed il
        processo sarà  ripetuto ancora, all'infinito.</para>

      <para>Mantenendo la dimensione dell'unità  al di sotto
        della limitazione dei pacchetti Ethernet, ci assicuriamo che
        ogni completo pacchetto Ethernet ricevuto possa essere
        ricono sciuto individualmente, evitando così la
        situazione deadlock.</para>

      <para>Sovrascritture possono anche capitare quando una
        workstation ad alte prestazioni riversi dati verso
        un sistema PC, ma con la scheda di rete migliore,
        sovrascritture di questo tipo non sono garantite su
        <quote>unità </quote> NFS.  Quando una sovrascrittura
        avviene, le unità  affette saranno ritrasmesse,
        e c'è una buona probabilità  che saranno
        ricevute, assemblate, e riconosciute.</para>
    </sect2>
  </sect1>

  <sect1 id="network-nis">
    <sect1info>
      <authorgroup>
        <author>
          <firstname>Bill</firstname>

          <surname>Swingle</surname>

          <contrib>Scritto da </contrib>
         </author>
      </authorgroup>

      <authorgroup>
        <author>
          <firstname>Eric</firstname>

          <surname>Ogren</surname>

          <contrib>Migliorato da </contrib>
        </author>

        <author>
          <firstname>Udo</firstname>

          <surname>Erdelhoff</surname>
        </author>
      </authorgroup>
    </sect1info>

    <title>Network Information System (NIS/YP)</title>

    <sect2>
      <title>Cos'è?</title>

      <indexterm><primary>NIS</primary></indexterm>
      <indexterm><primary>Solaris</primary></indexterm>
      <indexterm><primary>HP-UX</primary></indexterm>
      <indexterm><primary>AIX</primary></indexterm>
      <indexterm><primary>Linux</primary></indexterm>
      <indexterm><primary>NetBSD</primary></indexterm>
      <indexterm><primary>OpenBSD</primary></indexterm>

      <para><acronym role="Network Information System">NIS</acronym>,
        che sta per Network Information Services, fu sviluppato
        da Sun Microsystems per centralizzare l'amministrazione
        di sistemi &unix; (in origine &sunos;).  Ora in sostanza
        è diventato uno standard di settore; tutti i sistemi
        &unix; like (&solaris;, HP-UX, &aix;, Linux, NetBSD,
        OpenBSD, FreeBSD, etc) supportano
        <acronym role="Network Information
        System">NIS</acronym>.</para>

      <indexterm><primary>yellow pages</primary><see>NIS</see></indexterm>

      <para><acronym role="Network Information System">NIS</acronym>
        in precedenza era noto come Yellow Pages, ma per una questione
        di marchi, Sun ha cambiato il nome.  Il vecchio termine (e yp)
        è ancora si incontra ancora spesso.</para>

      <indexterm>
        <primary>NIS</primary>
        <secondary>domini</secondary>
      </indexterm>

      <para>E' un sistema client/server basato su RPC che
        permette ad un gruppo di macchine in un dominio
        NIS di condividere un insieme comune di file di
        configurazione.  Questo permette ad un amministratore
        di sistema di installare sistemi client
        NIS con il minimo di dati di configurazione e di aggiungere,
        rimuovere o modificare dati di configurazione da una singola
        macchina.</para>

      <indexterm><primary>Windows NT</primary></indexterm>

      <para>E' simile al sistema di domini di &windowsnt;; anche
        se le implementazioni interne dei due sistemi sono del tutto
        diverse, le funzionalità  base possono essere
        paragonate.</para>
    </sect2>

    <sect2>
      <title>Termini/Processi che Dovresti Conoscere</title>

      <para>Ci sono parecchi termini e molti importanti processi
        utente che incontrerai quando cercherai di implementare
        NIS su FreeBSD, sia che cerchi di creare un server NIS
        sia che cerchi di installare un client NIS:</para>

      <indexterm>
        <primary><application>rpcbind</application></primary>
      </indexterm>
      <indexterm>
        <primary><application>portmap</application></primary>
      </indexterm>

      <informaltable frame="none" pgwide="1">
        <tgroup cols="2">
          <colspec colwidth="1*"/>

          <colspec colwidth="3*"/>

          <thead>
            <row>
              <entry>Termine</entry>

              <entry>Descrizione</entry>
            </row>
          </thead>

          <tbody>
            <row>
              <entry>Nome dominio NIS</entry>

              <entry>Un server NIS master e tutti i suoi client
                (inclusi i suoi server slave) hanno un nome
                dominio NIS.  Analogamente al nome dominio di
                &windowsnt;, il nome dominio NIS non ha nulla
                a che fare
                con il <acronym>DNS</acronym>.</entry>
            </row>

            <row>
              <entry><application>rpcbind</application></entry>

              <entry>Deve essere in esecuzione al fine
                di abilitare <acronym>RPC</acronym> (Remote
                Procedure Call, un protocollo di rete usato da NIS).
                Se <application>rpcbind</application> non è attivo,
                sarà  impossibile portare in esecuzione un server NIS
                o fungere da client NIS
              </entry>
            </row>

            <row>
              <entry><application>ypbind</application></entry>

              <entry>Esegue il <quote>bind</quote> di un client NIS
                al suo server.  Prenderà  il nome dominio NIS dal
                sistema, e, usando <acronym>RPC</acronym>, si
                connetterà  al server.
                <application>ypbind</application>
                è il fulcro di una comunicazione client-server in
                ambiente NIS; se <application>ypbind</application>
                muore su un client, questo non sarà  in grado di
                accedere il server NIS.</entry>
            </row>

            <row>
              <entry><application>ypserv</application></entry>

              <entry>Dovrebbe essere in esecuzione solo sui
                server NIS;è il processo NIS vero e
                proprio.  Se &man.ypserv.8;
                muore, il server non sarà  più in grado di
                rispondere a richieste NIS (si spera ci sia
                un server slave per sostituirlo).  Ci sono
                alcune implementazioni di NIS
                (ma non quello di FreeBSD) che non cerca di
                ricollegarsi ad un altro server se il server
                che stava usando muore.  Spesso, l'unica cosa
                che aiuta in questo caso è riavviare il
                processo server (o anche
                l'intero server o il processo
                <application>ypbind</application> sul client).</entry>
            </row>

            <row>
              <entry><application>rpc.yppasswdd</application></entry>

              <entry>Un altro processo che dovrebbe essere in
                esecuzione solo sui server master NIS; è un demone
                che permette a client NIS di cambiare le proprie
                password NIS.  Se questo demone non è attivo,
                gli utenti dovranno loggarsi al server master NIS
                e cambiare le proprie password da lì.</entry>
            </row>
          </tbody>
        </tgroup>
      </informaltable>
    </sect2>

    <sect2>
      <title>Come funziona?</title>

      <para>Ci sono tre tipi di host in ambiente NIS:
        master server, slave server e client.  I server
        fungono da magazzino centralizzato per le
        informazioni sulla configurazione degli host.  I
        server master mantengono la copia "ufficiale"
        di queste informazioni, mentre i server slave effettuano
        il mirror di queste informazioni per ridondanza.  I client
        si affidano al server per ottenere queste informazioni.</para>

      <para>Le informazioni in molti file possono essere
        condivise in questo modo.  I file
        <filename>master.passwd</filename>
        ,<filename>group</filename> e <filename>hosts</filename> sono
        in genere condivisi in questo modo via NIS.  Qualora un
        processo su un client necessiti di informazioni che
        normalmente sarebbero trovate in questi file in locale,
        fa una query al server NIS a cui è legato.</para>

      <sect3>
        <title>Tipi di macchine</title>

        <itemizedlist>
          <indexterm>
            <primary>NIS</primary>
            <secondary>master server</secondary>
          </indexterm>

          <listitem>
            <para>Un <emphasis>server master NIS</emphasis>. Questo
              server, analogamente a primary domain controller
              &windowsnt; , mantiene i file usati da tutti i client
              NIS.  Il file <filename>passwd</filename>,
              il file <filename>group</filename>, e vari altri
              file usati da client NIS vivono sul
              server master.</para>

            <note>
              <para>E' possibile per una macchina agire
              da master server NIS per più di un dominio
              NIS.  Comunque, questo caso non sarà 
              coperto in questa introduzione,
              che presuppone un ambiente NIS relativamente piccolo.</para>
            </note>
          </listitem>

          <listitem>
	    <indexterm>
	      <primary>NIS</primary>
	      <secondary>slave server</secondary>
	    </indexterm>

            <para><emphasis>NIS slave server</emphasis>.  Analogamente
              a backup domain controller &windowsnt;, i server
              slave NIS mantengono copie dei file di dati
              del server master NIS.  I server slave NIS garantiscono
              la ridondanza che viene richiesta in ambienti
              importanti.  Inoltre aiutano a bilanciare il carico
              del server master: i client NIS si legano sempre
              al NIS server che risponde per primo alla loro richiesta,
              compresi i server slave.</para>
          </listitem>

          <listitem>
	    <indexterm>
	      <primary>NIS</primary>
	      <secondary>client</secondary>
	    </indexterm>

            <para><emphasis>NIS client</emphasis>.  I client NIS,
              come la maggior parte delle workstation &windowsnt;
              , si autenticano nei confronti del NIS server
              (o del domain controller &windowsnt; nel caso di
              workstation &windowsnt;) per effettuare il login.
            </para>
          </listitem>
        </itemizedlist>
      </sect3>
    </sect2>

    <sect2>
      <title>Usare NIS/YP</title>

      <para>Questa sezione riguarderà  l'installazione
        di un ambiente di esempio NIS.</para>

      <sect3>
        <title>Il Piano</title>

        <para>Supponiamo che tu sia l'amministratore di un piccolo
          laboratorio universitario.  Questo laboratorio, che
          consiste di 15 macchine FreeBSD, al momento non ha
          un sistema centralizzato di amministrazione; ogni
          macchina ha il suo <filename>/etc/passwd</filename> e
          <filename>/etc/master.passwd</filename>.  Questi file
          sono tenuti sincronizzati fra di loro attraverso
          intervento manuale; al momento, quando aggiungi un utente
          al laboratorio, devi eseguire <command>adduser</command>
          su tutte e 15 le macchine.  Chiaramente, questa situazione
          è provvisoria, così hai deciso di convertire il
          laboratorio a NIS, usando due delle macchine
          come server.</para>

        <para>Così la configurazione del laboratorio adesso
          sembra questa:</para>

        <informaltable frame="none" pgwide="1">
          <tgroup cols="3">
            <thead>
              <row>
                <entry>Nome della macchina</entry>

                <entry>Indirizzo IP</entry>

                <entry>Ruolo della macchina</entry>
              </row>
            </thead>

            <tbody>
              <row>
                <entry><hostid>ellington</hostid></entry>

                <entry><hostid role="ipaddr">10.0.0.2</hostid></entry>

                <entry>NIS master</entry>
              </row>

              <row>
                <entry><hostid>coltrane</hostid></entry>

                <entry><hostid role="ipaddr">10.0.0.3</hostid></entry>

                <entry>NIS slave</entry>
              </row>

              <row>
                <entry><hostid>basie</hostid></entry>

                <entry><hostid role="ipaddr">10.0.0.4</hostid></entry>

                <entry>Workstation della facoltà</entry>
              </row>

              <row>
                <entry><hostid>bird</hostid></entry>

                <entry><hostid role="ipaddr">10.0.0.5</hostid></entry>

                <entry>Macchina client</entry>
              </row>

              <row>
                <entry><hostid>cli[1-11]</hostid></entry>

                <entry><hostid role="ipaddr">10.0.0.[6-17]</hostid></entry>

                <entry>Altre macchine client</entry>
              </row>
            </tbody>
          </tgroup>
        </informaltable>

        <para>Se stai installando uno schema NIS per la
          prima volta, è una buona idea riflettere
          su come affrontarlo.  Indipendemente dalla
          dimensione della rete, ci sono alcune
          decisioni che devono essere prese.</para>

        <sect4>
          <title>Scegliere un nome dominio NIS</title>

          <indexterm>
            <primary>NIS</primary>
            <secondary>Nome dominio</secondary>
          </indexterm>

          <para>Questo può non essere il
            <quote>nome dominio</quote> a
            cui sei abituato.  Per la precisione viene chiamato
            <quote>nome dominio NIS</quote>.  Quando un client
            fa il broadcast della sua richiesta per informazioni,
            include il nome del dominio NIS di cui fa parte.
            In questo modo molti server su una rete possono distinguere
            a quale server la richiesta è riferita.  Considerate
            il nome dominio NIS come il nome per un gruppo di host
            che sono collegati per qualche motivo.</para>

          <para>Alcune organizzazioni scelgono di usare il loro
            nome dominio Internet come nome dominio NIS.  Questo non
            è raccomandabile in quanto può causare confusione
            quando si cerchi di debuggare problemi di rete.
            Il nome dominio NIS dovrebbe essere unico all'interno
            della tua rete ed è utile che sia descrittivo
            del gruppo di macchine che rappresenta.  Per
            esempio, il dipartimento di Arte della Acme Inc. può
            essere nel dominio <quote>acme-art</quote>.  Per questo
            esempio, si presume tu abbia scelto il nome
            <literal>test-domain</literal>.</para>

          <indexterm><primary>SunOS</primary></indexterm>

          <para>Comunque, alcuni sistemi operativi (principalmente
            &sunos;) usano il loro nome dominio NIS come loro nome
            dominio Internet.  Se una o più macchine sulla tua rete
            hanno questa restrizione, tu <emphasis>devi</emphasis>
            usare il nome dominio Internet come il tuo
            nome dominio NIS.</para>
        </sect4>

        <sect4>
          <title>Requisiti fisici dei server</title>

          <para>Ci sono molte cose da tener in mente quando si
            sceglie quale macchina usare come server NIS.  Una
            delle caratteristiche più sfortunate di NIS
            è il livello di dipendenza che i client hanno
            verso il server.  Se un client non riesce a
            contattare il server per
            il suo dominio NIS, molto spesso la macchina risulta
            inutilizzabile.  La mancanza di informazioni utente e
            di gruppo fa sì che molti sistemi si blocchino.  Tenendo
            questo in mente dovresti accertati di scegliere una
            macchina che non sia soggetta a reboot frequenti o
            una che non sia usata per sviluppo.  Il server
            NIS dovrebbe essere in teoria una macchina
            stand alone il cui unico
            scopo di esistenza è essere un server NIS.  Se hai una
            rete non pesantemente trafficata,
            è accettabile installare
            il server NIS su una macchina che esegue altri servizi,
            basta ricordarsi che se il server NIS diventa
            irrangiungibile, <emphasis>tutti</emphasis> i tuoi
            client NIS ne saranno affetti in modo negativo.</para>
        </sect4>
      </sect3>

      <sect3>
        <title>Server NIS</title>

        <para> Le copie canoniche di tutte le informazioni NIS
          sono conservate su una singola macchina chiamata
          il server master NIS.  I database usati per conservare
          le informazioni sono chiamate mappe NIS.  In FreeBSD,
          queste mappe sono conservate in
          <filename>/var/yp/[nome-dominio]</filename> dove
          <filename>[nome-dominio]</filename> è il nome del dominio
          NIS che si server.  Un singolo server NIS può supportare
          molti domini al tempo stesso, di conseguenza è
          possibile avere molte directory di questo tipo,
          una per ogni dominio supportato.  Ogni dominio
          avrà  il suo insieme indipendente di mappe.</para>

        <para>I server NIS master e slave gestiscono tutte le
          richieste NIS col demone <command>ypserv</command>.
          <command>ypserv</command> è responsabile per
          la ricezione delle richieste in entrata dai client NIS,
          traducendo il dominio richiesto e il nome mappa ad un
          percorso verso il file di database e trasmettendo
          i dati indietro al client.</para>

        <sect4>
          <title>Installare un server master NIS</title>

          <indexterm>
            <primary>NIS</primary>
            <secondary>configurazione del server</secondary>
          </indexterm>

          <para>Installare un server master NIS può essere
            relativamente semplice, a seconda delle tue
            necessità .  FreeBSD presenta un supporto nativo
            per NIS.  Tutto quello che devi fare è aggiungere
            le seguenti linee a <filename>/etc/rc.conf</filename>,
            e FreeBSD farà  il resto.</para>

          <procedure>
            <step>
              <para><programlisting>nisdomainname="test-domain"</programlisting>
                Questa linea imposterà  il nome domino NIS a
                <literal>test-domain</literal>
                al momento della configurazione di rete
                (ad esempio dopo il reboot).</para>
            </step>

            <step>
              <para><programlisting>nis_server_enable="YES"</programlisting>
                Questa linea dirà  a FreeBSD di avviare i processi
                NIS server la prossima volta che la rete
                è riavviata.</para>
            </step>

            <step>
              <para><programlisting>nis_yppasswdd_enable="YES"</programlisting>
                Questo avvierà  il demone
                <command>rpc.yppasswd</command> che, come accennato
                prima, permetterà  agli utenti di cambiare la loro
                password NIS dalle macchine client.</para>
            </step>
          </procedure>

          <note>
            <para>A seconda delle tue impostazioni NIS, potresti
              aver bisogno di aggiungere altre linee.  Leggi
              la <link linkend="network-nis-server-is-client">
              sezione sui NIS server che sono anche NIS client
              </link>, di seguito, per dettagli.</para>
          </note>

          <para>Ora, tutto quello che devi fare è eseguire
             il comando <command>/etc/netstart</command>
             come super-utente.  Questo imposterà 
             il sistema, usando i valori che hai specificato
             in <filename>/etc/rc.conf</filename>.</para>
        </sect4>

        <sect4>
          <title>Inizializzare le mappe NIS</title>

          <indexterm>
            <primary>NIS</primary>
            <secondary>mappe</secondary>
          </indexterm>

          <para>Le <emphasis>mappe NIS</emphasis> sono file di
            database, che sono conservati nella directory
            <filename>/var/yp</filename>.  Sono generati
            da file di configurazione nella directory
            <filename>/etc</filename> del NIS master, con
            una eccezione: il file
            <filename>/etc/master.passwd</filename>.
            C'è un buon motivo per questo, infatti
            normalmente non vuoi che siano
            propagate le password a <username>root</username>
            e ad altri account amministrativi a tutti gli
            altri server nel dominio NIS.  Così prima
            di inizializzare le mappe
            NIS, dovresti:</para>

          <screen>&prompt.root; <userinput>cp /etc/master.passwd /var/yp/master.passwd</userinput>
&prompt.root; <userinput>cd /var/yp</userinput>
&prompt.root; <userinput>vi master.passwd</userinput></screen>

          <para>Dovresti rimuovere tutte le linee che riguardano
            account di sistema (<username>bin</username>,
            <username>tty</username>, <username>kmem</username>,
            <username>games</username>, etc.), così come altri
            account che non vuoi siano propagate ai client NIS
            (per esempio <username>root</username> ed ogni altro
            account con UID 0 (super-utente)).</para>

          <note>
            <para>Accertati che il file
              <filename>/var/yp/master.passwd</filename> non
              sia nè leggibile dal gruppo nè dal resto
              del mondo (modo 600)!
              Usa il comando <command>chmod</command>, se
              appropriato.</para>
          </note>

          <indexterm><primary>Tru64 UNIX</primary></indexterm>

          <para>Quando hai finito, è il momento di inizializzare
            le mappe NIS!  FreeBSD include uno script chiamato
            <command>ypinit</command> che lo fa per te (leggi
            la sua pagina di manuale per dettagli).  Nota che
            questo script è disponibile sulla maggior parte dei
            sistemi operativi &unix; ma non su tutti.  Su
            Digital Unix/Compaq Tru64 UNIX è chiamato
            <command>ypsetup</command>.  Poichè stiamo generando
            mappe per un NIS master, passeremo l'opzione
            <option>-m</option> al comando <command>ypinit</command>.
            Per generare le mappe NIS, supponendo che tu abbia già 
            eseguito i passi di cui sopra, esegui:</para>

          <screen>ellington&prompt.root; <userinput>ypinit -m test-domain</userinput>
Server Type: MASTER Domain: test-domain
Creating an YP server will require that you answer a few questions.
Questions will all be asked at the beginning of the procedure.
Do you want this procedure to quit on non-fatal errors? [y/n: n]
<userinput>n</userinput>
Ok, please remember to go back and redo manually whatever fails.
If you don't, something might not work.
At this point, we have to construct a list of this domains YP servers.
rod.darktech.org is already known as master server.
Please continue to add any slave servers, one per line. When you are
done with the list, type a &lt;control D&gt;.
master server   :  ellington
next host to add:  <userinput>coltrane</userinput>
next host to add:  <userinput>^D</userinput>
The current list of NIS servers looks like this:
ellington
coltrane
Is this correct?  [y/n: y] <userinput>y</userinput>

[..output from map generation..]

