Re: Centralne zarządzanie użytkownikami - nowy system
Jak doniosły WSI, dnia Tue, 16 Jan 2007 00:38:37 +0100 Jarek Buczyński <[EMAIL PROTECTED]> napisał(a): > Witajcie > > Po pewnych doświadczeniach z Linuksem i użytkownikami dochodzę do > wniosku że pojawia się pewien problem zarządzaniem loginam i hasłami. > Widać to szczególnie w przypadku samby, ftp i innych usług. Chodzi o > ze dochodzi do sytuacji gdzie jeden użytkownik ma przykładowo dwa > loginy do usług różne hasła itd. > > Czy jest możliwość aby sobie z tym w prosty sposób poradzić? Jeżeli > ktoś doświadczył (a na pewno tak)proszę o jakąś poradę. Słyszałem o > LDAP, Kerberos, PAM ale nigdy z tego nie korzystałem i nie wiem jak > wygląda współpraca z przykładowo ftp, sambą... itd. > > Co możecie polecić jako bezpieczne, niezawodne rozwiązanie? > > -- > Pozdrawiam > Witam, Proponuje coś takiego (u mnie dobrze działa): - Dane użytkowników, grup (istotnych), usług i co tam jeszcze chcesz w katalogu LDAP - Samba jako kontroler domeny dla klientów windowsowych (z NTML2) - ładnie współpracuje z LDAP'em (po SSL'u też), - Postfix - też ładnie współpracuje z LDAP'em, - courier - też (przez courier-authdaemon'a) - Squid - też (jeżeli używasz autentykacji na proxy) - własne CA (chyba że masz certyfikat) - jeśli chcesz wszędzie mieć zapytania do LDAP'a po SSL'u - do administracji używam pakiety smbldap-tools - do edycji ldapbrowser'a Jarka Gawora (działa pod wszystkim co ma javę - najlepsze narzędzie jakie testowałem do LDAP'a) Na razie nie można zrobić LDAP'a + Samby 3(jako PDC) i Kerberos'a (czyli nie da się uzyskać OpenSource'owego Active Directory :| ), ma to zaoferować dopiero Samba 4. Natomiast jeśli chcesz to możesz skerberyzować sobie wszystko pozostałe. Potencjalne problemy: - kilkanaście opisów na googlach - w tym wiekszość bezwartościowa lub niekompletna (ale kilka b. dobrych), - jak chcesz to zrobić dobrze - nie korzystaj z gosa, ebox'a itd., bo jak ci sie coś wywali to nie bedziesz wiedział gdzie szukać. - redundancja - czyli serwer replikacji, bo jak ci padnie ldap to nawet sie nie zalogujesz do domeny... Co do skalowalności - mam to zaimplementowane dla ponad 120 userów i ok. 100 maszyn i działa bardzo dobrze. Wg Samba-3 by Example (oficjalna dokumentacja) można to stosować dla 2000+ userów W razie czego pisz jak się zdecydujesz coś takiego wdrażać... Pozdr sm0q
Własny dynamiczny dns
Witam! Mam w pracy stałe IP, stoi tam bind, natomiast w domu mam zmienne publiczne IP. Jak zrobicz dynamiczny dns, aby komputer z domu aktualizował wpis na serwerze dns, po każdej zmianie IP? Jakieś linki? magiczne pyatnie do google? pozdrawiam Krzysiek
Odp: Własny dynamiczny dns
Dnia 16-01-2007 o godz. 18:30 Krzysztof Lew napisał(a): > Witam! > > Mam w pracy stałe IP, stoi tam bind, natomiast w domu mam zmienne > publiczne > IP. Jak zrobicz dynamiczny dns, aby komputer z domu aktualizował wpis na > serwerze dns, po każdej zmianie IP? > Jakieś linki? magiczne pyatnie do google? A nie wystarczy Ci cos takiego jak realizuje no-ip.org ? r. Zasady można łamać...tak jak ludzi Piła III - już w kinach!! http://klik.wp.pl/?adr=http%3A%2F%2Fadv.reklama.wp.pl%2Fas%2Fpilaiii.html&sid=989 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Odp: Własny dynamiczny dns
Dnia Tuesday 16 January 2007 18:42, Robert Pankowecki napisał: > Dnia 16-01-2007 o godz. 18:30 Krzysztof Lew napisał(a): > > Witam! > > > > Mam w pracy stałe IP, stoi tam bind, natomiast w domu mam zmienne > > publiczne > > IP. Jak zrobicz dynamiczny dns, aby komputer z domu aktualizował wpis na > > serwerze dns, po każdej zmianie IP? > > Jakieś linki? magiczne pyatnie do google? > > A nie wystarczy Ci cos takiego jak realizuje no-ip.org ? > > r. No wystarczy, ale chce mieć wszystko pod własną kontrolą i domeną :) Już znalazłem: http://www.wiejak.org/howto/dyndns.html pozdrawiam listę Krzysiek
