gogi

CAEman писал(а) Fri, 11 September 2009 21:02 Но в моём случае такая аутентификация пройдёт (по LDAP же не проходила, а openLDAP, судя по всему приведённому там нет, или я ошибаюсь?)? Не ошибаетесь, серверы windows поддерживают аутентификацию kerberos, а также ntlm для совместимости со старыми клиентами. Аутентификация ldap там если и реализуема, то только сторонними средствами.

CAEman писал(а) Fri, 11 September 2009 20:07 Т.е., если я Вас правильно понял, Вы считаете, что у линуксовских модулей kerberos 5 или аналогичных (Winbind, LDAP?) проблем с аутентификацией на виндовском сервере нет? Проблема только в создании новых пользователей по результатам этой аутентификации? Уточните, пожалуйста. Это относится к pam модулям kerberos и winbind (последний, как вы сами видели, требует ввода машины в домен). Молуль pam_ldap может проходить аутентификацию в openldap или в других лдап каталогах, но НЕ в AD, поскольку аутентификация кербесос и лдап существенно различаются.

CAEman писал(а) Fri, 11 September 2009 19:05 Однозначно нужно, чтобы у каждого пользователя, зарегистрированного на сервере, создавался свой локальный профиль при первом входе, которым он в дальнейшем мог пользоваться (я не говорю о сохранении его на сервере - пусть на каждой машине будет свой локальный профиль). Всё, что нужно, - это чтобы Linux при вводе в регистрационном окне графического DM имени и пароля пользователя при отсутствии такого зарегистрированного локального пользователя мог сверить введённые имя и пароль с находящимся на win сервере списком и в случае их наличия и соответсвия, создать такого же (имя и пароль) локального пользователя с настройками по умолчанию для вновь создаваемых и его загрузить (с созданием на /home настроенного по умолчанию профиля, например, из /etc/skel). При повторном же входе пользователя (т.е. при уже наличии такого локального пользователя) Linux'у даже не обязательно обращаться к серверу для проверки (с монтированием же сетевых папок, как я понял, проблем нет). Достаточно ли я чётко изложил задачу минимума (т.е. нет ли мест, допускающих неоднозначное толкование)? Решаема ли оCна в принципе, и если - да, то как конкретно? Если не было опыта практического её решения, то, хотя бы - теоретические соображения (с учётом всех описанных мной ранее попыток и результатов её решения). Задачу вы изложили достаточно ясно. Конкретно такую же решать не приходилось в силу её специфичности. (Не проще ли бы было обратиться к вендовому админу с просьбой ввести машины в домен). Тем не менее могу сказать определёно, что задача решаема. Один путь к решению (наверное, не лучший) я вам укажу. 1. Необходимо найти (скорее всего придется написать самому) модуль nss для базы passwd, чтобы он вёл локальную базу вендовых пользователей и на запросы выдавал uid,gid,shell,home. Если имеете даже небольшие навыки программирования на C, то это вполне решаемая задача. 2. Нужно установить и настроить pam_krb5 или аналогичный модуть для аутентификации в AD. Если он не будет стыковаться с вашим модулем nss, то, возможно, самому написать ещё модуль pam для аутентификации в kerberos,например, на основе вызова kinit. Вот и выбитайте из четырёх: обратиться к вендовому админу, поискать в сети преемлемое решение, изобрести предложенные мной костыли или забросить эту затею. По теме можно почитать ещё здесь, но, увы, пароль админа АД там известен. http://www.cyberguru.ru/operating-systems/windows-admin/linu x-authentication.html

CAEman писал(а) Fri, 11 September 2009 14:46 Задача как раз состоит в том, чтобы, не имея админ-ских прав на Win сервере, предоставить пользователям сервера возможность входить на локальных комп-ах с Linux (естественно, без их предварительного создания в Linux'е - создавать вручную тыщу уже имеющихся и постоянно пополняющихся пользователей - это, сами понимаете, как-то не адекватно...) и, желательно, с доступом к их сетевым папкам. Это решаемо в принципе? Или без допила этих виней (кому только могло стукнуть в голову сделать на них сервер ) никак не обойтись? Можно разделить два различных уровня интеграции. По правилам MS залогиниться в домене AD можно только с машины, введенной в домен. А ввести машину может администратор домена. Существует ли способ это обойти - я не знаю. Перерывайте информацию по samba и winbind. Но пользоваться ресурсами windows сервера (напр. расшареными папками) можно и не вводя машину в домен. Например, если на сервере установлена поддержка старых клиентов (до win2000, насколько я знаю, по умолчанию она стоит) то можно примонтировать ресурс с ntlm аутентификацией $ mount.cifs ... ... -o user=... password=... Если в домене оставлена только kerberos аутентификация, то можно поступить, как я писал в прошлый раз (kinit + mount.cifs -k). Логиниться на юникс машину в этих случаях можно с любым логином (напр. одним для всех, или даже автологином).