NIS Map update completed.
ellington has been setup as an YP master server without any errors.</screen>

          <para><command>ypinit</command> dovrebbe aver creato
            <filename>/var/yp/Makefile</filename> da
            <filename>/var/yp/Makefile.dist</filename>.
            Quando creato, questo file assume che tu stia operando
            su un ambiente NIS a server singolo con solo macchine
            FreeBSD.  Dal momento che <literal>test-domain</literal>
            ha anche un server slave, devi editare
            <filename>/var/yp/Makefile</filename>:</para>

          <screen>ellington&prompt.root; <userinput>vi /var/yp/Makefile</userinput></screen>

          <para>Dovresti commentare la linea che dice</para>

          <programlisting>NOPUSH = "True"</programlisting>

          <para>(se non è già commentata).</para>
        </sect4>

        <sect4>
          <title>Impostare un server slave NIS</title>

          <indexterm>
            <primary>NIS</primary>
            <secondary>slave server</secondary>
          </indexterm>

          <para>Impostare un server NIS slave è anche
            più semplice che impostare il master.  Loggati
            al server slave ed edita
            il file <filename>/etc/rc.conf</filename>
            esattamente come hai fatto col server master.
            L'unica differenza è che
            ora dobbiamo usare l'opzione <option>-s</option> quando
            eseguiamo <command>ypinit</command>.  L'opzione
            <option>-s</option> richiede che il nome del
            server NIS sia passato, così la nostra linea
            di comando assomiglia
            alla seguente:</para>

          <screen>coltrane&prompt.root; <userinput>ypinit -s ellington
test-domain</userinput>

Server Type: SLAVE Domain: test-domain Master: ellington

Creating an YP server will require that you answer a few questions.
Questions will all be asked at the beginning of the procedure.

Do you want this procedure to quit on non-fatal errors? [y/n: n]
<userinput>n</userinput>

Ok, please remember to go back and redo manually whatever fails.
If you don't, something might not work.
There will be no further questions. The remainder of the procedure
should take a few minutes, to copy the databases from ellington.
Transferring netgroup...
ypxfr: Exiting: Map successfully transferred
Transferring netgroup.byuser...
ypxfr: Exiting: Map successfully transferred
Transferring netgroup.byhost...
ypxfr: Exiting: Map successfully transferred
Transferring master.passwd.byuid...
ypxfr: Exiting: Map successfully transferred
Transferring passwd.byuid...
ypxfr: Exiting: Map successfully transferred
Transferring passwd.byname...
ypxfr: Exiting: Map successfully transferred
Transferring group.bygid...
ypxfr: Exiting: Map successfully transferred
Transferring group.byname...
ypxfr: Exiting: Map successfully transferred
Transferring services.byname...
ypxfr: Exiting: Map successfully transferred
Transferring rpc.bynumber...
ypxfr: Exiting: Map successfully transferred
Transferring rpc.byname...
ypxfr: Exiting: Map successfully transferred
Transferring protocols.byname...
ypxfr: Exiting: Map successfully transferred
Transferring master.passwd.byname...
ypxfr: Exiting: Map successfully transferred
Transferring networks.byname...
ypxfr: Exiting: Map successfully transferred
Transferring networks.byaddr...
ypxfr: Exiting: Map successfully transferred
Transferring netid.byname...
ypxfr: Exiting: Map successfully transferred
Transferring hosts.byaddr...
ypxfr: Exiting: Map successfully transferred
Transferring protocols.bynumber...
ypxfr: Exiting: Map successfully transferred
Transferring ypservers...
ypxfr: Exiting: Map successfully transferred
Transferring hosts.byname...
ypxfr: Exiting: Map successfully transferred

coltrane has been setup as an YP slave server without any errors.
Don't forget to update map ypservers on ellington.</screen>

          <para>Ora dovresti avere una directory chiamata
            <filename>/var/yp/test-domain</filename>.  Copie
            delle mappe NIS del master server dovrebbero risiedere
            in questa directory.  Dovresti accertarti che siano
            aggiornate.  La seguente linea di
            <filename>/etc/crontab</filename> sul tuo server slave
            dovrebbe far ciò:</para>

          <programlisting>20      *       *       *       *       root /usr/libexec/ypxfr passwd.byname
21      *       *       *       *       root   /usr/libexec/ypxfr passwd.byuid</programlisting>

          <para>Queste due linee forzano lo slave a sincronizzare
            le sue mappe con le mappe del server master.
            Anche se queste entry non sono obbligatorie,
            dal momento che il server
            master cerca di assicurarsi che tutte le modifiche
            alle sue mappe NIS siano comunicate ad i suoi slave
            e perchè le informazioni sulle password sono vitali
            per i sistemi che dipendono dal server, è una buona idea
            forzare gli aggiornamenti.  Questo è ancora più
            importante su reti trafficate dove gli aggiornamenti
            delle mappe potrebbero non essere completi.</para>

          <para>Adesso, esegui il comando
            <command>/etc/netstart</command> anche sullo slave,
            per avviare il server NIS.</para>
        </sect4>
      </sect3>

      <sect3>
        <title>Client NIS</title>

        <para>Un client NIS stabilisce quello che è
          chiamato un binding ad un particolare NIS
          server usando il demone
          <command>ypbind</command>.  <command>ypbind</command>
          controlla il dominio di default del sistema
          (impostato dal comando <command>domainname</command>),
          ed inizia a fare broadcast di richieste RPC sulla rete
          locale.  Queste richieste specificano il nome del
          dominio per il quale <command>ypbind</command> sta
          cercando di stabilire un binding.  Se un server è stato
          configurato a servire il dominio richiesto, risponderà 
          a <command>ypbind</command>, che registrerà  l'indirizzo
          del server.  Se ci sono molti server disponibili
          (ad esempio un master e molti slave),
          <command>ypbind</command> userà  l'indirizzo del primo
          che risponde.  Da quel momento in poi, il sistema client
          dirigerà  tutte le sue richieste NIS a quel server.
          <command>ypbind</command> occasionalmente farà  un
          <quote>ping</quote> del server per accertarsi che sia su
          ed attivo.  Se non riceve una risposta di uno dei suoi
          ping in un tempo accettabile, <command>ypbind</command>
          segnerà  il dominio come non connesso e inizierà 
          di nuovo a fare broadcasting nella speranza di
          localizzare un altro server.</para>

        <sect4>
          <title>Impostare un client NIS</title>

          <indexterm>
            <primary>NIS</primary>
            <secondary>configurazione del client</secondary>
          </indexterm>

          <para>Impostare una macchina FreeBSD perchè sia un client
            NIS è abbastanza semplice.</para>

          <procedure>
            <step>
              <para>Edita il file <filename>/etc/rc.conf</filename> e
                aggiungi le seguenti linee per impostare il nome
                dominio NIS ed avviare <command>ypbind</command>
                all'avvio della rete:</para>

              <programlisting>nisdomainname="test-domain"
nis_client_enable="YES"</programlisting>
            </step>

            <step>
              <para>Per importare tutte le possibili linee di
                password dal server NIS, rimuovi tutti gli account
                utente dal tuo <filename>/etc/master.passwd</filename>
                ed usa <command>vipw</command> per aggiungere
                la seguente linea alla fine del file:</para>

              <programlisting>+:::::::::</programlisting>

              <note>
                <para>Questa linea permetterà  a chiunque con un
                  valido account nella mappa delle password
                  del server NIS di loggarsi sul client.  Ci
                  sono molti modi per
                  configurare il tuo client NIS cambiando questa
                  linea.  Leggi la
                  <link linkend="network-netgroups">sezione
                    sui netgroups</link> di seguito per maggiori
                  informazioni.  Per letture più dettagliate vedere
                  il libro della O'Reilly
                  <literal>Managing NFS and NIS</literal>.</para>
              </note>

              <note>
                <para>Dovresti tenere almeno un account locale (non
                  importato via NIS) nel tuo file
                  <filename>/etc/master.passwd</filename> e questo
                  account dovrebbe essere anche un membro del gruppo
                  <groupname>wheel</groupname>.  Se c'è qualche
                  problema con NIS, questo account può essere usato
                  per loggarsi da remoto, diventare
                  <username>root</username> e riparare le cose.</para>
              </note>
            </step>

            <step>
              <para>Per impostare tutte le possibili linee dei gruppi
                dal server NIS, aggiungi questa linea al tuo file
                <filename>/etc/group</filename>:</para>

              <programlisting>+:*::</programlisting>
            </step>
          </procedure>

          <para>Dopo aver completato questi passi, dovresti
            essere in grado di eseguire <command>ypcat passwd</command>
            e vedere la mappa delle password del NIS server.</para>
        </sect4>
      </sect3>
    </sect2>

    <sect2>
      <title>Sicurezza di NIS</title>

      <para>In generale, ogni utente remoto può eseguire una RPC
        a &man.ypserv.8; ed ottenere i contenuti delle tue mappe NIS,
        ammesso che l'utente remoto conosca il tuo nome dominio.
        Per prevenire tali transazioni non autorizzate,
        &man.ypserv.8; supporta una caratteristica chiamata
        <quote>securenets</quote> che può essere usata per
        restringere l'accesso ad un dato insieme di host.  All'avvio
        &man.ypserv.8; cercherà  di caricare le informazioni
        delle securenets da un file chiamato
        <filename>/var/yp/securenets</filename>.</para>

      <note>
        <para>Questo percorso varia a secondo del percorso
          specificato con l'opzione <option>-p</option>.  Questo
          file contiene linee che consistono di una
          specificazione della rete e di una maschera di
          rete separate da spazi vuoti.  Le linee che
          cominciano con <quote>#</quote> sono
          considerati commenti.  Un esempio di file securenets può
          assomigliare al seguente:</para>
      </note>

      <programlisting># allow connections from local host -- mandatory
127.0.0.1     255.255.255.255
# allow connections from any host
# on the 192.168.128.0 network
192.168.128.0 255.255.255.0
# allow connections from any host
# between 10.0.0.0 to 10.0.15.255
# this includes the machines in the testlab
10.0.0.0      255.255.240.0</programlisting>

      <para>Se &man.ypserv.8; riceve una richiesta da un indirizzo
        che coincide con una di queste regole, processerà 
        la richiesta normalmente.  Se l'indirizzo non coincide
        la richiesta sarà  ignorata ed un messaggio di warning
        sarà  loggato.  Se il file
        <filename>/var/yp/securenets</filename> non esiste,
        <command>ypserv</command> permetterà  connessioni
        da ogni host.</para>

      <para>Il programma <command>ypserv</command> ha
        anche supporto per il pacchetto di Wietse Venema
        <application>TCP Wrapper</application>.  Questo
        permette all'amministratore di usare i file
        di configurazione di <application>TCP Wrapper</application>
        per controlli sull'accesso al posto di
        <filename>/var/yp/securenets</filename>.</para>

      <note>
        <para>Pur essendo entrambi questi meccanismi di accesso
          di controllo abbastanza sicuri,
          questi, come il test di porta privilegiata,
          sono vulnerabili agli attacchi
          <quote>IP spoofing</quote>.  Tutto il traffico
          relativo a NIS dovrebbe essere bloccato al firewall.</para>

        <para>I server che usano
          <filename>/var/yp/securenets</filename>
          possono non riuscire a servire client NIS legittimi che
          abbiano implementazioni TCP/IP obsolete.  Alcune
          di queste implementazioni impostano a zero tutti i
          bit degli host quando fanno broadcast e/o non
          riescono a osservare la maschera di sotto-rete
          quando calcolano l'indirizzo
          broadcast.  Mentre alcuni di questi problemi possono
          essere corretti cambiando la configurazione del client,
          altri problemi possono causare il ritiro dei client
          in questione o l'abbandono di
          <filename>/var/yp/securenets</filename>.</para>

        <para>Usando <filename>/var/yp/securenets</filename> su un
          server con una tale obsoleta implementazione del TCP/IP
          è sicuramente una cattiva idea e causerà  alla
          perdita della funzionalità  NIS per gran parte della tua
          rete.</para>

        <indexterm><primary>TCP Wrappers</primary></indexterm>

        <para>L'uso del pacchetto
          <application>TCP Wrapper</application>
          aumenta la latenza del tuo server NIS.  Il ritardo
          addizionale può essere lungo a sufficienza tanto
          da causare dei timeout in programmi client, specialmente
          su reti trafficate o con server NIS lenti.  Se uno o
          più client soffre di questi sintomi, dovresti convertire
          il sistema dei client in questione a server NIS slave
          e forzarli a non fare il binding a loro stessi.</para>
      </note>
    </sect2>

    <sect2>
      <title>Impedire ad Alcuni Utenti di Loggarsi</title>

      <para>Nel nostro laboratorio c'è una macchina
        <hostid>basie</hostid> che si suppone sia una workstation
        solo della facoltà .  Non vogliamo togliere questa
        macchina dal dominio NIS, tuttavia il file
        <filename>passwd</filename> sul server NIS master
        contiene account che sono sia della
        facoltà  sia degli studenti.  Cosa possiamo fare?</para>

      <para>C'è un modo di impedire a specifici utenti di loggarsi
        ad una macchina, anche se sono presenti nel database NIS.
        Per farlo, tutto quello che devi fare è
        aggiungere
        <literal>-<replaceable>username</replaceable></literal>
        alla fine del file <filename>/etc/master.passwd</filename>
        sulla macchina client, dove
        <replaceable>username</replaceable> è lo username
        dell'utente di cui vuoi impedire l'accesso.
        E' meglio fare questo con
        <command>vipw</command> dato che <command>vipw</command>
        farà  un controllo di correttezza dei tuoi cambiamenti a
        <filename>/etc/master.passwd</filename>, e ricostruirà 
        automaticamente il database delle password quando hai finito
        di editarlo.  Ad esempio, se vogliamo impedire l'accesso
        all'utente <username>bill</username> verso l'host
        <hostid>basie</hostid> faremmo:</para>

      <screen>basie&prompt.root; <userinput>vipw</userinput>
<userinput>[aggiungi -bill alla fine del file, poi esci]</userinput>
vipw: rebuilding the database...
vipw: done

basie&prompt.root; <userinput>cat /etc/master.passwd</userinput>

root:[password]:0:0::0:0:The super-user:/root:/bin/csh
toor:[password]:0:0::0:0:The other super-user:/root:/bin/sh
daemon:*:1:1::0:0:Owner of many system processes:/root:/sbin/nologin
operator:*:2:5::0:0:System &amp;:/:/sbin/nologin
bin:*:3:7::0:0:Binaries Commands and Source,,,:/:/sbin/nologin
tty:*:4:65533::0:0:Tty Sandbox:/:/sbin/nologin
kmem:*:5:65533::0:0:KMem Sandbox:/:/sbin/nologin
games:*:7:13::0:0:Games pseudo-user:/usr/games:/sbin/nologin
news:*:8:8::0:0:News Subsystem:/:/sbin/nologin
man:*:9:9::0:0:Mister Man Pages:/usr/share/man:/sbin/nologin
bind:*:53:53::0:0:Bind Sandbox:/:/sbin/nologin
uucp:*:66:66::0:0:UUCP
pseudo-user:/var/spool/uucppublic:/usr/libexec/uucp/uucico
xten:*:67:67::0:0:X-10 daemon:/usr/local/xten:/sbin/nologin
pop:*:68:6::0:0:Post Office Owner:/nonexistent:/sbin/nologin
nobody:*:65534:65534::0:0:Unprivileged user:/nonexistent:/sbin/nologin
+:::::::::
-bill

basie&prompt.root;</screen>
    </sect2>

    <sect2 id="network-netgroups">
      <sect2info>
        <authorgroup>
          <author>
            <firstname>Udo</firstname>

            <surname>Erdelhoff</surname>

            <contrib>Grazie al contributo di </contrib>
          </author>
        </authorgroup>
      </sect2info>

      <title>Usare i Netgroups</title>

      <indexterm><primary>netgroups</primary></indexterm>

      <para>Il metodo mostrato nella sezione precedente funziona
        ragionevolmente bene se hai bisogno di regole speciali
        per un numero molto piccolo di utenti e/o macchine.  Su
        reti più grandi, <emphasis>certamente</emphasis> ti
        dimenticherai di impedire l'accesso di certi utenti
        a macchine dal ruolo critico, oppure potresti perfino
        finire a modificare ogni macchina separatamente, in questo
        modo perdendo il beneficio centrale di NIS:
        l'amministrazione <emphasis>centralizzata</emphasis>.</para>

      <para>La soluzione degli sviluppatori NIS a questo problema
        è chiamata <emphasis>netgroups</emphasis>.  Il
        loro scopo e la loro semantica possono essere
        paragonate ai normali gruppi utenti usati dal
        file system &unix;.  L'unica differenza
        è la mancanza di un ID numerico e l'abilità  di
        definire un netgroup che includa sia gruppi utenti che altri
        netgroup.</para>

      <para>I netgroup furono sviluppati per gestire grandi reti
        complesse con centinaia di utenti e macchine.  Da un lato
        questa è una Buona Cosa se sei obbligato a gestire una
        simile situazione.  Dall'altro, questa complessità  rende
        praticamente impossibile spiegare i netgroup con esempi
        relativamente semplici.  L'esempio usato nel resto di questa
        sezione dimostra questo problema.</para>

