LDAP und KMAIL mit S/MIME
Hallo Liste Hintergrund: Ich möchte gerne KMAIL mit S/MIME (Zertifizierung) nutzen (Stichwort Ägypten/Kleopatra) in verbindung mit einem OPENLDAP-Server. Durchgeführte Maßnahmen: Für die Erstellung des selfsign Zertifikates (CA) und der Userzertifikate habe ich TinyCA verwendet (mit einer scriptsammlung aus dem netz ssl.ca-01 funtzte es auch, und die openssl eigenen *.pl scripte sollten auch hinhauen). Das alles läuft nach mehr oder weniger intensivem rumfuckeln auch soweit, dass ich via Kleopatra Zertifikate (CA-cert, UserCerts) importieren und fürs mailing benutzen kann. Bei ein Paar Usern ist das kein Problem, sollten es mehr werden, ist die Pflege sehr aufwendig. Die Beste Lösung ist ein zentaler Verzeichnisdienst (LDAP), in dem ich jedem Benutzer den öffentliches Teil seines Zertifikates für die anderen lesbar hinterlege. (an meinem LDAP Server authentifiziert sich jeder Benutzer beim login via TLS und die Homeverzeichnisse werden durch automounter/nfs zur verfügung gestellt). Das ist auch geschehen (obj.class=inetorgPerson mit dem attribyteType=userSMIMECertificate bzw userCertificate) Probleme: in Kmail/Kleopatra auf dem Client habe ich (stichwort dirmngr) den Ldapserver eingetragen, der versucht den slapd extern abzufragen. Nur scheitert die Abfrage, und ethereal spuckt als grund einen protocolError aus. (manuals halfen bis jetzt auch nicht weiter) ???Frage??? Hat jemand schon mit der Sache Erfahrung gemacht, oder vielleicht eine Anleitung parat (im netz ist alles so global gehalten)? Und wie bekomme ich das CAcert für alle lesbar in den slapd (die objectClass=certificationAuthority scheiterte immer an dem Attr.Type=authorityRevocationList). Danke im Voraus Jerome
debmirror und fehlende schlüssel
Hallo Leute Seit ca 90 Minuten funktioniert mein debmirror nicht mehr. Ich habe das via http von ftp.de.debian.org und ftp2.de.debian.org probiert und bekomme nur folgende fehlermeldung. gpg: Unterschrift vom Do 30 Dez 2004 21:26:27 CET, RSA Schlüssel ID 1DB114E0 gpg: Unterschrift kann nicht geprüft werden: Öffentlicher Schlüssel nicht gefunden gpg: Unterschrift vom Do 30 Dez 2004 21:26:46 CET, RSA Schlüssel ID 1DB114E0 gpg: Unterschrift kann nicht geprüft werden: Öffentlicher Schlüssel nicht gefunden Failed to download some Package, Sources, Contents or release files! releasing 1 pending lock... at /usr/lib/perl5/LockFile/Simple.pm line 182. hat da bei debian jemand den schlüssel vergessen zu kopieren? Jerome
Re: debmirror und fehlende schlüssel
Hallo Leute Seit ca 90 Minuten funktioniert mein debmirror nicht mehr. Ich habe das via http von ftp.de.debian.org und ftp2.de.debian.org probiert und bekomme nur folgende fehlermeldung. gpg: Unterschrift vom Do 30 Dez 2004 21:26:27 CET, RSA Schlüssel ID 1DB114E0 Dein gnupg findet die Sclüssel nicht auf den keyservern :( s.a, den Eintrag keyserver x-hkp://keyserver.kjsl.com in ~/gnupg/options. Hallo Elimar ich habe (mit der installation durch debmirror) in der ~/gnupg/gpg.conf nur folgenden eintrag stehen keyserver hkp://subkeys.pgp.net weisst du eine alternative dazu? bis denne Jerome
Re: kdm/gdm - Auschalten/Neustart
* [EMAIL PROTECTED] [EMAIL PROTECTED] [20041213 14:56]: ja, das wär mit einigen Widerstand möglich (die kommen alle von der $MS Schiene) Also zuhause konnte ich das auch meiner Mutter beibringen ;) Eine andere Möglichkeit gibt es IMHO nicht, weil ja Gnome bzw KDE mit Userrechten laufen und so zunächst einmal gar nicht berechtigt sind, den Rechner herunterzufahren. Ich nehme an, dass sie gdm/kdm in einer Art IPC entsprechende Anweisungen geben. jedoch bin ich dann auf den kdm beschränkt, da der gdm nur das Herunterfahren mittels root passwort erlaubt (zumindest habe ich keine Konfiguration dafür gefunden, um das mit normalen useraccounts hinzubekommen) gdm-config ausführen, die Option heißt secure system menu oder so ähnlich. danke, ich habe den knopf gerade gefunden. Hatte es vorher übersehen( die Hilfe hat auch nichts genaueres beschrieben). Achja, dein Mailprogramm macht leider References kaputt und dein Quoting ist auch falsch (http://learn.to/quote/ hilft). mein mailprogramm ist das einer direktvervindung via browser (443) in richtung strato( komme nicht raus mit 25, 110 oder 143, da hier ein Paketfilter im einsatz ist). ich habe mich auch schon geärgert, dass ich dort keine option für einen Anzeigename finde. (muss mich doch mal bei einem anderen anmelden). ach so,und das quoting lerne ich noch :-) Gruss Jerome
kdm/gdm - Auschalten/Neustart
