第 32 章 网络服务器

配置 inetd 是通过编辑 /etc/inetd.conf 文件来完成的。该配置文件的每一行表示一个可以由 inetd 启动的应用程序。默认情况下，每一行都以注释（#）开头，表示 inetd 不监听任何应用程序。要配置 inetd 监听应用程序的连接，请删除该应用程序行开头的 #。

在保存您的编辑后，通过编辑 /etc/rc.conf 配置 inetd 在系统启动时启动：

要立即启动 inetd，以便它监听您配置的服务，请键入：

一旦 inetd 启动，每当对 /etc/inetd.conf 文件进行修改时，需要通知它。

通常情况下，应用程序的默认条目无需编辑，只需删除 # 即可。在某些情况下，可能需要编辑默认条目。

作为一个例子，这是 IPv4 上 ftpd(8) 的默认条目：

一个条目中的七列如下：

在哪里：

像大多数服务器守护程序一样， inetd 有一些选项可以用来修改其行为。默认情况下，inetd 使用 -wW -C 60 启动。这些选项启用了所有服务的 TCP 包装器，包括内部服务，并防止任何 IP 地址在一分钟内请求超过 60 次的服务。

要更改传递给 inetd 的默认选项，请在 /etc/rc.conf 中添加一个 inetd_flags 条目。如果 inetd 已经在运行，请使用 service inetd restart 重新启动它。

可用的速率限制选项有：

还有其他选项可用。请参考 inetd(8) 获取完整的选项列表。

许多可以由 inetd 管理的守护进程并不注重安全性。一些守护进程，比如 fingerd，可能提供对攻击者有用的信息。只启用所需的服务，并监控系统是否存在过多的连接尝试。可以使用 max-connections-per-ip-per-minute、max-child 和 max-child-per-ip 来限制此类攻击。

默认情况下，TCP 包装器是启用的。请参考 hosts_access(5) 了解如何在各种 inetd 调用的守护进程上设置 TCP 限制的更多信息。

NFS 服务器将共享的文件系统在 /etc/exports 文件中指定。该文件中的每一行都指定了要导出的文件系统，客户端对该文件系统的访问权限以及任何访问选项。在向该文件添加条目时，每个导出的文件系统、其属性和允许的主机必须出现在同一行上。如果条目中没有列出客户端，则任何网络上的客户端都可以挂载该文件系统。

以下是示例的 /etc/exports 条目，演示了如何导出文件系统。这些示例可以根据读者网络上的文件系统和客户端名称进行修改。在此文件中可以使用许多选项，但这里只提到了一些。有关所有选项的完整列表，请参阅 exports(5) 。

这个示例展示了如何将 /cdrom 导出到名为 alpha、bravo 和 charlie 的三台主机：

-ro 标志使文件系统变为只读，防止客户端对导出的文件系统进行任何更改。此示例假设主机名要么在 DNS 中，要么在 /etc/hosts 文件中。如果网络没有 DNS 服务器，请参考 hosts(5)。

下面的示例通过 IP 地址将 /home 导出给三个客户端。这对于没有 DNS 或 /etc/hosts 条目的网络非常有用。 -alldirs 标志允许子目录作为挂载点。换句话说，它不会自动挂载子目录，但会允许客户端根据需要挂载所需的目录。

下一个示例将 /a 导出，以便来自不同域的两个客户端可以访问该文件系统。-maproot=root 允许远程系统上的 root 用户以 root 身份在导出的文件系统上写入数据。如果未指定 -maproot=root ，客户端的 root 用户将被映射到服务器的 nobody 账户，并受到为 nobody 定义的访问限制的约束。

每个文件系统只能指定一个客户端。例如，如果 /usr 是一个单独的文件系统，那么这些条目将是无效的，因为两个条目都指定了相同的主机：

在这种情况下，正确的格式是使用一个条目：

下面是一个有效的导出列表示例，其中 /usr 和 /exports 是本地文件系统：

要在启动时启用 NFS 服务器所需的进程，请将以下选项添加到 /etc/rc.conf 文件中：

现在可以通过运行以下命令来启动服务器：

每当 NFS 服务器启动时，mountd 也会自动启动。然而，mountd 只在启动时读取 /etc/exports 文件。为了使后续对 /etc/exports 文件的编辑立即生效，强制 mountd 重新读取它：

请参考 nfsv4(4) 了解 NFS 版本 4 的设置描述。

要启用 NFS 客户端，请在每个客户端的 /etc/rc.conf 文件中设置此选项：

然后，在每个 NFS 客户端上运行以下命令：

客户端现在已经拥有了挂载远程文件系统所需的一切。在这些示例中，服务器的名称是 server，客户端的名称是 client。要将 server 上的 /home 挂载到 client 上的 /mnt 挂载点，可以执行以下操作：