      <para>Assumiamo che la favorevole introduzione di NIS nei tuoi
        laboratori catturi l'interesse dei tuoi superiori.  Il tuo
        prossimo compito è di estendere il tuo dominio NIS per
        coprire alcune altre macchine del campo.  Le due tabelle contengono
        i nomi dei nuovi utenti e delle nuove macchine, con una breve
        descrizione.</para>

      <informaltable frame="none" pgwide="1">
        <tgroup cols="2">
          <thead>
            <row>
              <entry>User Name(s)</entry>

              <entry>Description</entry>
            </row>
          </thead>

          <tbody>
            <row>
              <entry><username>alpha</username>,
                <username>beta</username></entry>

              <entry>Impiegato normale del dipartimento IT</entry>
            </row>

            <row>
              <entry><username>charlie</username>,
                <username>delta</username></entry>

              <entry>Il nuovo apprendista del dipartimento IT</entry>
            </row>

            <row>
              <entry><username>echo</username>,
                <username>foxtrott</username>,
                <username>golf</username>, ...</entry>

              <entry>Impiegato ordinario</entry>
            </row>

            <row>
              <entry><username>able</username>, <username>baker</username>,
                ...</entry>

              <entry>Gli interni correnti</entry>
            </row>
          </tbody>
        </tgroup>
      </informaltable>

      <informaltable frame="none" pgwide="1">
        <tgroup cols="2">
          <thead>
            <row>
              <entry>Machine Name(s)</entry>

              <entry>Description</entry>
            </row>
          </thead>

          <tbody>
            <row>
              <!--  Names taken from "Good Omens" by Neil Gaiman and Terry
                    Pratchett.  Many thanks for a brilliant book.  -->

              <entry><hostid>war</hostid>, <hostid>death</hostid>,
                <hostid>famine</hostid>,
                <hostid>pollution</hostid></entry>

              <entry>Il tuoi server più importanti.  Solo
                gli impiegati IT hanno il permesso di loggarsi
                in queste macchine.</entry>
            </row>

            <row>
              <!-- gluttony was omitted because it was too fat -->

              <entry><hostid>pride</hostid>, <hostid>greed</hostid>,
                <hostid>envy</hostid>, <hostid>wrath</hostid>,
                <hostid>lust</hostid>, <hostid>sloth</hostid></entry>

              <entry>Server meno importanti.  Tutti i membri
                del dipartimento IT hanno il permesso di loggarsi
                a queste macchine.</entry>
            </row>

            <row>
              <entry><hostid>one</hostid>, <hostid>two</hostid>,
                <hostid>three</hostid>, <hostid>four</hostid>,
                ...</entry>

              <entry>Workstation normali.  Solo
                <emphasis>veri</emphasis> impiegati hanno permesso
                di accedere a queste macchine.</entry>
            </row>

            <row>
              <entry><hostid>trashcan</hostid></entry>

              <entry>Una macchina molto vecchia senza alcun dato
                critico.  Anche gli interni hanno permesso di usare
                questa macchina.</entry>
            </row>
          </tbody>
        </tgroup>
      </informaltable>

      <para>Se provi ad implementare queste restrizioni bloccando
        separatamente ogni utente, dovresti aggiungere una linea
        <literal>-<replaceable>user</replaceable></literal>
        ad ogni <filename>passwd</filename> per ogni utente che
        non ha il permesso di loggarsi in quel sistema.  Se ti
        dimentichi anche solo di una linea, potresti essere nei
        pasticci.  Può essere ragionevole fare ciò
        correttamente durante l'installazione iniziale, comunque
        <emphasis>certamente</emphasis> ti dimenticherai alla fine
        di aggiungere le linee per i nuovi utenti durante le
        operazioni giornaliere.  Dopo tutto, Murphy era un
        ottimista.</para>

      <para>Gestire questa situazione con i netgroup offre
        molti vantaggi.  Non c'è bisogno di gestire
        separatamente ogni utente; basta assegnare un utente ad
        uno o più netgroup e permettere o impedire il login
        a tutti i membri del netgroup.  Se aggiungi una
        nuova macchina, dovrai solo definire restrizioni di
        login per i netgroup.  Se un nuovo utente viene
        aggiunto, dovrai solo aggiungere l'utente
        ad uno o più netgroup.  Questi cambiamenti sono indipendenti
        l'uno dall'altro: non più <quote>per ogni combinazione di
        utenti e macchine fai ...</quote>Se la tua installazione
        NIS è pianificata con attenzione, dovrai solo modificare
        esattamente un file centrale di configurazione per garantire
        o negare l'accesso alle macchine.</para>

      <para>Il primo passo è l'inizializzazione della mappa NIS
        netgroup.  &man.ypinit.8; di FreeBSD non crea questa mappa
        di default, ma la sua implementazione NIS la supporterà 
        una volta che è stata creata.  Per aggiungere una linea alla
        mappa, semplicemente usa il comando</para>

      <screen>ellington&prompt.root; <userinput>vi /var/yp/netgroup</userinput></screen>

      <para>e poi inizia ad aggiungere contenuti.  Per i nostri esempi
        abbiamo bisogno di almeno quattro netgroup: impiegati IT,
        apprendisti IT, impiegati normali ed interni.</para>

      <programlisting>IT_EMP  (,alpha,test-domain)    (,beta,test-domain)
IT_APP  (,charlie,test-domain)  (,delta,test-domain)
USERS   (,echo,test-domain)     (,foxtrott,test-domain) \
        (,golf,test-domain)
INTERNS (,able,test-domain)     (,baker,test-domain)</programlisting>

      <para><literal>IT_EMP</literal>, <literal>IT_APP</literal> etc.
        sono i nomi dei netgroup.  Ogni gruppo fra parentesi tonde
        aggiunge uno o più account utente.  I tre campi dentro il
        gruppo sono:</para>

      <orderedlist>
        <listitem>
          <para>Il nome degli host dove le seguenti caratteristiche
            sono valide.  Se non specifichi un nome host, la linea
            è valida per tutti gli host.  Se specifichi un nome host,
            entrerai nel regno dell'oscurità , dell'orrore
            e della confusione assoluta.</para>
        </listitem>

        <listitem>
          <para>Il nome dell'account che appartiene a questo
            netgroup.</para>
        </listitem>

        <listitem>
          <para>Il dominio NIS per l'account.  Puoi
            importare account da altri domini NIS nel tuo netgroup
            se sei uno di quei ragazzi sfortunati con più di
            un dominio NIS.</para>
        </listitem>
      </orderedlist>

      <para>Ognuno di questi campi può contenere
        wildcards.  Leggi &man.netgroup.5; per dettagli.</para>

      <note>
        <indexterm><primary>netgroups</primary></indexterm>

        <para>Nomi netgroup più lunghi di 8 caratteri
          non dovrebbero essere usati, specialmente se hai macchine
          che eseguono altri sistemi operativi all'interno del
          tuo dominio NIS.  I nomi sono case sensitive; usare
          le lettere maiuscole per il tuo netgroup è
          un modo semplice per distinguere fra utenti,
          macchine e nomi di netgroup.</para>

        <para>Alcuni client NIS (non FreeBSD) non possono
          gestire netgroup con un numero troppo grande di linee.
          Ad esempio, alcune vecchie versioni di &sunos; iniziano
          ad avere problemi se un netgroup contiene più di 15
          <emphasis>linee</emphasis>.  Puoi superare questo
          limite creando molti sotto-netgroup con 15 o meno utenti
          ed un vero netgroup che consiste dei sotto-netgroup:</para>

        <programlisting>BIGGRP1  (,joe1,domain)  (,joe2,domain)
(,joe3,domain) [...]
BIGGRP2  (,joe16,domain)  (,joe17,domain) [...]
BIGGRP3  (,joe31,domain)  (,joe32,domain)
BIGGROUP  BIGGRP1 BIGGRP2 BIGGRP3</programlisting>

        <para>Puoi ripetere questo processo se hai bisogno di più
          di 225 utenti all'interno di un singolo netgroup.</para>
      </note>

      <para>Attivare e distribuire la tua nuova mappa NIS
        è facile:</para>

      <screen>ellington&prompt.root; <userinput>cd /var/yp</userinput>
ellington&prompt.root; <userinput>make</userinput></screen>

      <para>Questo genererà  le tre mappe NIS
        <filename>netgroup</filename>,
        <filename>netgroup.byhost</filename> e
        <filename>netgroup.byuser</filename>.  Usa
        &man.ypcat.1; per controllare che le tue
        nuove mappe NIS siano disponibili:</para>

      <screen>ellington&prompt.user; <userinput>ypcat -k
netgroup</userinput>
ellington&prompt.user; <userinput>ypcat -k netgroup.byhost</userinput>
ellington&prompt.user; <userinput>ypcat -k
netgroup.byuser</userinput></screen>

      <para>L'output del tuo primo comando dovrebbe assomigliare
        a <filename>/var/yp/netgroup</filename>.  Il secondo
        comando non produrrà  output se non hai specificato
        netgroup specifici agli host.  Il terzo comando può
        essere usato per ottenere una lista dei netgroup di un
        utente.</para>

      <para>L'installazione del client è abbastanza semplice.
        Per configurare il server <hostid>war</hostid>, devi solo
        eseguire &man.vipw.8; e sostituire la linea</para>

      <programlisting>+:::::::::</programlisting>

      <para>con</para>

      <programlisting>+@IT_EMP:::::::::</programlisting>

      <para>Ora, solo i dati per l'utente definito nel netgroup
         <literal>IT_EMP</literal> sono importati nel
         database delle password di <hostid>war</hostid> e solo
         questi utenti hanno permesso di accesso.</para>

      <para>Sfortunatamente, questa limitazione si applica anche
        alla funzione della shell <literal>~</literal> ed a
        tutte le routine che convertono fra nomi utenti e user ID
        numerici.  In altre parole,<command>cd ~<replaceable>user
        </replaceable></command> non funzionerà ,
        <command>ls -l</command> mostrerà  gli ID numerici
        invece dello username e
        <command>find . -user joe -print</command>
        darà  l'errore <errorname>No such user</errorname>.  Per
        riparare questo, dovrai importare tutte le linee dell'utente
        <emphasis>senza permettere a loro di loggarsi sui tuoi
        server</emphasis>.</para>

      <para>Questo può essere ottenuto aggiungendo un'altra
        linea a <filename>/etc/master.passwd</filename>.  Questo
        dovrebbe contenere:</para>

      <para><literal>+:::::::::/sbin/nologin</literal>, dal significato
        <quote>Importa tutte le entry ma imposta la shell di
        login a <filename>/sbin/nologin</filename> nelle linee
        importate</quote>.  Puoi sostituire ogni campo nella linea
        <literal>passwd</literal> piazzando un valore di default
        nel tuo <filename>/etc/master.passwd</filename>.</para>

      <!-- Been there, done that, got the scars to prove it - ue -->
      <warning>
        <para>Accertati che la linea
          <literal>+:::::::::/sbin/nologin</literal> sia piazzata
          dopo <literal>+@IT_EMP:::::::::</literal>.  Altrimenti
          tutti gli account utente importati da NIS avranno
          <filename>/sbin/nologin</filename> come loro shell
          di login.</para>
      </warning>

      <para>Dopo questo cambiamento, dovrai solo cambiare
        una mappa NIS se un nuovo impiegato si unisce
        al dipartimento IT.  Puoi usare un simile
        approccio per i server meno importanti
        sostituendo <literal>+:::::::::</literal> nella tua versione
        locale di <filename>/etc/master.passwd</filename>
        con qualcosa del tipo:</para>

      <programlisting>+@IT_EMP:::::::::
+@IT_APP:::::::::
+:::::::::/sbin/nologin</programlisting>

      <para>Le linee corrispondenti per le workstation normali
        potrebbero essere:</para>

      <programlisting>+@IT_EMP:::::::::
+@USERS:::::::::
+:::::::::/sbin/nologin</programlisting>

      <para>E tutto sarebbe a posto fino a che non c'è un
        cambiamento di policy dopo poche settimane:
        il dipartimento IT inizia ad assumere interni.
        Gli interni IT hanno permesso di usare le normali
        workstation ed i server meno importanti; e gli
        apprendisti IT hanno permesso di loggarsi ai
        server principali.  Aggiungi un nuovo netgroup
        <literal>IT_INTERN</literal>, aggiungi i nuovi interni IT
        a questo nuovo netgroup <literal>IT_INTERN</literal>,
        e inizia a cambiare la configurazione su ogni nuova macchina...
        Come il vecchio adagio dice:<quote>Errori nella pianificazione
        centralizzata porta a caos globale</quote>.</para>

      <para>L'abilità  NIS di creare netgroup da altri netgroup
        può essere usata per prevenire situazioni come queste.  Una
        possibilità  è la creazione di netgroup basati sul
        ruolo.  Per esempio, potresti creare un netgroup chiamato
        <literal>BIGSRV</literal> per definire le restrizioni di login
        per i server importanti, un altro netgroup chiamato
        <literal>SMALLSRV</literal> per i server meno importanti
        ed un terzo netgroup chiamato <literal>USERBOX</literal>
        per le workstation normali.  Ognuna di questi netgroup
        contiene i netgroup che hanno permesso di accesso a
        queste macchine.  Le nuove linee della tua mappa NIS
        dovrebbero assomigliare a questa:</para>

      <programlisting>BIGSRV    IT_EMP  IT_APP
SMALLSRV  IT_EMP  IT_APP  ITINTERN
USERBOX   IT_EMP  ITINTERN USERS</programlisting>

      <para>Questo metodo di definire restrizioni di login
        funziona ragionevolmente bene se puoi definire gruppi
        di macchine con restrizioni identiche.  Sfortunatamente
        questa è l'eccezione, non la regola.  La maggior parte del
        tempo, avrai necessità  di definire restrizioni di login
        macchina per macchina.</para>

      <para>Definizioni di netgroup specifiche per ogni
        macchina sono l'altra possibilità  per gestire
        il cambiamento di policy delineato sopra.
        In questo scenario il
        <filename>/etc/master.passwd</filename> di ogni macchina
        deve contenere due linee che iniziano con
        <quote>+</quote>.  La prima di queste aggiunge un netgroup
        con l'account che ha il permesso di loggarsi alla macchina,
        il secondo aggiunge tutti gli altri account con
        <filename>/sbin/nologin</filename> come shell.  E' buona
        norma usare la versione <quote>MAIUSCOLA</quote> del nome
        macchina come nome del netgroup.  In altre parole, le linee
        dovrebbero assomigliare a questa:</para>

      <programlisting>+@<replaceable>BOXNAME</replaceable>:::::::::
+:::::::::/sbin/nologin</programlisting>

      <para>Una volta che hai completato questo task per tutte
        le macchine, non dovrai mai più modificare la versione locale
        di <filename>/etc/master.passwd</filename>.  Tutti
        gli ulteriori cambiamenti possono essere
        gestiti modificando la mappa NIS.  Di
        seguito un esempio di una possibile
        mappa netgroup per questo scenario con altri vantaggi
        addizionali:</para>

      <programlisting># Define groups of users first
IT_EMP    (,alpha,test-domain)    (,beta,test-domain)
IT_APP    (,charlie,test-domain)  (,delta,test-domain)
DEPT1     (,echo,test-domain)     (,foxtrott,test-domain)
DEPT2     (,golf,test-domain)     (,hotel,test-domain)
DEPT3     (,india,test-domain)    (,juliet,test-domain)
ITINTERN  (,kilo,test-domain)     (,lima,test-domain)
D_INTERNS (,able,test-domain)     (,baker,test-domain)
#
# Now, define some groups based on roles
USERS     DEPT1   DEPT2     DEPT3
BIGSRV    IT_EMP  IT_APP
SMALLSRV  IT_EMP  IT_APP    ITINTERN
USERBOX   IT_EMP  ITINTERN  USERS
#
# And a groups for a special tasks
# Allow echo and golf to access our anti-virus-machine
SECURITY  IT_EMP  (,echo,test-domain)  (,golf,test-domain)
#
# machine-based netgroups
# Our main servers
WAR       BIGSRV
FAMINE    BIGSRV
# User india needs access to this server
POLLUTION  BIGSRV  (,india,test-domain)
#
# This one is really important and needs more access restrictions
DEATH     IT_EMP
#
# The anti-virus-machine mentioned above
ONE       SECURITY
#
# Restrict a machine to a single user
TWO       (,hotel,test-domain)
# [...more groups to follow]</programlisting>

      <para>Se stai usando qualche tipo di database per
        gestire i tuoi account utente, dovresti essere in
        grado di creare la prima parte della mappa con i
        tuoi tool di report del database.  In
        questo modo, i nuovi utenti avranno accesso automaticamente
        alle macchine.</para>

      <para>Un ultima nota di avvertimento: può non essere sempre
        consigliabile usare netgroup basati sulle macchine.  Se
        stai per mettere in produzione qualche dozzina o perfino qualche
        centinaia di macchine identiche per laboratori studente,
        dovresti usare netgroup basati sul ruolo invece che netgroup
        basati sulla macchina, per tenere la dimensione della mappa
        NIS al di sotto di un limite ragionevole.</para>
    </sect2>

    <sect2>
      <title>Cose Importanti da Ricordare</title>

      <para>Ci sono ancora un paio di cose che dovrai cambiare
        ora che operi in ambiente NIS.</para>

      <itemizedlist>
        <listitem>
          <para>Ogni volta che devi aggiungere un utente al
            laboratorio devi aggiungerlo
            <emphasis>solo</emphasis> al server
            master NIS e <emphasis>devi ricordarti di ricostruire
            le mappe NIS</emphasis>.  Se ti dimentichi di farlo
            il nuovo utente non sarà  in grado di loggarsi in alcuna
            macchina eccetto che sul server NIS master.  Per esempio,
            se abbiamo bisogno di aggiungere un nuovo utente
            <username>jsmith</username> al laboratorio,
            faremmo:</para>

          <screen>&prompt.root; <userinput>pw useradd jsmith</userinput>
&prompt.root; <userinput>cd /var/yp</userinput>
&prompt.root; <userinput>make test-domain</userinput></screen>

          <para>Puoi anche eseguire <command>adduser jsmith</command>
            invece di <command>pw useradd jsmith</command>.</para>
        </listitem>

        <listitem>
          <para><emphasis>Tieni gli account amministrativi fuori
            dalle mappe NIS</emphasis>.  Normalmente non vuoi che
            gli account amministrativ e le password si propaghino
            a macchine che avranno utenti che non dovrebbero avere
            accesso a quegli account.</para>
        </listitem>

        <listitem>
          <para><emphasis>Tieni al sicuro il NIS master e slave,
            e minimizza il tempo in cui sono giù</emphasis>.  Se
            qualcuno hackera o semplicemente spegne queste macchine
            riesce a privare molte persone della possibilità  di
            loggarsi al laboratorio.</para>

