KAPITEL 8 Konfigurieren von Internet- und Intranetdiensten

Dieses Kapitel beschreibt die Einrichtung einer Reihe von Internetdiensten in Ihrem OpenLinux eServer-System. Die Installation liefert eine Standardkonfiguration für die meisten dieser Dienste. Dieses Kapitel konzentriert sich auf die Anpassung der Konfiguration auf Ihre speziellen Bedürfnisse. Sie werden folgende Dienste konfigurieren:

Konfigurieren eines Mailservers

Wie bei den anderen, in Open Linux eServer enthaltenen Internetdiensten, wird auch ein Standard-Mailserver, der Sendmail Mail Transfer Agent, oder MTA, , installiert und vorkonfiguriert. Die Konfigurationssyntax von Sendmail ist äußerst kompliziert, jedoch wird durch die Webmin-Oberfläche zur Konfiguration von Sendmail der Großteil dieser Komplexität verborgen. Dieser Abschnitt beschreibt die Konfiguration von sendmail für eine häufig auftretende Situation: Ein einzelnes System verarbeitet die gesamte ein- und ausgehende E-Mail für ein gesamtes Netzwerk.

Klicken Sie zunächst auf das Symbol Sendmail Configuration (siehe Abbildung See Das Symbol Sendmail Configuration.), wodurch der Hauptbildschirm von Sendmail Configuration angezeigt wird (siehe Abbildung See Der Hauptbildschirm Sendmail Configuration.).

Das Symbol Sendmail Configuration

Der Hauptbildschirm Sendmail Configuration

Die Hauptseite zeigt eine Anzahl von Symbolen, mit denen sich unterschiedliche Funktionen von Sendmail konfigurieren lassen. Wenn auch eine ausführliche Beschreibung aller Optionen über den Rahmen dieses Handbuchs hinausgeht, werden dennoch die wichtigsten Funktionen erläutert. Zusätzliche Informationen und Referenzquellen erhalten Sie im Abschnitt "Zusätzliche Ressourcen" am Ende dieses Kapitels.

HINWEIS: Die Standard-Sendmail-Konfiguration von OpenLinux eServer unterstützt nicht Address Mapping, Outgoing Addresses, Domain Mapping, Outgoing Domains oder Spam Control. Wenn Sie versuchen, diese Webmin-Bildschirme zu verwenden, erhalten Sie eine Meldung, dass die Sendmail-Konfigurationsdatei (/etc/sendmail.cf) nicht die erforderlichen Direktiven enthält.

Mail Aliases

Der Bildschirm Mail Aliases ermöglicht die Umleitung von E-Mail an eine andere Adresse. Die Zieladresse kann einen anderer Benutzer, eine Adresse in einem anderen System, eine Datei oder sogar ein Programm sein. Beachten Sie jedoch, dass Aliase für alle Domänen gelten, für die Ihr System Mail empfängt. Angenommen, Sie nehmen E-Mail für die Domänen bugcorp.com und bigbiz entgegen. Ein Alias für die Adresse hostmeister würde folglich an die Adressen hostmeister@bugcorp.com und hostmeister@bigbiz.com umgeleitet werden.

Der Bildschirm Mail Aliases

Abbildung See Der Bildschirm Mail Aliases. zeigt den Konfigurationsbildschirm Mail Aliases. Wenn Sie einen vorhandenen Alias ändern oder löschen möchten, klicken Sie auf seine entsprechende Adresse. Um einen neuen Alias zu erstellen, füllen Sie das Formular am oberen Bildschirmrand aus, wählen Sie in der Dropdown-Liste den Aliastyp aus (in der Regel eine E-Mail-Adresse), und klicken Sie auf die Schaltfläche Create.

Local Domains

Der Bildschirm Local Domains ermöglicht das Hinzufügen der Namen aller Hosts, für die Sie E-Mail entgegenehmen. Die Liste der Hosts wird in der Datei /etc/sendmail.cw gespeichert. Fügen Sie einfach die Domäne zur Liste hinzu, und klicken Sie auf die Schaltfläche Save. Voraussetzung dafür ist, dass ein DNS-Eintrag für die Domäne existiert, und Ihr OpenLinux eServer-System als Mailexchanger für die angegebene Domäne aufgelistet ist.