现在，位于 /home 目录中的文件和目录将在 client 上的 /mnt 目录中可用。

要在每次客户端启动时挂载远程文件系统，请将其添加到 /etc/fstab 文件中：

请参考 fstab(5)，了解所有可用选项的描述。

某些应用程序需要文件锁定才能正常运行。要启用锁定，请在客户端和服务器上执行以下命令：

然后启动服务：

如果服务器上不需要锁定，可以在运行 mount 时包含 -L 来配置 NFS 客户端进行本地锁定。有关详细信息，请参阅 mount_nfs(8) 。

autofs(5) 设施是几个组件的通用名称，这些组件一起允许在访问文件系统中的文件或目录时自动挂载远程和本地文件系统。它由内核组件 autofs(5) 和几个用户空间应用程序 automount(8)、automountd(8) 和 autounmountd(8) 组成。它作为先前的 FreeBSD 版本中 amd(8) 的替代品。amd 仍然提供向后兼容性，因为两者使用不同的映射格式；autofs 使用的映射格式与其他 SVR4 自动挂载程序（如 Solaris、MacOS X 和 Linux 中的自动挂载程序）相同。

autofs(5) 虚拟文件系统由 automount(8) 在指定的挂载点上挂载，通常在启动过程中调用。

每当一个进程尝试访问 autofs(5) 挂载点中的文件时，内核将通知 automountd(8) 守护进程并暂停触发进程。 automountd(8) 守护进程将通过查找正确的映射并根据其挂载文件系统来处理内核请求，然后向内核发出释放被阻塞进程的信号。 autounmountd(8) 守护进程会在一段时间后自动卸载自动挂载的文件系统，除非它们仍在使用中。

主要的 autofs 配置文件是 /etc/auto_master。它将各个映射分配给顶级挂载点。有关 auto_master 和映射语法的解释，请参考 auto_master(5) 。

在 /net 上挂载了一个特殊的自动挂载映射。当在该目录中访问文件时，autofs(5) 会查找相应的远程挂载并自动挂载它。例如，尝试访问 /net/foobar/usr 中的文件会告诉 automountd(8) 从主机 foobar 挂载 /usr 导出。

showmount 命令的输出显示 /usr 目录被导出。当切换到 /host/foobar/usr 目录时， automountd(8) 会拦截请求并尝试解析主机名 foobar。如果成功，automountd(8) 会自动挂载源导出。

要在启动时启用 autofs(5)，请将以下行添加到 /etc/rc.conf 中：

然后可以通过运行 autofs(5) 来启动 autofs[5]。

autofs(5) 映射格式与其他操作系统相同。来自其他来源的关于该格式的信息可能会很有用，比如 Mac OS X 文档 。

请参考 automount(8)、automountd(8)、autounmountd(8) 和 auto_master(5) 手册页面获取更多信息。

表 28.1 总结了 NIS 使用的术语和重要过程。

在 NIS 环境中有三种类型的主机：

许多文件的信息可以通过 NIS 共享。master.passwd、group 和 hosts 文件通常通过 NIS 共享。每当客户端上的进程需要通常在这些文件中找到的信息时，它会向绑定的 NIS 服务器发出查询。

本节描述了一个示例的 NIS 环境，该环境由 15 台 FreeBSD 机器组成，没有集中的管理点。每台机器都有自己的 /etc/passwd 和 /etc/master.passwd 文件。这些文件只能通过手动干预来保持同步。目前，当在实验室中添加用户时，这个过程必须在所有 15 台机器上重复执行。

实验室的配置如下：

如果这是第一次开发 NIS 方案，应该提前进行彻底的规划。无论网络规模如何，规划过程中需要做出几个决策。

所有 NIS 文件的规范副本存储在主服务器上。用于存储信息的数据库称为 NIS 映射。在 FreeBSD 中，这些映射存储在 /var/yp/[domainname] 中，其中 [domainname] 是 NIS 域的名称。由于支持多个域，因此可能会有多个目录，每个域一个目录。每个域都有自己独立的映射集。

NIS 主服务器和从服务器通过 ypserv(8) 处理所有 NIS 请求。该守护进程负责接收来自 NIS 客户端的传入请求，将请求的域和映射名称转换为相应数据库文件的路径，并将数据库中的数据传输回客户端。

根据环境需求，设置主 NIS 服务器可以相对简单。由于 FreeBSD 提供了内置的 NIS 支持，只需要通过将以下行添加到 /etc/rc.conf 来启用 NIS ：

在一个多服务器域中，需要注意服务器机器也是 NIS 客户端的情况。通常最好强制服务器绑定到自己，而不是允许它们广播绑定请求并可能相互绑定。如果一个服务器崩溃，其他服务器依赖于它，可能会出现奇怪的故障模式。最终，所有客户端都会超时并尝试绑定到其他服务器，但涉及的延迟可能相当大，并且故障模式仍然存在，因为服务器可能会再次相互绑定。

一个既是服务器又是客户端的服务器可以通过在 /etc/rc.conf 中添加以下额外的行来强制绑定到特定的服务器：

保存编辑后，输入 /etc/netstart 来重新启动网络并应用在 /etc/rc.conf 中定义的值。在初始化 NIS 映射之前，启动 ypserv(8)：