Hallo Leute Folgendes Problem: Ausschalten/Neustart Dialog 1. melde ich mich vom kdm am kde an, so bekomme ich beim beenden den oben erwähnten Dialog angezeigt 2. melde ich mich vom gdm am gnome an, so bekomme ich beim beenden den oben erwähnten Dialog angezeigt 3. melde ich mich vom kdm am gnome und vom gdm am kde an, so bekomme ich beim Abmelden nur den Beenden Knopf und nicht die Button Neustart oder Ausschalten angezeigt. Da sich einige User an dem Rechner anmelden, und diese einen der beiden Windowmanager wählen können, soll die Neustarten und Ausschalten Funktion bei beiden erhalten bleiben. Die Möglichkeit mit sudo Buttons zu hinterlegen geht zwar auch, aber es stellt für mich keine Ausreichende Lösung dieses Problems dar. Wie bekomme ich nur die Buttons überall angezeigt? Grüße Jerome
Re: kdm/gdm - Auschalten/Neustart
Hallo Leute Folgendes Problem: Ausschalten/Neustart Dialog 1. melde ich mich vom kdm am kde an, so bekomme ich beim beenden den oben erwähnten Dialog angezeigt 2. melde ich mich vom gdm am gnome an, so bekomme ich beim beenden den oben erwähnten Dialog angezeigt 3. melde ich mich vom kdm am gnome und vom gdm am kde an, so bekomme ich beim Abmelden nur den Beenden Knopf und nicht die Button Neustart oder Ausschalten angezeigt. Da sich einige User an dem Rechner anmelden, und diese einen der beiden Windowmanager wählen können, soll die Neustarten und Ausschalten Funktion bei beiden erhalten bleiben. Die Möglichkeit mit sudo Buttons zu hinterlegen geht zwar auch, aber es stellt für mich keine Ausreichende Lösung dieses Problems dar. Wie bekomme ich nur die Buttons überall angezeigt? Grüße Jerome Hmm ... soweit ich weiß gar nicht. Aber ist es denn nicht möglich, dass sich ein User /zuerst/ ausloggt und /dann/ den Rechner herunterfährt? Also das muss man den Leuten doch beibringen können ;) Grüße, Felix hallo felix ja, das wär mit einigen Widerstand möglich (die kommen alle von der $MS Schiene), jedoch bin ich dann auf den kdm beschränkt, da der gdm nur das Herunterfahren mittels root passwort erlaubt (zumindest habe ich keine Konfiguration dafür gefunden, um das mit normalen useraccounts hinzubekommen) Bis denne Jerome
Re: LDAP / passwd
Bjoern Schmidt wrote: [EMAIL PROTECTED] wrote: Deine /etc/pam.d/passwd hat bei mir tatellos funktioniert. Hmm, ich kann trotz der pam_cracklib.so unsichere Passworte wie 'f' setzen. Ist das bei Dir auch so? Bitte teste das mal. Aber nur als root. Vielleicht ist das so in Ordnung... -- Mit freundlichen Gruessen Bjoern Schmidt Hi Björn Das stimmt, ich kann als root unbeachtet der cracklib die passwörter ändern. Der meckert zwar beim erstellen rum wenn er seine wörterbuchdateien durchforstet, macht es aber dann trotzdem. ich habe Dir mal die geschehnisse mit strace verfolgt und den relevanten Teil angehangen. -- Enter login(LDAP) password: New UNIX password: open(/var/cache/cracklib/cracklib_dict.pwd, O_RDONLY) = 6 open(/var/cache/cracklib/cracklib_dict.pwi, O_RDONLY) = 7 open(/var/cache/cracklib/cracklib_dict.hwm, O_RDONLY) = 8 BAD PASSWORD: it's WAY too short Retype new UNIX password: LDAP password information changed for Jerome passwd: password updated successfully - als user funktioniert nur ein Passwort, das von der cracklib als sicher erachtet wird Weiterhin meine slapd.conf - include /etc/ldap/schema/core.schema include /etc/ldap/schema/cosine.schema include /etc/ldap/schema/nis.schema include /etc/ldap/schema/inetorgperson.schema include /etc/ldap/schema/automount.schema schemacheck on pidfile /var/run/slapd/slapd.pid argsfile/var/run/slapd.args loglevel0 modulepath /usr/lib/ldap moduleload back_ldbm backend ldbm databaseldbm suffix dc=debian,dc=homezone,dc=sgh directory /var/lib/ldap index uid,cn,sn pres,eq index objectClass eq lastmod on sizelimit -1 TLSCipherSuite HIGH:MEDIUM:+SSLv2 TLSCertificateFile /etc/ldap/ssl/server.crt TLSCertificateKeyFile /etc/ldap/ssl/server.key TLSCACertificateFile/etc/ssl/certs/rootCA.crt TLSVerifyClient never access to attribute=userPassword by dn=cn=admin,dc=debian,dc=homezone,dc=sgh write by anonymous auth by self write by * none access to * by dn=cn=admin,dc=debian,dc=homezone,dc=sgh write by * read -- versionsnummer vom slapd = 2.1.30-3 viel erfolg Jerome
Re: LDAP / passwd