Domain Masquerading

Abbildung See Der Bildschirm Domain Masquerading. zeigt den Bildschirm Domain Masquerading.

Der Bildschirm Domain Masquerading

Mit Hilfe von Domain-Masquerading können Sie die Absenderadresse (From:) von E-Mail, die aus Ihrem System stammt oder dieses durchläuft, dahingehend ändern, dass diese scheinbar von der angegebenen Domäne stammt. Die Verwendung dieser Funktion ist auch denkbar, wenn E-Mail von Ihrem Domänennamen anstelle von Ihrem System-Rechnernamen stammen soll. Beispiel: Falls Ihr Mailserver mailbeast.bigisp.com heisst, hat die gesamte E-Mail die Absenderadresse benutzer@mailbeast.bigisp.com. Damit als Absenderadresse nur bigisp.com erscheint, geben Sie bigisp.com in das Eingabefeld "Masquerade as domain" ein, und klicken Sie auf die Schaltfläche Save.

Falls Ihr System als Host für mehrere Domänen dient, die maskiert werden müssen, geben Sie ihre Namen (eine pro Zeile) in das Listenfeld "Domains to be masqueraded" ein, und klicken Sie auf die Schaltfläche Save.

Trusted Users

Bei vertrauenswürdigen Benutzern handelt es sich um lokale Benutzer, für die Sendmail die Verwendung einer anderen Absenderadresse (From:) als der regulären zulässt (siehe Abbildung See Der Konfigurationsbildschirm Trusted Users.). Gehen Sie extrem vorsichtig mit dieser Option um, da diese E-Mail-Benutzern die Fälschung ihrer E-Mail-Adressen ermöglicht! Vertrauenswürdige Benutzer werden jeweils auf einer eigenen Zeile aufgelistet. Wenn Sie Änderungen, neue Einträge oder Löschungen speichern möchten, klicken Sie auf Save.

Der Konfigurationsbildschirm Trusted Users

Domain Routing

Das Domänenrouting ermöglicht die Angabe einer speziellen Weiterleitungsmethode für E-Mail, die an bestimmte Domains oder Hosts gerichtet ist. Eine korrekte Funktionsweise setzt voraus, dass Ihr System der Mailexchanger für diese Systeme ist. Um diese Funktion einzurichten, geben Sie den Host- oder Domänenenamen für den weitergeleiteten Host oder die Domäne ein, wählen Sie die korrekte Übermittlungsmethode im Dropdown-Listenfeld Delivery aus, und fügen Sie den Namen des Zielsystems ein, an das die E-Mail gesendet werden soll.

In Abbildung See Beispiel-Domänenrouting für bugcorp.com., wird an bugcorp.com gerichtete E-Mail, unter Verwendung des Standard-SMTP-Protokolls, an mailbeast.bigisp.com weitergeleitet.

Beispiel-Domänenrouting für bugcorp.com

Relay Domains

Falls Sie das Domänenrouting konfiguriert haben, müssen Sie für diese Domänen auch die Weitervermittlung freigeben. Hierbei handelt es sich um eine Kontrollmaßnahme, die Versender von unaufgeforderten Werbemails davon abhält, Ihr System als offene E-Mail-Vermittlungsstelle zu verwenden. Darüber hinaus weist sendmail alle eingehenden Mailnachrichten ab, die nicht für lokale Benutzer und nicht für eine aufgelistete Domäne bestimmt sind, wodurch Ihr System weiter gegen Versender von unaufgeforderter Werbemails geschützt ist.

Um die Weitervermittlung z.B. an eine Domäne mit der Bezeichnung bugcorp.com zuzulassen, geben Sie ihren Namen das Listenfeld ein, und klicken Sie auf die Schaltfläche Save (siehe Abbildung See Der Konfigurationsbildschirm Relay Domain.).

