path: root/nl_NL.ISO8859-1/books/handbook/network-servers/chapter.sgml

<!--
     The FreeBSD Dutch Documentation Project

     $FreeBSD: doc/nl_NL.ISO8859-1/books/handbook/network-servers/chapter.sgml,v 1.20 2009/05/25 22:01:49 rene Exp $
     $FreeBSDnl: doc/nl_NL.ISO8859-1/books/handbook/network-servers/chapter.sgml,v 1.48 2006/01/05 21:13:23 siebrand Exp $

     %SOURCE%	en_US.ISO8859-1/books/handbook/network-servers/chapter.sgml
     %SRCID%	1.118
-->

<chapter id="network-servers">
  <chapterinfo>
    <authorgroup>
      <author>
	<firstname>Murray</firstname>
	<surname>Stokely</surname>
	<contrib>Gereorganiseerd door </contrib>
      </author>
    </authorgroup>
    <!-- 23 July 2004 -->
    <authorgroup>
      <author>
	<firstname>Siebrand</firstname>
	<surname>Mazeland</surname>
	<contrib>Vertaald door </contrib>
      </author>
      <author>
	<firstname>Ren&eacute;</firstname>
	<surname>Ladan</surname>
      </author>
    </authorgroup>
  </chapterinfo>

  <title>Netwerkdiensten</title>

  <sect1 id="network-servers-synopsis">
    <title>Overzicht</title>

    <para>Dit hoofdstuk behandelt een aantal veelgebruikte
      netwerkdiensten op &unix; systemen.  Er wordt ingegaan op de
      installatie, het instellen, testen en beheren van verschillende
      typen netwerkdiensten.  Overal in dit hoofdstuk staan
      voorbeeldbestanden met instellingen waar de lezer zijn voordeel
      mee kan doen.</para>

    <para>Na het lezen van dit hoofdstuk weet de lezer:</para>

    <itemizedlist>
      <listitem>
	<para>Hoe om te gaan met de <application>inetd</application>
	  daemon;</para>
      </listitem>

      <listitem>
	<para>Hoe een netwerkbestandssysteem opgezet kan worden;</para>
      </listitem>

      <listitem>
	<para>Hoe een netwerkinformatiedienst (NIS) opgezet kan worden
	  voor het delen van gebruikersaccounts;</para>
      </listitem>

      <listitem>
	<para>Hoe automatische netwerkinstellingen gemaakt kunnen
	  worden met DHCP;</para>
      </listitem>

      <listitem>
	<para>Hoe een domeinnaam server opgezet kan worden;</para>
      </listitem>

      <listitem>
	<para>Hoe een <application>Apache</application> HTTP Server
	  opgezet kan worden;</para>
      </listitem>

      <listitem>
	<para>Hoe een File Transfer Protocol (FTP) Server opgezet kan
	  worden;</para>
      </listitem>

      <listitem>
	<para>Hoe een bestand-- en printserver voor &windows;
	  cli&euml;nten opgezet kan worden met
	  <application>Samba</application>;</para>
      </listitem>

      <listitem>
	<para>Hoe datum en tijd gesynchroniseerd kunnen worden en hoe
	  een tijdserver opgezet kan worden met het NTP-protocol.</para>
      </listitem>

      <listitem>
	<para>Hoe het standaard log-daemon <command>syslogd</command> in
	  te stellen om logs van hosts op afstand te accepteren.</para>
      </listitem>
    </itemizedlist>

    <para>Veronderstelde voorkennis:</para>

    <itemizedlist>
      <listitem>
	<para>Basisbegrip van de scripts in
	  <filename>/etc/rc</filename>;</para>
      </listitem>

      <listitem>
	<para>Bekend zijn met basis netwerkterminologie;</para>
      </listitem>

      <listitem>
	<para>Kennis van de installatie van software van derde partijen
	  (<xref linkend="ports">).</para>
      </listitem>
    </itemizedlist>
  </sect1>

  <sect1 id="network-inetd">
    <sect1info>
      <authorgroup>
	<author>
	  <firstname>Chern</firstname>
	  <surname>Lee</surname>
	  <contrib>Bijgedragen door </contrib>
	</author>
      </authorgroup>

      <authorgroup>
	<author>
	  <contrib>Bijgewerkt voor &os; 6.1-RELEASE door </contrib>
	  <othername>The &os; Documentation Project</othername>
	</author>
      </authorgroup>
    </sect1info>

    <title>De <application>inetd</application>
      <quote>Super-Server</quote></title>

    <sect2 id="network-inetd-overview">
      <title>Overzicht</title>

      <para>&man.inetd.8; wordt soms de
	<quote>Internet Super-Server</quote> genoemd, omdat het
	verbindingen voor meerdere diensten beheert.  Als door
	<application>inetd</application> een verbinding wordt ontvangen,
	bepaalt die voor welk programma de verbinding bedoeld is,
	splitst het dat proces af en delegeert de socket (het programma
	wordt gestart met de socket van de dienst als zijn
	standaardinvoer, -uitvoer en -foutbeschrijvingen).  Het draaien
	van <application>inetd</application> voor servers die niet veel
	gebruikt worden kan de algehele werklast verminderen in
	vergelijking met het draaien van elke daemon individueel in
	stand-alone modus.</para>

      <para><application>inetd</application> wordt primair gebruikt om
	andere daemons aan te roepen, maar het handelt een aantal
	triviale protocollen direct af, zoals
	<application>chargen</application>,
	<application>auth</application> en
	<application>daytime</application>.</para>

      <para>In deze paragraaf worden de basisinstellingen van
	<application>inetd</application> behandeld met de opties vanaf
	de commandoregel en met het instellingenbestand
	<filename>/etc/inetd.conf</filename>.</para>
    </sect2>

    <sect2 id="network-inetd-settings">
      <title>Instellingen</title>

      <para><application>inetd</application> wordt gestart door het
	&man.rc.8;-systeem.  De
	optie <literal>inetd_enable</literal> staat standaard op
	<literal>NO</literal>, maar kan tijdens de installatie door
	<application>sysinstall</application> worden aangezet.  Door het
	plaatsen van</para>

      <programlisting>inetd_enable="YES"</programlisting>

      <para>of</para>

      <programlisting>inetd_enable="NO"</programlisting>

      <para>in <filename>/etc/rc.conf</filename> wordt
	<application>inetd</application> bij het opstarten van een
	systeem wel of niet ingeschakeld.  Het commando:</para>

      <screen>&prompt.root; <userinput>/etc/rc.d/inetd rcvar</userinput></screen>

      <para>kan gedraaid worden om de huidige effectieve instellingen
	weer te geven.</para>

      <para>Dan kunnen er ook nog een aantal commandoregelopties aan
	<application>inetd</application> meegegeven worden met de optie
	<literal>inetd_flags</literal>.</para>
    </sect2>

    <sect2 id="network-inetd-cmdline">
      <title>Commandoregelopties</title>

      <para>Zoals de meeste serverdaemons heeft
	<application>inetd</application> een aantal opties die
	doorgegeven kunnen worden om het gedrag aan te passen.  De
	volledige lijst van opties is:</para>

      <para><command>inetd</command> <option>[-d] [-l] [-w] [-W] [-c maximum] [-C rate] [-a adres | hostnaam]
	    [-p bestandsnaam] [-R rate] [instellingenbestand]</option></para>

      <para>Opties kunnen door middel van de optie
	<literal>inetd_flags</literal> in
	<filename>/etc/rc.conf</filename> aan
	<application>inetd</application> worden doorgegeven.  Standaard
	staat <literal>inetd_flags</literal> ingesteld op
	<literal>-wW -C 60</literal>, dat TCP-wrapping aanzet voor de
	diensten van <application>inetd</application>, en voorkomt dat
	elk enkelvoudig IP-adres enige dienst meer dan 60 keer per
	minuut opvraagt.</para>

      <para>Beginnende gebruikers zullen blij zijn om te weten dat deze
	parameters gewoonlijk niet hoeven te worden aangepast, alhoewel
	we de ratebeperkende opties hieronder noemen aangezien ze
	nuttig kunnen zijn in het geval u een buitensporig aantal
	verbindingen ontvangt.  Een volledige lijst van opties staat in
	de hulppagina &man.inetd.8;.</para>

      <variablelist>
	<varlistentry>
	  <term>-c maximum</term>

	  <listitem>
	    <para>Geeft het maximale aantal gelijktijdige verzoeken voor
	      iedere dienst aan.  De standaard is ongelimiteerd.  Kan
	      per dienst ter zijde geschoven worden met de parameter
	      <option>max-child</option>.</para>
	  </listitem>
	</varlistentry>

	<varlistentry>
	  <term>-C rate</term>

	  <listitem>
	    <para>Geeft het maximale aantal keren aan dat een dienst
	      vanaf een bepaald IP-adres per minuut aangeroepen kan
	      worden.  Kan per dienst ter zijde geschoven worden met de
	      parameter
	      <option>max-connections-per-ip-per-minute</option>.</para>
	  </listitem>
	</varlistentry>

	<varlistentry>
	  <term>-R rate</term>

	  <listitem>
	    <para>Geeft het maximale aantal keren aan dat een dienst
	      per minuut aangeroepen kan worden.  De standaard is 256.
	      De instelling <literal>0</literal> geeft aan dat er geen
	      limiet is.</para>
	  </listitem>
	</varlistentry>

	<varlistentry>
	  <term>-s maximum</term>

	  <listitem>
	    <para>Specificeert het maximaal aantal keer per minuut dat
	      een dienst aangeroepen kan worden vanuit een enkelvoudig
	      IP-adres; de standaard is onbeperkt.  Kan worden
	      overstemd op een per-dienst-basis met de parameter
	      <option>max-child-per-ip</option>.</para>
	  </listitem>
	</varlistentry>
      </variablelist>
    </sect2>

    <sect2 id="network-inetd-conf">
      <title><filename>inetd.conf</filename></title>

      <para>De instellingen van <application>inetd</application>
	worden beheerd in <filename>/etc/inetd.conf</filename>.</para>

      <para>Als er een wijziging wordt aangebracht in
	<filename>/etc/inetd.conf</filename>, dan kan
	<application>inetd</application> gedwongen worden om de
	instellingen opnieuw in te lezen door dit commando te draaien:</para>

      <example id="network-inetd-reread">
	<title>Het instellingenbestand van
<application>inetd</application> herladen</title>

	<screen>&prompt.root; <userinput>/etc/rc.d/inetd reload</userinput></screen>
      </example>

      <para>Iedere regel in het bestand met instellingen heeft
	betrekking op een individuele daemon.  Commentaar wordt vooraf
	gegaan door een <literal>#</literal>.  De opmaak van elke regel
	van <filename>/etc/inetd.conf</filename> is als volgt:</para>

      <programlisting>service-name
socket-type
protocol
{wait|nowait}[/max-child[/max-connections-per-ip-per-minute[/max-child-per-ip]]]
user[:group][/login-class]
server-program
server-program-arguments</programlisting>

      <para>Een voorbeeldregel voor de daemon &man.ftpd.8; met IPv4 kan
	eruit zien als:</para>

      <programlisting>ftp     stream  tcp     nowait  root    /usr/libexec/ftpd       ftpd -l</programlisting>

      <variablelist>
	<varlistentry>
	  <term>service-name</term>

	  <listitem>
	    <para>Dit is de dienstnaam van een daemon.  Die moet
	      overeenkomen met een dienst uit
	      <filename>/etc/services</filename>.  Hiermee kan de
	      poort waarop <application>inetd</application> moet
	      luisteren aangegeven worden.  Als er een nieuwe dienst
	      wordt gemaakt, moet die eerst in
	      <filename>/etc/services</filename> gezet worden.</para>
	  </listitem>
	</varlistentry>

	<varlistentry>
	  <term>socket-type</term>

	  <listitem>
	    <para>Dit is <literal>stream</literal>,
	      <literal>dgram</literal>, <literal>raw</literal> of
	      <literal>seqpacket</literal>.  <literal>stream</literal>
	      moet gebruikt worden voor verbindingsgebaseerde
	      TCP-daemons, terwijl <literal>dgram</literal> wordt
	      gebruikt voor daemons die gebruik maken van het
	      transportprotocol <acronym>UDP</acronym>.</para>
	  </listitem>
	</varlistentry>

	<varlistentry>
	  <term>protocol</term>

	  <listitem>
	    <para>Een van de volgende:</para>

	    <informaltable frame="none" pgwide="1">
	      <tgroup cols="2">
		<thead>
		  <row>
		    <entry>Protocol</entry>

		    <entry>Toelichting</entry>
		  </row>
		</thead>

		<tbody>
		  <row>
		    <entry>tcp, tcp4</entry>

		    <entry>TCP IPv4</entry>
		  </row>

		  <row>
		    <entry>udp, udp4</entry>

		    <entry>UDP IPv4</entry>
		  </row>

		  <row>
		    <entry>tcp6</entry>

		    <entry>TCP IPv6</entry>
		  </row>

		  <row>
		    <entry>udp6</entry>

		    <entry>UDP IPv6</entry>
		  </row>

		  <row>
		    <entry>tcp46</entry>

		    <entry>Zowel TCP IPv4 als v6</entry>
		  </row>

		  <row>
		    <entry>udp46</entry>

		    <entry>Zowel UDP IPv4 als v6</entry>
		  </row>
		</tbody>
	      </tgroup>
	    </informaltable>
	  </listitem>
	</varlistentry>

	<varlistentry>
	  <term>{wait|nowait}[/max-child[/max-connections-per-ip-per-minute[/max-child-per-ip]]]</term>

	  <listitem>
	    <para><option>wait|nowait</option> geeft aan of de daemon
	      die door <application>inetd</application> wordt
	      aangesproken zijn eigen sockets kan afhandelen of niet.
	      <option>dgram</option> sockettypen moeten de optie
	      <option>wait</option> gebruiken, terwijl streamsocket
	      daemons, die meestal multi-threaded zijn, de optie
	      <option>nowait</option> horen te gebruiken.
	      <option>wait</option> geeft meestal meerdere sockets aan
	      een daemon, terwijl <option>nowait</option> een kinddaemon
	      draait voor iedere nieuwe socket.</para>

	    <para>Het maximum aantal kinddaemons dat
	      <application>inetd</application> mag voortbrengen kan
	      ingesteld worden met de optie <option>max-child</option>.
	      Als een limiet van tien instanties van een bepaalde
	      daemon gewenst is, dan zou er <literal>/10</literal>
	      achter <option>nowait</option> gezet worden.  Door
	      <literal>/0</literal> wordt een onbeperkt aantal kinderen
	      toegestaan.</para>

	    <para>Naast <option>max-child</option> zijn er nog twee
	      andere opties waarmee het maximale aantal verbindingen van
	      een bepaalde plaats naar een daemon ingesteld kan worden.
	      <option>max-connections-per-ip-per-minute</option> beperkt
	      het aantal verbindingen per minuut voor enig IP-adres, een
	      waarde van tien betekent hier dat er van ieder IP-adres
	      maximaal tien verbindingen naar een bepaalde dienst tot
	      stand gebracht kunnen worden.
	      <option>max-child-per-ip</option> beperkt het aantal
	      kindprocessen dat namens enig IP-adres op enig moment
	      gestart kan worden.  Deze opties kunnen zijn nuttig om
	      bedoeld en onbedoeld buitensporig bronnengebruik van en
	      Denial of Service (DoS) aanvallen op een machine te
	      voorkomen.</para>

	    <para>In dit veld is &eacute;&eacute;n van
	      <option>wait</option> of <option>nowait</option>
	      verplicht.  <option>max-child</option>,
	      <option>max-connections-per-ip-per-minute</option> en
	      <option>max-child-per-ip</option> zijn optioneel.</para>

	    <para>Een stream-type multi-threaded daemon zonder
	      &eacute;&eacute;n van de limieten
	      <option>max-child</option>,
	      <option>max-connections-per-ip-per-minute</option> of
	      <option>max-child-per-ip</option> is eenvoudigweg:
	      <literal>nowait</literal>.</para>

	    <para>Dezelfde daemon met een maximale limiet van tien
	      daemons zou zijn: <literal>nowait/10</literal>.</para>

	    <para>Dezelfde instellingen met een limiet van twintig
	      verbindingen per IP-adres per minuut en een totaal maximum
	      van tien kinddaemons zou zijn:
	      <literal>nowait/10/20</literal>.</para>

	    <para>Deze opties worden allemaal gebruikt door de
	      standaardinstellingen van de daemon &man.fingerd.8;:</para>

	    <programlisting>finger stream  tcp     nowait/3/10 nobody /usr/libexec/fingerd fingerd -s</programlisting>

	    <para>Als afsluiting, een voorbeeld in dit veld met een
	      maximum van 100 kinderen in totaal, met een maximum van 5
	      voor enig IP-adres zou zijn:
	      <literal>nowait/100/0/5</literal>.</para>
	  </listitem>
	</varlistentry>

	<varlistentry>
	  <term>user</term>

	  <listitem>
	    <para>Dit is de gebruikersnaam waar een daemon onder
	      draait.  Daemons draaien meestal als de gebruiker
	      <username>root</username>.  Om veiligheidsredenen draaien
	      sommige daemons onder de gebruiker
	      <username>daemon</username> of de gebruiker met de minste
	      rechten: <username>nobody</username>.</para>
	  </listitem>
	</varlistentry>

	<varlistentry>
	  <term>server-program</term>

	  <listitem>
	    <para>Het volledige pad van de daemon die uitgevoerd moet
	      worden als er een verbinding wordt ontvangen.  Als de
	      daemon een dienst is die door
	      <application>inetd</application> intern wordt geleverd,
	      dan moet de optie <option>internal</option> gebruikt
	      worden.</para>
	  </listitem>
	</varlistentry>

	<varlistentry>
	  <term>server-program-arguments</term>

	  <listitem>
	    <para>Deze optie werkt samen met de optie
	      <option>server-program</option> en hierin worden de
	      argumenten ingesteld, beginnend met
	      <literal>argv[0]</literal>, die bij het starten aan de
	      daemon worden meegegeven.  Als
	      <command>mijndaemon -d</command> de commandoregel is,
	      dan zou <literal>mijndaemon -d</literal> de waarde van
	      <option>server-program-arguments</option> zijn.  Hier
	      geldt ook dat als de daemon een interne dienst is, hier
	      de optie <option>internal</option> moet worden.</para>
	  </listitem>
	</varlistentry>
      </variablelist>
    </sect2>

    <sect2 id="network-inetd-security">
      <title>Beveiliging</title>

      <para>Afhankelijk van keuzes gemaakt tijdens de installatie,
	kunnen veel van de diensten van <application>inetd</application>
	standaard ingeschakeld zijn.  Het is verstandig te overwegen om
	een daemon dat niet noodzakelijk is uit te schakelen.  Plaats
	een <literal>#</literal> voor de daemon in
	<filename>/etc/inetd.conf</filename> en <link
	  linkend="network-inetd-reread">herlaad vervolgens de
	instellingen van inetd</link>.  Sommige daemons, zoals
	<application>fingerd</application>, zijn wellicht helemaal niet
	gewenst omdat ze informatie geven die nuttig kan zijn voor een
	aanvaller.</para>

      <para>Sommige daemons zijn zich niet echt bewust van beveiliging
	en hebben lange of niet bestaande timeouts voor
	verbindingspogingen.  Hierdoor kan een aanvaller langzaam veel
	verbindingen maken met een daemon en zo beschikbare bronnen
	verzadigen.  Het is verstandig voor die daemons de limietopties
	<option>max-connections-per-ip-per-minute</option>,
	<option>max-child</option> of <option>max-child-per-ip</option>
	te gebruiken als ze naar uw smaak teveel verbindingen hebben.</para>

      <para>TCP-wrapping staat standaard aan.  Er staat meer informatie
	over het zetten van TCP-restricties op de verschillende daemons
	die door <application>inetd</application> worden aangesproken
	in &man.hosts.access.5;.</para>
    </sect2>

    <sect2 id="network-inetd-misc">
      <title>Allerlei</title>

      <para><application>daytime</application>,
	<application>time</application>,
	<application>echo</application>,
	<application>discard</application>,
	<application>chargen</application> en
	<application>auth</application> zijn allemaal interne diensten
	van <application>inetd</application>.</para>

      <para>De dienst <application>auth</application> biedt
	identiteitsnetwerkdiensten en is tot op een bepaald niveau
	instelbaar, terwijl de anderen eenvoudigweg aan of uit staan.</para>

      <para>Meer diepgaande informatie staat in &man.inetd.8;.</para>
    </sect2>
  </sect1>

  <sect1 id="network-nfs">
    <sect1info>
      <authorgroup>
	<author>
	  <firstname>Tom</firstname>
	  <surname>Rhodes</surname>
	  <contrib>Gereorganiseerd en verbeterd door </contrib>
	</author>
      </authorgroup>

      <authorgroup>
	<author>
	  <firstname>Bill</firstname>
	  <surname>Swingle</surname>
	  <contrib>Geschreven door </contrib>
	</author>
      </authorgroup>
    </sect1info>

    <title>Netwerkbestandssysteem (NFS)</title>

    <indexterm><primary>NFS</primary></indexterm>

    <para>Het Netwerkbestandssysteem (Network File System) is een van
      de vele bestandssystemen die &os; ondersteunt.  Het staat ook wel
      bekend als <acronym role="Network File System">NFS</acronym>.
      Met <acronym role="Network File System">NFS</acronym> is het
      mogelijk om mappen en bestanden met anderen in een netwerk te
      delen.  Door het gebruik van <acronym
	role="Network File System">NFS</acronym> kunnen gebruikers en
      programma's bij bestanden op andere systemen op bijna dezelfde
      manier als bij hun eigen lokale bestanden.</para>

    <para>De grootste voordelen van <acronym>NFS</acronym> zijn:</para>

    <itemizedlist>
      <listitem>
	<para>Lokale werkstations gebruiken minder schijfruimte omdat
	  veel gebruikte data op &eacute;&eacute;n machine opgeslagen
	  kan worden en nog steeds toegankelijk is voor gebruikers via
	  het netwerk;</para>
      </listitem>

      <listitem>
	<para>Gebruikers hoeven niet op iedere machine een thuismap te
	  hebben.  Thuismappen kunnen op de <acronym>NFS</acronym>
	  server staan en op het hele netwerk beschikbaar zijn;</para>
      </listitem>

      <listitem>
	<para>Opslagapparaten als floppydisks, CD-ROM drives en
	  &iomegazip; drives kunnen door andere machines op een netwerk
	  gebruikt worden.  Hierdoor kan het aantal drives met
	  verwijderbare media in een netwerk verkleind worden.</para>
      </listitem>
    </itemizedlist>

    <sect2>
      <title>Hoe <acronym>NFS</acronym> werkt</title>

      <para><acronym>NFS</acronym> bestaat uit tenminste twee
	hoofdonderdelen: een server en een of meer cli&euml;nten.  De
	cli&euml;nt benadert de gegevens die op een servermachine zijn
	opgeslagen via een netwerk.  Om dit mogelijk te maken moeten er
	een aantal processen ingesteld en gestart worden.</para>

      <para>Op de server moeten de volgende daemons draaien:</para>
      <indexterm>
	<primary>NFS</primary>

	<secondary>server</secondary>
      </indexterm>

      <indexterm>
	<primary>bestandsserver</primary>

	<secondary>UNIX cli&euml;nten</secondary>
      </indexterm>

      <indexterm><primary><application>rpcbind</application></primary></indexterm>

      <indexterm><primary><application>mountd</application></primary></indexterm>

      <indexterm><primary><application>nfsd</application></primary></indexterm>

      <informaltable frame="none" pgwide="1">
	<tgroup cols="2">
	  <colspec colwidth="1*">

	  <colspec colwidth="3*">

	  <thead>
	    <row>
	      <entry>Daemon</entry>

	      <entry>Beschrijving</entry>
	    </row>
	  </thead>

	  <tbody>
	    <row>
	      <entry><application>nfsd</application></entry>

	      <entry>De <acronym>NFS</acronym>-daemon die verzoeken van
		de <acronym>NFS</acronym> cli&euml;nten afhandelt.</entry>
	    </row>

	    <row>
	      <entry><application>mountd</application></entry>

	      <entry>De <acronym>NFS</acronym> koppeldaemon die
		doorgestuurde verzoeken van &man.nfsd.8;
		uitvoert.</entry>
	    </row>

	    <row>
	      <entry><application>rpcbind</application></entry>

	      <entry>Deze daemon geeft voor
		<acronym>NFS</acronym>-cli&euml;nten aan welke poort de
		<acronym>NFS</acronym>-server gebruikt.</entry>
	    </row>
	  </tbody>
	</tgroup>
      </informaltable>

      <para>Op de cli&euml;nt kan ook een daemon draaien:
	<application>nfsiod</application>.  De daemon
	<application>nfsiod</application> handelt verzoeken van de
	<acronym>NFS</acronym>-server af.  Dit is optioneel en kan de
	prestaties verbeteren, maar het is niet noodzakelijk voor een
	normale en correcte werking.  Meer informatie staat in
	&man.nfsiod.8;.</para>
    </sect2>

    <sect2 id="network-configuring-nfs">
      <title><acronym>NFS</acronym> instellen</title>

      <indexterm>
	<primary>NFS</primary>

	<secondary>instellen</secondary>
      </indexterm>

      <para><acronym>NFS</acronym> instellen gaat redelijk rechtlijnig.
	Alle processen die moeten draaien kunnen meestarten bij het
	opstarten door een paar wijzigingen in
	<filename>/etc/rc.conf</filename>.</para>

      <para>Op de <acronym>NFS</acronym> server dienen de volgende
	opties in <filename>/etc/rc.conf</filename> te staan:</para>

      <programlisting>rpcbind_enable="YES"
nfs_server_enable="YES"
mountd_flags="-r"</programlisting>

      <para><application>mountd</application> start automatisch als de
	<acronym>NFS</acronym> server is ingeschakeld.</para>

      <para>Op de cli&euml;nt dient de volgende optie in
	<filename>/etc/rc.conf</filename> te staan:</para>

      <programlisting>nfs_client_enable="YES"</programlisting>

      <para>In het bestand <filename>/etc/exports</filename> staat
	beschreven welke bestandssystemen <acronym>NFS</acronym> moet
	exporteren (soms heet dat ook wel delen of
	<quote>sharen</quote>).  Iedere regel in
	<filename>/etc/exports</filename> slaat op een bestandssysteem
	dat wordt ge&euml;xporteerd en welke machines toegang hebben
	tot dat bestandssysteem.  Samen met machines die toegang hebben,
	kunnen ook toegangsopties worden aangegeven.  Er zijn veel
	opties beschikbaar, maar hier worden er maar een paar
	beschreven.  Alle opties staan beschreven in
	&man.exports.5;.</para>

      <para>Nu volgen een aantal voorbeelden voor
	<filename>/etc/exports</filename>:</para>

      <indexterm>
	<primary>NFS</primary>

	<secondary>exportvoorbeelden</secondary>
      </indexterm>

      <para>Het volgende voorbeeld geeft een beeld van hoe een
	bestandssysteem te exporteren, hoewel de instellingen
	afhankelijk zijn van de omgeving en het netwerk.  Om
	bijvoorbeeld de map <filename>/cdrom</filename> te exporteren
	naar drie machines die dezelfde domeinnaam hebben als de server
	(vandaar dat de machinenamen geef domeinachtervoegsel hebben)
	of in <filename>/etc/hosts</filename> staan.  De vlag
	<option>-ro</option> exporteert het bestandssysteem als
	alleen&ndash;lezen.  Door die vlag kan een ander systeem niet
	schrijven naar het ge&euml;xporteerde bestandssysteem.</para>

      <programlisting>/cdrom -ro host1 host2 host3</programlisting>

      <para>Het volgende voorbeeld exporteert
	<filename>/home</filename> naar drie hosts op basis van
	IP-adres.  Dit heeft zin als er een privaat netwerk bestaat,
	zonder dat er een <acronym>DNS</acronym> server is ingesteld.
	Optioneel kan <filename>/etc/hosts</filename> gebruikt worden
	om interne hostnamen in te stellen.  Er is meer informatie te
	vinden in &man.hosts.5;.  Met de vlag <option>-alldirs</option>
	mogen submappen ook koppelpunten zijn.  De submap wordt dan niet
	feitelijk aangekoppeld, maar de cli&euml;nt koppelt dan alleen
	de submappen aan die verplicht of nodig zijn.</para>

      <programlisting>/home  -alldirs  10.0.0.2 10.0.0.3 10.0.0.4</programlisting>

      <para>Het volgende voorbeeld exporteert <filename>/a</filename>
	zo dat twee cli&euml;nten uit verschillende domeinen bij het
	bestandssysteem mogen.  Met de vlag
	<option>&ndash;maproot=root</option> mag de gebruiker op het
	andere systeem gegevens naar het ge&euml;xporteerde
	bestandssysteem schrijven als <username>root</username>.  Als
	de vlag <option>-maproot=root</option> niet wordt gebruikt, dan
	kan een gebruiker geen bestanden wijzigen op het
	ge&euml;xporteerde bestandssysteem, zelfs niet als een gebruiker
	daar <username>root</username> is.</para>

      <programlisting>/a  -maproot=root  host.example.com box.example.org</programlisting>

      <para>Om een cli&euml;nt toegang te geven tot een
	ge&euml;xporteerd bestandssysteem, moet die cli&euml;nt daar
	rechten voor hebben.  De cli&euml;nt moet daarvoor genoemd
	worden in <filename>/etc/exports</filename>.</para>

      <para>In <filename>/etc/exports</filename> staat iedere regel voor
	de exportinformatie van &eacute;&eacute;n bestandssysteem naar
	&eacute;&eacute;n host.  Per bestandssysteem mag een host maar
	&eacute;&eacute;n keer genoemd worden en mag maar
	&eacute;&eacute;n standaard hebben.  Stel bijvoorbeeld dat
	<filename>/usr</filename> een enkel bestandssysteem is.  Dan is
	de volgende <filename>/etc/exports</filename> niet geldig:</para>

