Re: [rlug] openvpn si CA
On Monday, April 04, 2011 11:55:56 pm Cristian Mitrana wrote: > * Eugeniu Patrascu [04-04-11 19:36]: > >Poti folosi parametrul KeyUsage din certificat. > >In principiu poti da certificat la userii de au nevoie de VPN > >certificate cu KeyUsage=IPSec si OpenVPN sa-ti caute key usage in > >certificat si daca nu e IPSec sa nu-l lase sa se conecteze. > > Cred ca problema este ca are mai multe server-e OpenVpn si nu vrea ca un > client sa se poate autentifica la serverul gresit, certificatele client > fiind emise de acelasi CA. Da, asta e problema > >> certificat emis in alt scop... mail, web etc, si pe ala l-ar accepta. > >> > >> Imi trebuie deci o modalitate de a lega certificatele emise de serverul > >> pentru care sunt emise, dar in documentatia de openvpn nu gasesc un > >> hint in sensul asta. > > Cred ca solutia cea mai eleganta, si a sugerat-o deja Petre, este sa > validezi clientul pe server cu un client-script. Dupa CN-ul certificatului > sau alte metode de extragere si validarea a informatiei din certificat > (extensii sau campuri deja existente). Altfel, cu un singur CA, nu prea ai > cum sa interzici unui server sa valideze un certificat 'client', fara a > face CA-uri intermediare pentru fiecare server. Probabil ca asta e solutia, trebuie sa vad cum se face scriptul. Ma gandeam ca se poate mai simplu, nu cred ca sunt primul care a remarcat problema asta la openvpn. Merci pentru idei, o sa fac niste teste. ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] debugging dropped packets
On Sat, 2 Apr 2011, Adrian Sevcenco wrote: > Salut! Cum pot sa indentific si sa urmaresc cauza pachetelor pierdute? > din cite vad traficul e la wirespeed si nu am load mare (cea mai mare parte a > traficului e dat de nat-ing (masina e gateway pentru ceva worker noduri din > spate)) > e ceva natural ce se intimpla cind cererea de date e mai mare decit latimea > de banda existenta? > Multumesc! > Adrian Salut! /proc/net/snmp si snmp6 iti pot da niste hint-uri. Apoi, dmesg-ul iti mai poate spune niste lucruri, ar nu intotdeauna. -- Catalin(ux) M. BOIE http://kernel.embedromix.ro/ ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] openvpn si CA
* Eugeniu Patrascu [04-04-11 19:36]: >Poti folosi parametrul KeyUsage din certificat. >In principiu poti da certificat la userii de au nevoie de VPN >certificate cu KeyUsage=IPSec si OpenVPN sa-ti caute key usage in >certificat si daca nu e IPSec sa nu-l lase sa se conecteze. > Cred ca problema este ca are mai multe server-e OpenVpn si nu vrea ca un client sa se poate autentifica la serverul gresit, certificatele client fiind emise de acelasi CA. >2011/4/4 Mihai Badici : >> Salut, >> Pentru ca sunt lenes, as vrea sa fac urmatoarea chestiune: >> >> In momentul de fata, am mai multi clienti independenti care au Openvpn la >> care >> se autentifica cu certificate. Se intra pe server, se emite certificatul >> userului, se da omului configul si certificatul. >> >> Ma gandesc sa nu mai intru pe server, am template-ul pentru config, sa >> construiesc un CA si sa le emit certificate la cerere. ( de fapt altcineva sa >> faca asta dintr-o interfata iar eu sa stau degeaba) >> >> Problema e ca dupa cum imi dau eu seama, openvpn autentifica toti userii care >> au certificat valid emis de CA-ul respectiv. >> Deci daca as avea un CA, fiecare user s-ar putea autentifica la oricare >> client >> cu certificatul respectiv ; ba chiar cred ca daca as avea un certificat emis >> in >> alt scop... mail, web etc, si pe ala l-ar accepta. >> >> Imi trebuie deci o modalitate de a lega certificatele emise de serverul >> pentru >> care sunt emise, dar in documentatia de openvpn nu gasesc un hint in sensul >> asta. Cred ca solutia cea mai eleganta, si a sugerat-o deja Petre, este sa validezi clientul pe server cu un client-script. Dupa CN-ul certificatului sau alte metode de extragere si validarea a informatiei din certificat (extensii sau campuri deja existente). Altfel, cu un singur CA, nu prea ai cum sa interzici unui server sa valideze un certificat 'client', fara a face CA-uri intermediare pentru fiecare server. -- mitu ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] Rutare linux
2011/4/4 adriano : > Problema e mai complexa.O simplificasem eu pentru exprimare.Am facut o schema > aici.http://img148.imageshack.us/img148/4782/schemamb.jpgMai exact pe > routerele acelea cisco s-a stabilit ca poate pingui toata clasa 172.17./16 si > ca toate calculatoarele de acolo vor avea ruta default catre internet linux1 > cu ip:172.17.1.1.Am acces total inclusiv la xp,linux1 si linux 2, dar nu pot > umbla pe cisco-uri.Pe interfata externa a lui linux2 imi sunt trimise de la > un ip din internet niste date care trebuiesc forwardate catre xp-ul de sub > cisco.Pe linux1 si linux2 au fost adaugate rute statice, astfel ca orice > calculator,linux1 si linux2 pot pingui xp-ul de sub cisco si invers. > Va multumesc anticipat pentru rabdare si sfaturi. E fix aceeasi problema, singura diferenta fiind ca problema "doua gatewayuri" este intre cisco-ul din fata si cele doua linuxuri, asa ca pachetele care trec prin reteaua interna trebuie sa para ca origineaza de la o sursa catre care cisco ala prefera ruta prin linux2 (cel mai probabil 172.17.1.3). De notat ca solutia cu dnat+snat, desi functioneaza, va face ca serverul de pe xp (ce-o fi el) sa vada ca toate conexiunile vin de la linux2, asa ca daca te intereseaza sa faci ceva logging, va trebui sa muti problema la protocoale superioare (in cazul http, reverse proxy + x-forwarded-for).. Acest post este intentionat lipsit de comenzi copy-pastabile. -- Petre. ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] Rutare linux
