Статья

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Samba & CUPS & AD & ACL
проходил мимо

Статья

Непрочитанное сообщение Samba & CUPS & AD & ACL » 2008-10-28 10:25:15

Привет всем!

Осуждение статьи - http://www.lissyara.su/?id=1779

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

_Andy
проходил мимо

Re: Статья

Непрочитанное сообщение _Andy » 2008-10-28 11:25:42

Samba & CUPS & AD & ACL писал(а):Осуждение статьи - http://www.lissyara.su/?id=1779
Прямо так сразу и осуждение? Я не читал, но осуждаю :)

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35465
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Статья

Непрочитанное сообщение Alex Keda » 2008-10-28 11:31:19

Код: Выделить всё

# $FreeBSD: src/etc/pam.d/login,v 1.17 2007/06/10 18:57:20 yar Exp $
		#
		# PAM configuration for the "login" service
		#
		# auth
		#auth           sufficient      pam_self.so             no_warn
		#auth           include         system
		#account
		#account                requisite       /usr/lib/pam_securetty.so
		#account                required        /usr/lib/pam_nologin.so
		#account                include         system
		# session
		#session                include         system
		# password
		#password       include         system

		auth            required                pam_nologin.so                  no_warn
		auth            sufficient              /usr/local/lib/pam_winbind.so
		auth            sufficient              pam_opie.so                     no_warn no_fake_prompts
		auth            requisite               pam_opieaccess.so               no_warn allow_local
		auth            required                pam_unix.so                     no_warn try_first_pass
		account         sufficient              /usr/local/lib/pam_winbind.so
		account         required                pam_unix.so
		session         required                pam_permit.so
сточки выровняй по левому краю...
ширина страницы должна вписываться в 610 пикселов
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35465
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Статья

Непрочитанное сообщение Alex Keda » 2008-10-28 11:36:29

Самое первое установим heimdal-1.0.1 для того что бы можно
было проводить аутентификацию основанную на Kerberos 5.
вотп ро это - не могли бы объяснить - откуда это выколупали и зачем в статье?
Могу немного пояснить, хотя помоему постоянные посетители форума и так это знают.
=======
Раньше, США запрещало экспортировать всякие криптостойкие технологии. Поэтому в дистрибутиве FreeBSD и прочих был обрезанный керберос.
В частности, поэтому аутентификация доменная не работала - там криптостойкость повыше должна была быть (как M$ продавал дистры с такой криптостойкостью - другой вопрос =))
Быренько за пределами США организовалась команда товарисчей, котоыре и настругали неймдал - с целью иметь полноценное шифрование.
Потом, эти ограничения сняли. И тепеь в дистрибутиве есть нормальный керберос, и неймдал ставить НЕ НАДО.
Что я и делаю всю шестую ветку и далее.
Чего и вам рекомендую.
Хватит уже таскать за собой кусок какого-то древнего мануала, из времён когда это действительно надо было.
Убей их всех! Бог потом рассортирует...

_Andy
проходил мимо

Re: Статья

Непрочитанное сообщение _Andy » 2008-10-28 11:37:26

Если сервер выполняет роль и принтсервера, то быть может имеет смысл
монтировать установленные принтеры клиентам через скрипт, а не
ставить драйверы каждому клиенту.

atrium
мл. сержант
Сообщения: 88
Зарегистрирован: 2008-08-19 15:35:47

Re: Статья

Непрочитанное сообщение atrium » 2008-10-28 13:10:44

lissyara писал(а):
Самое первое установим heimdal-1.0.1 для того что бы можно
было проводить аутентификацию основанную на Kerberos 5.
вотп ро это - не могли бы объяснить - откуда это выколупали и зачем в статье?
Могу немного пояснить, хотя помоему постоянные посетители форума и так это знают.
=======
Раньше, США запрещало экспортировать всякие криптостойкие технологии. Поэтому в дистрибутиве FreeBSD и прочих был обрезанный керберос.
В частности, поэтому аутентификация доменная не работала - там криптостойкость повыше должна была быть (как M$ продавал дистры с такой криптостойкостью - другой вопрос =))
Быренько за пределами США организовалась команда товарисчей, котоыре и настругали неймдал - с целью иметь полноценное шифрование.
Потом, эти ограничения сняли. И тепеь в дистрибутиве есть нормальный керберос, и неймдал ставить НЕ НАДО.
Что я и делаю всю шестую ветку и далее.
Чего и вам рекомендую.
Хватит уже таскать за собой кусок какого-то древнего мануала, из времён когда это действительно надо было.