      <programlisting>># Werkt niet als /usr 1 bestandssysteem is
/usr/src   client
/usr/ports client</programlisting>

      <para>E&eacute;n bestandssysteem, <filename>/usr</filename>,
	heeft twee regels waarin exports naar dezelfde host worden
	aangegeven, <hostid>client</hostid>.  In deze situatie is de
	juiste instelling:</para>

      <programlisting>/usr/src /usr/ports  client</programlisting>

      <para>De eigenschappen van een bestandssysteem dat naar een
	bepaalde host wordt ge&euml;xporteerd moeten allemaal op
	&eacute;&eacute;n regel staan.  Regels waarop geen cli&euml;nt
	wordt aangegeven worden behandeld als een enkele host.  Dit
	beperkt hoe bestandssysteem ge&euml;xporteerd kunnen worden,
	maar dat blijkt meestal geen probleem te zijn.</para>

      <para>Het volgende voorbeeld is een geldige exportlijst waar
	<filename>/usr</filename> en <filename>/exports</filename>
	lokale bestandssystemen zijn:</para>

      <programlisting># Exporteer src en ports naar client01 en client02,
# maar alleen client01 heeft er rootprivileges
/usr/src /usr/ports -maproot=root    client01
/usr/src /usr/ports               client02
# De cli&euml;ntmachines hebben rootrechten en kunnen overal aankoppelen
# op /exports. Iedereen in de wereld kan /exports/obj als alleen-lezen aankoppelen.
/exports -alldirs -maproot=root      client01 client02
/exports/obj -ro</programlisting>

      <para>De daemon <application>mountd</application> moet gedwongen
	worden om het bestand <filename>/etc/exports</filename> te
	controleren steeds wanneer het is aangepast, zodat de
	veranderingen effectief kunnen worden.  Dit kan worden bereikt
	door &ograve;fwel een HUP-signaal naar de draaiende daemon te
	sturen:</para>

      <screen>&prompt.root; <userinput>kill -HUP `cat /var/run/mountd.pid`</userinput></screen>

      <para>of door het &man.rc.8; script <command>mountd</command> met
	de juiste parameter aan te roepen:</para>

      <screen>&prompt.root; <userinput>/etc/rc.d/mountd onereload</userinput></screen>

      <para>Raadpleeg <xref linkend="configtuning-rcd"> voor meer
	informatie over het gebruik van rc-scripts.</para>

      <para>Het is ook mogelijk een machine te herstarten, zodat &os;
	alles netjes in kan stellen, maar dat is niet nodig.  Het
	uitvoeren van de volgende commando's als
	<username>root</username> hoort hetzelfde resultaat te
	hebben.</para>

      <para>Op de <acronym>NFS</acronym> server:</para>

      <screen>&prompt.root; <userinput>rpcbind</userinput>
&prompt.root; <userinput>nfsd -u -t -n 4</userinput>
&prompt.root; <userinput>mountd -r</userinput></screen>

      <para>Op de <acronym>NFS</acronym> cli&euml;nt:</para>

      <screen>&prompt.root; <userinput>nfsiod -n 4</userinput></screen>

      <para>Nu is alles klaar om feitelijk het netwerkbestandssysteem
	aan te koppelen.  In de volgende voorbeelden is de naam van de
	server <hostid>server</hostid> en de naam van de cli&euml;nt is
	<hostid>client</hostid>.  Om een netwerkbestandssysteem slechts
	tijdelijk aan te koppelen of om alleen te testen, kan een
	commando als het onderstaande als <username>root</username> op
	de cli&euml;nt uitgevoerd worden:</para>

      <indexterm>
	<primary>NFS</primary>

	<secondary>aankoppelen</secondary>
      </indexterm>

      <screen>&prompt.root; <userinput>mount server:/home /mnt</userinput></screen>

      <para>Hiermee wordt de map <filename>/home</filename> op de server
	aangekoppeld op <filename>/mnt</filename> op de cli&euml;nt.
	Als alles juist is ingesteld, zijn nu in
	<filename>/mnt</filename> op de cli&euml;nt de bestanden van de
	server zichtbaar.</para>

      <para>Om een netwerkbestandssysteem iedere keer als een computer
	opstart aan te koppelen, kan het bestandssysteem worden
	toegevoegd aan het bestand <filename>/etc/fstab</filename>:</para>

      <programlisting>server:/home	/mnt	nfs	rw	0	0</programlisting>

      <para>Alle beschikbare opties staan in &man.fstab.5;.</para>
    </sect2>

    <sect2>
      <title>Op slot zetten</title>

      <para>Voor sommige applicaties (b.v.
	<application>mutt</application>) is het nodig dat bestanden op
	slot staan om correct te werken.  In het geval van
	<acronym>NFS</acronym>, kan <application>rpc.lockd</application>
	worden gebruikt voor het op slot zetten van bestanden.  Voeg het
	volgende toe aan het bestand <filename>/etc/rc.conf</filename>
	op zowel de cli&euml;nt als de server om het aan te zetten (het
	wordt aangenomen dat de <acronym>NFS</acronym>-cli&euml;nt en
	-server reeds zijn geconfigureerd):</para>

      <programlisting>rpc_lockd_enable="YES"
rpc_statd_enable="YES"</programlisting>

      <para>Start de applicatie met:</para>

      <screen>&prompt.root; <userinput>/etc/rc.d/lockd start</userinput>
&prompt.root; <userinput>/etc/rc.d/statd start</userinput></screen>

      <para>Als echt op slot zetten tussen de
	<acronym>NFS</acronym>-cli&euml;nten en de
	<acronym>NFS</acronym>-server niet nodig is, is het mogelijk om
	de <acronym>NFS</acronym>-cli&euml;nt bestanden lokaal op slot
	te laten zetten door <option>-L</option> aan &man.mount.nfs.8;
	door te geven.  In de handleidingpagina &man.mount.nfs.8; staan
	verdere details.</para>
    </sect2>

    <sect2>
      <title>Mogelijkheden voor gebruik</title>

      <para><acronym>NFS</acronym> is voor veel doeleinden in te zetten.
	Een aantal voorbeelden:</para>

      <indexterm>
	<primary>NFS</primary>

	<secondary>gebruik</secondary>
      </indexterm>

      <itemizedlist>
	<listitem>
	  <para>Een aantal machines een CD-ROM of andere media laten
	    delen.  Dat is goedkoper en vaak ook handiger, bijvoorbeeld
	    bij het installeren van software op meerdere
	    machines;</para>
	</listitem>

	<listitem>
	  <para>Op grote netwerken kan het praktisch zijn om een
	    centrale <acronym>NFS</acronym> server in te richten,
	    waarop alle thuismappen staan.  Die thuismappen kunnen dan
	    ge&euml;xporteerd worden, zodat gebruikers altijd
	    dezelfde thuismap hebben, op welk werkstation ze ook
	    aanmelden;</para>
	</listitem>

	<listitem>
	  <para>Meerdere machines kunnen een gezamenlijke map
	    <filename>/usr/ports/distfiles</filename> hebben.  Dan is
	    het mogelijk om een port op meerdere machines te
	    installeren, zonder op iedere machine de broncode te hoeven
	    downloaden.</para>
	</listitem>
      </itemizedlist>
    </sect2>

    <sect2 id="network-amd">
      <sect2info>
	<authorgroup>
	  <author>
	    <firstname>Wylie</firstname>
	    <surname>Stilwell</surname>
	    <contrib>Geschreven door </contrib>
	  </author>
	</authorgroup>

	<authorgroup>
	  <author>
	    <firstname>Chern</firstname>
	    <surname>Lee</surname>
	    <contrib>Herschreven door </contrib>
	  </author>
	</authorgroup>
      </sect2info>

      <title>Automatisch aankoppelen met
	<application>amd</application></title>

      <indexterm><primary>amd</primary></indexterm>

      <indexterm><primary>automatic mounter daemon</primary></indexterm>

      <para>&man.amd.8; (de automatic mounter daemon) koppelt
	automatisch netwerkbestandssystemen aan als er aan een bestand
	of map binnen dat bestandssysteem wordt gerefereerd.
	<application>amd</application> ontkoppelt ook bestandssystemen
	die een bepaalde tijd niet gebruikt worden.  Het gebruikt van
	<application>amd</application> is een aantrekkelijk en eenvoudig
	alternatief ten opzichte van permanente koppelingen, die meestal
	in <filename>/etc/fstab</filename> staan.</para>

      <para><application>amd</application> werkt door zichzelf als
	NFS-server te koppelen aan de mappen <filename>/host</filename>
	en <filename>/net</filename>.  Als binnen die mappen een bestand
	wordt geraadpleegd, dan zoekt <application>amd</application> de
	bijbehorende netwerkkoppeling op en koppelt die automatisch aan.
	<filename>/net</filename> wordt gebruikt om een
	ge&euml;xporteerd bestandssysteem van een IP-adres aan te
	koppelen, terwijl <filename>/host</filename> wordt gebruikt om
	een ge&euml;xporteerd bestandssysteem van een hostnaam aan te
	koppelen.</para>

      <para>Het raadplegen van een bestand in
	<filename>/host/foobar/usr</filename> geeft
	<application>amd</application> aan dat die moet proberen de
	<filename>/usr</filename> export op de host
	<hostid>foobar</hostid> aan te koppelen.</para>

      <example>
	<title>Een export aankoppelen met
	  <application>amd</application></title>

	<para>De beschikbare koppelingen van een netwerkhost zijn te
	  bekijken met <command>showmount</command>.  Om bijvoorbeeld
	  de koppelingen van de host <hostid>foobar</hostid> te
	  bekijken:</para>

	<screen>&prompt.user; <userinput>showmount -e foobar</userinput>
Exports list on foobar:
/usr                               10.10.10.0
/a                                 10.10.10.0
&prompt.user; <userinput>cd /host/foobar/usr</userinput></screen>
      </example>

      <para>Zoals in het bovenstaande voorbeeld te zien is, toont
	<command>showmount</command> <filename>/usr</filename> als een
	export.  Als er naar de map
	<filename>/host/foobar/usr</filename> wordt gegaan, probeert
	<application>amd</application> de hostnaam
	<hostid>foobar</hostid> te resolven en de gewenste export
	automatisch aan te koppelen.</para>

      <para><application>amd</application> kan gestart worden door de
	opstartscript door de volgende regel in
	<filename>/etc/rc.conf</filename> te plaatsen:</para>

      <programlisting>amd_enable="YES"</programlisting>

      <para>Er kunnen ook nog opties meegegeven worden aan
	<application>amd</application> met de optie
	<varname>amd_flags</varname>.  Standaard staat
	<varname>amd_flags</varname> ingesteld op:</para>

      <programlisting>amd_flags="-a /.amd_mnt -l syslog /host /etc/amd.map /net /etc/amd.map"</programlisting>

      <para>In het bestand <filename>/etc/amd.map</filename> staan
	de standaardinstellingen waarmee exports aangekoppeld worden.
	In het bestand <filename>/etc/amd.conf</filename> staan een
	aantal van de meer gevorderde instellingen van
	<application>amd</application>.</para>

      <para>In &man.amd.8; en &man.amd.conf.5; staat meer
	informatie.</para>
    </sect2>

    <sect2 id="network-nfs-integration">
      <sect2info>
	<authorgroup>
	  <author>
	    <firstname>John</firstname>
	    <surname>Lind</surname>
	    <contrib>Geschreven door </contrib>
	  </author>
	</authorgroup>
      </sect2info>

      <title>Problemen bij samenwerking met andere systemen</title>

      <para>Bepaalde Ethernet adapters voor ISA PC systemen kennen
	limieten die tot serieuze netwerkproblemen kunnen leiden, in
	het bijzonder met NFS.  Dit probleem is niet specifiek voor
	&os;, maar het kan op &os; wel voor komen.</para>

      <para>Het probleem ontstaat bijna altijd als (&os;) PC-systemen
	netwerken met hoog presterende werkstations, zoals van Silicon
	Graphics, Inc. en Sun Microsystems, Inc.  De NFS-koppeling werkt
	prima en wellicht lukken een aantal acties ook, maar dan ineens
	lijkt de server niet meer te reageren voor de cli&euml;nt,
	hoewel verzoeken van en naar andere systemen gewoon verwerkt
	worden.  Dit gebeurt op een cli&euml;ntsysteem, of de
	cli&euml;nt nu het &os; systeem is of het werkstation.  Op veel
	systemen is er geen manier om de cli&euml;nt netjes af te
	sluiten als dit probleem is ontstaan.  Vaak is de enige
	mogelijkheid een reset van de cli&euml;nt, omdat het probleem
	met NFS niet opgelost kan worden.</para>

      <para>Hoewel de enige <quote>correcte</quote> oplossing de
	aanschaf van een snellere en betere Ethernet adapter voor het
	&os; systeem is, is er zo om het probleem heen te werken dat het
	werkbaar is.  Als &os; de <emphasis>server</emphasis> is, kan de
	optie <option>-w=1024</option> gebruikt worden bij het
	aankoppelen door de cli&euml;nt.  Als het &os; systeem de
	<emphasis>cli&euml;nt</emphasis> is, dan dient het
	NFS-bestandssysteem aangekoppeld te worden met de optie
	<option>&nbsp;r=1024</option>.  Deze opties kunnen het vierde
	veld zijn in een regel in <filename>fstab</filename> voor
	automatische aankoppelingen en bij handmatige aankoppelingen met
	&man.mount.8; kan de parameter <option>-o</option> gebruikt
	worden.</para>

      <para>Soms wordt een ander probleem voor dit probleem versleten,
	als servers en cli&euml;nten zich op verschillende netwerken
	bevinden.  Als dat het geval is, dan dient
	<emphasis>vastgesteld</emphasis> te worden dat routers de
	<acronym>UDP</acronym> informatie op de juiste wijze routeren,
	omdat er anders nooit NFS-verkeer gerouteerd kan worden.</para>

      <para>In de volgende voorbeelden is <hostid>fastws</hostid> de
	host(interface)naam van een hoog presterend werkstation en
	<hostid>freebox</hostid> is de host(interface)naam van een &os;
	systeem met een Ethernet adapter die mindere prestaties levert.
	<filename>/sharedfs</filename> wordt het ge&euml;xporteerde
	NFS-bestandssysteem (zie &man.exports.5;) en
	<filename>/project</filename> wordt het koppelpunt voor het
	ge&euml;xporteerde bestandssysteem op de cli&euml;nt.

      <note>
	<para>In sommige gevallen kunnen applicaties beter draaien als
	  extra opties als <option>hard</option> of
	  <option>soft</option> en <option>bg</option> gebruikt
	  worden.</para>
      </note>

      <para>Voorbeelden voor het &os; systeem (<hostid>freebox</hostid>)
	als de cli&euml;nt in <filename>/etc/fstab</filename> op
	<hostid>freebox</hostid>:</para>

      <programlisting>fastws:/sharedfs /project nfs rw,-r=1024 0 0</programlisting>

      <para>Als een handmatig aankoppelcommando op
	<hostid>freebox</hostid>:</para>

      <screen>&prompt.root; <userinput>mount -t nfs -o -r=1024 fastws:/sharedfs /project</userinput></screen>

      <para>Voorbeelden voor het &os; systeem als de server in
	<filename>/etc/fstab</filename> op
	<hostid>fastws</hostid>:</para>

      <programlisting>freebox:/sharedfs /project nfs rw,-w=1024 0 0</programlisting>

      <para>Als een handmatig aankoppelcommando op
	<hostid>fastws</hostid>:</para>

      <screen>&prompt.root; <userinput>mount -t nfs -o -w=1024 freebox:/sharedfs /project</userinput></screen>

      <para>Bijna iedere 16&ndash;bit Ethernet adapter werkt zonder de
	hierboven beschreven restricties op de lees- en
	schrijfgrootte.</para>

      <para>Voor wie het wil weten wordt nu beschreven wat er gebeurt
	als de fout ontstaan, wat ook duidelijk maakt waarom het niet
	hersteld kan worden.  NFS werkt meestal met een
	<quote>block</quote>grootte van 8&nbsp;K (hoewel het mogelijk
	is dat er kleinere fragmenten worden verwerkt).  Omdat de
	maximale grootte van een Ethernet pakket rond de 1500&nbsp;bytes
	ligt, wordt een <quote>block</quote> opgesplitst in meerdere
	Ethernetpakketten, hoewel het hoger in de code nog steeds
	&eacute&eacute;n eenheid is, en wordt ontvangen, samengevoegd en
	<emphasis>bevestigd</emphasis> als een eenheid.  De hoog
	presterende werkstations kunnen de pakketten waaruit een
	NFS-eenheid bestaat bijzonder snel naar buiten pompen.  Op de
	kaarten met minder capaciteit worden de eerdere pakketten door
	de latere pakketten van dezelfde eenheid ingehaald voordat ze
	bij die host zijn aangekomen en daarom kan de eenheid niet
	worden samengesteld en bevestigd.  Als gevolg daarvan ontstaat
	er op het werkstation een timeout en probeert die de eenheid
	opnieuw te sturen, maar dan weer de hele eenheid van 8&nbsp;K,
	waardoor het proces wordt herhaald, ad infinitum.</para>

      <para>Door de grootte van de eenheid kleiner te houden dan de
	grootte van een Ethernet pakket, is het zeker dat elk
	Ethernetpakket dat compleet is aangekomen bevestigd kan worden,
	zodat de deadlock niet ontstaat.</para>

      <para>Toch kan een PC systeem nog wel overrompeld worden als hoog
	presterende werkstations er op inhakken, maar met de betere
	netwerkkaarten valt het dan in ieder geval niet om door de NFS
	<quote>eenheden</quote>.  Als het systeem toch wordt
	overrompeld, dan worden de betrokken eenheden opnieuw verstuurd
	en dan is de kans groot dat ze worden ontvangen, samengevoegd en
	bevestigd.</para>
    </sect2>
  </sect1>

  <sect1 id="network-nis">
    <sect1info>
      <authorgroup>
	<author>
	  <firstname>Bill</firstname>
	  <surname>Swingle</surname>
	  <contrib>Geschreven door </contrib>
	</author>
      </authorgroup>

      <authorgroup>
	<author>
	  <firstname>Eric</firstname>
	  <surname>Ogren</surname>
	  <contrib>Verbeterd door </contrib>
	</author>

	<author>
	  <firstname>Udo</firstname>
	  <surname>Erdelhoff</surname>
	</author>
      </authorgroup>
    </sect1info>

    <title>Netwerkinformatiesysteem (NIS/YP)</title>

    <sect2>
      <title>Wat is het?</title>

      <indexterm><primary>NIS</primary></indexterm>

      <indexterm><primary>Solaris</primary></indexterm>

      <indexterm><primary>HP-UX</primary></indexterm>

      <indexterm><primary>AIX</primary></indexterm>

      <indexterm><primary>Linux</primary></indexterm>

      <indexterm><primary>NetBSD</primary></indexterm>

      <indexterm><primary>OpenBSD</primary></indexterm>

      <para><acronym role="Network Information System">NIS</acronym>,
	dat staat voor Netwerkinformatiediensten (Network Information
	Services), is ontwikkeld door Sun Microsystems om het beheer van
	&unix; (origineel &sunos;) systemen te centraliseren.
	Tegenwoordig is het eigenlijk een industriestandaard geworden.
	Alle grote &unix; achtige systemen (&solaris;, HP-UX, &aix;,
	&linux;, NetBSD, OpenBSD, &os;, enzovoort) ondersteunen <acronym
	  role="Network Information System">NIS</acronym>.</para>

      <indexterm><primary>yellow pages</primary><see>NIS</see></indexterm>

      <para><acronym role="Network Information System">NIS</acronym>
	stond vroeger bekend als Yellow Pages, maar vanwege problemen
	met het handelsmerk heeft Sun de naam veranderd.  De oude term,
	en yp, wordt nog steeds vaak gebruikt.</para>

      <indexterm>
	<primary>NIS</primary>

	<secondary>domeinen</secondary>
      </indexterm>

      <para>Het is een op RPC-gebaseerd cli&euml;nt/serversysteem
	waarmee een groep machines binnen een NIS-domein een
	gezamenlijke verzameling met instellingenbestanden kan delen.
	Hierdoor kan een beheerder NIS-systemen opzetten met een
	minimaal aantal instellingen en vanaf een centrale lokatie
	instellingen toevoegen, verwijderen en wijzigen.</para>

      <indexterm><primary>Windows NT</primary></indexterm>

      <para>Het is te vergelijken met het &windowsnt; domeinsysteem en
	hoewel de interne implementatie van de twee helemaal niet
	overeenkomt, is de basisfunctionaliteit vergelijkbaar.</para>
    </sect2>

    <sect2>
      <title>Termen en processen om te onthouden</title>

      <para>Er zijn een aantal termen en belangrijke
	gebruikersprocessen die een rol spelen bij het implementeren
	van NIS op &os;, zowel bij het maken van een NIS-server als bij
	het maken van een systeem dan NIS-cli&euml;nt is:</para>

      <indexterm><primary><application>rpcbind</application></primary></indexterm>

      <indexterm><primary><application>portmap</application></primary></indexterm>

      <informaltable frame="none" pgwide="1">
	<tgroup cols="2">

	<colspec colwidth="1*">

	<colspec colwidth="3*">

	  <thead>
	    <row>
	      <entry>Term</entry>

	      <entry>Beschrijving</entry>
	    </row>
	  </thead>

	  <tbody>
	    <row>
	      <entry>NIS-domeinnaam</entry>

	      <entry>Een NIS-masterserver en al zijn cli&euml;nten
		(inclusief zijn slave master) hebben een NIS-domeinnaam.
		Vergelijkbaar met een &windowsnt; domeinnaam, maar de
		NIS-domeinnaam heeft niets te maken met
		<acronym>DNS</acronym>.</entry>
	    </row>

	    <row>
	      <entry><application>rpcbind</application></entry>

	      <entry>Moet draaien om <acronym>RPC</acronym> (Remote
		Procedure Call in te schakelen, een netwerkprotocol dat
		door NIS gebruikt wordt).  Als
		<application>rpcbind</application> niet draait, dan kan
		er geen NIS-server draaien en kan een machine ook geen
		NIS-cli&euml;nt zijn.</entry>
	    </row>

	    <row>
	      <entry><application>ypbind</application></entry>

	      <entry><quote>Verbindt</quote> een NIS-cli&euml;nt aan
		zijn NIS-server.  Dat gebeurt door met de NIS-domeinnaam
		van het systeem en door het gebruik van
		<acronym>RPC</acronym> te verbinden met de server.
		<application>ypbind</application> is de kern van
		cli&euml;nt-server communicatie in een NIS-omgeving.
		Als <application>ypbind</application> op een machine
		stopt, dan kan die niet meer bij de NIS-server komen.</entry>
	    </row>

	    <row>
	      <entry><application>ypserv</application></entry>

	      <entry>Hoort alleen te draaien op NIS-servers.  Dit is
		het NIS-serverproces zelf.  Als &man.ypserv.8; stopt,
		dan kan de server niet langer reageren op NIS-verzoeken
		(hopelijk is er dan een slaveserver om het over te
		nemen).  Er zijn een aantal implementaties van NIS, maar
		niet die op &os;, die geen verbinding met een andere
		server proberen te maken als de server waarmee ze
		verbonden waren niet meer reageert.  In dat geval is
		vaak het enige dat werkt het serverproces herstarten (of
		zelfs de hele server) of het
		<application>ypbind</application>-proces op de
		cli&euml;nt.</entry>
	    </row>

	    <row>
	      <entry><application>rpc.yppasswdd</application></entry>

	      <entry>Nog een proces dat alleen op NIS-masterservers
		hoort te draaien.  Dit is een daemon waarbij
		NIS-cli&euml;nten hun NIS-wachtwoorden kunnen wijzigen.
		Als deze daemon niet draait, moeten gebruikers zich
		aanmelden op de NIS-masterserver en daar hun wachtwoord
		wijzigen.</entry>
	    </row>
	  </tbody>
	</tgroup>
      </informaltable>
      <!-- XXX Missing: rpc.ypxfrd (not important, though) May only run
      on the master -->
    </sect2>

    <sect2>
      <title>Hoe werkt het?</title>

      <para>Er zijn drie typen hosts in een NIS-omgeving: master
	servers, slaveservers en cli&euml;nten.  Servers zijn het
	centrale depot voor instellingen voor een host.  Masterservers
	bevatten de geautoriseerd kopie van die informatie, terwijl
	slaveservers die informatie spiegelen voor redundantie.
	Cli&euml;nten verlaten zich op de servers om hun die informatie
	ter beschikking te stellen.</para>

      <para>Op deze manier kan informatie uit veel bestanden gedeeld
	worden.  De bestanden <filename>master.passwd</filename>,
	<filename>group</filename> en <filename>hosts</filename>
	worden meestal via NIS gedeeld.  Als een proces op een
	cli&euml;nt informatie nodig heeft die normaliter in een van die
	lokale bestanden staat, dan vraagt die het in plaats daarvan aan
	de NIS-servers waarmee hij verbonden is.</para>

      <sect3>
	<title>Soorten machines</title>

	<itemizedlist>
	  <indexterm>
	    <primary>NIS</primary>

	    <secondary>masterserver</secondary>
	  </indexterm>

	  <listitem>
	    <para>Een <emphasis>NIS-masterserver</emphasis>.  Deze
	      server onderhoudt, analoog aan een &windowsnt; primaire
	      domeincontroller, de bestanden die door alle
	      NIS-cli&euml;nten gebruikt worden.  De bestanden
	      <filename>passwd</filename>, <filename>group</filename> en
	      andere bestanden die door de NIS-cli&euml;nten gebruikt
	      worden staan op de masterserver.</para>

	    <note>
	      <para>Het is mogelijk om &eacute;&eacute;n machine master
		server te laten zijn voor meerdere NIS-domeinen.  Dat
		wordt in deze inleiding echter niet beschreven, omdat
		die uitgaat van een relatief kleine omgeving.</para>
	    </note>
	  </listitem>

	  <indexterm>
	    <primary>NIS</primary>

	    <secondary>slaveserver</secondary>
	  </indexterm>

	  <listitem>
	    <para><emphasis>NIS-slaveservers</emphasis>.  Deze zijn
	      te vergelijken met &windowsnt; backup domain controllers.
	      NIS-slaveservers beheren een kopie van de bestanden met
	      gegevens op de NIS-master.  NIS-slaveservers bieden
	      redundantie, die nodig is in belangrijke omgevingen.  Ze
	      helpen ook om de belasting te verdelen met de master
	      server: NIS-cli&euml;nten maken altijd een verbinding met
	      de NIS-server die het eerst reageert en dat geldt ook voor
	      antwoorden van slaveservers.</para>
	  </listitem>

	  <indexterm>
	    <primary>NIS</primary>

	    <secondary>cli&euml;nt</secondary>
	  </indexterm>

	  <listitem>
	    <para><emphasis>NIS-cli&euml;nten</emphasis>.
	      NIS-cli&euml;nten authenticeren, net als de meeste
	      &windowsnt; werkstations, tegen de NIS-server (of de
	      &windowsnt; domain controller in het geval van &windowsnt;
	      werkstations) bij het aanmelden.</para>
	  </listitem>
	</itemizedlist>
      </sect3>
    </sect2>

    <sect2>
      <title>NIS/YP gebruiken</title>

      <para>Dit onderdeel behandelt het opzetten van een
	NIS-voorbeeldomgeving.</para>

      <sect3>
	<title>Plannen</title>

	<para>Er wordt uitgegaan van een beheerder van een klein
	  universiteitslab.  Dat lab, dat bestaat uit &os; machines,
	  kent op dit moment geen centraal beheer.  Iedere machine heeft
	  zijn eigen <filename>/etc/passwd</filename> en
	  <filename>/etc/master.passwd</filename>.  Die bestanden worden
	  alleen met elkaar in lijn gehouden door handmatige
	  handelingen.  Als er op dit moment een gebruiker aan het lab
	  wordt toegevoegd, moet <command>adduser</command> op alle 15
	  machines gedraaid worden.  Dat moet natuurlijk veranderen en
	  daarom is besloten het lab in te richten met NIS, waarbij twee
	  machines als server worden gebruikt.</para>

	<para>Het lab ziet er ongeveer als volgt uit:</para>

	<informaltable frame="none" pgwide="1">
	  <tgroup cols="3">
	    <thead>
	      <row>
		<entry>Machinenaam</entry>

		<entry>IP-adres</entry>

		<entry>Rol Machine</entry>
	      </row>
	    </thead>

	    <tbody>
	      <row>
		<entry><hostid>ellington</hostid></entry>

		<entry><hostid role="ipaddr">10.0.0.2</hostid></entry>

		<entry>NIS-master</entry>
	      </row>

	      <row>
		<entry><hostid>coltrane</hostid></entry>

		<entry><hostid role="ipaddr">10.0.0.3</hostid></entry>

		<entry>NIS-slave</entry>
	      </row>

	      <row>
		<entry><hostid>basie</hostid></entry>

		<entry><hostid role="ipaddr">10.0.0.4</hostid></entry>

		<entry>Wetenschappelijk werkstation</entry>
	      </row>

	      <row>
		<entry><hostid>bird</hostid></entry>

		<entry><hostid role="ipaddr">10.0.0.5</hostid></entry>

		<entry>Cli&euml;nt machine</entry>
	      </row>

	      <row>
		<entry><hostid>cli[1-11]</hostid></entry>

		<entry><hostid
		    role="ipaddr">10.0.0.[6-17]</hostid></entry>

		<entry>Andere cli&euml;nt machines</entry>
	      </row>
	    </tbody>
	  </tgroup>
	</informaltable>

	<para>Bij het voor de eerste keer instellen van een NIS-schema
	  is het verstandig eerst na te denken over hoe dat opgezet moet
	  worden.  Hoe groot een netwerk ook is, er moeten een aantal
	  beslissingen gemaakt worden.</para>

