Re: Jail und NIS

From: Marcel Volz <Marcel.Volz(at)epost.de>
Date: Sun, 9 Nov 2003 21:40:56 +0100

Am Sonntag, 9. November 2003 14:18 schrieb Jens Rehsack:
> Marcel Volz wrote:
> > Am Samstag, 8. November 2003 19:19 schrieb Jens Rehsack:
> >>Marcel Volz wrote:
> >>>Ich habe bereits einen älteren Thread darüber gefunden, jedoch
> >>>handelt es sich dort um FreeBSD 4.x und leider konnte ich dort
> >>>auch keine entgültige Lösung finden.
> >>
> >>Könntest Du ein paar mehr Details liefern? Leider kann man
> >>ohne genaue Kenntnis des Problems nicht mal raten, was Dir
> >>helfen könnte. Was natürlich nicht heisst, dass es mir Kenntnis
> >>des Problems anders wird :-)
> >
> > Ich habe hier zu Hause einen Server eingerichtet der primär
> > verschiedene (viele) Dienste für das interne Netzwerk anbietet.
> > Zusätzlich möchte ich für einige Freunde einen Shellzugang zu
> > einer FreeBSD Maschine bieten. Sozusagen ein bisschen Werbung für
> > FreeBSD machen.
> >
> > Das zweite wäre das ich gerne von überall entweder per Webmail
> > oder imap(s) an meine Mails kommen würde.
> >
> > So nun zum eigentlichen Problem:
> > Ich habe bisher den Jail so konfiguriert wie meine "echten"
> > Nis-Clients auch.
> >
> > Aus /etc/rc.conf:
> > nis_client_enable="YES"
> > nis_client_flags="-s -S kubus.net,squire.kubus.homeip.net"
> >
> > Und hier die Fehlermeldung
> > Wenn ich "ypcat passwd" ausführe.
> >
> > ypcat: no such map passwd.byname. reason: Can't bind to server
> > which serves this domain
>
> Vielleicht kann man hier ja über eine geeignete Redirect-Regel
> (ipfw/natd bzw. ipf/ipnat) was bewerkstelligen?

Ich denke das wird hier nicht gebraucht. Jail und Host können
(momentan) noch ungehindert kommunizieren.

> Könnte ja mal jemand mit mehr Wissen über portmap/nfs/nis als
> ich was dazu sagen.

Ich fürchte das ist das Hauptproblem. Das NIS nicht läuft weil
rpcbind/portmap nicht im Jail läuft, da der ja immer auf alle IP's
bindet.

> >>>Irgendwer hat sich sicher doch schon mit
> >>>Benutzerauthentifizierung mit Jails interessiert, oder?
> >>
> >>Sicher :-)
> >>Aber im allgemeinen setzt man Jails ein, um das System des Hosts
> >>von dem im Jail zu trennen, denn sonst könnte man chroot nehmen.
> >>Stellt sich mir also die Frage: Was willst Du eigendlich tun?
> >
> > Nach deiner Bemerkung habe ich überlegt ob es nicht sinvoller
> > wäre für die Jails eine seperate Benutzerverwaltung anzulegen.
> > Die Shellbenutzer sollen ja nicht auf dem Hostsystem arbeiten, da
> > wäre die Trennung sinnvoll.
> > Der einzige Nachteil wäre ein eigenes Passwort für den
> > Mailzugang.
>
> Na ja, teils, teils. Du musst halt immer wissen, was Du willst.
> Brauchst Du die Nutzerverwaltung über NIS auch auf dem Hostsystem?
> Wenn nein, müsstest Du eigendlich eine in jedes Jail bringen
> können, wenn auf dem Host kein portmap läuft.

Das Hostsystem stellt den Nis-Master Server (und NIS-Client) für mein
Netzwerk dar, ausserdem ist er NFS-Server.
Deswegen wird es sich nicht vermeiden lassen dort den portmap/rpcbind
laufen zu lassen.

> >>>Zusätzlich wäre ich über jegliche weitere Informationen zu Jails
> >>>glücklich insbesondere über Jails unter FreeBSD 5.
> >>
> >>jail(8)?
> >
> > Die ist mir bekannt, sonst hätte ich das Jail wohl nicht mal zum
> > laufen bekommen.
> > Interessant wäre z.B. die weitere Pflege der Jails, wie z.B
> > Securityupdates und eine Do or Don't Liste im Sinne von
> > NFS-Server geht nicht, NIS geht usw.
> > Halt einfach Erfahrungsberichte die nicht in manpages stehen.
>
> Guter Einwand. NFS geht wenn ich mich recht erinnere nicht, weil
> der portmap auf dem Host läuft und sich dort gleich mal alles
> krallt, was er unter die Finger bekommt.
>
> Eine andere Lösung, die mir spontan in den Sinn kommt:
> Könnte es klappen, auf dem Hostsystem einen NIS-Slave-Server
> aufzusetzen und von den Jails aus an den Slave-Server zu gehen?

Das Hostsystem ist selber NIS-Master Server, das sollte keinen
Unterschied machen.

Wenn niemand mir einen entscheidenden Hinweis geben kann werde ich
mich erstmal um die Einrichtung des Mailservice kümmern und dann
nochmal schauen was ich bei der Benutzerverwaltung mache.

Danke für deine Hinweise...

-- 
	E-Mail: Marcel.Volz(at)epost.de
	Webseite: www.kubus.homeip.net (temporary out of order)
To Unsubscribe: send mail to majordomo.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Sun 09 Nov 2003 - 21:41:49 CET

search this site