Der Konfigurationsbildschirm Relay Domain

Mail Queue

Der Bildschirm Mail Queue zeigt sowohl eingehende als auch ausgehende E-Mail, die Sendmail in die Warteschlange eingereiht hat. Über diesen Bildschirm können Sie die E-Mail-Warteschlange bearbeiten, unzustellbare Nachrichten löschen und andere Sendestatusinformationen abfragen. Es dient als exzellentes Tool, wenn Sie versuchen, eine fehlerhafte Sendmail-Konfiguration zu debuggen.

Einrichten eines Webservers

Bei der Installation von OpenLinux eServer wurde der Apache Webserver automatisch eingerichtet und installiert. Verwenden Sie den folgenden Befehl, um seine Installation zu überprüfen.

$ rpm -q apache

Apache ist installiert, wenn in etwa folgende Ausgabe angezeigt wird.

apache-1.3.4-4

Wenn Sie überprüfen möchten, dass der Server aktiv ist, führen Sie den folgenden Befehl aus:

$ ps aux | grep httpd

Falls der Server aktiv ist, werden mehrere Zeilen Ausgabe angezeigt, die in etwa der folgenden entsprechen:

root 648 0.0 0.1 2284 236 ? S Oct12 0:00 httpd -f /etc/httpd

nobody 652 0.0 0.1 2320 236 ? S Oct12 0:00 httpd -f /etc/httpd

nobody 653 0.0 0.1 2324 232 ? S Oct12 0:00 httpd -f /etc/httpd

nobody 654 0.0 0.1 2324 232 ? S Oct12 0:00 httpd -f /etc/httpd

nobody 655 0.0 0.1 2324 232 ? S Oct12 0:00 httpd -f /etc/httpd

Bei dem httpd-Programm handelt es sich um den Webserver-Dämon. Falls der Server nicht aktiv ist, melden Sie sich als Rootbenutzer an, und verwenden Sie den folgenden Befehl, um ihn zu starten. Laden Sie anschließend den vorgehenden ps-Befehl, um zu überprüfen, ob dieser gestartet wurde.

# /etc/rc.d/init.d/httpd start

Apache-Konfiguration unter Verwendung von Webmin

Sie starten das Apache-Konfigurationsmodell von Webmin, indem Sie auf das Symbol Apache Webserver klicken (siehe Abbildung See Das Symbol Apache Webserver.). Abbildung See Der Konfigurationsbildschirm Apache Webserver. zeigt den Hauptbildschirm für die Apache Konfiguration

Das Symbol Apache Webserver

Der Konfigurationsbildschirm Apache Webserver

Der obere Teil des Bildschirms ermöglicht Ihnen die Steuerung vieler Konfigurationsaspekte von Apache. Der untere Teil des Bildschirms betrifft die Konfiguration virtueller Server, ein Thema, das nicht im Rahmen dieses Handbuches behandelt werden kann.

Das Symbol Process and Limits ermöglicht die Steuerung der Systemressourcen, die Apache in Anspruch nimmt. Für die meisten Fälle sollte die Standardeinstellung ausreichend sein.

Einrichten eines FTP-Servers

Die Standardkonfiguration des FTP-Servers bietet ein vernünftiges Maß an Sicherheit. Wir empfehlen Ihnen deshalb dringend, die in diesem Abschnitt besprochenen Konfigurationsdateien zu untersuchen, und an Ihre Situation anzupassen. So entscheiden Sie sich z.B. dafür, keinen FTP-Zugriff von außerhalb Ihres Netzwerks, oder nur den Zugriff von bestimmten Domänen aus zuzulassen. Folgende Konfigurationsdateien sind für den FTP-Server relevant:

/etc/inetd.conf: Definiert die Art und Weise, wie das Paket TCP Wrapper FTP-Verbindungsanforderungen verarbeitet.
/etc/hosts.allow und /etc/hosts.deny: Legt fest, wer Zugriff auf den FTP-Server erhält.
/etc/ftpusers: Legt fest, welche regulären Benutzer Ihres OpenLinux eServer-System nicht zur Verwendung von FTP berechtigt sind.
/etc/ftpaccess: Legt die Zugriffsregeln für alle Konten fest, einschließlich den anonymous Benutzer.
/var/log/xferlog: Protokolliert alle Dateiübertragungen.