	<sect4>
	  <title>Een NIS-domeinnaam kiezen</title>

	  <indexterm>
	    <primary>NIS</primary>

	    <secondary>domeinnaam</secondary>
	  </indexterm>

	  <para>Dit is wellicht niet de bekende
	    <quote>domeinnaam</quote>.  Daarom wordt het ook de
	    <quote>NIS-domeinnaam</quote> genoemd.  Bij de broadcast
	    van een cli&euml;nt om informatie wordt ook de naam van het
	    NIS-domein waar hij onderdeel van uitmaakt meegezonden.  Zo
	    kunnen meerdere servers op een netwerk bepalen of er
	    antwoord gegeven dient te worden op een verzoek.  De
	    NIS-domeinnaam is kan voorgesteld worden als de naam van een
	    groep hosts op op een of andere manier aan elkaar
	    gerelateerd zijn.</para>

	  <para>Sommige organisaties kiezen hun Internet-domeinnaam als
	    NIS-domeinnaam.  Dat wordt niet aangeraden omdat het voor
	    verwarring kan zorgen bij het debuggen van netwerkproblemen.
	    De NIS-domeinnaam moet uniek zijn binnen een netwerk en het
	    is handig als die de groep machines beschrijft waarvoor hij
	    geldt.  Zo kan bijvoorbeeld de financi&euml;le afdeling van
	    Acme Inc. als NIS-domeinnaam <quote>acme-fin</quote> hebben.
	    In dit voorbeeld wordt de naam
	    <literal>test-domain</literal> gekozen.</para>

	  <indexterm><primary>SunOS</primary></indexterm>

	  <para>Sommige besturingssystemen gebruiken echter (met name
	    &sunos;) hun NIS-domeinnaam als hun Internet-domeinnaam.
	    Als er machines zijn op een netwerk die deze restrictie
	    kennen, dan <emphasis>moet</emphasis> de Internet-domeinnaam
	    als de naam voor het NIS-domeinnaam gekozen worden.</para>
	</sect4>

	<sect4>
	  <title>Systeemeisen</title>

	  <para>Bij het kiezen van een machine die als NIS-server wordt
	    gebruikt zijn er een aantal aandachtspunten.  Een van de
	    onhandige dingen aan NIS is de afhankelijkheid van de
	    cli&euml;nten van de server.  Als een cli&euml;nt de server
	    voor zijn NIS-domein niet kan bereiken, dan wordt die
	    machine vaak onbruikbaar.  Door het gebrek aan gebruiker- en
	    groepsinformatie bevriezen de meeste systemen.  Daarom moet
	    er een machine gekozen worden die niet vaak herstart hoeft
	    te worden of wordt gebruikt voor ontwikkeling.  De
	    NIS-server is in het meest ideale geval een alleenstaande
	    server die als enige doel heeft NIS-server te zijn.  Als een	    netwerk niet zwaar wordt gebruikt, kan de NIS-server op een
	    machine die ook andere diensten aanbiedt gezet worden, maar
	    het blijft belangrijk om ervan bewust te zijn dat als de
	    NIS-server niet beschikbaar is, dat nadelige invloed heeft
	    op <emphasis>alle</emphasis> NIS-cli&euml;nten.</para>
	</sect4>
      </sect3>

      <sect3>
	<title>NIS-servers</title>

	<para>De hoofdversies van alle NIS-informatie staan opgeslagen
	  op &eacute;&eacute;n machine die de NIS-masterserver heet.  De	  databases waarin de informatie wordt opgeslagen heten
	  NIS-afbeeldingen.  In &os; worden die afbeeldingen opgeslagen
	  in <filename>/var/yp/[domeinnaam]</filename> waar
	  <filename>[domeinnaam]</filename> de naam is van het
	  NIS-domein dat wordt bediend.  Een enkele NIS-server kan
	  tegelijkertijd meerdere NIS-domeinen ondersteunen en het is
	  dus mogelijk dat er meerdere van zulke mappen zijn, een voor
	  ieder ondersteund domein.  Ieder domein heeft zijn eigen
	  onafhankelijke verzameling afbeeldingen.</para>

	<para>In NIS-master- en -slaveservers worden alle NIS-verzoeken
	  door de daemon <command>ypserv</command> afgehandeld.
	  <command>ypserv</command> is verantwoordelijk voor het
	  ontvangen van inkomende verzoeken van NIS-cli&euml;nten, het
	  vertalen van de gevraagde domeinnaam en mapnaam naar een pad
	  naar het corresponderende databasebestand en het terugsturen
	  van de database naar de cli&euml;nten.</para>

	<sect4>
	  <title>Een NIS-masterserver opzetten</title>

	  <indexterm>
	    <primary>NIS</primary>

	    <secondary>server opzetten</secondary>
	  </indexterm>

	  <para>Het opzetten van een master NIS-server kan erg
	    eenvoudig zijn, afhankelijk van de behoeften.  &os; heeft
	    ondersteuning voor NIS als basisfunctie.  Alleen de volgende
	    regels hoeven aan <filename>/etc/rc.conf</filename>
	    toegevoegd te worden en &os; doet de rest:</para>

	  <procedure>
	    <step>
	      <para><programlisting>nisdomainname="test-domain"</programlisting>
		Deze regel stelt de NIS-domeinnaam in op
		<literal>test-domain</literal> bij het instellen van het
		netwerk (bij het opstarten).</para>
	    </step>

	    <step>
	      <para><programlisting>nis_server_enable="YES"</programlisting>
		Dit geeft &os; aan de NIS-serverprocessen te starten
		als het netwerk de volgende keer wordt opgestart.</para>
	    </step>

	    <step>
	      <para><programlisting>nis_yppasswdd_enable="YES"</programlisting>
		Dit schakelt de daemon <command>rpc.yppasswdd</command>
		in die, zoals al eerder aangegeven, cli&euml;nten
		toestaat om hun NIS-wachtwoord vanaf een
		cli&euml;nt-machine te wijzigen.</para>
	    </step>
	  </procedure>

	  <note>
	    <para>Afhankelijk van de inrichting van NIS, kunnen er nog
	      meer instellingen nodig zijn.  In het onderdeel <link
		linkend="network-nis-server-is-client">NIS-servers die
	      ook NIS-cli&euml;nten zijn</link> staan meer details.</para>
	  </note>

	  <para>Nu hoeft alleen <command>/etc/netstart</command> als
	    supergebruiker uitgevoerd te worden.  Dat stelt alles in met
	    gebruikmaking van de waarden uit
	    <filename>/etc/rc.conf</filename>.</para>
	</sect4>

	<sect4>
	  <title>NIS-afbeeldingen initialiseren</title>

	  <indexterm>
	    <primary>NIS</primary>

	    <secondary>afbeeldingen</secondary>
	  </indexterm>

	  <para>Die <emphasis>NIS-afbeeldingen</emphasis> zijn
	    databasebestanden die in de map <filename>/var/yp</filename>
	    staan.  Ze worden gemaakt uit de bestanden met instellingen
	    uit de map <filename>/etc</filename> van de NIS-master, met
	    &eacute;&eacute;n uitzondering:
	    <filename>/etc/master.passwd</filename>.  Daar is een goede
	    reden voor, want het is niet wenselijk om de wachtwoorden
	    voor <username>root</username> en andere administratieve
	    accounts naar alle servers in het NIS-domein te sturen.
	    Daar moet voor het initialiseren van de NIS-afbeeldingen het
	    volgende uitgevoerd worden:</para>

	  <screen>&prompt.root; <userinput>cp /etc/master.passwd /var/yp/master.passwd</userinput>
&prompt.root; <userinput>cd /var/yp</userinput>
&prompt.root; <userinput>vi master.passwd</userinput></screen>

	  <para>Dan horen alle systeemaccounts verwijderd te worden
	    (<username>bin</username>, <username>tty</username>,
	    <username>kmem</username>, <username>games</username>,
	    enzovoort) en alle overige accounts waarvoor het niet
	    wenselijk is dat ze op de NIS-cli&euml;nten terecht komen
	    (bijvoorbeeld <username>root</username> en alle andere UID 0
	    (supergebruiker) accounts).</para>

	  <note>
	    <para><filename>/var/yp/master.passwd</filename> hoort niet
	      te lezen te zijn voor een groep of voor de wereld (dus
	      modus 600)!  Voor het aanpassen van de rechten kan
	      <command>chmod</command> gebruikt worden.</para>
	  </note>

	  <indexterm><primary>Tru64 UNIX</primary></indexterm>

	  <para>Als dat is gedaan, kunnen de NIS-afbeeldingen
	    ge&iuml;nitialiseerd worden.  Bij &os; zit een script
	    <command>ypinit</command> waarmee dit kan (in de hulppagina
	    staat meer informatie).  Dit script is beschikbaar op de
	    meeste &unix; besturingssystemen, maar niet op allemaal.
	    Op Digital UNIX/Compaq Tru64 UNIX heet het
	    <command>ypsetup</command>.  Omdat er afbeeldingen voor een
	    NIS-master worden gemaakt, wordt de optie
	    <option>&ndash;m</option> meegegeven aan
	    <command>ypinit</command>.  Aangenomen dat de voorgaande
	    stappen zijn uitgevoerd, kunnen de NIS-afbeeldingen gemaakt
	    worden op de volgende manier:</para>

	  <screen>ellington&prompt.root; <userinput>ypinit -m test-domain</userinput>
Server Type: MASTER Domain: test-domain
Creating an YP server will require that you answer a few questions.
Questions will all be asked at the beginning of the procedure.
Do you want this procedure to quit on non-fatal errors? [y/n: n] <userinput>n</userinput>
Ok, please remember to go back and redo manually whatever fails.
If you don't, something might not work.
At this point, we have to construct a list of this domains YP servers.
rod.darktech.org is already known as master server.
Please continue to add any slave servers, one per line. When you are
done with the list, type a &lt;control D&gt;.
master server   :  ellington
next host to add:  <userinput>coltrane</userinput>
next host to add:  <userinput>^D</userinput>
The current list of NIS servers looks like this:
ellington
coltrane
Is this correct?  [y/n: y] <userinput>y</userinput>

[..uitvoer van het maken van de afbeeldingen..]

NIS Map update completed.
ellington has been setup as an YP master server without any errors.</screen>

	  <para><command>ypinit</command> hoort
	    <filename>/var/yp/Makefile</filename> gemaakt te hebben uit
	    <filename>/var/yp/Makefile.dist</filename>.  Als dit bestand	    is gemaakt, neemt dat bestand aan dat er in een omgeving met
	    een enkele NIS-server wordt gewerkt met alleen
	    &os;-machines.  Omdat <literal>test-domain</literal> ook een
	    slaveserver bevat, dient
	    <filename>/var/yp/Makefile</filename> gewijzigd te
	    worden:</para>

	  <screen>ellington&prompt.root; <userinput>vi /var/yp/Makefile</userinput></screen>

	  <para>Als de onderstaande regel niet al uitgecommentarieerd
	    is, dient dat alsnog te gebeuren:</para>

	  <programlisting>NOPUSH = "True"</programlisting>
	</sect4>

	<sect4>
	  <title>Een NIS-slaveserver opzetten</title>

	  <indexterm>
	    <primary>NIS</primary>

	    <secondary>slaveserver</secondary>
	  </indexterm>

	  <para>Het opzetten van een NIS-slaveserver is nog makkelijker
	    dan het opzetten van de master.  Dit kan door aan te melden
	    op de slaveserver en net als voor de masterserver
	    <filename>/etc/rc.conf</filename> te wijzigen.  Het enige
	    verschil is dat nu de optie <option>&ndash;s</option>
	    gebruikt wordt voor het draaien van
	    <command>ypinit</command>.  Met de optie
	    <option>&ndash;s</option> moet ook de naam van de NIS-master
	    meegegeven worden.  Het commando ziet er dus als volgt uit:</para>

  <screen>coltrane&prompt.root; <userinput>ypinit -s ellington test-domain</userinput>

Server Type: SLAVE Domain: test-domain Master: ellington

Creating an YP server will require that you answer a few questions.
Questions will all be asked at the beginning of the procedure.

Do you want this procedure to quit on non-fatal errors? [y/n: n]  <userinput>n</userinput>

Ok, please remember to go back and redo manually whatever fails.
If you don't, something might not work.
There will be no further questions. The remainder of the procedure
should take a few minutes, to copy the databases from ellington.
Transferring netgroup...
ypxfr: Exiting: Map successfully transferred
Transferring netgroup.byuser...
ypxfr: Exiting: Map successfully transferred
Transferring netgroup.byhost...
ypxfr: Exiting: Map successfully transferred
Transferring master.passwd.byuid...
ypxfr: Exiting: Map successfully transferred
Transferring passwd.byuid...
ypxfr: Exiting: Map successfully transferred
Transferring passwd.byname...
ypxfr: Exiting: Map successfully transferred
Transferring group.bygid...
ypxfr: Exiting: Map successfully transferred
Transferring group.byname...
ypxfr: Exiting: Map successfully transferred
Transferring services.byname...
ypxfr: Exiting: Map successfully transferred
Transferring rpc.bynumber...
ypxfr: Exiting: Map successfully transferred
Transferring rpc.byname...
ypxfr: Exiting: Map successfully transferred
Transferring protocols.byname...
ypxfr: Exiting: Map successfully transferred
Transferring master.passwd.byname...
ypxfr: Exiting: Map successfully transferred
Transferring networks.byname...
ypxfr: Exiting: Map successfully transferred
Transferring networks.byaddr...
ypxfr: Exiting: Map successfully transferred
Transferring netid.byname...
ypxfr: Exiting: Map successfully transferred
Transferring hosts.byaddr...
ypxfr: Exiting: Map successfully transferred
Transferring protocols.bynumber...
ypxfr: Exiting: Map successfully transferred
Transferring ypservers...
ypxfr: Exiting: Map successfully transferred
Transferring hosts.byname...
ypxfr: Exiting: Map successfully transferred

coltrane has been setup as an YP slave server without any errors.
Don't forget to update map ypservers on ellington.</screen>

	  <para>Nu hoort er een map
	    <filename>/var/yp/test-domain</filename> te zijn waarin
	    kopie&euml; van de NIS-masterserver afbeeldingen staan.  Die
	    moeten bijgewerkt blijven.  De volgende regel in
	    <filename>/etc/crontab</filename> op de slaveservers regelt
	    dat:</para>

	  <programlisting>20      *       *       *       *       root   /usr/libexec/ypxfr passwd.byname
21      *       *       *       *       root   /usr/libexec/ypxfr passwd.byuid</programlisting>

	  <para>Met de bovenstaande twee regels wordt de slave
	    gedwongen zijn afbeeldingen met de afbeeldingen op de
	    masterserver te synchroniseren.  Hoewel dit niet verplicht
	    is, omdat de masterserver probeert veranderingen aan de
	    NIS-afbeeldingen door te geven aan zijn slaves, is het wel
	    verstandig om een slave tot bijwerken te dwingen, omdat
	    wachtwoordinformatie van vitaal belang is voor systemen die
	    van de server afhankelijk zijn.  Dit is des te belangrijker
	    op drukke netwerken, omdat daar het bijwerken van
	    afbeeldingen niet altijd compleet afgehandeld hoeft te
	    worden.</para>

	  <para>Nu kan ook op de slaveserver het commando
	    <command>/etc/netstart</command> uitgevoerd worden, dat op
	    zijn beurt de NIS-server start.</para>
	</sect4>
      </sect3>

      <sect3>
	<title>NIS-cli&euml;nten</title>

	<para>Een NIS-cli&euml;nt maakt wat heet een verbinding
	  (binding) met een NIS-server met de daemon
	  <command>ypbind</command>.  <command>ypbind</command>
	  controleert het standaarddomein van het systeem (zoals
	  ingesteld met <command>domainname</command>) en begint met het
	  broadcasten van RPC-verzoeken op het lokale netwerk.  Die
	  verzoeken bevatten de naam van het domein waarvoor
	  <command>ypbind</command> een binding probeert te maken.  Als
	  een server die is ingesteld om het gevraagde domein te
	  bedienen een broadcast ontvangt, dan antwoordt die aan
	  <command>ypbind</command> dat dan het IP-adres van de server
	  opslaat.  Als er meerdere servers beschikbaar zijn, een master
	  en bijvoorbeeld meerdere slaves, dan gebruikt
	  <command>ypbind</command> het adres van de eerste server die
	  antwoord geeft.  Vanaf dat moment stuurt de cli&euml;nt alle
	  NIS-verzoeken naar die server.  <command>ypbind</command>
	  <quote>pingt</quote> de server zo nu en dan om te controleren
	  of die nog draait.  Als er na een bepaalde tijd geen antwoord
	  komt op een ping, dan markeert <command>ypbind</command> het
	  domein als niet verbonden en begint het broadcasten opnieuw,
	  in de hoop dat er een andere server wordt gelocaliseerd.</para>

	<sect4>
	  <title>Een NIS-cli&euml;nt opzetten</title>

	  <indexterm>
	    <primary>NIS</primary>

	    <secondary>cli&euml;nt instellen</secondary>
	  </indexterm>

	  <para>Het opzetten van een &os; machine als NIS-cli&euml;nt is
	    redelijk doorzichtig:</para>

	  <procedure>
	    <step>
	      <para>Wijzig <filename>/etc/rc.conf</filename> en voeg de
		volgende regels toe om de NIS-domeinnaam in te stellen
		en <command>ypbind</command> mee te laten starten bij
		het starten van het netwerk:</para>

	      <programlisting>nisdomainname="test-domain"
nis_client_enable="YES"</programlisting>
	    </step>

	    <step>
	      <para>Om alle mogelijke regels voor accounts uit de
		NIS-server te halen, dienen alle gebruikersaccounts uit
		<filename>/etc/master.passwd</filename> verwijderd te
		worden en dient met <command>vipw</command> de volgende
		regel aan het einde van het bestand geplaatst te
		worden:</para>

	      <programlisting>+:::::::::</programlisting>

	      <note>
		<para>Door deze regel wordt alle geldige accounts
		  in de wachtwoordafbeelding van de NIS-server toegang
		  gegeven.  Er zijn veel manieren om de NIS-cli&euml;nt
		  in te stellen door deze regel te veranderen.  In het
		  onderdeel <link
		    linkend="network-netgroups">netgroepen</link>
		  hieronder staat meer informatie.  Zeer gedetailleerde
		  informatie staat in het boek <literal>NFS en NIS
		  beheren</literal> van O'Reilly.</para>
	      </note>

	      <note>
		<para>Er moet tenminste &eacute;&eacute;n lokale account
		  behouden blijven (dus niet ge&iuml;mporteerd via NIS)
		  in <filename>/etc/master.passwd</filename> en die
		  hoort ook lid te zijn van de groep
		  <groupname>wheel</groupname>.  Als er iets mis is met
		  NIS, dan kan die account gebruikt worden om via het
		  netwerk aan te melden, <username>root</username> te
		  worden en het systeem te repareren.</para>
	      </note>
	    </step>

	    <step>
	      <para>Om alle groepen van de NIS-server te importeren, kan
		de volgende regel aan <filename>/etc/group</filename>
		toegevoegd worden:</para>

	      <programlisting>+:*::</programlisting>
	    </step>
	  </procedure>

	  <para>Na het afronden van deze stappen zou met <command>ypcat
	      passwd</command> de passwd map van de NIS-server te zien
	    moeten zijn.</para>
	</sect4>
      </sect3>
    </sect2>

    <sect2>
      <title>NIS-beveiliging</title>

      <para>In het algemeen kan iedere netwerkgebruiker een RPC-verzoek
	doen uitgaan naar &man.ypserv.8; en de inhoud van de
	NIS-afbeeldingen ontvangen, mits die gebruiker de domeinnaam
	kent.  Omdat soort ongeautoriseerde transacties te voorkomen,
	ondersteunt &man.ypserv.8; de optie <quote>securenets</quote>,
	die gebruikt kan worden om de toegang te beperken tot een
	opgegeven aantal hosts.  Bij het opstarten probeert
	&man.ypserv.8; de securenets informatie te laden uit het bestand
	<filename>/var/yp/securenets</filename>.</para>

      <note>
	<para>Dit pad kan verschillen, afhankelijk van het pad dat
	  opgegeven is met de optie <option>&ndash;p</option>.  Dit
	  bestand bevat regels die bestaan uit een netwerkspecificatie
	  en een netwerkmasker, gescheiden door witruimte.  Regels die
	  beginnen met <literal>#</literal> worden als commentaar
	  gezien.  Een voorbeeld van een securenetsbestand zou er zo uit
	  kunnen zien:</para>
      </note>

	<programlisting># allow connections from local host -- mandatory
127.0.0.1     255.255.255.255
# allow connections from any host
# on the 192.168.128.0 network
192.168.128.0 255.255.255.0
# allow connections from any host
# between 10.0.0.0 to 10.0.15.255
# this includes the machines in the testlab
10.0.0.0      255.255.240.0</programlisting>

      <para>Als &man.ypserv.8; een verzoek ontvangt van een adres dat
	overeenkomt met een van de bovenstaande regels, dan wordt dat
	verzoek normaal verwerkt.  Als er geen enkele regel op het
	verzoek van toepassing is, dan wordt het verzoek genegeerd en
	wordt er een waarschuwing gelogd.  Als het bestand
	<filename>/var/yp/securenets</filename> niet bestaat, dan
	accepteert <command>ypserv</command> verbindingen van iedere
	host.</para>

      <para>Het programma <command>ypserv</command> ondersteunt ook het
	pakket <application>TCP Wrapper</application> van Wietse Venema.
	Daardoor kan een beheerder de instellingenbestanden van
	<application>TCP Wrapper</application> gebruiken voor
	toegangsbeperking in plaats van
	<filename>/var/yp/securenets</filename>.</para>

      <note>
	<para>Hoewel beide methoden van toegangscontrole enige vorm van
	  beveiliging bieden, zijn ze net als de geprivilegieerde
	  poorttest kwetsbaar voor <quote>IP spoofing</quote> aanvallen.
	  Al het NIS-gerelateerde verkeer hoort door een firewall
	  tegengehouden te worden.</para>

	<para>Servers die gebruik maken van
	  <filename>/var/yp/securenets</filename> kunnen wellicht
	  legitieme verzoeken van NIS-cli&euml;nten weigeren als die
	  gebruik maken van erg oude TCP/IP-implementaties.  Sommige van
	  die implementaties zetten alle host bits op nul als ze een
	  broadcast doen en/of kijken niet naar het subnetmasker als ze
	  het broadcastadres berekenen.  Hoewel sommige van die
	  problemen opgelost kunnen worden door de instellingen op de
	  cli&euml;nt aan te passen, zorgen andere problemen voor het
	  noodgedwongen niet langer kunnen gebruiker van NIS voor die
	  cli&euml;nt of het niet langer gebruiken van
	  <filename>/var/yp/securenets</filename>.</para>

	<para>Het gebruik van <filename>/var/yp/securenets</filename>
	  op een server met zo'n oude implementatie van TCP/IP is echt
	  een slecht idee en zal leiden tot verlies van
	  NIS-functionaliteit voor grote delen van een netwerk.</para>

	<indexterm><primary>tcpwrapper</primary></indexterm>

	<para>Het gebruik van het pakket <application>TCP
	    Wrapper</application> leidt tot langere wachttijden op de
	  NIS-server.  De extra vertraging kan net lang genoeg zijn om
	  een timeout te veroorzaken in cli&euml;ntprogramma's, in het
	  bijzonder als het netwerk druk is of de NIS-server traag is.
	  Als een of meer cli&euml;nten last hebben van dat symptoom,
	  dan is het verstandig om de cli&euml;ntsysteem in kwestie
	  NIS-slaveserver te maken en naar zichzelf te laten wijzen.</para>
      </note>
    </sect2>

    <sect2>
      <title>Aanmelden voor bepaalde gebruikers blokkeren</title>

      <para>In het lab staat de machine <hostid>basie</hostid>, die
	alleen faculteitswerkstation hoort te zijn.  Het is niet
	gewenst die machine uit het NIS-domein te halen, maar het
	<filename>passwd</filename> bestand op de master NIS-server
	bevat nu eenmaal accounts voor zowel de faculteit als de
	studenten.  Hoe kan dat opgelost worden?</para>

      <para>Er is een manier om het aanmelden van specifieke gebruikers
	op een machine te weigeren, zelfs als ze in de NIS-database
	staan.  Daarvoor hoeft er alleen maar
	<literal>&ndash;<replaceable>username</replaceable></literal>
	aan het einde van <filename>/etc/master.passwd</filename> op de
	cli&euml;nt machine toegevoegd te worden, waar
	<replaceable>username</replaceable> de gebruikersnaam van de
	gebruiker die niet mag aanmelden is.  Dit gebeurt bij voorkeur
	met <command>vipw</command>, omdat <command>vipw</command>
	de wijzigingen aan <filename>/etc/master.passwd</filename>
	controleert en ook de wachtwoord database opnieuw bouwt na het
	wijzigen.  Om bijvoorbeeld de gebruiker
	<username>bill</username> aan te kunnen laten aanmelden op
	<hostid>basie</hostid>:</para>

	<screen>basie&prompt.root; <userinput>vipw</userinput>
<userinput>[add -bill to the end, exit]</userinput>
vipw: rebuilding the database...
vipw: done

basie&prompt.root; <userinput>cat /etc/master.passwd</userinput>

root:[password]:0:0::0:0:The super-user:/root:/bin/csh
toor:[password]:0:0::0:0:The other super-user:/root:/bin/sh
daemon:*:1:1::0:0:Owner of many system processes:/root:/sbin/nologin
operator:*:2:5::0:0:System &:/:/sbin/nologin
bin:*:3:7::0:0:Binaries Commands and Source,,,:/:/sbin/nologin
tty:*:4:65533::0:0:Tty Sandbox:/:/sbin/nologin
kmem:*:5:65533::0:0:KMem Sandbox:/:/sbin/nologin
games:*:7:13::0:0:Games pseudo-user:/usr/games:/sbin/nologin
news:*:8:8::0:0:News Subsystem:/:/sbin/nologin
man:*:9:9::0:0:Mister Man Pages:/usr/share/man:/sbin/nologin
bind:*:53:53::0:0:Bind Sandbox:/:/sbin/nologin
uucp:*:66:66::0:0:UUCP pseudo-user:/var/spool/uucppublic:/usr/libexec/uucp/uucico
xten:*:67:67::0:0:X-10 daemon:/usr/local/xten:/sbin/nologin
pop:*:68:6::0:0:Post Office Owner:/nonexistent:/sbin/nologin
nobody:*:65534:65534::0:0:Unprivileged user:/nonexistent:/sbin/nologin
+:::::::::
-bill

basie&prompt.root;</screen>
    </sect2>

    <sect2 id="network-netgroups">
      <sect2info>
	<authorgroup>
	  <author>
	    <firstname>Udo</firstname>
	    <surname>Erdelhoff</surname>
	    <contrib>Geschreven door </contrib>
	  </author>
	</authorgroup>
      </sect2info>

      <title>Netgroups gebruiken</title>

      <indexterm><primary>netgroepen</primary></indexterm>

      <para>De methode uit het vorige onderdeel werkt prima als er maar
	voor een beperkt aantal gebruikers en/of machines speciale
	regels nodig zijn.  Op grotere netwerken
	<emphasis>gebeurt</emphasis> het gewoon dat er wordt vergeten
	om een aantal gebruikers de aanmeldrechten op gevoelige machines
	te ontnemen of dat zelfs iedere individuele machine aangepast
	moet worden, waardoor het voordeel van NIS teniet wordt gedaan:
	<emphasis>centraal</emphasis> beheren.</para>

      <para>De ontwikkelaars van NIS hebben dit probleem opgelost met
	<emphasis>netgroepen</emphasis>.  Het doel en de semantiek
	kunnen vergeleken worden met de normale groepen die gebruikt
	worden op &unix; bestandssystemen.  De belangrijkste verschillen
	zijn de afwezigheid van een numeriek ID en de mogelijkheid om
	een netgroep aan te maken die zowel gebruikers als andere
	netgroepen bevat.</para>

      <para>Netgroepen zijn ontwikkeld om gebruikt te worden voor grote,
	complexe netwerken met honderden gebruikers en machines.  Aan
	de ene kant is dat iets Goeds.  Aan de andere kant is het wel
	complex en bijna onmogelijk om netgroepen met een paar
	eenvoudige voorbeelden uit te leggen.  Dat probleem wordt in de
	rest van dit onderdeel duidelijk gemaakt.</para>

      <para>Stel dat de succesvolle implementatie van  NIS in het lab de
	interesse heeft gewekt van een centrale beheerclub.  De volgende
	taak is het uitbreiden van het NIS-domein met een aantal andere
	machines op de campus.  De onderstaande twee tabellen bevatten
	de namen van de nieuwe gebruikers en de nieuwe machines met een
	korte beschijving.</para>

      <informaltable frame="none" pgwide="1">
	<tgroup cols="2">
	  <thead>
	    <row>
	      <entry>Gebruikersna(a)m(en)</entry>

	      <entry>Beschrijving</entry>
	    </row>
	  </thead>

	  <tbody>
	    <row>
	      <entry><username>alpha</username>,
		<username>beta</username></entry>

	      <entry>Gewone medewerkers van de IT-afdeling</entry>
	    </row>

	    <row>
	      <entry><username>charlie</username>,
		<username>delta</username></entry>

	      <entry>Junior medewerkers van de IT-afdeling</entry>
	    </row>

	    <row>
	      <entry><username>echo</username>,
		<username>foxtrott</username>,
		<username>golf</username>, ...</entry>

	      <entry>Gewone medewerkers</entry>
	    </row>

	    <row>
	      <entry><username>able</username>,
		<username>baker</username>, ...</entry>

	      <entry>Stagiairs</entry>
	    </row>
	  </tbody>
	</tgroup>
      </informaltable>

      <informaltable frame="none" pgwide="1">
	<tgroup cols="2">
	  <thead>
	    <row>
	      <entry>Machinena(a)m(en)</entry>