Алексей писал(а) Sat, 05 September 2009 09:56 Интересный вариант - я о таким и не подумал. Но вот в чем загвоздка: у меня диапазон 192.168.1.2 - 192.168.250.250. В этом диапазоне находятся адреса машин в настоящее время ( на каждой машине прописан свой адрес). Теперь я пытаюсь постепенно все машины перевести на раздачу адресов с сервера. сегодня это может быть машина с адресом 2.100 а завтра - 200.5 Вот и получается, что я не могу провести четкую границу диапазона адресов. Мне всё же думается, что вы создаёте себе проблему на пустом месте. Напишите, например, для двухсот машин subnet 192.168.0.0 netmask 255.255.0.0 { range 192.168.251.10 192.168.251.210; option subnet-mask 255.255.0.0; ... ... } Работать будут одновременно и старые клиенты и новые, получившие адрес по dhcp. Если клиентов больше 200, то откройте ещё один диапазон.

CAEman писал(а) Fri, 04 September 2009 19:20 При попытке настройки через winbind выдаётся сообщение: This host is not a member of the domain... Join the domain ...? После утвердительного ответа и ввода имени и пароля пользователя сервера (естественно, не администратора): Failed to join domain: Failed to set account flags for machine account (NT_STATUS_ACCESS_DENIDED) Что нужно делать? Для того, чтобы ввести машину в домен АД, нужны права администратора домена. Будет ли winbind полноценно работать без ввода машины в домен, я не знаю и не встречал такой реализации (последний сервер с АД я убрал три года назад). Могу предложить более простой способ, если он вас устроит. Нужно установить kerberos client. Тогда, получив билет пользователя АД (kinit имя_юзера) вы сможете обращаться к дозволенным вам сервисам: например, смонтировать каталог можно mount.cifs с ключем -k. Далее, если хотите вместо kinit набирать этот паролль при входе в систему, нужно установить и настроить pam_krb5 (в случае реализации MIT). Только имейте в виду, что пользователь также должен быть прописан на этой юникс машине (можно и без пароля: на керберос он будет аутентифицироваться, а uid gid ... получать локально). Подобная реализация описана, например, здесь http://www.windowsnetworking.com/articles_tutorials/Authenti cating-Linux-Active-Directory.html

CAEman писал(а) Fri, 04 September 2009 16:00 А по приведённым ниже портам сервера, полученным с помощью PortScan, можно определить, какие там возможны аутентификация и авторизация? 42 open name 53 open domain 88 open kerberos 135 open epmap 139 open netbios-ssn 389 open ldap 445 open microson-ds 464 open kpasswd 593 open hnp-rpc-epmap 636 open ldaps 1025 open blackjack 1027 open unknawn 1034 open activesync 1038 open mtqp 1048 open neod2 3268 open msn-qc 3269 open msn-qc-ssl 3389 open ms-wbt-server В данном случае открыт и ldap и kerberos. Все же в 95% в вендовых сетях вся авторизация в АД. Можно предположить, что у вас так же. Цитата: Нужно, в принципе, только, чтобы Linux просто после первого ввода в окне регистрации DM имени и пароля серверного пользователя автоматически создавал одноимённого локального пользователя с uid и gid, которые стоят у него по умолчанию для вновь создаваемых локальных пользователей, и имеющего такой же доступ к папкам сервера, как и зарегистрированный на сервере пользователь. Можно ли этого добиться с какой-либо установкой аутентификации + авторизации в Linux'e и без каких-либо изменений на Windows сервере? Для этого предназначен winbind, входящий в соcтав samba. Самба клиент вам нужен в любом случае, если хотите пользоваться сетевыми "папками". Кроме этого нужно настроить pam-winbind для сетевой аутентификации пользователей.

