Tach, Günter Jauch hier! Herr Wippermann ist hier bei mir und muss wohl nun seinen EMail-Joker einsetzen. Hier ist die Frage:
Hallo Leuts',
Ich muss SuSE 7.1 incl. YP/NIS (um User zu athentifizieren) verwenden und somit rpc.statd (111) laufen lassen.
1.) Ist der rpc.statd in 7.1 bis dato dicht? (oder hat der noch das böse Loch?) Muss der Gute nach aussen sichtbar sein, oder langt das loopback? (Ich will ja selbst keine RPCs anbieten, sondern nur von einem anderen nutzen) Wie zum Teufel setze ich Filterregeln, wenn ich nicht weiss, welche Ports (inl. priviligierter) auf meiner bzw. auf der Gegenseite gewählt werden?
2.) Hat zudem jemand ein Vorschlag wie man eine zentrale Nutzerverwaltung umstellen könnte? Von NIS auf... (bitte nicht NIS+) Wir ham' ja nu X.509 Zertifikate ... vielleicht was verschlüsseltes? Selbiges beim File-sharing? Von NFS auf ... was sichereres? Kein Portmap mehr!!!
On Saturday 07 April 2001 20:00, Christian Wippermann wrote:
Ich muss SuSE 7.1 incl. YP/NIS (um User zu athentifizieren) verwenden und somit rpc.statd (111) laufen lassen.
1.) Ist der rpc.statd in 7.1 bis dato dicht? (oder hat der noch das böse Loch?) Muss der Gute nach aussen sichtbar sein, oder langt das loopback? (Ich will ja selbst keine RPCs anbieten, sondern nur von einem anderen nutzen) Wie zum Teufel setze ich Filterregeln, wenn ich nicht weiss, welche Ports (inl. priviligierter) auf meiner bzw. auf der Gegenseite gewählt werden?
Der Portmapper muss für alle Clients sichtbar sein, da die erst den Mapper nach dem Port des eigentlichen Dienstes fragen müssen.
2.) Hat zudem jemand ein Vorschlag wie man eine zentrale Nutzerverwaltung umstellen könnte? Von NIS auf... (bitte nicht NIS+) Wir ham' ja nu X.509 Zertifikate ... vielleicht was verschlüsseltes? Selbiges beim File-sharing? Von NFS auf ... was sichereres? Kein Portmap mehr!!!
Ich glaub' mit Coda geht sowas - wenn Du weißt wie sag mir Bescheid ;-)
Konrad
Am Samstag, 7. April 2001 20:00 schrieb Christian Wippermann:
Hat zudem jemand ein Vorschlag wie man eine zentrale Nutzerverwaltung umstellen könnte? Von NIS auf... (bitte nicht NIS+) Wir ham' ja nu X.509 Zertifikate ... vielleicht was verschlüsseltes? Selbiges beim File-sharing?
LDAP-S vielleicht? Damit kann man auch schön Zertifikate verwalten. Betreibt jemand hier vielleicht sogar sowas?
Josef Spillner
On Sat, Apr 07, 2001 at 08:00:36PM +0200, Christian Wippermann wrote:
Ich muss SuSE 7.1 incl. YP/NIS (um User zu athentifizieren) verwenden und somit rpc.statd (111) laufen lassen.
Den rpc.statd bracht man doch nur, wenn man NFS machen will, micht um Nutzerinfos per yp durch die Gegend zu schicken.
1.) Ist der rpc.statd in 7.1 bis dato dicht? (oder hat der noch das böse Loch?) Muss der Gute nach aussen sichtbar sein, oder langt das loopback? (Ich will ja selbst keine RPCs anbieten, sondern nur von einem anderen nutzen) Wie zum Teufel setze ich Filterregeln, wenn ich nicht weiss, welche Ports (inl. priviligierter) auf meiner bzw. auf der Gegenseite gewählt werden?
2.) Hat zudem jemand ein Vorschlag wie man eine zentrale Nutzerverwaltung umstellen könnte? Von NIS auf... (bitte nicht NIS+) Wir ham' ja nu X.509 Zertifikate ... vielleicht was verschlüsseltes? Selbiges beim File-sharing? Von NFS auf ... was sichereres? Kein Portmap mehr!!!
Beides sicher nicht so einfach. Hast du mal probiert auf IP-Eben zu verschlüsseln? Bei den heute üblichen schnellen CPUs könnte das machbar sein und du erschlägst beide Punkte damit.
Zum authentifizieren könntest du Kerberos nehmen. (allerdings sitzt du daran bestimmt länger als an nis+). Fürs Verteilen von Feilen fällt mir nix besseres als NFS ein. In NFSv3 gibts auch Authetikation per kerberos oder DH. Keine Ahnung, ob es auf Linux Implemtierungen davon gibt. Ob man mit NFSv3 die Daten selbst auch verschl. über die Leitung bekommen kann habe ich nicht im Kopf. Den portmapper brauchst du damit natürlich weiterhin nur ist der portmapper an sich mMn nichts böses.
Reinhard
lug-dd@mailman.schlittermann.de
-
Christian Wippermann -
Josef Spillner -
konrad.rosenbaum@t-online.de -
Reinhard Foerster