Subject: traduzione rete
To: None <regional-it@netbsd.org>
From: grifo <grifo3000@interfree.it>
List: regional-it
Date: 02/05/2005 23:35:33
This is a multi-part message in MIME format.
--Multipart=_Sat__5_Feb_2005_23_35_33_+0100_K3jsUxgAAzyLYJkW
Content-Type: text/plain; charset=US-ASCII
Content-Transfer-Encoding: 7bit
sottopongo all'attenzione della lista questa traduzione,
se qualcuno desidera darci un occhio.
ciao,
g.
--Multipart=_Sat__5_Feb_2005_23_35_33_+0100_K3jsUxgAAzyLYJkW
Content-Type: text/plain;
name="BasicNetBSDNetworking.it.txt"
Content-Disposition: attachment;
filename="BasicNetBSDNetworking.it.txt"
Content-Transfer-Encoding: quoted-printable
=09
Documentazione NetBSD:
Gestione di base della rete con NetBSD
Questa pagina =E8 in corso di sviluppo, e sono benvenuti commenti o suggeri=
menti.
Domande frequenti sulla rete
* Iniziare
* Files di configurazione di rete
* Programmi di configurazione di rete
* Aggiungere un nuovo Host alla rete
* Dare un nome ad un nuovo Host in rete
* Connessione tra reti
* Connessione tra reti con PPP
* Impostare pppd per usare una linea dedicata
* Come usare un modem ISDN [???? terminal adapter, TA]
* Connessione tra reti con schede ISDN
* Connessione tra reti con DSL / PPPoE
* Connessione tra reti con GPRS / CDPD
* Una semplice impostazione NAT ("IP Masquerading")
* Mantenimento
* Sicurezza
* Eseguire Appletalk
* Kerberos
* Autenticazione per Windows 2000
Problemi di rete
* Impossibile eseguire ping verso altri host di rete (Unable to ping ot=
her hostnames)
* La connessione sembra avere un ritardo di 30 secondi (Connections see=
m to have a 30 second delay)
Altri collegamenti
* L' Internet Super Server (inetd)
* Il processo di sicurezza NetBSD e servizi
* Rete Wireless utilizzando Lucent WaveLAN
* HOWTO: Come avviare da rete una macchina senza disco
* Passi per la connessione via ISDN
* Passi per la connessione via GPRS / CDPD
* Passi per la connessione via PPPoE (DSL)
* Domande frequenti su Network Address Translation (NAT) FAQ, utilizzan=
do IP-Filter
* HOWTO: Come impostare clients e servers DHCP
* Domande frequenti sulla rete con NetBSD/amiga
* Domande frequenti sulla rete IPv6
* Domande frequenti su IPsec
* PPP, compilazioni incrociate, ed altri "Come fare per" HOW-TOs
* HOWTO: Come fare Firewalls basati su IP Filter
* [???? La carta AltQ]
* HOWTO: Come fare nsupdate
Domande frequenti sulla rete
Iniziare
La procedura di installazione di NetBSD include una configurazione di r=
ete di base, che implementa l'impostazione di una stazione di lavoro standa=
rd. Questa configurazione pu=F2 essere estesa per avvantaggiarsi delle nume=
rose funzioni di rete di NetBSD
*
Vedere anche :
o RFC 1918 - Address Allocation for Private Internets=20
Files di configurazione di rete
La configurazione di rete =E8 definita in un insieme di files di config=
urazione di testo.
* /etc/rc.conf - rc.conf(5) specifica i servizi di sistema, inclusi=
i servizi di rete, che devono essere automaticamente avviati all'inizializ=
zazione del sistema.
* /etc/hosts - hosts(5) la pi=F9 basilare corrispondenza hostname/I=
P.
* /etc/myname - il "fully qualified hostname" (nome completo dell'h=
ost) (salvo che sia impostato attraverso hostname nel file /etc/rc.conf).
* /etc/mygate - il gateway predefinito. Normalmente =E8 meglio sia =
impostato come defaultroute nel file /etc/rc.conf, oppure si pu=F2 eseguire=
routed(8).
* /etc/ifconfig.{IF}. - la definizione dell'interfaccia di rete IF,=
utilizzata dal file /etc/rc.d/network al momento dell'inizializzazione del=
sistema, per configurare un'interfaccia di rete. Vedere ifconfig.if(5). Un=
'alternativa =E8 impostare la voce ifconfig_IF=3D"..." nel file /etc/rc.con=
f.