Re: Własny dynamiczny dns
On Tue, Jan 16, 2007 at 06:30:40PM +0100, Krzysztof Lew wrote: > Witam! > > Mam w pracy stałe IP, stoi tam bind, natomiast w domu mam zmienne publiczne > IP. Jak zrobicz dynamiczny dns, aby komputer z domu aktualizował wpis na > serwerze dns, po każdej zmianie IP? Nie testowane, ogólna idea tylko (zwłaszcza regex do access.loga trzeba dopracować, bo nie chce mi się patrzeć jaki tam dokładnie jest format): w domu w crontabie: wget --user .. --password ... http://praca/trigger w pracy w crontabie: -- #!/bin/bash # to zakłada, że resolving w apache'u jest wyłączony # jeśli jest inaczej, to trzeba zrobić lookup PTR albo wstawić niżej # CNAME zamiast A ip=$(egrep '/trigger.* 200 ' /var/log/apache/access.log | tail -n 1 | awk '{print $1}') # XXX: race condition mv ~/ip ~/ip.prev echo ${ip} > ~/ip cmp ~/ip.prev ~/ip >/dev/null 2>&1 && exit 0 cat < /etc/bind/domena.zone domek IN A ${ip} END sudo ndc reload domena -- a w /var/www/.htaccess odpowiednio zapodać usera i hasło Marcin -- Marcin Owsiany <[EMAIL PROTECTED]> http://marcin.owsiany.pl/ GnuPG: 1024D/60F41216 FE67 DA2D 0ACA FC5E 3F75 D6F6 3A0D 8AA0 60F4 1216 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Własny dynamiczny dns
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Marcin Owsiany wrote: > Nie testowane, ogólna idea tylko (zwłaszcza regex do access.loga trzeba > dopracować, bo nie chce mi się patrzeć jaki tam dokładnie jest format): > > w domu w crontabie: > wget --user .. --password ... http://praca/trigger > > w pracy w crontabie: > > -- > #!/bin/bash > # to zakłada, że resolving w apache'u jest wyłączony > # jeśli jest inaczej, to trzeba zrobić lookup PTR albo wstawić niżej > # CNAME zamiast A > ip=$(egrep '/trigger.* 200 ' /var/log/apache/access.log | tail -n 1 | awk > '{print $1}') > # XXX: race condition > mv ~/ip ~/ip.prev > echo ${ip} > ~/ip > cmp ~/ip.prev ~/ip >/dev/null 2>&1 && exit 0 > cat < /etc/bind/domena.zone > domek IN A ${ip} > END > sudo ndc reload domena > -- > > a w /var/www/.htaccess odpowiednio zapodać usera i hasło Najlepiej i chyba najprościej będzie skorzystać z narzędzi, które oferuje sam Bind. Wygenerować klucz używając `dnssec-keygen`, skonfigurować serwer dns tak, żeby umożliwiał zdalną zmianę rekordu w strefie. Potem pozostaje napisać skrypt, który okresowo wywoływany np. przez crona sprawdza IP interesującego nas interfejsu, porównuje go z IP "zrezolwowanym" przez np `host` i gdy istnieje potrzeba - używając `nsupdate` uaktualnia rekord w strefie. Jedyny "babol" takiego rozwiązania jest taki, że jak już raz zaczynamy w ten sposób aktualizować strefę, to nie możemy/nie powinniśmy zmieniać jej ręcznie (poprawcie mnie, jeżeli się mylę). Jakiś czas temu napisałem takiego "klienta" w Pythonie - jakby ktoś był zainteresowany, to mogę podesłać - cud to to nie jest, ale podstawowa funkcjonalność była - ZTCP testowałem go pod Linuksem, FreeBSD i Solarisem. - -- pozdrawiam, Maciej Suszko. -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (FreeBSD) iD8DBQFFrSsqCikUk0l7iGoRAgPHAJwK7DajAjUKM9cnl4AQBYWTRau2UwCZATqI WSo4u/07eqw8cGti1EH1EkA= =13xH -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Etch Mozilla -> Iceape problem
