Re: Centralne zarządzanie użytkownikami - nowy system

2007-01-16 Thread Jerzy Patraszewski 
Jak doniosły WSI, dnia Tue, 16 Jan 2007 00:38:37 +0100
Jarek Buczyński <[EMAIL PROTECTED]> napisał(a):

> Witajcie
> 
> Po pewnych doświadczeniach z Linuksem i użytkownikami dochodzę do
> wniosku że pojawia się pewien problem zarządzaniem loginam i hasłami.
> Widać to szczególnie w przypadku samby, ftp i innych usług. Chodzi o
> ze dochodzi do sytuacji gdzie jeden użytkownik ma przykładowo dwa
> loginy do usług różne hasła itd.
> 
> Czy jest możliwość aby sobie z tym w prosty sposób poradzić? Jeżeli
> ktoś doświadczył (a na pewno tak)proszę o jakąś poradę. Słyszałem o
> LDAP, Kerberos, PAM ale nigdy z tego nie korzystałem i nie wiem jak
> wygląda współpraca z przykładowo ftp, sambą... itd.
> 
> Co możecie polecić jako bezpieczne, niezawodne rozwiązanie?
> 
> --
> Pozdrawiam
> 
Witam, 
Proponuje coś takiego (u mnie dobrze działa):
- Dane użytkowników, grup (istotnych), usług i co tam jeszcze chcesz w
katalogu LDAP 
- Samba jako kontroler domeny dla klientów windowsowych (z NTML2) -
ładnie współpracuje z LDAP'em (po SSL'u też),
- Postfix - też ładnie współpracuje z LDAP'em,
- courier - też (przez courier-authdaemon'a)
- Squid - też (jeżeli używasz autentykacji na proxy)
- własne CA (chyba że masz certyfikat) - jeśli chcesz wszędzie mieć
zapytania do LDAP'a po SSL'u
- do administracji używam pakiety smbldap-tools
- do edycji ldapbrowser'a Jarka Gawora (działa pod wszystkim co ma javę
- najlepsze narzędzie jakie testowałem do LDAP'a)

Na razie nie można zrobić LDAP'a + Samby 3(jako PDC) i Kerberos'a (czyli
nie da się uzyskać OpenSource'owego Active Directory :| ), ma to
zaoferować dopiero Samba 4.
Natomiast jeśli chcesz to możesz skerberyzować sobie wszystko pozostałe.

Potencjalne problemy:
- kilkanaście opisów na googlach - w tym wiekszość bezwartościowa lub
niekompletna (ale kilka b. dobrych), 
- jak chcesz to zrobić dobrze - nie korzystaj z gosa, ebox'a itd., bo
jak ci sie coś wywali to nie bedziesz wiedział gdzie szukać.
- redundancja - czyli serwer replikacji, bo jak ci padnie ldap to nawet
sie nie zalogujesz do domeny...

Co do skalowalności - mam to zaimplementowane dla ponad 120 userów i ok.
100 maszyn i działa bardzo dobrze. Wg Samba-3 by Example (oficjalna
dokumentacja) można to stosować dla 2000+ userów

W razie czego pisz jak się zdecydujesz coś takiego wdrażać...

Pozdr 
sm0q

Własny dynamiczny dns

2007-01-16 Thread Krzysztof Lew 
Witam!

Mam w pracy stałe IP, stoi tam bind, natomiast w domu mam zmienne publiczne 
IP. Jak zrobicz dynamiczny dns, aby komputer z domu aktualizował wpis na 
serwerze dns, po każdej zmianie IP?
Jakieś linki? magiczne pyatnie do google?

pozdrawiam

Krzysiek

Odp: Własny dynamiczny dns

2007-01-16 Thread Robert Pankowecki 


Dnia 16-01-2007 o godz. 18:30 Krzysztof Lew napisał(a):
> Witam!
> 
> Mam w pracy stałe IP, stoi tam bind, natomiast w domu mam zmienne 
> publiczne 
> IP. Jak zrobicz dynamiczny dns, aby komputer z domu aktualizował wpis na 
> serwerze dns, po każdej zmianie IP?
> Jakieś linki? magiczne pyatnie do google?