* /etc/ifaliases - ifaliases(5) una singola interfaccia pu=F2 avere=
degli alias su pi=F9 di un numero IP. Gli alias sono specificati qui, ed u=
tilizzati dal file /etc/rc.d/network all'inizializzazione del sistema.
* /etc/resolv.conf - resolv.conf(5) specifica come risolvere i nume=
ri IP nei rispettivi hostnames (nomi di host). Comunemente, questo contiene=
una linea che specifica i domini da cercare ed uno o pi=F9 indirizzi IPs d=
el nameservers da interrogare:
search subdomain.yourdomain.tld yourdomain.tld
nameserver 192.168.253.10
nameserver 192.168.253.11
Fare attenzione, Questo file viene sovrascritto da dhclient(8)!=20
*
Vedere anche:
o hostname(7)
Programmi di configurazione di rete
Nello script di avvio della rete (/etc/rc.d/network) sono usati due imp=
ortanti programmi di configurazione di rete, e possono essere usati per con=
figurare manualmente una rete attiva.
* ifconfig(8) - cambia o visualizza le caratteristiche di un'interf=
accia di rete.
* route(8) - manipola le tabelle di routing.
*
Vedere anche:
o domainname(1)
o hostname(1), hostname(7)
Aggiungere un nuovo Host alla rete
Se la vostra rete =E8 impostata per utilizzare DHCP, tutto ci=F2 che do=
vete fare =E8 impostare la riga "dhclient=3Dyes" in /etc/rc.conf, ed il cli=
ent DHCP sar=E0 avviato alla partenza del sistema in modo da configurare au=
tomaticamente l'indirizzo IP della vostra macchina, l'hostname, il router p=
redefinito, il name server ed il nome di dominio usati. Guardare qui per ma=
ggiori informazioni su DHCP.
Se nessun DHCP =E8 disponibile, la richiesta minima software affinch=E8=
un host sia aggiunto ad una rete =E8 un'interfaccia configurata con un ind=
irizzo nella rete locale. Se si forniscono informazioni sulla rete durante =
il processo di installazione di NetBSD, il nuovo host pu=F2 essere immediat=
amente connesso alla rete e vi si pu=F2 accedere attraverso il suo numero I=
P.
Il seguente =E8 un semplice esempio di come configurare la rete, assume=
ndo che abbiate una interfaccia di rete di tipo "ex" e vogliate che il vost=
ro IP sia 192.168.253.2, utilizzando un indirizzamento predefinito (default=
route) a 192.168.253.1:
# ifconfig lo0 127.0.0.1
# ifconfig ex0 192.168.253.2 netmask 255.255.255.0
# route add default 192.168.253.1
Dare un nome ad un nuovo Host in rete
Per consentire l'accesso attraverso il nome di host cos=EC come attrave=
rso il numero IP, il nuovo nome dell'host ed il suo numero IP sono aggiunti=
ai files di configurazione di rete. Ci sono diversi modi di gestire questo:
1. /etc/hosts: hosts(5) Per piccole reti di pochi hosts, la mappatur=
a tra nome dell'host ed IP pu=F2 essere duplicata manualmente nei files /et=
c/hosts di ciascun host.
/etc/hosts:
192.168.1.2 host2.mydomain.org.au host2
2. NIS (Network Information Service, in passato conosciuto come pagi=
ne gialle - Yellow Pages (YP) abilita i files /etc/hosts nella rete ad esse=
re automaticamente sincronizzati (assieme ad altri files di configurazione =
come passwd e group). Vedere domainname(1), ypinit(8) e yp(8) cos=EC come l=
e variabili ypbind e domainname nel file rc.conf(5) per maggiori informazio=
ni.
3. DNS: Le mappature dei nomi di host possono essere centralizzate i=
n files di zona (zone-files) cui accede il name-server (server dei nomi), n=
amed(8). (ci sono molti documenti su www.dns.net che si occupano di imposta=
re e mantenere i files DNS).
[???? Forward zone file entry]
host2 IN A 192.168.1.2
[???? Reverse zone file entry]
2 IN PTR host2.mydomain.org.au.=20
*
Vedere anche:
o named.conf(5)
o nsswitch.conf(5)
Connessione tra reti
La connessione tra la vostra rete (che pu=F2 consistere in un singolo h=
ost) ad un'altra rete richiede che almeno un host agisca come gateway tra l=
e due reti. L'host che funge da gateway ha due interfacce di rete - ciascun=
a configurata per una rete.