В 7 у меня не получилось со стандартным! Если можно, конфиг покаж!



Твои же коменты

Код: Выделить всё

lissyara, 2006-11-21 в 9:24:44

В 6.1 не катит. Надо ставить из портов керберос - /usr/ports/security/heimdal
И конфиги примерно такие:

керберос:
[libdefaults]
   default_realm = DOMAIN-NAME
   clockskew = 300
   v4_instance_resolve = false
   v4_name_convert = {
       host = {
           rcmd = host
           ftp = ftp
       }
       plain = {
           something = something-else
       }
   }
[realms]
   DOMAIN-NAME = {
       ip-kontrollera-domena
       admin_server = ip-kontrollera-domena
   }
[domain_realm]
   .grand-prix = DOMAIN-NAME
Версия 6.
Последний раз редактировалось atrium 2008-10-28 13:13:23, всего редактировалось 1 раз.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35465
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Статья

Непрочитанное сообщение Alex Keda » 2008-10-28 13:12:34

почему у меня катит в 6.2; 6.3; 7.0?
много народу с нуля ставить будет щас 6.1 когда на оф. сайте его ещё поискать надо чтоб скачать?
Убей их всех! Бог потом рассортирует...

atrium
мл. сержант
Сообщения: 88
Зарегистрирован: 2008-08-19 15:35:47

Re: Статья

Непрочитанное сообщение atrium » 2008-10-28 13:22:48

lissyara писал(а):почему у меня катит в 6.2; 6.3; 7.0?
много народу с нуля ставить будет щас 6.1 когда на оф. сайте его ещё поискать надо чтоб скачать?

Если не трудно конфиг можешь показать?

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35465
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Статья

Непрочитанное сообщение Alex Keda » 2008-10-28 13:56:26

конфиг чего?
http://www.lissyara.su/?id=1460
за той поправкой что устарело на год и heimdal из всех ампутирован уже давно
Убей их всех! Бог потом рассортирует...

atrium
мл. сержант
Сообщения: 88
Зарегистрирован: 2008-08-19 15:35:47

Re: Статья

Непрочитанное сообщение atrium » 2008-10-28 14:38:21

lissyara писал(а):конфиг чего?
http://www.lissyara.su/?id=1460
за той поправкой что устарело на год и heimdal из всех ампутирован уже давно

krb5.conf для 7 без heimdal

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35465
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Статья

Непрочитанное сообщение Alex Keda » 2008-10-28 14:56:32

atrium писал(а):
lissyara писал(а):конфиг чего?
http://www.lissyara.su/?id=1460
за той поправкой что устарело на год и heimdal из всех ампутирован уже давно

krb5.conf для 7 без heimdal
непонял
Убей их всех! Бог потом рассортирует...

_Andy
проходил мимо

Re: Статья

Непрочитанное сообщение _Andy » 2008-10-28 15:01:14

Код: Выделить всё

powercharge# uname -a
FreeBSD powercharge.moskb.local 7.0-RELEASE-p4 FreeBSD 7.0-RELEASE-p4 #3: Thu Sep 18 12:17:45 UTC 2008     andy@powercharge.moskb.local:/usr/obj/usr/src/sys/MYKERN  i386
powercharge# more /etc/krb5.conf
[libdefaults]
default_realm = MOSKB.LOCAL
dns_lookup_kdc = yes
dns_lookup_realm = yes
kdc_timesync = yes


