A 8: IP-Konfiguration - Referenz
AppleShare IP bietet einige neue Eigenschaften, die für Ihr EtherShare-UNIX-Macintosh-Netzwerk recht nützlich sind. Im Folgenden geben wir Ihnen eine eher kurze Zusammenfassung von Konfigurationen, die wir für die TCP/IP-Nutzung empfehlen.
Zugangskontrolle über Adressen und Domains
(unter UNIX)
Die IP-Zugangskonfiguration kann am Macintosh unter Verwendung von EtherShare Admin oder unter UNIX mit einem Editor wie beispielsweise vi durchgeführt werden. Die "Macintosh-Variante" ist viel einfacher und bequemer - sie wird in
5.13.8. beschrieben. Bevor Sie den folgenden Abschnitt durcharbeiten, lesen Sie bitte
Vorgaben in
5.13.8 "IP-Zugang".
Wenn Sie den IP-Zugang unter UNIX einrichten, müssen Sie die Konfigurationsdatei "afpipaccess" modifizieren. Dafür wird der Vorgang stop/start-atalk nicht benötigt. EtherShare liest die Konfigurationsdatei bei jeder Anmeldung eines Benutzers am Server.
Das Skript "$ESDIR/etc/afpipaccess" erstellt eine erste Konfigurationsdatei mit Namen "$ESDIR/conf/afpipaccess" und erlaubt darin nur den Zugang für Clients im selben Netzwerksegment. Diese Datei kann folgende Anweisungen enthalten:
allow ipaddr/mask
deny ipaddr/mask
allowdomain do.main
denydomain do.main
Wenn die Datei leer ist - oder es sie überhaupt nicht gibt - ist der Zugang generell erlaubt (dies entspricht
Die IP-Adresse 0.0.0.0 mit der Maske 0.0.0.0 passt zu jeder Adresse. Daher ist es eine gute Idee, die folgende Anweisung:
als letzte Zeile in der Zugangsdatei zu verwenden und den Zugang explizit nur für ausgewählte Netzwerke oder IP-Adressen zu erlauben. Sie können ausschließlich für das Klasse C-Netzwerk 192.9.200 den Zugang gewähren, indem Sie die folgenden Anweisungen verwenden:
allow 192.9.200.0/255.255.255.0
deny 0.0.0.0/0.0.0.0
Die Maske (im Beispiel 255.255.255.0) legt die signifikanten Bits fest, mit der die IP-Adressen verglichen werden müssen. Wenn keine Maske angegeben ist, dann wird die Maske 255.255.255.255 verwendet, so dass die Maske nur exakt eine IP-Adresse zulässt. In dem Beispiel:
allow 192.9.200.1
deny 0.0.0.0/0.0.0.0
wird somit nur der Zugang von einer einzigen Maschine, nämlich 192.9.200.1 aus zugelassen.
Die IP-Adresse kann auch als normaler Hostname angegeben werden. Sie muss dann über einen konfigurierten "Name Service" - beispielsweise DNS oder NIS - aufgelöst werden. Wenn DNS oder NIS korrekt zum Auflösen von Hostnamen konfiguriert ist, können Sie auch domain-basierende Zugriffskontrollen verwenden.
verweigert jeder IP-Adresse den Zugang, die in einen Hostnamen aufgelöst wird, der auf die Domain "hacker.com" endet. Die Anweisung "allowdomain" arbeitet genau entgegengesetzt:
allowdomain company.com
deny 0.0.0.0/0.0.0.0
würde jeder Maschine den Zugang erlauben, die eine
IP-Adresse verwendet, die in einen Hostnamen mit "company.com" am Ende aufgelöst wird.
Die domain-basierende Zugangskontrolle bewirkt eine umgekehrte Strategie bei der Suche nach dem Hostnamen einer IP-Adresse, die für eine Verbindung zum Server angegeben wird. Wenn Sie IP-Adressen verwenden, für die keine Rückwärtsauflösung vorhanden ist, können beim Aufbau einer Verbindung Wartezeiten auftreten. Bitte beachten Sie, dass jeder willkürliche Domains (nicht nur seine eigenen Domains) in seiner inversen DNS-Verknüpfung angeben kann, der die Rückwärtsauflösung von einem Satz von IP-Adressen besitzt.