要设置一个 NIS 从服务器，登录到从服务器并像主服务器一样编辑 /etc/rc.conf。不要生成任何 NIS 映射，因为这些映射已经存在于主服务器上。在从服务器上运行 ypinit 时，使用 -s（代表从服务器）而不是 -m （代表主服务器）。此选项除了域名外，还需要提供 NIS 主服务器的名称，如下例所示：

这将在从服务器上生成一个名为 /var/yp/test-domain 的目录，其中包含 NIS 主服务器映射的副本。在每个从服务器上添加这些 /etc/crontab 条目将强制从服务器将其映射与主服务器上的映射同步：

这些条目不是强制性的，因为主服务器会自动尝试将任何映射更改推送到从服务器。然而，由于客户端可能依赖从服务器提供正确的密码信息，建议强制频繁更新密码映射。这在繁忙的网络上尤为重要，因为映射更新可能并不总是完成。

要完成配置，请在从服务器上运行 /etc/netstart 以启动 NIS 服务。

一个 NIS 客户端使用 ypbind(8) 绑定到一个 NIS 服务器。这个守护进程在本地网络上广播 RPC 请求。这些请求指定了客户端上配置的域名。如果同一域中的一个 NIS 服务器接收到其中一个广播，它将回应 ypbind，并记录服务器的地址。如果有多个可用的服务器，客户端将使用第一个回应的服务器的地址，并将所有的 NIS 请求定向到该服务器。客户端会定期自动 ping 服务器，以确保它仍然可用。如果在合理的时间内未收到回复，ypbind 将标记该域为未绑定，并重新开始广播，希望找到另一个服务器。

要将 FreeBSD 机器配置为 NIS 客户端：

要立即启动 NIS 客户端，请以超级用户身份执行以下命令：

完成这些步骤后，在客户端上运行 ypcat passwd 应该显示服务器的 passwd 映射。

由于 RPC 是基于广播的服务，因此在同一域中运行 ypbind 的任何系统都可以检索 NIS 映射的内容。为了防止未经授权的事务， ypserv(8) 支持一个名为"securenets"的功能，可以用来限制对给定一组主机的访问。默认情况下，此信息存储在 /var/yp/securenets 中，除非 ypserv(8) 使用 -p 和替代路径启动。该文件包含由空格分隔的网络规范和网络掩码组成的条目。以 ` "#" ` 开头的行被视为注释。一个示例的 securenets 可能如下所示：

如果 ypserv(8) 接收到与这些规则匹配的地址的请求，它将正常处理该请求。如果地址未能匹配规则，请求将被忽略，并记录一条警告信息。如果 securenets 不存在，ypserv 将允许来自任何主机的连接。

TCP Wrapper 是一种替代的访问控制机制，用于提供对 securenets 的访问控制。虽然这两种访问控制机制都增加了一定的安全性，但它们都容易受到“IP 欺骗”攻击的影响。所有与 NIS 相关的流量都应该在防火墙上被阻止。

使用 securenets 的服务器可能无法为使用过时的 TCP/IP 实现的合法 NIS 客户端提供服务。其中一些实现在进行广播时将所有主机位设置为零，或者在计算广播地址时未观察子网掩码。虽然可以通过更改客户端配置来解决其中一些问题，但其他问题可能会迫使退役这些客户端系统或放弃 securenets。

使用 TCP Wrapper 会增加 NIS 服务器的延迟。额外的延迟可能足够长，以至于在繁忙的网络中，特别是在速度较慢的 NIS 服务器上，会导致客户端程序超时。如果一个或多个客户端受到延迟的影响，将这些客户端转换为 NIS 从服务器，并强制它们绑定到自己。

在较大的网络上，禁止特定用户登录到个别系统变得不可扩展，并且很快失去了 NIS 的主要优势：_集中化_管理。

Netgroups 是为处理具有数百个用户和机器的大型复杂网络而开发的。它们的使用类似于 UNIX® 组，主要区别在于缺乏数字 ID，并且可以通过包含用户账户和其他 netgroups 来定义 netgroup。

为了扩展本章中使用的示例，NIS 域将被扩展以添加表 28.2 和 28.3 中显示的用户和系统。

在使用 netgroups 配置这种情况时，每个用户都被分配到一个或多个 netgroups，并且登录权限会对 netgroup 的所有成员进行允许或禁止。当添加一个新的机器时，必须为所有 netgroups 定义登录限制。当添加一个新用户时，必须将该账户添加到一个或多个 netgroups 中。如果 NIS 设置得当，只需要修改一个中央配置文件就可以授予或拒绝对机器的访问权限。

第一步是初始化 NIS 的 netgroup 映射。在 FreeBSD 中，默认情况下不会创建此映射。在 NIS 主服务器上，使用编辑器创建一个名为 /var/yp/netgroup 的映射。

