From remko at FreeBSD.org  Thu May 15 14:13:12 2014
From: remko at FreeBSD.org (Remko Lodder)
Date: Thu, 15 May 2014 14:13:12 +0000 (UTC)
Subject: svn commit: r44841 -
 translations/nl_NL.ISO8859-1/books/handbook/security
Message-ID: <201405151413.s4FEDC07013698@svn.freebsd.org>

Author: remko
Date: Thu May 15 14:13:12 2014
New Revision: 44841
URL: http://svnweb.freebsd.org/changeset/doc/44841

Log:
  Work in progres
  
  Facilitated by: Snow B.V.

Modified:
  translations/nl_NL.ISO8859-1/books/handbook/security/chapter.xml

Modified: translations/nl_NL.ISO8859-1/books/handbook/security/chapter.xml
==============================================================================
--- translations/nl_NL.ISO8859-1/books/handbook/security/chapter.xml	Thu May 15 02:46:04 2014	(r44840)
+++ translations/nl_NL.ISO8859-1/books/handbook/security/chapter.xml	Thu May 15 14:13:12 2014	(r44841)
@@ -1460,7 +1460,6 @@ sendmail : PARANOID : deny</programlisti
 
   <sect1 xml:id="kerberos5">
     <info>
-     
       <title><application>Kerberos5</application></title>
 
       <authorgroup>
@@ -1485,32 +1484,28 @@ sendmail : PARANOID : deny</programlisti
 
     <para><application>Kerberos</application> is een netwerkdienst,
       protocol en systeem waarmee gebruikers zich kunnen aanmelden
-      met behulp van een dienst op een veilige server.  Diensten als
-      op een andere server aanmelden, op afstand kopi?ren, veilig
-      tussen systemen kopi?ren en andere taken met een hoog risico
-      worden aanmerkelijk veiliger en beter controleerbaar.</para>
-
-    <para><application>Kerberos</application> kan omschrijven worden
+      met behulp van een dienst op een veilige server.
+      <application>Kerberos</application> kan omschrijven worden
       als identiteitbevestigend proxy systeem.  Het kan ook
       omschreven worden als een vertrouwd autenticatiesysteem van een
-      derde partij.  <application>Kerberos</application> vervult maar
-      ??n taak: het veilig autenticeren van gebruikers
-      op het netwerk.  Het vervult geen autorisatietaken (wat
-      gebruikers mogen) en controleert ook niets (wat gebruikers hebben
-      gedaan).  Nadat een cli?nt en server
-      <application>Kerberos</application> hebben gebruikt om hun
-      identiteit vast te stellen kunnen ze ook al hun communicatie
-      coderen om hun privacy en gegevensintegriteit te garanderen.</para>
-
-    <para>Daarom wordt het sterk aangeraden om
-      <application>Kerberos</application> samen met andere
-      beveiligingsmechanismen te gebruiken die autorisatie en
-      controlemogelijkheden bieden.</para>
-
-    <para>De aanwijzingen die nu volgen kunnen gebruikt worden als
-      werkinstructie om <application>Kerberos</application> in te
-      stellen zoals dat wordt meegeleverd met &os;.  Een complete
-      beschrijving staat in de handleiding.</para>
+      derde partij.  Nadat een gebruiker geauthenticeerd is via
+      <application>Kerberos</application>, wordt alle communicatie
+      versleuteld om privacy en data integriteit te kunnen
+      borgen.</para>
+
+    <para>De enige functie van <application>Kerberos</application> is
+      om een veilige manier van authenticatie van gebruikers te
+      leveren.  Het levert geen authorisatie functionaliteit (wat
+      gebruikers mogen doen) en ook geen auditing functionaliteit
+      (wat deze gebruikers hebben gedaan).  Het wordt aangeraden om
+      <application>Kerberos</application> met andere beveiligings
+      methoden te gebruiken welke authenticatie en auditing
+      functionaliteit bieden.</para>
+
+    <para>Deze sectie levert een handleiding voor het opzetten van
+      <application>Kerberos</application> zoals deze wordt meegeleverd
+      met &os;.  Bekijk de relevante handleidingen voor meer complete
+      beschrijvingen.</para>
 