Hi Jerome, danke für die Antwort ;) [EMAIL PROTECTED] wrote: Ich kenne dieses Problem zwar nicht, jedoch scheint es so, als ob in der /etc/pam.d/passwd was nicht stimmt. Hier mal meine --- auth sufficient /lib/security/pam_ldap.so auth required /lib/security/pam_unix_auth.so use_first_pass accountsufficient /lib/security/pam_ldap.so accountrequired /lib/security/pam_unix_acct.so password required /lib/security/pam_cracklib.so retry=3 password sufficient /lib/security/pam_ldap.so password required /lib/security/pam_pwdb.so try_first_pass -- Ich habe mal Deine Config ausprobiert, brachte aber nichts. Im Gegenteil... [EMAIL PROTECTED]:/etc/pam.d# passwd devel023 Enter login(LDAP) password: New UNIX password: Retype new UNIX password: New password: Re-enter new password: LDAP password information update failed: Unknown error use bind to verify old password passwd: Permission denied Wenn ich auf diese gleiche Art das Passwort ändere bekomme ich auch einen Fehler angezeigt, jedoch mit dem Unterschied, dass ich es ändern konnte. Kannste meine pam-Config mal testen? Von der weiß ich dass sie grundsätzlich funktioniert: password required /lib/security/pam_cracklib.so retry=3 minlen=6 difok=3 password sufficient /lib/security/pam_ldap.so use_first_pass use_authtok password sufficient /lib/security/pam_unix.so use_first_pass use_authtok obscure md5 shadow password required /lib/security/pam_deny.so LDAP password information changed for Jerome passwd: Authentication token manipulation error Im übrigen ist die passwd bzw.chpasswd Version gegenüber zu SuSE 9.1 (der bei mir ebenfalls als ldapclient eingerichtet ist) funktional enorm beschnitten. bei SuSE funktioniert zb. ein #passwd -D cn=admin,dc=deinebase Jerome oder noch komfortabler #echo Jerome:neuespasswort | chpasswd -D cn=admin,dc=deinebase ---danach musst Du nur noch dein admin passwort eingeben Na ja, ldappasswd würde ja auch gehen. Aber ich passwd username wäre mir lieber (zumal es schonmal lief). -- Mit freundlichen Gruessen Bjoern Schmidt Hallo Björn Hattest Du das jetzt hinbekommen ? Deine /etc/pam.d/passwd hat bei mir tatellos funktioniert. Meine eingesetzte libpam_ldap version auf dem client ist die 1.69-1. Hast Du mal dein TLS (ich denke mal das du verschlüsselst arbeitest) abgeschaltet, und mit etherreal die Pakete analysiert ? Vielleicht ist das ein server problem? Ich hatte mir mal mit dem passwd kommando meine datenbank (bdb) zerhauen. Da habe ich just auf diesem ldaplient (sarge) mit useradd einen benutzer jerome anlgelegt (local, mit eigenem Homeverzeichnis). Ein Benutzer Jerome (mit großem J) existierte zu diesem Zeitpunkt auch in der Ldapdatenbank. Bis dahin war alles normal, jedoch ein passwd jerome ausgeführt auf dem client brachte die Serverlast auf 100%. Ein neustart des ldapservers (reboot der maschine) brachte auch keine Abhilfe (kurz danach wieder 100%), top hatte ja immer noch den slapd als verursacher ausgemacht. Das Neueinspielen meiner Sicherung half letztendlich. Ich habe dann nach einigen googlen mit dpkg-reconfigure slapd die datenbank auf ldbm umgestellt. Soll performanter und fehlerunanfälliger sein. Jedoch hat sich diese Meinung nur auf Erfahrungen gestützt. Jerome
Re: LDAP / passwd
Hi Jerome, danke für die Antwort ;) [EMAIL PROTECTED] wrote: Ich kenne dieses Problem zwar nicht, jedoch scheint es so, als ob in der /etc/pam.d/passwd was nicht stimmt. Hier mal meine --- auth sufficient /lib/security/pam_ldap.so auth required /lib/security/pam_unix_auth.so use_first_pass accountsufficient /lib/security/pam_ldap.so accountrequired /lib/security/pam_unix_acct.so password required /lib/security/pam_cracklib.so retry=3 password sufficient /lib/security/pam_ldap.so password required /lib/security/pam_pwdb.so try_first_pass -- Ich habe mal Deine Config ausprobiert, brachte aber nichts. Im Gegenteil... [EMAIL PROTECTED]:/etc/pam.d# passwd devel023 Enter login(LDAP) password: New UNIX password: Retype new UNIX password: New password: Re-enter new password: LDAP password information update failed: Unknown error use bind to verify old password passwd: Permission denied Wenn ich auf diese gleiche Art das Passwort ändere bekomme ich auch einen Fehler angezeigt, jedoch mit dem Unterschied, dass ich es ändern konnte. Kannste meine pam-Config mal testen? Von der weiß ich dass sie grundsätzlich funktioniert: password required /lib/security/pam_cracklib.so retry=3 minlen=6 difok=3 password sufficient /lib/security/pam_ldap.so use_first_pass use_authtok password sufficient /lib/security/pam_unix.so use_first_pass use_authtok obscure md5 shadow password required /lib/security/pam_deny.so LDAP password information changed for Jerome passwd: Authentication token manipulation error Im übrigen ist die passwd bzw.chpasswd Version gegenüber zu SuSE 9.1 (der bei mir ebenfalls als ldapclient eingerichtet ist) funktional enorm beschnitten. bei SuSE funktioniert zb. ein #passwd -D cn=admin,dc=deinebase