2011/4/4 adriano : > Problema e mai complexa.O simplificasem eu pentru exprimare.Am facut o schema > aici.http://img148.imageshack.us/img148/4782/schemamb.jpgMai exact pe > routerele acelea cisco s-a stabilit ca poate pingui toata clasa 172.17./16 si > ca toate calculatoarele de acolo vor avea ruta default catre internet linux1 > cu ip:172.17.1.1.Am acces total inclusiv la xp,linux1 si linux 2, dar nu pot > umbla pe cisco-uri.Pe interfata externa a lui linux2 imi sunt trimise de la > un ip din internet niste date care trebuiesc forwardate catre xp-ul de sub > cisco.Pe linux1 si linux2 au fost adaugate rute statice, astfel ca orice > calculator,linux1 si linux2 pot pingui xp-ul de sub cisco si invers. > Va multumesc anticipat pentru rabdare si sfaturi. E fix aceeasi problema, singura diferenta fiind ca problema "doua gatewayuri" este intre cisco-ul din fata si cele doua linuxuri, asa ca pachetele care trec prin reteaua interna trebuie sa para ca origineaza de la o sursa catre care cisco ala prefera ruta prin linux2 (cel mai probabil 172.17.1.3). De notat ca solutia cu dnat+snat, desi functioneaza, va face ca serverul de pe xp (ce-o fi el) sa vada ca toate conexiunile vin de la linux2, asa ca daca te intereseaza sa faci ceva logging, va trebui sa muti problema la protocoale superioare (in cazul http, reverse proxy + x-forwarded-for).. Acest post este intentionat lipsit de comenzi copy-pastabile. -- Petre. ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] Rutare linux
Problema e mai complexa.O simplificasem eu pentru exprimare.Am facut o schema aici.http://img148.imageshack.us/img148/4782/schemamb.jpgMai exact pe routerele acelea cisco s-a stabilit ca poate pingui toata clasa 172.17./16 si ca toate calculatoarele de acolo vor avea ruta default catre internet linux1 cu ip:172.17.1.1.Am acces total inclusiv la xp,linux1 si linux 2, dar nu pot umbla pe cisco-uri.Pe interfata externa a lui linux2 imi sunt trimise de la un ip din internet niste date care trebuiesc forwardate catre xp-ul de sub cisco.Pe linux1 si linux2 au fost adaugate rute statice, astfel ca orice calculator,linux1 si linux2 pot pingui xp-ul de sub cisco si invers. Va multumesc anticipat pentru rabdare si sfaturi. --- On Mon, 4/4/11, Alex 'CAVE' Cernat wrote: From: Alex 'CAVE' Cernat Subject: Re: [rlug] Rutare linux To: "Romanian Linux Users Group" Date: Monday, April 4, 2011, 2:57 PM On 4/4/2011 3:50 PM, adriano wrote: > Stiu ca sunt stresant dar as prefera si niste exemple.Multumesc. iptables -t nat -A PREROUTING -s $SURSA -d $ip.extern.linux2 -p tcp --dport $PORT -j DNAT --to $ip.windows:$PORT iptables -t nat -A POSTROUTING -s $SURSA -d $ip.windows:$PORT -p tcp --dport $PORT -j SNAT --to-source $ip.intern.linux2 $sursa este pentru in cazul in care vrei sa faci si ceva filtrare (adicatelea doar de la un anumit ip sa se poata face magaria respectiva) portul e cel care trebuie sa fie forwardat, eventual portul se poate schimba (vine pe linux pe 21 si pleaca mai departe pe 80 spre exemplu) eventual poti sa scoti -s $SURSA si sa faci filtrare in chain-ul de forward, asa cum ar fi si frumos, dar e chestie de gust pana la urma (sper sa nu fi gresit ceva la reguli :-)) Alex ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] openvpn si CA
Poti folosi parametrul KeyUsage din certificat. In principiu poti da certificat la userii de au nevoie de VPN certificate cu KeyUsage=IPSec si OpenVPN sa-ti caute key usage in certificat si daca nu e IPSec sa nu-l lase sa se conecteze. 2011/4/4 Mihai Badici : > Salut, > Pentru ca sunt lenes, as vrea sa fac urmatoarea chestiune: > > In momentul de fata, am mai multi clienti independenti care au Openvpn la care > se autentifica cu certificate. Se intra pe server, se emite certificatul > userului, se da omului configul si certificatul. > > Ma gandesc sa nu mai intru pe server, am template-ul pentru config, sa > construiesc un CA si sa le emit certificate la cerere. ( de fapt altcineva sa > faca asta dintr-o interfata iar eu sa stau degeaba) > > Problema e ca dupa cum imi dau eu seama, openvpn autentifica toti userii care > au certificat valid emis de CA-ul respectiv. > Deci daca as avea un CA, fiecare user s-ar putea autentifica la oricare client > cu certificatul respectiv ; ba chiar cred ca daca as avea un certificat emis > in > alt scop... mail, web etc, si pe ala l-ar accepta. > > Imi trebuie deci o modalitate de a lega certificatele emise de serverul pentru > care sunt emise, dar in documentatia de openvpn nu gasesc un hint in sensul > asta. > > ___ > RLUG mailing list > RLUG@lists.lug.ro > http://lists.lug.ro/mailman/listinfo/rlug > ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] Rutare linux
On 4/4/2011 6:11 PM, adriano wrote: > daca as vrea sa ii dau acces la net prin linux 2 cum as putea face ? > --- On Mon, 4/4/11, Alex 'CAVE' Cernat wrote: ai zis ca nu ai acces la windows, deci nu se poate ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] Rutare linux
daca as vrea sa ii dau acces la net prin linux 2 cum as putea face ? --- On Mon, 4/4/11, Alex 'CAVE' Cernat wrote: From: Alex 'CAVE' Cernat Subject: Re: [rlug] Rutare linux To: "Romanian Linux Users Group" Date: Monday, April 4, 2011, 4:55 PM On 4/4/2011 5:51 PM, adriano wrote: > dar windows-ul cum stie sa ajunga in linux2 (din moment ce el are gw linux1) ? > din ce am vazut la tine toate 3 calculatoarele sunt in aceeasi retea, deci o va lua pe ruta de retea, nu cea default de aia e necesar si snat-ul, ca sa para ca vine de pe linux2 (cel putin din punctul de vedere al geamului) Alex ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] Rutare linux
On 4/4/2011 5:51 PM, adriano wrote: > dar windows-ul cum stie sa ajunga in linux2 (din moment ce el are gw linux1) ? > din ce am vazut la tine toate 3 calculatoarele sunt in aceeasi retea, deci o va lua pe ruta de retea, nu cea default de aia e necesar si snat-ul, ca sa para ca vine de pe linux2 (cel putin din punctul de vedere al geamului) Alex ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] Rutare linux