Алексей писал(а) Thu, 03 September 2009 19:38 Если у вас имеется другая схема назначения адресов только делегированным машинам - прошу пример в студию. Часть файла dhcpd.conf работающей сети subnet 192.168.17.0 netmask 255.255.255.0 { range 192.168.17.50 192.168.17.200; option routers 192.168.17.1; option subnet-mask 255.255.255.0; option broadcast-address 192.168.17.255; } host prn-hp12 { hardware ethernet 17:00:07:28:c1:a5; fixed-address 192.168.17.210; } Цитата: Иначе прошу Вас дать мне ответ: может ли машина с мак-адресом, отличным от заявленного, получить адрес? Судя по файлу лиасов так оно и есть, но почему? Да, может, и об этом прямо сказано в документации. Поэтому адреса в range не должны использоваться как фиксированные адреса хостов.

Алексей писал(а) Thu, 03 September 2009 08:23 Вы правы - подсеть состоит из одного адреса. Это сделано в целях предотвращения использования зарезервированных адресов. Если, к примеру, мы хотим выделить еще один адрес для другой машины в сети, то мы объявляем еще одну такую же подсеть 192.168.0.0/16 и прописываем в ней нужный хост. Не изобретайте велосипед с кривыми колесами и без руля. Ваш случай рассмотрен даже в мане. Адреса, которые распределяются динамически пишите в range, а которые должны быть фиксированы - в host. Объявлять две одинаковые подсети бессмысленно, поскольку не понятно, какую логику при такой нештатной ситуации применит сервер. Цитата: Если же мы будем применять общую схему раздачи адресов, то, вполне вероятно, адрес, который мы назначим одной из машин, будет уже назначен другой машине в сети (сеть 100 клиентов), и его запись будет в файле лиасов. В подсети 192.168.0.0 более 65000 адресов. Даже если прописать большой range и не прописывать маки, то есть большая доля уверенности, что каждому из 100 компьютеров будет выдаваться свой уникальный адрес на протяжении многих лет. А если range указать меньше чем реальных компьютеров, то естественно, адреса будут меняться.

Для полного понимания ситуации хорошо бы приводить точные копии конфигов вместо x.y. Судя по приведенному тексту в вас указан диапазон их одного адреса. И какой же адрес должен сервер давать другому клиенту из этой подсети?

BuxarNET писал(а) Tue, 01 September 2009 02:34 Спасибо, да видимо так и поступлю, займусь настрой модема. Может есть статейка по этому поводу на примете? google вам поможет. Настройки могут зависеть от провайдера. Цитата: В настойках модема я так понял, нужно вместо Bridge Mode выбрать PPPoA/PPPoE Servicename - не ясно что писать, провайдер таких данных вроде не давал VPI/VCIUsername, Password - понятно А вот с настройками IP Address вообще не понятно: Get IP Address - статический или динамический Static IP Address IP Subnet Mask Gateway Нат вы писали вкл Default Route - да/нет? Остальное думаю по умолчанию, только вот это MAC Spoofing вкл или выкл? Имя сервиса может быть любым ip адрес (для внешнего интерфейса, разумеется) большинство провайдеров раздают динамически. Дефаулт роут, скорее всего, придется добавить (это зависит от настроек сети провайдера).

BuxarNET писал(а) Mon, 31 August 2009 06:36 Здравствуйте Проблема следующая. Поставил Mandriva 2009 и хочу подключить интернет. В Mandriva WI-FI настроил, но вот ADSL что бы он через WI-FI подключался, а не кабеля ждать так и не получилось. Подскажите пожалуйста как это настроить. З.Ы. Это мой первый линукс и с командной строкой практически не знаком, если не возможно это выполнить в графической среде, просьба более подробнее объяснить без сложных (для меня) терминов, а на понятном для новичка языке. Спасибо Если не хотите настраивать ppp over ethernet (понятия не имею, можно ли это сделать без прямого редактирования конфигурационных файлов), то есть более простое решение - настраивайте модем через веб-морду так, чтоб он сам соединялся с инетом и использовал nat. Если wifi вы уже настроили - то задача решена.