Jerome oder noch komfortabler #echo Jerome:neuespasswort | chpasswd -D cn=admin,dc=deinebase ---danach musst Du nur noch dein admin passwort eingeben Na ja, ldappasswd würde ja auch gehen. Aber ich passwd username wäre mir lieber (zumal es schonmal lief). -- Mit freundlichen Gruessen Bjoern Schmidt Hallo Björn Hattest Du das jetzt hinbekommen ? Deine /etc/pam.d/passwd hat bei mir tatellos funktioniert. Meine eingesetzte libpam_ldap version auf dem client ist die 1.69-1. Hast Du mal dein TLS (ich denke mal das du verschlüsselst arbeitest) abgeschaltet, und mit etherreal die Pakete analysiert ? Vielleicht ist das ein server problem? Ich hatte mir mal mit dem passwd kommando meine datenbank (bdb) zerhauen. Da habe ich just auf diesem ldaplient (sarge) mit useradd einen benutzer jerome anlgelegt (local, mit eigenem Homeverzeichnis). Ein Benutzer Jerome (mit großem J) existierte zu diesem Zeitpunkt auch in der Ldapdatenbank. Bis dahin war alles normal, jedoch ein passwd jerome ausgeführt auf dem client brachte die Serverlast auf 100%. Ein neustart des ldapservers (reboot der maschine) brachte auch keine Abhilfe (kurz danach wieder 100%), top hatte ja immer noch den slapd als verursacher ausgemacht. Das Neueinspielen meiner Sicherung half letztendlich. Ich habe dann nach einigen googlen mit dpkg-reconfigure slapd die datenbank auf ldbm umgestellt. Soll performanter und fehlerunanfälliger sein. Jedoch hat sich diese Meinung nur auf Erfahrungen gestützt. Jerome
Re: Internet sehr langsam
Hallo Jan, Hallo, Andreas! search Net-for-Home.com nameserver 192.168.70.254 nameserver 217.237.149.225 nameserver 194.25.2.129 Hmm, so wie ich das sehe sind die letzten beiden IPs die Nameserver von T-Online, soweit so gut. Aber die erste dort oben ist eine IP aus deinem internen Netz - und das könnte ein Problem sein. Ich tippe mal darauf, dass dies die IP deines Routers (die des Ethernet-Ports der Eumex) ist. Ich habe zwar einen Acer DSL Router, aber der macht manchmal auch Probleme, wenn man ihn als DNS angibt. Also streich mal den ersten Eintrag und probiers dann nochmal :-) Die IP des Routers war es. Jetzt läuft das Netz wieder wie es sich gehört. Vielen Dank. Andreas Geht den ein Download mittels statischer IP schneller? Cheers, Jan Hallo Jan Die Antwort lautet NÖ. In dem Moment wo Du die IP hast ist sie ja fest für einen gewissen Zeitraum zugewiesen. Der DHCP acktualisierungsverkehr ist s minimal an größe, das es nicht der rede wert ist, sogar wenn du theoretisch die default-lease time im dhcp server auf eine sekunde setzen würdest, was aber unsinnig ist. Jerome
DNS - Reverse Lookup
Hallo Leute gibt es jemanden da draussen, der mir die Notwendigkeit einer Reverse Lookupzone genau erklären kann. Ich meine nicht die 0.in-addr.arpa, 127.in-addr.arpa oder 255.in-addr.arpa, sondern die für den jeweiligen IP-Adressbereich. Ich arbeite mit Personen des Kleinweich Betriebsystems zusammen, die haben natürlich Exchange im Einsatz, und ohne diese reverse zone läuft das Ding nicht. Postfix zB. braucht keine, 100%-tig nicht. Die Menschen hier meinen, ohne das würde das Internet gar nicht funktionieren. (Ethereal hat aber schon das gegenteil bewiesen). Es ist doch so, dass ich mich mit einem Rechner irgendwo auf dieser Welt mittels IP-Adresse verbinde. Damit ich mir nicht immer die Adressen merken muss hat man vor ca. 20 Jahren das DNS entwickelt. (Namensauflösung vom FQDN zur IP-Addresse ,forward genannt). Dass es auch eine reverse zone gibt, ist doch eigentlich nur kosmetischer Natur (das mag vielleicht dig, host oder nslookup vielleicht beeindrucken). Meiner Anwendung interressiert es nicht die Bohne, wenn ich mich mit einer IP verbinde, was für ein FQDN sich dahinter verbirgt. ARP ist hier das Zauberwort. Oder liege ich da falsch ?? Jerome
RE: DNS - Reverse Lookup
Hi jerome, prinzipiell brauchste das nicht nur ist es für Mailserver durchaus anzuraten auch die IP per Reverse Lookup aufzulösen da manche Spam-Filter das als Kriterium benutzen. ansonsten ist mir kein grund bekannt für den das nötig wäre. Grüsse Alex Hi Andreas Ja das wäre vielleicht ein Kriterium, in dem der MAILserver die im Envelope stehende Adresse nochmals via reverse vergleicht. Ich habe letzen Monat einen Postfix Kurs besucht, der Dozent war kein geringerer als Peer Heinlein (www.postfixbuch.de, etliche artikel im Linux Magazin schon veröffentlicht). Noch nicht einmal für die Mailserver ist es heute wichtig, da die ja ohnehin RBL (Blacklists) nach IP's abfragen. Jerome PS: einen Kurs bei Ihm und seiner Truppe kann ich nur emfehlen.