dar windows-ul cum stie sa ajunga in linux2 (din moment ce el are gw linux1) ? --- On Mon, 4/4/11, Alex 'CAVE' Cernat wrote: From: Alex 'CAVE' Cernat Subject: Re: [rlug] Rutare linux To: "Romanian Linux Users Group" Date: Monday, April 4, 2011, 2:57 PM On 4/4/2011 3:50 PM, adriano wrote: > Stiu ca sunt stresant dar as prefera si niste exemple.Multumesc. iptables -t nat -A PREROUTING -s $SURSA -d $ip.extern.linux2 -p tcp --dport $PORT -j DNAT --to $ip.windows:$PORT iptables -t nat -A POSTROUTING -s $SURSA -d $ip.windows:$PORT -p tcp --dport $PORT -j SNAT --to-source $ip.intern.linux2 $sursa este pentru in cazul in care vrei sa faci si ceva filtrare (adicatelea doar de la un anumit ip sa se poata face magaria respectiva) portul e cel care trebuie sa fie forwardat, eventual portul se poate schimba (vine pe linux pe 21 si pleaca mai departe pe 80 spre exemplu) eventual poti sa scoti -s $SURSA si sa faci filtrare in chain-ul de forward, asa cum ar fi si frumos, dar e chestie de gust pana la urma (sper sa nu fi gresit ceva la reguli :-)) Alex ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] idei de backup pt. un fisier mare
Mai nou md are si optiune sa nu mai ia tot deviceul si sa se uite intr-un log This message was sent from a mobile device, so please forgive eventual orthography errors! On 04.04.2011, at 15:16, Petru Ratiu wrote: > 2011/4/4 Ovidiu Constantin : >> 2011/4/4 Dumitru Ciobarcianu : >>> Eu nu stiu de alt suport de "only this changed" la nivel de fs sau (mai >>> rau) block device. >> >> inotify (la nivel de fs) >> > > inotify nu zice decat "s-a schimbat fisierul X", dupa cum ziceam nu e > fezabil sa umblu prin FS-ul ala (fie pentru ca e criptat, fie pentru > ca sa zicem ca am niste copaci de directoare prea stufosi sa fie > traversati rapid). > >>> bine, ar mai fi un mare hack cu raid1 & degraded mode dar nu stiu sigur >>> cum poti face asta cu fisiere (desii sigur poate fi convins). >> >> Merge cu loop-uri fără probleme, dar e urât. > > Nu e mult mai urat decat cu drbd, cu diferenta ca afaik la > resincronizare md-ul ia tot device-ul la intrebari. > > Chestia aia cu trimisul snapshoturilor remote pe care stie sa o faca > Unicul si Adevaratul ZFS(TM)(R)(C)Oracle se poate face si cu btrfs ca > sa nu incep cu fuse-uri sau, god forbid, besedei? (Desi am senzatia ca > o sa trebuiasca sa renunt la dev-mapper goodness pt. luks/truecrypt > sau sa fac yet another loopback level) > > -- > Petre. > ___ > RLUG mailing list > RLUG@lists.lug.ro > http://lists.lug.ro/mailman/listinfo/rlug ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] openvpn si CA
On 04/04/2011 05:07 PM, Petru Ratiu wrote: > .. > Folderul ala e cautat dupa CN-ul din certificatul prezentat de client. > Certificat care a fost emis de tine, cu CN-ul pus de manutza de tine. > Daca Vasile ii da de buna voie lui Gigel certificatul, nu prea ai ce > face, dar altfel n-o sa ii incurce serverul. Cred ca ceea ce vrea sa spuna este: gigel se autentifica cu certificatul lui, dupa care seteaza manual ip-ul lui vasile. -- Teddy ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] openvpn si CA
2011/4/4 Mihai Badici : > O >> > Deci daca as avea un CA, fiecare user s-ar putea autentifica la oricare >> > client cu certificatul respectiv ; ba chiar cred ca daca as avea un >> > certificat emis in alt scop... mail, web etc, si pe ala l-ar accepta. >> > >> > Imi trebuie deci o modalitate de a lega certificatele emise de serverul >> > pentru care sunt emise, dar in documentatia de openvpn nu gasesc un >> > hint in sensul asta. >> >> --client-config-dir si --ccd-exclusive nu ajuta? Vezi si >> --username-as-common-name >> > > Nu prea imi e clar, sa inteleg: > > --ccd-exclusive > Require, as a condition of authentication, that a connecting client has a > --client-config-dir file. > Deci clientul va avea musai acest folder. > Ok, in folderul ala ar trebui sa pun ceva "deosebit". Dar ce? > So, am clientul contoso care tocmai a migrat la openvpn. > II fac lui Vasile de la contoso un config, ii dau certificat. Il oblig sa > aiba > si un folder ccd unde pun un script... care nu stiu deocamdata ce face. Folderul ala e cautat dupa CN-ul din certificatul prezentat de client. Certificat care a fost emis de tine, cu CN-ul pus de manutza de tine. Daca Vasile ii da de buna voie lui Gigel certificatul, nu prea ai ce face, dar altfel n-o sa ii incurce serverul. -- Petre. ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] openvpn si CA
O > > Deci daca as avea un CA, fiecare user s-ar putea autentifica la oricare > > client cu certificatul respectiv ; ba chiar cred ca daca as avea un > > certificat emis in alt scop... mail, web etc, si pe ala l-ar accepta. > > > > Imi trebuie deci o modalitate de a lega certificatele emise de serverul > > pentru care sunt emise, dar in documentatia de openvpn nu gasesc un > > hint in sensul asta. > > --client-config-dir si --ccd-exclusive nu ajuta? Vezi si > --username-as-common-name > Nu prea imi e clar, sa inteleg: --ccd-exclusive Require, as a condition of authentication, that a connecting client has a --client-config-dir file. Deci clientul va avea musai acest folder. Ok, in folderul ala ar trebui sa pun ceva "deosebit". Dar ce? So, am clientul contoso care tocmai a migrat la openvpn. II fac lui Vasile de la contoso un config, ii dau certificat. Il oblig sa aiba si un folder ccd unde pun un script... care nu stiu deocamdata ce face. Si mai am un alt client cohovineyard.com, care de asemenea a trecut la openvpn satul de jucariile lui Bill. Toate certificatele sunt emise de acelasi CA Bun, ce il impiedica pe Vasile sa schimbe IP-ul din config si sa se conecteze la cohovineyard? Ce e in scriptul ala si nu poate face el? Probabil ca ar trebui un script "server-side" care sa verifice numele certificatului, de exemplu, iar eu sa am grija ca numele sa fie de forma vasile@contoso. Dar speram ca e mai simplu. > Also, pt. scripturi jmechere de auth, CN-ul din certificatul client e > pus in variabila de mediu $common_name. ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] Rutare linux
On 4/4/2011 3:50 PM, adriano wrote: > Stiu ca sunt stresant dar as prefera si niste exemple.Multumesc. iptables -t nat -A PREROUTING -s $SURSA -d $ip.extern.linux2 -p tcp --dport $PORT -j DNAT --to $ip.windows:$PORT iptables -t nat -A POSTROUTING -s $SURSA -d $ip.windows:$PORT -p tcp --dport $PORT -j SNAT --to-source $ip.intern.linux2 $sursa este pentru in cazul in care vrei sa faci si ceva filtrare (adicatelea doar de la un anumit ip sa se poata face magaria respectiva) portul e cel care trebuie sa fie forwardat, eventual portul se poate schimba (vine pe linux pe 21 si pleaca mai departe pe 80 spre exemplu) eventual poti sa scoti -s $SURSA si sa faci filtrare in chain-ul de forward, asa cum ar fi si frumos, dar e chestie de gust pana la urma (sper sa nu fi gresit ceva la reguli :-)) Alex ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] Rutare linux