          <para>Questa è la principale debolezza di ogni
            sistema centralizzato di amministrazione.  Se non proteggi
            il tuo server NIS, avrai un mucchio di utenti
            arrabbiati!</para>
        </listitem>
      </itemizedlist>
    </sect2>

    <sect2>
      <title>Compatibilità con NIS v1</title>

      <para><application>ypserv</application> di FreeBSD supporta
        fino ad un certo punto client NIS v1.  L'implementazione
        di NIS di FreeBSD usa solo il protocollo NIS v2, comunque
        altre implementazioni includono supporto per il protocollo
        v1 per compatibilità  all'indietro coi vecchi sistemi.  Il
        demone <application>ypbind</application> fornito con questi
        sistemi proverà  a stabilire un binding con un server
        NIS v1 anche se potrebbero non averne mai bisogno
        (e possono continuare a fare broadcast in ricerca di
        uno anche dopo che hanno ricevuto risposta da un
        server v2).  Nota che mentre il supporto per i
        client normali viene garantito, questa versione
        di <application>ypserv</application> non
        gestisce richieste di trasferimento di mappe v1; di
        conseguenza, non può essere usato come master o slave in
        congiunzione con server NIS più vecchi che
        supportano solo il protocollo v1.  Fortunatamente,
        probabilmente non ci sono
        server del genere in uso oggi.</para>
    </sect2>

    <sect2 id="network-nis-server-is-client">
      <title>Server NIS che Sono Anche Client</title>

      <para> Bisogna prestare molta attenzione quando
        si esegue <application>ypserv</application> in
        un dominio multi-server dove le macchine server
        sono anche client NIS.
        E' generalmente una buona idea forzare i server
        ad effettuare il binding a sè stessi piuttosto
        che permettere loro di effettuare il broadcast
        delle richieste binding e
        potenzialmente possono fare il bind una all'altra.
        Possono risultare strani errori quando un
        server va giù e gli altri sono dipendenti da
        lui.  Alla fine, tutti i client andranno in timeout
        e cercheranno di effettuare il bind ad altri server,
        ma il ritardo di questa operazione può essere
        considerevole e l'uscita
        di errore è ancora presente dato che i server possono
        fare il binding fra di loro di nuovo.</para>

      <para>Puoi forzare un host a fare il binding ad un server
        in particolare usando <command>ypbind</command> con
        l'opzione <option>-S</option>.  Se non vuoi fare
        questa azione a mano ogni volta che fai il reboot
        del tuo server NIS, puoi aggiungere queste linee al tuo
        <filename>/etc/rc.conf</filename>:</para>

      <programlisting>nis_client_enable="YES"  # run client stuff as well
nis_client_flags="-S <replaceable>NIS
domain</replaceable>,<replaceable>server</replaceable>"</programlisting>

      <para>Consulta &man.ypbind.8; per ulteriori informazioni.</para>
    </sect2>

    <sect2>
      <title>Formato delle Password</title>

      <indexterm>
        <primary>NIS</primary>
        <secondary>formato delle password</secondary>
      </indexterm>

      <para>Uno dei problemi più comuni in cui la gente incappa
        quando tenta di implementare NIS è la compatibilità
        del formato delle password.  Se il tuo server NIS usa password
        criptate con DES, supporterà solo client che usano anche loro
        DES.  Ad esempio, se hai client NIS &solaris; nella rete,
        dovrai quasi certamente usare password criptate
        con DES.</para>

      <para>Per controllare quale formato il tuo server
        e client usano, dai un'occhiata a
        <filename>/etc/login.conf</filename>.  Se l'host
        è configurato per usare password criptate
        DES, la classe <literal>default</literal> conterrà 
        una linea simile a questa:</para>

      <programlisting>default:\
:passwd_format=des:\
:copyright=/etc/COPYRIGHT:\
[Further entries elided]</programlisting>

      <para>Altri valori possibili per l'opzione
        <literal>passwd_format</literal> includono
        <literal>blf</literal> e <literal>md5</literal>
        (per password criptate con Blowfish e con MD5,
        rispettivamente).</para>

      <para>Se hai fatto modifiche a
        <filename>/etc/login.conf</filename>,
        dovrai anche ricostruire il database
        delle possibilità  di login, il che si
        ottiene eseguendo il seguente comando
        come <username>root</username>:</para>

      <screen>&prompt.root; <userinput>cap_mkdb /etc/login.conf</userinput></screen>

      <note>
        <para>Il formato delle password che sono
          già  in <filename>/etc/master.passwd</filename> non
          sarà  aggiornato finchè un utente cambia la
          sua password per la prima volta
          <emphasis>dopo</emphasis> che il
          database delle possibilità  di login
          è ricostruito.</para>
       </note>

      <para>Dopodichè per assicurarti che le password siano
        criptate con il formato che hai scelto, dovresti
        anche controllare che <literal>crypt_default</literal>
        in <filename>/etc/auth.conf</filename> dia precedenza
        al formato delle password scelto.  Per farlo,
        inserisci il formato che hai scelto per primo
        nella lista.  Ad esempio, quando usi password
        criptate DES, la linea dovrebbe essere:</para>

      <programlisting>crypt_default  =  des blf md5</programlisting>

      <para>Seguendo i passi sopra citati su ognuno dei &os;
        basati su NIS server e client, puoi star sicuro che tutti
        siano d'accordo su quale formato delle password sia usato
        all'interno della rete.  Se hai problemi nell'identificazione
        su un client NIS, questo è un buon punto di partenza per
        cercare possibili problemi.  Ricordati: se vuoi mettere
        in produzione un server NIS per una rete eterogenea,
        dovrai probabilmente usare DES su tutti i sistemi
        poichè questo è il minimo standard comune.</para>
    </sect2>
  </sect1>

  <sect1 id="network-dhcp">
    <sect1info>
      <authorgroup>
        <author>
          <firstname>Greg</firstname>

          <surname>Sutter</surname>

          <contrib>Scritto da </contrib>
        </author>
      </authorgroup>
    </sect1info>

    <title>Configurazione Automatica della Rete (DHCP)</title>

    <sect2>
      <title>Cos'è il DHCP?</title>

      <indexterm>
        <primary>Dynamic Host Configuration Protocol</primary>
        <see>DHCP</see>
      </indexterm>
      <indexterm>
        <primary>Internet Software Consortium (ISC)</primary>
      </indexterm>

      <para>DHCP, il Protocollo di Configurazione Host Dinamico,
        descrive i passi attraverso i quali un sistema
        si può connettere ad una rete ed ottenere
        l'informazione necessaria per comunicare attraverso
        quella rete.  Le versioni di FreeBSD prima della 6.0
        usano l'implementazione DHCP client (&man.dhclient.8;)
        dell'ISC (Internet Software Consortium).  Le ultime versioni
        usano il <command>dhclient</command> di OpenBSD preso
        da OpenBSD&nbsp;3.7.
        Tutte le informazioni specifiche all'implementazione
        di <command>dhclient</command> in questa sede
        sono riferite all'uso dei client DHCP sia di ISC che di OpenBSD.
        Il server DHCP è quello incluso nella
        distribuzione ISC.</para>
    </sect2>

    <sect2>
      <title>Cosa Copre Questa Sezione</title>

      <para>Questa sezione descrive sia il lato client
        del sistema DHCP di ISC e di OpenBSD che il lato server del
        sistema DHCP ISC.  Il
        programma client, <command>dhclient</command>,
        è già
        integrato con FreeBSD, e la parte server è
        disponibile nel port <filename
        role="package">net/isc-dhcp3-server</filename>.  Le
        pagine di manuale &man.dhclient.8;, &man.dhcp-options.5;, e
        &man.dhclient.conf.5, oltre ai riferimenti
        elencati oltre, sono risorse utili.</para>
    </sect2>

    <sect2>
      <title>Come Funziona</title>

      <indexterm><primary>UDP</primary></indexterm>

      <para>Quando <command>dhclient</command>, il client
        DHCP, viene eseguito sulla macchina client, inizia
        a fare broadcasting di richieste per informazioni
        di configurazione.  Di default
        queste richieste sono sulla porta UDP 68.  Il server
        risponde sulla porta UDP 67, dando al client un
        indirizzo IP ed altre informazioni rilevanti di rete
        come la netmask, il router ed il DNS server.  Tutte
        queste informazioni
        arrivano sotto forma di un <quote>rilascio</quote> DHCP
        e sono valide sono per un certo periodo di tempo
        (configurato dall'amministratore del server DHCP).
        In questo modo, gli indirizzi IP bloccati da client
        che non sono più connessi alla rete possono
        essere riutilizzati automaticamente.</para>

      <para>I client DHCP possono ottenere molti tipi
        di informazione dal server.  Una lista esauriente
        può essere trovata in
        &man.dhcp-options.5;.</para>
    </sect2>

    <sect2>
      <title>L'Integrazione con FreeBSD</title>

      <para>&os; integra completamente il client
        DHCP ISC o OpenBSD, <command>dhclient</command>
        (a seconda della versione di &os; utilizzata).  Viene fornito
        supporto al client DHCP sia con l'installazione
        sia con il sistema base, rendendo inutile il bisogno
        di una conoscenza dettagliata della configurazione
        di rete su ogni rete che abbia un server DHCP.
        <command>dhclient</command> è stato incluso
        in tutte le distribuzioni FreeBSD a partire
        dalla 3.2.</para>

      <indexterm>
        <primary><application>sysinstall</application></primary>
      </indexterm>

      <para>DHCP è supportato da
        <application>sysinstall</application>.  Quando
        configuri una interfaccia di rete con
        <application>sysinstall</application>, la seconda
        domanda che ti pone è:
        <quote> Vuoi provare a configurare
        l'interfaccia via DHCP?</quote>.  Una risposta
        affermativa eseguirà <command>dhclient</command>,
        e, se ha successo, riempirà le informazioni
        di configurazione della rete in automatico.</para>

      <para>Ci sono due cose che devi fare per far sì
        che il tuo sistema usi il DHCP all'avvio:</para>

      <indexterm>
        <primary>DHCP</primary>
        <secondary>prerequisiti</secondary>
      </indexterm>

      <itemizedlist>
        <listitem>
          <para>Accertati che il device
            <devicename>bpf</devicename>
            sia compilato nel tuo kernel.  Per fare
            ciò, aggiungi <literal>device bpf</literal>
            al tuo file di
            configurazione del kernel, e ricompilalo.
            Per maggiori informazioni su come ricompilare
            i kernel, vedi <xref
            linkend="kernelconfig"/>.</para> <para>Il device
            <devicename>bpf</devicename> è già
            parte del kernel <filename>GENERIC</filename>
            che è fornito con FreeBSD, così
            se non hai un kernel custom, non dovresti
            aver bisogno di crearne uno al fine di far funzionare
            il DHCP.</para>

          <note>
            <para>Quelli di voi che sono particolarmente
              attenti alla sicurezza, dovrebbero sapere che il
              device <devicename>bpf</devicename> è
              anche il device che permette agli sniffer di
              pacchetti di
              funzionare correttamente (anche se devono sempre
              essere eseguiti come <username>root</username>).
              <devicename>bpf</devicename>
              <emphasis>è</emphasis>
              richiesto per l'uso del DHCP, ma se siete molto
              attenti alla sicurezza, non dovreste probabilmente
              aggiungere <devicename>bpf</devicename> al
              vostro kernel in previsione di un uso
              futuro del DHCP.</para>
          </note>
        </listitem>

        <listitem>
          <para>Edita il tuo <filename>/etc/rc.conf</filename>
            per includere la seguente linea:</para>

          <programlisting>ifconfig_fxp0="DHCP"</programlisting>

          <note>
            <para>Accertati di sostituire
              <literal>fxp0</literal> con il
              nome dell'interfaccia che intendi configurare
              dinamicamente, come descritto in
              <!--<xref linkend="config-network-setup"/>-->.</para>
          </note>

          <para>Se stai usando una locazione diversa
            per <command>dhclient</command>, o se desideri
            passare flags addizionali a
            <command>dhclient</command>
            includi anche le linee seguenti (editandole
            come necessario):</para>

          <programlisting>dhcp_program="/sbin/dhclient"
dhcp_flags=""</programlisting>
        </listitem>
      </itemizedlist>

      <indexterm>
        <primary>DHCP</primary>
        <secondary>server</secondary>
      </indexterm>

      <para>Il server DHCP, <application>dhcpd</application>,
        è incluso come parte del port
        <filename role="package">net/isc-dhcp3-server</filename>
        nella collezione dei ports.  Questo port contiene il
        server DHCP ISC e la documentazione.</para>
    </sect2>

    <sect2>
      <title>Files</title>

      <indexterm>
        <primary>DHCP</primary>
        <secondary>file di configurazione</secondary>
      </indexterm>

      <itemizedlist>
        <listitem><para><filename>/etc/dhclient.conf</filename></para>
          <para><command>dhclient</command> richiede
            un file di configurazione,
            <filename>/etc/dhclient.conf</filename>.  Tipicamente
            il file contiene solo commenti, essendo i default
            ragionevolmente corretti.  Questo file di
            configurazione è descritto dalla
            pagina di manuale &man.dhclient.conf.5;.</para>
        </listitem>

        <listitem>
          <para><filename>/sbin/dhclient</filename></para>

          <para><command>dhclient</command> è
            linkato staticamente e risiede in
            <filename>/sbin</filename>.
            Le pagine di manuale di &man.dhclient.8; danno
            maggiori informazioni su <command>dhclient</command>.</para>
        </listitem>

        <listitem>
          <para><filename>/sbin/dhclient-script</filename></para>

          <para><command>dhclient-script</command> è
            lo script di configurazione del client DHCP
            specifico di FreeBSD.  Viene descritto in
            &man.dhclient-script.8;
            ma non dovrebbe aver bisogno di nessuna
            modifica utente
            per funzionare correttamente.</para>
        </listitem>

        <listitem>
          <para><filename>/var/db/dhclient.leases</filename></para>

          <para>Il client DHCP mantiene un database di
            validi rilasci in questo file, che viene
            scritto come un log.
            &man.dhclient.leases.5; ne dàuna descrizione
            leggermente più estesa.</para>
        </listitem>
      </itemizedlist>
    </sect2>

    <sect2>
      <title>Ulteriori Letture</title>

      <para>Il protocollo DHCP è
        descritto in maniera estesa in
        <ulink url="http://www.freesoft.org/CIE/RFC/2131/">RFC 2131</ulink>.
        Informazioni aggiuntive sono presenti a questo URL:
        <ulink url="http://www.dhcp.org/"></ulink>.</para>
    </sect2>

    <sect2 id="network-dhcp-server">
      <title>Installare e Configurare un Server DHCP</title>

      <sect3>
        <title>Cosa Copre Questa Sezione</title>

        <para>Questa sezione fornisce informazioni su come
          configurare un sistema FreeBSD che funzioni come
          un server DHCP usando l'implementazione del server
          DHCP dell'ISC (Internet Software Consortium).</para>

        <para>Il server non viene
          fornito come parte di FreeBSD, così
          dovrai installare il port
          <filename role="package">net/isc-dhcp3-server</filename>
          per fornire questo servizio.  Vedi
          <xref linkend="ports"/> per
          più informazioni su come usare la Collezione
          dei Port.</para>
      </sect3>

      <sect3>
        <title>Installazione del DHCP Server</title>

        <indexterm>
          <primary>DHCP</primary>
          <secondary>installazione</secondary>
        </indexterm>

        <para>Per configurare il tuo sistema FreeBSD
          come un server DHCP, assicurati che il
          device &man.bpf.4; sia compilato nel
          kernel.  Per farlo, aggiungi
          <literal>device bpf</literal>
          al file di configurazione del kernel, e ricompilalo.  Per
          maggiori informazioni su come compilare un kernel,
          vedi <xref linkend="kernelconfig"/>.</para>

        <para>Il device <devicename>bpf</devicename>
          è già
          parte del kernel <filename>GENERIC</filename>
          che viene fornito con FreeBSD, così
          non hai bisogno di creare
          un kernel custom per far funzionare il DHCP.</para>

        <note>
          <para>Quelli di voi che sono particolarmente
            attenti alla sicurezza, dovrebbero notare che
            <devicename>bpf</devicename> è anche il
            device che permette agli sniffer di pacchetti
            di funzionare correttamente (anche se tali
            programmi hanno bisogno di accesso privilegiato).
            <devicename>bpf</devicename> <emphasis>è
            </emphasis> richiesto per il funzionamento del DHCP,
            ma se siete molto attenti alla sicurezza,
            probabilmente non dovreste includere
            <devicename>bpf</devicename>
            nel vostro kernel semplicemente perchè vi
            aspettate di usare il DHCP in qualche momento.</para>
        </note>

        <para>La prossima cosa che devi fare è
          editare il file <filename>dhcpd.conf</filename> che
          è stato installato dal port
          <filename role="package">net/isc-dhcp3-server</filename>.
          Di default, questo sarà
          <filename>/usr/local/etc/dhcpd.conf.sample</filename>
          e dovresti copiare questo file in
          <filename>/usr/local/etc/dhcpd.conf</filename>
          prima di procedere con i cambiamenti.</para>
      </sect3>

      <sect3>
        <title>Configurare il Server DHCP</title>

        <indexterm>
          <primary>DHCP</primary>
          <secondary>dhcpd.conf</secondary>
        </indexterm>

        <para><filename>dhcpd.conf</filename> è
          composto di dichiarazioni riguardanti
          sottoreti ed host, e forse lo si spiega
          meglio con un esempio:</para>

        <programlisting>option domain-name "example.com";<co id="domain-name"/>
option domain-name-servers 192.168.4.100;<co id="domain-name-servers"/>
option subnet-mask 255.255.255.0;<co id="subnet-mask"/>

default-lease-time 3600;<co id="default-lease-time"/>
max-lease-time 86400;<co id="max-lease-time"/>
ddns-update-style none;<co id="ddns-update-style"/>

subnet 192.168.4.0 netmask 255.255.255.0 {
  range 192.168.4.129 192.168.4.254;<co id="range"/>
  option routers 192.168.4.1;<co id="routers"/>
}

host mailhost {
  hardware ethernet 02:03:04:05:06:07;<co id="hardware"/>
  fixed-address mailhost.example.com;<co id="fixed-address"/>
}</programlisting>

        <calloutlist>
          <callout arearefs="domain-name">
            <para>Questa opzione specifica il dominio che
              verrà servito ai client come il dominio
              di default di ricerca.  Si veda
              &man.resolv.conf.5; per più informazioni.</para>
          </callout>

          <callout arearefs="domain-name-servers">
            <para>Questa opzione specifica una lista di server
              DNS separata da virgole, che i client
              dovrebbero usare.</para>
          </callout>

          <callout arearefs="subnet-mask">
            <para>La netmask che sarà fornita ai client.</para>
          </callout>

          <callout arearefs="default-lease-time">
            <para>Un client potrebbe richiedere una lunghezza di
              tempo specifica per la quale il rilascio sarà
              valido.  Altrimenti il server assegnerà
              un tempo di rilascio con questa durata (in secondi).</para>
          </callout>