Re: Webserver und protforwarding
hallo, wir sind in der schule dabei ne firewall und nen webserver aufzubauen, beide laufen mit woody. die internetverbindung wird über tdsl realisiert also mit dynamischer ip. der zugriff auf den webserver erfolgt über eine ..de adresse die auf eine dyndnsadresse verweist. nun möchten die leute aus dem selben netz über die .de adresse darauf zugreifen was aber aus dem lokalem netz nicht funktioniert. für das forwarding wird iptables benutzt iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 80 -j DNAT --to 192.168.100.1 die 192.168.100.1 ist ein cisco router der das weiter forwardet. 172.16.0.0 netz in diesem netz befindet sich der webserver I I I 192.168.100.0 Netztransfernetz (router-firewall) I I I Firewall I I I INternet wenn dire leute aus dem 172.16 netz einen öffentlichen proxy einstellen ist der zugriff über die .de adresse möglich. wie mache ich es nu damit der proxy nicht nötig ist und der zugriff über .de trotzdem möglich ist? gruss marius Hi Marius Deine ausführungen sind nicht ganz durchsichtig. Die iptables chain ist aber richtig. Du hast jedoch ein klassisches Routing-Problem. geh mal ein deinen webserver und und versetze mal deine netzwerkkarte in den promicuous mode (hier die erste karte) und lausche mal an port 80 tcpdump -i eth0 port 80 -n schau mal ob überhaupt pakete ankommen wenn du die webseiten aufrufst. wenn ja? wohin gehen die? ist deine Rückroute die Richtige, oder versucht er das mit der default route aufzulösen? route -n schafft gewissheit Aber aufgrund der Sicherheit, würde ich euch nicht dazu raten mit einigen iptables regeln einen server von aussen zu erreichen. Der Webserver muss in eine DMZ. sollte nämlich jemand diesen von aussen kompremittieren, so hat er leichtes Spiel auf den Rest der Rechner zuzugreifen.Und das wäre fatal, wenn die Lehrer PC's davon betroffen wären. Wie Ihr mit relativ alter hardware eine DMZ zum laufen bekommt (100MHZ mit 16MB reichen) verrät auch das IPCOP projekt. Die Installation ist kinderleicht und der bedienung lässt kaum wünsche offen. Und wenn Ihr wollt könnt Ihr gleich den Cisco router und euren dsl router ersetzen damit ersetzen. gruss Jerome Das aktuelle 1.4. release ist gerande erschienen http://www.ipcop.org/ PS: bedenket: dieses ist nur ein Paketfilter. Intrusion Detection, Vierenschutz etc. ist damit noch nicht effektiv abgedekt
Re: cms für debian
--- Ursprüngliche Nachricht --- Datum: 19.10.2004 23:37 Von: Michael Ott [EMAIL PROTECTED] An: Debian User List [EMAIL PROTECTED] Betreff: cms für debian Hallo Ihr! Ich suche ein CMS, für das es auch Debian-Packages gibt. Das ich sarge einsetzen werde, sollte so was doch zu finden sein. Außerdem soll ein Mini-Shop dabei sein oder leicht dazucodebar sein Danke im Voraus CU Michael Hallo Micha Bei uns in der Firma setzen wir Phprojekt ein, enorm vielseitig, übersichtlich gegliederter Code und vor allem filigrane Rechteverteilung (anbindung an ldap auch möglich). Du brauchst dann nur noch einen SQL Server(egal ob MYSQL,MSSQL,Postgree oder Oracle), PHP und einen Apache. Das ist ein deutsches Projekt, und kommt mit 25 Sprachen daher. Erweiterungen für Shop, Backup etc. kannst Du Dir auch von der homepage runterladen. http.//phprojekt.de Wir sind außerordenlich zufrieden mit dieser groupware. bis denne Jerome
Re: passwd-problem
hallo liste, wie kann man das passwort in der shadow-datei mit bash-script selbst erzeugen? Hallo Jean das einrichten einer schar von bezutzern (hier 20) mit gleichzeitiger passwortvergabe kannst Du ganz leicht realisieren hier mit vorlage eines schon existierenden home verzeichnisses (siehe posting gestern) - #!/bin/bash for (( N=1 ; $N=20 ; N=$N+1 )); do useradd -m Nutzer$N -k /home/jerome echo Nutzer$N:passwort$N | chpasswd done - fertig Die benutzer melden sich dann wie folgt an Login: Nutzer1 Password: passwort wenn Dir das unpersönlich erscheint, dann kannst Du reale namen ja aus einer tab elle oder liste statt nur Nutzer verwenden (sed, grep, xargs, cut sind da kleine helferlein) TIPP: um die standardwerte z.b. minUserID, Benuzerdefinierte PATH Variable, umas k, Ablaufdatum, und und und zu ändern, musst Du die /etc/login.defs editieren) Viel Spass Dabei Jerome
Re: Gnome: Gruppen Menuestrukturen zuweisen