	      <entry>Beschrijving</entry>
	    </row>
	  </thead>

	  <tbody>
	    <row>
	      <!--  Names taken from "Good Omens" by Neil Gaiman and
		    Terry Pratchett.  Many thanks for a brilliant
		    book.  -->

	      <entry><hostid>war</hostid>, <hostid>death</hostid>,
		<hostid>famine</hostid>,
		<hostid>pollution</hostid></entry>

	      <entry>De belangrijkste servers.  Alleen senior
		medewerkers van de IT-afdeling mogen hierop
		aanmelden.</entry>
	    </row>

	    <row>
	      <!-- gluttony was omitted because it was too fat -->

	      <entry><hostid>pride</hostid>, <hostid>greed</hostid>,
		<hostid>envy</hostid>, <hostid>wrath</hostid>,
		<hostid>lust</hostid>, <hostid>sloth</hostid></entry>

	      <entry>Minder belangrijke servers.  Alle leden van
		de IT-afdeling mogen aanmelden op deze machines.</entry>
	    </row>

	    <row>
	      <entry><hostid>one</hostid>, <hostid>two</hostid>,
		<hostid>three</hostid>, <hostid>four</hostid>,
		...</entry>

	      <entry>Gewone werkstations.  Alleen
		<emphasis>echte</emphasis> medewerkers mogen zich op
		deze machines aanmelden.</entry>
	    </row>

	    <row>
	      <entry><hostid>trashcan</hostid></entry>

	      <entry>Een erg oude machine zonder kritische data.  Zelfs
		de stagiair mag deze doos gebruiken.</entry>
	    </row>
	  </tbody>
	</tgroup>
      </informaltable>

      <para>Als deze restricties ingevoerd worden door iedere gebruiker
	afzonderlijk te blokkeren, dan wordt er een
	<literal>-<replaceable>user</replaceable></literal> regel per
	systeem toegevoegd aan de <filename>passwd</filename> voor
	iedere gebruiker die niet mag aanmelden op dat systeem.  Als er
	maar &eacute;&eacute;n regel wordt vergeten, kan dat een
	probleem opleveren.  Wellicht lukt het nog dit juist in te
	stellen bij de bouw van een machine, maar het wordt
	<emphasis>echt</emphasis> vergeten de regels toe te voegen voor
	nieuwe gebruikers in de productiefase.  Murphy was tenslotte een
	optimist.</para>

      <para>Het gebruik van netgroepen biedt in deze situatie een aantal
	voordelen.  Niet iedere gebruiker hoeft separaat afgehandeld te
	worden.  Een gebruik kan aan een of meer groepen worden
	toegevoegd en aanmelden kan voor alle leden van zo'n groep
	worden toegestaan of geweigerd.  Als er een nieuwe machine wordt
	toegevoegd, dan hoeven alleen de aanmeldrestricties voor de
	netgroepen te worden ingesteld.  Als er een nieuwe gebruiker
	wordt toegevoegd, dan hoeft die alleen maar aan de juiste
	netgroepen te worden toegevoegd.  Die veranderingen zijn niet
	van elkaar afhankelijk: geen <quote>voor iedere combinatie van
	gebruiker en machine moet het volgende ...</quote>.  Als de
	NIS-opzet zorgvuldig is gepland, dan hoeft er maar
	&eacute;&eacute;n instellingenbestand gewijzigd te worden om
	toegang tot machines te geven of te ontnemen.</para>

      <para>De eerst stap is het initialiseren van de NIS-afbeelding
	netgroup.  &man.ypinit.8; van &os; maakt deze map niet
	standaard, maar als die is gemaakt, ondersteunt de
	NIS-implementatie hem wel.  Een lege map wordt als volgt
	gemaakt:</para>

      <screen>ellington&prompt.root; <userinput>vi /var/yp/netgroup</userinput></screen>

      <para>Nu kan hij gevuld worden.  In het gebruikte voorbeeld zijn
	tenminste vier netgroepen:  IT-medewerkers, IT-junioren, gewone
	medewerkers en stagiars.</para>

      <programlisting>IT_MW   (,alpha,test-domain)    (,beta,test-domain)
IT_APP  (,charlie,test-domain)  (,delta,test-domain)
USERS   (,echo,test-domain)     (,foxtrott,test-domain) \
        (,golf,test-domain)
STAGS   (,able,test-domain)     (,baker,test-domain)</programlisting>

      <para><literal>IT_MW</literal>, <literal>IT_APP</literal>
	enzovoort, zijn de namen van de netgroepen.  Iedere groep tussen
	haakjes bevat een of meer gebruikersnamen voor die groep.  De
	drie velden binnen een groep zijn:</para>

      <orderedlist>
	<listitem>
	  <para>De na(a)m(en) van de host(s) waar de volgende onderdelen
	    geldig zijn.  Als er geen hostnaam wordt opgegeven dan is de
	    regel geldig voor alle hosts.  Als er wel een hostnaam wordt
	    opgegeven, dan wordt een donker, spookachtig en verwarrend
	    domein betreden.</para>
	</listitem>

	<listitem>
	  <para>De naam van de account die bij deze netgroep hoort.</para>
	</listitem>

	<listitem>
	  <para>Het NIS-domein voor de account.  Er kunnen accounts uit
	    andere NIS-domeinen ge&iuml;mporteerd worden in een netgroep
	    als een beheerder zo ongelukkig is meerdere NIS-domeinen te
	    hebben.</para>
	</listitem>
      </orderedlist>

      <para>Al deze velden kunnen jokerkarakters bevatten.  Details
	daarover staan in &man.netgroup.5;.</para>

      <note>
	<indexterm><primary>netgroepen</primary></indexterm>

	<para>De naam van een netgroep mag niet langer zijn dan acht
	  karakters, zeker niet als er andere besturingssystemen binnen
	  een NIS-domein worden gebruikt.  De namen zijn
	  hoofdlettergevoelig: alleen hoofdletters gebruiken voor de
	  namen van netgroepen is een makkelijke manier om onderscheid
	  te kunnen maken tussen gebruikers-, machine- en
	  netgroepnamen.</para>

	<para>Sommige NIS-cli&euml;nten (andere dan die op &os; draaien)
	  kunnen niet omgaan met netgroepen met veel leden.  Sommige
	  oudere versies van &sunos; gaan bijvoorbeeld lastig doen als
	  een netgroep meer dan 15 <emphasis>leden</emphasis> heeft.
	  Dit kan omzeild worden door meerdere subnetgroepen te maken
	  met 15 gebruikers of minder en een echte netgroep die de
	  subnetgroepen bevat:</para>

	<programlisting>BIGGRP1  (,joe1,domain)  (,joe2,domain)  (,joe3,domain) [...]
BIGGRP2  (,joe16,domain)  (,joe17,domain) [...]
BIGGRP3  (,joe31,domain)  (,joe32,domain)
BIGGROUP  BIGGRP1 BIGGRP2 BIGGRP3</programlisting>

	<para>Dit proces kan herhaald worden als er meer dan 225
	  gebruikers in een netgroep moeten.</para>
      </note>

      <para>Het activeren en distribueren van de nieuwe NIS-map is
	eenvoudig:</para>

      <screen>ellington&prompt.root; <userinput>cd /var/yp</userinput>
ellington&prompt.root; <userinput>make</userinput></screen>

      <para>Hiermee worden drie nieuwe NIS-afbeeldingen gemaakt:
	<filename>netgroup</filename>,
	<filename>netgroup.byhost</filename> en
	<filename>netgroup.byuser</filename>.  Met &man.ypcat.1; kan
	bekeken worden op de nieuwe NIS-afbeeldingen beschikbaar zijn:</para>

      <screen>ellington&prompt.user; <userinput>ypcat -k netgroup</userinput>
ellington&prompt.user; <userinput>ypcat -k netgroup.byhost</userinput>
ellington&prompt.user; <userinput>ypcat -k netgroup.byuser</userinput></screen>

      <para>De uitvoer van het eerste commando hoort te lijken op de
	inhoud van <filename>/var/yp/netgroup</filename>.  Het tweede
	commando geeft geen uitvoer als er geen host-specifieke
	netgroepen zijn ingesteld.  Het derde commando kan gebruikt
	worden om een lijst van netgroepen voor een gebruiker op te
	vragen.</para>

      <para>Het instellen van de cli&euml;nt is redelijk eenvoudig.  Om
	de server <hostid>war</hostid> in te stellen hoeft alleen met
	&man.vipw.8; de volgende regel in de regel daarna vervangen te
	worden:</para>

      <programlisting>+:::::::::</programlisting>

      <para>Vervang de bovenstaande regel in de onderstaande.</para>

      <programlisting>+@IT_MW:::::::::</programlisting>

      <para>Nu worden alleen de gebruikers die in de netgroep
	<literal>IT_MW</literal> ge&iuml;mporteerd in de
	wachtwoorddatabase van de host <hostid>war</hostid>, zodat
	alleen die gebruikers zich kunnen aanmelden.</para>

      <para>Helaas zijn deze beperkingen ook van toepassing op de
	functie <literal>~</literal> van de shell en alle routines
	waarmee tussen gebruikersnamen en numerieke gebruikers ID's
	wordt gewisseld.  Met andere woorden: <command>cd
	~<replaceable>user</replaceable></command> werkt niet,
	<command>ls &ndash;l</command> toont het numerieke ID in plaats
	van de gebruikersnaam en <command>find . &ndash;user joe
	&ndash;print</command> faalt met de foutmelding <errorname>No
	such user</errorname>.  Om dit te repareren moeten alle
	gebruikers ge&iuml;mporteerd worden, <emphasis>zonder ze het
	recht te geven aan te melden op een server</emphasis>.</para>

      <para>Dit kan gedaan worden door nog een regel aan
	<filename>/etc/master.passwd</filename> toe te voegen:</para>

      <programlisting>+:::::::::/sbin/nologin</programlisting>

      <para>Dit betekent <quote>importeer alle gebruikers, maar vervang
	de shell door <filename>/sbin/nologin</filename></quote>.  Ieder
	veld in een <literal>passwd</literal> regel kan door een
	standaardwaarde vervangen worden in
	<filename>/etc/master.passwd</filename>.</para>

      <!-- Been there, done that, got the scars to prove it - ue -->
      <warning>
	<para>De regel <literal>+:::::::::/sbin/nologin</literal> moet
	na <literal>+@IT_MW:::::::::</literal> komen.  Anders krijgen
	alle gebruikers die uit NIS-komen
	<filename>/sbin/nologin</filename> als aanmeldshell.</para>
      </warning>

      <para>Na deze wijziging hoeft er nog maar &eacute;&eacute;n
	NIS-afbeelding gewijzigd te worden als er een nieuwe medewerker
	komt bij de IT-afdeling.  Dezelfde aanpak kan gebruikt worden
	voor de minder belangrijke servers door de oude regel
	<literal>+:::::::::</literal> in de lokale versie van
	<filename>/etc/master.passwd</filename> door iets als het
	volgende te vervangen:</para>

      <programlisting>+@IT_MW:::::::::
+@IT_APP:::::::::
+:::::::::/sbin/nologin</programlisting>

      <para>Voor normale werkstations zijn het de volgende regels:</para>

      <programlisting>+@IT_MW:::::::::
+@USERS:::::::::
+:::::::::/sbin/nologin</programlisting>

      <para>En dat zou allemaal leuk en aardig zijn als er niet na een
	paar weken een beleidsverandering komt: de IT-afdeling gaat
	stagiairs aannemen.  De IT-stagiairs mogen de normale
	werkstations en de minder belangrijke servers gebruiken en de
	juniorbeheerders mogen gaan aanmelden op de hoofdservers.  Dat
	kan door een nieuwe groep <literal>IT_STAG</literal> te maken en
	de nieuwe IT-stagiairs toe te voegen aan die netgroep en dan de
	instellingen op iedere machine te gaan veranderen.  Maar zoals
	het spreekwoord zegt: <quote>Fouten in een centrale planning
	leiden tot complete chaos.</quote></para>

      <para>Deze situaties kunnen voorkomen worden door gebruik te maken
	van de mogelijkheid in NIS om netgroepen in netgroepen op te
	nemen.  Het is mogelijk om rolgebaseerde netgroepen te maken.
	Er kan bijvoorbeeld een netgroep <literal>BIGSRV</literal>
	gemaakt worden om het aanmelden op de belangrijke servers te
	beperken en er kan een andere netgroep
	<literal>SMALLSRV</literal> voor de minder belangrijke servers
	zijn en een derde netgroep met de naam
	<literal>USERBOX</literal> voor de normale werkstations.  Al die
	netgroepen kunnen de netgroepen bevatten die op die machines
	mogen aanmelden.  De nieuwe regels in de NIS-afbeelding netgroup
	zien er dan zo uit:</para>

      <programlisting>BIGSRV    IT_MW  IT_APP
SMALLSRV  IT_MW  IT_APP  ITSTAG
USERBOX   IT_MW  ITSTAG USERS</programlisting>

      <para>Deze methode voor het instellen van aanmeldbeperkingen werkt
	redelijk goed als er groepen van machines gemaakt kunnen worden
	met identieke beperkingen.  Helaas blijkt dat eerder
	uitzondering dan regel.  Meestal moet het mogelijk zijn om per
	machine in te stellen wie zich wel en wie zich niet mogen
	aanmelden.</para>

      <para>Daarom is het ook mogelijk om via machinespecifieke
	netgroepen de hierboven aangegeven beleidswijziging op te
	vangen.  In dat scenario bevat
	<filename>/etc/master.passwd</filename> op iedere machine twee
	regels die met <quote>+</quote> beginnen.  De eerste voegt de
	netgroep toe met de accounts die op de machine mogen aanmelden
	en de tweede voegt alle andere accounts toe met
	<filename>/sbin/nologin</filename> als shell.  Het is verstandig
	om als naam van de netgroep de machinenaam in
	<quote>HOOFDLETTERS</quote> te gebruiken.  De regels zien er
	ongeveer als volgt uit:</para>

      <programlisting>+@<replaceable>MACHINENAAM</replaceable>:::::::::
+:::::::::/sbin/nologin</programlisting>

      <para>Als dit voor alle machines is gedaan, dan hoeven de lokale
	versies van <filename>/etc/master.passwd</filename> nooit meer
	veranderd te worden.  Alle toekomstige wijzigingen kunnen dan
	gemaakt worden door de NIS-afbeelding te wijzigen.  Hieronder
	staat een voorbeeld van een mogelijke netgroep map voor het
	beschreven scenario met een aantal toevoegingen:</para>

      <programlisting># Definieer eerst de gebruikersgroepen
IT_MW     (,alpha,test-domain)    (,beta,test-domain)
IT_APP    (,charlie,test-domain)  (,delta,test-domain)
DEPT1     (,echo,test-domain)     (,foxtrott,test-domain)
DEPT2     (,golf,test-domain)     (,hotel,test-domain)
DEPT3     (,india,test-domain)    (,juliet,test-domain)
ITSTAG    (,kilo,test-domain)     (,lima,test-domain)
D_STAGS   (,able,test-domain)     (,baker,test-domain)
#
# En nu een aantal groepen op basis van rollen
USERS     DEPT1   DEPT2     DEPT3
BIGSRV    IT_MW   IT_APP
SMALLSRV  IT_MW   IT_APP    ITSTAG
USERBOX   IT_MW   ITSTAG    USERS
#
# Een een groep voor speciale taken.
# Geef echo en golf toegang tot de anti-virus machine.
SECURITY  IT_MW   (,echo,test-domain)  (,golf,test-domain)
#
# Machinegebaseerde netgroepen
# Hoofdservers
WAR       BIGSRV
FAMINE    BIGSRV
# Gebruiker india heeft toegang tot deze server nodig.
POLLUTION  BIGSRV  (,india,test-domain)
#
# Deze is erg belangrijk en heeft strengere toegangseisen nodig.
DEATH     IT_MW
#
# De anti-virus machine als hierboven genoemd.
ONE       SECURITY
#
# Een machine die maar door 1 gebruiker gebruikt mag worden.
TWO       (,hotel,test-domain)
# [...hierna volgen de andere groepen]</programlisting>

      <para>Als er een soort database wordt gebruikt om de
	gebruikersaccounts te beheren, dan is het in ieder geval nodig
	dat ook het eerste deel van de afbeelding met de
	databaserapportagehulpmiddelen gemaakt kan worden.  Dan krijgen
	nieuwe gebruikers automatisch toegang tot de machines.</para>

      <para>Nog een laatste waarschuwing: het is niet altijd aan te
	raden gebruik te maken van machinegebaseerde netgroepen.  Als er
	tientallen of zelfs honderden gelijke machines voor bijvoorbeeld
	studentenruimtes worden uitgerold, dan is het verstandiger
	rolgebaseerde netgroepen te gebruiken in plaats van
	machinegebaseerde netgroepen om de grootte van de NIS-afbeelding
	binnen de perken te houden.</para>
    </sect2>

    <sect2>
      <title>Belangrijk om te onthouden</title>

      <para>In een NIS-omgeving werken een aantal dingen wel
	anders.</para>

      <itemizedlist>
	<listitem>
	  <para>Als er een gebruiker toegevoegd moet worden, dan moet
	    die <emphasis>alleen</emphasis> toegevoegd worden aan de
	    master NIS-server en <emphasis>mag niet vergeten worden dat
	    de NIS-afbeeldingen herbouwd moeten worden</emphasis>.  Als
	    dit wordt vergeten, dan kan de nieuwe gebruiker nergens
	    anders aanmelden dan op de NIS-master.  Als bijvoorbeeld een
	    nieuwe gebruiker <username>jsmith</username> toegevoegd moet
	    worden:</para>

	  <screen>&prompt.root; <userinput>pw useradd jsmith</userinput>
&prompt.root; <userinput>cd /var/yp</userinput>
&prompt.root; <userinput>make test-domain</userinput></screen>

	  <para>Er kan ook <command>adduser jsmith</command> in plaats
	    van <command>pw useradd jsmith</command> gebruikt
	    worden.</para>
	</listitem>

	<listitem>
	  <para><emphasis>De beheeraccounts moeten buiten de
	    NIS-afbeeldingen gehouden worden</emphasis>.  Het is niet
	    handig als de beheeraccounts en wachtwoorden naar machines
	    waarop gebruikers zich aanmelden die geen toegang tot die
	    informatie horen te hebben zouden gaan.</para>
	</listitem>

	<listitem>
	  <para><emphasis>De NIS-master en slave moeten veilig blijven
	    en zo min mogelijk niet beschikbaar zijn</emphasis>.  Als de
	    machine wordt gehackt of als hij wordt uitgeschakeld, dan
	    kunnen er in theorie nogal wat mensen niet meer aanmelden.</para>

	  <para>Dit is de belangrijkste zwakte van elk gecentraliseerd
	    beheersysteem.  Als de NIS-servers niet goed beschermd
	    worden, dan worden veel gebruikers boos!</para>
	</listitem>
      </itemizedlist>
    </sect2>

    <sect2>
      <title>NIS v1-compatibiliteit</title>

      <para><application>ypserv</application> voor &os; biedt wat
	ondersteuning voor NIS v1 cli&euml;nten.  De NIS-implementatie
	van &os; gebruikt alleen het NIS v2 protocol, maar andere
	implementaties bevatten ondersteuning voor het v1 protocol voor
	achterwaartse compatibiliteit met oudere systemen.  De
	<application>ypbind</application>-daemons die bij deze systemen
	zitten proberen een binding op te zetten met een NIS v1 server,
	hoewel dat niet per se ooit nodig is (en ze gaan misschien nog
	wel door met broadcasten nadat ze een antwoord van een v2
	server hebben ontvangen).  Het is belangrijk om te melden dat
	hoewel ondersteuning voor gewone cli&euml;ntoproepen aanwezig
	is, deze versie van <application>ypserv</application> geen
	overdrachtsverzoeken voor v1-afbeeldingen af kan handelen.
	Daarom kan <application>ypserv</application> niet gebruikt
	worden als master of slave in combinatie met oudere NIS-servers
	die alleen het v1 protocol ondersteunen.  Gelukkig worden er in
	deze tijd niet meer zoveel van deze servers gebruikt.</para>
    </sect2>

    <sect2 id="network-nis-server-is-client">
      <title>NIS-servers die ook NIS-cli&euml;nten zijn</title>

      <para>Het is belangrijk voorzichtig om te gaan met het draaien van
	<application>ypserv</application> in een multi-server domein
	waar de server machines ook NIS-cli&euml;nten zijn.  Het is in
	het algemeen verstandiger om de servers te dwingen met zichzelf
	te binden dan ze toe te staan een bindverzoek te broadcasten en
	het risico te lopen dat ze een binding met elkaar maken.  Er
	kunnen vreemde fouten optreden als een van de servers plat gaat
	als er andere servers van die server afhankelijk zijn.  Na
	verloop van tijd treedt op de cli&euml;nten wel een timeout op
	en verbinden ze met een andere server, maar de daarmee gepaard
	gaande vertraging kan aanzienlijk zijn en de foutmodus is nog
	steeds van toepassing, omdat de servers dan toch weer opnieuw
	een verbinding met elkaar kunnen vinden.</para>

      <para>Het is mogelijk een host aan een specifieke server te binden
	door aan <command>ypbind</command> de vlag
	<option>&ndash;S</option> mee te geven.  Om dit niet iedere keer
	handmatig na een herstart te hoeven uitvoeren, kan de volgende
	regel worden opgenomen in <filename>/etc/rc.conf</filename> van
	de NIS-server:</para>

      <programlisting>nis_client_enable="YES"	# start ook het cli&euml;nt gedeelte
nis_client_flags="-S <replaceable>NIS domain</replaceable>,<replaceable>server</replaceable>"</programlisting>

      <para>In &man.ypbind.8; staat meer informatie.</para>
    </sect2>

    <sect2>
      <title>Wachtwoordformaten</title>

      <indexterm>
	<primary>NIS</primary>

	<secondary>wachtwoordformaten</secondary>
      </indexterm>

      <para>Een van de meest voorkomende problemen bij het implementeren
	van NIS is de compatibiliteit van het wachtwoordformaat.  Als
	een NIS-server wachtwoorden gebruikt die met DES gecodeerd zijn,
	dan kunnen alleen cli&euml;nten die ook DES gebruiken
	ondersteund worden.  Als er bijvoorbeeld &solaris;
	NIS-cli&euml;nten in een netwerk zijn, dan moet er vrijwel zeker
	gebruik gemaakt worden van met DES gecodeerde wachtwoorden.</para>

      <para>Van welk formaat cli&euml;nten en servers gebruik maken is
	te zien in <filename>/etc/login.conf</filename>.  Als een host
	gebruik maakt van met DES gecodeerde wachtwoorden, dan staat er
	in de klasse <literal>default</literal> een regel als de
	volgende:</para>

      <programlisting>default:\
	:passwd_format=des:\
	:copyright=/etc/COPYRIGHT:\
	[Overige regels weggelaten]</programlisting>

      <para>Andere mogelijke waarden voor
	<literal>passwd_format</literal> zijn
	<literal>blf</literal> en <literal>md5</literal>
	(respectievelijk voor Blowfish en MD5 gecodeerde
	wachtwoorden).</para>

      <para>Als er wijzigingen gemaakt zijn aan
	<filename>/etc/login.conf</filename> dan moet de
	login capability database herbouwd worden door het volgende
	commando als <username>root</username> uit te voeren:</para>

      <screen>&prompt.root; <userinput>cap_mkdb /etc/login.conf</userinput></screen>

      <note>
	<para>Het formaat van de wachtwoorden die al in
	  <filename>/etc/master.passwd</filename> staan worden niet
	  bijgewerkt totdat een gebruiker zijn wachtwoord voor de eerste
	  keer wijzigt <emphasis>nadat</emphasis> de login capability
	  database is herbouwd.</para>
      </note>

      <para>Om te zorgen dat de wachtwoorden in het gekozen formaat zijn
	gecodeerd, moet daarna gecontroleerd worden of de waarde
	<literal>crypt_default</literal> in
	<filename>/etc/auth.conf</filename> de voorkeur geeft aan het
	gekozen formaat.  Om dat te realiseren dient het gekozen formaat
	vooraan gezet te worden in de lijst.  Als er bijvoorbeeld
	gebruik gemaakt wordt van DES gecodeerde wachtwoorden, dan hoort
	de regel er als volgt uit te zien:</para>

      <programlisting>crypt_default	=	des blf md5</programlisting>

      <para>Als de bovenstaande stappen op alle &os; gebaseerde
	NIS-servers en cli&euml;nten zijn uitgevoerd, dan is het zeker
	dat ze het allemaal eens zijn over welk wachtwoordformaat er op
	het netwerk wordt gebruikt.  Als er problemen zijn bij de
	authenticatie op een NIS-cli&euml;nt, dan is dit een prima
	startpunt voor het uitzoeken waar de problemen vandaan komen.
	Nogmaals: als er een NIS-server in een heterogene omgeving wordt
	geplaatst, dan is het waarschijnlijk dat er gebruik gemaakt moet
	worden van DES op alle systemen, omdat dat de laagst
	overeenkomende standaard is.</para>
    </sect2>
  </sect1>

  <sect1 id="network-dhcp">
    <sect1info>
      <authorgroup>
	<author>
	  <firstname>Greg</firstname>
	  <surname>Sutter</surname>
	  <contrib>Geschreven door </contrib>
	</author>
      </authorgroup>
    </sect1info>

    <title>Automatisch netwerk instellen (DHCP)</title>

    <sect2>
      <title>Wat is DHCP?</title>

      <indexterm>
	<primary>Dynamic Host Configuration Protocol</primary>

	<see>DHCP</see>
      </indexterm>

      <indexterm><primary>Internet Systems Consortium (ISC)</primary></indexterm>

      <para>DHCP, het Dynamic Host Configuration Protocol, schrijft voor
	hoe een systeem verbinding kan maken met een netwerk en hoe het
	de benodigde informatie kan krijgen om met dat netwerk te
	communiceren.  &os; versies eerder dan 6.0 gebruiken de
	implementatie van de DHCP-cli&euml;nt van het ISC (Internet
	Systems Consortium), &man.dhclient.8;.  Latere versies gebruiken
	de OpenBSD <command>dhclient</command> die uit OpenBSD&nbsp;3.7
	komt.  Alle informatie over <command>dhclient</command> kan
	zowel voor de ISC als de OpenBSD DHCP-cli&euml;nt gebruikt
	worden.  De DHCP-server zit bij de ISC-distributie.</para>
    </sect2>

    <sect2>
      <title>Wat behandeld wordt</title>

      <para>In dit onderdeel worden de cli&euml;ntcomponenten van de
	ISC en OpenBSD DHCP-cli&euml;nt en de servercomponenten van het
	ISC DHCP-systeem beschreven.  Het programma voor de cli&euml;nt,
	<command>dhclient</command>, zit standaard in &os; en de server
	is beschikbaar via de port <filename
	  role="package">net/isc-dhcp3-server</filename>.  Naast de
	onderstaande informatie, zijn de hulppagina's van
	&man.dhclient.8;, &man.dhcp-options.5; en &man.dhclient.conf.5;
	bruikbare bronnen.</para>
    </sect2>

    <sect2>
      <title>Hoe het werkt</title>

      <indexterm><primary>UDP</primary></indexterm>

      <para>Als <command>dhclient</command>, de DHCP-cli&euml;nt, wordt
	uitgevoerd op een cli&euml;ntmachine, dan begint die met het
	broadcasten van verzoeken om instellingeninformatie.  Standaard
	worden deze verzoeken op UDP poort 68 gedaan.  De server
	antwoordt op UDP 67 en geeft de cli&euml;nt een IP-adres en
	andere relevante netwerkinformatie, zoals een netmasker,
	router en DNS-servers.  Al die informatie komt in de vorm van
	een DHCP <quote>lease</quote> en is voor een bepaalde tijd
	geldig (die is ingesteld door de beheerder van de DHCP-server).
	Op die manier kunnen IP-adressen voor cli&euml;nten die niet
	langer met het netwerk verbonden zijn (stale) automatisch weer
	ingenomen worden.</para>

      <para>DHCP-cli&euml;nten kunnen veel informatie van de server
	krijgen.  Er staat een uitputtende lijst in
	&man.dhcp-options.5;.</para>
    </sect2>

    <sect2>
      <title>&os; integratie</title>

      <para>&os; integreert de OpenBSD of ISC DHCP-cli&euml;nt
	<command>dhclient</command> volledig (afhankelijk van de
	gebruikte &os; versie).  Er is ondersteuning voor de
	DHCP-cli&euml;nt in zowel het installatieprogramma als in het
	basissysteem, waardoor het niet noodzakelijk is om kennis te
	hebben van het maken van netwerkinstellingen voor het netwerk
	waar een DHCP-server draait.  <command>dhclient</command> is
	onderdeel van &os;-distributies sinds 3.2.</para>

      <indexterm><primary><application>sysinstall</application></primary></indexterm>

      <para>DHCP wordt ondersteund door
	<application>sysinstall</application>.  Bij het instellen van
	een netwerkinterface binnen
	<application>sysinstall</application> is de tweede vraag:
	<quote>Wil je proberen de interface met DHCP in te
	stellen?</quote>  Als het antwoord bevestigend luidt, dan wordt
	<command>dhclient</command> uitgevoerd en als dat succesvol
	verloopt, dan worden de netwerkinstellingen automatisch
	ingevuld.</para>

      <para>Voor het gebruiken van DHCP bij het opstarten van het
	systeem zijn twee instellingen nodig:</para>

      <indexterm>
	<primary>DHCP</primary>

	<secondary>vereisten</secondary>
      </indexterm>

      <itemizedlist>
	<listitem>
	  <para>Het apparaat <devicename>bpf</devicename> moet in de
	    kernel gecompileerd zijn.  Dit kan door
	    <literal>device bpf</literal> aan het bestand met
	    kernelinstellingen toe te voegen en de kernel te herbouwen.
	    Meer informatie over het bouwen van een kernel staat in
	    <xref linkend="kernelconfig">.</para>