* Creare un file di configurazione dell'interfaccia (/etc/ifconfig.=
{interface}) per la seconda interfaccia ethernet.
/etc/ifconfig.we1
192.168.2.30 netmask 0xffffff00 media 10base2/BNC
In alternativa, inserire la seguente linea nel file /etc/rc.conf:
ifconfig_we1=3D"192.168.2.30 netmask 0xffffff00 media 10base2/BNC"
* Riavviare il computer per attivare la nuova interfaccia.
* Se necessario, abilitare l'IP forwarding (inoltro dei pacchetti I=
P). Si pu=F2 sia compilare un kernel con "options GATEWAY", che utilizzare =
"sysctl -w net.inet.ip.forwarding=3D1" ogni volta che la macchina viene avv=
iata, che inserire "net.inet.ip.forwarding=3D1" nel file /etc/sysctl.conf.
*
Vedere anche:
o ipnat(5),ipnat(8)
o ipf.conf(5),ipf(8)
o sysctl.conf(5),sysctl(8)
Connessione tra reti con PPP
Si pu=F2 creare un tipo speciale d'interfaccia di rete su una porta ser=
iale (con o senza un modem collegato) utilizzando pppd(8).
Ci sono molti modi per impostare PPP. Un semplice metodo adatto per la =
connessione al vostro ISP =E8 il seguente:
1. Creare un file di opzioni [???? peer]
/etc/ppp/peers/myisp
# Le opzioni dell'esempio pppd
# sono specificate per myisp
/dev/tty01
local_IP_address:remote_IP_address
connect '/usr/sbin/chat -v -f /etc/ppp/peers/myisp.chat'
defaultroute
persist
ipparam myisp
asyncmap 0
noauth
2. Creare un file di opzioni del dispositivo=20
/etc/ppp/options.{ttyname}
# Example pppd options
# Specific for ttyname
lock
crtscts
57600
modem
3. creare un file chat
/etc/ppp/peers/myisp.chat
# Example chat file
# Specific for myisp
ABORT BUSY ABORT 'NO CARRIER' ""
\da\ptz0 OK
\da\ptdt8887776655 CONNECT
4. Stabilire la connessione
pppd call myisp
5. Impostare la variabile=20
ppp_peers=3D"myisp" in /etc/rc.conf rc.conf(5), e la connessione =
star=E0 stabilita automaticamente all'avvio.
A differenza di un'interfaccia ethernet, non =E8 necessario creare il f=
ile /etc/ifconfig.{interface} per l'interfaccia PPP.
Se si sta utilizzando [???? demand dial] ppp e non si desidera che un p=
articolare tipo di traffico stabilisca la connessione (per esempio il traff=
ico xntpd(8) ntp), si pu=F2 usare active-filter nel file di configurazione =
ppd.conf:
active-filter 'not udp port ntp'
*
Vedere anche:
o chat(8) - [???? Automated conversational script]
Impostare pppd per usare una linea dedicata
Una linea dedicata =E8 un collegamento prefissato punto-a-punto. Impost=
are questo con NetBSD =E8 un processo molto semplice. Sul server predisporr=
e un file /etc/ppp/options come questo:
/dev/tty00
57600
noauth
crtscts
passive
<local_IP_address>:<remote_IP_address>
debug
netmask 255.255.255.255
proxyarp
Si devono cambiare <local_IP_address> e <remote_IP_address> con i valor=
i appropriati per la propria rete (<local_IP_address> pu=F2 essere lo stess=
o della propria ethernet, <remote_IP_address> deve essere un indirizzo vali=
do per il proprio tratto ethernet)
Sul client costruire un file /etc/ppp/options con:
/dev/tty00
57600
noauth
crtscts
defaultroute
debug
Su entrambi i lati della connessione correggere /dev/tty00 con il nome =
della propria porta seriale.=20
Come usare un modem ISDN [???? terminal adapter, TA] [???? tutta da verific=
are...]
Per NetBSD, il TA (Terminal Adapter) assomiglia ad un modem normale, ed=
user=E0 il protocollo PPP asincrono se lo impostate nel modo giusto. In ba=
se al proprio ISP, si pu=F2 scegliere da uno dei modi seguenti:=20
* sync-to-async-HDLC conversion: Traduce i frames HDLC sincroni in =
frames async-HDLC. Utilizzarlo se il proprio provider offre "vero" PPP su H=
DLC direttamente sul canale B, che =E8 lo standard ai giorni nostri.