A nie wystarczy Ci cos takiego jak realizuje no-ip.org ?

r.


Zasady można łamać...tak jak ludzi
Piła III - już w kinach!!
http://klik.wp.pl/?adr=http%3A%2F%2Fadv.reklama.wp.pl%2Fas%2Fpilaiii.html&sid=989



-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Odp: Własny dynamiczny dns

2007-01-16 Thread Krzysztof Lew 
Dnia Tuesday 16 January 2007 18:42, Robert Pankowecki napisał:
> Dnia 16-01-2007 o godz. 18:30 Krzysztof Lew napisał(a):
> > Witam!
> >
> > Mam w pracy stałe IP, stoi tam bind, natomiast w domu mam zmienne
> > publiczne
> > IP. Jak zrobicz dynamiczny dns, aby komputer z domu aktualizował wpis na
> > serwerze dns, po każdej zmianie IP?
> > Jakieś linki? magiczne pyatnie do google?
>
> A nie wystarczy Ci cos takiego jak realizuje no-ip.org ?
>
> r.

No wystarczy, ale chce mieć wszystko pod własną kontrolą i domeną :)

Już znalazłem:

http://www.wiejak.org/howto/dyndns.html

pozdrawiam listę

Krzysiek

Re: Własny dynamiczny dns

2007-01-16 Thread Marcin Owsiany 
On Tue, Jan 16, 2007 at 06:30:40PM +0100, Krzysztof Lew wrote:
> Witam!
> 
> Mam w pracy stałe IP, stoi tam bind, natomiast w domu mam zmienne publiczne 
> IP. Jak zrobicz dynamiczny dns, aby komputer z domu aktualizował wpis na 
> serwerze dns, po każdej zmianie IP?

Nie testowane, ogólna idea tylko (zwłaszcza regex do access.loga trzeba
dopracować, bo nie chce mi się patrzeć jaki tam dokładnie jest format):

w domu w crontabie:
wget --user .. --password ... http://praca/trigger

w pracy w crontabie:

--
#!/bin/bash
# to zakłada, że resolving w apache'u jest wyłączony
# jeśli jest inaczej, to trzeba zrobić lookup PTR albo wstawić niżej
# CNAME zamiast A
ip=$(egrep '/trigger.* 200 ' /var/log/apache/access.log | tail -n 1 | awk 
'{print $1}')
# XXX: race condition
mv ~/ip ~/ip.prev
echo ${ip} > ~/ip
cmp ~/ip.prev ~/ip >/dev/null 2>&1 && exit 0
cat < /etc/bind/domena.zone
domek IN A ${ip}
END
sudo ndc reload domena
--

a w /var/www/.htaccess odpowiednio zapodać usera i hasło

Marcin
-- 
Marcin Owsiany <[EMAIL PROTECTED]> http://marcin.owsiany.pl/
GnuPG: 1024D/60F41216  FE67 DA2D 0ACA FC5E 3F75  D6F6 3A0D 8AA0 60F4 1216


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Własny dynamiczny dns

2007-01-16 Thread Maciej Suszko 
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Marcin Owsiany wrote:
> Nie testowane, ogólna idea tylko (zwłaszcza regex do access.loga trzeba
> dopracować, bo nie chce mi się patrzeć jaki tam dokładnie jest format):
> 
> w domu w crontabie:
> wget --user .. --password ... http://praca/trigger
> 
> w pracy w crontabie:
> 
> --
> #!/bin/bash
> # to zakłada, że resolving w apache'u jest wyłączony
> # jeśli jest inaczej, to trzeba zrobić lookup PTR albo wstawić niżej
> # CNAME zamiast A
> ip=$(egrep '/trigger.* 200 ' /var/log/apache/access.log | tail -n 1 | awk 
> '{print $1}')
> # XXX: race condition
> mv ~/ip ~/ip.prev
> echo ${ip} > ~/ip
> cmp ~/ip.prev ~/ip >/dev/null 2>&1 && exit 0
> cat < /etc/bind/domena.zone
> domek IN A ${ip}
> END
> sudo ndc reload domena
> --
> 
> a w /var/www/.htaccess odpowiednio zapodać usera i hasło