Stiu ca sunt stresant dar as prefera si niste exemple.Multumesc. --- On Mon, 4/4/11, Alex 'CAVE' Cernat wrote: From: Alex 'CAVE' Cernat Subject: Re: [rlug] Rutare linux To: "Romanian Linux Users Group" Date: Monday, April 4, 2011, 12:31 PM On 4/4/2011 1:27 PM, adriano wrote: > salut.Imi cer scuze ca nu s-a atasat imaginea.Am pus postul aici > http://forum.linux.ro/viewtopic.php?f=22&t=46939Forward-ul e activat.Va > multumesc. dap, exact cum am zis mai inainte: cea mai simpla solutie este DNAT urmat de SNAT chiar daca nu prea e placuta de unii, solutia functioneaza daca ai nevoie de exemple, shoot Alex ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] Rutare linux
Daca citeai cu atentie raspunsul meu se referea la o situatie ipotetica. Si da, intr-o situatie ideala in reteaua de care te ocupi nu ai masini de care sa nu poti sa te atingi astfel incat sa trebuiasca sa creezi "ugly hacks". Cioby "cu totii tindem la ideal" On 04.04.2011 15:08, adriano wrote: > e imposibil sa modific acel XP.Trebuie gasita alta solutie > > --- On Mon, 4/4/11, Dumitru Ciobarcianu wrote: > > From: Dumitru Ciobarcianu > Subject: Re: [rlug] Rutare linux > To: "Romanian Linux Users Group" > Date: Monday, April 4, 2011, 1:02 PM > > On 04.04.2011 13:54, Tudor Gheorghe wrote: >> Pentru ca tot a fost o discutie acum ceva timp pe tema nat in ipv6, cum >> s-ar face asta fara nat? >> > > Iti reconfigurezi reteaua astfel incat sa nu mai fie atat de borken ? > Eventual faci rost si de parola de admin de la XP-ul ala. > > Cioby > > ___ > RLUG mailing list > RLUG@lists.lug.ro > http://lists.lug.ro/mailman/listinfo/rlug > ___ > RLUG mailing list > RLUG@lists.lug.ro > http://lists.lug.ro/mailman/listinfo/rlug ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] openvpn si CA
2011/4/4 Mihai Badici : > Salut, > Pentru ca sunt lenes, as vrea sa fac urmatoarea chestiune: > > In momentul de fata, am mai multi clienti independenti care au Openvpn la care > se autentifica cu certificate. Se intra pe server, se emite certificatul > userului, se da omului configul si certificatul. > > Ma gandesc sa nu mai intru pe server, am template-ul pentru config, sa > construiesc un CA si sa le emit certificate la cerere. ( de fapt altcineva sa > faca asta dintr-o interfata iar eu sa stau degeaba) > > Problema e ca dupa cum imi dau eu seama, openvpn autentifica toti userii care > au certificat valid emis de CA-ul respectiv. > Deci daca as avea un CA, fiecare user s-ar putea autentifica la oricare client > cu certificatul respectiv ; ba chiar cred ca daca as avea un certificat emis > in > alt scop... mail, web etc, si pe ala l-ar accepta. > > Imi trebuie deci o modalitate de a lega certificatele emise de serverul pentru > care sunt emise, dar in documentatia de openvpn nu gasesc un hint in sensul > asta. --client-config-dir si --ccd-exclusive nu ajuta? Vezi si --username-as-common-name Also, pt. scripturi jmechere de auth, CN-ul din certificatul client e pus in variabila de mediu $common_name. -- Petre. ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
[rlug] openvpn si CA
Salut, Pentru ca sunt lenes, as vrea sa fac urmatoarea chestiune: In momentul de fata, am mai multi clienti independenti care au Openvpn la care se autentifica cu certificate. Se intra pe server, se emite certificatul userului, se da omului configul si certificatul. Ma gandesc sa nu mai intru pe server, am template-ul pentru config, sa construiesc un CA si sa le emit certificate la cerere. ( de fapt altcineva sa faca asta dintr-o interfata iar eu sa stau degeaba) Problema e ca dupa cum imi dau eu seama, openvpn autentifica toti userii care au certificat valid emis de CA-ul respectiv. Deci daca as avea un CA, fiecare user s-ar putea autentifica la oricare client cu certificatul respectiv ; ba chiar cred ca daca as avea un certificat emis in alt scop... mail, web etc, si pe ala l-ar accepta. Imi trebuie deci o modalitate de a lega certificatele emise de serverul pentru care sunt emise, dar in documentatia de openvpn nu gasesc un hint in sensul asta. ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] Rutare linux
2011/4/4 adriano : > e imposibil sa modific acel XP.Trebuie gasita alta solutie > Ti s-a zis de vreo 3 ori, fa si snat pe masina pe care faci dnat. (Hint: gandeste-te cum sunt routate pachetele de raspuns dinspre xp spre internet si cum le-ai convinge sa se intoarca pe acelasi traseu) -- Petre. ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] idei de backup pt. un fisier mare
2011/4/4 Ovidiu Constantin : > 2011/4/4 Dumitru Ciobarcianu : >> Eu nu stiu de alt suport de "only this changed" la nivel de fs sau (mai >> rau) block device. > > inotify (la nivel de fs) > inotify nu zice decat "s-a schimbat fisierul X", dupa cum ziceam nu e fezabil sa umblu prin FS-ul ala (fie pentru ca e criptat, fie pentru ca sa zicem ca am niste copaci de directoare prea stufosi sa fie traversati rapid). >> bine, ar mai fi un mare hack cu raid1 & degraded mode dar nu stiu sigur >> cum poti face asta cu fisiere (desii sigur poate fi convins). > > Merge cu loop-uri fără probleme, dar e urât. Nu e mult mai urat decat cu drbd, cu diferenta ca afaik la resincronizare md-ul ia tot device-ul la intrebari. Chestia aia cu trimisul snapshoturilor remote pe care stie sa o faca Unicul si Adevaratul ZFS(TM)(R)(C)Oracle se poate face si cu btrfs ca sa nu incep cu fuse-uri sau, god forbid, besedei? (Desi am senzatia ca o sa trebuiasca sa renunt la dev-mapper goodness pt. luks/truecrypt sau sa fac yet another loopback level) -- Petre. ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] Rutare linux