* X75: X.25 attraverso il canale ISDN B
* V120: [???? which is intended to simulate lower bandwidth modems =
to slow computer terminal lines]; sfortunatamente tuttavia questo disperde =
una parte della banda passante della propria linea ISDN
* V110: che =E8 una vecchia versione di V120=20
Si imposta il modo del TA con alcuni comandi modem "AT", per cortesia c=
onsultare il proprio manuale per i comandi esatti. Si possono poi aggiunger=
e questi comandi "AT" al proprio script chat usualmente viene utilizzato pe=
r le chiamate PPP, come si fa con un modem "normale" (analogico).
Connessione tra reti con schede ISDN
Per cortesia guardare qui.=20
Connessione tra reti con DSL / PPPoE
Per cortesia guardare qui per istruzioni generali su DSL / PPPoE. C'=E8=
anche qualche ulteriore aiuto per gli utenti dell'ISP tedesco T-Online.=20
Connessione tra reti con gprs GPRS / CDPD
Per cortesia guardare qui.=20
Una semplice impostazione NAT ("IP Masquerading")
Per consentire agli hosts di una rete locale privata (diciamo: 10.0.0.0=
/24) di utilizzare la macchina NetBSD come un router, ed impostare la "Netw=
ork Address Translation" (NAT, chiamata anche "IP Masquerading" in un altro=
universo), fare le cose seguenti:
1. Sulle macchine client, utilizzare la macchina che fa NAT come rou=
ter di default (inserire defaultroute=3D"a.b.c.d" nei loro /etc/rc.conf se =
eseguono NetBSD, dove a.b.c.d =E8 il numero IP interno (dalla rete 10.0.0.0=
, ad esempio)).
2. Sulla macchina che esegue il NAT, prima assicurarsi che nel kerne=
l sia abilitato ipfilter (La maggior parte dei kernel GENERIC compilati di =
recente lo include per default):
options PFIL_HOOKS # pfil(9) packet filter hooks
pseudo-device ipfilter # IP filter (firewall) and NAT
3. Inserire questo nel file /etc/ipf.conf(5):
pass in from any to any
pass out from any to any
3. Inserire questo nel file /etc/ipnat.conf(5)
map ppp0 10.0.0.0/24 -> 0/32 proxy port ftp ftp/tcp
map ppp0 10.0.0.0/24 -> 0/32 portmap tcp/udp 40000:60000
map ppp0 10.0.0.0/24 -> 0/32
5. Abilitare tutto nel file /etc/rc.conf:
ipfilter=3DYES # usa /etc/ipf.conf
ipnat=3DYES # usa /etc/ipnat.conf
6. Abilitare il "packet forwarding IPv4" in /etc/sysctl.conf:
net.inet.ip.forwarding=3D1
7. Riavviare.
8. Utilizzare ping(8), tcpdump(1), ipfstat(8) ed ipnat(8) per il deb=
ug.=20
Se si vuole utilizzare NAT su un collegamento PPPoE (normalmente usato =
sui collegamenti DSL), allora si pu=F2 voler abilitare anche l' [???? MSS c=
lamping]
Mantenimento
* Monitoraggio delle attivit=E0 - strumenti utili
o ifconfig(8) - configura e visualizza i parametri dell'inter=
faccia di rete.
o route(8) - manipola le tabelle di routing.
o ping(8) - invia pacchetti ICMP ECHO_REQUEST ad hosts in rete
o traceroute(8) - stampa la strada che i pacchetti percorrono=
per raggiungere un host in rete=20
o tcpdump(1) - visualizzazione selettiva del traffico su un'i=
nterfaccia di rete
o netstat(1) - visualizza lo stato della rete
o systat(8) 'systat netstat' - visualizza dinamicamente le co=
nnessioni di rete=20
*
Vedere anche:
o mrtg - Questa utility dalla collezione dei packages consent=
e di monitorare graficamente l'attivit=E0 di rete.=20
Sicurezza
* /etc/hosts.{allow,deny}: I files di configurazione per il tcp-wra=
ppers (hosts_access(5)) attivato nel daemon principale inetd(8).