Das Paket TCP Wrapper wird ausführlicher in Kapitel 11 besprochen, weshalb hier nicht darauf eingegangen wird. Der Zugriff auf den FTP-Server in Ihren Systemen wird mit einer der folgenden Methoden kontrolliert:

Ist ein Benutzer-Account unter /etc/ftpusers aufgeführt, wird diesem Account die Zugriffsberechtigung auf den FTP-Server verweigert.
Wird ein Benutzer-Account aus /etc/passwd entfernt oder darin herauskommentiert, wird diesem Account die Zugriffsberechtigung auf den FTP-Server verweigert.
Ist ein Benutzer nicht in /etc/hosts.allow, jedoch in /etc/hosts.deny aufgeführt, wird diesem Account die Zugriffsberechtigung auf den FTP-Server verweigert.
Falls ein Eintrag in der Datei /etc/ftpaccess, die den Betrieb des FTP-Servers konfiguriert (ftpd), diese Klasse von Benutzer entfernt, wird der Zugriff auf den FTP-Server verweigert.

Zur Aktivierung von anonymous FTP, muss der FTP-Benutzer-Account in der Datei /etc/passwd und nicht in der Datei /etc/ftpusers vorhanden sein. Darüber hinaus muss der in.ftpd-Dienst in /etc/inetd.conf aktiviert sein. In der Standardinstallation von OpenLinux eServer ist anonymous FTP aktiviert. Der Eintrag sieht wie folgt aus:

ftp stream tcp nowait root /usr/sbin/tcpd in.ftpd -l -a

Die Option -l bewirkt eine Protokollierung von FTP-Sitzungen mit Hilfe der Systemprotokollierungsfunktion; -a ermöglicht die Verwendung der Datei /etc/ftpaccess, um die Funktionsweise von ftpd zu steuern.

Jeder der Einträge in /etc/ftpaccess steuert, welche Benutzer Zugriff auf den FTP-Server haben und zu was diese nach einer Verbindung berechtigt sind. Wenn Sie den Verdacht haben, dass Angriffe auf Ihr System über FTP erfolgen, können Sie eine oder beide der folgenden Zeilen zur Datei /etc/ftpaccess hinzufügen, um weitere Informationen zu erhalten.

log commands real,anonymous inbound,outbound

log security real,anonymous

Die erste Zeile zeichnet alle Befehle im Systemprotokoll auf, die während einer FTP-Sitzung von anonymous oder tatsächlichen Benutzern ausgeführt wurden. Die zweite protokolliert Sicherheitsverletzungen durch diese Benutzer. Alternativ dazu könnten Sie einfach FTP deaktivieren, indem Sie den entsprechenden Eintrag in der Datei /etc/inetd.conf herauskommentieren, und den inetd-Dämon neu starten.

Einrichten eines Domain Name Servers

Die Einrichtung eines Domain Name Servers, auch als DNS bekannt, wird hinsichtlich Komplexität und frustrationsbedingtem Haarausfall nur noch von Sendmail übertroffen. Aufgrund seiner Komplexität wird DNS in diesem Abschnitt nicht ausführlich beschrieben. Stattdessen wird gezeigt, wie Sie zwei geläufige DNS-Schemas konfigurieren, wobei die erforderlichen Begriffe und Konzepte bei Bedarf erklärt werden.

Klicken Sie auf das Symbol BIND 8 DNS Server, um mit der Konfiguration des Namenservers zu beginnen. Da der Namenserver noch nicht konfiguriert wurde, wird zunächst der Bildschirm in Abbildung See Anfangsbildschirm für die DNS-Konfiguration. angezeigt. An dieser Stelle müssen Sie entscheiden, welche Art von Namenserver Sie konfigurieren möchten.