这个例子创建了四个网络组，分别代表 IT 员工、IT 学徒、员工和实习生：

每个条目配置一个 netgroup。条目中的第一列是 netgroup 的名称。每对括号表示一个或多个用户的组或另一个 netgroup 的名称。在指定用户时，每个组内的三个逗号分隔字段表示：

如果一个组包含多个用户，请使用空格分隔每个用户。此外，每个字段可以包含通配符。有关详细信息，请参阅 netgroup(5)。

不应使用超过 8 个字符的 Netgroup 名称。这些名称区分大小写，使用大写字母作为 Netgroup 名称是区分用户、机器和 Netgroup 名称的简单方法。

一些非 FreeBSD 的 NIS 客户端无法处理包含超过 15 个条目的 netgroup。可以通过创建多个包含 15 个或更少用户的子 netgroup 以及一个由子 netgroup 组成的真正的 netgroup 来绕过此限制，如下面的示例所示：

如果单个网络组中存在超过 225 个（15 乘以 15）用户，请重复此过程。

要激活和分发新的 NIS 映射：

这将生成三个 NIS 映射文件 netgroup、netgroup.byhost 和 netgroup.byuser。使用 ypcat(1) 的映射键选项来检查新的 NIS 映射文件是否可用：

第一个命令的输出应该类似于 /var/yp/netgroup 文件的内容。只有在创建了特定主机的 netgroup 时，第二个命令才会产生输出。第三个命令用于获取用户的 netgroup 列表。

要配置客户端，请使用 vipw(8) 来指定 netgroup 的名称。例如，在名为 war 的服务器上，替换这一行：

with

这指定只有在 netgroup IT_EMP 中定义的用户将被导入到此系统的密码数据库中，并且只有这些用户被允许登录到此系统。

此配置也适用于 shell 的 ~ 函数和所有在用户名称和数字用户 ID 之间转换的例程。换句话说，cd ~user 将无法工作，ls -l 将显示数字 ID 而不是用户名，find . -user joe -print 将以 No such user 的消息失败。要解决此问题，导入所有用户条目时不允许它们登录到服务器。可以通过添加额外的一行来实现这一点：

这行配置将客户端配置为导入所有条目，但将这些条目中的 shell 替换为 /usr/sbin/nologin。

请确保在 +@IT_EMP::::::::: _之后_放置额外的空行。否则，从 NIS 导入的所有用户帐户将将 /usr/sbin/nologin 作为其登录 shell，而没有人将能够登录到系统。

要配置较不重要的服务器，请将服务器上的旧 +::::::::: 替换为以下行：

工作站的相应行为：

NIS 支持从其他 netgroups 创建 netgroups，这在用户访问策略发生变化时非常有用。一个可能的情况是创建基于角色的 netgroups。例如，可以创建一个名为 BIGSRV 的 netgroup 来定义重要服务器的登录限制，另一个名为 SMALLSRV 的 netgroup 用于不太重要的服务器，以及一个名为 USERBOX 的 netgroup 用于工作站。每个 netgroup 都包含被允许登录到这些机器上的 netgroups。NIS`netgroup` 映射的新条目如下所示：

当能够定义具有相同限制的机器组时，这种定义登录限制的方法运作得相当不错。不幸的是，这只是个例而不是规则。大多数情况下，需要能够按照每台机器的基础定义登录限制。

机器特定的网络组定义是处理策略变更的另一种可能性。在这种情况下，每个系统的 /etc/master.passwd 文件包含两行以"+"开头的内容。第一行添加了一个允许登录到该机器的帐户的网络组，第二行添加了所有其他帐户，并将其 shell 设置为 /usr/sbin/nologin。建议使用主机名的大写版本作为网络组的名称：

一旦在所有机器上完成了这个任务，就不再需要再次修改本地版本的 /etc/master.passwd 文件了。所有后续的更改都可以通过修改 NIS 映射来处理。以下是一个可能的 netgroup 映射的示例：

并不总是建议使用基于机器的网络组。当部署几十个或几百个系统时，可以使用基于角色的网络组代替基于机器的网络组，以保持 NIS 映射的大小在合理范围内。

NIS 要求 NIS 域内的所有主机使用相同的密码加密格式。如果用户在 NIS 客户端上认证时遇到问题，可能是由于密码格式不同。在异构网络中，该格式必须由所有操作系统支持，其中 DES 是最低公共标准。

要检查服务器或客户端使用的格式，请查看 /etc/login.conf 文件的这个部分：

在这个例子中，系统使用 DES 格式进行密码哈希。其他可能的值包括 blf 表示 Blowfish，md5 表示 MD5，sha256 和 sha512 分别表示 SHA-256 和 SHA-512。要获取更多信息和系统上可用选项的最新列表，请参考 crypt(3) 手册页。

如果需要编辑主机上的格式以匹配在 NIS 域中使用的格式，则在保存更改后必须重新构建登录能力数据库。

在开始配置之前，需要了解 LDAP 使用的几个术语。所有目录条目由一组_属性_组成。每个属性集都包含一个称为_Distinguished Name_（DN）的唯一标识符，通常由其他属性（如常见的或_Relative Distinguished Name_ （RDN））构建而成。类似于目录具有绝对路径和相对路径，可以将 DN 视为绝对路径，将 RDN 视为相对路径。