e imposibil sa modific acel XP.Trebuie gasita alta solutie --- On Mon, 4/4/11, Dumitru Ciobarcianu wrote: From: Dumitru Ciobarcianu Subject: Re: [rlug] Rutare linux To: "Romanian Linux Users Group" Date: Monday, April 4, 2011, 1:02 PM On 04.04.2011 13:54, Tudor Gheorghe wrote: > Pentru ca tot a fost o discutie acum ceva timp pe tema nat in ipv6, cum > s-ar face asta fara nat? > Iti reconfigurezi reteaua astfel incat sa nu mai fie atat de borken ? Eventual faci rost si de parola de admin de la XP-ul ala. Cioby ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] idei de backup pt. un fisier mare
2011/4/4 Dumitru Ciobarcianu : > Eu nu stiu de alt suport de "only this changed" la nivel de fs sau (mai > rau) block device. inotify (la nivel de fs) > bine, ar mai fi un mare hack cu raid1 & degraded mode dar nu stiu sigur > cum poti face asta cu fisiere (desii sigur poate fi convins). Merge cu loop-uri fără probleme, dar e urât. -- Ovidiu Constantin http://blog.mybox.ro/ * http://twitter.com/ovidiusoft ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] idei de backup pt. un fisier mare
On Mon, 2011-04-04 at 13:46 +0300, Petru Ratiu wrote: > Daca maretul btrfs ar fi in stare sa faca asa ceva, as fi dispus sa ma > joc cu el (si cu ceva sacrificii, chiar si cu zfs care mereu se > zvoneste ca ar fi the ultimate FS solution for whatever storage > problems one might have). Unicul si adevaratul ZFS (nu "zfs", da?) stie sa faca stream de snapshot-uri incrementale de FS-uri intre hosturi diferite. In cazul tau asta s-ar aplica asa: 1. snapshot pe gazda 2. se trimite acest snapshot initial pe tinta 3. snapshot incremental fata de cel de la punctul 1 4. se trimite snapshotul de la p3 Vezi http://www.solarisinternals.com/wiki/index.php/ZFS_Best_Practices_Guide#Storing_ZFS_Snapshot_Streams_.28zfs_send.2Freceive.29 si man zfs send -i / zfs receive ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] Rutare linux
On 4/4/2011 2:21 PM, adriano wrote: > Am snat pe linux 2.Pb e ca la xp-ul ala din interior am gateway fixat > linux1(si nu pot schimba asta) > fa cum ti s-a zis, dnat urmat de snat pe linux1 si va merge Alex ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] Rutare linux
Am snat pe linux 2.Pb e ca la xp-ul ala din interior am gateway fixat linux1(si nu pot schimba asta) --- On Mon, 4/4/11, Tudor Gheorghe wrote: From: Tudor Gheorghe Subject: Re: [rlug] Rutare linux To: "Romanian Linux Users Group" Date: Monday, April 4, 2011, 12:54 PM On 04/04/2011 01:30 PM, Petru Ratiu wrote: > 2011/4/4 adriano: >> Salut.Am o problema care nu stiu cum sa o rezolv.Tot incerc dar undeva nu >> inteleg cum functioneaza asa ca v-as ruga daca ma puteti ajuta >> Am atasat o schema. >> Pe interfata externa a lui linux2 trebuie sa receptionez niste date pe un >> anumit port care trebuiesc colectate de XP-ul acela din retea caruia nu ii >> pot schimba setarile la placa de retea. >> Am control total pe linux1 si linux2. >> Nu stiu cum sa fac . Nu imi iese >> Xp-ul acela are ca si gateway linux1. > Daca pe linux2 faci ceva DNAT --to ip.int.ern.xp , vezi sa faci si un > --SNAT --to ip.int.ern.linux2, altfel pachetele de raspuns or sa fie > trimise lui linux1 care n-o sa stie ce sa faca cu ele. Pentru ca tot a fost o discutie acum ceva timp pe tema nat in ipv6, cum s-ar face asta fara nat? -- Teddy ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] idei de backup pt. un fisier mare
On 04.04.2011 14:10, Petru Ratiu wrote: > 2011/4/4 Vali Dragnuta : >> Pentru scopuri oarecum similare eu fac rsync de pe fs-ul criptat pe alt >> fs criptat in alta locatie. > > Sa zicem ca ma intereseaza solutii care sa functioneze si in cazurile > in care fie FS-ul e prea mare, fie banda e prea mica. > Cred ca tot drbd te mananca. Eu nu stiu de alt suport de "only this changed" la nivel de fs sau (mai rau) block device. bine, ar mai fi un mare hack cu raid1 & degraded mode dar nu stiu sigur cum poti face asta cu fisiere (desii sigur poate fi convins). Cioby ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] Rutare linux
On 04/04/2011 01:20 PM, adriano wrote: > . > Pe interfata externa a lui linux2 trebuie sa receptionez niste date pe un > anumit port care trebuiesc colectate de XP-ul acela din retea caruia nu ii > pot schimba setarile la placa de retea. Xp-ul le trimite undeva sau linuxul se conecteaza la xp si le citeste? -- Teddy ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] idei de backup pt. un fisier mare
2011/4/4 Vali Dragnuta : > Pentru scopuri oarecum similare eu fac rsync de pe fs-ul criptat pe alt > fs criptat in alta locatie. Sa zicem ca ma intereseaza solutii care sa functioneze si in cazurile in care fie FS-ul e prea mare, fie banda e prea mica. -- Petre. ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] Rutare linux
2011/4/4 Tudor Gheorghe : > On 04/04/2011 01:30 PM, Petru Ratiu wrote: >> 2011/4/4 adriano: >>> Salut.Am o problema care nu stiu cum sa o rezolv.Tot incerc dar undeva nu >>> inteleg cum functioneaza asa ca v-as ruga daca ma puteti ajuta >>> Am atasat o schema. >>> Pe interfata externa a lui linux2 trebuie sa receptionez niste date pe un >>> anumit port care trebuiesc colectate de XP-ul acela din retea caruia nu ii >>> pot schimba setarile la placa de retea. >>> Am control total pe linux1 si linux2. >>> Nu stiu cum sa fac . Nu imi iese >>> Xp-ul acela are ca si gateway linux1. >> Daca pe linux2 faci ceva DNAT --to ip.int.ern.xp , vezi sa faci si un >> --SNAT --to ip.int.ern.linux2, altfel pachetele de raspuns or sa fie >> trimise lui linux1 care n-o sa stie ce sa faca cu ele. > Pentru ca tot a fost o discutie acum ceva timp pe tema nat in ipv6, cum > s-ar face asta fara nat? Din cate stiu, sunt doua posibilitati: 1) bgp 2) nat :) (tot aud ca exista ceva posibilitati de nat66, n-am vazut inca una. m-am uitat acu pe niste arhive de la http://www.mail-archive.com/nat66@ietf.org/ si a inceput foarte repede sa ma doara capul) Nu-mi dau seama daca SHIM6 ar ajuta cu ceva si oricum din cate imi dau seama e intr-o faza de basm mai putin avansata ca a lui nat66. -- Petre. ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] Rutare linux