Сразу оговорюсь, что мне подобную задачу решать не приходилось, поэтому могу дать только некоторые общие рекомендации. remm писал(а) Sun, 30 August 2009 21:56 1. Непосредственно система управления и контроля, которая делится на 2 составляющие - контроллерную и PC. PC-составляющая должна иметь: - графический интерфейс для отображения мнемосхем, - возможность работы с базой данных (см. ниже), - возможность работы в сети с контроллерной составляющей; Контроллерная составляющая: - графический интерфейс не нужен, - также необходима рабта с БД, - возможность работы в сети с PC-составляющей; - доступ к контроллеру по FTP, SSH, возможно WEB-интерсейс (скорее всего этот пункт будет реализоваться возможностями ОС)... В связи с этим вопросы: - какой дистрибутив лучше выбрать для установки на контроллеры и какой для работы на автоматизированных рабочих местах (АРМ)? Если будет использоваться специализировання аппаратура, то этот вопрос нужно согласовать с её поставщиком. Иначе - любой распространенный дистрибутив. Для контроллера - достаточно стабильный и надежный. Из свободных это debian или centos. Из коммерческих - RHEL или SLES. На рабочих местах - если персонал привык к венде, то, наверное, ubuntu (при прочих равных будет меньше глупых вопросов). Цитата: - Какой язык выбать для разработки? Для ПО контроллера - думаю, C. Его плюсы - скорость, непрожорливость и распространенность. Для ПО рабочих мест - любой. А вообще - это зависит от разработчиков. Не заставите же вы их специально изучать к примеру python. Цитата: - Какое выбрать графическое окружение? Наверное, GTK как наиболее распространенное, если уже не подсели на что другое. Цитата: 2. База данных. Планируется использование единой БД как на этапе разработки, так и на этапе эксплуатации. Запись в базу будет осуществляться с часотой от 1 часа до 0,1 секунды. Какаую базу, исходя из этих требований, лучше выбрать? Этим требованиям удовлетворяет практически любая БД. Наиболее распространенные из свободных - mysql postpresgl. Цитата: 3. Среда программирования алгоритмов управления и преобразования информации - программных моделей. В современных ПТК программные модели реализуются в виде откомпилированных бинарных файлов, я же хочу реализовать их в виде скриптов на каком-либо языке, возможно с преобразованием их из функциональных блочных диаграмм (FBD). Таким образом это будет программа с графическим интерфейсом, текстовым редактором, редактором диаграмм и возможно с отладчиком программных моделей. Вопрос тот же: Какой язык выбать для разработки? Здесь я не советчик, так как не представляю, что должно быть в резутьтате.

Цитата: я так понимаю процесс загрузки винды идет так: (загрузчик в mbr)->(загрузчик в секторе раздела жесткого диска)->(ntloader или другой загрузчик в файле) и rootnoverify (hd1,0) вызывает "загрузчик в секторе раздела жесткого диска", а как вызвать "загрузчик в mbr"? 1. Общеее свойство наших продвинутых юзеров и даже многих вендовых админов - делать предположения вместо того, чтобы читать документацию. rootnoverify делает указанный раздел текущим. В отличие от root при этом не пытается монтировать раздел. cainloader - позволяет указать файл или (+1) загрузочную запись, откуда будет производиться загрузка. boot - передает управление следующему загрузчику (или ядру). Вы можете попробовать скопиравать mbr в файл и chainloader FILE. Этот FILE, естественно, должен быть в разделе, файловая ситема которого известна грабу. Но все же, я думаю, лучше использовать стандартную схему grub - в mbr hd0 венда - в (hd0,0) линух - где угодно Если венда в (hd1,0), то использовать map, так как она кроме как с C: грузиться не умеет (или не умела). 2. Насчет семерки не знаю, но до нее все версии венды в mbr оставляли стандартный загрузчик, который передавал управление загрузочной записи раздела, помеченного активным и уже он выдавал внутривендовое меню.

Цитата: На клиентской машине, на которой стояла WinXP32 с аутентификацией с помощью LDAP на Windows сервере, установил openSUSE11.1x86_64. Задача состоит в том, чтобы вход пользователей оставался прежним - с аутентификацией на сервере windows. Если аутентификацией с помощью лдап вы называете вендовую AD (на самом деле в АД аутентификация керберос и авторизация лдап), то вам нужен winbind (это прямое и самое простое решение). Если же вы аутентифицируетесь именно в ЛДАП (наверное, для венды есть такие реализации) то нужно, чтобы в этом каталоге были юниксовые юзеры со своими uid и gid, а также установлены и правильно настроенные pam-ldap и nss-ldap. Судя по вашим логам, nss-ldap у вас настроен не верно, так как не может подключиться к лдап серверу.