     <para>Voor demonstratie van de installatie van
       <application>Kerberos</application> wordt gebruik gemaakt van de
@@ -1519,21 +1514,20 @@ sendmail : PARANOID : deny</programlisti
     <itemizedlist>
       <listitem>
 	<para>Het <acronym>DNS</acronym> domein (<quote>zone</quote>)
-	  is example.org.</para>
+	  is <systemitem class="fqdomainname">example.org</systemitem>.</para>
       </listitem>
 
       <listitem>
 	<para>De <application>Kerberos</application> wereld is
-	  EXAMPLE.ORG.</para>
+	  <literal>EXAMPLE.ORG</literal>.</para>
       </listitem>
     </itemizedlist>
 
     <note>
-      <para>Het advies is voor installaties van
-	<application>Kerberos</application> echte domeinnamen te
-	gebruiken, zelfs als het alleen intern wordt gebruikt.  Hiermee
-	worden <acronym>DNS</acronym> problemen voorkomen is een
-	goede samenwerking met andere
+      <para>Maak gebruik van echte domeinnamen wanneer
+	<application>Kerberos</application> wordt opgezet, ook al
+	draait deze alleen intern.  Dit voorkomt <acronym>DNS</acronym>
+	problemen en is een goede samenwerking met andere
 	<application>Kerberos</application> werelden verzekerd.</para>
     </note>
 
@@ -1556,8 +1550,8 @@ sendmail : PARANOID : deny</programlisti
 
       <para><application>Kerberos</application> is zowel de naam van
 	een netwerkautorisatieprotocol als een bijvoeglijk naamwoord om
-	de programma's te beschrijven die gebruik maken van het
-	programma (zoals <application>Kerberos</application> telnet).
+	de programma's te beschrijven die hier gebruik van maken, zoals
+	<application>Kerberos</application> telnet.
 	De huidige versie van het protocol is versie 5 en is beschreven
 	in <acronym>RFC</acronym>&nbsp;1510.</para>
 
@@ -1568,21 +1562,22 @@ sendmail : PARANOID : deny</programlisti
 	ontwikkelt nog steeds door aan hun
 	<application>Kerberos</application> pakket.  Het wordt in de
 	<acronym>VS</acronym> veel gebruikt als coderingspakket en
-	daarom wordt het ook geraakt door de exportwetgeving van de
-	<acronym>VS</acronym>.  <application>Kerberos</application>
-	van <acronym>MIT</acronym> is beschikbaar als port
+	werd daarom historisch gezien geraakt door de exportwetgeving
+	van de <acronym>VS</acronym>.
+	<application>Kerberos</application> van <acronym>MIT</acronym>
+	is beschikbaar als pakket of port
 	(<package>security/krb5</package>).  Heimdal
 	<application>Kerberos</application> is een andere implementatie
 	van versie 5 die expliciet buiten de <acronym>VS</acronym> is
 	ontwikkeld om de exportwetgeving de omzeilen (en wordt daarom
 	vaak gebruikt in niet-commerci?le &unix; varianten).  De
 	Heimdal <application>Kerberos</application> distributie is
-	beschikbaar als port (<package>security/heimdal</package>) en er zit een
-	minimale installatie in de basisinstallatie van &os;.</para>
+	beschikbaar als port (<package>security/heimdal</package>) en
+	er zit een minimale installatie in de basisinstallatie van
+	&os;.</para>
 
-      <para>Om het grootst mogelijke publiek te bereiken gaan deze
-	instructies ervan uit dat de Heimdal distributie die bij &os;
-	zit wordt gebruikt.</para>
+      <para>Deze instructies gaan er vanuit dat dat de Heimdal
+	distributie zoals bijgeleverd in &os;</para>
     </sect2>
 