On 04.04.2011 13:54, Tudor Gheorghe wrote: > Pentru ca tot a fost o discutie acum ceva timp pe tema nat in ipv6, cum > s-ar face asta fara nat? > Iti reconfigurezi reteaua astfel incat sa nu mai fie atat de borken ? Eventual faci rost si de parola de admin de la XP-ul ala. Cioby ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] Rutare linux
> Pentru ca tot a fost o discutie acum ceva timp pe tema nat in ipv6, cum > s-ar face asta fara nat? se pare ca nat in ipv6 doar "over his dead body", deci singura solutie pe care o vad ar fi port redirector la nivel de tcp adicatelea accept pe socket, dupa aia fac din program connect pe hostul interior si transfer pachetele intre ele (read->write, read->write) exista un programel datapipe.c care face exact chestia asta pentru ipv4; cred ca poate fi adaptat si pentru ipv6, desi mai mult ca sigur ca exista asa ceva deja facut si pentru ipv6 Alex ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] idei de backup pt. un fisier mare
Pentru scopuri oarecum similare eu fac rsync de pe fs-ul criptat pe alt fs criptat in alta locatie. ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] Rutare linux
On 04/04/2011 01:30 PM, Petru Ratiu wrote: > 2011/4/4 adriano: >> Salut.Am o problema care nu stiu cum sa o rezolv.Tot incerc dar undeva nu >> inteleg cum functioneaza asa ca v-as ruga daca ma puteti ajuta >> Am atasat o schema. >> Pe interfata externa a lui linux2 trebuie sa receptionez niste date pe un >> anumit port care trebuiesc colectate de XP-ul acela din retea caruia nu ii >> pot schimba setarile la placa de retea. >> Am control total pe linux1 si linux2. >> Nu stiu cum sa fac . Nu imi iese >> Xp-ul acela are ca si gateway linux1. > Daca pe linux2 faci ceva DNAT --to ip.int.ern.xp , vezi sa faci si un > --SNAT --to ip.int.ern.linux2, altfel pachetele de raspuns or sa fie > trimise lui linux1 care n-o sa stie ce sa faca cu ele. Pentru ca tot a fost o discutie acum ceva timp pe tema nat in ipv6, cum s-ar face asta fara nat? -- Teddy ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
[rlug] idei de backup pt. un fisier mare
Pentru securitatea por^Wdatelor importante am un loop file care contine un filesystem criptat. Acest fisier e maricel (cativa GB), dar se modifica destul de rar. Mi-as dori sa gasesc o solutie sa-l sincronizez peste retea/internet care sa profite de acest pattern si sa modifice doar blocurile necesare si sa implice bandwidth minim (a se citi: sa depinda de volumul de schimbari, nu de dimensiunea totala a datelor). Rsync din nefericire ar incerca sa parcurga tot volumul la fiecare rulare, asa ca parca as prefera o solutie mai eleganta (i dunno, un soi de jurnal al blocurilor schimbate in volumul/fisierul cu pricina). Ma gandesc ca ideal ar fi sa pot face un soi de binary logging la un block device (ca la replicarea de db) la care sa pot face replay remote, asta sau macar o lista cu "blocks changed since the last mark". Snapshoturie de LVM fac cumva asta, dar din cate stiu nu pot fi refolosite decat in interiorul aceluiasi VG, in nici un caz remote. Daca maretul btrfs ar fi in stare sa faca asa ceva, as fi dispus sa ma joc cu el (si cu ceva sacrificii, chiar si cu zfs care mereu se zvoneste ca ar fi the ultimate FS solution for whatever storage problems one might have). De notat ca nu faptul ca e cryptoloop e relevant, ci ca ma intereseaza sincronizarea blockdevice-ului fara sa ma dau prin filesystemul din el (fie pentru ca e criptat, fie pentru ca e prea costisitor). Si nu, drbd nu e o optiune daca nu ma pot sincroniza cu mai mult de 1 peer (partea cu sincronizarea on-demand sa zicem ca se poate aranja). -- Petre. ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] useri samba
On Monday, April 04, 2011 01:26:01 pm manuel "lonely wolf" wolfshant wrote: > > nu poti sa te autentifici in samba cu contul de root fara sa setezi > intii parola cu smbpassd. ... dealtfel e valabil pentru oricare user Ideea e ca root-ul de windows umbla deghizat sub numele umil de administrator > si la fel cu guest & Co intrucit implicit > userul nobody nu are cont valid. singura varianta e sa reconfigurezi > samba si sa dai pe acolo cu "map to guest" + sa il rogi sa il lase pe > guest fara parola > > > Bineinteles ca nu si pe slack :) > > credeam ca vorbim despre distributii enterprise si din secolul asta > Si Gica Petrescu a trait in secolul asta :) Cat despre cel viitor, nu cred ca vreuna din distributiile actuale il va prinde asa ca ... da, din secolul asta . Mai vorbim vineri :) de fapt "si pe slack" inseamna de fapt "pachetul nativ, fara adaugiri de la maintainerii distributiei", ca vad ca e pe cale sa apara o discutie de genul " la mine e, la mine nu e" . > > Daca nu vrei asta poti sa le stergi. > > corect > > ___ > RLUG mailing list > RLUG@lists.lug.ro > http://lists.lug.ro/mailman/listinfo/rlug ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] Rutare linux
2011/4/4 adriano : > Salut.Am o problema care nu stiu cum sa o rezolv.Tot incerc dar undeva nu > inteleg cum functioneaza asa ca v-as ruga daca ma puteti ajuta > Am atasat o schema. > Pe interfata externa a lui linux2 trebuie sa receptionez niste date pe un > anumit port care trebuiesc colectate de XP-ul acela din retea caruia nu ii > pot schimba setarile la placa de retea. > Am control total pe linux1 si linux2. > Nu stiu cum sa fac . Nu imi iese > Xp-ul acela are ca si gateway linux1. Daca pe linux2 faci ceva DNAT --to ip.int.ern.xp , vezi sa faci si un --SNAT --to ip.int.ern.linux2, altfel pachetele de raspuns or sa fie trimise lui linux1 care n-o sa stie ce sa faca cu ele. PS. Also, "pe care" :) -- Petre. ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] Rutare linux
On 4/4/2011 1:27 PM, adriano wrote: > salut.Imi cer scuze ca nu s-a atasat imaginea.Am pus postul aici > http://forum.linux.ro/viewtopic.php?f=22&t=46939Forward-ul e activat.Va > multumesc. dap, exact cum am zis mai inainte: cea mai simpla solutie este DNAT urmat de SNAT chiar daca nu prea e placuta de unii, solutia functioneaza daca ai nevoie de exemple, shoot Alex ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] Rutare linux