Najlepiej i chyba najprościej będzie skorzystać z narzędzi, które
oferuje sam Bind. Wygenerować klucz używając `dnssec-keygen`,
skonfigurować serwer dns tak, żeby umożliwiał zdalną zmianę rekordu w
strefie. Potem pozostaje napisać skrypt, który okresowo wywoływany np.
przez crona sprawdza IP interesującego nas interfejsu, porównuje go z IP
"zrezolwowanym" przez np `host` i gdy istnieje potrzeba - używając
`nsupdate` uaktualnia rekord w strefie.
Jedyny "babol" takiego rozwiązania jest taki, że jak już raz zaczynamy w
ten sposób aktualizować strefę, to nie możemy/nie powinniśmy zmieniać
jej ręcznie (poprawcie mnie, jeżeli się mylę).

Jakiś czas temu napisałem takiego "klienta" w Pythonie - jakby ktoś był
zainteresowany, to mogę podesłać - cud to to nie jest, ale podstawowa
funkcjonalność była - ZTCP testowałem go pod Linuksem, FreeBSD i Solarisem.
- --
pozdrawiam, Maciej Suszko.
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.6 (FreeBSD)

iD8DBQFFrSsqCikUk0l7iGoRAgPHAJwK7DajAjUKM9cnl4AQBYWTRau2UwCZATqI
WSo4u/07eqw8cGti1EH1EkA=
=13xH
-END PGP SIGNATURE-


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Etch Mozilla -> Iceape problem

2007-01-16 Thread Jacek Kawa 
Krzysztof Jastrzębski napisał:

> > Innymi słowy: apt-get remove --purge + apt-get install
> Kurna, zrobiłem i dalej to samo.

Nie mam wielu pomysłów, ale być może kwestią jest tutaj
istnienie /etc/mozilla I /etc/iceape; Usuwając teraz
iceape nie usunęłeś /etc/mozilla i problem pozostaje.

Poza tym czy jest różnica, jeśli uruchamiasz przez "iceape", 
a nie przez "mozilla" (choć wątpię) oraz czy próbowałeś po
tym wszystkim jeszcze raz przenieść gdzieś ~/.mozilla.

> > http://pk1l.w.interia.pl/iceape-locale-pl_1.0.6-0.1_all.deb
> 
> Chętnie bym spróbował tylko najpierw w ogóle chciałbym go uruchomić...

Ostatecznie pozostaje też google & strace :)

Pozdrawiam

-- 
Jacek Kawa  **Serious men who seldom smiled would not be amused
to hear that the invasive spirit he wanted exorcized
  was his own.** ['Carpe Jugulum']


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

iproute2-2.6.19-061214

2007-01-16 Thread Maciek 
Witam
 Mam problem z kompilacja iproute2-2.6.19-061214 pod Sarge.
 Wywyala mi bledy typu:
  ../include/linux/netfilter_ipv4/ip_tables.h:115:39: 
linux/netfilter/xt_tcpudp.h: Nie ma takiego pliku ani katalogu

  Jakie pomysly?
-- 
Pozdrowienia,
 Maciek


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

RE: Centralne zarządzanie użytkownikami - nowy system

2007-01-16 Thread Jarek Buczyński 
Witam

> W razie czego pisz jak się zdecydujesz coś takiego wdrażać...