          <callout arearefs="max-lease-time">
            <para>Questa è la lunghezza massima di
              tempo per la quale un server effettuerà
              un rilascio.  Se un client dovesse richiedere
              un rilascio più lungo, sarà effettuato
              un rilascio, anche se sarà valido solo per
              <literal>max-lease-time</literal> secondi.</para>
          </callout>

          <callout arearefs="ddns-update-style">
            <para>Questa opzione specifica se il server DHCP
              dovrà cercare di modificare il DNS
              quando un rilascio è accettato o
              liberato.  Nella implementazione ISC
              questa opzione è
              <emphasis>richiesta</emphasis>.</para>
          </callout>

          <callout arearefs="range">
           <para>Questo identifica quale indirizzo IP
              dovrà essere usato nel pool riservato
              per l'allocazione ad i client.  Gli indirizzi
              IP fra, ed inclusi, quelli dichiarati sono
              assegnabili agli utenti.</para>
          </callout>

          <callout arearefs="routers">
            <para>Dichiara il default gateway che sarà
              assegnato ad i client.</para>
          </callout>

          <callout arearefs="hardware">
            <para>L'indirizzo hardware MAC di un host
              (cosicchè il server DHCP
              possa riconoscere un host quando
              fa una richiesta).</para>
          </callout>

          <callout arearefs="fixed-address">
            <para>Specifica che all'host dovrebbe sempre
              essere fornito lo stesso indirizzo IP.
              Nota che usare un hostname è
              corretto in questo caso,
              dato che il DHCP server risolverà
              l'hostname stesso prima di restituire
              l'informazione sul rilascio.</para>
          </callout>
        </calloutlist>

        <para>Una volta che hai finito di scrivere
          il tuo <filename>dhcpd.conf</filename>,
          puoi abilitare il server DHCP in
          <filename>/etc/rc.conf</filename>, aggiungendo:</para>

        <programlisting>dhcpd_enable="YES"
dhcpd_ifaces="dc0"</programlisting>

          <para>Sostituisci il nome dell'interfaccia
            <literal>dc0</literal> con l'interfaccia
            (o le interfacce, separate da spazi) su cui il tuo server DHCP
            dovrebbe stare in ascolto per le richieste DHCP dei client.</para>

          <para>Quindi, puoi procedere ad avviare il server con il
            seguente comando:</para>

        <screen>&prompt.root; <userinput>/usr/local/etc/rc.d/isc-dhcpd.sh start</userinput></screen>

        <para>Se hai bisogno di fare altri cambiamenti
          alla configurazione del server in futuro,
          è importante notare che l'invio di
          un segnale <literal>SIGHUP</literal>
          a <application>dhcpd</application>
          <emphasis>non</emphasis> fa sì che il file
          di configurazione sia ricaricato, come avviene
          con la maggior parte dei demoni.  Dovrai inviare
          un segnale <literal>SIGTERM</literal> per fermare
          il processo, e poi riavviarlo usando il comando
          sopracitato.</para>
      </sect3>

      <sect3>
        <title>Files</title>

        <indexterm>
          <primary>DHCP</primary>
          <secondary>file di configurazione</secondary>
        </indexterm>

        <itemizedlist>
          <listitem>
            <para><filename>/usr/local/sbin/dhcpd</filename></para>

            <para><application>dhcpd</application> è
              linkato staticamente e risiede in
              <filename>/usr/local/sbin
              </filename>.  La pagina di manuale di
              &man.dhcpd.8; installata con il port
              dà più informazioni
              su <application>dhcpd</application>.</para>
          </listitem>

          <listitem>
            <para><filename>/usr/local/etc/dhcpd.conf</filename></para>

            <para><application>dhcpd</application> richiede
              un file di configurazione,
              <filename>/usr/local/etc/dhcpd.conf
              </filename>, prima che possa iniziare a
              fornire il servizio ai client.  Questo
              file deve contenere tutte le informazioni
              che devono essere fornite ai client che
              sono serviti, oltre alle informazioni
              riguardanti le operazioni del server.  Questo
              file di configurazione è descritto
              dalla pagina di manuale &man.dhcpd.conf.5;
            installata dal port.</para>
          </listitem>

          <listitem>
            <para><filename>/var/db/dhcpd.leases</filename></para>

            <para>Il server DHCP mantiene un database dei
              rilasci che ha effettuato in questo file, che
              viene scritto come un log.  La pagina di manuale
              &man.dhcpd.leases.5;, installata dal port
              ne dà una descrizione leggermente pi&grave;
              lunga.</para>
          </listitem>

          <listitem>
            <para><filename>/usr/local/sbin/dhcrelay</filename></para>

            <para><application>dhcrelay</application> è
              usata in ambienti avanzati dove un server
              DHCP reinvia le richieste da un client ad un
              altro server DHCP su una rete separata.  Se
              hai bisogno di questa
              funzionalità, installa il port
              <filename role="package">net/isc-dhcp3-relay</filename>.
              La pagina di manuale &man.dhcrelay.8; fornita
              col port contiene più dettagli.</para>
          </listitem>
        </itemizedlist>
      </sect3>
    </sect2>
  </sect1>

  <sect1 id="network-dns">
    <sect1info>
      <authorgroup>
        <author>
          <firstname>Chern</firstname>
          <surname>Lee</surname>

          <contrib>Grazie al contributo di </contrib>
        </author>

        <author>
          <firstname>Tom</firstname>
          <surname>Rhodes</surname>
        </author>

        <author>
          <firstname>Daniel</firstname>
          <surname>Gerzo</surname>
        </author>
      </authorgroup>
    </sect1info>

    <title>Domain Name System (<acronym>DNS</acronym>)</title>

    <sect2>
      <title>Uno sguardo d'insieme</title>

      <indexterm><primary>BIND</primary></indexterm>

      <para>&os; utilizza, di default, una versione di
        BIND (Berkeley Internet Name Domain), che è
        la più completa implementazione del protocollo
        <acronym>DNS</acronym>.  <acronym>DNS</acronym> è il protocollo
        attraverso il quale nomi sono mappati ad indirizzi <acronym>IP</acronym>,
        e viceversa.  Per esempio, una query per
        <hostid role="fqdn">www.FreeBSD.org
        </hostid> riceverà una replica con l'indirizzo
        <acronym>IP</acronym> del web server del The &os; Project, mentre una
        query per <hostid role="fqdn">ftp.FreeBSD.org</hostid>
        ritornerà l'indirizzo <acronym>IP</acronym> della corrispondente
        macchina <acronym>FTP</acronym>.  Allo stesso modo, può
        avvenire l'opposto.  Una
        query per un indirizzo <acronym>IP</acronym> può risolvere il suo
        nome host.  Non è necessario avere in esecuzione
        un name server per fare <acronym>DNS</acronym> lookups su un sistema.
      </para>

      <para>&os; al momento viene distribuito con software <acronym>DNS</acronym>
        <acronym>BIND</acronym>9 di default.  La nostra installazione fornisce
        caratteristiche di sicurezza migliorate, un nuovo layout del file
        system e configurazione &man.chroot.8; automatica.</para>

      <indexterm><primary>DNS</primary></indexterm>

      <para>DNS è coordinato su Internet attraverso
        un sistema alquanto complesso di name server autoritativi,
        ed altri name server di più piccola scala che
        ospitano e gestiscono cache di informazioni individuali
        sui domini.</para>

      <para>Al momento corrente, BIND è mantenuto
        dall'Internet Software Consortium
        <ulink url="http://www.isc.org/"></ulink>.
      </para>
    </sect2>

    <sect2>
      <title>Terminologia</title>

      <para>Per comprendere questo documento, alcuni termini
        relativi al <acronym>DNS</acronym> devono essere capiti.</para>

      <indexterm><primary>risolutore</primary></indexterm>
      <indexterm><primary>DNS inverso</primary></indexterm>
      <indexterm><primary>zona root</primary></indexterm>

      <informaltable frame="none" pgwide="1">
        <tgroup cols="2">
          <colspec colwidth="1*"/>
          <colspec colwidth="3*"/>

          <thead>
            <row>
              <entry>Termine</entry>

              <entry>Definizione</entry>
            </row>
          </thead>

          <tbody>
            <row>
              <entry>Forward <acronym>DNS</acronym></entry>

              <entry>La mappa da hostname ad indirizzi IP.</entry>
            </row>

            <row>
              <entry>Origine</entry>

                <entry>Si riferisce al dominio coperto in
                  un particolare file di zona.</entry>
            </row>

            <row>
              <entry><application>named</application>,
                BIND, name server</entry>

              <entry>Nomi comuni per il pacchetto name server BIND
                all'interno di &os;.</entry>
            </row>

            <row>
              <entry>Risolutore</entry>

              <entry>Un processo di sistema attraverso il quale
                una macchina fa query su un name server
                per informazioni di zona.</entry>
            </row>

            <row>
              <entry><acronym>DNS</acronym> inverso</entry>

              <entry>L'opposto del forward <acronym>DNS</acronym>; mappare
                indirizzi <acronym>IP</acronym> su nomi host.</entry>
            </row>

            <row>
              <entry>Zona root</entry>

              <entry>L'inizio della gerarchia della zona
                Internet.  Tutte le zone cadono sotto la
                zona root, analogamente
                a come tutti i file nel file system cadono sotto
                la directory root.</entry>
            </row>

            <row>
              <entry>Zona</entry>

              <entry>Un dominio individuale, sottodominio, o
                porzione del <acronym>DNS</acronym> amministrato dalla stessa
                autorità</entry>
            </row>
          </tbody>
        </tgroup>
      </informaltable>

      <indexterm>
        <primary>zone</primary>
        <secondary>esempi</secondary>
      </indexterm>

      <para>Esempi di zone:</para>

      <itemizedlist>
        <listitem>
          <para><hostid>.</hostid> è la zona root</para>
        </listitem>

        <listitem>
          <para><hostid>org.</hostid> è una zona
            Top Level Domain (<acronym>TLD</acronym>) sotto la zona root</para>
        </listitem>

        <listitem>
          <para><hostid role="domainname">example.org.</hostid>
            è una zona sotto la zona
            <hostid>org.</hostid> <acronym>TLD</acronym></para>
        </listitem>

        <listitem>
          <para>
            <hostid>1.168.192.in-addr.arpa</hostid> è una zona
            che referenzia tutti gli indirizzi <acronym>IP</acronym> che cadono
            sotto lo spazio <acronym>IP</acronym> <hostid role="ipaddr">192.168.1.*</hostid>.
          </para>
        </listitem>
      </itemizedlist>

      <para>Come si può vedere, la parte più
        specifica di un nome host appare a sinistra.  Per esempio
        <hostid role="domainname">example.org.</hostid> è
        più specifico di <hostid>org.</hostid>, come
        <hostid>org.</hostid> è più specifico
        della zona root.  La disposizione di ogni parte di un nome
        host è analoga ad un file system: la
        directory <filename>/dev</filename> cade
        all'interno della root, e così via.</para>
    </sect2>

    <sect2>
      <title>Ragioni per Avere in Esecuzione un Name Server</title>

      <para>Attualmente vengono usati due tipi di name server:
        un name server autoritativo, ed un name server cache.</para>

      <para>Un name server autoritativo è necessario
        quando:</para>

      <itemizedlist>
        <listitem>
          <para>uno vuole servire informazioni <acronym>DNS</acronym> a tutto
            il mondo, rispondendo in maniera autoritativa
            alle query.</para>
        </listitem>

        <listitem>
          <para>un dominio, tipo
            <hostid role="domainname">example.org</hostid>, è
            registrato e gli indirizzi <acronym>IP</acronym> devono essere
            assegnati ad hostname sotto questo.</para>
        </listitem>

        <listitem>
          <para>un blocco di indirizzi <acronym>IP</acronym> richiede
            entry di <acronym>DNS</acronym> inverso (da <acronym>IP</acronym>
            ad hostname).</para>
        </listitem>

        <listitem>
          <para>un name server di backup, chiamato uno
            slave, deve rispondere alle query.</para>
        </listitem>
      </itemizedlist>

      <para>Un name server cache è necessario quando:</para>

      <itemizedlist>
        <listitem>
          <para>un server locale DNS può tenere in cache e
            rispondere più velocemente rispetto ad effettuare
            query ad un name server all'esterno.</para>
        </listitem>

        <listitem>
          <para>una riduzione nel traffico complessivo di
            rete è desiderato (è stato
            calcolato che il traffico DNS
            conta più del 5% sul traffico totale di
            Internet).</para>
        </listitem>
      </itemizedlist>

      <para>Quando uno fa una query per risolvere
        <hostid role="fqdn">www.FreeBSD.org</hostid>, il
        risolutore di solito fa una query al name
        server dell'<acronym>ISP</acronym> a cui si è connessi,
        ed ottiene una risposta.  Con un server <acronym>DNS</acronym>
        locale, che fa cache,
        la query deve essere effettuata una volta sola dal
        server <acronym>DNS</acronym> che fa cache.  Ogni
        query aggiuntiva non dovrà cercare all'esterno
        della rete locale, dato che l'informazione
        è tenuta in cache localmente.</para>
    </sect2>

    <sect2>
      <title>Come Funziona</title>

      <para>In &os;, il demone BIND è chiamato
        <application>named</application> per ovvie ragioni.</para>

      <informaltable frame="none" pgwide="1">
        <tgroup cols="2">
          <thead>
            <row>
              <entry>File</entry>

              <entry>Descrizione</entry>
            </row>
          </thead>

          <tbody>
            <row>
              <entry><application>&man.named.8;</application></entry>

              <entry>Il demone BIND.</entry>
            </row>

            <row>
              <entry><application>&man.rndc.8;</application></entry>

              <entry>Programma di controllo del name server.</entry>
            </row>

            <row>
              <entry><filename role="directory">/etc/namedb</filename></entry>

              <entry>Directory dove risiedono le
                informazioni di zona di BIND.</entry>
            </row>

            <row>
              <entry><filename>/etc/namedb/named.conf</filename></entry>

              <entry>File di configurazione del demone.</entry>
            </row>
          </tbody>
        </tgroup>
      </informaltable>

      <para>
        A seconda di come certe zone sono configurate
        sul server, i file relativi a quelle zone possono essere
        trovate nelle sottodirectory <filename
        role="directory">master</filename>, <filename
        role="directory">slave</filename>, or <filename
        role="directory">dynamic</filename> della directory
        <filename role="directory">/etc/namedb</filename>.
        Questi file contengono le informazioni <acronym>DNS</acronym>
        che saranno distribuite dal name server in risposta alle query.</para>
    </sect2>

    <sect2>
      <title>Avviare BIND</title>

      <indexterm>
        <primary>BIND</primary>
        <secondary>avvio</secondary>
      </indexterm>

      <para>Dato che BIND è installato di default,
        configurarlo è relativamente semplice.</para>

      <para>La configurazione di default di <application>named</application>
        è quella di un name server basilare, eseguito in
        ambiente &man.chroot.8;.  Per avviare il server una volta
        con questa configurazione, usa il seguente comando:</para>

      <screen>&prompt.root; <userinput>/etc/rc.d/named forcestart</userinput></screen>

      <para>Per assicurarsi che il demone
        <application>named</application>
        sia avviato alla partenza, metti la seguente riga
        in <filename>/etc/rc.conf</filename>:</para>

      <programlisting>named_enable="YES"</programlisting>

      <para>Ci sono ovviamente molte opzioni di configurazione
        per <filename>/etc/namedb/named.conf</filename> che sono al di là
        dello scopo di questo documento.  Comunque, se siete interessati
        nelle opzioni di avvio per <application>named</application> su &os;,
        dai un'occhiata ai flags <literal>named_</literal> in
        <filename>/etc/defaults/rc.conf</filename> e consulta la pagina
        di manuale &man.rc.conf.5;.  Anche la sezione <xref linkend="configtuning-initial"/>
        è una buona base di partenza.</para>
    </sect2>

    <sect2>
      <title>File di Configurazione</title>

      <indexterm>
        <primary>BIND</primary>
        <secondary>file di configurazione</secondary>
      </indexterm>

      <para>I file di configurazione per <application>named</application>
        al corrente risiedono nella directory <filename role="directory">
        /etc/named</filename> e necessiteranno di modifiche prima
        dell'uso, a meno che non si voglia un semplice resolver.
        Qui è dove la maggior pare della configurazione viene
        effettuata.</para>

      <sect3>
        <title>Usando <command>make-localhost</command></title>

        <para>Per configurare una zona master per il localhost
          visita la directory <filename role="directory">/etc/namedb</filename>
          ed esegui il seguente comando:</para>

        <screen>&prompt.root; <userinput>sh make-localhost</userinput></screen>

        <para>Se tutto è andato bene, un nuovo file dovrebbe
          esistere nella sottodirectory
          <filename class="directory">master</filename>.
          I nomi dei file dovrebbero essere <filename>localhost.rev</filename>
          per il local domain name e<filename>localhost-v6.rev</filename>
          per le configurazioni <acronym>IPv6</acronym>.
          Come il file di configurazione di default, l'informazione
          richiesta sarà presente nel file <filename>named.conf</filename>.
        </para>
      </sect3>

      <sect3>
        <title><filename>/etc/namedb/named.conf</filename></title>

        <programlisting>// &dollar;FreeBSD&dollar;
//
// Refer to the named.conf(5) and named(8) man pages, and the documentation
// in /usr/share/doc/bind9 for more details.
//
// If you are going to set up an authoritative server, make sure you
// understand the hairy details of how DNS works.  Even with
// simple mistakes, you can break connectivity for affected parties,
// or cause huge amounts of useless Internet traffic.

options {
  directory "/etc/namedb";
  pid-file  "/var/run/named/pid";
  dump-file "/var/dump/named_dump.db";
  statistics-file "/var/stats/named.stats";

// If named is being used only as a local resolver, this is a safe default.
// For named to be accessible to the network, comment this option, specify
// the proper IP address, or delete this option.
  listen-on { 127.0.0.1; };

// If you have IPv6 enabled on this system, uncomment this option for
// use as a local resolver.  To give access to the network, specify
// an IPv6 address, or the keyword "any".
//  listen-on-v6  { ::1; };

// In addition to the "forwarders" clause, you can force your name
// server to never initiate queries of its own, but always ask its
// forwarders only, by enabling the following line:
//
//  forward only;

// If you've got a DNS server around at your upstream provider, enter
// its IP address here, and enable the line below.  This will make you
// benefit from its cache, thus reduce overall DNS traffic in the Internet.
/*
  forwarders {
    127.0.0.1;
  };
*/</programlisting>

        <para>Proprio come dicono i commenti, per beneficiare
          di una cache di un server superiore, può
          essere abilitato <literal>forwarders</literal>.
          Sotto circostanze normali, un name
          server farà query ricorsive attraverso Internet
          cercando certi name server fino a chè non trova
          la risposta che sta cercando.  Averlo abilitato farà
          sì che sarà fatta prima una query verso il
          name server superiore (o il name server fornito),
          avvantaggiandosi della sua cache.  Se il name
          server superiore è un name server molto
          trafficato e veloce, può valere la pena di
          abilitarlo.</para>

        <warning>
          <para><hostid role="ipaddr">127.0.0.1</hostid>
              <emphasis>non</emphasis> funzionerà qui.
            Cambia questo indirizzo <acronym>IP</acronym> in un name server
            superiore.</para>
        </warning>

    <programlisting>  /*
   * If there is a firewall between you and nameservers you want
   * to talk to, you might need to uncomment the query-source
   * directive below.  Previous versions of BIND always asked
   * questions using port 53, but BIND versions 8 and later
   * use a pseudo-random unprivileged UDP port by default.
   */
   // query-source address * port 53;
};

// If you enable a local name server, don't forget to enter 127.0.0.1
// first in your /etc/resolv.conf so this server will be queried.
// Also, make sure to enable it in /etc/rc.conf.

zone "." {
  type hint;
  file "named.root";
};

zone "0.0.127.IN-ADDR.ARPA" {
  type master;
  file "master/localhost.rev";
};

// RFC 3152
zone "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA" {
  type master;
  file "master/localhost-v6.rev";
};

// NB: Do not use the IP addresses below, they are faked, and only
// serve demonstration/documentation purposes!
//
// Example slave zone config entries.  It can be convenient to become
// a slave at least for the zone your own domain is in.  Ask
// your network administrator for the IP address of the responsible
// primary.
//
// Never forget to include the reverse lookup (IN-ADDR.ARPA) zone!
// (This is named after the first bytes of the IP address, in reverse
// order, with ".IN-ADDR.ARPA" appended.)
//
// Before starting to set up a primary zone, make sure you fully
// understand how DNS and BIND works.  There are sometimes
// non-obvious pitfalls.  Setting up a slave zone is simpler.
//
// NB: Don't blindly enable the examples below. :-)  Use actual names
// and addresses instead.

