svn commit: r44841 - translations/nl_NL.ISO8859-1/books/handbook/security
Remko Lodder
remko at FreeBSD.org
Thu May 15 14:13:12 UTC 2014
Author: remko
Date: Thu May 15 14:13:12 2014
New Revision: 44841
URL: http://svnweb.freebsd.org/changeset/doc/44841
Log:
Work in progres
Facilitated by: Snow B.V.
Modified:
translations/nl_NL.ISO8859-1/books/handbook/security/chapter.xml
Modified: translations/nl_NL.ISO8859-1/books/handbook/security/chapter.xml
==============================================================================
--- translations/nl_NL.ISO8859-1/books/handbook/security/chapter.xml Thu May 15 02:46:04 2014 (r44840)
+++ translations/nl_NL.ISO8859-1/books/handbook/security/chapter.xml Thu May 15 14:13:12 2014 (r44841)
@@ -1460,7 +1460,6 @@ sendmail : PARANOID : deny</programlisti
<sect1 xml:id="kerberos5">
<info>
-
<title><application>Kerberos5</application></title>
<authorgroup>
@@ -1485,32 +1484,28 @@ sendmail : PARANOID : deny</programlisti
<para><application>Kerberos</application> is een netwerkdienst,
protocol en systeem waarmee gebruikers zich kunnen aanmelden
- met behulp van een dienst op een veilige server. Diensten als
- op een andere server aanmelden, op afstand kopiëren, veilig
- tussen systemen kopiëren en andere taken met een hoog risico
- worden aanmerkelijk veiliger en beter controleerbaar.</para>
-
- <para><application>Kerberos</application> kan omschrijven worden
+ met behulp van een dienst op een veilige server.
+ <application>Kerberos</application> kan omschrijven worden
als identiteitbevestigend proxy systeem. Het kan ook
omschreven worden als een vertrouwd autenticatiesysteem van een
- derde partij. <application>Kerberos</application> vervult maar
- één taak: het veilig autenticeren van gebruikers
- op het netwerk. Het vervult geen autorisatietaken (wat
- gebruikers mogen) en controleert ook niets (wat gebruikers hebben
- gedaan). Nadat een cliënt en server
- <application>Kerberos</application> hebben gebruikt om hun
- identiteit vast te stellen kunnen ze ook al hun communicatie
- coderen om hun privacy en gegevensintegriteit te garanderen.</para>
-
- <para>Daarom wordt het sterk aangeraden om
- <application>Kerberos</application> samen met andere
- beveiligingsmechanismen te gebruiken die autorisatie en
- controlemogelijkheden bieden.</para>
-
- <para>De aanwijzingen die nu volgen kunnen gebruikt worden als
- werkinstructie om <application>Kerberos</application> in te
- stellen zoals dat wordt meegeleverd met &os;. Een complete
- beschrijving staat in de handleiding.</para>
+ derde partij. Nadat een gebruiker geauthenticeerd is via
+ <application>Kerberos</application>, wordt alle communicatie
+ versleuteld om privacy en data integriteit te kunnen
+ borgen.</para>
+
+ <para>De enige functie van <application>Kerberos</application> is
+ om een veilige manier van authenticatie van gebruikers te
+ leveren. Het levert geen authorisatie functionaliteit (wat
+ gebruikers mogen doen) en ook geen auditing functionaliteit
+ (wat deze gebruikers hebben gedaan). Het wordt aangeraden om
+ <application>Kerberos</application> met andere beveiligings
+ methoden te gebruiken welke authenticatie en auditing
+ functionaliteit bieden.</para>
+
+ <para>Deze sectie levert een handleiding voor het opzetten van
+ <application>Kerberos</application> zoals deze wordt meegeleverd
+ met &os;. Bekijk de relevante handleidingen voor meer complete
+ beschrijvingen.</para>
<para>Voor demonstratie van de installatie van
<application>Kerberos</application> wordt gebruik gemaakt van de
@@ -1519,21 +1514,20 @@ sendmail : PARANOID : deny</programlisti
<itemizedlist>
<listitem>
<para>Het <acronym>DNS</acronym> domein (<quote>zone</quote>)
- is example.org.</para>
+ is <systemitem class="fqdomainname">example.org</systemitem>.</para>
</listitem>
<listitem>
<para>De <application>Kerberos</application> wereld is
- EXAMPLE.ORG.</para>
+ <literal>EXAMPLE.ORG</literal>.</para>
</listitem>
</itemizedlist>
<note>
- <para>Het advies is voor installaties van
- <application>Kerberos</application> echte domeinnamen te
- gebruiken, zelfs als het alleen intern wordt gebruikt. Hiermee
- worden <acronym>DNS</acronym> problemen voorkomen is een
- goede samenwerking met andere
+ <para>Maak gebruik van echte domeinnamen wanneer
+ <application>Kerberos</application> wordt opgezet, ook al
+ draait deze alleen intern. Dit voorkomt <acronym>DNS</acronym>
+ problemen en is een goede samenwerking met andere
<application>Kerberos</application> werelden verzekerd.</para>
</note>
@@ -1556,8 +1550,8 @@ sendmail : PARANOID : deny</programlisti
<para><application>Kerberos</application> is zowel de naam van
een netwerkautorisatieprotocol als een bijvoeglijk naamwoord om
- de programma's te beschrijven die gebruik maken van het
- programma (zoals <application>Kerberos</application> telnet).