	  <para>Het apparaat <devicename>bpf</devicename> is al
	    onderdeel van de <filename>GENERIC</filename> kernel die bij
	    &os; zit, dus als er geen sprake is van een aangepaste
	    kernel, dan hoeft er geen nieuwe gemaakt te worden om DHCP
	    aan te praat te krijgen.</para>

	  <note>
	    <para>Voor de lezer die bijzonder begaan is met beveiliging,
	      is het belangrijk aan te geven dat
	      <devicename>bpf</devicename> ook het apparaat is waardoor
	      pakketsnuffelaars hun werk kunnen doen (hoewel ze nog
	      steeds als <username>root</username> moeten draaien).
	      <devicename>bpf</devicename> <emphasis>is</emphasis>
	      noodzakelijk voor DHCP, maar als beveiliging bijzonder
	      belangrijk is, dan hoort <devicename>bpf</devicename>
	      waarschijnlijk niet in een kernel te zitten omdat de
	      verwachting dat er in de toekomst ooit DHCP gebruikt gaat
	      worden.</para>
	  </note>
	</listitem>

	<listitem>
	  <para>In <filename>/etc/rc.conf</filename> moet het volgende
	    worden opgenomen:</para>

	  <programlisting>ifconfig_fxp0="DHCP"</programlisting>

	  <note>
	    <para><literal>fxp0</literal> dient vervangen te worden door
	      de juiste aanduiding van de interface die dynamisch
	      ingesteld moet worden, zoals beschreven staat in <xref
		linkend="config-network-setup">.</para>
	  </note>

	  <para>Als er een andere lokatie voor
	    <command>dhclient</command> wordt gebruikt of als er extra
	    parameters aan <command>dhclient</command> meegegeven moeten
	    worden, dan dient ook iets als het volgende toegevoegd te
	    worden:</para>

	  <programlisting>dhclient_program="/sbin/dhclient"
dhclient_flags=""</programlisting>
	</listitem>
      </itemizedlist>

      <indexterm>
	<primary>DHCP</primary>

	<secondary>server</secondary>
      </indexterm>

      <para>De DHCP-server, <application>dhcpd</application>, zit bij de
	port <filename role="package">net/isc-dhcp3-server</filename>
	in de Portscollectie.  Deze port bevat de ISC DHCP-server en
	documentatie.</para>
    </sect2>

    <sect2>
      <title>Bestanden</title>

      <indexterm>
	<primary>DHCP</primary>

	<secondary>instellingenbestanden</secondary>
      </indexterm>

      <itemizedlist>
	<listitem>
	  <para><filename>/etc/dhclient.conf</filename></para>

	  <para>Voor <command>dhclient</command> is een
	    instellingenbestand <filename>/etc/dhclient.conf</filename>
	    nodig.  Dat bestand bevat meestal alleen maar commentaar,
	    omdat de standaardinstellingen redelijk zinvol zijn.  Dit
	    bestand wordt beschreven in &man.dhclient.conf.5;.</para>
	</listitem>

	<listitem>
	  <para><filename>/sbin/dhclient</filename></para>

	  <para><command>dhclient</command> is statisch gelinkt en staat
	    in <filename>/sbin</filename>.  Er staat meer informatie
	    over <command>dhclient</command> in &man.dhclient.8;.</para>
	</listitem>

	<listitem>
	  <para><filename>/sbin/dhclient-script</filename></para>

	  <para><command>dhclient-script</command> is het
	    &os;-specifieke DHCP-cli&euml;nt instellingenscript.  Het
	    wordt beschreven in &man.dhclient-script.8;, maar het is
	    niet nodig het te wijzigen om goed te werken.</para>
	</listitem>

	<listitem>
	  <para><filename>/var/db/dhclient.leases</filename></para>

	  <para>De DHCP-cli&euml;nt houdt in dit bestand een database
	    bij van geldige leases, die naar een logboekbestand worden
	    geschreven.  In &man.dhclient.leases.5; staat een iets
	    uitgebreidere beschrijving.</para>
	</listitem>
      </itemizedlist>
    </sect2>

    <sect2>
      <title>Verder lezen</title>

      <para>Het DHCP-protocol staat volledig beschreven in <ulink
	  url="http://www.freesoft.org/CIE/RFC/2131/">RFC 2131</ulink>.
	Er is nog een bron van informatie ingesteld op <ulink
	  url="http://www.dhcp.org/"></ulink>.</para>
    </sect2>

    <sect2 id="network-dhcp-server">
      <title>Een DHCP-server installeren en instellen</title>

      <sect3>
	<title>Wat behandeld wordt</title>

	<para>In dit onderdeel wordt beschreven hoe een &os; systeem zo
	  ingesteld kan worden dat het opereert als DHCP-server door
	  gebruik te maken van de ISC (Internet Systems Consortium)
	  implementatie van de DHCP-server.</para>

	<para>De server wordt niet geleverd als deel van &os; en om deze
	   dienst aan te bieden dient de port <filename
	    role="package">net/isc-dhcp3-server</filename>
	  ge&iuml;nstalleerd te worden.  In <xref linkend="ports"> staat
	  meer informatie over de Portscollectie.</para>
      </sect3>

      <sect3>
	<title>DHCP-serverinstallatie</title>

	<indexterm>
	  <primary>DHCP</primary>

	  <secondary>installatie</secondary>
	</indexterm>

	<para>Om een &os; systeem in te stellen als DHCP-server moet het
	  apparaat &man.bpf.4; in de kernel zijn opgenomen.  Om dit te
	  doen dient <literal>device bpf</literal> aan het bestand met
	  kernelinstellingen toegevoegd te worden en dient de kernel
	  herbouwd te worden.  Meer informatie over het bouwen van
	  kernels staat in <xref linkend="kernelconfig">.</para>

	<para>Het apparaat <devicename>bpf</devicename> is al onderdeel
	  van de <filename>GENERIC</filename> kernel die bij &os;, dus
	  het is meestal niet nodig om een aangepaste kernel te bouwen
	  om DHCP aan de praat te krijgen.</para>

	<note>
	  <para>Het is belangrijk te vermelden dat
	    <devicename>bpf</devicename> ook het apparaat is waardoor
	    pakketsnuffelaars kunnen werken (hoewel de programma's die
	    er gebruik van maken wel bijzondere toegang nodig hebben).
	    <devicename>bpf</devicename> <emphasis>is</emphasis>
	    verplicht voor DHCP, maar als beveiliging van belang is, dan
	    is het waarschijnlijk niet verstandig om
	    <devicename>bpf</devicename> in een kernel op te nemen
	    alleen omdat er in de toekomst misschien ooit DHCP gebruikt
	    gaat worden.</para>
	</note>

	<para>Hierna dient het standaardbestand
	  <filename>dhcpd.conf</filename> dat door de port <filename
	    role="package">net/isc-dhcp3-server</filename> is
	  ge&iuml;nstalleerd gewijzigd te worden.  Standaard is dit
	  <filename>/usr/local/etc/dhcpd.conf.sample</filename> en dit
	  bestand dient gekopieerd te worden naar
	  <filename>/usr/local/etc/dhcpd.conf</filename> voordat de
	  wijzigingen worden gemaakt.</para>
      </sect3>

      <sect3>
	<title>De DHCP-server instellen</title>

	<indexterm>
	  <primary>DHCP</primary>

	  <secondary>dhcpd.conf</secondary>
	</indexterm>

	<para><filename>dhcpd.conf</filename> is opgebouwd uit
	  declaraties over subnetten en hosts en is wellicht het meest
	  eenvoudig te beschrijven met een voorbeeld:</para>

	<programlisting>option domain-name "example.com";<co id="domain-name">
option domain-name-servers 192.168.4.100;<co id="domain-name-servers">
option subnet-mask 255.255.255.0;<co id="subnet-mask">

default-lease-time 3600;<co id="default-lease-time">
max-lease-time 86400;<co id="max-lease-time">
ddns-update-style none;<co id="ddns-update-style">

subnet 192.168.4.0 netmask 255.255.255.0 {
  range 192.168.4.129 192.168.4.254;<co id="range">
  option routers 192.168.4.1;<co id="routers">
}

host mailhost {
  hardware ethernet 02:03:04:05:06:07;<co id="hardware">
  fixed-address mailhost.example.com;<co id="fixed-address">
}</programlisting>

	<calloutlist>
	  <callout arearefs="domain-name">
	    <para>Deze optie geeft het domein aan dat door cli&euml;nten
	      als standaard zoekdomein wordt gebruikt.  In
	      &man.resolv.conf.5; staat meer over wat dat
	      betekent.</para>
	  </callout>

	  <callout arearefs="domain-name-servers">
	    <para>Deze optie beschrijft een door komma's gescheiden
	      lijst met DNS-servers die de cli&euml;nt moet
	      gebruiken.</para>
	  </callout>

	  <callout arearefs="subnet-mask">
	    <para>Het netmasker dat aan de cli&euml;nten wordt
	      voorgeschreven.</para>
	  </callout>

	  <callout arearefs="default-lease-time">
	    <para>Een cli&euml;nt kan om een bepaalde duur vragen die
	      een lease geldig is.  Anders geeft de server aan wanneer
	      de lease vervalt (in seconden).</para>
	  </callout>

	  <callout arearefs="max-lease-time">
	    <para>Dit is de maximale duur voor een lease die de server
	      toestaat.  Als een cli&euml;nt vraagt om een langere
	      lease, dan wordt die wel verstrekt, maar is de maar geldig
	      gedurende <literal>max-lease-time</literal> seconden.</para>
	  </callout>

	  <callout arearefs="ddns-update-style">
	    <para>Deze optie geeft aan of de DHCP-server moet proberen
	      de DNS-server bij te werken als een lease is geaccepteerd
	      of wordt vrijgegeven.  In de ISC implementatie is deze
	      optie <emphasis>verplicht</emphasis>.</para>
	  </callout>

	  <callout arearefs="range">
	    <para>Dit geeft aan welke IP-adressen in de groep met
	      adressen zitten die zijn gereserveerd om uitgegeven te
	      worden aan cli&euml;nten.  Alle IP-adressen tussen de
	      aangegeven adressen en die adressen zelf worden aan
	      cli&euml;nten uitgegeven.</para>
	  </callout>

	  <callout arearefs="routers">
	    <para>Geeft de default gateway aan die aan de cli&euml;nten
	      wordt voorgeschreven.</para>
	  </callout>

	  <callout arearefs="hardware">
	    <para>Het hardware MAC-adres van een host, zodat de
	      DHCP-server een host kan herkennen als die een verzoek
	      doet.</para>
	  </callout>

	  <callout arearefs="fixed-address">
	    <para>Geeft een host aan die altijd hetzelfde IP-adres moet
	      krijgen.  Hier kan een hostnaam gebruikt worden, omdat de
	      DHCP-server de hostnaam zelf opzoekt voordat de
	      lease-informatie terug wordt gegeven.</para>
	  </callout>
	</calloutlist>

	<para>Wanneer u klaar bent met het schrijven van uw
	  <filename>dhcpd.conf</filename>, dient u de DHCP-server in
	  <filename>/etc/rc.conf</filename> aan te zetten, door het
	  volgende toe te voegen:</para>

	<programlisting>dhcpd_enable="YES"
dhcpd_ifaces="dc0"</programlisting>

	<para>Vervang de interfacenaam <literal>dc0</literal> door de
	  interface (of interfaces, gescheiden door witruimtes) waarop
	  uw DHCP-server moet luisteren naar DHCP-verzoeken van
	  cli&euml;nten.</para>

	<para>Daarna kunt u doorgaan met het starten van de server door
	  het volgende commando te geven:</para>

	<screen>&prompt.root; <userinput>/usr/local/etc/rc.d/isc-dhcpd.sh start</userinput></screen>

	<para>Als er later wijzigingen in de instellingen gemaakt moeten
	  worden, dan is het belangrijk te onthouden dat het sturen van
	  een <literal>SIGHUP</literal> signaal naar
	  <application>dhcpd</application> <emphasis>niet</emphasis>
	  resulteert in het opnieuw laden van de instellingen, zoals
	  voor de meeste daemons geldt.  Voor deze daemon dient een
	  signaal <literal>SIGTERM</literal> gestuurd te worden om het
	  proces te stoppen.  Daarna dient de daemon met het hiervoor
	  beschreven commando weer gestart worden.</para>
      </sect3>

      <sect3>
	<title>Bestanden</title>

	<indexterm>
	  <primary>DHCP</primary>

	  <secondary>instellingenbestanden</secondary>
	</indexterm>

	<itemizedlist>
	  <listitem>
	    <para><filename>/usr/local/sbin/dhcpd</filename></para>

	    <para><application>dhcpd</application> is statisch gelinkt
	      en staat in <filename>/usr/local/sbin</filename>.  In de
	      hulppagina voor &man.dhcpd.8; die meekomt met de port
	      staat meer informatie over
	      <application>dhcpd</application>.</para>
	  </listitem>

	  <listitem>
	    <para><filename>/usr/local/etc/dhcpd.conf</filename></para>

	    <para><application>dhcpd</application> heeft een
	      instellingenbestand,
	      <filename>/usr/local/etc/dhcpd.conf</filename>, nodig
	      voordat de daemon diensten aan cli&euml;nten kan leveren.
	      Het bestand moet alle informatie bevatten die aan
	      cli&euml;nten gegeven moet worden en de informatie die
	      nodig is voor het draaien van de dienst.  Dit
	      instellingenbestand staat beschreven in de hulppagina voor
	      &man.dhcpd.conf.5; die meekomt met de port.</para>
	  </listitem>

	  <listitem>
	    <para><filename>/var/db/dhcpd.leases</filename></para>

	    <para>De DHCP-server houdt in dit bestand een database bij
	      met leases die zijn uitgegeven en die naar een logboek
	      worden geschreven.  In de hulppagina &man.dhcpd.leases.5;
	      die bij de port zit wordt dit uitvoeriger beschreven.</para>
	  </listitem>

	  <listitem>
	    <para><filename>/usr/local/sbin/dhcrelay</filename></para>

	    <para><application>dhcrelay</application> wordt in
	      uitgebreidere omgevingen gebruikt waar de ene DHCP-server
	      een verzoek van een cli&euml;nt naar een andere
	      DHCP-server op een ander netwerk doorstuurt.  Als deze
	      functionaliteit nodig is, kan die beschikbaar komen door
	      de port <filename
		role="package">net/isc-dhcp3-relay</filename> te
	      installeren.  De hulppagina voor &man.dhcrelay.8; die bij
	      de port zit bevat meer details.</para>
	  </listitem>
	</itemizedlist>
      </sect3>
    </sect2>
  </sect1>

  <sect1 id="network-dns">
    <sect1info>
      <authorgroup>
	<author>
	  <firstname>Chern</firstname>
	  <surname>Lee</surname>
	  <contrib>Geschreven door </contrib>
	</author>

	<author>
	  <firstname>Tom</firstname>
	  <surname>Rhodes</surname>
	</author>

	<author>
	  <firstname>Daniel</firstname>
	  <surname>Gerzo</surname>
	</author>
      </authorgroup>
    </sect1info>

    <title>Domeinnaamsysteem (<acronym>DNS</acronym>)</title>

    <sect2>
      <title>Overzicht</title>

      <indexterm><primary>BIND</primary></indexterm>

      <para>&os; gebruikt standaard een versie van BIND (Berkeley
	Internet Name Domain), wat de meest gebruikte implementatie van
	het <acronym>DNS</acronym>-protocol is.  <acronym>DNS</acronym>
	is het protocol waarmee namen aan <acronym>IP</acronym>-adressen
	gebonden worden en vice versa.  Zo wordt bijvoorbeeld op een
	zoekopdracht voor <hostid
	  role="fqdn">www.FreeBSD.org</hostid> geantwoord met het
	<acronym>IP</acronym>-adres van de webserver van het &os;
	Project en op een zoekopdracht voor <hostid
	  role="fqdn">ftp.FreeBSD.org</hostid> wordt geantwoord met het
	<acronym>IP</acronym>-adres van de bijbehorende
	<acronym>FTP</acronym>-machine.  Het tegenovergestelde kan ook
	gebeuren.  Een zoekopdracht voor een <acronym>IP</acronym>-adres
	kan de bijbehorende hostnaam opleveren.  Het is niet nodig om
	een naamserver te draaien om op een systeem zoekopdrachten met
	<acronym>DNS</acronym> uit te voeren.</para>

      <para>&os; wordt momenteel standaard geleverd met de
	<acronym>BIND</acronym>9 <acronym>DNS</acronym>-serversoftware.
	Onze installatie biedt verbeterde beveilingsmogelijkheden, een
	nieuwe indeling van het bestandssysteem en geautomatiseerde
	configuratie van &man.chroot.8;.</para>

      <indexterm><primary>DNS</primary></indexterm>

      <para><acronym>DNS</acronym> wordt op Internet onderhouden door
	een enigszins complex systeem van autoritaire root, Top Level
	Domain (<acronym>TLD</acronym>), en andere kleinschaligere
	naamservers die individuele domeininformatie hosten en cachen.</para>

      <para>Op dit moment wordt BIND beheerd door het Internet Systems
	Consortium <ulink url="https://www.isc.org/"></ulink>.</para>
    </sect2>

    <sect2>
      <title>Terminologie</title>

      <para>Om dit document te begrijpen moeten een aantal termen
	gerelateerd aan <acronym>DNS</acronym> begrepen worden.</para>

      <indexterm><primary>resolver</primary></indexterm>

      <indexterm><primary>reverse DNS</primary></indexterm>

      <indexterm><primary>root zone</primary></indexterm>

      <informaltable frame="none" pgwide="1">
	<tgroup cols="2">
	  <colspec colwidth="1*">

	  <colspec colwidth="3*">

	  <thead>
	    <row>
	      <entry>Term</entry>

	      <entry>Definitie</entry>
	    </row>
	  </thead>

	  <tbody>
	    <row>
	      <entry>Voorwaartse <acronym>DNS</acronym></entry>

	      <entry>Het afbeelden van hostnamen op IP-adressen.</entry>
	    </row>

	    <row>
	      <entry>Herkomst (origin)</entry>

	      <entry>Verwijst naar het domein dat door een bepaald
		zonebestand wordt gedekt.</entry>
	    </row>

	    <row>
	      <entry><application>named</application>, BIND</entry>

	      <entry>Vaak gebruikte namen voor het naamserverpakket BIND
		in &os;.</entry>
	    </row>

	    <row>
	      <entry>Resolver</entry>

	      <entry>Een systeemproces waarmee een machine
		zoekopdrachten om zoneinformatie aan een naamserver
		geeft.</entry>
	    </row>

	    <row>
	      <entry>Reverse <acronym>DNS</acronym></entry>

	      <entry>Het afbeelden van <acronym>IP</acronym>-adressen op
		hostnamen.</entry>
	    </row>

	    <row>
	      <entry>Rootzone</entry>

	      <entry>Het begin van de Internet zonehi&euml;rarchie.
		Alle zones vallen onder de rootzone, net zoals alle
		bestanden in een bestandssysteem onder de rootmap
		vallen.</entry>
	    </row>

	    <row>
	      <entry>Zone</entry>

	      <entry>Een individueel domein, subdomein of een deel van
		de <acronym>DNS</acronym> die door dezelfde autoriteit
		wordt beheerd.</entry>
	    </row>
	  </tbody>
	</tgroup>
      </informaltable>

      <indexterm>
	<primary>zones</primary>

	<secondary>voorbeelden</secondary>
      </indexterm>

      <para>Voorbeelden van zones:</para>

      <itemizedlist>
	<listitem>
	  <para><hostid>.</hostid> is hoe de rootzone normaliter in de
	    documentatie genoemd wordt.</para>
	</listitem>

	<listitem>
	  <para><hostid>org.</hostid> is een Top Level Domain
	    (<acronym>TLD</acronym>) onder de rootzone.</para>
	</listitem>

	<listitem>
	  <para><hostid role="domainname">example.org.</hostid> is een
	    zone onder het <acronym>TLD</acronym>
	    <hostid>org.</hostid>.</para>
	</listitem>

	<listitem>
	  <para><hostid>1.168.192.in-addr.arpa</hostid> is een zone die
	    naar alle <acronym>IP</acronym>-adressen verwijst die onder
	    de <acronym>IP</acronym>-adresruimte <hostid
	      role="ipaddr">192.168.1.*</hostid> vallen.</para>
	</listitem>
      </itemizedlist>

      <para>Zoals te zien is staat het specifiekere deel van een
	hostnaam aan de linkerkant.  Zo is bijvoorbeeld <hostid
	  role="domainname">example.org.</hostid> specifieker dan
	<hostid>org.</hostid> en is <hostid>org.</hostid>
	specifieker dan de rootzone.  De indeling van ieder deel van een
	hostnaam lijkt veel op een bestandssysteem: de map
	<filename>/dev</filename> valt onder de root, enzovoort.</para>
    </sect2>

    <sect2>
      <title>Redenen om een naamserver te draaien</title>

      <para>Naamservers bestaan in het algemeen in twee smaken: een
	autoratieve naamserver en een caching naamserver.</para>

      <para>Er is een autoratieve naamserver nodig als:</para>

      <itemizedlist>
	<listitem>
	  <para>Het gewenst is om <acronym>DNS</acronym>-informatie aan
	    te bieden aan de wereld om met autoriteit op verzoeken te
	    antwoorden.</para>
	</listitem>

	<listitem>
	  <para>Een domein, zoals <hostid
	      role="domainname">example.org</hostid>, is geregistreerd
	    en er <acronym>IP</acronym>-adressen aan hostnamen die
	    daaronder liggen toegewezen moeten worden.</para>
	</listitem>

	<listitem>
	  <para>Een <acronym>IP</acronym>-adresblok omgekeerde
	    <acronym>DNS</acronym>-ingangen nodig heeft
	    (<acronym>IP</acronym> naar hostnaam).</para>
	</listitem>

	<listitem>
	  <para>Een omgekeerde of tweede naamserver, die een slaaf wordt
	    genoemd, moet antwoorden op verzoeken.</para>
	  </listitem>
      </itemizedlist>

      <para>Er is een caching naamserver nodig als:</para>

      <itemizedlist>
	<listitem>
	  <para>Een lokale <acronym>DNS</acronym>-server kan cachen en
	    wellicht sneller kan antwoorden dan een naamserver die
	    verder weg staat.</para>
	</listitem>
      </itemizedlist>

      <para>Als er een verzoek wordt gedaan voor <hostid
	  role="fqdn">www.FreeBSD.org</hostid>, dan doet de resolver
	meestal een verzoek bij de naamserver van de
	<acronym>ISP</acronym> die de uplink levert en ontvangt daarop
	een antwoord.  Met een lokale, caching
	<acronym>DNS</acronym>-server hoeft het verzoek maar
	&eacute;&eacute;n keer door de caching
	<acronym>DNS</acronym>-server naar de buitenwereld gedaan te
	worden.  Voor ieder volgend verzoek hoeft niet buiten het lokale
	netwerk gekeken te worden omdat het al lokaal in de cache
	staat.</para>
    </sect2>

    <sect2>
      <title>Hoe het werkt</title>

      <para>De daemon BIND heet in &os;
	<application>named</application>.</para>

      <informaltable frame="none" pgwide="1">
	<tgroup cols="2">
	  <thead>
	    <row>
	      <entry>Bestand</entry>

	      <entry>Beschrijving</entry>
	    </row>
	  </thead>

	  <tbody>
	    <row>
	      <entry>&man.named.8;</entry>

	      <entry>De daemon BIND.</entry>
	    </row>

	    <row>
	      <entry>&man.rndc.8;</entry>

	      <entry>Naamserverbeheerprogramma.</entry>
	    </row>

	    <row>
	      <entry><filename class="directory">/etc/namedb</filename></entry>

	      <entry>Map waar zoneinformatie van BIND staat.</entry>
	    </row>

	    <row>
	      <entry><filename>/etc/namedb/named.conf</filename></entry>

	      <entry>Instellingenbestand van de daemon.</entry>
	    </row>
	  </tbody>
	</tgroup>
      </informaltable>

      <para>Afhankelijk van hoe en gegeven zone op de server is
	geconfigureerd, staan de bestanden gerelateerd aan die zone in
	de submappen <filename class="directory">master</filename>,
	<filename class="directory">slave</filename>, of <filename
	  class="directory">dynamic</filename> van de map <filename
	  class="directory">/etc/namedb</filename>.  Deze bestanden
	bevatten de <acronym>DNS</acronym>-informatie die door de
	naamserver als antwoord op zoekopdrachten gegeven zal worden.</para>
    </sect2>

    <sect2>
      <title>BIND starten</title>

      <indexterm>
	<primary>BIND</primary>

	<secondary>starten</secondary>
      </indexterm>

      <para>Omdat BIND standaard wordt ge&iuml;nstalleerd, is het
	instellen relatief eenvoudig.</para>

      <para>De standaardconfiguratie van
	<application>named</application> is die van een eenvoudige
	resolverende naamserver, draaiende in een &man.chroot.8;-omgeving,
	en beperkt tot het luisteren op het lokale IPv4-teruglusadres
	(127.0.0.1).  Gebruik het volgende commando om de server eenmaal
	met deze configuratie te starten:</para>

      <screen>&prompt.root; <userinput>/etc/rc.d/named onestart</userinput></screen>

      <para>Om er zeker van te zijn dat de daemon
	<application>named</application> elke keer bij het opstarten
	gestart wordt, moet de volgende regel in
	<filename>/etc/rc.conf</filename> gezet worden:</para>

      <programlisting>named_enable="YES"</programlisting>

      <para>Het is duidelijk dat er vele instelopties voor
	<filename>/etc/namedb/named.conf</filename> zijn die buiten het
	bereik van dit document vallen.  Als u echter
	ge&iuml;nteresseerd bent in de opstartopties voor
	<application>named</application> op &os;, bekijk dan de
	<literal>named_<replaceable>*</replaceable></literal>-vlaggen in
	<filename>/etc/defaults/rc.conf</filename> en raadpleeg de
	handleidingpagina &man.rc.conf.5;.  De sectie <xref
	  linkend="configtuning-rcd"> is ook nuttig om te lezen.</para>
    </sect2>

    <sect2>
      <title>Instellingenbestanden</title>

      <indexterm>
	<primary>BIND</primary>

	<secondary>instellingenbestanden</secondary>
      </indexterm>

      <para>Instellingenbestanden voor <application>named</application>
	bevinden zich momenteel in <filename
	  class="directory">/etc/namedb</filename> en moeten gewijzigd
	worden voor gebruik, tenzij er alleen een eenvoudige resolver
	nodig is.  Hier vindt de meeste configuratie plaats.</para>

      <sect3>
	<title><filename>/etc/namedb/named.conf</filename></title>

	<programlisting>// &dollar;FreeBSD&dollar;
//
// In de handleidingpagina's named.conf(5) en named(8), en in de
// documentatie in /usr/share/doc/bind9 zijn meer details te vinden.
//
// Voor het opzetten van een autoratieve server is een grondig begrip
// van de werking van DNS noodzakelijk.  Zelfs eenvoudige fouten kunnen // de werking verstoren voor be&iuml;nvloede partijen of veel onnodig
// Internetverkeer veroorzaken.

options {
       // Relatief aan de chroot-map, indien aanwezig
       directory       "/etc/namedb";
       pid-file        "/var/run/named/pid"
       dump-file       "/var/dump/named_dump.db"
       statistics-file "/var/stats/named.stats"

// Als named alleen als een lokale resolver gebruikt wordt, is dit een
// veilige standaardinstelling.  Om named toegang tot het netwerk te
// verschaffen, dient deze optie gecommentarieerd te worden, het
// juiste IP-adres opgegeven te worden, of dient deze optie verwijderd
// te worden.
       listen-on       { 127.0.0.1; };

// Als u IPv6 aan heeft staan op dit systeem, dient deze optie
// uitgecommentarieerd te worden om als lokale resolver te dienen.  Om
// toegang tot het netwerk te verschaffen, dient een IPv6-adres of het
// sleutelwoord "any" gegeven te worden.
//     listen-on-v6    { ::1; };

// Deze zones zijn reeds opgenomen door de lege zones die hieronder
// staan.  Als u de gerelateerde lege zones hieronder verwijdert,
// dienen deze regels uitgecommentarieerd te worden.
        disable-empty-zone "255.255.255.255.IN-ADDR.ARPA";
        disable-empty-zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA";
        disable-empty-zone "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA";

// Als er een DNS-server beschikbaar is bij een upstream provider dan
// kan het IP-adres op de regel hieronder ingegeven worden en kan die
// geactiveerd worden.  Hierdoor wordt voordeel gehaald uit de cache,
// waardoor het algehele DNS-verkeer op het Internet vermindert.
/*
       forwarders {
               127.0.0.1;
       };

*/

// Als de 'forwarders'-clausule niet leeg is, is de standaard om "forward
// first" te gebruiken, welke terug zal vallen op het versturen van een
// verzoek naar uw lokale server als de naamservers in 'forwarders' het
// antwoord niet weten.  Als alternatief kunt u uw naamserver dwingen om
// nooit zelf verzoeken in te dienen door de volgende regel aan te
// zetten:
//     forward only;

// Als u forwarding automatisch wilt configureren gebaseerd op de regels
// in /etc/resolv.conf, verwijder dan het commentaar van de volgende
// regel en stel named_auto_forward=yes in in /etc/rc.conf.  U kunt ook
// named_auto_forward_only aanzetten (het effect hiervan is hierboven
// beschreven).
//      include "/etc/namedb/auto_forward.conf";</programlisting>

	<para>Zoals al in het commentaar staat kan van een cache in de
	  uplink geprofiteerd worden als <literal>forwarders</literal>
	  ingeschakeld worden.  Onder normale omstandigheden maakt een
	  naamserver recursief verzoeken tot het Internet op zoek naar
	  zekere naamservers tot er een antwoord komt waar het naar op
	  zoek is.  Door de bovenstaande optie in te schakelen wordt
	  eerst de uplink naamserver (of de opgegeven naamserver)
	  gevraagd, waardoor er gebruik gemaakt kan worden van de cache
	  van die server.  Als die uplink naamserver een drukke,
	  snelle naamserver is, kan het erg de moeite waard zijn om dit
	  aan te zetten.</para>

	<warning>
	  <para><hostid role="ipaddr">127.0.0.1</hostid> werkt hier
	    <emphasis>niet</emphasis>.  Verander dit
	    <acronym>IP</acronym>-adres in een naamserver in de
	    uplink.</para>
	</warning>

	<programlisting>/*
	  Moderne versies van BIND gebruiken standaard een random
	  UDP-poort voor elk uitgaand verzoek om de kans op cache
	  poisoning drastisch te verminderen.  Alle gebruikers wordt met
	  klem verzocht om deze mogelijkheid te gebruiken en hun
	  firewalls overeenkomstig aan te passen.