Цитата: Попробовал удалить пакет iptables ситуация не изменилась. Подобными действиями вы можете привести систему в нерабочее состояние. Посмотреть настройки фаревола - sudo iptables-save. Впрочем, вы удалили лишь утилиты фаревола. Сам фаревол встроен в ядро. Цитата: Может есть ещё какие нибудь рекомендации, подскажите пожалуйста... 0. Внимательно читайте логи (напр. /var/log/syslog) 1. Пропингуйте свои ip: 10.10.56.30 и 127.0.0.1 2. На другом терминале запустите tcpdump и смотрите, как движутся пакеты. 3. Посмотрите arp (при пингах). 4. Выберите в загрузчике (grub) загрузку старого ядра (которое было до обновления). Возможны три варианта: либо новое ядро некорректно работает с сетевой платой, либо вы начудили, меняя настройки и удаляя пакеты, либо на пути стоит фаревол. Цитата: обратил внимание, что параметр Bcast 10.10.56.255 я так понимаю это основной шлюз, так вот он у меня 10.10.56.2 и в ручных настройках прописано так Этот параметр - адрес широковещательных пакетов в вашей подсети и установлен он правильно. Надеюсь, вы его не меняли.

Используйте aptitude (читайте man aptitude) или его графический аналог (ищите в меню десктопа). Это в 90% случаев решит ваши проблемы. Устанавливать софт с тарболов вам, думаю, рановато, если вы даже скачать их не можете без XP.

top ps

Цитата: как я могу узнать на каком dev/sd?1 подключен жесткий диск в данный момент? Если этих дисков не сотни,то проще всего, как мне думается, будет их пометить (e2label ддя систем ext2/3/4). Потом проверить метку (vol_id). Цитата: и как выключить аутомаунт? Это зависит от того, кто и как его включал. Вообще, если автомаунт для чего-то нужен, можете и не выключать. mount | grep /dev/sd... или mount -l | grep метка выдаст строку, в которой в третьем поле содержися точка монтирования, и не 0, если диск среди смонтированных не обнаружен. В первом случае используйте эту точку, а в последнем монтируте сами куда хотите.

Цитата: Насколько мне помнится, MBR хранится где-то еще на нулевой дорожке - надо почитать мануал к фат-32 Не только на нулевой дорожке, но в самом первом секторе диска, но причем здесь fat-32? EvilShadow, видимо, хотел вас предостеречь, чтобы опробовав rm -rf / и ободрившись, вы следующим ходом не пробовали dd в первый раздел.

Цитата: Теперь думаю снять образ с системного диска командой dd(dd if=/dev/sdb of=/dev/sdc1 bs=4K count=0), только вот думаю, можнно ли снимать образ с диска, на котором работает система, а отмонтировать его нельзя. Можно PS. Все же стоит добавить, что dd -это не лучшее и даже не правильное решение проблемы резервного копирования работающей системы. Файлы, в которые производится запись, а также метаданные могут скопироваться в промежуточном состоянии и не соответствовать друг другу. Резервные копии стоит снимать, по возможности, когда запись в файлы не производится, и использовать для этого лучше специально предназначенные средства (tar, dump...).

Berlin писал(а) Mon, 24 August 2009 14:52 Добрый день. Помогите пожалуйста разобраться с проблемой. Установлена Mandriva 2009. После выбора пользователя и вода пароля, продолжается загрузка, но буквально секунды 3. Потом сразу же выбрасывает в окошка выбора пользователя. И так со всеми пользователями которые есть на этой машине. Под root'ом войти система не даёт. Как лечится такой баг. Помоги пожалуйста. Попробуйте войти в консоли (Ctrl-Alt-F1) и внимательно прочитайте сообщение об ошибке (если оно будет)

n19ht писал(а) Sun, 23 August 2009 14:19 ADSL модем настроен в режиме bridge. На первой машине инет работает, а на второй соответственно нет(локальная сеть между машинами работает). Я нигде не могу найти ничего по поводу настроек linux роутера с АДСЛ bridge модемом. Помогите пожалуйста прописать маршрутизацию, чтоб на второй машине инет тоже работал. При описанных вами симптомах АДСЛ бридж отношения к делу иметь не может. Вам нужно настроить nat либо прокси (по вашему усмотрению). Ведь адрес 192.168.10.2 действителен только в вашей домашней подсети. По поводу деталей - поиск в гугле. В самом простом случае # echo 1 > /proc/sys/net/ipv4/ip_forward # iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE ppp0 замените на интерфейс dsl-provider

Проблема с вирусами акткальна в том случае, если вы держите на диске или получаете из сети вендовые программы или файлы. Чаще всего используют свободный антивирус clamAV. Есть и закрытые - тот же drweb и др.

Это тест на прозорливость или загадка? Тогда хоть первую букву дайте.