/* An example master zone
zone "example.net" {
  type master;
  file "master/example.net";
};
*/

/* An example dynamic zone
key "exampleorgkey" {
  algorithm hmac-md5;
  secret "sf87HJqjkqh8ac87a02lla==";
};

zone "example.org" {
  type master;
  allow-update {
    key "exampleorgkey";
  };
  file "dynamic/example.org";
};
*/

/* Examples of forward and reverse slave zones
zone "example.com" {
  type slave;
  file "slave/example.com";
  masters {
    192.168.1.1;
  };
};
zone "1.168.192.in-addr.arpa" {
  type slave;
  file "slave/1.168.192.in-addr.arpa";
  masters {
    192.168.1.1;
  };
};
*/</programlisting>

        <para>In <filename>named.conf</filename>, ci sono esempi
          di linee slave per zone di forward ed inverse.</para>

        <para>Per ogni nuova zona servita, una nuova linea di
           zona deve essere aggiunta a
           <filename>named.conf</filename>.</para>

        <para>Per esempio, la più semplice entry  per
          <hostid role="domainname">example.org</hostid> può
          assomigliare a:</para>

        <programlisting>zone "example.org" {
   type master;
   file "master/example.org";
};</programlisting>

       <para>La zona è una master, come indicato
          dall'entry <option>type</option>,
          e conserva le informazioni di zona su
          <filename>/etc/namedb/master/example.org</filename>
          indicata dalla entry
          <option>file</option>.</para>

        <programlisting>zone "example.org" {
   type slave;
   file "slave/example.org";
};</programlisting>

        <para>Nel caso slave, l'informazione di zona è
          trasferita dal name server master per quella zona
          particolare, e salvata nel file specificato.  Se e
          quando il master muore o è irraggiungibile,
          il name server slave avrà le informazioni di
          zona trasferite e sarà in grado di servirlo.</para>
      </sect3>

      <sect3>
        <title>File di Zona</title>

        <indexterm>
          <primary>BIND</primary>
          <secondary>zone files</secondary>
        </indexterm>

        <para>Un esempio di file di zona master per  <hostid
          role="domainname">example.org</hostid> (che esiste
          all'interno di <filename>/etc/namedb/master/example.org
          </filename>) è la seguente:</para>

<programlisting>&dollar;TTL 3600        ; 1 hour
example.org.    IN      SOA      ns1.example.org. admin.example.org. (
                                2006051501      ; Serial
                                10800           ; Refresh
                                3600            ; Retry
                                604800          ; Expire
                                86400           ; Minimum TTL
                        )

; DNS Servers
                IN      NS      ns1.example.org.
                IN      NS      ns2.example.org.

; MX Records
                IN      MX 10   mx.example.org.
                IN      MX 20   mail.example.org.

                IN      A       192.168.1.1

; Machine Names
localhost       IN      A       127.0.0.1
ns1             IN      A       192.168.1.2
ns2             IN      A       192.168.1.3
mx              IN      A       192.168.1.4
mail            IN      A       192.168.1.5

; Aliases
www             IN      CNAME   @</programlisting>

        <para>Nota che ogni hostname che finisce in
          un <quote>.</quote> è
          un nome esatto, mentre ogni entità senza un
          <quote>.</quote> è referenziato all'origine.
          Per esempio <literal>www</literal> è trasformato
          in <literal>www.<replaceable>origin</replaceable></literal>.
          Nel nostro file di zone fittizio, la nostra origine
          è <hostid>example.org</hostid>, così
          <literal>www</literal> si trasformerebbe in
          <hostid>www.example.org</hostid>.</para>

        <para>Il formato di un file di zona &egrave
          il seguente:</para>

        <programlisting>recordname      IN recordtype
value</programlisting>

        <indexterm>
          <primary>DNS</primary>
          <secondary>records</secondary>
        </indexterm>

        <para>I record DNS usati più di frequente:</para>

        <variablelist>
          <varlistentry>
            <term>SOA</term>

            <listitem>
              <para>inizio di una zona di
              autorità</para>
            </listitem>
          </varlistentry>

          <varlistentry>
            <term>NS</term>

            <listitem>
              <para>un name server
              autoritativo</para>
            </listitem>
          </varlistentry>

          <varlistentry>
            <term>A</term>

            <listitem>
              <para>un indirizzo host</para>
            </listitem>
          </varlistentry>

          <varlistentry>
            <term>CNAME</term>

            <listitem>
              <para>il nome canonico per un
              alias</para>
            </listitem>
          </varlistentry>

          <varlistentry>
            <term>MX</term>

            <listitem>
              <para>mail exchanger</para>
            </listitem>
          </varlistentry>

          <varlistentry>
            <term>PTR</term>

            <listitem>
              <para>un puntatore a nome di dominio (usato nel
                DNS inverso)</para>
            </listitem>
          </varlistentry>
        </variablelist>

        <programlisting>
example.org. IN SOA ns1.example.org. admin.example.org. (
                        2006051501      ; Serial
                        10800           ; Refresh after 3 hours
                        3600            ; Retry after 1 hour
                        604800          ; Expire after 1 week
                        86400 )         ; Minimum TTL of 1
day</programlisting>



        <variablelist>
          <varlistentry>
            <term><hostid role="domainname">example.org.</hostid></term>

            <listitem>
              <para>il nome di dominio, inoltre è
                l'origine per questo file di zona.</para>
            </listitem>
          </varlistentry>

          <varlistentry>
            <term><hostid role="fqdn">ns1.example.org.</hostid></term>

            <listitem>
              <para>il name server primario/autoritativo
                per questa zona.</para>
            </listitem>
          </varlistentry>

          <varlistentry>
            <term><literal>admin.example.org.</literal></term>

            <listitem>
              <para>la persona responsabile per questa
                zona, un indirizzo email con <quote>@</quote>
                sostituito.  (<email>admin@example.org</email>
                diventa <literal>admin.example.org</literal>)</para>
            </listitem>
          </varlistentry>

          <varlistentry>
            <term><literal>2006051501</literal></term>

            <listitem>
              <para>il numero di serie del file.  Questo
                deve essere aumentato ogni volta che il file di
                zona è modificato.  Al giorno d'oggi
                molti amministratori preferiscono un formato
                <literal>yyyymmddrr</literal> per il numero
                di serie.
                <literal>2006051501</literal> significherebbe
                modificato l'ultima volta il 05/15/2006, l'ultimo
                <literal>01</literal> essendo la prima volta che
                il file di zona è stato modificato in
                questo giorno.  Il numero di serie è
                importante dato che avverte
                name server slave per una zona quando questa
                &grave; modificata.</para>
            </listitem>
          </varlistentry>
        </variablelist>

        <programlisting>
       IN NS           ns1.example.org.</programlisting>

        <para>Questa è una linea NS.  Ogni name server che
          replicherà in maniera autoritativa la zona deve
          avere una di queste linee.  Il <literal>@</literal> come
          visto potrebbe essere stato <hostid role="domainname">
          example.org.</hostid>
          Il <literal>@</literal> si traduce nell'origine.</para>

        <programlisting>
localhost       IN      A       127.0.0.1
ns1             IN      A       192.168.1.2
ns2             IN      A       192.168.1.3
mx              IN      A       192.168.1.4
mail            IN      A       192.168.1.5</programlisting>

        <para>Il record A indica un nome macchina.  Come visto
          sopra, <hostid role="fqdn">ns1.example.org</hostid>
          risolverebbe in <hostid role="ipaddr">192.168.1.2</hostid>.
        </para>

        <programlisting>
                IN      A       192.168.1.1</programlisting>

        <para>Questa linea assegna l'indirizzo IP
          <hostid role="ipaddr">192.168.1.1</hostid> alla corrente origine,
          in questo caso <hostid role="domainname">example.org</hostid>.</para>

        <programlisting>
www             IN CNAME        @</programlisting>

        <para>Il record nome canonico è usato per dare alias
          ad una macchina.  Nell'esempio, <hostid>www</hostid>
          è tramutato in alias nella macchina <quote>master</quote>
          che corrisponde al domain name <hostid role="domainname">example.org
          </hostid> (<hostid role="ipaddr">192.168.1.1</hostid>).
          CNAME possono essere usati per fornire alias
          ad hostname o distribuire in round robin un
          hostname fra molte macchine.</para>

        <indexterm>
          <primary>MX record</primary>
        </indexterm>

        <programlisting>
               IN MX   10      mail.example.org.</programlisting>

        <para>Il record MX &grave; usato per specificare quali
          mail server sono responsabili per gestire mail
          entranti per la zona.
          <hostid role="fqdn">mail.example.org
          </hostid> è l'hostname del mail
          server, e 10 è la priorità di
          quel mail server.</para>

        <para>Uno può avere molti mail server, con
          priorità di 10, 20 e così via.  Un mail server che
          cerca di consegnare una mail a
          <hostid role="domainname">example.org</hostid>
          proverà prima l'MX con la più alta
          priorità (il record con il numero di priorita' minimo)
          poi il secondo, etc., fino a
          chè la mail non sia
          consegnata correttamente.</para>

        <para>Per file di zona in-addr.arpa (DNS inverso), lo stesso
          formato è usato, eccetto con linee PTR
          al posto di A o CNAME.</para>

        <programlisting>$TTL 3600
1.168.192.in-addr.arpa. IN SOA ns1.example.org. admin.example.org. (
                        2006051501      ; Serial
                        10800           ; Refresh
                        3600            ; Retry
                        604800          ; Expire
                        3600 )          ; Minimum

        IN      NS      ns1.example.org.
        IN      NS      ns2.example.org.

1       IN      PTR     example.org.
2       IN      PTR     ns1.example.org.
3       IN      PTR     ns2.example.org.
4       IN      PTR     mx.example.org.
5       IN      PTR     mail.example.org.</programlisting>

        <para>Questo file da la corretta mappa da indirizzi
          IP ad hostname per il nostro dominio fittizio.</para>
      </sect3>
    </sect2>

    <sect2>
      <title>Caching Name Server</title>

      <indexterm>
        <primary>BIND</primary>
        <secondary>caching name server</secondary>
      </indexterm>

      <para>Un name server caching è un name server
        che non è autoritativo per nessuna zona.
        Fa semplicemente query, e ne memorizza le risposte
        per uso successivo.  Per impostarne uno, configura
        il name server come al solito, omettendo ogni
        inclusione di zona.</para>
    </sect2>

    <sect2>
      <title>Sicurezza</title>

      <para>Anche se BIND è la più comune
        implementazione del DNS, c'è sempre la questione
        della sicurezza. Talvolta vengono trovati possibili
        e sfruttabili buchi di sicurezza.</para>

      <para>Mentre &os; tiene <application>named</application>
        automaticamente in un ambiente &man.chroot.8;,
        ci sono molti altri meccanismi di sicurezza che
        potrebbero essere sfruttati per attacchi al servizio
        <acronym>DNS</acronym>.</para>

      <para>È una buona idea leggere
        gli avvisi sulla sicurezza di <ulink
        url="http://www.cert.org/">CERT</ulink> e
        sottoscrivere le &a.security-notifications;
        per stare aggiornato con le questioni
        correnti di sicurezza di Internet e FreeBSD.</para>

      <tip>
        <para>Se sorge un problema, tenere i
          sorgenti aggiornati e fare una compilazione
          al volo di <application>named
          </application> non farebbe male.</para>
      </tip>
    </sect2>

    <sect2>
      <title>Ulteriori letture</title>

      <para>Pagine di manuale di
        BIND/<application>named</application>:
        &man.rndc.8; &man.named.8; &man.named.conf.5;</para>

      <itemizedlist>
        <listitem>
          <para><ulink
              url="http://www.isc.org/products/BIND/">Official ISC BIND
              Page</ulink></para>
        </listitem>

     <listitem>
       <para><ulink
       url="http://www.isc.org/sw/guild/bf/">Official ISC BIND
       Forum</ulink></para>
    </listitem>

        <listitem>
          <para><ulink
              url="http://www.nominum.com/getOpenSourceResource.php?id=6">
              BIND FAQ</ulink></para>
        </listitem>

        <listitem>
          <para><ulink url="http://www.oreilly.com/catalog/dns4/">O'Reilly
              DNS and BIND 4th Edition</ulink></para>
        </listitem>

        <listitem>
          <para><ulink
              url="ftp://ftp.isi.edu/in-notes/rfc1034.txt">RFC1034
              - Domain Names - Concepts and Facilities</ulink></para>
        </listitem>

        <listitem>
          <para><ulink
              url="ftp://ftp.isi.edu/in-notes/rfc1035.txt">RFC1035
              - Domain Names - Implementation and Specification</ulink></para>
        </listitem>
      </itemizedlist>
    </sect2>
  </sect1>

  <sect1 id="network-apache">
    <sect1info>
      <authorgroup>
        <author>
          <firstname>Murray</firstname>

          <surname>Stokely</surname>

          <contrib>Grazie al contributo di </contrib>
        </author>
      </authorgroup>
    </sect1info>

    <title>Apache HTTP Server</title>

    <indexterm>
      <primary>web server</primary>
      <secondary>installare</secondary>
    </indexterm>
    <indexterm><primary>Apache</primary></indexterm>

    <sect2>
      <title>Uno sguardo d'insieme</title>

      <para>&os; è usato per far girare
        alcuni dei siti web più trafficati
        al mondo.  La maggioranza dei web server
        su Internet usano attualmene
        <application>Apache HTTP Server</application>.
        Il pacchetto software di
        <application>Apache</application>
        dovrebbe essere incluso nel tuo media di
        installazione di FreeBSD.  Se non hai
        installato <application>Apache</application>
        quando hai installato FreeBSD per la prima volta,
        lo puoi installare dal port
        <filename role="package">www/apache13</filename>
        o <filename role="package">www/apache22</filename>.</para>

      <para>Una volta che <application>Apache</application>
        è stato installato con successo, deve essere
        configurato.</para>

      <note>
        <para>Questa sezione copre la versione 1.3.X
          di <application>Apache HTTP Server</application>
          dato che è la versione più usata per
          &os;.  <application>Apache</application>&nbsp;2.X
          introduce molte nuove tecnologie ma queste non
          saranno discusse in questa sede.  Per maggiori
          informazioni  su
          <application>Apache</application>&nbsp;2.X, per favore
          consulta <ulink
            url="httpd://httpd.apache.org/"></ulink>.</para>
      </note>
    </sect2>

    <sect2>
      <title>Configurazione</title>

      <indexterm>
        <primary>Apache</primary>
        <secondary>file di configurazione</secondary>
      </indexterm>

      <para>Il principale file di configurazione
        di <application>Apache HTTP Server</application>
        è installato in
        <filename>/usr/local/etc/apache/httpd.conf</filename>
        su &os;.  Questo file è un tipico file di testo
        di configurazione di &unix; con linee di commento
        che cominciano col carattere <literal>#</literal>.
        Una descrizione comprensiva di tutte le possibili
        opzioni di configurazione è al di fuori dello
        scopo di questo libro, così solo le direttive
        usate più di frequente saranno descritte
        di seguito.</para>

      <variablelist>
        <varlistentry>
          <term><literal>ServerRoot "/usr/local"</literal></term>

          <listitem>
            <para>Questo specifica la gerachia di directory
              di default per l'installazione di
              <application>Apache</application>.  I binari
              sono conservati nelle sottodirectory
              <filename class="directory">bin</filename> e
              <filename class="directory">sbin</filename>
              sotto la server root, ed i file di configurazione
              sono conservati sotto
              <filename class="directory">etc/apache</filename>.</para>
          </listitem>
        </varlistentry>

        <varlistentry>
          <term><literal>ServerAdmin you@your.address</literal></term>

          <listitem>
            <para>L'indirizzo email al quale i problemi
              riguardanti il server dovrebbero essere
              inviati.  Questo indirizzo appare su alcune
              pagine generate dal server,
              come alcuni documenti di errore.</para>
          </listitem>
        </varlistentry>

        <varlistentry>
          <term><literal>ServerName www.example.com</literal></term>

          <listitem>
            <para><literal>ServerName</literal> ti permette di
              impostare un nome host che viene inviato
              ai client per il tuo server, se questo
              è differente da quello per il quale l'host
              è configurato (ad esempio usi <hostid>www
              </hostid> invece del vero nome host).</para>
          </listitem>
        </varlistentry>

        <varlistentry>
          <term><literal>DocumentRoot "/usr/local/www/data"</literal></term>

          <listitem>
            <para><literal>DocumentRoot</literal>: La directory
            dalla quale servirai documenti.  Di default
            tutte le richieste sono girate a questa
            directory, ma link simbolici ed alias
            possono essere usati per puntare ad altre
            locazioni.</para>
          </listitem>
        </varlistentry>
      </variablelist>

      <para>È sempre una buona idea fare copie di
        backup del tuo file di configurazione di
        <application>Apache</application> prima di
        modificarlo.  Una volta che sei soddisfatto dalla
        tua configurazione iniziale sei pronto per
        iniziare ad eseguire <application>Apache</application>.</para>
    </sect2>