一个示例 LDAP 条目如下所示。此示例搜索指定用户帐户（uid）、组织单位（ou）和组织（o）的条目：

这个示例条目显示了 dn、mail、cn、uid 和 telephoneNumber 属性的值。cn 属性是 RDN。

有关 LDAP 及其术语的更多信息，请访问 http://www.openldap.org/doc/admin24/intro.html。

FreeBSD 没有提供内置的 LDAP 服务器。开始配置过程，需要安装 net/openldap-server 包或者使用 port 进行安装。

在 package 中启用了一组大量的默认选项。通过运行 pkg info openldap-server 来查看它们。如果它们不足够（例如需要 SQL 支持），请考虑使用适当的 framework 重新编译该 port。

安装过程会创建目录 /var/db/openldap-data 来存储数据。必须创建用于存储证书的目录：

下一步是配置证书颁发机构。以下命令必须从 /usr/local/etc/openldap/private 目录下执行。这很重要，因为文件权限需要限制，并且用户不应该访问这些文件。有关证书及其参数的更详细信息，请参阅 OpenSSL。要创建证书颁发机构，请使用以下命令并按照提示进行操作：

提示的条目可以是通用的，除了 Common Name 之外。这个条目必须与系统主机名_不同_。如果这将是一个自签名证书，请在主机名前加上 CA 表示证书颁发机构。

下一步是创建证书签名请求和私钥。输入以下命令并按照提示进行操作：

在证书生成过程中，请确保正确设置 Common Name 属性。证书签名请求必须由证书颁发机构签名，才能用作有效证书。

证书生成过程的最后一步是生成和签署客户端证书：

在提示时，请记得使用相同的 Common Name 属性。完成后，请确保通过前面的命令生成了总共八（8）个新文件。

运行 OpenLDAP 服务器的守护进程是 slapd。它的配置是通过 slapd.ldif 文件进行的：旧的 slapd.conf 已被 OpenLDAP 弃用。

配置示例 可以在 slapd.ldif 中找到，并且还可以在 /usr/local/etc/openldap/slapd.ldif.sample 中找到。选项在 slapd-config(5) 中有文档记录。slapd.ldif 的每个部分，就像所有其他 LDAP 属性集一样，都通过 DN 唯一标识。请确保在 dn: 语句和所需部分的末尾之间没有空行。在下面的示例中，将使用 TLS 来实现安全通道。第一部分表示全局配置：

在这里必须指定证书颁发机构、服务器证书和服务器私钥文件。建议让客户端选择安全密码并省略选项 olcTLSCipherSuite （与除 openssl 之外的 TLS 客户端不兼容）。选项 olcTLSProtocolMin 允许服务器要求最低安全级别：建议使用。虽然服务器必须进行验证，但客户端不需要：olcTLSVerifyClient: never。

第二部分是关于后端模块的，可以按照以下方式进行配置：

第三部分专门用于加载数据库所需的 ldif 模式：它们是必不可少的。

接下来是前端配置部分：

另一个部分专门介绍了 配置后端，这是以全局超级用户的身份访问 OpenLDAP 服务器配置的唯一方式。

默认管理员用户名是 cn=config。在 shell 中输入 slappasswd ，选择一个密码并使用其哈希值填写到 olcRootPW 中。如果在导入 slapd.ldif 之前没有指定此选项，将来将无法修改 全局配置 部分。

最后一节是关于数据库后端的内容：

该数据库托管了 LDAP 目录的实际内容。除了 mdb 之外，还有其他类型可用。它的超级用户（与全局用户不同）在这里进行配置： olcRootDN 中是一个（可能是自定义的）用户名，olcRootPW 中是密码哈希值；可以像以前一样使用 slappasswd。

这个 仓库 包含了四个 slapd.ldif 的示例。要将现有的 slapd.conf 转换为 slapd.ldif ，请参考 此页面 （请注意，这可能会引入一些无用的选项）。

配置完成后，必须将 slapd.ldif 放置在一个空目录中。建议将其创建为：

导入配置数据库：

启动 slapd 守护进程：

可以使用选项 -d 进行调试，如在 slapd(8) 中所指定的那样。要验证服务器是否正在运行和工作：

服务器仍然必须是可信的。如果之前从未进行过此操作，请按照以下说明进行操作。安装 OpenSSL 软件包或 port：

从存储 ca.crt 的目录（在本例中为 /usr/local/etc/openldap）中运行：

CA 证书和服务器证书现在在各自的角色中被正确识别。要验证这一点，请从 server.crt 目录中运行以下命令：

如果 slapd 正在运行，请重新启动它。如 /usr/local/etc/rc.d/slapd 中所述，为了在启动时正确运行 slapd ，必须将以下行添加到 /etc/rc.conf：

slapd 在启动时不提供调试功能。请检查 /var/log/debug.log、dmesg -a 和 /var/log/messages 以进行调试。

以下示例将组 team 和用户 john 添加到仍为空的 domain.example LDAP 数据库中。首先，创建文件 domain.ldif：

请参阅 OpenLDAP 文档以获取更多详细信息。使用 slappasswd 将明文密码 secret 替换为 userPassword 中的哈希值。在允许 john 登录的所有系统中，指定的路径 loginShell 必须存在。最后，使用 mdb 管理员来修改数据库：

