On Sat, Apr 07, 2001 at 08:00:36PM +0200, Christian Wippermann wrote:
Ich muss SuSE 7.1 incl. YP/NIS (um User zu athentifizieren) verwenden und somit rpc.statd (111) laufen lassen.
Den rpc.statd bracht man doch nur, wenn man NFS machen will, micht um Nutzerinfos per yp durch die Gegend zu schicken.
1.) Ist der rpc.statd in 7.1 bis dato dicht? (oder hat der noch das böse Loch?) Muss der Gute nach aussen sichtbar sein, oder langt das loopback? (Ich will ja selbst keine RPCs anbieten, sondern nur von einem anderen nutzen) Wie zum Teufel setze ich Filterregeln, wenn ich nicht weiss, welche Ports (inl. priviligierter) auf meiner bzw. auf der Gegenseite gewählt werden?
2.) Hat zudem jemand ein Vorschlag wie man eine zentrale Nutzerverwaltung umstellen könnte? Von NIS auf... (bitte nicht NIS+) Wir ham' ja nu X.509 Zertifikate ... vielleicht was verschlüsseltes? Selbiges beim File-sharing? Von NFS auf ... was sichereres? Kein Portmap mehr!!!
Beides sicher nicht so einfach. Hast du mal probiert auf IP-Eben zu verschlüsseln? Bei den heute üblichen schnellen CPUs könnte das machbar sein und du erschlägst beide Punkte damit.
Zum authentifizieren könntest du Kerberos nehmen. (allerdings sitzt du daran bestimmt länger als an nis+). Fürs Verteilen von Feilen fällt mir nix besseres als NFS ein. In NFSv3 gibts auch Authetikation per kerberos oder DH. Keine Ahnung, ob es auf Linux Implemtierungen davon gibt. Ob man mit NFSv3 die Daten selbst auch verschl. über die Leitung bekommen kann habe ich nicht im Kopf. Den portmapper brauchst du damit natürlich weiterhin nur ist der portmapper an sich mMn nichts böses.
Reinhard