[domain_realm]
.moskb.local = MOSKB.LOCAL

[realms]
MOSKB.LOCAL = {
              kdc = dc2.moskb.local
              admin_server = dc2.moskb.local
              kpasswd_server = dc2.moskb.local
              default_domain = moskb.local
              }
[logging]
kdc = FILE:/var/log/kdc.log

powercharge# kl
kldconfig kldload   kldstat   kldunload kldxref   klist
powercharge# klist
Credentials cache: FILE:/tmp/krb5cc_0
        Principal: andy@MOSKB.LOCAL

  Issued           Expires        Principal
Sep  7 05:43:29  >>>Expired<<<  krbtgt/MOSKB.LOCAL@MOSKB.LOCAL
powercharge# kinit renew
renew@MOSKB.LOCAL's Password:
powercharge# kinit andy
andy@MOSKB.LOCAL's Password:
kinit: NOTICE: ticket renewable lifetime is 1 week
powercharge# pkg_info | grep hemdail
powercharge#
ЧЯДНТ?

atrium
мл. сержант
Сообщения: 88
Зарегистрирован: 2008-08-19 15:35:47

Re: Статья

Непрочитанное сообщение atrium » 2008-10-28 15:19:38

спасиб мужики!

Просто наверно где-то я кривые руки использовал :smile:

Serg
проходил мимо

Re: Статья

Непрочитанное сообщение Serg » 2008-10-31 14:49:57

Максим, большая просьба отредактировать статью на предмет выбрасывания данных, соответствующих реальным
таки подобная публикация тянет на выписывание вам пачки дюлей службой безопастности. Сроки - чем быстрее, тем лучше. Дополнительные комментарии отправлю руководителю вашего IT подразделения

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35465
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Статья

Непрочитанное сообщение Alex Keda » 2008-10-31 14:53:25

Serg писал(а):Максим, большая просьба отредактировать статью на предмет выбрасывания данных, соответствующих реальным
таки подобная публикация тянет на выписывание вам пачки дюлей службой безопастности. Сроки - чем быстрее, тем лучше. Дополнительные комментарии отправлю руководителю вашего IT подразделения
а дядько и правда оттуда, судя по адресу....
дядько, не ругайся. Не нравитсяь и срочно надо - мог и я поправить - можно же написать нормально.
Убей их всех! Бог потом рассортирует...

Andy
ст. лейтенант
Сообщения: 1117
Зарегистрирован: 2007-03-04 7:48:58
Откуда: Mytischi

Re: Статья

Непрочитанное сообщение Andy » 2008-10-31 15:00:45

Serg писал(а):Максим, большая просьба отредактировать статью на предмет выбрасывания данных, соответствующих реальным
таки подобная публикация тянет на выписывание вам пачки дюлей службой безопастности. Сроки - чем быстрее, тем лучше. Дополнительные комментарии отправлю руководителю вашего IT подразделения
:) "Таксиста, нашедшего на заднем сиденье документы с грифом "Совершенно секретно", просим застрелиться самостоятельно" [c]
Скажите Сергей, Вы думаете кто-то Вас атакует?
Jul 16 19:37:15 freebsd sshd[4152]: Invalid user idiot from 210.75.200.104

Andy
ст. лейтенант
Сообщения: 1117
Зарегистрирован: 2007-03-04 7:48:58
Откуда: Mytischi

Re: Статья

Непрочитанное сообщение Andy » 2008-10-31 15:04:33

lissyara писал(а):дядько, не ругайся. Не нравитсяь и срочно надо - мог и я поправить - можно же написать нормально.
Дядьке, за рассекречивание собственного отдела, сегодня ночью яловые сапоги в дверь постучат. ;)
Jul 16 19:37:15 freebsd sshd[4152]: Invalid user idiot from 210.75.200.104

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: Статья

Непрочитанное сообщение manefesto » 2008-10-31 18:10:23

2Andy: С Лехой работаешь ?
я такой яростный шо аж пиздеЦ
Изображение

atrium
мл. сержант
Сообщения: 88
Зарегистрирован: 2008-08-19 15:35:47

Re: Статья

Непрочитанное сообщение atrium » 2008-10-31 19:20:55

Serg писал(а):Максим, большая просьба отредактировать статью на предмет выбрасывания данных, соответствующих реальным
таки подобная публикация тянет на выписывание вам пачки дюлей службой безопастности. Сроки - чем быстрее, тем лучше. Дополнительные комментарии отправлю руководителю вашего IT подразделения