+ de programma's te beschrijven die hier gebruik van maken, zoals
+ <application>Kerberos</application> telnet.
De huidige versie van het protocol is versie 5 en is beschreven
in <acronym>RFC</acronym> 1510.</para>
@@ -1568,21 +1562,22 @@ sendmail : PARANOID : deny</programlisti
ontwikkelt nog steeds door aan hun
<application>Kerberos</application> pakket. Het wordt in de
<acronym>VS</acronym> veel gebruikt als coderingspakket en
- daarom wordt het ook geraakt door de exportwetgeving van de
- <acronym>VS</acronym>. <application>Kerberos</application>
- van <acronym>MIT</acronym> is beschikbaar als port
+ werd daarom historisch gezien geraakt door de exportwetgeving
+ van de <acronym>VS</acronym>.
+ <application>Kerberos</application> van <acronym>MIT</acronym>
+ is beschikbaar als pakket of port
(<package>security/krb5</package>). Heimdal
<application>Kerberos</application> is een andere implementatie
van versie 5 die expliciet buiten de <acronym>VS</acronym> is
ontwikkeld om de exportwetgeving de omzeilen (en wordt daarom
vaak gebruikt in niet-commerciële &unix; varianten). De
Heimdal <application>Kerberos</application> distributie is
- beschikbaar als port (<package>security/heimdal</package>) en er zit een
- minimale installatie in de basisinstallatie van &os;.</para>
+ beschikbaar als port (<package>security/heimdal</package>) en
+ er zit een minimale installatie in de basisinstallatie van
+ &os;.</para>
- <para>Om het grootst mogelijke publiek te bereiken gaan deze
- instructies ervan uit dat de Heimdal distributie die bij &os;
- zit wordt gebruikt.</para>
+ <para>Deze instructies gaan er vanuit dat dat de Heimdal
+ distributie zoals bijgeleverd in &os;</para>
</sect2>
<sect2>
@@ -1613,8 +1608,8 @@ sendmail : PARANOID : deny</programlisti
<para>Het opzetten van een <acronym>KDC</acronym> begint met de
controle of de instellingen in
<filename>/etc/rc.conf</filename> juist zijn om te functioneren
- als <acronym>KDC</acronym> (misschien moeten paden veranderd
- worden voor een eigen systeem):</para>
+ als <acronym>KDC</acronym>. Waar nodig moeten de
+ paden aangepast worden voor het eigen systeem:</para>
<programlisting>kerberos5_server_enable="YES"
kadmind5_server_enable="YES"</programlisting>
@@ -1633,15 +1628,18 @@ kadmind5_server_enable="YES"</programlis
[domain_realm]
.example.org = EXAMPLE.ORG</programlisting>
- <para><filename>/etc/krb5.conf</filename> gaat ervan uit dat de
- <acronym>KDC</acronym> de volledig gekwalificeerde hostnaam <systemitem class="fqdomainname">kerberos.example.org</systemitem> heeft. Als de
- <acronym>KDC</acronym> een andere hostnaam heeft, moet er nog
- een CNAME (alias) toegevoegd aan de zonefile.</para>
+ <para>Deze <filename>/etc/krb5.conf</filename> impliceert dat
+ de <acronym>KDC</acronym> gebruik maakt van volledig
+ gekwalificeerde hostnaam
+ <systemitem class="fqdomainname">kerberos.example.org</systemitem>.
+ Voeg een CNAME (alias) toe aan de zone file om dit te
+ bewerkstelligen als de <acronym>KDC</acronym> een andere
+ hostnaam heeft.</para>
<note>
<para>Voor grotere netwerken met een juist ingestelde
- <acronym>BIND</acronym> <acronym>DNS</acronym> server kan
- het bovenstaande voorbeeld ingekort worden tot:</para>
+ <acronym>DNS</acronym> server kan het bovenstaande voorbeeld
+ ingekort worden tot:</para>
<programlisting>[libdefaults]
default_realm = EXAMPLE.ORG</programlisting>
@@ -1665,33 +1663,30 @@ _kerberos IN TXT EXAMPLE.
<emphasis>en</emphasis> een correct ingestelde DNS-server.</para>
</note>
- <para>Nu wordt de <application>Kerberos</application>
- database aangemaakt. Deze database bevat de sleutels voor
- alle principals en zijn versleuteld met een hoofdwachtwoord.