* Se si desidera un firewall completo che svolga anche funzioni di =
Network Address Translation (NAT, alle volte chiamato IP masquerading), usa=
re IPfilter, fornito con NetBSD. Controllare la sua homepage. I files di co=
nfigurazione per NetBSD sono ipf.conf(5), ipf6.conf(5), ipnat.conf(5), coma=
ndi ed altre manpages utili sono ipf(4), ipf(8), ipfs(8) e ipfstat(8).
*
Vedere anche:
o Il centro di coordinamento CERT* studia le vulnerabilit=E0 =
internet di sicurezza.
o Passi per il recupero da [???? a UNIX Root Compromise]
o HOWTO: Firewalls basati su IP Filter
Eseguire Appletalk
NetBSD supporta 'netatalk', che consente alle macchine unix di comunica=
re con macchine appletalk attraverso ethernet (ma non localtalk). Questo co=
nsente alle macchine MacOS di leggere il filesystem e di stampare su stampa=
nti attraverso una macchina NetBSD, e per la macchina NetBSD di stampare su=
stampanti AppleTalk. I sorgenti necessari sono disopnibili attraverso la c=
ollezione dei packages di NetBSD.
Kerberos
Kerberos =E8 un sistema di autenticazione di rete disegnato per fornire=
un'autenticazione forte alle applicazioni client/server utilizzando [???? =
cifratura con chiavi segrete: secret-key cryptography]
NetBSD viene fornito con l'implementazione KTH Heimdal Kerberos 5
Questa sezione fornisce alcune semplici istruzioni per configurare il p=
roprio sistema NetBSD in modo da usare Kerberos. Per coloro i quali non ave=
ssero familiarit=E0 con Kerberos, potrebbe servire come una basilare guida =
passo-passo (HOWTO). Per chi avesse gi=E0 familiarit=E0 con Kerberos, potre=
bbe documentare alcune differenze tra il Kerberos di NetBSD ed il Kerberos =
che potreste aver usato in passato.
Per lo scopo di queste istruzioni, si assume che il nome di dominio del=
DNS sia "foo.com". Si assume anche che ci siano due macchine nel dominio f=
oo.com, chiamate mach1.foo.com e mach2.foo.com.
Un dominio amministrativo Kerberos =E8 chiamato realm (regno). Un realm=
pu=F2 essere chiamato in qualsiasi modo si desideri, sebbene la convenzion=
e sia di utilizzare il nome di dominio DNS dell'organizzazione in lettere m=
aiuscole. In tal modo, per il dominio "foo.com" dell'esempio, il realm Kerb=
eros sarebbe chiamato "FOO.COM".
Un'identit=E0 in Kerberos =E8 chiamata principal. Utenti, hosts e perfi=
no servizi individuali sul server sono tutti principals. I nomi principal h=
anno la forma "name@REALM". Se la porzione "@REALM" viene omessa, si assume=
il realm di default. [???? Service principal names] hanno la forma "servic=
e/hostname@REALM". Il nome di host (hostname) dovrebbe essere il nome compl=
eto (fully-qualified) dell'host. Tutti gli hosts hanno un servizio principa=
l "host/...". Il principal =E8 generalmente usato dai programmi di login (a=
d esempio telnetd(8), sshd(8)) ed altre cose che vogliano autenticare l'hos=
t con un altro principal (ad esempio, alcuni protocolli di gestione chiavi =
IPsec).
Un'istanza di una credenziale Kerberos =E8 chiamata ticket (biglietto).=
C'=E8 un tipo speciale di ticket chiamato "ticket di garanzia di un ticket=
" (ticket granting ticket), o TGT. Il TGT =E8 l'insieme iniziale di credenz=
iali, acquisite quando si esegue il programma di login(1), o eseguendo kini=
t(1). Il TGT =E8 usato per acquisire ticket di servizio che consentono di u=
tilizzare servizi che usano Kerberos come sistema di autenticazione. I tick=
et sono archiviati in uno speciale database chiamato cache delle credenzial=
i. Per le sessioni di login, la cache delle credenziali =E8 generalmente me=
morizzata in un file in /tmp. La cache delle credenziali dovrebbe essere di=
strutta all'uscita (log out) dal comando kdestroy(1). E' importante che la =
cache delle credenziali sia mantenuta sicura! Se non venisse fatto qualcun =
altro potrebbe utilizzare le vostre credenziali per guadagnare l'accesso ai=
servizi che altrimenti potrebbe non avere.