--- Ursprüngliche Nachricht --- Datum: 17.10.2004 16:01 Von: Gerhard Wendebourg [EMAIL PROTECTED] An: Debian Deutsch [EMAIL PROTECTED] Betreff: Gnome: Gruppen Menuestrukturen zuweisen Moin, moin, Nachdem Debian nun desktoptauglich geworden ist, die folgende Frage (den Einsatz von Multiuserterminals betreffend): kann ich Benutzergruppen Menuestrukturen als Default zuweisen ? Es geht darum, dass ich zb. fuer reine Anwender alle Admin-Programme aus den Menues entferne und diese auf das beschraenke, was sie brauchen (zb. Internet und Office). Ich moechte diesen Aufraeumvorgang aber nicht fuer jeden neuen Benutzer haben, den ich einrichte, sondern nach Gruppen organisieren, zb.: Office-User, Internet, Grafik... die jeweils ihre angepasste Menuestruktur und Desktop haben. gibt es damit / dafuer Erfahrungen / Tips ? -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl) Hallo Gerhard Wenn Du beim anlegen Deiner Benutzeraccounts mittels useradd die option -k verwendest, dann kannst Du Dir eine alternative Vorlage wählen (standard ist das /etc/skel) ein $useradd -D bringt die standardwerte zum vorschein ein $useradd -D /etc/default/useradd kopiert die default zur bearbeitung in das richtige verzeichnis jetzt kannst Du diese bearbeiten und beim nächsten useradd befehl, soweit keine speziellen Optionen mitgegeben, wird der user mit der vorlage erstellt !!useradd mi der o.a. -k Option!! ich erstelle einen nutzer gerald, der mein Homeverzeichnis als vorlage bekommt useradd -m gerald -k /home/jerome funtzt wunderprächtig Jerome
Re: Debian Sarge Installati on auf andere Rechner übertr agen
--- Ursprüngliche Nachricht --- Datum: 13.10.2004 18:55 Von: Jean Fiedler [EMAIL PROTECTED] An: [EMAIL PROTECTED] Betreff: Re: Debian Sarge Installati on auf andere Rechner übertr agen !!! Wenn Du die ganze Platte in einem Zug klonen willst dann brauchts Du nur Schritt 1 und 2 jedoch ohne bs=512 und count=1 durchzuführen !!! geht super! Habs in ner VmWare ausprobiert. Aber eine Frage dazu. Was ist, wenn jetzt die Client Festplatte ein zwei MB kleiner ist. Kann ja vielleicht sein. Zerhauts mir dann nicht meine Komplette Partitionstabelle? Sollte ich dann vielleicht bei der Installation. Die Partitionen insgesamt etwas kleiner machen als die gesamte festplatte (10 MB oder so). Damit es mir dann nicht alles zerschießt? -- +++ GMX DSL Premiumtarife 3 Monate gratis* + WLAN-Router 0,- EUR* +++ Clevere DSL-Nutzer wechseln jetzt zu GMX: http://www.gmx.net/de/go/dsl Hallo Jean Solange auf den von Dir beschriebenen MB keine Daten drauf sind (was der Normalfall ist) dann passiert nichts, nur das Ende der Partition wird im MBR dann falsch wiedergegeben. wenn kaum daten auf der letzten drauf sind, dann kannst Du den Inhalt weggkopieren, und mit fdisk oder einen anderen partitionierer diese partition löschen und neu anlegen. oder du nimmst das tool testdisk. mfg Jerome P.S: schau Dir mal das Programm parted an das kann noch viel mehr dinge wie fdisk/cfdisk
Re: Debian Sarge Installati on auf andere Rechner übertragen
--- Ursprüngliche Nachricht --- Datum: 13.10.2004 11:55 Von: Michelle Konzack [EMAIL PROTECTED] An: [EMAIL PROTECTED] Betreff: Re: Debian Sarge Installati on auf andere Rechner übertragen Am 2004-10-13 11:49:27, schrieb Jean Fiedler: Hallo Gegeben ca. 13 Rechner auf allen soll ein lokales Debian installiert werden. Wie kann ich einfach eine Installation auf die anderen rechner übertragen? Also im Prinzip ein Festplatten image. Es soll halt ein rechner wie der andere sein. Wie kann man das am besten bewerkstelligen? Gibts davür Tuts bzw. einfache lösungsmöglichkeiten? Mir fehlen ein paar Anregungen. Hallo Gegeben ca. 13 Rechner auf allen soll ein lokales Debian installiert werden. Wie kann ich einfach eine Installation auf die anderen rechner übertragen? Also im Prinzip ein Festplatten image. Es soll halt ein rechner wie der andere sein. Wie kann man das am besten bewerkstelligen? Gibts davür Tuts bzw. einfache lösungsmöglichkeiten? Mir fehlen ein paar Anregungen. Hallo Jean hier ein paar Anregungen ( 6 Stück) 1. das programm systemimager (nicht in debian enthalten), sehr komfortabel, nur benötigt es einigen konfigurationsaufwand http://www.systemimager.org 2. Man kann auch einen TFTP/BOOTP server einrichten,der die Images aufspielt, dieser ist auf der Debian Seite beschrieben Vorbereitung zu Punkt 3-6: am