On 4/4/2011 1:20 PM, adriano wrote: > Salut.Am o problema care nu stiu cum sa o rezolv.Tot incerc dar undeva nu > inteleg cum functioneaza asa ca v-as ruga daca ma puteti ajuta > Am atasat o schema. > Pe interfata externa a lui linux2 trebuie sa receptionez niste date pe un > anumit port care trebuiesc colectate de XP-ul acela din retea caruia nu ii > pot schimba setarile la placa de retea. > Am control total pe linux1 si linux2. > Nu stiu cum sa fac . Nu imi iese > Xp-ul acela are ca si gateway linux1. > > Va multumesc anticipat > Nota: Cred ca problema s-ar rezolva daca as reusi sa pastrez setarile la > placa de retea intacte dar sa iasa prin linux2 > 1. la mana, pune imaginea 2. presupun ca xp-ul iese prin linux1, iar linux2 e un alt gateway ceva; s-ar putea sa mearga cu un dnat pe linux2 urmat de un snat tot pe linux2; windows-ul va vedea pachetul ca venind de pe linux2 si presupunand ca e in aceeasi retea va functiona; daca e protocol simplu (http, ssh, orice altceva la nivel de conexiune, mai putin ftp, dar se poate manari si la asta) atunci functioneaza fara figuri; dar pe windows nu vei avea ip-ul remote, deci toate filtrarile vor trebui facute de pe linux2 iarasi, solutia mea e la ceea ce cred ca este problema ta; poate dupa ce pui si poza ne lamurim daca sunt proactiv (I REALLY HATE this word) sau nu :-P Alex ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] Rutare linux
salut.Imi cer scuze ca nu s-a atasat imaginea.Am pus postul aici http://forum.linux.ro/viewtopic.php?f=22&t=46939Forward-ul e activat.Va multumesc. --- On Mon, 4/4/11, Alexandru Juncu wrote: From: Alexandru Juncu Subject: Re: [rlug] Rutare linux To: "Romanian Linux Users Group" Date: Monday, April 4, 2011, 12:25 PM 2011/4/4 adriano : > Salut.Am o problema care nu stiu cum sa o rezolv.Tot incerc dar undeva nu > inteleg cum functioneaza asa ca v-as ruga daca ma puteti ajuta > Am atasat o schema. > Pe interfata externa a lui linux2 trebuie sa receptionez niste date pe un > anumit port care trebuiesc colectate de XP-ul acela din retea caruia nu ii > pot schimba setarile la placa de retea. > Am control total pe linux1 si linux2. > Nu stiu cum sa fac . Nu imi iese > Xp-ul acela are ca si gateway linux1. > > Va multumesc anticipat > Nota: Cred ca problema s-ar rezolva daca as reusi sa pastrez setarile la > placa de retea intacte dar sa iasa prin linux2 Salut! Vezi că nu ai atașat imagina. Dar, dacă poți, pune-o pe un server undeva și trimite link-ul către imagine (nu e best practice să trimiți atașamente pe liste de discuții ;) ) Încă nu am înțeles care e problema ta pentru că nu înțeleg schema. Dar fac niște presupuneri: tu vrei să rutezi printr-un linux box? Dacă da, ai rutarea activată? Dă-i un "cat /proc/sys/net/ipv4/ip_forward" și vezi dacă ai un 0 sau un 1. ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] Rutare linux
On 04/04/2011 01:20 PM, adriano wrote: > Salut.Am o problema care nu stiu cum sa o rezolv.Tot incerc dar undeva nu > inteleg cum functioneaza asa ca v-as ruga daca ma puteti ajuta > Am atasat o schema. nu se pot trimite attachuri pe aceasta lista. pune-o te rog undeva on line, de pilda pe imageshack ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] useri samba
On 04/04/2011 01:17 PM, Mihai Badici wrote: >> Complete! >> [root@pc68 ~]# ll /etc/samba/ >> total 32 >> -rw-r--r-- 1 root root 20 Sep 15 2010 lmhosts >> -rw-r--r-- 1 root root 9733 Sep 15 2010 smb.conf >> -rw-r--r-- 1 root root 97 Sep 15 2010 smbusers >> [root@pc68 ~]# cat /etc/samba/smbusers >> # Unix_name = SMB_name1 SMB_name2 ... >> root = administrator admin >> nobody = guest pcguest smbguest >> > Samba iti mapeaza contul de root cu cel de administrator si guest cu nobody > pentru o eventuala integrare intr-un domeniu de windows. nu poti sa te autentifici in samba cu contul de root fara sa setezi intii parola cu smbpassd. si la fel cu guest & Co intrucit implicit userul nobody nu are cont valid. singura varianta e sa reconfigurezi samba si sa dai pe acolo cu "map to guest" + sa il rogi sa il lase pe guest fara parola > Bineinteles ca nu si pe slack :) credeam ca vorbim despre distributii enterprise si din secolul asta > Daca nu vrei asta poti sa le stergi. corect ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] Rutare linux
2011/4/4 adriano : > Salut.Am o problema care nu stiu cum sa o rezolv.Tot incerc dar undeva nu > inteleg cum functioneaza asa ca v-as ruga daca ma puteti ajuta > Am atasat o schema. > Pe interfata externa a lui linux2 trebuie sa receptionez niste date pe un > anumit port care trebuiesc colectate de XP-ul acela din retea caruia nu ii > pot schimba setarile la placa de retea. > Am control total pe linux1 si linux2. > Nu stiu cum sa fac . Nu imi iese > Xp-ul acela are ca si gateway linux1. > > Va multumesc anticipat > Nota: Cred ca problema s-ar rezolva daca as reusi sa pastrez setarile la > placa de retea intacte dar sa iasa prin linux2 Salut! Vezi că nu ai atașat imagina. Dar, dacă poți, pune-o pe un server undeva și trimite link-ul către imagine (nu e best practice să trimiți atașamente pe liste de discuții ;) ) Încă nu am înțeles care e problema ta pentru că nu înțeleg schema. Dar fac niște presupuneri: tu vrei să rutezi printr-un linux box? Dacă da, ai rutarea activată? Dă-i un "cat /proc/sys/net/ipv4/ip_forward" și vezi dacă ai un 0 sau un 1. ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] useri samba
> ps: e fresh install, facut special pt tine acum sunt onorat :-P mda, dupa cum era de asteptat, difera de la distributie la distributie, desi versiunea de samba tot 3.0.x este (ce-i drept, mult mai noua la tine) lasa ca in curand baga astia /run, si poate se mai uniformizeaza cat de cat (desi oricum in cazul nostru vorbim de chestii persistente, care nu au ce cauta in /run) Alex ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
[rlug] Rutare linux
Salut.Am o problema care nu stiu cum sa o rezolv.Tot incerc dar undeva nu inteleg cum functioneaza asa ca v-as ruga daca ma puteti ajuta Am atasat o schema. Pe interfata externa a lui linux2 trebuie sa receptionez niste date pe un anumit port care trebuiesc colectate de XP-ul acela din retea caruia nu ii pot schimba setarile la placa de retea. Am control total pe linux1 si linux2. Nu stiu cum sa fac . Nu imi iese Xp-ul acela are ca si gateway linux1. Va multumesc anticipat Nota: Cred ca problema s-ar rezolva daca as reusi sa pastrez setarile la placa de retea intacte dar sa iasa prin linux2___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] useri samba