Krzysztof Jastrzębski napisał: > > Innymi słowy: apt-get remove --purge + apt-get install > Kurna, zrobiłem i dalej to samo. Nie mam wielu pomysłów, ale być może kwestią jest tutaj istnienie /etc/mozilla I /etc/iceape; Usuwając teraz iceape nie usunęłeś /etc/mozilla i problem pozostaje. Poza tym czy jest różnica, jeśli uruchamiasz przez "iceape", a nie przez "mozilla" (choć wątpię) oraz czy próbowałeś po tym wszystkim jeszcze raz przenieść gdzieś ~/.mozilla. > > http://pk1l.w.interia.pl/iceape-locale-pl_1.0.6-0.1_all.deb > > Chętnie bym spróbował tylko najpierw w ogóle chciałbym go uruchomić... Ostatecznie pozostaje też google & strace :) Pozdrawiam -- Jacek Kawa **Serious men who seldom smiled would not be amused to hear that the invasive spirit he wanted exorcized was his own.** ['Carpe Jugulum'] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
iproute2-2.6.19-061214
Witam Mam problem z kompilacja iproute2-2.6.19-061214 pod Sarge. Wywyala mi bledy typu: ../include/linux/netfilter_ipv4/ip_tables.h:115:39: linux/netfilter/xt_tcpudp.h: Nie ma takiego pliku ani katalogu Jakie pomysly? -- Pozdrowienia, Maciek -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
RE: Centralne zarządzanie użytkownikami - nowy system
Witam > W razie czego pisz jak się zdecydujesz coś takiego wdrażać... Ok. Twoje rozwiązanie wygląda ciekawie i wygląda tez że ma więcej zalet niż wad :) Na początek chciałbym zrobić ftp (vsftpd) z uwierzytelnianiem. Jak na razie mam zainstalowane LDAPServer, LDAPClient oraz VSFTPD. I co dalej? :) Obecnie na ftp można zalogować się używając loginu i hasła z linuksa, użytkownicy mają dostęp tylko do swoich katalogów domowy - to jest zrobione. Jak dodać kolejnych użytkowników i połączyć z autoryzacją ftp + dostęp tylko do pewnych katalogów a nie całego roota? > Potencjalne problemy: > - kilkanaście opisów na googlach - w tym wiekszość bezwartościowa lub > niekompletna (ale kilka b. dobrych) To gdzie są te dobre? -- Pozdrawiam
squirrelmail i wolne dzialanie
hejka zauwazylem ze zaczyna mi sie mulic squirrelmail uzywam courier imap-a zwyklego i ssl wzasadzie dzialanie imapa odbywa sie lokalnie po 127.0.0.1 zauwazylem ze gdy mam wiecej wiadomosci w skrzynce np ~ 200 squirrelmail muli sie dosc znacznie tzn wchodze do skrzynki i zanim mi sie cokolwiek pojawi to mozna spokojnie z 20-30 sekund policzyc... jak zrestartuje apacha (1.3.x) to przez chwile jest jakby lepiej, pozniej gdy mulenie wchodzi nie widze dodatkowego obciazenia apacha... no i zastanawiam sie czego to moze byc wina ... lacze wykluczam... sprzet na serwerze tez... hmm cos z imap-em ?? czy tu chodzi o ilosc mailii w skrzynce glownie ? jakie macie doswiadczenia z SM i Debiankiem ??? mam trzymac 5 maili i koniec ? :))) zeby smigalo ? dajcie znac pozdrawiam Marcin -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: squirrelmail i wolne dzialanie
2007/1/17, Marcin Bieniaszewski <[EMAIL PROTECTED]>: hejka zauwazylem ze zaczyna mi sie mulic squirrelmail uzywam courier imap-a zwyklego i ssl wzasadzie dzialanie imapa odbywa sie lokalnie po 127.0.0.1 zauwazylem ze gdy mam wiecej wiadomosci w skrzynce np ~ 200 squirrelmail muli sie dosc znacznie tzn wchodze do skrzynki i zanim mi sie cokolwiek pojawi to mozna spokojnie z 20-30 sekund policzyc... jak zrestartuje apacha (1.3.x) to przez chwile jest jakby lepiej, pozniej gdy mulenie wchodzi nie widze dodatkowego obciazenia apacha... no i zastanawiam sie czego to moze byc wina ... lacze wykluczam... sprzet na serwerze tez... hmm cos z imap-em ?? czy tu chodzi o ilosc mailii w skrzynce glownie ? jakie macie doswiadczenia z SM i Debiankiem ??? mam trzymac 5 maili i koniec ? :))) zeby smigalo ? dajcie znac no coż, jesli masz imap + squirrelmail pewnie na jakimś pentium III z 512 MB ram, to to normalka. ja czasami czekam 5 minut (freebsd , 3 tys mejli, p III 1 GHz, 256 ram) ;) uzywanie popa znacznie ułatwia myslenie serwerowi. pzdr. -- Wojciech Ziniewicz Unix SEX :{look;gawk;find;sed;talk;grep;touch;finger;find;fl ex;unzip;head;tail; mount;workbone;fsck;yes;gasp;fsck;more;yes;yes;eje ct;umount;makeclean; zip;split;done;exit:xargs!!;)}