Anfangsbildschirm für die DNS-Konfiguration

Falls Ihr Server nicht mit dem Internet verbunden wird, wählen Sie die erste Optionsschaltfläche aus, "Setup nameserver for internal non-internet use only." Die zweiten und dritten Optionen, die für einen Namenserver gelten, der tatsächlich mit dem Internet verbunden wird, sind im wesentlichen identisch, mit der Ausnahme, dass die zweite nur funktioniert, wenn bereits eine Internetverbindung besteht. Wählen Sie die entsprechende Option aus, und klicken Sie auf die Schaltfläche am unteren Bildschirmrand, um eine Basiskonfigurationsdatei zu erstellen. Starten Sie anschließend den Namenserver.

Der nächste Schritt besteht in der Erstellung einer Masterzonendatei für Forward- und Reverse-DNS-Lookups. Diese Datei konfiguriert den Namenserver entsprechend, um DNS-Lookups bezüglich Ihrer Domäne beantworten zu können. Forward Lookups vergleichen Namen mit IP-Adressen, während Reverse Lookups umgekehrt IP-Adressen mit Namen vergleichen. Beide werden für die korrekte Konfiguration des Namenservers vorausgesetzt. Klicken Sie auf die Verknüpfung "Create a new master zone", um zu beginnen. Abbildung See Erstellen einer neuen Masterzonendatei. zeigt den anschließend angezeigten Bildschirm.

Erstellen einer neuen Masterzonendatei

Geben Sie im Feld Domain name/Network den Namen Ihrer Domäne ein. Das Feld "Records file" ermöglicht die Angabe der Datei, die eine Beschreibung Ihrer Domäne enthält. Verwenden Sie den Standarddateinamen, indem Sie die Optionsschaltfläche "Automatic" auswählen. Im Feld "Master Server" geben Sie den Namen oder die IP-Adresse des Systems an, auf dem der Namenserver ausgeführt wird. Webmin geht standardmäßig davon aus, dass es sich hierbei um den lokalen Computer handelt.

Geben Sie im Feld "Owner's email address" die E-mail-Adresse der Person ein, die E-Mail bezüglich dieses Namenservers erhalten soll. Wenn Sie keinen Grund zum Ändern der anderen Werte haben, klicken Sie auf die Schaltfläche "Create Zone". Sie werden bemerken, dass Webmin ein Symbol für die neue Zone hinzugefügt hat. Klicken Sie zur Aktivierung der neuen Zone auf die Schaltfläche "Apply Changes", und starten Sie den Namenserver erneut.

Beachten Sie, dass Sie sowohl Forward- als auch Reverse-Lookups konfiguriert haben müssen. Erstellen Sie also eine weitere Masterzonendatei, aber wählen Sie dieses Mal die Optionsschaltfläche "Reverse (Addresses to Names)" aus. Verwenden Sie dieselben Werte für die anderen Felder, wie bei der Erstellung der Forward-Zone, klicken Sie auf die Schaltfläche "Create", und anschließend auf die Schaltfläche "Apply Changes". Voila! Sie verfügen jetzt über einen einfachen funktionierenden DNS-Server!

Nach der Konfiguration des Basisservers, können Sie nach Bedarf noch die Feinabstimmung vornehmen. So müssen Sie z.B. für jeden Host im Netzwerk, dem eine IP-Adresse zugeordnet ist, einen Adressdatensatz anlegen. Darüber hinaus ist es erforderlich, einen Namenserverdatensatz für den Backupnamenserver (falls vorhanden, empfohlen) zu erstellen sowie einen Mailserverdatensatz, damit die an Ihre Domäne gesendete Mail tatsächlich ankommt.

Die Erstellung dieser Datensätze ist sehr einfach. Klicken Sie dazu auf das Symbol der soeben erstellten Master-Forward-Zonendatei. Der anschließend angezeigte Bildschirm sollte in etwa Abbildung See Eine Beispiel-Masterzonendatei.. entsprechen. Der Bildschirm enthält Symbole für die unterschiedlichen Arten von Ressourcendatensätzen, die DNS unterstützt. Das folgende Beispiel zeigt, wie Sie einen Adressendatensatz hinzufügen. Der Vorgang ist für alle Typen im wesentlichen gleich.