只有全局超级用户才能对 global configuration 部分进行修改。例如，假设最初指定了选项 olcTLSCipherSuite: HIGH:MEDIUM:SSLv3，现在必须删除该选项。首先，创建一个包含以下内容的文件：

然后，应用修改：

当被询问时，请提供在 configuration backend 部分选择的密码。用户名不是必需的：在这里，cn=config 表示要修改的数据库部分的 DN。或者，使用 ldapmodify 删除数据库的单行，ldapdelete 删除整个条目。

如果出现问题，或者全局超级用户无法访问配置后端，可以删除并重新编写整个配置：

可以编辑并重新导入 slapd.ldif 文件。请在没有其他解决方案可用时才按照此步骤操作。

这仅是服务器的配置。同一台机器还可以托管一个 LDAP 客户端，具有独立的配置。

FreeBSD 安装程序中包含了 DHCP 客户端支持，这使得配置新安装的系统从现有的 DHCP 服务器自动获取网络地址信息变得非常容易。有关网络配置的示例，请参考 帐户、时区、服务和加固。

当在客户端机器上执行 dhclient 命令时，它开始广播请求配置信息。默认情况下，这些请求使用 UDP 端口 68 。服务器在 UDP 端口 67 上回复，给客户端分配一个 IP 地址和其他相关的网络信息，如子网掩码、默认网关和 DNS 服务器地址。这些信息以 DHCP "租约"的形式存在，并且在可配置的时间内有效。这样可以自动重用不再连接到网络的客户端的过时 IP 地址。DHCP 客户端可以从服务器获取大量信息。详细列表可在 dhcp-options(5) 中找到。

默认情况下，当 FreeBSD 系统启动时，它的 DHCP 客户端在后台或异步运行。在 DHCP 过程完成时，其他启动脚本继续运行，从而加快了系统的启动速度。

后台 DHCP 在 DHCP 服务器快速响应客户端请求时运行良好。然而，在某些系统上，DHCP 可能需要很长时间才能完成。如果网络服务在 DHCP 分配网络地址信息之前尝试运行，它们将失败。使用同步模式的 DHCP 可以解决这个问题，因为它会暂停启动过程，直到 DHCP 配置完成。

这行代码在 /etc/rc.conf 文件中用于配置后台或异步模式：

如果系统在安装过程中配置为使用 DHCP，则此行可能已经存在。在这些示例中，将 fxp0 替换为要动态配置的接口的名称，如 “设置网络接口卡” 中所述。

要配置系统使用同步模式，并在启动过程中暂停，直到 DHCP 完成，请使用"`SYNCDHCP`"。

还有其他的客户端选项可用。在 rc.conf(5) 中搜索 dhclient 以获取详细信息。

DHCP 客户端使用以下文件：

本节演示了如何使用 Internet Systems Consortium (ISC) 实现的 DHCP 服务器将 FreeBSD 系统配置为 DHCP 服务器。可以使用 net/isc-dhcp44-server 软件包或 port 安装此实现及其文档。

net/isc-dhcp44-server 将安装一个示例配置文件。将 /usr/local/etc/dhcpd.conf.example 复制到 /usr/local/etc/dhcpd.conf，并对这个新文件进行任何编辑。

配置文件由子网和主机的声明组成，这些声明定义了提供给 DHCP 客户端的信息。例如，以下行配置了以下内容：

此配置文件支持更多选项。有关详细信息和示例，请参阅与服务器一起安装的 dhcpd.conf(5)。

完成 dhcpd.conf 的配置后，在 /etc/rc.conf 中启用 DHCP 服务器：

将 dc0 替换为 DHCP 服务器应该监听 DHCP 客户端请求的接口（或接口，用空格分隔）。

通过执行以下命令启动服务器：

对服务器配置的任何未来更改都需要停止 dhcpd 服务，然后使用 service(8) 启动。

DHCP 服务器使用以下文件。请注意，手册页面已与服务器软件一起安装。

名称服务器通常有两种形式：权威名称服务器和缓存（也称为解析）名称服务器。

当需要一个权威名称服务器时：

当需要缓存名称服务器时：

当查询 www.FreeBSD.org 时，解析器通常会查询上行 ISP 的名称服务器，并检索回复。使用本地缓存的 DNS 服务器，查询只需由缓存的 DNS 服务器向外部世界发起一次。由于信息被本地缓存，额外的查询将不需要离开本地网络。