     <sect2>
@@ -1613,8 +1608,8 @@ sendmail : PARANOID : deny</programlisti
       <para>Het opzetten van een <acronym>KDC</acronym> begint met de
 	controle of de instellingen in
 	<filename>/etc/rc.conf</filename> juist zijn om te functioneren
-	als <acronym>KDC</acronym> (misschien moeten paden veranderd
-	worden voor een eigen systeem):</para>
+	als <acronym>KDC</acronym>.  Waar nodig moeten de
+	paden aangepast worden voor het eigen systeem:</para>
 
       <programlisting>kerberos5_server_enable="YES"
 kadmind5_server_enable="YES"</programlisting>
@@ -1633,15 +1628,18 @@ kadmind5_server_enable="YES"</programlis
 [domain_realm]
     .example.org = EXAMPLE.ORG</programlisting>
 
-      <para><filename>/etc/krb5.conf</filename> gaat ervan uit dat de
-	<acronym>KDC</acronym> de volledig gekwalificeerde hostnaam <systemitem class="fqdomainname">kerberos.example.org</systemitem> heeft.  Als de
-	<acronym>KDC</acronym> een andere hostnaam heeft, moet er nog
-	een CNAME (alias) toegevoegd aan de zonefile.</para>
+      <para>Deze <filename>/etc/krb5.conf</filename> impliceert dat
+	de <acronym>KDC</acronym> gebruik maakt van volledig
+	gekwalificeerde hostnaam
+	<systemitem class="fqdomainname">kerberos.example.org</systemitem>.
+	Voeg een CNAME (alias) toe aan de zone file om dit te
+	bewerkstelligen als de <acronym>KDC</acronym> een andere
+	hostnaam heeft.</para>
 
       <note>
 	<para>Voor grotere netwerken met een juist ingestelde
-	  <acronym>BIND</acronym> <acronym>DNS</acronym> server kan
-	  het bovenstaande voorbeeld ingekort worden tot:</para>
+	  <acronym>DNS</acronym> server kan het bovenstaande voorbeeld
+	  ingekort worden tot:</para>
 
 	<programlisting>[libdefaults]
       default_realm = EXAMPLE.ORG</programlisting>
@@ -1665,33 +1663,30 @@ _kerberos           IN  TXT     EXAMPLE.
 	  <emphasis>en</emphasis> een correct ingestelde DNS-server.</para>
       </note>
 
-      <para>Nu wordt de <application>Kerberos</application>
-	database aangemaakt.  Deze database bevat de sleutels voor
-	alle principals en zijn versleuteld met een hoofdwachtwoord.
-	Dit wachtwoord hoeft niet onthouden te worden omdat het wordt
-	opgeslagen in (<filename>/var/heimdal/m-key</filename>).  De
-	hoofdsleutel wordt aangemaakt door <command>kstash</command>
-	te starten en een wachtwoord in te voeren.</para>
-
-      <para>Als de hoofdsleutel is gemaakt, kan de database
-	ingeschakeld worden met <command>kadmin</command>
-	met de optie <literal>-l</literal> (die staat voor
-	<quote>local</quote>).  Deze optie geeft
-	<command>kadmin</command> de opdracht om de databasebestanden
-	direct te wijzigingen in plaats van via de
-	<command>kadmind</command> netwerkdienst.  Hiermee wordt het
-	kip-ei-probleem opgelost waarbij een verbinding wordt gemaakt
-	met de database voordat hij bestaat.  Op het prompt van
-	<command>kadmin</command> kan met <command>init</command>
-	de database met de werelden aangemaakt worden.</para>
-
-      <para>Tenslotte, nog steeds in <command>kadmin</command>, kan
-	de eerste principal gemaakt worden met
-	<command>add</command>.  De standaardopties voor de principal
-	worden nu aangehouden.  Deze kunnen later altijd
-	nog gewijzigd worden met <command>modify</command>.  Met
-	het commando <literal>?</literal> kunnen alle beschikbare
-	mogelijkheden getoond worden.</para>
+      <para>Nu moet de <application>Kerberos</application> database
+	worden aangemaakt, welke de sleutels bevat van alle principals
+	versleuteld met een master-wachtwoord.  Het is niet nodig om
+	dit wachtwoord te onthouden, omdat deze wordt bewaard in
+	<filename>/var/heimdal/m-key</filename>.  Om het
+	master-wachtwoord te maken wordt &man.kstash.8; gebruikt
+	en moet er een wachtwoord worden opgegeven.</para>
+
+      <para>Zodra de master sleutel gecreeerd is, moet de database
+	worden geinitialiseerd door het <command>kadmin -l</command>
+	commando.  Deze optie instrueert &man.kadmin.8; om de lokale
+	database bestanden direct te modificeren in plaats van via de
+	&man.kadmind.8; netwerk dienst.  Dit lost het kip-en-ei
+	probleem op door verbinding te maken met de database voordat
+	deze aangemaakt is.  Op de &man.kadmin.8; prompt wordt het
+	<command>init</command> commando gebruikt om de initiele
+	database van de realm aan te maken.</para>
+
+      <para>Als laatste, nog steeds in &man.kadmin.8;, moet de eerste
+	principal worden aangemaakt met het <command>add</command>
+	commando.  Gebruik de standaard instellingen voor de principal
+	voor nu, deze kunnen later gewijzigd worden met het
+	<command>modify</command> commando.  Type <literal>?</literal>
+	om een lijst van beschikbare opties te zien.</para>
 