Eine Beispiel-Masterzonendatei.

Wenn Sie einen Adressdatensatz hinzufügen möchten, der einen Rechnernamen mit einer IP-Adresse verknüpft, klicken Sie auf das Symbol "Address", und füllen Sie das nachfolgende Formular aus. Das Feld "Name" enthält den vollständigen Domänennamen des hinzuzufügenden Hosts, z.B. ant.bugcorp.com, und "Address" enthält die IP-Adresse, die Sie diesem Host zuordnen, z.B. 192.168.1.13. Die Felder "Time-To-Live" und "Update reverse?" sollten nicht verändert werden. Die Aktualisierung der Reverse-Zonendatei ist besonders wichtig, damit die neue IP-Adresse korrekt in einen vordefinierten Rechnernamen aufgelöst werden kann. Klicken Sie nach Durchführung der Änderungen auf die Schaltfläche Create, und der neue Datensatz wird unter dem Dateneingabeformular angezeigt. Wenn Sie mit dem Hinzufügen von Datensätzen fertig sind, klicken Sie auf die Verknüpfung "Return to record types" und anschließend auf die Schaltfläche "Save". Um die Datensätze zu aktivieren, klicken Sie abschließend auf die Schaltfläche "Apply Changes". Ein Beispiel eines neuen Adressendatensatzes finden Sie in Abbildung See Beispiel-Adressdatensatz..

Beispiel-Adressdatensatz

Konfigurieren eines PPP-Einwahlservers

Stellen Sie zunächst sicher, dass Sie das Paket mgetty installiert haben.

# rpm -q mgetty

Falls die Ausgabe package mgetty is not installed lautet, müssen Sie es installieren, bevor Sie forfahren. Bearbeiten Sie nach der Installation des Pakets die Datei /etc/mgetty+sendfax/mgetty.config. Sie müssen einen Abschnitt für den Port hinzufügen (oder einen vorhandenen bearbeiten), den Sie für Einwahlzwecke verwenden. Der Abschnitt ist in etwa dem folgenden Listing ähnlich:

port ttyS1

init-chat "" AT&F&C1&D2

speed 115200

Dieser Abschnitt weist mgetty an, die Initialisierungszeichenfolge AT&F&C1&D2 an das Modem an Port ttyS1 bei jeder Initialisierung der Leitung zu senden und stellt die Anschlussgeschwindigkeit auf 115000 bps ein, die korrekte Geschwindigkeit für ein 56K-Modem.

Der nächste Schritt ist die Aktivierung von AutoPPP. Bearbeiten Sie die Datei /etc/mgetty+sendfax/login.config, entfernen Sie das Kommentarzeichen für die AutoPPP-Zeile, und ändern Sie diese wie folgt:

/AutoPPP/ - @ /usr/sbin/ppd file options.server

Diese Änderungen weisen mgetty an, eingehende PPP-Verbindungen wie folgt zu bearbeiten:

Keine spezifische Benutzer-ID für den Anruf festlegen (-)
Den Benutzernamen des Anrufers bei allen who-Abfragen anzeigen (@)
Befehl /usr/sbin/pppd ausführen und PPP-Optionen aus der Datei /etc/ppp/options.server lesen.

Nun müssen Sie natürlich die Datei /etc/ppp/options.server erstellen, und die folgenden Zeilen einfügen:

modem

/dev/ttyS0 115200

crtscts

ms-dns <IP des bevorzugten DNS-Servers>

-detach

+pap

-chap

modem gibt dem PPP-Protokoll die Verwendung von Modem-Steuerungsleitungen vor, und crtscts gibt die Verwendung der Hardware-Datenflusskontrolle vor. Die zweite Zeile gibt das zu verwendende Gerät vor, /dev/ttyS0, sowie die Anschlussgeschwindigkeit, 115200 bps. Falls es sich bei dem PPP-Prozess um einen Server für Microsoft Windows-Clients handelt, ermöglicht der Eintrag ms-dns diesem, ein oder zwei Adressen den Clients zur Verfügung zu stellen. -detach stellt sicher, dass der aufgespaltene Prozess pppd im Hintergrund ausgeführt wird.