Unbound 在 FreeBSD 基本系统中提供。默认情况下，它只为本地机器提供 DNS 解析。虽然基本系统包可以配置为提供超出本地机器的解析服务，但建议通过从 FreeBSD Ports Collection 安装 Unbound 来满足此类需求。

要启用 Unbound ，请将以下内容添加到 /etc/rc.conf 文件中：

在新的 Unbound 配置中，任何已存在的名字服务器在 /etc/resolv.conf 文件中将被配置为转发器。

一旦确认每个域名服务器都支持 DNSSEC，启动 Unbound ：

这将负责更新 /etc/resolv.conf 以便查询 DNSSEC 安全域名能够正常工作。例如，运行以下命令来验证 FreeBSD.org 的 DNSSEC 信任树：

FreeBSD 在基本系统中不提供权威名称服务器软件。鼓励用户安装第三方应用程序，如 dns/nsd 或 dns/bind918 包或 port。

在 FreeBSD 中，主要的 Apache HTTP 服务器配置文件被安装在 /usr/local/etc/apache2x/httpd.conf，其中 x 代表版本号。这个 ASCII 文本文件以 # 开头的行作为注释。最经常修改的指令有：

在进行更改之前，始终将默认的 Apache 配置文件备份是一个好主意。当 Apache 的配置完成后，保存文件并使用 apachectl 验证配置。运行 apachectl configtest 应该返回 Syntax OK。

要在系统启动时启动 Apache，请将以下行添加到 /etc/rc.conf 文件中：

如果要使用非默认选项启动 Apache，则可以将以下行添加到 /etc/rc.conf 以指定所需的标志：

如果 apachectl 没有报告配置错误，请立即启动 httpd ：

可以通过在 Web 浏览器中输入 http://localhost 来测试 httpd 服务，将 localhost 替换为运行 httpd 的机器的完全限定域名。显示的默认网页是 /usr/local/www/apache24/data/index.html。

在 httpd 运行时，可以使用以下命令测试 Apache 配置是否存在错误：

虚拟主机允许多个网站在一个 Apache 服务器上运行。虚拟主机可以是基于 IP 的或基于名称的。基于 IP 的虚拟主机为每个网站使用不同的 IP 地址。基于名称的虚拟主机使用客户端的 HTTP/1.1 头部来确定主机名，这样可以让多个网站共享同一个 IP 地址。

要设置 Apache 使用基于名称的虚拟主机，为每个网站添加一个 VirtualHost 块。例如，对于名为 www.domain.tld 的 Web 服务器，其虚拟域为 www.someotherdomain.tld，请将以下条目添加到 httpd.conf 文件中：

对于每个虚拟主机，请将 ServerName 和 DocumentRoot 的值替换为要使用的值。

有关设置虚拟主机的更多信息，请参阅官方 Apache 文档：http://httpd.apache.org/docs/vhosts/[http://httpd.apache.org/docs/vhosts/]。

Apache 使用模块来增强基本服务器提供的功能。请参考 http://httpd.apache.org/docs/current/mod/，了解可用模块的完整列表和配置细节。

在 FreeBSD 中，一些模块可以使用 www/apache24 port 进行编译。在 /usr/ports/www/apache24 目录下输入 make config 命令可以查看可用的模块以及默认启用的模块。如果模块没有与端口一起编译，FreeBSD Ports Collection 提供了一种简单的方法来安装许多模块。本节介绍了三个最常用的模块。

除了 mod_perl 和 mod_php 之外，还有其他语言可用于创建动态网页内容。这些包括 Django 和 Ruby on Rails。

最重要的配置步骤是决定哪些账户将被允许访问 FTP 服务器。FreeBSD 系统有许多系统账户，不应该允许 FTP 访问。不允许任何 FTP 访问的用户列表可以在 /etc/ftpusers 中找到。默认情况下，它包括系统账户。可以添加其他不允许访问 FTP 的用户。

在某些情况下，可能希望限制某些用户的访问权限，而不完全阻止他们使用 FTP。可以通过创建 /etc/ftpchroot 文件来实现，如 ftpchroot(5) 中所述。该文件列出了受 FTP 访问限制的用户和组。

要启用服务器的匿名 FTP 访问，请在 FreeBSD 系统上创建一个名为 ftp 的用户。然后用户将能够使用用户名 ftp 或 anonymous 登录到 FTP 服务器。当提示输入密码时，任何输入都将被接受，但按照惯例，应将电子邮件地址用作密码。当匿名用户登录时，FTP 服务器将调用 chroot(2) 来限制访问仅限于 ftp 用户的主目录。

有两个文本文件可以创建，用于指定要显示给 FTP 客户端的欢迎消息。/etc/ftpwelcome 的内容将在用户到达登录提示之前显示给他们。成功登录后，将显示 /etc/ftpmotd 的内容。请注意，该文件的路径是相对于登录环境的，因此对于匿名用户，将显示 ~ftp/etc/ftpmotd 的内容。