    <sect2>
      <title>Eseguire <application>Apache</application></title>

      <indexterm>
        <primary>Apache</primary>
        <secondary>avviarlo o fermarlo</secondary>
      </indexterm>

      <para><application>Apache</application> non viene eseguito
        dal super server <application>inetd</application>
        a differenza di molti altri server di
        rete.  È configurato
        per girare standalone per migliori performance
        per gestire le richieste HTTP in entrata dai client
        web browser.  Un wrapper shell script è
        incluso per rendere il più semplice
        possibile lo start, lo stop ed il restart del
        server.  Per avviare <application>Apache</application>
        per la prima volta, esegui:</para>

      <screen>&prompt.root; <userinput>/usr/local/sbin/apachectl start</userinput></screen>

      <para>Puoi fermare il server in ogni istante
        digitando:</para>

      <screen>&prompt.root; <userinput>/usr/local/sbin/apachectl stop</userinput></screen>

      <para>Dopo aver fatto modifiche al file
        di configurazione per una qualsiasi ragione,
        avrai bisogno di riavviare
        il server:</para>

      <screen>&prompt.root; <userinput>/usr/local/sbin/apachectl restart</userinput></screen>

      <para>Per riavviare <application>Apache</application>
        senza mandare in abort le connessioni correnti,
        esegui.</para>

      <screen>&prompt.root; <userinput>/usr/local/sbin/apachectl graceful</userinput></screen>

      <para>Informazioni addizionali sono
        disponibili sulla pagina di manuale
        di &man.apachectl.8;.</para>

      <para>Per eseguire <application>Apache</application>
        all'avvio del sistema, aggiungi la seguente
        linea ad <filename>/etc/rc.conf</filename>:</para>

      <programlisting>apache_enable="YES"</programlisting>

      <para>o per <application>Apache</application> 2.2:</para>

      <programlisting>apache22_enable="YES"</programlisting>

      <para>Se volessi fornire opzioni addizionali
        di linea di comando al programma
        <application>Apache</application>
        <command>httpd</command>
        avviato al boot di sistema, puoi specificarle
        con una linea addizionale in
        <filename>rc.conf</filename>:</para>

      <programlisting>apache_flags=""</programlisting>

      <para>Ora che il web server è in esecuzione
        puoi navigare il tuo sito web puntando
        il tuo web browser ad
        <literal>http://localhost/</literal>.
        La pagina di default che viene mostrata
        è
        <filename>/usr/local/www/data/index.html</filename>.</para>
    </sect2>

    <sect2>
      <title>Virtual Hosting</title>

      <para><application>Apache</application> supporta due
        tipi diversi di Virtual Hosting.  Il primo metodo
        è Virtual Hosting basato sul nome.  Il
        Virtual Hosting basato sul nome usa gli header
        HTTP/1.1 per scoprire l'hostname.  Questo permette
        a molti domini diversi di condividere lo stesso
        indirizzo IP.</para>

      <para>Per fare sì che
        <application>Apache</application>
        usi Virtual Hosting basato sui nomi aggiungi una
        entry come la seguente al tuo file
        <filename>httpd.conf</filename>:</para>

      <programlisting>NameVirtualHost *</programlisting>

      <para>Se il tuo webserver era nominato
        <hostid role="fqdn">www.domain.tld</hostid> e
        tu avessi voluto installare un dominio virtuale
        per <hostid role="fqdn">www.someotherdomain.tld
        </hostid> avresti dovuto aggiungere le seguenti entry
        a <filename>httpd.conf</filename>:</para>

      <screen>&lt;VirtualHost *&gt;
ServerName www.domain.tld
DocumentRoot /www/domain.tld
&lt;/VirtualHost&gt;

&lt;VirtualHost *&gt;
ServerName www.someotherdomain.tld
DocumentRoot /www/someotherdomain.tld
&lt;/VirtualHost&gt;</screen>

      <para>Sostituisci gli indirizzi con gli indirizzi
        che vuoi usare ed i percorsi dei documenti con quelli
        che usi.</para>

      <para>Per maggiori informazioni sull'impostazione
        dei virtual host, per favore consulta la
        documentazione ufficiale a
        <ulink url="http://httpd.apache.org/docs/vhosts/">
        </ulink>.</para>
    </sect2>

    <sect2>
      <title>Moduli Apache</title>

      <indexterm>
        <primary>Apache</primary>
        <secondary>moduli</secondary>
      </indexterm>

      <para>Ci sono molti diversi moduli
        <application>Apache</application> disponibili
        per aggiungere funzionalità al server base.
        La Collezione Port di FreeBSD fornisce un modo
        semplice di installare <application>Apache</application>
        assieme ad alcuni dei più popolari moduli
        aggiuntivi.</para>

      <sect3>
        <title>mod_ssl</title>

        <indexterm>
          <primary>server web</primary>
          <secondary>sicuri</secondary>
        </indexterm>
        <indexterm><primary>SSL</primary></indexterm>
        <indexterm><primary>crittografia</primary></indexterm>

        <para>Il modulo <application>mod_ssl</application>
          usa la libreria OpenSSL per fornire una forte
          crittografia attraverso i protocolli Secure
          Sockets Layer (SSL v2/v3) e Transport Layer
          Security (TLS v1).  Questo modulo fornisce tutto
          il necessario per richiedere
          un certificato firmato da un'autorità fidata
          che emette certificati, cosicchè puoi eseguire
          un web server sicuro su &os;.</para>

        <para>Se non hai ancora installato
          <application>Apache</application>, una versione
          di <application>Apache</application> 1.3.X
          che includa <application>mod_ssl</application>
          può essere installata con il port
          <filename role="package">www/apache13-modssl</filename>.
          Il supporto ad SSL è anche disponibile per
          <application>Apache</application>&nbsp;2.X nel port
          <filename role="package">www/apache22</filename>,
          dove viene abilitato di default.</para>
      </sect3>

      <sect3>
        <title>Siti web dinamici con Perl &amp; PHP</title>
        <para>Negli ultimi anni, molte aziende si sono rivolte a Internet
          per migliorare i loro ricavi e aumentare la loro esposizione.
          Questo ha anche aumentato il bisogno di contenuti interattivi
          web.  Mentre alcune società come &microsoft; hanno introdotto
          soluzioni nei loro prodotti proprietari, la comunità
          open source ha risposto all'appello.  Due opzioni per contenuti
          web dinamici includono <application>mod_perl</application>
          &amp; <application>mod_php</application>.</para>

      <sect4>
        <title>mod_perl</title>

        <indexterm><primary>Perl</primary></indexterm>

        <para>Il progetto di integrazione
          <application>Apache</application>/Perl
          mette assieme la grande potenza del linguaggio
          di programmazione Perl e
          l'<application>Apache HTTP Server</application>.
          Con il modulo <application>mod_perl</application>
          è possibile scrivere moduli <application>Apache
          </application> interamente in Perl.  In aggiunta
          l'interprete persistente integrato nel server
          evita l'overhead di avviare un interprete esterno
          e la penalizzazione del tempo di
          caricamento Perl.</para>

          <para><application>mod_perl</application> è disponibile
            in alcuni modi diversi.  Per usare <application>mod_perl
            </application> ricorda che <application>mod_perl</application>
            1.0 funziona solo con <application>Apache</application> 1.3
            e <application>mod_perl</application> 2.0 funziona solo
            con <application>Apache</application> 2.X.
            <application>mod_perl</application> 1.0 è disponibile
            in <filename role="package">www/mod_perl</filename> ed una versione
            compilata staticamente è disponibile in
            <filename role="package">www/apache13-modperl</filename>.
            <application>mod_perl</application> 2.0 è disponibile in
            <filename role="package">www/mod_perl2</filename>.</para>
        </sect4>


      <sect4>
        <sect4info>
          <authorgroup>
            <author>
              <firstname>Tom</firstname>

              <surname>Rhodes</surname>

              <contrib>Scritto da </contrib>
            </author>
          </authorgroup>
        </sect4info>

        <title>mod_php</title>

        <indexterm>
          <primary>mod_php</primary>
          <secondary>PHP</secondary>
        </indexterm>

        <para>PHP, anche noto come <quote>Hypertext Prepocessor</quote>
          è un linguaggio di scripting di scopo generale che è
          particolarmente adatto per lo sviluppo Web.  Adatto ad essere
          usato all'interno dell'<acronym>HTML</acronym>, la sua sintassi
          deriva dal C, &java;, e Perl con l'intenzione di permettere agli
          sviluppatori web di scrivere pagine web generate dinamicamente
          in modo veloce.</para>

        <para>Per integrare supporto a <acronym>PHP</acronym>5 per
          il web server <application>Apache</application>, inizia
          con l'installare il port
          <filename role="package">lang/php5</filename>.
          </para>

        <para>Se il port <filename role="package">lang/php5</filename>
          viene installato per la prima volta, le <literal>OPTIONS</literal>
          disponibili saranno mostrate automaticamente.
          Se non viene mostrato un menu, ad esempio perché
          il port <filename role="package">lang/php5</filename>
          è stato installato qualche volta in passato,
          è sempre possibile rivedere il menu a dialogo
          con le opzioni eseguendo:</para>

        <screen>&prompt.root; <userinput>make config</userinput></screen>

        <para>nella directory dei port.</para>

        <para>Nel menu a dialogo delle opzioni,
          flagga l'opzione <literal>APACHE</literal>
          per compilare <application>mod_php5</application>
          come modulo caricabile per il web server
          <application>Apache</application>.</para>

        <note>
        <para>Molti siti stanno ancora usando
            <acronym>PHP</acronym>4 per varie ragioni (ad esempio
            questioni di compatibilità o applicativi web già
            costruiti).  Se si necessita del modulo <application>mod_php4</application>
            invece che di <application>mod_php5</application>, siete pregati
            di usare il port <filename role="package">lang/php4</filename>.
            Il port <filename role="package">lang/php4</filename> supporta
            molte delle configurazioni e delle opzioni di build-time
            del port <filename role="package">lang/php5</filename>.</para>
        </note>

        <para>Questo installerà e
          configurerà i moduli richiesti
          per supportare applicazioni web dinamiche <acronym>PHP</acronym>.
          Controlla che le seguenti linee siano state aggiunte al file
          <filename>/usr/local/etc/apache/httpd.conf</filename>:</para>

        <programlisting>LoadModule php5_module        libexec/apache/libphp5.so
AddModule mod_php5.c
    &lt;IfModule mod_php5.c&gt;
        DirectoryIndex index.php index.html
    &lt;/IfModule&gt;

    &lt;IfModule mod_php5.c&gt;
        AddType application/x-httpd-php .php
        AddType application/x-httpd-php-source .phps
    &lt;/IfModule&gt;</programlisting>

        <para>Una volta completato, una semplice chiamata
         al comando <command>apachectl</command> per un tranquillo
         restart è richiesto per caricare il modulo
         <acronym>PHP</acronym>:</para>

        <screen>&prompt.root; <userinput>apachectl graceful</userinput></screen>

        <para>Per upgrade futuri di <acronym>PHP</acronym>, il comando
          <command>make config</command> non sarà richiesto;
          le <literal>OPTIONS</literal> selezionate sono salvate automaticamente
          dal sistema dei Ports di &os;.</para>

        <para>Il supporto a <acronym>PHP</acronym> in &os; è
          estremamente modulare così l'installazione
          base è molto limitata.  È molto facile
          aggiungere supporto usando il port
          <filename role="package">lang/php5-extensions</filename>.
          Questo port fornisce un interfaccia a menu per l'installazione
          di estensioni a <acronym>PHP</acronym>.  Alternativamente
          le singole estensioni possono essere installate usando
          il port appropriato.</para>

        <para>Ad esempio, per aggiungere supporto al database
          <application>MySQL</application> a <acronym>PHP</acronym>5,
          semplicemente installa
          <filename role="package">databases/php5-mysql</filename>.</para>

          <para>Dopo aver installato un'estensione, il server
            <application>Apache</application> deve essere riavviato per
            caricare i cambiamenti della nuova configurazione:</para>

        <screen>&prompt.root; <userinput>apachectl graceful</userinput></screen>

        </sect4>
      </sect3>
    </sect2>
  </sect1>

  <sect1 id="network-ftp">
    <sect1info>
      <authorgroup>
        <author>
          <firstname>Murray</firstname>

          <surname>Stokely</surname>

          <contrib>Grazie al Contributo di </contrib>
        </author>
      </authorgroup>
    </sect1info>

    <title>File Transfer Protocol (FTP)</title>

    <indexterm><primary>Server FTP</primary></indexterm>

    <sect2>
      <title>Uno sguardo d'insieme</title>

      <para>Il File Transfer Protocol (FTP) fornisce
        agli utenti un semplice modo di trasferire
        file da e verso un server
        <acronym role="File Transfer Protocol">FTP</acronym>.
        &os; include software per server
        <acronym role="File Transfer Protocol">FTP</acronym>
        nel sistema base.  Questo rende l'installazione
        e l'ammininistrazione di un server
        <acronym role="File Transfer Protocol">FTP</acronym>
        molto semplice.</para>
    </sect2>

    <sect2>
      <title>Configurazione</title>

      <para>Il più importante passo di
        configurazione è decidere a quali
        account saraà permesso
        accedere al server FTP.  Un sistema normale
        FreeBSD ha un certo numero di account di sistema
        usati per vari demoni, ma agli utenti estranei
        non dovrebbe essere permesso di loggarsi con questi
        account.  Il file
        <filename>/etc/ftpusers</filename> è una lista
        di utenti a cui è negato l'accesso FTP.
        Di default include gli account di sistema sopra citati
        ma è possibile aggiungere utenti specifici
        che non dovrebbero avere accesso FTP.</para>

      <para>Può essere che tu voglia restringere
        l'accesso ad alcuni utenti senza impedir loro
        di usare completamente FTP.  Ciò
        può essere ottenuto
        con il file <filename>/etc/ftpchroot</filename>.
        Questo file elenca utenti e gruppi soggetti a
        restrizioni di accesso FTP.  La pagina di manuale
        &man.ftpchroot.5; ha tutti i dettagli così
        non sarà descritta qui.</para>

      <indexterm>
        <primary>FTP</primary>
        <secondary>anonimo</secondary>
      </indexterm>

      <para>Se tu volessi abilitare accesso anonimo
        FTP al tuo server, devi creare un utente chiamato
        <username>ftp</username> sul tuo sistema &os;.
        Gli utenti allora potranno loggarsi al tuo server FTP
        con uno username di <username>ftp</username>
        o <username>anonymous</username> e con
        una password qualsiasi
        (di norma dovrebbe essere usato un indirizzo email
        dell'utente come password).  Il server FTP
        chiamerà &man.chroot.2; quando un utente
        anonimo si logga, per restringere l'accesso solo
        alla home directory di <username>ftp</username>.</para>

      <para>Ci sono due file di testo che specificano
        messaggi di benvenuto per i client FTP.  Il contenuto
        del file <filename>/etc/ftpwelcome</filename> sarà
        mostrato agli utenti prima che raggiungano il prompt
        del login.  Dopo un login di successo, il contenuto
        del file <filename>/etc/ftpmotd</filename> sarà
        mostrato.  Nota che il percorso di questo file è
        relativo all'ambiente di login, così
        saraà mostrato il file
        <filename>~ftp/etc/ftpmotd</filename>.</para>

      <para>Una volta che il server FTP è
        stato configurato
        correttamente, deve essere abilitato in
        <filename>/etc/inetd.conf</filename>.  Tutto ciò
        che viene richiesto è rimuovere il simbolo
        di commento <quote>#</quote> dall'inizio della linea
        relativa a <application>ftpd</application>:</para>

      <programlisting>ftp  stream  tcp  nowait  root  /usr/libexec/ftpd ftpd -l</programlisting>

      <para>Come spiegato in <xref linkend="network-inetd-reread"/>,
        la configurazione di <application>inetd</application>
        deve essere ricaricata dopo che
        che questo file di configurazione è stato cambiato.</para>

      <para>Ora puoi loggarti al tuo server FTP digitando:</para>

      <screen>&prompt.user; <userinput>ftp localhost</userinput></screen>
    </sect2>

    <sect2>
      <title>Manutenzione</title>

      <indexterm><primary>syslog</primary></indexterm>
      <indexterm>
        <primary>file di log</primary>
        <secondary>FTP</secondary>
      </indexterm>

      <para>Il demone <application>ftpd</application> usa
        &man.syslog.3; per loggare i mesaggi.  Di default
        il demone dei log di sistema girerà
        i messaggi relativi a FTP nel file
        <filename>/var/log/xferlog</filename>.  La posizione
        del log FTP può essere modificata cambiando
        la seguente linea in
        <filename>/etc/syslog.conf</filename>:</para>

      <programlisting>ftp.info      /var/log/xferlog</programlisting>

      <indexterm>
        <primary>FTP</primary>
        <secondary>anonimo</secondary>
      </indexterm>

      <para>Presta attenzione ai problemi potenziali
        correlati all'esecuzione di un server FTP anonimo.
        In particolare, dovresti pensarci due volte prima di
        permettere agli utenti anonimi di fare upload di file.
        Potresti scoprire che il tuo sito FTP è
        diventato un forum per il commercio di software
        commerciale senza licenza o anche peggio.
        Se hai veramente bisogno di permettere upload FTP
        anonimi, allora dovresti impostare i permessi
        in modo che questi file non possano essere letti
        da altri utenti fino a che non siano
        stati revisionati.</para>
    </sect2>
  </sect1>

  <sect1 id="network-samba">
    <sect1info>
      <authorgroup>
        <author>
          <firstname>Murray</firstname>

          <surname>Stokely</surname>

          <contrib>Grazie al contributo di </contrib>
        </author>
      </authorgroup>
    </sect1info>

    <title>Servizi di File e Stampa per client
      &microsoft.windows; (Samba)</title>

    <indexterm><primary>Server Samba</primary></indexterm>
    <indexterm><primary>Microsoft Windows</primary></indexterm>
    <indexterm>
      <primary>file server</primary>
      <secondary>Windows client</secondary>
    </indexterm>
    <indexterm>
      <primary>print server</primary>
      <secondary>Windows client</secondary>
    </indexterm>

    <sect2>
      <title>Uno sguardo d'insieme</title>

      <para><application>Samba</application> è un
        popolare pacchetto software open source che
        fornisce servizi di file e stampa per client
        &microsoft.windows;.  Tali client possono connettersi
        ed usare un file system FreeBSD
        come se fosse un disco locale, o stampanti
        FreeBSD come se fossero stampanti locali.</para>

      <para>Il pacchetto software
        <application>Samba</application>
        dovrebbe essere incluso nel tuo media di
        installazione FreeBSD.  Se non hai
        installato <application>Samba</application>
        quando hai installato per la prima volta FreeBSD,
        puoi sempre installarlo dal port o pacchetto
        <filename role="package">net/samba3</filename>.</para>
    </sect2>