+pap zwingt PPP zur Verwendung der PAP-Authentifizierung (Password Authentication Protocol), während die login-Direktive angibt, dass der Name und das Kennwort des Anrufers dem Benutzernamen und dem Kennwort aus der Datei /etc/passwd entsprechen sollte. Fügen Sie zur Ermöglichung der PAP-Authentifizierung die Zeile * * "" * in die Datei /etc/ppp/pap-secrets ein.

Fügen Sie die folgende Zeile zur Datei /etc/inittab hinzu, um den mgetty-Prozess in dem Modem zu starten, das zur Einwahl verwendet wird:

S1:2345:respawn:/usr/sbin/mgetty ttyS1

Wenn Sie einen unterschiedlichen Anschluss verwenden, müssen Sie diese Zeile entsprechend anpassen. Stellen Sie weiterhin sicher, dass Sie die Kennung am Zeilenanfang ändern, S1. Sie sollte den letzten beiden Zeichen des Anschlusses entsprechen, den Sie zur Einwahl verwenden, also erfordert z.B. ttyS0 die Kennung S0. Außerdem sollten Sie alle anderen Zeilen deaktivieren, die einen mgetty- oder getty-Prozess auf diesem Anschluss auführen.

Als letzter Schritt werden diese Änderungen an initd weitergegeben. Mit dem Befehl

# init q

oder

# init Q

wird initd zum erneuten Einlesen der Datei /etc/inittab veranlasst. Die PPP-Einwahl ist jetzt aktiviert, wobei die PAP-Authentifizierung im Modem am Anschluss /dev/ttyS1 verwendet wird. Das PAP-Kennwort und der PAP-Name des Benutzers entspricht dem Benutzernamen und dem Kennwort in der Datei /etc/passwd.

Einrichten eines BOOTP/DHCP-Servers

DHCP ist vor allem in dynamischen, sich schnell ändernden Umgebungen nützlich. Wenn die an Ihr Netzwerk angeschlossenen Hosts ziemlich schnell wechseln, wenn sich die Netzwerkadressen bei einem Wechsel des Internetdienstanbieters ändern oder wenn Sie nur eine begrenzte Anzahl von IP-Adressen zur Verfügung haben, um eine große Anzahl von Hosts zu bedienen, die jeweils nur zeitlich begrenzt mit Ihrem Netzwerk verbunden sind, dann ist DHCP, das Dynamic Host Configuration Protocol, wahrscheinlich eine gute Lösung für Sie. Es ist wesentlich einfacher, ein paar Server zu ändern, als z.B. 150 Clientworkstations.

Einfache DHCP-Installation lassen sich problemlos konfigurieren, obwohl aufgrund der Flexibilität von DHCP auch komplexe Installationen möglich sind. Dieses Kapitel konzentriert sich nur auf eine kleine und einfache DHCP-Konfiguration.

Die Konfigurationsdatei des DHCP-Servers lautet /etc/dhcpd.conf. Sie besteht aus einem allgemeinen Abschnitt, der für das gesamte Netzwerk gilt und anderen Abschnitten, die für Subnetze, Sammlungen von Hosts (werden manchmal auch Gruppen bezeichnet) oder spezifische Hosts relevant sind. Die Syntax der Konfigurationsdatei erinnert entfernt an die Programmiersprache C, da geschweifte Klammern { und } zum Einsatz kommen, um Abschnitte der Datei zu gruppieren und Semikolons, ;, um Konfigurationsbefehle zu beenden. Stringdaten, wie z.B. ein vollständiger Domänenname, müssen in Anführungszeichen gesetzt werden.