> Complete! > [root@pc68 ~]# ll /etc/samba/ > total 32 > -rw-r--r-- 1 root root 20 Sep 15 2010 lmhosts > -rw-r--r-- 1 root root 9733 Sep 15 2010 smb.conf > -rw-r--r-- 1 root root 97 Sep 15 2010 smbusers > [root@pc68 ~]# cat /etc/samba/smbusers > # Unix_name = SMB_name1 SMB_name2 ... > root = administrator admin > nobody = guest pcguest smbguest > Samba iti mapeaza contul de root cu cel de administrator si guest cu nobody pentru o eventuala integrare intr-un domeniu de windows. Bineinteles ca nu si pe slack :) Daca nu vrei asta poti sa le stergi. ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] useri samba
On 04/04/2011 01:09 PM, Alex 'CAVE' Cernat wrote: >> so, as I said, pe rhel ( ma rog, pe centos 5.6 ca sa fim mai catolici >> decit papa ) nu e asa cum descrii tu. cum e pe debian.. donno. > dupa cum ziceam, redhatul a fost demult, pe vremuri, de atunci doar ca > batai de cap din cand in cand :P > in /var/lib/samba ai ceva tdb-uri ? > [root@pc68 ~]# ll /var/lib/s* -d drwxr-xr-x 2 root root 4096 Apr 4 03:53 /var/lib/sepolgen drwxr-xr-x 3 root root 4096 Apr 4 03:53 /var/lib/stateless [root@pc68 ~]# ll /var/cache/samba/ total 8 drwxr-x--- 2 root root 4096 Sep 15 2010 winbindd_privileged [root@pc68 ~]# ll /var/cache/samba/winbindd_privileged/ total 0 ps: e fresh install, facut special pt tine acum ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] useri samba
> so, as I said, pe rhel ( ma rog, pe centos 5.6 ca sa fim mai catolici > decit papa ) nu e asa cum descrii tu. cum e pe debian.. donno. dupa cum ziceam, redhatul a fost demult, pe vremuri, de atunci doar ca batai de cap din cand in cand :P in /var/lib/samba ai ceva tdb-uri ? Alex ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] useri samba
On 04/04/2011 12:41 PM, Alex 'CAVE' Cernat wrote: > >> unde asta? ca pe redhat / fedora nu e asa >> > ba parca si pe redhat era la fel, cel putin pe vremuri, si cam peste > tot am vazut la fel, inclusiv pe vremea cand mai foloseam si slack (ce > vremuri ... bleah); poate s-o mai fi schimbat intre timp, ca n-am mai > instalat sambe de cam de multa vreme > sa zicem ca ar fi un feature, ca sa nu te mai chinui tu sa ii bagi de > mana dupa ce instalezi samba, dar totusi de fiecare data n-am avut > nevoie si am injurat :-P poate pe unii ii ajuta >>> a lasa toate gunoaiele in passwd.tdb ? Eu din cate stiu nu ... dar o >>> intrebare nu strica >> nu stiu la ce gunoaie te referi. la mine fisierul ala e initial vid > daca nu ti-i importa normal ca e vid :-P > sa vedem pe ultimile versiuni de samba din debian cum se comporta, > asta era un server ceva mai vechi > > Alex > Last login: Mon Apr 4 03:57:05 2011 [root@pc68 ~]# rpm -q centos-release centos-release-5-6.el5.centos.1 [root@pc68 ~]# rpm -qa samba\* [root@pc68 ~]# useradd alfa [root@pc68 ~]# useradd beta [root@pc68 ~]# useradd gama [root@pc68 ~]# yum -y install samba --disablerepo=\* --enablerepo=c5-media Loaded plugins: fastestmirror Loading mirror speeds from cached hostfile * c5-media: Setting up Install Process Resolving Dependencies --> Running transaction check ---> Package samba.i386 0:3.0.33-3.29.el5_5.1 set to be updated --> Processing Dependency: samba-common = 3.0.33-3.29.el5_5.1 for package: samba --> Running transaction check ---> Package samba-common.i386 0:3.0.33-3.29.el5_5.1 set to be updated --> Finished Dependency Resolution Dependencies Resolved = Package Arch Version Repository Size = Installing: samba i386 3.0.33-3.29.el5_5.1 c5-media 16 M Installing for dependencies: samba-common i386 3.0.33-3.29.el5_5.1 c5-media 6.7 M Transaction Summary = Install 2 Package(s) Upgrade 0 Package(s) Total download size: 23 M Downloading Packages: - Total 505 MB/s | 23 MB 00:00 Running rpm_check_debug Running Transaction Test Finished Transaction Test Transaction Test Succeeded Running Transaction Installing : samba-common 1/2 Installing : samba 2/2 Installed: samba.i386 0:3.0.33-3.29.el5_5.1 Dependency Installed: samba-common.i386 0:3.0.33-3.29.el5_5.1 Complete! [root@pc68 ~]# ll /etc/samba/ total 32 -rw-r--r-- 1 root root 20 Sep 15 2010 lmhosts -rw-r--r-- 1 root root 9733 Sep 15 2010 smb.conf -rw-r--r-- 1 root root 97 Sep 15 2010 smbusers [root@pc68 ~]# cat /etc/samba/smbusers # Unix_name = SMB_name1 SMB_name2 ... root = administrator admin nobody = guest pcguest smbguest so, as I said, pe rhel ( ma rog, pe centos 5.6 ca sa fim mai catolici decit papa ) nu e asa cum descrii tu. cum e pe debian.. donno. ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] useri samba
On 04/04/2011 12:25 PM, Alex 'CAVE' Cernat wrote: > Salut > > La instalare samba are prostul obicei de a crea useri de samba toti > userii de sistem, inclusiv cei de sistem care clar nu vor avea niciodata > vreo treaba cu samba. unde asta? ca pe redhat / fedora nu e asa > La fel, din cate imi aduc aminte, configurat chiar si standard, samba se > va uita dupa passwd.tdb, fara se se mai uite in fisierele de sistem > (/etc/passwd, /etc/shadow). corect. > In concluzie, exista vreun motiv (mai mult sau mai putin ascuns) pentru > a lasa toate gunoaiele in passwd.tdb ? Eu din cate stiu nu ... dar o > intrebare nu strica nu stiu la ce gunoaie te referi. la mine fisierul ala e initial vid ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
[rlug] useri samba
Salut La instalare samba are prostul obicei de a crea useri de samba toti userii de sistem, inclusiv cei de sistem care clar nu vor avea niciodata vreo treaba cu samba. La fel, din cate imi aduc aminte, configurat chiar si standard, samba se va uita dupa passwd.tdb, fara se se mai uite in fisierele de sistem (/etc/passwd, /etc/shadow). In concluzie, exista vreun motiv (mai mult sau mai putin ascuns) pentru a lasa toate gunoaiele in passwd.tdb ? Eu din cate stiu nu ... dar o intrebare nu strica Alex ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