Zugangskontrolle über Ports (Firewall)
AFP über TCP verwendet eine Verbindung zum Port 548. Der Port kann mit dem Parameter "afpport" in der Datei "atalk.conf" geändert werden:
würde stattdessen Port 1024 verwenden. Zum Aufbau einer erfolgreichen Verbindungen muss die Nummer des verwendeten Ports auf der Clientseite entsprechend geändert werden. Dies kann entweder durch Angabe der
IP-Adresse in der Form
hostname:port in dem Dialog geschehen, in dem Sie eine IP-Adresse eingeben können, oder durch die Verwendung des Hilfsprogramms "AppleShare Client Setup":
http://www.apple.com/appleshareip/
Abb. A-27: Einstellen eines Standard-TCP-Ports am Macintosh
|
|
Abb.
A-27 zeigt die Bedieneroberfläche dieses Konfigurationswerkzeugs - der
Default TCP Port ist auf 1024 eingestellt.
Konfiguration für die Zustellung von Meldungen
Das oben erwähnte Hilfsprogramm "AppleShare Client Setup" ist auch für die Festlegung der Zeitdauer nützlich, die ein Rechner eine Servermeldung darstellt. Sie können Ihren Macintosh so einrichten, dass sich die Dialogfenster bei bestimmten Arten von Meldungen automatisch nach einer festgelegten Zeitspanne schließen. Dies ist besonders dann sinnvoll, wenn es sich um Dialoge handelt, die alle anderen auf Ihrem Computer laufenden Prozesse anhalten bis
Sie das Fenster selbst schließen. Abb.
A-28 zeigt eine Beispielkonfiguration. Die Einstellungen sind immer nur für einen Client-Rechner gültig.
Abb. A-28: Einstellungen für eingehende Servermeldungen
|
|
Weitere Informationen über "AppleShare Client Setup"
Soweit es die anderen Dialoge des "AppleShare Client Setup" anbelangt, empfehlen wir Ihnen die Standardeinstellungen beizubehalten. Zu speziellen Fragen sollten Sie die Online-Dokumentation von Apple lesen. Bitte beachten Sie, dass Sie bei einigen Konfigurationen die entsprechenden Parameter auf beiden Plattformen - dem Macintosh und dem UNIX-Server - angeben müssen.
Neuer EtherShare-
Parameter für die Über-
wachung von Änderungen in Volumes
AFP 2.2 spezifiziert die Verwendung einer Benachrichtigungsfunktion des Servers, mit der vermieden wird, dass der Client-Rechner ständig geladene Volumes auf Veränderung der Inhalte überprüft. Nach den Vorgaben überprüft der Server den Inhalt seiner Volumes selbst alle 10 Sekunden und benachrichtigt dann die angeschlossenen Client-Rechner. Dies entspricht dem Verhalten bei vorangegangenen AFP-Versionen, bei denen die Client-Rechner alle 10 Sekunden die Server-Volumes abgefragt haben. Falls Sie jedoch sehr aktive Volumes haben, deren Inhalte sich immerfort verändern, dann möchten Sie vielleicht ein anderes Intervall einstellen. Mit EtherShare 2.6 können Sie den entsprechenden Parameter in der Datei "atalk.conf" am Server einrichten. Zum Beispiel:
afpsrv: volcheckinterval=60
Dieser Befehl veranlasst den Server, jede Minute seine Volumes auf Veränderungen hin zu überprüfen. Dadurch wird der Volumestatus-Verkehr im Netzwerk verglichen mit früheren AFP-Versionen auf ein Sechstel reduziert. Bitte beachten Sie, dass Client-Rechner, die eine AppleShare Client-Software Version älter als 3.7 verwenden, weiterhin alle 10 Sekunden den Server abfragen.
Hinweis: Änderungen im Bereich "afpsrv" in der Datei "atalk.conf" erfordern einen Neustart des Servers mit Hilfe der Skripte stop-atalk und danach start-atalk.
Zusätzliche
Informationen über
AppleShare IP
Der IP-Zugang auf einen Server kann bei Bedarf auch komplett ausgeschaltet werden. Sie können den Parameter
noip verwenden, um das Laden von Volumes via TCP/IP zu unterbinden:
Die Anzahl von AppleTalk-Sockets ist noch immer auf 250 begrenzt. Wenn Sie jetzt AppleShare IP-Verbindungen zum Laden von EtherShare-Volumes verwenden, stehen Ihnen 250 Sockets für PAP-Verbindungen (Drucker) und ADSP-Verbindungen (Terminal, Mail) zur Verfügung.