Ok. Twoje rozwiązanie wygląda ciekawie i wygląda tez że ma więcej zalet niż
wad :)

Na początek chciałbym zrobić ftp (vsftpd) z uwierzytelnianiem. Jak na razie
mam zainstalowane LDAPServer, LDAPClient oraz VSFTPD. I co dalej? :) Obecnie
na ftp można zalogować się używając loginu i hasła z linuksa, użytkownicy
mają dostęp tylko do swoich katalogów domowy - to jest zrobione.

Jak dodać kolejnych użytkowników i połączyć z autoryzacją ftp + dostęp tylko
do pewnych katalogów a nie całego roota? 


> Potencjalne problemy:
> - kilkanaście opisów na googlach - w tym wiekszość bezwartościowa lub  
> niekompletna (ale kilka b. dobrych)

To gdzie są te dobre?

--
Pozdrawiam

squirrelmail i wolne dzialanie

2007-01-16 Thread Marcin Bieniaszewski 

hejka

zauwazylem ze zaczyna mi sie mulic squirrelmail

uzywam courier imap-a zwyklego i ssl
wzasadzie dzialanie imapa odbywa sie lokalnie po 127.0.0.1

zauwazylem ze gdy mam wiecej wiadomosci w skrzynce np ~ 200

squirrelmail muli sie dosc znacznie tzn wchodze do skrzynki i zanim mi
sie cokolwiek pojawi to mozna spokojnie z 20-30 sekund policzyc...

jak zrestartuje apacha (1.3.x) to przez chwile jest jakby lepiej,
pozniej gdy mulenie wchodzi nie widze dodatkowego obciazenia apacha...

no i zastanawiam sie czego to moze byc wina ... lacze wykluczam...
sprzet na serwerze tez... hmm

cos z imap-em ?? czy tu chodzi o ilosc mailii w skrzynce glownie ?

jakie macie doswiadczenia z SM i Debiankiem ???
mam trzymac 5 maili i koniec ? :))) zeby smigalo ?

dajcie znac

pozdrawiam
Marcin


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: squirrelmail i wolne dzialanie

2007-01-16 Thread Wojciech Ziniewicz 

2007/1/17, Marcin Bieniaszewski <[EMAIL PROTECTED]>:

hejka

zauwazylem ze zaczyna mi sie mulic squirrelmail

uzywam courier imap-a zwyklego i ssl
wzasadzie dzialanie imapa odbywa sie lokalnie po 127.0.0.1

zauwazylem ze gdy mam wiecej wiadomosci w skrzynce np ~ 200

squirrelmail muli sie dosc znacznie tzn wchodze do skrzynki i zanim mi
sie cokolwiek pojawi to mozna spokojnie z 20-30 sekund policzyc...

jak zrestartuje apacha (1.3.x) to przez chwile jest jakby lepiej,
pozniej gdy mulenie wchodzi nie widze dodatkowego obciazenia apacha...

no i zastanawiam sie czego to moze byc wina ... lacze wykluczam...
sprzet na serwerze tez... hmm

cos z imap-em ?? czy tu chodzi o ilosc mailii w skrzynce glownie ?

jakie macie doswiadczenia z SM i Debiankiem ???
mam trzymac 5 maili i koniec ? :))) zeby smigalo ?

dajcie znac


no coż, jesli masz imap + squirrelmail pewnie na jakimś pentium III z
512 MB ram, to to normalka. ja czasami czekam 5 minut (freebsd , 3 tys
mejli, p III 1 GHz, 256 ram)

;)

uzywanie popa znacznie ułatwia myslenie serwerowi.
pzdr.


--
Wojciech Ziniewicz
Unix SEX :{look;gawk;find;sed;talk;grep;touch;finger;find;fl
ex;unzip;head;tail; mount;workbone;fsck;yes;gasp;fsck;more;yes;yes;eje
ct;umount;makeclean; zip;split;done;exit:xargs!!;)}