Le credenziali sono gestite centralmente dal Key Distribution Center (c=
entro di distribuzione delle chiavi), o KDC. Un utente si autentica con il =
KDC fornendo una password quando acquisisce un TGT. I servizi si autentican=
o con il KDC utilizzando un meccanismo simile, sebbene la "password" del se=
rvizio provenga da una tabella di chiavi, o "keytab", memorizzata nell'host.
Notare che Kerberos richiede che tutti gli hosts in un realm abbiano l'=
orario sincronizzato. Il miglior modo per ottenere questo =E8 utilizzare NT=
P sulla propria rete.
La seguente =E8 una descrizione passo-passo di come configurare la prop=
ria rete per utilizzare Kerberos.
1. Selezionare un sistema che diventi il KDC di Kerberos. Questo sis=
tema deve essere sicuro: se il KDC viene compromesso, tutti i principals so=
no compromessi. Per il nostro esempio, daremo questo compito a mach1.foo.co=
m.
Il sistema KDC avr=E0 anche il ruolo di server di amministrazione=
di Kerberos ed il server di cambio delle password.
Il modo pi=F9 facile di fornire informazioni su KDC =E8 attravers=
o i [???? DNS SRV records]. Se volete fare in tal modo, queste sono le voci=
richieste per il nostro realm d'esempio FOO.COM:
_kerberos._udp IN SRV 01 00 88 mach1.foo.com.
_kerberos._tcp IN SRV 01 00 88 mach1.foo.com.
_kpasswd._udp IN SRV 01 00 464 mach1.foo.com.
_kerberos-adm._tcp IN SRV 01 00 749 mach1.foo.com.
_kerberos IN TXT FOO.COM
=20
Per capire il formato del record SRV, guardare l'RFC 2782. Notare=
che si possono configurare queste informazioni manualmente su ciascun host=
nel realm, se non si desidera usare il metodo DNS.
2. Configurare il file /etc/krb5.conf su ciascun sistema nel realm. =
Vorrete specificare il realm di default in questo file. NOTA: In alcune imp=
lementazioni di Kerberos, non risulta necessario fare questo (Kerberos pu=
=F2 trovarle cercando il record TXT "_kerberos" nel DNS), ma Kerberos di Ne=
tBSD =E8 disabilitato fino a quando non esiste il file /etc/krb5.conf, cos=
=EC potreste anche configurarlo li [???? disabled unless the /etc/krb5.conf=
file exists, so you might as well configure it there]
# cat > /etc/krb5.conf
[libdefaults]
default_realm =3D FOO.COM
^D
#
=20
Se non state usando il record SRV del DNS per configurare il real=
m, dovete anche elencare i server KDC, kadmin e kpasswd nel file /etc/krb5.=
conf, nel modo seguente:
# cat >> /etc/krb5.conf
[realms]
FOO.COM =3D {
kdc =3D mach1.foo.com
admin_server =3D mach1.foo.com
# optional, defaults to admin_server
kpasswd_server =3D mach1.foo.com
}
^D
#
=20
Notare che se si porta un host mobile in un altro realm al quale =
esso partecipa, il record TXT _kerberos dal DNS si sovrapporr=E0 al realm d=
i default nel file /etc/krb5.conf.
3. Assicurarsi che esista la directory /var/heimdal nel sistema KDC.=
Dovrebbe avere come owner root:wheel, e il mode dovrebbe essere 0755.
mach1# ls -ld /var/heimdal
1 drwxr-xr-x 2 root wheel 512 Nov 30 15:21 /var/heimdal/
mach1#
=20
4. Creare la master key (chiave principale) che cifrer=E0 le chiavi =
principal memorizzate nel database KDC.
mach1# kstash
Master key:
Verifying password - Master key:
mach1#
=20
5. Creare il database di KDC usando kadmin(8). Si deve usare l'opzio=
ne "local database" per fare questo.
mach1# kadmin -l
kadmin> init FOO.COM
Realm max ticket life [unlimited]:
Realm max renewable ticket life [unlimited]:
kadmin>
=20
6. Creare un principal per il sistema su cui sta girando KDC.
kadmin> add --random-key host/mach1.foo.com
Max ticket life [1 day]:
Max renewable life [1 week]:
Principal expiration time [never]:
Password expiration time [never]:
Attributes []:
kadmin>
=20
Ora che il principal =E8 stato creato, si dovrebbe estrarre la su=
a chiave nel sistema di chiavi keytab del sistema KDC.