besten einen DHCP server aufsetzen, damit nicht immer von Hand die IP Adresse bei Knoppix oder einem rescue system geändert werden muss) 3. partimage/partimaged mittels KnoppixCD 4. mit einem rescue system oder knoppix von CD die partitionen einhängen, ein NFS,Samba Verzeichnis vom server mounten und dorthin sichern (der MBR muss mit dd mitgesichert werden)(ich nehme als beispiel mal die primären Masterplatte) Schritt 1. dd if=/dev/hda of=/pfad-zur-Sicherung/MBR-debian.img bs=512 count=1 Schritt 2. partitionen mounten (e.g. mount /dev/hda1 /1) und dann sichern cd /1 tar cvpzf /pfad-zur-Sicherung/hda1.tgz * Schritt 3. den MBR auf den Clients wieder einspielen dd if=/pfad-zur-Sicherung/MBR-debian.img /dev/hda Schritt 4. Clients neustarten - partitionen formatieren - ins knoppix einhängen und die archive zurückspielen tar xvzf /pfad-zur-Sicherung/hda1.tgz -C /1 Beachte (swap braucht nicht gesichert jedoch auf dem neuen system formatiert werden e.g. mkswap /dev/hda3) 5. Wenn Du eine nicht so große Partitionierung hast geht es mit dd und dem netcat (TCP/IP swiss army knife) am schnellsten. Diese Variante bevorzuge ich. -Knoppix Starten- der rechner von dem geklont wird nenne ich ab jetzt Server und auf dem das eingespielt werden soll Client, statt netcat kann man auch nc schreiben Schritt 1. den Client auf den MBR warten lassen nc -l -p 5 | dd of=/dev/hda ENTER Schritt 2. den Server den MBR schicken lassen dd if=/dev/hda bs=512 count=1 | nc 10.0.0.2 5 (10.0.0.2 = Client IP, 5 = Portnummer) ENTER (ABBRUCH nach erfolg mit CTRL+C) Schritt 3. Client neustarten Schritt 4. den Client auf die Partitionen warten lassen nc -l -p 5 | dd of=/dev/hda1 ENTER Schritt 5. den Server die partition schicken lassen dd if=/dev/hda1 | nc 10.0.0.2 5 ENTER Schritt 6. Schritt 4 und 5 für die entsprechenden Partitionen ausführen und dann neustart des geklonten clients !!! Wenn Du die ganze Platte in einem Zug klonen willst dann brauchts Du nur Schritt 1 und 2 jedoch ohne bs=512 und count=1 durchzuführen !!! 6. Wie 5. nur nicht jedesmal eine partition klonen sondern ein geziptes vorger angelegtes Image auf einer Maschine ablegen und zentral alle Clients gleichzeitig bedienen. Schritt 1. zentraler linux server lauscht und schiebt Image in datei nc -l -p 5 of=/Sicherungspfad/imagename.gzip.img ENTER Schritt 2. auf dem ersten Musterclient der geklont werden soll dd if=/dev/hda | gzip -9 | nc ServerIP 5 ENTER Schritt 3. alle Clients (soweit rescue oder Knoppix CD's da sind) hochfahren Schritt 4. jeden Client auf einem anderen Port lauschen lassen nc -l -p PORT | gunzip | dd of=/dev/hda ENTER Schritt 5. auf zentralem linux server mehrere Instanzen (dd's) starten dd if=/Sicherungspfad/imagename.gzip.img | nc Client-IP PORT (Client-IP und PORT unterscheiden sich bei den Instanzen) ENTER viel Spass beim ausprobieren Jerome
Re: Re: Kann Keine ACL's ändern
--- Ursprüngliche Nachricht --- Datum: 11.10.2004 15:07 Von: Richard Verwayen [EMAIL PROTECTED] An: [EMAIL PROTECTED] Betreff: Re: Kann Keine ACL's ändern On Mon, 2004-10-11 at 14:52, [EMAIL PROTECTED] wrote: Hi Leute, Hat jemand Erfahrung unter Sarge (krnl 2.6.8) mit den erweiterten Berechtigungen. Ein setfacl -m user:jerome:rwx,group:users:r-x verzeichnis funktioniert nicht und gibt folgender Fehlermeldung ---Die Operation wird nicht unterstützt--- Ich benutze ext3 und reiserfs und die pakete sind auch installiert. Wenn ich von SuSE das bewerkstellige klappt das einwandfrei. bis denn Wie lauten denn deine Mount-Optionen in /etc/fstab? Dort sollte anstatt defaults irgendwas mit acl stehen Versuch mal ein mount -o remount,acl /Mount-Point Dann sollte es funktionieren! Richard Hallo Richard danke, es funktioniert (i368), hätte mir auch in der fstab von SuSE auffallen müssen. Jedoch bei meinem iBook (knl 2.6.8-powerpc) klappt das nicht. EXT3 (no)acl options not supported - Ich werde mir dann doch mal die kernel sources holen müssen, und dort mal reinschauen, ob es da drin eine Einstellung für jenes Problem gibt. Jerome
Re: Re: Re: Kann Keine ACL's ändern