    <sect2>
      <title>Configurazione</title>

      <para>Un file di configurazione di
        <application>Samba</application> di default è
        installato in
        <filename>/usr/local/share/examples/smb.conf.default</filename>.
        Questo file deve essere copiato in
        <filename>/usr/local/etc/smb.conf</filename>
        e personalizzato prima che
        <application>Samba</application> possa essere usato.</para>

      <para>Il file <filename>smb.conf</filename> contiene
        informazione di configurazione runtime per
        <application>Samba</application>, come le definizioni
        delle stampanti e <quote>share di file system</quote>
        che vorresti condividere con &windows; client.
        Il pacchetto <application>Samba</application> include
        un tool basato sul web chiamato
        <application>swat</application> che fornisce
        un modo semplice di configurare il file
        <filename>smb.conf</filename>.</para>

      <sect3>
        <title>Usare il Samba Web Administration Tool (SWAT)</title>

        <para>Il Samba Web Administration Tool (SWAT) viene
          eseguito come demone da
          <application>inetd</application>.
          Quindi, dovresti togliere i commenti
          alla seguente linea in
          <filename>/etc/inetd.conf</filename>
          prima che <application>swat</application> possa essere
          usato per configurare
          <application>Samba</application>:</para>

        <programlisting>swat   stream  tcp     nowait/400      root    /usr/local/sbin/swat    swat</programlisting>

        <para>Come spiegato in
          <xref linkend="network-inetd-reread"/>,
          la configurazione di <application>inetd</application>
          deve essere ricaricata dopo che
          questo file di configurazione è
          stato cambiato.</para>

        <para>Una volta che <application>swat</application>
          è stato abilitato in
          <filename>inetd.conf</filename>,
          puoi usare un browser per connetterti a
          <ulink url="http://localhost:901"></ulink>.
          Dovrai prima loggarti con l'account di sistema
          <username>root</username>.</para>

<!-- XXX screenshots go here, loader is creating them -->

        <para>Una volta che ti sei loggato con successo
          alla pagina principale di configurazione di
          <application>Samba</application>, puoi navigare
          la documentazione di sistema, o iniziare
          cliccando sul tab
          <guimenu>Globals</guimenu>.  La sezione
          <guimenu>Globals</guimenu> corrisponde alle variabili
          che sono impostate nella sezione
          <literal>[global]</literal> di
          <filename>/usr/local/etc/smb.conf</filename>.</para>
      </sect3>

      <sect3>
        <title>Impostazioni Globali</title>

        <para>Sia che tu stia usando
          <application>swat</application>
          o che tu stia editando direttamente
          <filename>/usr/local/etc/smb.conf</filename>,
          le prime direttive che tu puoi incontrare quando
          configuri <application>Samba</application> sono:</para>

        <variablelist>
          <varlistentry>
            <term><literal>workgroup</literal></term>

            <listitem>
              <para>Nome dominio NT o nome Workgroup
                per i computer che accedono a questo server.</para>
            </listitem>
          </varlistentry>

          <varlistentry>
            <term><literal>netbios name</literal></term>

            <listitem>
	      <indexterm><primary>NetBIOS</primary></indexterm>

              <para>Questo imposta il nome NetBIOS attraverso
                il quale un <application>Samba</application>
                è conosciuto.  Di default è
                lo stesso della prima parte del nome host
                DNS.</para>
            </listitem>
          </varlistentry>

          <varlistentry>
            <term><literal>server string</literal></term>

            <listitem>
              <para>Questo imposta la stringa che sarà
                mostrata con il comando <command>net view</command>
                e con alcuni altri strumenti di rete che cercano
                di mostrare testo descrittivo sul
                server.</para>
            </listitem>
          </varlistentry>
        </variablelist>
      </sect3>

      <sect3>
        <title>Impostazioni di Sicurezza</title>

        <para>Due delle più importanti impostazioni
          in <filename>/usr/local/etc/smb.conf</filename>
          sono i modelli di sicurezza usati, ed il formato
          delle password di backend per utenti client.
          Le seguenti direttive controllano queste
          opzioni:</para>

        <variablelist>
          <varlistentry>
            <term><literal>security</literal></term>

            <listitem>
              <para>Le due più comuni opzioni in
              questo caso sono
              <literal>security = share</literal>
              e <literal>security = user</literal>.
              Se i tuoi client usano nomi utente che sono
              gli stessi dei nomi utenti sulla tua macchina
              &os;, allora vorrai sicurezza di tipo
              user.  Questa è la policy di sicurezza
              di default e richiede ai client prima di
              loggarsi prima che possano accedere a risorse
              condivise.</para>

              <para>Nel modello di sicurezza di tipo share,
                i client non hanno bisogno di loggarsi al server
                con una valida coppia username e password
                prima che provino a connettersi a risorse
                condivise.  Questo è il modello di sicurezza
                di default per versioni precedenti di
                <application>Samba</application>.</para>
            </listitem>
          </varlistentry>

          <varlistentry>
            <term><literal>passdb backend</literal></term>

            <listitem>
	      <indexterm><primary>NIS+</primary></indexterm>
	      <indexterm><primary>LDAP</primary></indexterm>
	      <indexterm><primary>SQL database</primary></indexterm>

              <para><application>Samba</application> ha molti
                modelli diversi di backend di autenticazione.
                Puoi autenticare i client con LDAP, NIS+, un
                database SQL, o un file di password modificato.
                Il metodo di autenticazione di default
                è <literal>smbpasswd</literal>, e questo
                sarà l'unico coperto qui.</para>
            </listitem>
          </varlistentry>
        </variablelist>

        <para>Assumendo che il backend usato sia
          quello di default, <literal>smbpasswd</literal>,
          il file <filename>/usr/local/private/smbpasswd</filename>
          deve essere creato per permettere a
          <application>Samba</application> di autenticare i
          client.  Se tu volessi dare ai tuoi account
          &unix; accesso da client &windows;, usa il seguente
          comando:</para>

        <screen>&prompt.root; <userinput>smbpasswd -a username</userinput></screen>

        <para>Per favore consulta l' <ulink
          url="http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/">Official Samba HOWTO</ulink>
          <ulink
            url="http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/">HOWTO
            Ufficiale di Samba</ulink>
          per informazioni addizionali sulle opzioni
          di configurazione.
          Con le basi delineate qui, dovresti avere tutto
          ciò di cui hai bisogno per avviare
          <application>Samba</application>.</para>
        </sect3>
    </sect2>

    <sect2>
      <title>Avviare <application>Samba</application></title>

      <para>Il port <filename role="package">net/samba3</filename>
        aggiunge un nuovo script di avvio, che può essere
        usato per controllare
        <application>Samba</application>.  Per abilitare questo script,
        in modo tale da essere usato per esempio per avviare
        fermare o far ripartire
        <application>Samba</application>, aggiungi la riga seguente
        al file <filename>/etc/rc.conf</filename>:</para>

      <programlisting>samba_enable="YES"</programlisting>

      <para>Oppure, per un controllo più accurato:</para>

      <programlisting>nmbd_enable="YES"</programlisting>

      <programlisting>smbd_enable="YES"</programlisting>

      <note>
        <para>In questo modo <application>Samba</application>
          viene avviato automaticamente ad ogni avvio
          del sistema.</para>
      </note>

      <para>Per avviare
        <application>Samba</application> digita:</para>

      <screen>&prompt.root; <userinput>/usr/local/etc/rc.d/samba start</userinput>
Starting SAMBA: removing stale tdbs :
Starting nmbd.
Starting smbd.</screen>

      <para>Fai riferimento alla <xref linkend="configtuning-rcd"/> per
        ulteriori informazioni sull'uso degli script rc.</para>

      <para><application>Samba</application> attualmente
        consiste di tre demoni separati.  Dovresti
        osservare che entrambi <application>nmbd</application>
        e <application>smbd</application> siano avviati
        dallo script <filename>samba</filename>.  Se
        hai abilitato servizi di risoluzione di nomi
        winbind in <filename>smb.conf</filename>, allora
        osserverai che anche il demone
        <application>winbindd</application> è avviato.</para>

      <para>Puoi anche fermare <application>Samba</application>
        in ogni istante digitando:</para>

      <screen>&prompt.root; <userinput>/usr/local/etc/rc.d/samba stop</userinput></screen>

      <para><application>Samba</application> è una suite
        complessa di software con funzionalità che permette
        una larga integrazione con reti &microsoft.windows;.
        Per maggiori informazioni sulle funzionalità
        al di là dell'installazione di base descritta qui
        per favore consulta <ulink url="http://www.samba.org">
        </ulink>.</para>
    </sect2>
  </sect1>

  <sect1 id="network-ntp">
    <sect1info>
      <authorgroup>
        <author>
          <firstname>Tom</firstname>

          <surname>Hukins</surname>

          <contrib>Grazie al contributo di </contrib>
        </author>
      </authorgroup>
    </sect1info>

    <title>Sincronizzazione del Clock con NTP</title>

    <indexterm><primary>NTP</primary></indexterm>

    <sect2>
      <title>Uno sguardo d'insieme</title>

      <para>Al passare del tempo, il clock di un computer tende
        a perdere la sincronizzazione.  Il Network Time Protocol
        (NTP) fornisce un modo per assicurarti che il tuo
        clock sia accurato.</para>

      <para>Molti servizi Internet si basano sul fatto che
        il clock del computer sia accurato, o comunque
        traggono notevole beneficio
        da questo fatto.  Per esempio, un web server
        può ricevere richieste di inviare un file se
        questo è stato modificato da una certa
        data.  In un ambiente locale di rete, è
        essenziale che i computer che condividono
        i file dallo stesso file server abbiano clock
        sincronizzati cosicchè i timestamp dei file
        siano consistenti.  Anche servizi come &man.cron.8;
        si basano su un clock di sistema accurato per eseguire
        comandi al momento specificato.</para>

      <indexterm>
        <primary>NTP</primary>
        <secondary>ntpd</secondary>
      </indexterm>

      <para>FreeBSD è dotato del server &man.ntpd.8;
        <acronym role="Network Time Protocol">NTP</acronym>
        che può essere usato per interrogare altri
        server <acronym role="Network Time Protocol">NTP</acronym>
        per impostare il clock sulla tua macchina o fornire
        servizi di time ad altri.</para>
    </sect2>

    <sect2>
      <title>Scegliere Server NTP Appropriati</title>

      <indexterm>
        <primary>NTP</primary>
        <secondary>scegliere i server</secondary>
      </indexterm>

      <para>Per sincronizzare il tuo
        clock, avrai bisogno di scegliere uno o più
        server <acronym role="Network Time Protocol">NTP</acronym>
        da usare.  Il tuo amministratore di rete o ISP
        potrebbe aver impostato un server NTP, a questo scopo
        &mdash; controlla la loro documentazione per vedere se
        questo è il caso.  C'è una
        <ulink url="http://ntp.isc.org/bin/view/Servers/WebHome">
        lista online di server NTP pubblicamente accessibili
        </ulink> che tu puoi usare per trovare un server NTP
        vicino a te.  Accertati di essere al corrente della
        politica di ogni server che scegli, e chiedi il
        permesso se necessario.</para>

      <para>Scegliere molti server NTP non connessi
        fra loro è una buona idea in caso uno
        dei server che stai usando diventa irraggiungibile
        o il suo clock è inaffidabile.
        &man.ntpd.8; usa le risposte che riceve
        da altri server in modo intelligente;
        favorirà server inaffidabili meno di quelli
        affidabili.</para>
    </sect2>

    <sect2>
      <title>Configurare la tua Macchina</title>

      <indexterm>
        <primary>NTP</primary>
        <secondary>configurazione</secondary>
      </indexterm>

      <sect3>
        <title>Configurazione Base</title>

        <indexterm><primary>ntpdate</primary></indexterm>

        <para>Se desideri solo sincronizzare il tuo clock
          al momento del boot della macchina, puoi usare
          &man.ntpdate.8;.  Questo può essere
          appropriato per alcune macchine desktop che sono
          rebootate di frequente e richiedono
          sincronizzazione non frequente, ma le altre macchine
          dovrebbero eseguire &man.ntpd.8;.</para>

        <para>Usare &man.ntpdate.8; al momento del boot
          è una buona idea per le macchine che eseguono
          &man.ntpdate.8;.  Il programma &man.ntpd.8; cambia il
          clock gradualmente, mentre &man.ntpdate.8; imposta
          il clock, indipentemente da quanto grande sia la
          differenza fra l'impostazione di clock corrente di una
          macchina e l'ora corretta.</para>

        <para>Per abilitare &man.ntpdate.8; al momento del boot,
          aggiungi <literal>ntpdate_enable="YES"</literal>
          a <filename>/etc/rc.conf</filename>.  Avrai anche
          bisogno di specificare tutti i server
          con i quali ti desideri
          sincronizzare ed ogni flags passato a &man.ntpdate.8;
          in <varname>ntpdate_flags</varname>.</para>
      </sect3>

      <sect3>
	<title>Configurazione Generale</title>

        <indexterm>
          <primary>NTP</primary>
          <secondary>ntp.conf</secondary>
        </indexterm>

        <para>NTP è configurato dal file
          <filename>/etc/ntp.conf</filename> nel formato
          descritto da &man.ntp.conf.5;.  Questo è
          un semplice esempio:</para>

        <programlisting>server ntplocal.example.com prefer
server timeserver.example.org
server ntp2a.example.net

driftfile /var/db/ntp.drift</programlisting>

        <para>L'opzione <literal>server</literal> specifica
          quali server siano da usare, con un server elencato
          su ogni linea.  Se un server è specificato con
          l'argomento <literal>prefer</literal>, come con
          <hostid role="fqdn">ntplocal.example.com</hostid>,
          quel server saraà preferito rispetto ad
          altri.  Una risposta da un server preferito
          sarà scartata se differisce
          in modo significativo dalle risposte di altri server,
          altrimenti sarà usata senza nessuna
          considerazione delle altre risposte.  L'argomento
          <literal>prefer</literal> è normalmente usato
          per server NTP che sono noti per
          essere molto accurati, come quelli con hardware a
          monitoraggio speciale del tempo.</para>

        <para>L'opzione <literal>driftfile</literal> specifica
          quale file sia usato per conservare la frequenza di
          scostamento dal clock di sistema.  Il programma
          &man.ntpd.8; usa questo dato per compensare
          automaticamente le imprecisioni naturali del clock,
          permettendo di mantenere una impostazione ragionevolmente
          corretta anche se gli è impedito di accedere
          a tutte le sorgenti di sincronizzazione tempo esterne
          per un certo periodo di tempo.</para>

        <para>L'opzione <literal>driftfile</literal> specifica
          quale file sia usato per conservare informazioni sulle
          risposte precedenti dai server NTP che usi.  Questo file
          contiene informazioni interne per NTP.  Non dovrebbe
          essere modificato da altri processi.</para>
      </sect3>

      <sect3>
        <title>Controllare l'Accesso ad i tuoi Server</title>

        <para>Di default, il tuo server NTP sarà accessibile
          a tutti gli host su Internet.  L'opzione
          <literal>restrict</literal> in
          <filename>/etc/ntp.conf</filename> ti permette
          di controllare quali macchine possano accedere al tuo
          server.</para>

        <para>Se vuoi negare a tutte le macchine accesso
          al tuo server NTP, aggiungi la seguente linea a
          <filename>/etc/ntp.conf</filename>:</para>

        <programlisting>restrict default ignore</programlisting>

        <note>
          <para>Inoltre questo settaggio vieta l'accesso
            al tuo server dai server elencati nella tua configurazione
            locale.  Se hai bisogno di sincronizzare il tuo
            server NTP con un server NTP esterno devi permettere
            il server che vuoi usare.  Guada la pagina man
            &man.ntp.conf.5; per ulteriori dettagli.</para>
        </note>

        <para>Se vuoi permettere solo alle macchine della tua rete
          di sincronizzare il loro clock con il tuo server,
          ma assicurarti che non gli sia permesso configurare
          il server o che non sianousate
          come punto di riferimento per
          sincronizzarsi, aggiungi</para>

        <programlisting>restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap</programlisting>

        <para>invece, dove<hostid role="ipaddr">192.168.1.0</hostid>
          è un indirizzo IP sulla tua rete e
          <hostid role="ipaddr">255.255.255.0</hostid>
          è la netmask della tua rete.</para>

        <para><filename>/etc/ntp.conf</filename> può
          contenere molte opzioni <literal>restrict</literal>.
          Per maggiori dettagli, consulta la sezione
          <literal>Access Control Support</literal> di
          &man.ntp.conf.5;.</para>
      </sect3>
    </sect2>

    <sect2>
      <title>Eseguire il Server NTP</title>

      <para>Per assicurarsi che il server NTP sia avviato
        al momento del boot, aggiungi la linea
        <literal>ntpd_enable="YES"</literal> a
        <filename>/etc/rc.conf</filename>.  Se desideri
        passare flag addizionali a &man.ntpd.8;, edita
        il parametro <varname>ntpd_flags</varname>
        in <filename>/etc/rc.conf</filename>.</para>

      <para>Per avviare il server senza riavviare la tua
        macchina, esegui <command>ntpd</command> accertandoti
        di specificare ogni parametro addizionale in
        <varname>ntpd_flags</varname> presente in
        <filename>/etc/rc.conf</filename>.  Per esempio:</para>

      <screen>&prompt.root; <userinput>ntpd -p /var/run/ntpd.pid</userinput></screen>

    </sect2>

    <sect2>
      <title>Usare ntpd con una Connessione Temporanea
        ad Internet</title>

      <para>Il programma &man.ntpd.8; non necessita di una
        connessione permanente ad Internet per funzionnare
        correttamente.  Comunque, se hai una connessione
        temporanea che è configurata per effettuare
        una chiamata su richiesta, è una buona idea
        evitare che il traffico NTP causi la chiamata
        o mantenga la connessione attiva.  Se stai usando
        PPP utente, puoi usare le direttive
        <literal>filter</literal> in
        <filename>/etc/ppp/ppp.conf</filename>.
        Per esempio:</para>

      <programlisting> set filter dial 0 deny udp src eq 123
# Prevent NTP traffic from initiating dial out
set filter dial 1 permit 0 0
set filter alive 0 deny udp src eq 123
# Prevent incoming NTP traffic from keeping the connection open
set filter alive 1 deny udp dst eq 123
# Prevent outgoing NTP traffic from keeping the connection open
set filter alive 2 permit 0/0 0/0</programlisting>

      <para>Pre maggiori dettagli consulta la sezione
        <literal>PACKET FILTERING</literal> in &man.ppp.8;
        e gli esempi in
        <filename>/usr/share/examples/ppp/</filename>.</para>

      <note>
        <para>Alcuni provider di accesso ad Internet bloccano
          le porte dal numero basso, impedendo ad NTP di
          funzionare dato che le repliche non raggiungono mai
          la tua macchina.</para>
      </note>
    </sect2>

    <sect2>
      <title>Informazioni Ulteriori</title>

      <para>La documentazione per il server NTP
        può essere trovata in formato HTML in
        <filename>/usr/share/doc/ntp/</filename>.</para>
    </sect2>
  </sect1>
</chapter>