kadmin> ext -k /etc/krb5.keytab host/mach1.foo.com
kadmin>
=20
Si possono elencare le chiavi del keytab utilizzando il comando k=
tutil(8):
mach1# ktutil list
Vno Type Principal
1 des-cbc-crc host/mach1.foo.com
1 des-cbc-md4 host/mach1.foo.com
1 des-cbc-md5 host/mach1.foo.com
1 des3-cbc-sha1 host/mach1.foo.com
=20
7. Creare i principals per gli utenti che si desidera siano autentic=
ati con Kerberos.
kadmin> add joe
Max ticket life [1 day]:
Max renewable life [1 week]:
Principal expiration time [never]:
Attributes []:
joe@FOO.COM's Password:
Verifying password - joe@FOO.COM's Password:
kadmin>
=20
8. Configurare il KDC per partire all'avvio
mach1# echo "kdc=3DYES" >> /etc/rc.conf
mach1# /etc/rc.d/kdc start
Starting kdc.
mach1#
=20
9. Configurare inetd per avviare i server kadmin (amministrazione di=
Kerberos administration) e kpasswd (Cambio delle password di Kerberos). Si=
faccia questo assicurandosi che esistano le seguenti linee nel file /etc/i=
netd.conf nel sistema KDC:
kerberos-adm stream tcp nowait root /usr/libexec/kadmind kadmind
kerberos-adm stream tcp6 nowait root /usr/libexec/kadmind kadmind
kpasswd dgram udp wait root /usr/libexec/kpasswdd kpasswdd
kpasswd dgram udp6 wait root /usr/libexec/kpasswdd kpasswdd
=20
Far si che inetd(8) ricarichi la propria configurazione.
mach1# /etc/rc.d/inetd reload
Reloading inetd config files.
mach1#
=20
10. Testare il proprio KDC ottenendo un TGT e provando a fare un logi=
n nel sistema KDC da se' stesso, usando Kerberos.
mach1:joe$ kinit
joe@FOO.COM's Password:
joe$ klist
Credentials cache: FILE:/tmp/krb5cc_100
Principal: joe@FOO.COM
Issued Expires Principal
Nov 30 14:10:16 Dec 1 00:10:16 krbtgt/FOO.COM@FOO.COM
Nov 30 14:10:16 Dec 1 00:10:16 krbtgt/FOO.COM@FOO.COM
mach1:joe$ telnet -ax mach1.foo.com
Trying 10.0.0.1
Connected to mach1.foo.com.
Escape character is '^]'.
[ Trying KERBEROS5 ... ]
[ Kerberos V5 accepts you as ``joe@FOO.COM'' ]
Last login: Thu Nov 30 14:08:33 2000 from mach1
...
mach1:joe$ exit
Connection closed by foreign host.
mach1:joe$
=20
11. Ora che si =E8 verificato che le cose stanno funzionando, aggiung=
ere i principals per gli altri hosts che si desidera partecipino al realm K=
erberos.
mach1# kadmin -l
kadmin> add --random-key host/mach2.foo.com
Max ticket life [1 day]:
Max renewable life [1 week]:
Principal expiration time [never]:
Password expiration time [never]:
Attributes []:
kadmin>
=20
12. Ora sarebbe una buona idea aggiungere i principals "admin" per il=
/gli amministratori di sistema. Potreste "ingannare" il sistema, ed aggiung=
ere solo un principal "root/admin" se pianificate di fare tutta l'attivit=
=E0 di amministrazione di Kerberos come root.
mach1# kadmin -l
kadmin> add root/admin
Max ticket life [1 day]:
Max renewable life [1 week]:
Principal expiration time [never]:
Password expiration time [never]:
Attributes []:
root/admin@FOO.COM's Password:
Verifying password - root/admin@FOO.COM's Password:
kadmin>
=20
Assicuratevi di aggiungere il principal all'ACL kadmin:
mach1# echo "root/admin@FOO.COM all" >> /var/heimdal/kadmind.acl
mach1#
=20
13. Ora che avete un principal "admin", potete facilmente estrarre i =
principals host/... nella tabella keytabs sulle macchine cui corrispondono.
mach2# kadmin
kadmin> ext -k /etc/krb5.keytab host/mach2.foo.com
root/admin@FOO.COM's Password:
kadmin>
=20
Fate un test su questo provando a loggarvi nella macchina usando =
Kerberos.
mach1:joe$ telnet -ax mach2.foo.com
Trying 10.0.0.2
Connected to mach2.foo.com.