- Dit wachtwoord hoeft niet onthouden te worden omdat het wordt
- opgeslagen in (<filename>/var/heimdal/m-key</filename>). De
- hoofdsleutel wordt aangemaakt door <command>kstash</command>
- te starten en een wachtwoord in te voeren.</para>
-
- <para>Als de hoofdsleutel is gemaakt, kan de database
- ingeschakeld worden met <command>kadmin</command>
- met de optie <literal>-l</literal> (die staat voor
- <quote>local</quote>). Deze optie geeft
- <command>kadmin</command> de opdracht om de databasebestanden
- direct te wijzigingen in plaats van via de
- <command>kadmind</command> netwerkdienst. Hiermee wordt het
- kip-ei-probleem opgelost waarbij een verbinding wordt gemaakt
- met de database voordat hij bestaat. Op het prompt van
- <command>kadmin</command> kan met <command>init</command>
- de database met de werelden aangemaakt worden.</para>
-
- <para>Tenslotte, nog steeds in <command>kadmin</command>, kan
- de eerste principal gemaakt worden met
- <command>add</command>. De standaardopties voor de principal
- worden nu aangehouden. Deze kunnen later altijd
- nog gewijzigd worden met <command>modify</command>. Met
- het commando <literal>?</literal> kunnen alle beschikbare
- mogelijkheden getoond worden.</para>
+ <para>Nu moet de <application>Kerberos</application> database
+ worden aangemaakt, welke de sleutels bevat van alle principals
+ versleuteld met een master-wachtwoord. Het is niet nodig om
+ dit wachtwoord te onthouden, omdat deze wordt bewaard in
+ <filename>/var/heimdal/m-key</filename>. Om het
+ master-wachtwoord te maken wordt &man.kstash.8; gebruikt
+ en moet er een wachtwoord worden opgegeven.</para>
+
+ <para>Zodra de master sleutel gecreeerd is, moet de database
+ worden geinitialiseerd door het <command>kadmin -l</command>
+ commando. Deze optie instrueert &man.kadmin.8; om de lokale
+ database bestanden direct te modificeren in plaats van via de
+ &man.kadmind.8; netwerk dienst. Dit lost het kip-en-ei
+ probleem op door verbinding te maken met de database voordat
+ deze aangemaakt is. Op de &man.kadmin.8; prompt wordt het
+ <command>init</command> commando gebruikt om de initiele
+ database van de realm aan te maken.</para>
+
+ <para>Als laatste, nog steeds in &man.kadmin.8;, moet de eerste
+ principal worden aangemaakt met het <command>add</command>
+ commando. Gebruik de standaard instellingen voor de principal
+ voor nu, deze kunnen later gewijzigd worden met het
+ <command>modify</command> commando. Type <literal>?</literal>
+ om een lijst van beschikbare opties te zien.</para>
<para>Hieronder een sessie waarin een voorbeelddatabase wordt
aangemaakt:</para>
@@ -1710,15 +1705,15 @@ Attributes []:
Password: <userinput>xxxxxxxx</userinput>
Verifying password - Password: <userinput>xxxxxxxx</userinput></screen>
- <para>Nu kan de <acronym>KDC</acronym> dienst gestart worden
- met <command>service kerberos start</command> en
- <command>service kadmind start</command>. Op dit moment
- draait er nog geen enkele daemon die gebruik maakt van
- <application>Kerberos</application>. Bevestiging dat
- <acronym>KDC</acronym> draait is te krijgen door een ticket te
- vragen en dat uit te lezen voor de principal (gebruiker)
- die zojuist is aangemaakt vanaf de commandoregel van het
- <acronym>KDC</acronym> zelf:</para>
+ <para>Hierna kan de <acronym>KDC</acronym> dienst gestart worden.
+ Start het commando <command>service kerberos start</command>
+ en <command>service kadmind start</command> om de diensten op
+ te starten. Ondanks dat er nog geen gekerboriseerde diensten
+ draaien is het mogelijk om te bevestigen dat de
+ <acronym>KDC</acronym> functioneert door een ticket te
+ verkrijgen en te printen voor de zojuist aangemaakte
+ principal via de commando regel op de <acronym>KDC</acronym>
+ zelf:</para>
<screen>&prompt.user; <userinput>kinit tillman</userinput>
tillman at EXAMPLE.ORG's Password:
@@ -1745,6 +1740,25 @@ Aug 27 15:37:58 Aug 28 01:37:58 krbtgt
<secondary>diensten inschakelen</secondary>
</indexterm>
+ <para>Kopieer als eerste <filename>/etc/krb5.conf</filename>
+ op een veilige manier van de <acronym>KDC</acronym> naar de
+ client computer, zoals met &man.scp.1; of fysiek via
+ verwijderbare media.</para>
+
+ <para>Creeer hierna <filename>/etc/krb5.keytab</filename>.
+ Dit is het grote verschil tussen een server die
+ <application>Kerberos</application> ingeschakelde diensten
+ levert en een werkstation: de server moet een
+ <filename>keytab</filename> hebben. Dit bestand bevat de
+ hostkey van de server, welke de client en de
+ <acronym>KDC</acronym> in staat stelt om elkaar te verifieren.
+ Deze moet verstuurd worden naar de server op een veilige manier
+ omdat de beveiliging verbroken kan worden als de sleutel
+ publiek gemaakt wordt.</para>
+
+ <!-- XXX RL 1544 -->
+ <para>
+
<para>Als eerste is een kopie van het instellingenbestand van
<application>Kerberos</application> nodig,
<filename>/etc/krb5.conf</filename>. Dit bestand kan
More information about the svn-doc-all
mailing list