一旦配置了 FTP 服务器，将适当的变量设置在 /etc/rc.conf 中，以便在启动时启动该服务：

立即启动服务：

通过输入以下命令来测试与 FTP 服务器的连接：

ftpd 守护进程使用 syslog(3) 来记录日志消息。默认情况下，系统日志守护进程将会将与 FTP 相关的消息写入到 /var/log/xferlog 文件中。FTP 日志的位置可以通过修改 /etc/syslog.conf 文件中的以下行来进行更改：

Samba 的配置文件位于 /usr/local/etc/smb4.conf。在使用 Samba 之前，必须先创建该文件。

这里展示了一个简单的 smb4.conf 文件，用于在工作组中与 Windows® 客户端共享目录和打印机。对于涉及 LDAP 或 Active Directory 的更复杂设置，使用 samba-tool(8) 创建初始的 smb4.conf 更为简便。

要在启动时启用 Samba ，请将以下行添加到 /etc/rc.conf 文件中：

立即启动 Samba：

Samba 由三个独立的守护进程组成。nmbd 和 smbd 守护进程都由 samba_enable 启动。如果还需要 winbind 名称解析，请设置：

可以随时通过键入以下命令停止 Samba：

Samba 是一个复杂的软件套件，具有与 Microsoft® Windows® 网络广泛集成的功能。有关超出此处所描述的基本配置的功能的更多信息，请参阅 https://www.samba.org 。

在 FreeBSD 上，可以使用内置的 ntpd 来同步系统的时钟。ntpd 是使用 rc.conf(5) 变量和 /etc/ntp.conf 进行配置的，详细信息请参见以下章节。

ntpd 通过 UDP 数据包与其网络对等方进行通信。您的机器与其 NTP 对等方之间的任何防火墙都必须配置为允许端口 123 上的 UDP 数据包的进出。

ntpd 在正常运行时不需要与互联网保持永久连接。然而，如果配置了 PPP 连接以按需拨号，应该阻止 NTP 流量触发拨号或保持连接活动。这可以通过在 /etc/ppp/ppp.conf 文件中使用 filter 指令进行配置。例如：

有关更多详细信息，请参阅 ppp(8) 中的 PACKET FILTERING 部分以及 /usr/share/examples/ppp/ 中的示例。

要配置一个 iSCSI 目标，需要创建一个名为 /etc/ctl.conf 的配置文件，然后在 /etc/rc.conf 中添加一行，以确保 ctld(8) 守护进程在启动时自动启动，最后启动守护进程。

以下是一个简单的 /etc/ctl.conf 配置文件的示例。有关此文件可用选项的更完整描述，请参阅 ctl.conf(5) 。

第一个条目定义了 pg0 门户组。门户组定义了 ctld(8) 守护进程将监听哪些网络地址。discovery-auth-group no-authentication 条目表示任何发起者都可以在没有身份验证的情况下执行 iSCSI 目标发现。第三和第四行配置 ctld(8) 在默认端口 3260 上监听所有 IPv4（listen 0.0.0.0）和 IPv6（listen [::]）地址。

不需要定义一个门户组，因为有一个内置的门户组叫做 default。在这种情况下，default 和 pg0 的区别在于，使用 default 时，目标发现始终被拒绝，而使用 pg0 时，目标发现始终被允许。

第二个条目定义了一个单一的目标。目标有两个可能的含义：一个用于提供 iSCSI 服务的机器，或者是一个命名的 LUN 组。这个示例使用了后者的含义，其中 iqn.2012-06.com.example:target0 是目标名称。这个目标名称适用于测试目的。实际使用时，将 com.example 更改为真实的域名，反转过来。2012-06 代表获取该域名控制权的年份和月份，而 target0 可以是任何值。在这个配置文件中可以定义任意数量的目标。

auth-group no-authentication 行允许所有发起者连接到指定的目标，而 portal-group pg0 则通过 pg0 门户组使目标可访问。

下一节定义了 LUN。对于发起者来说，每个 LUN 将被视为一个独立的磁盘设备。每个目标可以定义多个 LUN。每个 LUN 由一个数字标识，其中 LUN 0 是必需的。path /data/target0-0 行定义了支持 LUN 的文件或 zvol 的完整路径。在启动 ctld(8) 之前，该路径必须存在。第二行是可选的，用于指定 LUN 的大小。

接下来，为了确保 ctld(8) 守护进程在启动时自动启动，请将以下行添加到 /etc/rc.conf 文件中：

要启动 ctld(8) ，请运行以下命令：

当启动 ctld(8) 守护进程时，它会读取 /etc/ctl.conf 文件。如果在守护进程启动后编辑了此文件，请使用此命令使更改立即生效：

iSCSI 发起者要求 iscsid(8) 守护进程正在运行。该守护进程不使用配置文件。要在启动时自动启动它，请将以下行添加到 /etc/rc.conf 文件中：

要启动 iscsid(8)，请运行以下命令：

连接到目标可以使用或不使用 /etc/iscsi.conf 配置文件。本节演示了两种类型的连接方式。