	  ALS EEN LAATSTE UITVLUCHT om om een beperkende firewall heen
	  te werken kunt u proberen om onderstaande optie aan te zetten.
	  Het gebruik van deze optie vermindert uw kans om een cache
	  poisoning aanval te weerstaan aanzienlijk, en dient indien
	  mogelijk te worden vermeden.

	  Vervang NNNNN in het voorbeeld door een getal tussen 49160 en
	  65530.
	*/
	// query-source address * port NNNNN;
};

// Als er een lokale naamserver wordt gebruikt, vergeet dan niet om
// eerst 127.0.0.1 in /etc/resolv.conf te zetten zodat die gevraagd
// wordt.  Controleer ook dat het in /etc/rc.conf is aangezet.

// Het traditionele root-hint-mechanisme.  Gebruik dit OF de
// onderstaande slaafzones.
zone "." { type hint; file "named.root"; };

/*	Het slaaf maken van de volgende zones vanaf de root-naamservers
	heeft een aantal aanzienlijke voordelen:
	1. Snellere lokale resolutie voor uw gebruikers
	2. Geen vals verkeer dat vanaf uw netwerk naar de roots wordt verzonden
	3. Betere weerstand tegen elke mogelijk falen van de rootserver/DDoS

	Wel is het zo dat deze methode meer toezicht vraagt dan het
	hintbestand om er zeker van te zijn dat een onverwachte
	faalmodus uw server niet heeft lamgelegd.  Naamservers die
	veel clienten serveren zullen meer voordeel uit deze aanpak
	halen dan individuele hosts.  Met zorg gebruiken.

	Verwijder het commentaar uit de onderstaande regels en
	commentarieer de bovenstaande hintzone om dit mechanisme te
	gebruiken.
*/

zone "." {
	type slave;
	file "slave/root.slave";
	masters {
		192.5.5.241;	// F.ROOT-SERVERS.NET.
	};
	notify no;
};

zone "arpa" {
	type slave;
	file "slave/arpa.slave";
	masters {
		192.5.5.241;	// F.ROOT-SERVERS.NET.
	};
	notify no;
};

zone "in-addr.arpa" {
	type slave;
	file "slave/in-addr.arpa.slave";
	masters {
		192.5.5.241;	// F.ROOT-SERVERS.NET.
	};
	notify no;
};

/*	Het lokaal serveren van de volgende zones voorkomt dat enig
	verzoek voor deze zones uw netwerk verlaat en naar de
	root-naamservers gaat.  Dit heeft twee aanzienlijke voordelen:
	1. Snellere lokale resolutie voor uw gebruikers
	2. Er zal geen vals verkeer vanaf uw netwerk naar de roots worden verzonden
*/
// RFC 1912
zone "localhost"	{ type master; file "master/localhost-forward.db"; };
zone "127.in-addr.arpa"	{ type master; file "master/localhost-reverse.db"; };
zone "255.in-addr.arpa"	{ type master; file "master/empty.db"; };

// RFC 1912-stijl zone voor IPv6 localhost adres
zone "0.ip6.arpa"	{ type master; file "master/localhost-reverse.db"; };

// "Dit" netwerk (RFCs 1912 en 3330)
zone "0.in-addr.arpa"	{ type master; file "master/empty.db"; };

// Netwerken voor privaat gebruik (RFC 1918)
zone "10.in-addr.arpa"	{ type master; file "master/empty.db"; };
zone "16.172.in-addr.arpa"	{ type master; file "master/empty.db"; };
zone "17.172.in-addr.arpa"	{ type master; file "master/empty.db"; };
zone "18.172.in-addr.arpa"	{ type master; file "master/empty.db"; };
zone "19.172.in-addr.arpa"	{ type master; file "master/empty.db"; };
zone "20.172.in-addr.arpa"	{ type master; file "master/empty.db"; };
zone "21.172.in-addr.arpa"	{ type master; file "master/empty.db"; };
zone "22.172.in-addr.arpa"	{ type master; file "master/empty.db"; };
zone "23.172.in-addr.arpa"	{ type master; file "master/empty.db"; };
zone "24.172.in-addr.arpa"	{ type master; file "master/empty.db"; };
zone "25.172.in-addr.arpa"	{ type master; file "master/empty.db"; };
zone "26.172.in-addr.arpa"	{ type master; file "master/empty.db"; };
zone "27.172.in-addr.arpa"	{ type master; file "master/empty.db"; };
zone "28.172.in-addr.arpa"	{ type master; file "master/empty.db"; };
zone "29.172.in-addr.arpa"	{ type master; file "master/empty.db"; };
zone "30.172.in-addr.arpa"	{ type master; file "master/empty.db"; };
zone "31.172.in-addr.arpa"	{ type master; file "master/empty.db"; };
zone "168.192.in-addr.arpa"	{ type master; file "master/empty.db"; };

// Lokale link/APIPA (RFCs 3330 en 3927)
zone "254.169.in-addr.arpa"	{ type master; file "master/empty.db"; };

// TEST-NET voor documentatie (RFC 3330)
zone "2.0.192.in-addr.arpa"	{ type master; file "master/empty.db"; };

// Router benchmarken (RFC 3330)
zone "18.198.in-addr.arpa"	{ type master; file "master/empty.db"; }
zone "19.198.in-addr.arpa"	{ type master; file "master/empty.db"; }

// Gereserveerd door IANA - oude ruimte van klasse E
zone "240.in-addr.arpa"	{ type master; file "master/empty.db"; }
zone "241.in-addr.arpa"	{ type master; file "master/empty.db"; }
zone "242.in-addr.arpa"	{ type master; file "master/empty.db"; }
zone "243.in-addr.arpa"	{ type master; file "master/empty.db"; }
zone "244.in-addr.arpa"	{ type master; file "master/empty.db"; }
zone "245.in-addr.arpa"	{ type master; file "master/empty.db"; }
zone "246.in-addr.arpa"	{ type master; file "master/empty.db"; }
zone "247.in-addr.arpa"	{ type master; file "master/empty.db"; }
zone "248.in-addr.arpa"	{ type master; file "master/empty.db"; }
zone "249.in-addr.arpa"	{ type master; file "master/empty.db"; }
zone "250.in-addr.arpa"	{ type master; file "master/empty.db"; }
zone "251.in-addr.arpa"	{ type master; file "master/empty.db"; }
zone "252.in-addr.arpa"	{ type master; file "master/empty.db"; }
zone "253.in-addr.arpa"	{ type master; file "master/empty.db"; }
zone "254.in-addr.arpa"	{ type master; file "master/empty.db"; }

// Niet-toegewezen IPv6-adressen (RFC 4291)
zone "1.ip6.arpa"	{ type master; file "master/empty.db"; }
zone "2.ip6.arpa"	{ type master; file "master/empty.db"; }
zone "3.ip6.arpa"	{ type master; file "master/empty.db"; }
zone "4.ip6.arpa"	{ type master; file "master/empty.db"; }
zone "5.ip6.arpa"	{ type master; file "master/empty.db"; }
zone "6.ip6.arpa"	{ type master; file "master/empty.db"; }
zone "7.ip6.arpa"	{ type master; file "master/empty.db"; }
zone "8.ip6.arpa"	{ type master; file "master/empty.db"; }
zone "9.ip6.arpa"	{ type master; file "master/empty.db"; }
zone "a.ip6.arpa"	{ type master; file "master/empty.db"; }
zone "b.ip6.arpa"	{ type master; file "master/empty.db"; }
zone "c.ip6.arpa"	{ type master; file "master/empty.db"; }
zone "d.ip6.arpa"	{ type master; file "master/empty.db"; }
zone "e.ip6.arpa"	{ type master; file "master/empty.db"; }
zone "0.f.ip6.arpa"	{ type master; file "master/empty.db"; }
zone "1.f.ip6.arpa"	{ type master; file "master/empty.db"; }
zone "2.f.ip6.arpa"	{ type master; file "master/empty.db"; }
zone "3.f.ip6.arpa"	{ type master; file "master/empty.db"; }
zone "4.f.ip6.arpa"	{ type master; file "master/empty.db"; }
zone "5.f.ip6.arpa"	{ type master; file "master/empty.db"; }
zone "6.f.ip6.arpa"	{ type master; file "master/empty.db"; }
zone "7.f.ip6.arpa"	{ type master; file "master/empty.db"; }
zone "8.f.ip6.arpa"	{ type master; file "master/empty.db"; }
zone "9.f.ip6.arpa"	{ type master; file "master/empty.db"; }
zone "a.f.ip6.arpa"	{ type master; file "master/empty.db"; }
zone "b.f.ip6.arpa"	{ type master; file "master/empty.db"; }
zone "0.e.f.ip6.arpa"	{ type master; file "master/empty.db"; }
zone "1.e.f.ip6.arpa"	{ type master; file "master/empty.db"; }
zone "2.e.f.ip6.arpa"	{ type master; file "master/empty.db"; }
zone "3.e.f.ip6.arpa"	{ type master; file "master/empty.db"; }
zone "4.e.f.ip6.arpa"	{ type master; file "master/empty.db"; }
zone "5.e.f.ip6.arpa"	{ type master; file "master/empty.db"; }
zone "6.e.f.ip6.arpa"	{ type master; file "master/empty.db"; }
zone "7.e.f.ip6.arpa"	{ type master; file "master/empty.db"; }

// IPv6 ULA (RFC 4193)
zone "c.f.ip6.arpa"	{ type master; file "master/empty.db"; }
zone "d.f.ip6.arpa"	{ type master; file "master/empty.db"; }

// IPv6 lokale link (RFC 4291)
zone "8.e.f.ip6.arpa"	{ type master; file "master/empty.db"; }
zone "9.e.f.ip6.arpa"	{ type master; file "master/empty.db"; }
zone "a.e.f.ip6.arpa"	{ type master; file "master/empty.db"; }
zone "b.e.f.ip6.arpa"	{ type master; file "master/empty.db"; }

// IPv6 verouderde site-lokale adressen (RFC 3879)
zone "c.e.f.ip6.arpa"	{ type master; file "master/empty.db"; }
zone "d.e.f.ip6.arpa"	{ type master; file "master/empty.db"; }
zone "e.e.f.ip6.arpa"	{ type master; file "master/empty.db"; }
zone "f.e.f.ip6.arpa"	{ type master; file "master/empty.db"; }

// IP6.INT is verouderd (RFC 4159)
zone "ip6.int"	{ type master; file "master/empty.db"; }

// NB: De IP-adressen hieronder zijn bedoeld als voorbeeld en dienen
//     niet gebruikt te worden!
//
// Voorbeeld instellingen voor slaafzones.  Het kan handig zijn om
// tenminste slaaf te worden voor de zone waar de host onderdeel van
// uitmaakt.  Bij uw netwerkbeheerder kan het IP-adres van de
// verantwoordelijke meester-naamserver nagevraagd worden.
//
// Vergeet niet om de omgekeerde lookup-zone op te nemen!
// Dit is genoemd na de eerste bytes van het IP-adres, in omgekeerde
// volgorde, met daarachter ".IN-ADDR.ARPA", of "IP6.ARPA" voor IPv6.
//
// Het is van groot belang om de werking van DNS en BIND te begrijpen
// voordat er een meester-zone wordt opgezet.  Er zijn nogal wat
// onverwachte valkuilen.  Het opzetten van een slaafzone is
// gewoonlijk eenvoudiger.
//
// NB: Zet de onderstaande voorbeelden niet blindelings aan. :-)
// Gebruik in plaats hiervan echte namen en adressen.
/* Een voorbeeld van een dynamische zone
key "exampleorgkey" {
       algorithm hmac-md5;
       secret "sf87HJqjkqh8ac87a02lla==";
};

zone "example.org" {
       type master;
       allow-update {
               key "exampleorgkey";
       };
       file "dynamic/example.org";
};
*/

/* Voorbeeld van een omgekeerde slaafzone
zone "1.168.192.in-addr.arpa" {
       type slave;
       file "slave/1.168.192.in-addr.arpa";
       masters {
               192.168.1.1;
       };
};
*/</programlisting>

	<para>In <filename>named.conf</filename> zijn dit voorbeelden
	  van slaafregels voor een voorwaartse en een omgekeerde
	  zone.</para>

	<para>Voor iedere nieuwe zone die wordt aangeboden dient een
	  nieuwe instelling voor de zone aan
	  <filename>named.conf</filename> toegevoegd te worden.</para>

	<para>De eenvoudigste instelling voor de zone <hostid
	    role="domainname">example.org</hostid> kan er als volgt
	  uitzien:</para>

	<programlisting>zone "example.org" {
	type master;
	file "master/example.org";
};</programlisting>

	<para>De zone is een master, zoals aangegeven door het statement
	  <option>type</option>, waarvan de zoneinformatie in
	  <filename>/etc/namedb/example.org</filename> staat, zoals het
	  statement <option>file</option> aangeeft.</para>

	<programlisting>zone "example.org" {
	type slave;
	file "slave/example.org";
};</programlisting>

	<para>In het geval van de slaaf wordt de zoneinformatie voor een
	  zone overgedragen van de master naamserver en opgeslagen in
	  het ingestelde bestand.  Als de masterserver het niet meer
	  doet of niet bereikbaar is, dan heeft de slaveserver de
	  overgedragen zoneinformatie nog en kan het die aanbieden.</para>
      </sect3>

      <sect3>
	<title>Zonebestanden</title>

	<indexterm>
	  <primary>BIND</primary>

	  <secondary>zonebestanden</secondary>
	</indexterm>

	<para>Een voorbeeldbestand voor een masterzone voor <hostid
	    role="domainname">example.org</hostid> (bestaande binnen
	  <filename>/etc/namedb/master/example.org</filename>) ziet er
	  als volgt uit:</para>

	<programlisting>&dollar;TTL 3600        ; 1 uur standaard TTL
example.org.     IN      SOA      ns1.example.org. admin.example.org. (
                                 2006051501      ; Serienummer
                                 10800           ; Verversen
                                 3600            ; Opnieuw proberen
                                 604800          ; Verlopen
                                 300             ; Negatieve antwoord-TTL
                         )

; DNS Servers
                 IN      NS      ns1.example.org.
                 IN      NS      ns2.example.org.

; MX Records
                 IN      MX 10   mx.example.org.
                 IN      MX 20   mail.example.org.

                 IN      A       192.168.1.1

; Machinenamen
localhost        IN      A       127.0.0.1
ns1              IN      A       192.168.1.2
ns2              IN      A       192.168.1.3
mail             IN      A       192.168.1.4
mx               IN      A       192.168.1.5

; Aliases
www              IN      CNAME   example.org.</programlisting>


	<para>Iedere hostnaam die eindigt op een <quote>.</quote> is
	  een exacte hostnaam, terwijl alles zonder een
	  <quote>.</quote> op het einde relatief is aan de oorsprong.
	  Zo wordt <literal>ns1</literal> bijvoorbeeld vertaald naar
	  <literal>ns1.<replaceable>example.org.</replaceable></literal>.</para>

	<para>De regels in een zonebestand volgen de volgende opmaak:</para>

	<programlisting>recordnaam      IN recordtype   waarde</programlisting>

	<indexterm>
	  <primary>DNS</primary>

	  <secondary>records</secondary>
	</indexterm>

	<para>De meest gebruikte DNS-records:</para>

	<variablelist>
	  <varlistentry>
	    <term>SOA</term>

	    <listitem>
	      <para>begin van autoriteit (start of
		authority)</para>
	    </listitem>
	  </varlistentry>

	  <varlistentry>
	    <term>NS</term>

	    <listitem>
	      <para>een bevoegde (autoratieve) name
		server</para>
	    </listitem>
	  </varlistentry>

	  <varlistentry>
	    <term>A</term>

	    <listitem>
	      <para>een hostadres</para>
	    </listitem>
	  </varlistentry>

	  <varlistentry>
	    <term>CNAME</term>

	    <listitem>
	      <para>de canonieke naam voor een alias</para>
	    </listitem>
	  </varlistentry>

	  <varlistentry>
	    <term>MX</term>

	    <listitem>
	      <para>mail exchanger</para>
	    </listitem>
	  </varlistentry>

	  <varlistentry>
	    <term>PTR</term>

	    <listitem>
	      <para>een domeinnaam pointer (gebruikt in
		omgekeerde DNS)</para>
	    </listitem>
	  </varlistentry>
	</variablelist>

	<programlisting>example.org. IN SOA ns1.example.org. admin.example.org. (
                        2006051501      ; Serienummer
                        10800           ; Ververs na 3 uur
                        3600            ; Opnieuw proberen na 1 uur
                        604800          ; Verlopen na 1 week
                        300             ; Negatieve antwoord-TTL</programlisting>

	<variablelist>
	  <varlistentry>
	    <term><hostid
		role="domainname">example.org.</hostid></term>

	    <listitem>
	      <para>de domeinnaam, ook de oorsprong voor dit
		zonebestand.</para></listitem>
	  </varlistentry>

	  <varlistentry>
	    <term><hostid role="fqdn">ns1.example.org.</hostid></term>

	    <listitem>
	      <para>de primaire/bevoegde naamserver voor deze
		zone.</para>
	    </listitem>
	  </varlistentry>

	  <varlistentry>
	    <term><literal>admin.example.org.</literal></term>

	    <listitem>
	      <para>de persoon die verantwoordelijk is voor
		deze zone, emailadres met <quote>@</quote> vervangen.
		<email>admin@example.org</email> wordt
		<literal>admin.example.org</literal>.</para>
	    </listitem>
	  </varlistentry>

	  <varlistentry>
	    <term><literal>2006051501</literal></term>

	    <listitem>
	      <para>het serienummer van het bestand.  Dit moet iedere
		keer als het zonebestand wordt aangepast opgehoogd
		worden.  Tegenwoordig geven veel beheerders de voorkeur
		aan de opmaak <literal>yyyymmddrr</literal> voor het
		serienummer.  <literal>2006051501</literal> betekent
		dan dat het voor het laatst is aangepast op
		15&ndash;05&ndash;2006, de laatste
		<literal>01</literal> betekent dat het zonebestand die
		dag voor het eerst is aangepast.  Het serienummer is
		belangrijk omdat het slaafnaamservers aangeeft dat een
		zone is bijgewerkt.</para>
	    </listitem>
	  </varlistentry>
	</variablelist>

	<programlisting>       IN NS           ns1.example.org.</programlisting>

	<para>Hierboven staat een NS-regel.  Voor iedere naamserver die
	  bevoegde antwoorden moet geven voor de zone hoort er zo'n
	  regel te zijn.</para>

	<programlisting>localhost       IN      A       127.0.0.1
ns1             IN      A       192.168.1.2
ns2             IN      A       192.168.1.3
mx              IN      A       192.168.1.4
mail            IN      A       192.168.1.5</programlisting>

	<para>Een A-record geeft een machinenaam aan.  Hierboven is te
	  zien dat <hostid role="fqdn">ns1.example.org</hostid> zou
	  resolven naar <hostid role="ipaddr">192.168.1.2</hostid>.</para>

	<programlisting>       IN      A       192.168.1.1</programlisting>

	<para>Deze regel kent IP-adres <hostid
	    role="ipaddr">192.168.1.1</hostid> toe aan de huidige
	  oorsprong, in dit geval <hostid
	    role="domainname">example.org</hostid>.</para>

	<programlisting>www             IN CNAME        @</programlisting>

	<para>Een canoniek naamrecord wordt meestal gebruikt voor het
	  geven van aliassen aan een machine.  In het voorbeeld is
	  <hostid>www</hostid> een alias naar de <quote>master</quote>
	  machine waarvan de naam gelijk is aan de domeinnaam <hostid
	    role="domainname">example.org</hostid> (<hostid
	    role="ipaddr">192.168.1.1</hostid>).  CNAME's kunnen
	  nooit samen met een ander soort record voor dezelfde hostnaam
	  gebruikt worden.</para>

	<indexterm><primary>MX record</primary></indexterm>

	<programlisting>               IN MX   10      mail.example.org.</programlisting>

	<para>MX records geven aan welke mailservers verantwoordelijk
	  zijn voor het afhandelen van inkomende mail voor de zone.
	  <hostid role="fqdn">mail.example.org</hostid> is de hostnaam
	  voor de mailserver en 10 is de prioriteit voor die
	  mailserver.</para>

	<para>Het is mogelijk meerdere mailservers in te stellen met
	  prioriteiten 10, 20, enzovoorts.  Een mailserver die probeert
	  mail af te leveren voor <hostid
	    role="domainname">example.org</hostid> probeert dat eerst
	  bij de MX met de hoogste prioriteit (het record met het
	  laagste prioriteitsnummer), daarna de tweede hoogste,
	  enzovoort, totdat de mail afgeleverd kan worden.</para>

	<para>Voor in-addr.arpa zonebestanden (omgekeerd DNS) wordt
	  dezelfde opmaak gebruikt, maar dan met PTR-regels in plaats
	  van A of CNAME.</para>

	<programlisting>$TTL 3600

1.168.192.in-addr.arpa. IN SOA ns1.example.org. admin.example.org. (
                        2006051501      ; Serienummer
                        10800           ; Ververs
                        3600            ; Opnieuw proberen
                        604800          ; Verlopen
                        300 )           ; Negatieve antwoord-TTL

        IN      NS      ns1.example.org.
        IN      NS      ns2.example.org.

1       IN      PTR     example.org.
2       IN      PTR     ns1.example.org.
3       IN      PTR     ns2.example.org.
4       IN      PTR     mx.example.org.
5       IN      PTR     mail.example.org.</programlisting>

	<para>Dit bestand geeft de juiste IP-adressen voor hostnamen
	  in het voorbeelddomein hierboven.</para>

	<para>Het is het vernoemen waard dat alle namen aan de rechterkant
	  van een PTR-record volledig gekwalificeerd dienen te zijn
	  (i.e. met een <quote>.</quote> eindigen).</para>
      </sect3>
    </sect2>

    <sect2>
      <title>Caching naamserver</title>

      <indexterm>
	<primary>BIND</primary>

	<secondary>caching naamserver</secondary>
      </indexterm>

      <para>Een caching naamserver is een naamserver wiens primaire rol
	het oplossen van recursieve verzoeken is.  Het dient simpelweg
	zelf verzoeken in en onthoudt de antwoorden voor later gebruik.</para>
    </sect2>

    <sect2>
      <title>Beveiliging</title>

      <para>Hoewel BIND de meest gebruikte implementatie van DNS is, is
	er altijd nog het beveiligingsvraagstuk.  Soms worden er
	mogelijke en te misbruiken beveiligingsgaten gevonden.</para>

      <para>Hoewel &os; <application>named</application> automatisch in
	een &man.chroot.8;-omgeving plaatst; zijn er verschillende
	andere beveiligingsmechanismen actief die zouden kunnen helpen
	om mogelijke aanvallen op de <acronym>DNS</acronym>-dienst af te
	wenden.</para>

      <para>Het is altijd verstandig om de <ulink
	  url="http://www.cert.org/">CERT</ulink>
	beveiligingswaarschuwingen te lezen en een abonnement te nemen
	op de &a.security-notifications; om bij te blijven met de
	beveiligingsproblemen wat betreft Internet en &os;.</para>

      <tip>
	<para>Als er problemen ontstaan, kan het bijwerken van broncode
	  en het opnieuw bouwen van <application>named</application>
	  geen kwaad doen.</para>
      </tip>
    </sect2>

    <sect2>
      <title>Verder lezen</title>

      <para>BIND/<application>named</application> hulppagina's:
	&man.rndc.8;, &man.named.8;, &man.named.conf.5;</para>

      <itemizedlist>
	<listitem>
	  <para><ulink
	      url="https://www.isc.org/software/bind/">Offici&euml;le
	      ISC BIND pagina</ulink></para>
	</listitem>

	<listitem>
	  <para><ulink
	      url="https://www.isc.org/software/guild/">Officieel ISC BIND
	     Forum</ulink></para>
	</listitem>

	<listitem>
	  <para><ulink
	      url="http://www.oreilly.com/catalog/dns5/">O'Reilly DNS en
	    BIND 5e Editie</ulink></para>
	<listitem>
	  <para><ulink
	      url="http://www.rfc-editor.org/rfc/rfc1034.txt">RFC1034 -
	    Domeinnamen - Concepten en Faciliteiten</ulink></para>
	</listitem>

	<listitem>
	  <para><ulink
	      url="http://www.rfc-editor.org/rfc/rfc1035.txt">RFC1035 -
	    Domeinnamen - Implementatie en Specificatie</ulink></para>
	</listitem>
      </itemizedlist>
    </sect2>
  </sect1>

  <sect1 id="network-apache">
    <sect1info>
      <authorgroup>
	<author>
	  <firstname>Murray</firstname>
	  <surname>Stokely</surname>
	  <contrib>Geschreven door </contrib>
	</author>
      </authorgroup>
    </sect1info>

    <title>Apache HTTP server</title>

    <indexterm>
      <primary>webservers</primary>

      <secondary>opzetten</secondary>
    </indexterm>

    <indexterm><primary>Apache</primary></indexterm>

    <sect2>
      <title>Overzicht</title>

      <para>&os; wordt gebruikt om een paar van de drukste websites ter
	wereld te draaien.  De meeste webservers op Internet maken
	gebruik van de <application>Apache HTTP Server</application>.
	<application>Apache</application> softwarepakketten staan op de
	&os; installatiemedia.  Als <application>Apache</application>
	niet bij de oorspronkelijke installatie van &os; is
	meege&iuml;nstalleerd, dan kan dat vanuit de port <filename
	  role="package">www/apache13</filename> of <filename
	  role="package">www/apache22</filename>.</para>

      <para>Als <application>Apache</application> succesvol is
	ge&iuml;nstalleerd, moeten er instellingen gemaakt worden.</para>

      <note>
	<para>In dit onderdeel wordt versie 1.3.X van de
	  <application>Apache HTTP Server</application> behandeld omdat
	  die het meest gebruikt wordt op &os;.
	  <application>Apache&nbsp;2.X</application> biedt veel nieuwe
	  mogelijkheden, maar wordt hier niet beschreven.  Meer
	  informatie over <application>Apache&nbsp;2.X</application> is
	  te vinden op <ulink
	    url="http://httpd.apache.org/"></ulink>.</para>
      </note>
    </sect2>

    <sect2>
      <title>Instellen</title>

      <indexterm>
	<primary>Apache</primary>

	<secondary>configuratiebestand</secondary>
      </indexterm>

      <para>Het belangrijkste bestand met instellingen voor de
	<application>Apache HTTP Server</application> op &os; is
	<filename>/usr/local/etc/apache/httpd.conf</filename>.  Dit
	bestand is een typisch &unix; tekstgebaseerd
	instellingenbestand waarin regels met commentaar beginnen met
	het karakter <literal>#</literal>.  Het uitputtend beschrijven
	van alle mogelijke instellingen valt buiten het bereik van dit
	boek, dus worden alleen de meest gebruikte directieven
	beschreven.</para>

      <variablelist>
	<varlistentry>
	  <term><literal>ServerRoot "/usr/local"</literal></term>

	  <listitem>
	    <para>Hierin wordt de standaard mappenhi&euml;rarchie voor
	      de <application>Apache</application> installatie
	      aangegeven.  Binaire bestanden staan in de submappen
	      <filename class="directory">bin</filename> en <filename
		class="directory">sbin</filename> van de serverroot en
	      bestanden met instellingen staan in <filename
		class="directory">etc/apache</filename>.</para>
	  </listitem>
	</varlistentry>

	<varlistentry>
	  <term><literal>ServerAdmin beheerder@beheer.adres</literal></term>

	  <listitem>
	    <para>Het adres waaraan problemen met de server gemaild
	      kunnen worden.  Dit adres verschijnt op een aantal door de
	      server gegenereerde pagina's, zoals documenten met
	      foutmeldingen.</para>
	  </listitem>
	</varlistentry>

	<varlistentry>
	  <term><literal>ServerName www.example.com</literal></term>

	  <listitem>
	    <para>Met <literal>ServerName</literal> kan een hostnaam
	      ingesteld worden die wordt teruggezonden aan de
	      cli&euml;nten als de naam van de server anders is dan die
	      is ingesteld (gebruik bijvoorbeeld <hostid>www</hostid> in
	      plaats van de echte hostnaam).</para>
	  </listitem>
	</varlistentry>

	<varlistentry>
	  <term><literal>DocumentRoot "/usr/local/www/data"</literal></term>

	  <listitem>
	    <para><literal>DocumentRoot</literal>: de map waaruit de
	      documenten worden geserveerd.  Standaard worden alle
	      verzoeken uit deze map gehaald, maar er kunnen symbolische
	      links en aliassen gebruikt worden om naar andere locaties
	      te wijzen.</para>
	  </listitem>
	</varlistentry>
      </variablelist>

      <para>Het is altijd een goed idee om reservekopie&euml;n te maken
	van het instellingenbestand voor
	<application>Apache</application> v&oacute;&oacute;r het maken
	van wijzigingen.  Als de juiste instellingen gemaakt zijn, kan
	<application>Apache</application> gestart worden.</para>

<!-- sect3 for performance tuning directives?  maxservers minservers -->
<!-- etc..?? -->

<!-- Advanced configuration section.

Performance tuning directives.