Allgemeine Parameter

Das nachfolgende Listing ist ein Beipiel für einen allgemeinen Abschnitt einer DHCP-Konfigurationsdatei.

server-identifier queen.bugcorp.com;

option domain-name "bugcorp.com";

option domain-name-server "queen.bugcorp.com";

option subnet-mask 255.255.255.0;

option broadcast-address 192.168.10.255;

default-lease-time 7200;

max-lease-time 86400;

Die erste Zeile gibt den Namen des DHCP-Servers an, queen.bugcorp.com, der eine einzelne IP-Adresse auflösen muss. Die vier option-Zeilen erklären sich von selbst. Die Parameter default-lease-time und max-lease-time werden in Sekunden angegeben. default-lease-gibt die Standardleasedauer an, falls der Client keine bestimmte Leasedauer festlegt, während max-lease-time die maximale Leasedauer angibt, die überhaupt möglich.

Die subnet-Anweisung

Jeder DHCP-Server muss über eine subnet-Anweisung verfügen, um zu definieren, welches Subnetz er bedient und den Bereich der verleasten IP-Adressen festzulegen. Nehmen wir die folgende subnet-Anweisung:

subnet 192.168.10.0 netmask 255.255.255.0 {

range 192.168.10.1 192.168.10.50;

default-lease-time 28800;

max-lease-time 144000;

}

Diese subnet-Anweisung definiert das Subnetz, für das der Server verantwortlich ist. Die drei Zeilen innerhalb der geschweiften Klammen geben Optionen an, die für dieses bestimmte Subnetz gelten. Die range-Deklaration gibt an, dass der Server einen Pool von 50 IP-Adressen hat, die er in diesem Subnetz vergeben kann. Beachten Sie, dass die allgemeinen Optionen gelten, es sei denn, Sie werden explizit überschrieben, wie dies hier bei default-lease-time und max-lease-time der Fall ist.

Die shared-network-Anweisung

Angenommen, Sie verfügen über zwei Subnetze, die von demselben DHCP-Server bedient werden sollen. Dies kann über die shared-network-Anweisung erreicht werden.

shared-network INSECT-NET {

subnet 192.168.10.0 netmask 255.255.255.224 {

range 192.168.10.3 192.168.10.30;

option routers 192.168.10.2;

}

subnet 192.168.10.32 netmask 255.255.255.224 {

range 192.168.10.35 192.168.10.60;

option routers 192.168.10.3;

}

Dieser Abschnitt erstellt ein freigegebenes Netzwerk aus zwei Subnetzen, 192.168.10.0 und 192.168.10.32, die aus den, in den subnet-Anweisungen aufgelisteten IP-Adressenbereichen bestehen. Die Optionrouters stellt in diesem Fall zwei Ethernetschnittstellen in demselben Host dar, die die Verbindung zwischen den beiden Subnetzen ermöglichen.

Verwenden von BOOTP mit DHCP

Sie können DHCP auch für die Beantwortung von DHCP-Anfragen konfigurieren. Dazu benötigen Sie die MAC-Adresse der Netzwerkschnittstellenkarte, die die BOOTP-Anfrage durchführt. Sie müssen dabei einen Eintrag für alle Clients erstellen, die BOOTP verwenden.

group {

filename bootimage;

next-server queen.bugcorp.com;

host fire_ant {

hardware ethernet 00:C0:C3:11:90:23;

}

host red_ant {

hardware ethernet 00:D4:H9:49:2B:57;

}

Diese Listing verwendet die group-Anweisung zur Erstellung einer logischen Gruppe von BOOTP-Clients. Die group-Anweisung selbst hat keine Parameter, da sie ausschließlich vom DHCP-Server verwendet wird, um einen oder mehrere Parameter auf dieselbe Gruppe von Deklarationen anzuwenden. In diesem Fall lesen die beiden BOOTP-Hosts, fire_ant und red_ant ihr Bootimage aus der Datei, die mit der Deklaration filename als bootimage bezeichnet wird, und mounten ihr Root-Dateisystem vom Server aus, der in der Deklaration next-server als queen.bugcorp.com bezeichnet wird.

Die host-Anweisungen deklarieren zwei Hosts, fire_ant and red_ant, die ihre IP-Adresse über BOOTP abrufen. Diehardware-Anweisungen sind für das Booten der BOOTP-Clients erforderlich, da dadurch die Hardware (MAC)-Adressen an den Rechnernamen gebunden werden, der als Parameter zur host-Anweisung angegeben wird.