In diesem Kapitel möchten wir Ihnen eine kurze Zusammenfassung der Konfigurationen, die wir bei der Verwendung von TCP/IP empfehlen, geben.
Der IP-Zugang lässt sich mit Hilfe von HELIOS oder einem Editor konfigurieren. Die Konfiguration in HELIOS Admin ist erheblich einfacher und auch bequemer. Details finden Sie in Kapitel 4.5 „HELIOS TCP/IP-Sicherheit“ und auch unter ipaccess in Kapitel 6.6.1 „HELIOSDIR/var/conf“.
Wenn Sie die Datei „ipaccess“ direkt konfigurieren möchten, brauchen Sie die HELIOS Dienste nicht neu zu starten. HELIOS Base liest die Konfiguration bei jeder Anmeldung neu ein.
„HELIOSDIR/var/conf/ipaccess“ enthält die IP-Adressen und Domains, die sich am angegebenen Host anmelden dürfen. Dabei sind in der Datei folgende Statements zulässig:
allow ipaddr/mask deny ipaddr/mask allowdomain domain denydomain domain
Ist die Datei leer – oder gar nicht vorhanden – darf sich jeder Client am Host anmelden, was folgendem Eintrag gleichkäme:
allow 0.0.0.0/0.0.0.0
Die IP-Adresse 0.0.0.0 mit der Maske 0.0.0.0 passt auf jede Adresse, daher würde es sich empfehlen, folgendes Statement
deny 0.0.0.0/0.0.0.0
als letzte Zeile in der Zugriffsliste zu verwenden und den Zugriff auf ausgewählte Netzwerke oder IP-Adressen nur explizit zuzulassen. Sie können den ausschließlichen Zugriff aus dem Klasse-C-Netzwerk 192.9.200 mit folgenden Statements gewähren:
allow 192.9.200.0/255.255.255.0 deny 0.0.0.0/0.0.0.0
Die Maske (im Beispiel 255.255.255.0) gibt die entscheidenden Bits an, die mit der IP-Adresse verglichen werden müssen. Ist keine Maske definiert, geht man von 255.255.255.255 aus, was bedeutet, dass die Adresse exakt passen muss. Das Beispiel
allow 192.9.200.1 deny 0.0.0.0/0.0.0.0
erlaubt also nur die Anmeldung von einer einzigen Maschine, nämlich von 192.9.200.1.
Die IP-Adresse kann auch als normaler Hostname angegeben werden, muss aber dann durch den konfigurierten Namensdienst, z. B. DNS oder NIS, aufgelöst werden. Wenn DNS oder NIS so konfiguriert sind, Hostnamen aufzulösen, können Sie auch domainbasierte Zugangskontrollen verwenden.
Das Statement:
denydomain hacker.com
verweigert die Anmeldung von jeder IP-Adresse, die auf einen Hostnamen in der
Domain hacker.com aufgelöst wird. Das Statement allowdomain
funktioniert genau andersherum:
allowdomain company.com deny 0.0.0.0/0.0.0.0
gewährt die Anmeldung von jeder IP-Adresse, die auf einen Hostnamen in der Domain company.com aufgelöst wird.
Domainbasierte Zugangskontrollen verursachen einen sogenannten Reverse Lookup nach dem Hostnamen einer jeden IP-Adresse, die zur Anmeldung am Server verwendet wird. Wenn Sie IP-Adressen nutzen, die nicht per „Reverse Lookup“ auflösbar sind, können Time-outs auftreten, die den Verbindungsaufbau zum Server verlangsamen. Beachten Sie bitte, dass jeder Anwender, der eine Namensauflösung bei einer Auswahl von IP-Adressen durchführen darf, nicht nur seine eigenen Domains sondern auch beliebige Domains in seinen Reverse DNS Mappings angeben kann.
Die folgende Fehlermeldung kann auftreten, falls die Suchdomain nicht in den Netzwerkeinstellungen des Hosts eingetragen ist:
"Can’t get IP-Address for hostname (%s). Please check network configuration. Error (%d)."