Escape character is '^]'.
[ Trying KERBEROS5 ... ]
[ Kerberos V5 accepts you as ``joe@FOO.COM'' ]
Last login: Thu Nov 30 16:26:51 2000 from mach1
...
mach2:joe$ exit
Connection closed by foreign host.
mach1:joe$
=20
Congratulazioni! Ora avete un realm Kerberos funzionante!
Autenticazione per Windows 2000
Per coloro che usano Windows 2000, =E8 anche possibile usare il proprio=
KDC NetBSD come un server di autenticazione per gli hosts Windows 2000. Wi=
ndows 2000 usa Kerberos per autenticare i login del dominio Windows. NetBSD=
non pu=F2 agire come un Controllore di Dominio Windows 2000 ma, usando Sam=
ba, pu=F2 agire come un server per il gruppo di lavoro (Workgroup server).
Per lo scopo di queste istruzioni, si assume che abbiate gi=E0 configur=
ato Samba sul vostro server, e configurato gli hosts Windows 2000 per utili=
zzarlo.
1. Assicurarsi che i "Supplemental Tools" siano installati sul siste=
ma Windows 2000. Essi possono essere trovati sul supporto di distribuzione =
di Windows 2000.
2. Sul KDC, aggiungere un principal host per l'host Windows 2000:
mach1# kadmin -l
kadmin> add host/win2k.foo.com
Max ticket life [1 day]:
Max renewable life [1 week]:
Principal expiration time [never]:
Password expiration time [never]:
Attributes []:
host/win2k.foo.com@FOO.COM's Password:=20
Verifying password - host/win2k.foo.com@FOO.COM's Password:=20
kadmin>=20
=20
RICORDATEVI LA PASSWORD CHE INSERITE! Dovete digitare questa pass=
word nuovamente in seguito nell'host Windows 2000.
3. Sull'host Windows 2000 si configurino il realm, KDC, e le voci de=
lle password della macchina usando il comando ksetup:
C:> ksetup /setdomain FOO.COM
C:> ksetup /addkdc FOO.COM mach1.foo.com
C:> ksetup /setmachpassword password
=20
4. Riavviare il sistema Windows 2000.
5. Mappare gli utenti locali del sistema Windows 2000 sui principals=
Kerberos usando il comando ksetup:
C:> ksetup /mapuser * *
=20
Si possono anche mappare utenti specifici a principals specifici =
in questo modo:
C:> ksetup /mapuser user@FOO.COM localuser
=20
6. Riavviare il sistema Windows 2000.
Attraverso questi passi, si sar=E0 in grado di selezionare di eseguire =
il log in in un realm Kerberos quando si esegue il log in nel sistema Windo=
ws 2000. Notate che per mantenere trasparente il processo all'utente, la pa=
ssword Samba dovrebbe essere tenuta sincronizzata con la password dell'uten=
te Kerberos.
Per maggiori informazioni su Kerberos, fare riferimento ai seguenti lin=
ks:
* MIT Kerberos
* KTH Kerberos
* Kerberos FAQ
* Meta information (Links)=20
Problemi di rete
Impossibile eseguire ping verso altri host di rete (Unable to ping other ho=
stnames)
Se si pu=F2 eseguire ping(8) verso un'altra macchina attraverso il suo =
indirizzo IP ("ping -n W.X.Y.Z"), ma non attraverso il suo hostname, probab=
ilmente c'=E8 un problema con il file resolv.conf(5). Controllare se i nomi=
dei server siano impostati correttamente e rispondano.
La connessione sembra avere un ritardo di 30 secondi (Connections seem to h=
ave a 30 second delay)
Questo =E8 usualmente uno dei seguenti:
1. Il file resolv.conf(5) =E8 scorretto e provoca dei timeout (tempo=
esaurito) nelle ricerche di nameserver (server dei nomi) che non rispondon=
o,
2. Server di posta remoti che tentano di collegarsi indietro verso i=
l proprio [???? hosts identd(8)] locale mentre ipf(8) =E8 stato configurato=
per far cadere i pacchetti verso la porta tcp 113 senza inviare alcuna ris=
posta.
--Multipart=_Sat__5_Feb_2005_23_35_33_+0100_K3jsUxgAAzyLYJkW--