Log file format -->
    </sect2>

    <sect2>
      <title><application>Apache</application> draaien</title>

      <indexterm>
	<primary>Apache</primary>

	<secondary>starten of stoppen</secondary>
      </indexterm>

      <para><application>Apache</application> draait niet vanuit de
	<application>inetd</application> super server zoals veel andere
	netwerkdiensten.  Hij is ingesteld om zelfstandig te draaien
	vanwege beter prestaties voor het afhandelen van inkomende
	HTTP-verzoeken van webbrowsers van cli&euml;nten.  Er wordt een
	shellscriptwrapper bijgeleverd om het starten, stoppen en
	herstarten zo eenvoudig mogelijk te maken.  Het volgende
	commando start <application>Apache</application> voor de eerste
	keer:</para>

      <screen>&prompt.root; <userinput>/usr/local/sbin/apachectl start</userinput></screen>

      <para>De server kan op iedere moment gestopt worden met:</para>

      <screen>&prompt.root; <userinput>/usr/local/sbin/apachectl stop</userinput></screen>

      <para>Na het maken van wijzigingen aan het instellingenbestand
	moet de dienst herstart worden:</para>

      <screen>&prompt.root; <userinput>/usr/local/sbin/apachectl restart</userinput></screen>

      <para>Om <application>Apache</application> te herstarten zonder
	bestaande connecties te verbreken:</para>

      <screen>&prompt.root; <userinput>/usr/local/sbin/apachectl graceful</userinput></screen>

      <para>In &man.apachectl.8; staat meer informatie.</para>

      <para>Om <application>Apache</application> met het systeem mee te
	starten kan de volgende regel aan
	<filename>/etc/rc.conf</filename> worden toegevoegd:</para>

      <programlisting>apache_enable="YES"</programlisting>

      <para>of voor <application>Apache</application> 2.2:</para>

      <programlisting>apache22_enable="YES"</programlisting>

      <para>Als het nodig is additionele commandoregelopties op te geven
	voor de <application>Apache</application>
	<command>httpd</command> bij het opstarten, dan kunnen die in de
	volgende regel in <filename>rc.conf</filename> meegegeven
	worden:</para>

      <programlisting>apache_flags=""</programlisting>

      <para>Nu de webserver draait, is die te benaderen door een
	webbrowser te wijzen naar <literal>http://localhost/</literal>.
	De standaard webpagina is
	<filename>/usr/local/www/data/index.html</filename>.</para>
    </sect2>

    <sect2>
      <title>Virtuele hosting</title>

      <para><application>Apache</application> ondersteunt twee
	verschillende manieren van Virtuele Hosting.  De eerste methode
	is Naamgebaseerde Virtuele Hosting.  Naamgebaseerde Virtuele
	Hosting gebruikt de HTTP/1.1 headers van de cli&euml;nten om de
	hostnaam uit te zoeken.  Hierdoor kunnen meerdere domeinen
	hetzelfde IP-adres delen.</para>

      <para>Om <application>Apache</application> gebruik te laten maken
	van Naamgebaseerde Virtuele Hosting kan een regel als de
	volgende in <filename>httpd.conf</filename> worden opgenomen:</para>

      <programlisting>NameVirtualHost *</programlisting>

      <para>Als een webserver <hostid
	  role="fqdn">www.domein.tld</hostid> heet en er moet een
	virtueel domein voor <hostid
	  role="fqdn">www.anderdomein.tld</hostid> gaan draaien, dan
	kunnen de volgende regels aan <filename>httpd.conf</filename>
	worden toegevoegd:</para>

      <screen>&lt;VirtualHost *&gt;
    ServerName www.domein.tld
    DocumentRoot /www/domein.tld
&lt;/VirtualHost&gt;

&lt;VirtualHost *&gt;
    ServerName www.anderdomein.tld
    DocumentRoot /www/anderdomein.tld
&lt;/VirtualHost&gt;</screen>

      <para>De adressen en de paden uit dit voorbeeld kunnen in echte
	implementaties uiteraard gewijzigd worden.</para>

      <para>Meer informatie over het opzetten van virtuele hosts staat
	in de offici&euml;le documentatie voor
	<application>Apache</application> op <ulink
	  url="http://httpd.apache.org/docs/vhosts/"></ulink></para>
    </sect2>

    <sect2>
      <title>Apache modules</title>

      <indexterm>
	<primary>Apache</primary>

	<secondary>modules</secondary>
      </indexterm>

      <para>Er zijn veel verschillende
	<application>Apache</application> modules die functionaliteit
	toevoegen aan de basisdienst.  De &os; Portscollectie biedt
	op een eenvoudige manier de mogelijkheid om
	<application>Apache</application> samen met de meeste populaire
	add-on modules te installeren.</para>

      <sect3>
	<title>mod_ssl</title>

	<indexterm>
	  <primary>webserver</primary>

	  <secondary>veilig</secondary>
	</indexterm>

	<indexterm><primary>SSL</primary></indexterm>

	<indexterm><primary>cryptografie</primary></indexterm>

	<para>De module <application>mod_ssl</application> gebruikt de
	  bibliotheek OpenSSL om sterke cryptografie te leveren via de
	  protocollen Secure Sockets Layer (SSL&nbsp;v2/v3) en Transport
	  Layer Security (TLS&nbsp;v1).  Deze module levert alles wat
	  nodig is om een getekend certificaat aan te vragen bij een
	  vertrouwde certificaatautoriteit om een veilige webserver
	  onder &os; te kunnen draaien.</para>

	<para>Als <application>Apache</application> nog niet is
	  ge&iuml;nstalleerd, dan is er een versie van
	  <application>Apache</application>&nbsp;1.3.X die
	  <application>mod_ssl</application> bevat en ge&iuml;nstalleerd
	  kan worden met de <filename
	    role="package">www/apache13-modssl</filename> port.
	  SSL-ondersteuning is ook voor
	  <application>Apache&nbsp;2.X</application> beschikbaar in de
	  port <filename role="package">www/apache22</filename>, waar
	  het standaard is ingeschakeld.</para>

<!-- XXX add more information about configuring mod_ssl here. -->
<!-- Generating keys, getting the key signed, setting up your secure -->
<!-- web server! -->
      </sect3>

      <sect3>
	<title>Taalbindingen</title>

	<para>Er zijn Apache-modules beschikbare voor de meeste grote
	  scriptingtalen.  Deze modules maken het typisch mogelijk om
	  <application>Apache</application>-modules geheel in een
	  scriptingtaal te schrijven.  Ze worden ook vaak gebruikt als
	  een persistente interpreter die in de server zit en die de
	  rompslomp van het starten van een externe interpreter en de
	  opstartvertraging voor dynamische websites vermijdt, zoals
	  beschreven in de volgende sectie.</para>
      </sect3>
    </sect2>

    <sect2>
      <title>Dynamische websites</title>

      <indexterm>
	<primary>webservers</primary>

	<secondary>dynamisch</secondary>
      </indexterm>

      <para>In het afgelopen decennium hebben steeds meer bedrijven zich
	op Internet gericht om hun omzet te verhogen en hun
	zichtbaarheid te vergroten.  Hiermee is ook de behoefte aan
	interactieve webinhoud toegenomen.  Hoewel sommige bedrijven
	zoals &microsoft; oplossingen hebben ge&iuml;ntroduceerd voor
	hun eigen (propri&euml;taire) producten, heeft ook de open
	source gemeenschap een antwoord op de vraag gegeven.  Moderne
	opties voor dynamische webinhoud zijn onder andere Django, Ruby
	on Rails, <application>mod_perl</application>, en
	<application>mod_php</application>.</para>

      <sect3>
	<title>Django</title>

	<para>Django is een BSD-gelicenseerd raamwerk ontworpen om
	  ontwikkelaars in staat te stellen om snel hoog presterende,
	  elegante webapplicaties te schrijven.  Het biedt een vertaling
	  van objecten naar relaties zodat datatypes ontwikkeld kunnen
	  worden als Python-objecten, en er een rijke dynamische
	  databasetoegang voor die objecten kan worden geboden zonder
	  dat de ontwikkelaar ooit SQL hoeft te schrijven.  Het biedt
	  ook een uitbreidbaar sjabloonsysteem zodat de applicatielogica
	  is gescheiden van de HTML-presentatie.</para>

	<para>Django is afhankelijk van
	  <application>mod_python</application>,
	  <application>Apache</application>, en een SQL-database-engine
	  naar keuze.  De &os;-port zal al deze vereisten met de juiste
	  vlaggen voor u installeren.</para>

	<example id="network-www-django-install">
	  <title>Django installeren met Apache2, mod_python3, en
	    PostgreSQL</title>

	  <screen>&prompt.root; <userinput>cd /usr/ports/www/py-django; make all install clean -DWITH_MOD_PYTHON3 -DWITH_POSTGRESQL</userinput></screen>
	</example>

	<para>Als Django en deze vereisten eenmaal zijn
	  ge&iuml;nstalleerd, dient u een Django-projectmap te maken en
	  vervolgens Apache te configureren om de ingebakken
	  Python-interpreter te gebruiken om uw applicatie voor
	  specifieke URL's op uw site aan te roepen.</para>

	<example id="network-www-django-apache-config">
	  <title>Apache-configuratie voor Django/mod_python</title>

	  <para>U moet een regel aan het Apache-bestand
	    <filename>httpd.conf</filename> toevoegen om Apache in te
	    stellen om verzoeken voor bepaalde URL's aan uw
	    webapplicatie door te geven:</para>

	  <screen>&lt;Location "/"&gt;
    SetHandler python-program
    PythonPath "['/map/naar/uw/django-pakketten/'] + sys.path"
    PythonHandler django.core.handlers.modpython
    SetEnv DJANGO_SETTINGS_MODULE mijnsite.settings
    PythonAutoReload On
    PythonDebug On
&lt;/Location&gt;</screen>
	</example>
      </sect3>

      <sect3>
	<title>Ruby on Rails</title>

	<indexterm><primary>Ruby on Rails</primary></indexterm>

	<para>Ruby on Rails is een ader opensource webraamwerk dat een
	  volledige ontwikkelstack biedt en geoptimaliseerd is om
	  webontwikkelaars productiever te maken en snel krachtige
	  applicaties te laten ontwikkelen.  Het kan eenvoudig vanuit
	  het portssysteem ge&iuml;nstalleerd worden.</para>

	<screen>&prompt.root; <userinput>cd /usr/ports/www/rubygem-rails; make all install clean</userinput></screen>
      </sect3>

      <sect3>
	<title>mod_perl</title>

	<indexterm>
	  <primary>mod_perl</primary>

	  <secondary>Perl</secondary>
	</indexterm>

	<para>Het <application>Apache</application>/Perl
	  integratieproject brengt de volledige kracht van de
	  programmeertaal Perl en de <application>Apache HTTP
	    Server</application> samen.  Met de module
	  <application>mod_perl</application> is het mogelijk om
	  <application>Apache</application>-modules volledig in Perl te
	  schrijven.  Daarnaast voorkomt een ingebouwde persistente
	  interpreter in de server de rompslomp van het starten van een
	  externe interpreter en de nadelen van de opstarttijd van
	  Perl.</para>

	<para><application>mod_perl</application> is op een paar
	  verschillende manieren beschikbaar.  Om
	  <application>mod_perl</application> te gebruiken dient
	  herinnerd te worden dat <application>mod_perl</application>
	  1.0 alleen met <application>Apache</application> 1.3 werkt en
	  dat <application>mod_perl</application> 2.0 alleen met
	  <application>Apache</application> 2.X werkt.
	  <application>mod_perl</application> 1.0 is beschikbaar in
	  <filename role="package">www/mod_perl</filename> en een
	  statisch gecompileerde versie is beschikbaar in <filename
	    role="package">www/apache13-modperl</filename>.
	  <application>mod_perl</application> 2.0 is beschikbaar in
	  <filename role="package">www/mod_perl2</filename>.</para>
      </sect3>

      <sect3>
	<sect3info>
	  <authorgroup>
	    <author>
	      <firstname>Tom</firstname>
	      <surname>Rhodes</surname>
	      <contrib>Geschreven door </contrib>
	    </author>
	  </authorgroup>
	</sect3info>

	<title>mod_php</title>

	<indexterm>
	  <primary>mod_php</primary>

	  <secondary>PHP</secondary>
	</indexterm>

	<para><acronym>PHP</acronym>, ook bekend als <quote>PHP:
	  Hypertext Preprocessor</quote>, is een algemene scripttaal die
	  bijzonder geschikt is voor webontwikkeling.  Het is mogelijk
	  de taal in te bedden in <acronym>HTML</acronym> en de syntaxis
	  is afgeleid van C, &java; en Perl met de bedoeling
	  webontwikkelaars in staat te stellen om snel dynamisch
	  samengestelde pagina's te schrijven.</para>

	<para>Om ondersteuning voor <acronym>PHP</acronym>5 toe te
	  voegen aan de <application>Apache</application> webserver kan
	  eerst de port <filename role="package">lang/php5</filename>
	  ge&iuml;nstalleerd worden.</para>

	<para>Als de port <filename role="package">lang/php5</filename>
	  voor het eerst ge&iuml;nstalleerd wordt, worden automatisch de
	  beschikbare <literal>OPTIONS</literal> weergegeven.  Als er
	  geen menu wordt weergegeven, omdat de port <filename
	    role="package">lang/php5</filename> reeds in het verleden is
	  ge&iuml;nstalleerd, is het altijd mogelijk om het optiedialoog
	  weer te laten verschijnen door</para>

	<screen>&prompt.root; <userinput>make config</userinput></screen>

	<para>uit te voeren in de map van de port.</para>

	<para>Controleer in het optiedialoog dat de optie
	  <literal>APACHE</literal> <application>mod_php5</application>
	  als een laadbare module voor de webserver
	  <application>Apache</application> bouwt.</para>

	<note>
	  <para>Een heleboel sites draaien nog steeds
	    <acronym>PHP</acronym>4 om verschillende redenen
	    (compatibiliteitszaken of reeds in gebruik genomen
	    webapplicaties).  Als <application>mod_php4</application>
	    nodig is in plaats van <application>mod_php5</application>,
	    gebruik dan de port <filename
	      role="package">lang/php4</filename>.  De port <filename
	      role="package">lang/php4</filename> ondersteunt een groot
	    deel van de configuratie- en bouwopties van de port
	    <filename role="package">lang/php5</filename>.</para>
	</note>

	<para>Hiermee worden de modules die nodig zijn voor de
	  ondersteuning van dynamische
	  <acronym>PHP</acronym>-applicaties ge&iuml;nstalleerd en
	  ingesteld.  Controleer dat de volgende secties aan
	  <filename>/usr/local/etc/apache/httpd.conf</filename> zijn
	  toegevoegd:</para>

	<programlisting>LoadModule php5_module        libexec/apache/libphp5.so</programlisting>

	<programlisting>AddModule mod_php5.c
    &lt;IfModule mod_php5.c&gt;
        DirectoryIndex index.php index.html
    &lt;/IfModule&gt;
    &lt;IfModule mod_php5.c&gt;
        AddType application/x-httpd-php .php
        AddType application/x-httpd-php-source .phps
    &lt;/IfModule&gt;</programlisting>

	<para>Na voltooiing is een eenvoudige aanroep van het commando
	  <command>apachectl</command> voor een nette herstart nodig om
	  de module <acronym>PHP</acronym> te laden:</para>

	<screen>&prompt.root; <userinput>apachectl graceful</userinput></screen>

	<para>Voor toekomstig bijwerken van <acronym>PHP</acronym> zal
	  het commando <command>make config</command> niet nodig zijn;
	  de geselecteerde <literal>OPTIONS</literal> worden automatisch
	  bewaard door het &os; Ports raamwerk.</para>

	<para>De ondersteuning voor <acronym>PHP</acronym> in &os; is
	 extreem modulair waardoor de basisinstallatie zeer beperkt is.
	 Het is heel gemakkelijk om ondersteuning toe te voegen door de
	 port <filename role="package">lang/php5-extensions</filename>
	 te gebruiken.  Deze port biedt een menugestuurde interface voor
	 de installatie van <acronym>PHP</acronym>-uitbreidingen.  Als
	 alternatief kunnen individuele uitbreidingen worden
	 ge&iuml;nstalleerd door de juiste port te gebruiken.</para>

	<para>Om bijvoorbeeld ondersteuning voor de
	  <application>MySQL</application> databaseserver aan
	  <acronym>PHP</acronym>5 toe te voegen kan gewoonweg de port
	  <filename role="package">databases/php5-mysql</filename>
	  ge&iuml;nstalleerd worden:</para>

	<para>Na de installatie van een uitbreiding moet de
	  <application>Apache</application>-server herladen worden om de
	  nieuwe veranderingen in de configuratie op te pikken:</para>

	<screen>&prompt.root; <userinput>apachectl graceful</userinput></screen>
      </sect3>
    </sect2>
  </sect1>

  <sect1 id="network-ftp">
    <sect1info>
      <authorgroup>
	<author>
	  <firstname>Murray</firstname>
	  <surname>Stokely</surname>
	  <contrib>Geschreven door </contrib>
	</author>
      </authorgroup>
    </sect1info>

    <title>File Transfer Protocol (FTP)</title>

    <indexterm><primary>FTP servers</primary></indexterm>

    <sect2>
      <title>Overzicht</title>

      <para>Het File Transfer Protocol (FTP) biedt gebruikers een
	eenvoudige manier om bestanden van en naar een <acronym
	  role="File Transfer Protocol">FTP</acronym> server te
	verplaatsen.  &os; bevat <acronym
	  role="File Transfer Protocol">FTP</acronym>
	server software, <application>ftpd</application>, in het
	basissysteem.  Hierdoor is het opzetten en beheren van een
	<acronym role="File Transfer Protocol">FTP</acronym> server op
	&os; erg overzichtelijk.</para>
    </sect2>

    <sect2>
      <title>Instellen</title>

      <para>De belangrijkste stap bij het instellen is de beslissing
	welke accounts toegang krijgen tot de FTP server.  Een normaal
	&os; systeem heeft een aantal systeemaccounts die gebruikt
	worden voor daemons, maar onbekende gebruikers mag niet
	toegestaan worden van die accounts gebruikt te maken.  In
	<filename>/etc/ftpusers</filename> staat een lijst met
	gebruikers die geen FTP toegang hebben.  Standaard staan daar de
	voorgenoemde accounts in, maar het is ook mogelijk om daar
	gebruikers toe te voegen die geen FTP toegang mogen hebben.</para>

      <para>Het kan ook wenselijk zijn de FTP toegang voor sommige
	gebruikers te beperken, maar niet onmogelijk te maken.  Dit kan
	met <filename>/etc/ftpchroot</filename>.  In dat bestand staan
	gebruikers en groepen waarop FTP toegangsbeperkingen van
	toepassing zijn.  In &man.ftpchroot.5; staan alle details die
	hier niet beschreven zijn.</para>

      <indexterm>
	<primary>FTP</primary>

	<secondary>anoniem</secondary>
      </indexterm>

      <para>Om anonieme FTP toegang voor een server in te schakelen,
	dient er een gebruiker <username>ftp</username> op een &os;
	systeem aangemaakt te worden.  Dan kunnen gebruikers op de
	server aanmelden met de gebruikersnaam <username>ftp</username>
	of <username>anonymous</username> en met ieder wachtwoord (de
	geldende conventie schrijft voor dat dit een emailadres
	van de gebruiker is).  De FTP server roep bij een anonieme
	aanmelding &man.chroot.2; aan, zodat er alleen toegang is tot de
	thuismap van de gebruiker <username>ftp</username>.</para>

      <para>Er zijn twee tekstbestanden waarin welkomstberichten voor de
	FTP-cli&euml;nten gezet kunnen worden.  De inhoud van
	<filename>/etc/ftpwelcome</filename> wordt getoond voordat
	gebruikers een aanmeldprompt zien.  Na een succesvolle
	aanmelding wordt de inhoud van
	<filename>/etc/ftpmotd</filename> getoond.  Het genoemde pad is
	relatief ten opzichte van de aanmeldomgeving, dus voor anonieme
	gebruikers wordt <filename>~ftp/etc/ftpmotd</filename>
	getoond.</para>

      <para>Als een FTP server eenmaal correct is ingesteld, moet die
	ingeschakeld worden in <filename>/etc/inetd.conf</filename>.
	Daar moet het commentaarkarakter <literal>#</literal> voor de
	bestaande <application>ftpd</application> regel verwijderd
	worden:</para>

      <programlisting>ftp	stream	tcp	nowait	root	/usr/libexec/ftpd	ftpd -l</programlisting>

      <para>Zoals is uitgelegd in <xref linkend="network-inetd-reread">,
	moet de configuratie van <application>inetd</application> worden
	herladen nadat dit instellingenbestand is gewijzigd.  Details
	over het aanzetten van <application>inetd</application> op uw
	systeem staan in <xref linkend="network-inetd-settings">.</para>

      <para>Als alternatief kan <application>ftpd</application> ook
	gestart worden als een op zichzelf staande dienst.  In dat geval
	volstaat het om de juiste variabele in te stellen in
	<filename>/etc/rc.conf</filename>:</para>

      <programlisting>ftpd_enable="YES"</programlisting>

      <para>Na het instellen van de bovenstaande variabele zal de op
	zichzelf staande server gestart worden nadat de computer opnieuw
	is opgestart, of het kan handmatig worden gestart door het
	volgende commando als <username>root</username> uit te
	voeren:</para>

      <screen>&prompt.root; <userinput>/etc/rc.d/ftpd start</userinput></screen>

      <para>Nu kan aangemeld worden op de FTP-server met:</para>

      <screen>&prompt.user; <userinput>ftp localhost</userinput></screen>
    </sect2>

    <sect2>
      <title>Beheren</title>

      <indexterm><primary>syslog</primary></indexterm>

      <indexterm>
	<primary>logboekbestanden</primary>

	<secondary>FTP</secondary>
      </indexterm>

      <para>De <application>ftpd</application> daemon gebruikt
	&man.syslog.3; om berichten te loggen.  Standaard plaatst de
	systeemlogdaemon berichten over FTP in
	<filename>/var/log/xferlog</filename>.  De lokatie van het FTP
	logboek kan gewijzigd worden door de volgende regels in
	<filename>/etc/syslog.conf</filename> te wijzigen:</para>

      <programlisting>ftp.info      /var/log/xferlog</programlisting>

      <indexterm>
	<primary>FTP</primary>

	<secondary>anoniem</secondary>
      </indexterm>

      <para>Het is verstandig na te denken over de gevaren die op de
	loer liggen bij het draaien van een anonieme FTP server.  Dat
	geldt in het bijzonder voor het laten uploaden ven bestanden.
	Het is dan goed mogelijk dat een FTP site een forum wordt om
	commerci&euml;le software zonder licenties uit te wisselen of
	erger.  Als anonieme uploads toch nodig zijn, dan horen de
	rechten op die bestanden zo te staan dat ze niet door andere
	anonieme gebruikers gelezen kunnen worden tot er door een
	beheerder naar gekeken is.</para>
    </sect2>
  </sect1>

  <sect1 id="network-samba">
    <sect1info>
      <authorgroup>
	<author>
	  <firstname>Murray</firstname>
	  <surname>Stokely</surname>
	  <contrib>Geschreven door </contrib>
	</author>
      </authorgroup>
    </sect1info>

    <title>Bestands- en printdiensten voor &microsoft.windows;
      cli&euml;nten (Samba)</title>

    <indexterm><primary>Samba server</primary></indexterm>

    <indexterm><primary>Microsoft Windows</primary></indexterm>

    <indexterm>
      <primary>bestandsserver</primary>

      <secondary>Windows-cli&euml;nten</secondary>
    </indexterm>

    <indexterm>
      <primary>printserver</primary>

      <secondary>Windows-cli&euml;nten</secondary>
    </indexterm>

    <sect2>
      <title>Overzicht</title>

      <para><application>Samba</application> is een populair open
	source softwarepakket dat bestands- en printdiensten voor
	&microsoft.windows; cli&euml;nten biedt.  Die cli&euml;nten
	kunnen dan ruimte op een &os; bestandssysteem gebruiken alsof
	het een lokale schijf is en &os; printers gebruiken alsof het
	lokale printers zijn.</para>

      <para><application>Samba</application> softwarepakketten horen
	op de &os; installatiemedia te staan.  Als
	<application>Samba</application> bij de basisinstallatie niet
	mee is ge&iuml;nstalleerd, dan kan dat alsnog via de <filename
	  role="package">net/samba3</filename> port of met het
	pakket.</para>

<!-- mention LDAP, Active Directory, WinBIND, ACL, Quotas, PAM, .. -->
    </sect2>

    <sect2>
      <title>Instellen</title>

      <para>Een standaardbestand met instellingen voor
	<application>Samba</application> wordt ge&iuml;nstalleerd als
	<filename>/usr/local/etc/smb.conf.default</filename>.  Dit
	bestand dient gekopieerd te worden naar
	<filename>/usr/local/etc/smb.conf</filename> en voordat
	<application>Samba</application> gebruikt kan worden, moeten er
	aanpassingen aan worden gemaakt.</para>

      <para><filename>smb.conf</filename> bevat de instellingen voor
	<application>Samba</application>, zoals die voor de printers en
	de <quote>gedeelde bestandssystemen</quote> die gedeeld worden
	met &windows; cli&euml;nten.  Het pakket
	<application>Samba</application> bevat een webgebaseerde
	beheermodule die <application>swat</application> heet, waarmee
	<filename>smb.conf</filename> op een eenvoudige manier ingesteld
	kan worden.</para>

      <sect3>
	<title>De Samba webbeheermodule gebruiken (SWAT)</title>

	<para>De Samba Webbeheermodule (SWAT) draait als een daemon
	  vanuit <application>inetd</application>.  Daarom dient voor de
	  volgende regel uit <filename>/etc/inetd.conf</filename> het
	  commentaarkarakter verwijderd te worden voordat
	  <application>swat</application> gebruikt kan worden om
	  <application>Samba</application> in te stellen:</para>

	<programlisting>swat   stream  tcp     nowait/400      root    /usr/local/sbin/swat    swat</programlisting>

	<para>Zoals is uitgelegd in <xref
	    linkend="network-inetd-reread">, moet de configuratie van
	  <application>inetd</application> worden herladen nadat dit
	  instellingenbestand is gewijzigd.</para>

	<para>Als <application>swat</application> is ingeschakeld in
	  <filename>inetd.conf</filename>, kan de module gebruikt worden
	  door met een browser een verbinding te maken met <ulink
	    url="http://localhost:901"></ulink>.  Er dient aangemeld te
	  worden met het <username>root</username> account van het
	  systeem.</para>

<!-- XXX screenshots go here, loader is creating them -->

	<para>Na succesvol aanmelden op de hoofdpagina voor de
	  <application>Samba</application> instellingen, is het mogelijk
	  de systeemdocumentatie te bekijken of te starten door op het
	  tabblad <guimenu>Globals</guimenu> te klikken.  Het onderdeel
	 <guimenu>Globals</guimenu> correspondeert met de sectie
	 <literal>[global]</literal> in
	 <filename>/usr/local/etc/smb.conf</filename>.</para>
      </sect3>

      <sect3>
	<title>Systeembrede instellingen</title>

	<para>Of <application>Samba</application> nu wordt ingesteld
	  door <filename>/usr/local/etc/smb.conf</filename> direct te
	  bewerken of met <application>swat</application>, de eerste
	  instellingen die gemaakt moeten worden zijn de volgende:</para>

	<variablelist>
	  <varlistentry>
	    <term><literal>workgroup</literal></term>

	    <listitem>
	      <para>NT Domeinnaam of Werkgroepnaam voor de computers die
		verbinding gaan maken met de server.</para>
	    </listitem>
	  </varlistentry>

	  <varlistentry>
	    <term><literal>netbiosnaam</literal></term>

	    <indexterm><primary>NetBIOS</primary></indexterm>

	    <listitem>
	      <para>Hiermee wordt de NetBIOS naam waaronder de
		<application>Samba</application> server bekend zal zijn
		ingesteld.  Standaard is de naam het eerste gedeelte van
		de DNS-naam van een host.</para>
	    </listitem>
	  </varlistentry>

	  <varlistentry>
	    <term><literal>server string</literal></term>

	    <listitem>
	      <para>Hiermee wordt de string ingesteld die te zien is als
		het commando <command>net view</command> en een aantal
		andere commando's die gebruik maken van de
		beschrijvende tekst voor de server gebruikt worden.</para>
	    </listitem>
	  </varlistentry>
	</variablelist>
      </sect3>

      <sect3>
	<title>Beveiligingsinstellingen</title>

	<para>Twee van de belangrijkste instellingen in
	  <filename>/usr/local/etc/smb.conf</filename> zijn het gekozen
	  beveiligingsmodel en het wachtwoord voor
	  cli&euml;ntgebruikers.  Deze worden met de volgende
	  instellingen gemaakt:</para>

	<variablelist>
	  <varlistentry>
	    <term><literal>security</literal></term>

	    <listitem>
	      <para>De twee meest gebruikte mogelijkheden hier zijn
		<literal>security = share</literal> en
		<literal>security = user</literal>.  Als de
		cli&euml;nten gebruikersnamen hebben die overeenkomen
		met hun gebruikersnaam op de &os; machine, dan is het
		verstandig om te kiezen voor beveiliging op
		gebruikersniveau.  Dit is het standaard
		beveiligingsbeleid en kent als voorwaarde dat gebruikers
		zich eerst moeten aanmelden voordat ze toegang krijgen
		tot gedeelde bronnen.</para>

	      <para>Bij beveiliging op shareniveau hoeft een cli&euml;nt
		niet met een geldige gebruikersnaam en wachtwoord aan te
		melden op de server voor het mogelijk is om een
		verbinding te proberen te krijgen met een gedeelde bron.
		Dit was het standaardbeveiligingsmodel voor oudere
		versies van <application>Samba</application>.</para>
	    </listitem>
	  </varlistentry>