       <para>Hieronder een sessie waarin een voorbeelddatabase wordt
 	aangemaakt:</para>
@@ -1710,15 +1705,15 @@ Attributes []:
 Password: <userinput>xxxxxxxx</userinput>
 Verifying password - Password: <userinput>xxxxxxxx</userinput></screen>
 
-      <para>Nu kan de <acronym>KDC</acronym> dienst gestart worden
-	met <command>service kerberos start</command> en
-	<command>service kadmind start</command>.  Op dit moment
-	draait er nog geen enkele daemon die gebruik maakt van
-	<application>Kerberos</application>.  Bevestiging dat
-	<acronym>KDC</acronym> draait is te krijgen door een ticket te
-	vragen en dat uit te lezen voor de principal (gebruiker)
-	die zojuist is aangemaakt vanaf de commandoregel van het
-	<acronym>KDC</acronym> zelf:</para>
+      <para>Hierna kan de <acronym>KDC</acronym> dienst gestart worden.
+	Start het commando <command>service kerberos start</command>
+	en <command>service kadmind start</command> om de diensten op
+	te starten.  Ondanks dat er nog geen gekerboriseerde diensten
+	draaien is het mogelijk om te bevestigen dat de
+	<acronym>KDC</acronym> functioneert door een ticket te
+	verkrijgen en te printen voor de zojuist aangemaakte
+	principal via de commando regel op de <acronym>KDC</acronym>
+	zelf:</para>
 
       <screen>&prompt.user; <userinput>kinit tillman</userinput>
 tillman at EXAMPLE.ORG's Password:
@@ -1745,6 +1740,25 @@ Aug 27 15:37:58  Aug 28 01:37:58  krbtgt
 	<secondary>diensten inschakelen</secondary>
       </indexterm>
 
+      <para>Kopieer als eerste <filename>/etc/krb5.conf</filename>
+	op een veilige manier van de <acronym>KDC</acronym> naar de
+	client computer, zoals met &man.scp.1; of fysiek via
+	verwijderbare media.</para>
+
+      <para>Creeer hierna <filename>/etc/krb5.keytab</filename>.
+	Dit is het grote verschil tussen een server die
+	<application>Kerberos</application> ingeschakelde diensten
+	levert en een werkstation: de server moet een
+	<filename>keytab</filename> hebben.  Dit bestand bevat de
+	hostkey van de server, welke de client en de
+	<acronym>KDC</acronym> in staat stelt om elkaar te verifieren.
+	Deze moet verstuurd worden naar de server op een veilige manier
+	omdat de beveiliging verbroken kan worden als de sleutel
+	publiek gemaakt wordt.</para>
+
+      <!-- XXX RL 1544 -->
+      <para>
+
       <para>Als eerste is een kopie van het instellingenbestand van
 	<application>Kerberos</application> nodig,
 	<filename>/etc/krb5.conf</filename>.  Dit bestand kan