--- Ursprüngliche Nachricht --- Datum: 12.10.2004 11:11 Von: Richard Verwayen [EMAIL PROTECTED] An: [EMAIL PROTECTED] Betreff: Re: Re: Kann Keine ACL's ändern Hallo Jerome! Schön, das wenigstens das funktioniert! Schau mal bitte in deiner Kernel-Konfig, on folgendes aktiviert ist (eventuell als Module) CONFIG_EXT3_FS=y CONFIG_EXT3_FS_XATTR=y CONFIG_EXT3_FS_POSIX_ACL=y = ACLs!!! CONFIG_EXT3_FS_SECURITY=y Gruß Richard Hallo Richard Ich habe mal nachgeschaut, in den standard Sourcen des ppc kernels ist es tatsächlich nicht angeschaltet (auszug) CONFIG_EXT3_FS=y CONFIG_EXT3_FS_XATTR=y #CONFIG_EXT3_FS_POSIX_ACL is not set #CONFIG_EXT3_FS_SECURITY is not set jedoch habe ich eine Frage: welche funktion erfüllt FS_XATTR ? Gruß Jerome
Re: Re: Re: Kann Keine ACL's ändern
--- Ursprüngliche Nachricht --- Datum: 12.10.2004 11:11 Von: Richard Verwayen [EMAIL PROTECTED] An: [EMAIL PROTECTED] Betreff: Re: Re: Kann Keine ACL's ändern Hallo Jerome! Schön, das wenigstens das funktioniert! Schau mal bitte in deiner Kernel-Konfig, on folgendes aktiviert ist (eventuell als Module) CONFIG_EXT3_FS=y CONFIG_EXT3_FS_XATTR=y CONFIG_EXT3_FS_POSIX_ACL=y = ACLs!!! CONFIG_EXT3_FS_SECURITY=y Gruß Richard Hallo Richard Ich habe mal nachgeschaut, in den standard Sourcen des ppc kernels ist es tatsächlich nicht angeschaltet (auszug) CONFIG_EXT3_FS=y CONFIG_EXT3_FS_XATTR=y #CONFIG_EXT3_FS_POSIX_ACL is not set #CONFIG_EXT3_FS_SECURITY is not set jedoch habe ich eine Frage: welche funktion erfüllt FS_XATTR ? Gruß Jerome
Re: Kann Keine ACL's ändern
Genau kann ich dir das auch nicht sagen, aber vielleicht hilft dir die Hilfe in den Kernel-Quellen (s.u.) ja weiter! Jedenfalls wird es für die ACLs gebraucht! Ext3 extended attributes CONFIG_EXT3_FS_XATTR: Extended attributes are name:value pairs associated with inodes by the kernel or by users (see the attr(5) manual page, or visit http://acl.bestbits.at/ for details). You need this for POSIX ACL support on ext3. Richard danke ich werde mich der sache mal annehemen, zumal ich sowieso ebenfalls den ACL Support über NFS benötige. Jerome
Re: enttaeuschender sarge-Installer
Moin, moin, meine Erfahrungen mit dem sarge-installer verliefen bisher ausgesprochen frustrierend: er taugt nach meiner Einschaetzung bisher nicht, um den Woody-Installer zu ersetzen. Zu diesem Ergebnis bin ich gekommen nach mehreren chaotischen Installationsversuchen, bei denen z.b. die Netzinstallation in einer Schleife haengen blieb. Er scheint ausserdem sehr waehlerisch bei der Hardware zu sein: auf zwei meiner Rechner wollte er nicht die Netzkarte erkennen - Woody hatte hier keine Probleme gehabt. Letzteres finde ich noch nicht so gravierend. Dass ich aber auch keine Moeglichkeit habe, manuell Treibermodule von der CD einzubinden - wie noch bei Woody - sehe ich als schweres Defizit. Beide Rechner mussten somit autistisch (ohne Netz bleiben), bis ich mit der Woody-InstallCD nachgeholfen habe. Das Angebot des Sarge-Installers, ich koennte ja die fehlenden Module (u.a. via-rhine) von Diskette nachladen - in einer Zeit, in der immer mehr Rechner auf die Floppy verzichten - finde ich recht absurd: haben auf 700MB CD keine Treibermodule Platz / noch nicht einmal das Treiberarchiv bekannter Netzkarten / -chips ? Der ganze Vorteil der Hardwareerkennung wird hinfaellig, wenn ich nun auf einem andern Rechner dabei gehen muss und mir die passenden Treibermodule aus dem Netz ziehen, Kernel und Treiber kompilieren, bevor ich meine Installation auf einem neuen System machen kann. Habe ich hier irgendetwas / eine Option uebersehen, mit der das Ganze doch reibungslos funktioniert ? Gibt es im Uebrigen Treiberarchive, die ich auf CD vorhalten kann, um sie bei Bedarf einzusetzen, oder sind die Differenzen mit den fortlaufenden Kernelversionen so heftig, dass diese Moeglichkeit entfaellt ? Gruss / GW Hallo Gerhard Ich hatte auch solche probleme mit dem sarge installer, nachdem ich aber zum installieren nicht die gewohnte --install-- sondern --expert-- option genutzt hatte, fand ich nach diversen rumprobieren die richtigen einstellungen, vor allem was den kernel betrifft. Jerome -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Kann Keine ACL's ändern
Hi Leute, Hat jemand Erfahrung unter Sarge (krnl 2.6.8) mit den erweiterten Berechtigungen. Ein setfacl -m user:jerome:rwx,group:users:r-x verzeichnis funktioniert nicht und gibt folgender Fehlermeldung ---Die Operation wird nicht unterstützt--- Ich benutze ext3 und reiserfs und die pakete sind auch installiert. Wenn ich von SuSE das bewerkstellige klappt das einwandfrei. bis denn