	  <varlistentry>
	    <term><literal>passdb backend</literal></term>

	    <indexterm><primary>NIS+</primary></indexterm>

	    <indexterm><primary>LDAP</primary></indexterm>

	    <indexterm><primary>SQL database</primary></indexterm>

	    <listitem>
	      <para><application>Samba</application> kent aan de
		achterkant verschillende authenticatiemodellen.
		Cli&euml;nten kunnen authenticeren met LDAP, NIS+, een
		SQL-database of een aangepast wachtwoordbestand.  De
		standaard authenticatiemethode is
		<literal>smbpasswd</literal>.  Meer wordt hier niet
		behandeld.</para>
	    </listitem>
	  </varlistentry>
	</variablelist>

	<para>Als aangenomen wordt dat de standaard achterkant
	  <literal>smbpasswd</literal> wordt gebruikt, dan moet
	  <filename>/usr/local/private/smbpasswd</filename> gemaakt
	  worden om <application>Samba</application> in staat te stellen
	  cli&euml;nten te authenticeren.  Als het gewenst is om uw
	  &unix; gebruikersaccounts toegang te geven vanaf &windows;
	  cli&euml;nten, gebruik dan het volgende commando:</para>

	<screen>&prompt.root; <userinput>smbpasswd -a gebruikersnaam</userinput></screen>

	<note>
	  <para>Sinds <application>Samba</application> 3.0.23c is de
	    eigenlijke map voor authenticatiebestanden <filename
	      class="directory">/usr/local/etc/samba</filename>.  De
	    aanbevolen backend is nu <literal>tdbsam</literal>, en het
	    volgende commando dient gebruikt te worden om
	    gebruikersaccounts toe te voegen:</para>

	  <screen>&prompt.root; <userinput><command>pdbedit <option>-a</option> <option>-u</option> <replaceable>gebruikersnaam</replaceable></command></userinput></screen>
	</note>

	<para>In de <ulink
	    url="http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection">Official
	  Samba HOWTO</ulink> staat meer informatie over instelopties.
	  Met de hier gegeven basisuitleg moet het mogelijk zijn
	  <application>Samba</application> draaiende te krijgen.</para>
      </sect3>
    </sect2>

    <sect2>
      <title><application>Samba</application> starten</title>

      <para>De port <filename role="package">net/samba3</filename> voegt
	een nieuw opstartscript toe, dat gebruikt kan worden om
	<application>Samba</application> te beheren.  Om dit script te
	activeren, zodat het bijvoorbeeld gebruikt kan worden om
	<application>Samba</application> te starten, stoppen, of te
	herstarten, dient de volgende regel aan
	<filename>/etc/rc.conf</filename> toegevoegd te worden:</para>

      <programlisting>samba_enable="YES"</programlisting>

      <para>Of, voor fijnkorrelig beheer:</para>

      <programlisting>nmbd_enable="YES"</programlisting>

      <programlisting>smbd_enable="YES"</programlisting>

      <note>
	<para>Dit stelt <application>Samba</application> ook in om
	  automatisch tijdens het opstarten te starten.</para>
      </note>

      <para>Vervolgens is het mogelijk om
	<application>Samba</application> op elk moment te starten door
	dit te typen:</para>

      <screen>&prompt.root; <userinput>/usr/local/etc/rc.d/samba start</userinput>
Starting SAMBA: removing stale tdbs :
Starting nmbd.
Starting smbd.</screen>

      <para>Refereer aan <xref linkend="configtuning-rcd"> voor meer
	informatie over het gebruikt van rc-scripts.</para>

      <para><application>Samba</application> bestaat feitelijk uit drie
	afzonderlijke daemons.  Het script
	<filename>samba</filename> start de daemons
	<application>nmbd</application> en
	<application>smbd</application>.  Als de winbind
	naamresolutiediensten in <filename>smb.conf</filename> zijn
	ingeschakeld, dan start ook de daemon
	<application>winbindd</application>.</para>

      <para><application>Samba</application> kan op ieder moment gestopt
	worden met:</para>

      <screen>&prompt.root; <userinput>/usr/local/etc/rc.d/samba stop</userinput></screen>

      <para><application>Samba</application> is een complexe
	softwaresuite met functionaliteit waarmee verregaande integratie
	met &microsoft.windows; netwerken mogelijk wordt.  Informatie
	die verder gaat dan de basisinstallatie staat op
	<ulink url="http://www.samba.org"></ulink>.</para>
    </sect2>
  </sect1>

  <sect1 id="network-ntp">
    <sect1info>
      <authorgroup>
	<author>
	  <firstname>Tom</firstname>
	  <surname>Hukins</surname>
	  <contrib>Geschreven door </contrib>
	</author>
      </authorgroup>
    </sect1info>

    <title>Tijd synchroniseren met NTP</title>

    <indexterm><primary>NTP</primary></indexterm>

    <sect2>
      <title>Overzicht</title>

      <para>Na verloop van tijd gaat de tijd van een computer meestal
	uit de pas lopen.  Het Netwerk Tijd Protocol (NTP) kan ervoor
	zorgen dat de tijd accuraat blijft.</para>

      <para>Veel diensten op Internet zijn afhankelijk, of hebben veel
	voordeel, van het betrouwbaar zijn van de tijd.  Zo ontvangt een
	webserver bijvoorbeeld veel verzoeken om een bestand te sturen
	als dat gewijzigd is sinds een bepaald moment.  In een
	LAN-omgeving is het van groot belang dat computers die bestanden
	delen van eenzelfde server gesynchroniseerde tijd hebben zodat
	de tijdstempels consistent blijven.  Diensten zoals &man.cron.8;
	zijn ook afhankelijk van een betrouwbare systeemtijd om
	commando's op het ingestelde moment uit te voeren.</para>

      <indexterm>
	<primary>NTP</primary>

	<secondary>ntpd</secondary>
      </indexterm>

      <para>Bij &os; zit de &man.ntpd.8; <acronym role="Network Time
	  Protocol">NTP</acronym> server die gebruikt kan worden om bij
	andere <acronym
	  role="Network Time Protocol">NTP</acronym> servers de tijd op
	te vragen om de eigen klok gelijk te zetten of om de juiste tijd
	te verstrekken aan andere apparaten.</para>
    </sect2>

    <sect2>
      <title>Passende NTP-servers kiezen</title>

      <indexterm>
	<primary>NTP</primary>

	<secondary>servers kiezen</secondary>
      </indexterm>

      <para>Om de tijd te synchroniseren moeten er &eacute;&eacute;n of
	meer <acronym role="Network Time Protocol">NTP</acronym>-servers
	beschikbaar zijn.  Een lokale systeembeheerder of een ISP heeft
	wellicht een NTP-server voor dit doel opgezet.  Het is
	verstandig om documentatie te raadplegen en te bekijken of dat
	het geval is.  Er is een <ulink
	  url="http://ntp.isc.org/bin/view/Servers/WebHome">online lijst
	van publiek toegankelijke NTP-servers</ulink> waarop een
	NTP-server gezocht kan worden die in geografische zin dichtbij
	een te synchroniseren computer ligt.  Het is belangrijk te
	voldoen aan het beleid voor de betreffende server en toestemming
	te vragen als dat in de voorwaarden staat.</para>

      <para>Het is verstandig meerdere, niet van elkaar afhankelijke,
	NTP-servers te kiezen voor het geval een van de servers niet
	langer betrouwbaar is of niet bereikbaar is.  &man.ntpd.8;
	gebruikt de antwoorden die van andere servers ontvangen worden
	op intelligente wijze: betrouwbare servers krijgen voorrang
	boven onbetrouwbare servers.</para>
    </sect2>

    <sect2>
      <title>Machine instellen</title>

      <indexterm>
	<primary>NTP</primary>

	<secondary>instellen</secondary>
      </indexterm>

      <sect3>
	<title>Basisinstellingen</title>

	<indexterm><primary>ntpdate</primary></indexterm>

	<para>Als het alleen de bedoeling is de tijd te synchroniseren
	  bij het opstarten van een machine, dan kan &man.ntpdate.8;
	  gebruikt worden.  Dit kan van toepassing zijn op desktops die
	  regelmatig herstart worden en niet echt regelmatig
	  gesynchroniseerd hoeven te worden.  Op sommige machines hoort
	  echter &man.ntpd.8; te draaien.</para>

	<para>Het gebruik van &man.ntpdate.8; bij het opstarten is ook
	  een goed idee voor machines waarop &man.ntpd.8; draait.  De
	  &man.ntpd.8; wijzigt de tijd geleidelijk, terwijl
	  &man.ntpdate.8; gewoon de tijd instelt, hoe groot het verschil
	  tussen de bestaande tijd van een machine en de correcte tijd
	  ook is.</para>

	<para>Om &man.ntpdate.8; tijdens het opstarten in te schakelen
	  kan <literal>ntpdate_enable="YES"</literal> aan
	  <filename>/etc/rc.conf</filename> worden toegevoegd.  Alle
	  voor de synchronisatie te gebruiken servers moeten dan, samen
	  met eventuele opties voor &man.ntpdate.8;, in
	  <varname>ntpdate_flags</varname> aangegeven worden.</para>
      </sect3>

      <sect3>
	<indexterm>
	  <primary>NTP</primary>

	  <secondary>ntp.conf</secondary>
	</indexterm>

	<title>Algemene instellingen</title>

	<para>NTP wordt ingesteld met het bestand
	  <filename>/etc/ntp.conf</filename> in het formaat dat
	  beschreven staat in &man.ntp.conf.5;.  Hieronder volgt een
	  eenvoudig voorbeeld:</para>

	<programlisting>server ntplocal.example.com prefer
server timeserver.example.org
server ntp2a.example.net

driftfile /var/db/ntp.drift</programlisting>

	<para>De optie <literal>server</literal> geeft aan welke servers
	  er gebruikt moeten worden, met op elke regel een server.  Als
	  de server wordt ingesteld met het argument
	  <literal>prefer</literal>, zoals bij <hostid
	    role="fqdn">ntplocal.example.com</hostid>, dan krijgt die
	  server de voorkeur boven de andere.  Een antwoord van een
	  voorkeursserver wordt genegeerd als dat significant afwijkt
	  van de antwoorden van de andere servers.  In andere gevallen
	  wordt het gebruikt zonder rekening te houden met de andere
	  antwoorden.  Het argument <literal>prefer</literal> wordt
	  meestal gebruikt voor NTP-servers waarvan bekend is dat ze erg
	  betrouwbaar zijn, zoals die met speciale
	  tijdbewakingshardware.</para>

	<para>De optie <literal>driftfile</literal> geeft aan welk
	  bestand gebruikt wordt om de offset van de klokfrequentie van
	  het systeem op te slaan.  &man.ntpd.8; gebruikt die om
	  automatisch te compenseren voor het natuurlijke afwijken van
	  de tijd, zodat er zelfs bij gebrek aan externe bronnen een
	  redelijke accurate tijdsinstelling mogelijk is.</para>

	<para>De optie <literal>driftfile</literal> geeft aan welk
	  bestand gebruikt wordt om informatie over eerdere antwoorden
	  van NTP-servers die gebruikt worden op te slaan.  Dit bestand
	  bevat interne informatie voor NTP.  Het hoort niet door andere
	  processen gewijzigd te worden.</para>
      </sect3>

      <sect3>
	<title>Toegang tot een server instellen</title>

	<para>Een NTP-server is standaard toegankelijk voor alle hosts
	  op een netwerk.  De optie <literal>restrict</literal> in
	  <filename>/etc/ntp.conf</filename> maakt het mogelijk om aan
	  te geven welke machines de dienst mogen benaderen.</para>

	<para>Voor het blokkeren van toegang voor alle andere machines
	  kan de volgende regel aan <filename>/etc/ntp.conf</filename>
	  toegevoegd worden:</para>

	<programlisting>restrict default ignore</programlisting>

	<note>
	  <para>Dit zal ook toegang van uw server naar alle servers die
	    vermeld staan in uw lokale configuratie verhinderen.  Als u
	    uw NTP-server moet synchroniseren met een externe
	    NTP-server, dient u deze specifieke server toe te staan.
	    Lees de handleiding voor &man.ntp.conf.5; voor meer
	   informatie.</para>
	</note>

	<para>Om alleen machines op bijvoorbeeld het lokale netwerk toe
	  te staan hun tijd te synchroniseren met een server, maar ze
	  tegelijkertijd niet toe te staan om de server te draaien of de
	  server als referentie voor synchronisatie te gebruiken, kan de
	  volgende regel toegevoegd worden:</para>

	<programlisting>restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap</programlisting>

	<para>Hierboven is <hostid role="ipaddr">192.168.1.0</hostid>
	  een IP-adres op een LAN en <hostid
	    role="netmask">255.255.255.0</hostid> is het bijbehorende
	  netwerkmasker.</para>

	<para><filename>/etc/ntp.conf</filename> mag meerdere regels met
	  <literal>restrict</literal> bevatten.  Meer details staan in
	  het onderdeel <literal>Access Control Support</literal> van
	  &man.ntp.conf.5;.</para>
      </sect3>
    </sect2>

    <sect2>
      <title>De NTP-server draaien</title>

      <para>De NTP-server kan bij het opstarten gestart worden door de
	regel <literal>ntpd_enable="YES"</literal> aan
	<filename>/etc/rc.conf</filename> toe te voegen.  Om extra
	opties aan &man.ntpd.8; mee te geven kan de parameter
	<varname>ntpd_flags</varname> in
	<filename>/etc/rc.conf</filename> gebruikt worden.</para>

      <para>Om de server zonder een herstart van de machine te starten
	kan <command>ntpd</command> uitgevoerd worden, met toevoeging
	van de parameters uit <varname>ntpd_flags</varname> in
	<filename>/etc/rc.conf</filename>.  Bijvoorbeeld:</para>

      <screen>&prompt.root; <userinput>ntpd -p /var/run/ntpd.pid</userinput></screen>
    </sect2>

    <sect2>
      <title>ntpd gebruiken met een tijdelijke
	Internetverbinding</title>

      <para>&man.ntpd.8; heeft geen permanente verbinding met een
	netwerk nodig om goed te werken.  Maar als er gebruik gemaakt
	wordt van een inbelverbinding, is het wellicht verstandig om
	ervoor te zorgen dat uitgaande NTP-verzoeken geen uitgaande
	verbinding kunnen starten.  Als er gebruik gemaakt wordt van
	gebruikers-PPP, kunnen er <literal>filter</literal> commando's
	ingesteld worden in <filename>/etc/ppp/ppp.conf</filename>.
	Bijvoorbeeld:</para>

      <programlisting>set filter dial 0 deny udp src eq 123
# NTP-verkeer zorgt niet voor uitbellen
set filter dial 1 permit 0 0
set filter alive 0 deny udp src eq 123
# Inkomend NTP-verkeer houdt de verbinding niet open
set filter alive 1 deny udp dst eq 123
# Uitgaand NTP-verkeer houdt de verbinding niet open
set filter alive 2 permit 0/0 0/0</programlisting>

      <para>Meer details staan in de sectie <literal>PACKET
	FILTERING</literal> in &man.ppp.8; en in de voorbeelden in
	<filename>/usr/share/examples/ppp/</filename>.</para>

      <note>
	<para>Sommige Internetproviders blokkeren lage poorten, waardoor
	  NTP niet kan werken omdat er nooit een antwoord ontvangen kan
	  worden door een machine.</para>
      </note>
    </sect2>

    <sect2>
      <title>Meer informatie</title>

      <para>HTML-documentatie voor de NTP-server staat in
	<filename>/usr/share/doc/ntp/</filename>.</para>
    </sect2>
  </sect1>

  <sect1 id="network-syslogd">
    <sect1info>
      <authorgroup>
	<author>
	  <firstname>Tom</firstname>
	  <surname>Rhodes</surname>
	  <contrib>Bijgedragen door </contrib>
	</author>
      </authorgroup>
    </sect1info>

    <title>Hosts op afstand loggen met
      <command>syslogd</command></title>

    <para>Het omgaan met systeemlogs is een cruciaal aspect van zowel
      beveiligings- als systeembeheer.  Het in de gaten houden van
      logbestanden van meerdere hosts kan nogal onhandelbaar worden als
      deze hosts over (middel)grote netwerken zijn verspreid, of wanneer
      ze deel zijn van verschillende soorten netwerken.  In deze
      gevallen kan het op afstand loggen het gehele proces een stuk
      aangenamer maken.</para>

    <para>Het centraal loggen naar een specifieke loghost kan wat van de
      administratieve last van het beheren van logbestanden wegnemen.
      Het aggregeren, samenvoegen, en roteren van logbestanden kan op
      &eacute;&eacute;n enkele plaats worden ingesteld, door gebruik te
      maken van de eigen gereedschappen van &os;, zoals &man.syslogd.8;
      en &man.newsyslog.8;.  In de volgende voorbeeldconfiguratie zal
      host <hostid>A</hostid>, genaamd <hostid
	role="fqdn">logserv.example.com</hostid>, loginformatie voor het
      plaatselijke netwerk verzamelen.  Host <hostid>B</hostid>, genaamd
      <hostid role="fqdn">logclient.example.com</hostid>, zal
      loginformatie aan het serversysteem doorgeven.  In echte
      configuraties hebben beide hosts degelijke voor- en terugwaartse
      <acronym>DNS</acronym> of regels in
      <filename>/etc/hosts</filename> nodig.  Anders worden de gegevens
      geweigerd door de server.</para>

    <sect2>
      <title>Configuratie van de logserver</title>

      <para>Logservers zijn machines die zijn geconfigureerd om
	loginformatie van hosts op afstand te accepteren.  In de meeste
	gevallen is dit om de configuratie te vergemakkelijken, in
	andere gevallen kan het gewoon een beheersbeslissing zijn.
	Ongeacht de reden zijn er enkele eisen voordat er verder wordt
	gegaan.</para>

      <para>Een juist geconfigureerde logserver voldoet aan de volgende
	minimale eisen:</para>

      <itemizedlist>
	<listitem>
	  <para>De regels van de firewall staan toe dat
	    <acronym>UDP</acronym> wordt doorgegeven op poort 514 van
	    zowel de cli&euml;nt als de server;</para>
	</listitem>

	<listitem>
	  <para>syslogd is ingesteld om berichten op afstand van
	    cli&euml;ntmachines te accepteren;</para>
	</listitem>

	<listitem>
	  <para>De syslogd-server en alle cli&euml;ntmachines moeten
	    geldige regels hebben voor zowel voorwaartse als
	    terugwaartse <acronym>DNS</acronym>, of correct zijn
	    geconfigureerd in <filename>/etc/hosts</filename>.</para>
	</listitem>
      </itemizedlist>

      <para>Om de logserver te configureren, moet de cli&euml;nt vermeld
	zijn in <filename>/etc/syslog.conf</filename>, en moet de
	logfaciliteit zijn gespecificeerd:</para>

      <programlisting>+logclient.example.com
*.*	/var/log/logclient.log</programlisting>

      <note>
	<para>Meer informatie over de verschillende ondersteunde en
	  beschikbare <emphasis>faciliteiten</emphasis> kan gevonden
	  worden in de handleidingpagina &man.syslog.conf.5;.</para>
      </note>

      <para>Eenmaal toegevoegd worden alle
	<literal>faciliteits</literal>-berichten gelogd naar het eerder
	gespecificeerde bestand,
	<filename>/var/log/logclient.log</filename>.</para>

      <para>De servermachine moet ook het volgende in
	<filename>/etc/rc.conf</filename> hebben staan:</para>

      <programlisting>syslogd_enable="YES"
syslogd_flags="-a logclient.example.com -vv"</programlisting>

      <para>De eerste optie zet de daemon <command>syslogd</command> aan
	tijdens het opstarten, en de tweede regel staat toe dat gegevens
	van de cli&euml;nt op deze server worden geaccepteerd.  Het
	laatste gedeelte, dat <option>-vv</option> gebruikt, verhoogt de
	verbositeit van gelogde berichten.  Dit is extreem handig voor
	het optimaal instellen van faciliteiten aangezien beheerders
	kunnen zien welk soort berichten onder welke faciliteit worden
	gelogd.</para>

      <para>Er kunnen meerdere opties <option>-a</option> worden
	gespecificeerd om logging vanuit meerdere cli&euml;nten toe te
	staan.  <acronym>IP</acronym>-adressen en hele netblokken mogen
	ook worden gespecificeerd, bekijk de hulppagina &man.syslog.3;
	voor een volledige lijst van mogelijke opties.</para>

      <para>Als laatste dient het logbestand gecre&euml;erd te worden.
	De gebruikte manier maakt niet uit, maar &man.touch.1; werkt
	prima in dit soort situaties:</para>

      <screen>&prompt.root; <userinput>touch <filename>/var/log/logclient.log</filename></userinput></screen>

      <para>Nu dient het <command>syslogd</command>-daemon herstart en
	geverifieerd worden:</para>

      <screen>&prompt.root; <userinput>/etc/rc.d/syslogd restart</userinput>
&prompt.root; <userinput>pgrep syslog</userinput></screen>

      <para>Als er een <acronym>PID</acronym> wordt teruggegeven, dan is
	de server succesvol herstart, en kan er begonnen worden met de
	configuratie van de cli&euml;nt.  Raadpleeg de log
	<filename>/var/log/messages</filename> voor uitvoer als de
	server niet is herstart.</para>
    </sect2>

    <sect2>
      <title>Configuratie van de logcli&euml;nt</title>

      <para>Een logcli&euml;nt is een machine die loginformatie naar een
	logserver verstuurt en daarnaast lokale kopie&euml;n
	bewaart.</para>

      <para>Net als logservers moeten logcli&euml;nten ook aan enkele
	minimumeisen voldoen:</para>

      <itemizedlist>
	<listitem>
	  <para>&man.syslogd.8; moet zijn ingesteld om berichten van
	    bepaalde soorten naar een logserver te sturen, die ze moet
	    accepteren;</para>
	</listitem>

	<listitem>
	  <para>De firewall moet <acronym>UDP</acronym>-pakketten
	    doorlaten op poort 514;</para>
	</listitem>

	<listitem>
	  <para>Zowel voorwaartse als terugwaartse
	    <acronym>DNS</acronym> moeten geconfigureerd zijn of juiste
	    regels in <filename>/etc/hosts</filename> hebben.</para>
	</listitem>
      </itemizedlist>

      <para>De configuratie van cli&euml;nten is wat soepeler dan die
	van servers.  De cli&euml;ntmachine moet de volgende regels in
	<filename>/etc/rc.conf</filename> hebben:</para>

      <programlisting>syslogd_enable="YES"
syslogd_flags="-s -vv"</programlisting>

      <para>Net als eerder zullen deze regels de daemon
	<command>syslogd</command> tijdens het opstarten aanzetten, en
	de verbositeit van gelogde berichten verhogen.  De optie
	<option>-s</option> voorkomt dat logs van deze cli&euml;nt
	vanuit andere hosts worden geaccepteerd.</para>

      <para>Faciliteiten beschrijven het systeemgedeelte waarvoor een
	bericht is gegenereerd.  <acronym>ftp</acronym> en
	<acronym>ipfw</acronym> bijvoorbeeld zijn beide faciliteiten.
	Wanneer er logberichten worden gegenereerd voor deze twee
	diensten, zullen ze normaalgesproken deze twee gereedschappen in
	elk logbericht opnemen.  Faciliteiten worden vergezeld van een
	prioriteit of niveau, welke wordt gebruikt om aan te geven hoe
	belangrijk een logbericht is.  De meest voorkomende zullen
	<literal>warning</literal> en <literal>info</literal> zijn.
	Bekijk de handleidingpagina &man.syslog.3; voor een volledige
	lijst van beschikbare faciliteiten en prioriteiten.</para>

      <para>De logserver moet in <filename>/etc/syslog.conf</filename>
	van de cli&euml;nt zijn gedefinieerd.  In dit geval wordt het
	symbool <literal>@</literal> gebruikt om loggegevens naar een
	server op afstand te sturen en zou er ongeveer als de volgende
	regel uit moeten zien:</para>

      <programlisting>*.*	@logserv.example.com</programlisting>

      <para>Eenmaal toegevoegd moet <command>syslogd</command> worden
	herstart zodat de veranderingen effect hebben:</para>

      <screen>&prompt.root; <userinput>/etc/rc.d/syslogd restart</userinput></screen>

      <para>Om te testen of logberichten over het netwerk worden
	verzonden, wordt &man.logger.1; op de cli&euml;nt gebruikt om
	een bericht naar <command>syslogd</command> te sturen:</para>

      <screen>&prompt.root; <userinput>logger "Testbericht van logclient"</userinput></screen>

      <para>Dit bericht dient nu zowel in
	<filename>/var/log/messages</filename> op de cli&euml;nt als
	<filename>/var/log/logclient.log</filename> op de logserver te
	staan.</para>
    </sect2>

    <sect2>
      <title>Logservers debuggen</title>

      <para>In bepaalde gevallen kan het nodig zijn om te debuggen als
	berichten niet door de logserver worden ontvangen.  Er zijn
	verschillende redenen waarom dit kan gebeuren; de twee meest
	voorkomende zijn echter voorvallen met de netwerkverbinding en
	<acronym>DNS</acronym>.  Om deze gevallen te testen, dient te
	worden nagegaan dat beide hosts elkaar kunnen bereiken door
	de hostnaam in <filename>/etc/rc.conf</filename> te gebruiken.
	Als dit juist lijkt te werken, dient de optie
	<literal>syslogd_flags</literal> in
	<filename>/etc/rc.conf</filename> te worden veranderd.</para>

      <para>In het volgende voorbeeld is
	<filename>/var/log/logclient.log</filename> leeg, en noemt
	<filename>/var/log/messages</filename> geen reden waarom het
	mislukt.  Verander de optie <literal>syslogd_flags</literal>
	zoals in het volgende voorbeeld en herstart om de debuguitvoer
	te verhogen:</para>

      <programlisting>syslogd_flags="-d -a logclien.example.com -vv"</programlisting>

      <screen>&prompt.root; <userinput>/etc/rc.d/syslogd restart</userinput></screen>

      <para>Debuggegevens zoals de volgende zullen meteen na de herstart
	over het scherm vliegen:</para>

      <screen>logmsg: pri 56, flags 4, from logserv.example.com, msg syslogd: restart
syslogd: restarted
logmsg: pri 6, flags 4, from logserv.example.com, msg syslogd: kernel boot file is /boot/kernel/kernel
Logging to FILE /var/log/messages
syslogd: kernel boot file is /boot/kernel/kernel
cvthname(192.168.1.10)
validate: dgram from IP 192.168.1.10, port 514, name logclient.example.com;
rejected in rule 0 due to name mismatch.</screen>

      <para>Het is duidelijk dat de berichten worden geweigerd wegens
	een niet-overeenkomende naam.  Na de configuratie grondig te
	hebben herzien, lijkt het of een typefout in de volgende regel
	in <filename>/etc/rc.conf</filename> een probleem heeft:</para>

      <programlisting>syslogd_flags="-d -a logclien.example.com -vv"</programlisting>

      <para>De regel dient <literal>logclient</literal>, niet
	<literal>logclien</literal> te bevatten.  Nadat de juiste
	wijzigingen zijn gemaakt, wordt er herstart met de verwachte
	resultaten:</para>

      <screen>&prompt.root; <userinput>/etc/rc.d/syslogd restart</userinput>
logmsg: pri 56, flags 4, from logserv.example.com, msg syslogd: restart
syslogd: restarted
logmsg: pri 6, flags 4, from logserv.example.com, msg syslogd: kernel boot file is /boot/kernel/kernel
syslogd: kernel boot file is /boot/kernel/kernel
logmsg: pri 166, flags 17, from logserv.example.com,
msg Dec 10 20:55:02 &lt;syslog.err&gt; logserv.example.com syslogd: exiting on signal 2
cvthname(192.168.1.10)
validate: dgram from IP 192.168.1.10, port 514, name logclient.example.com;
accepted in rule 0.
logmsg: pri 15, flags 0, from logclient.example.com, msg Dec 11 02:01:28 trhodes: Test message 2
Logging to FILE /var/log/logclient.log
Logging to FILE /var/log/messages</screen>

      <para>Nu worden de berichten juist ontvangen en in het correcte
	bestand geplaatst.</para>
    </sect2>

    <sect2>
      <title>Beveiligingsoverwegingen</title>

      <para>Zoals bij alle netwerkdiensten, dienen beveiligingseisen in
	acht te worden genomen voordat deze configuratie wordt
	ge&iuml;mplementeerd.  Soms kunnen logbestanden gevoelige
	gegevens bevatten over diensten die aanstaan op de lokale host,
	gebruikersaccounts, en configuratiegegevens.  Netwerkgegevens
	die van de cli&euml;nt naar de server worden verzonden worden
	niet versleuteld noch met een wachtwoord beveiligd.  Als
	versleuteling nodig is, kan <filename
	  role="package">security/stunnel</filename> worden gebruikt,
	wat gegevens over een versleutelde tunnel verstuurt.</para>

      <para>Aan lokale beveiliging moet ook gedacht worden.
	Logbestanden worden niet versleuteld tijdens gebruik of na
	logrotatie.  Lokale gebruikers kunnen deze bestanden benaderen
	om aanvullende inzichten over de systeemconfiguratie op te doen.
	In deze gevallen is het van kritiek belang om de juiste rechten
	op deze bestanden in te stellen.  Het gereedschap
	&man.syslogd.8; ondersteunt het instellen van rechten op nieuw
	aangemaakte en geroteerde logbestanden.  Het instellen van
	logbestanden op modus <literal>600</literal> dient al het
	ongewenste spieken door lokale gebruikers te verhinderen.</para>
    </sect2>
  </sect1>
</chapter>

<!--
     Local Variables:
     mode: sgml
     sgml-declaration: "../chapter.decl"
     sgml-indent-data: t
     sgml-omittag: nil
     sgml-always-quote-attributes: t
     sgml-parent-document: ("../book.sgml" "part" "chapter")
     End:
-->
<!--  LocalWords:  config mnt www -->