Данных никаких рнеальных нет, так что не ругайтесь! Домен в инет не смотрит!

ymsssg
ефрейтор
Сообщения: 60
Зарегистрирован: 2007-06-19 6:14:24
Контактная информация:

Re: Статья

Непрочитанное сообщение ymsssg » 2008-11-01 7:28:53

Люди добрые подскажите как сделать так чтобы билетики сами автоматом получались. А то полученный с помощью kinit user@exemple.ru билетик через 10 часов перестает действовать и юзеры попасть в шару не могут.
Последний раз редактировалось ymsssg 2008-11-13 11:24:22, всего редактировалось 1 раз.

snorlov
подполковник
Сообщения: 3929
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Статья

Непрочитанное сообщение snorlov » 2008-11-05 16:51:53

Между прочим у меня то же kerberos не завелся? пока я в krb5.conf не добавил протокол для kdc
kdc = tcp / kdc.<my realname>

OzzY
проходил мимо

Re: Статья

Непрочитанное сообщение OzzY » 2009-01-12 13:15:36

Привет всем !!!

На мой взгляд, был упущен немаловажный момент - синхронизация времени

Перед запуском кербероса очень важно настроить синхронизацию времени на серверах

Надеюсь объяснять, как это делать не надо

Andy
ст. лейтенант
Сообщения: 1117
Зарегистрирован: 2007-03-04 7:48:58
Откуда: Mytischi

Re: Статья

Непрочитанное сообщение Andy » 2009-01-17 22:03:13

ymsssg писал(а):Люди добрые подскажите как сделать так чтобы билетики сами автоматом получались. А то полученный с помощью kinit user@exemple.ru билетик через 10 часов перестает действовать и юзеры попасть в шару не могут.
1. Samba умеет обновлять сама билеты кербероса, опцию не вспомню, но man smb.conf подскажет
2. в кронтаб поместить строку kinit --renew
Jul 16 19:37:15 freebsd sshd[4152]: Invalid user idiot from 210.75.200.104

ymsssg
ефрейтор
Сообщения: 60
Зарегистрирован: 2007-06-19 6:14:24
Контактная информация:

Re: Статья

Непрочитанное сообщение ymsssg » 2009-02-09 7:55:31

to Andy премного благодарен за наводку. У меня ранее работал второй вариант, а теперь сделал первый.

to ALL проблему автобновления билетиков можно решить способовами указанными Andy, я лишь хочу показать как я реализовывал эти способы у себя.
1 способ: В конфиге Samba smb.conf прописываем winbind refresh tickets = true (по умолчанию автообновление билетиков отключено)
2 способ: В рутовом кронтабе прописал:
# Renew Kerberos Ticket
#* */8 * * * /usr/bin/kinit -R

Кому какой способ удобнее каждому видней, но первый имхо красивей и прозрачнее.

P.S. to All спасибо за внимание

apostle
проходил мимо

Re: Статья

Непрочитанное сообщение apostle » 2009-11-19 11:17:39

Друзья, подскажите: согласно этому обсуждению heimdal более не нужен (как минимум во FreeBSD >= 6.2).
Столкнулся с ошибкой при сборке samba 3.3:

Код: Выделить всё

Compiling libsmb/clikrb5.c                                                                                                              
libsmb/clikrb5.c: In function 'krb5_set_real_time':                                                                                     
libsmb/clikrb5.c:132: error: dereferencing pointer to incomplete type                                                                   
libsmb/clikrb5.c:133: error: dereferencing pointer to incomplete type                                                                   
The following command failed:                                                                                                           
cc -I. -I/usr/ports/net/samba33/work/samba-3.3.9/source  -I/usr/ports/net/samba33/work/samba-3.3.9/source/iniparser/src -Iinclude -I./include  -I. -I. -I./lib/replace -I./lib/talloc -I./lib/tdb/include -I./libaddns -I./librpc -DHAVE_CONFIG_H  -I/usr/local/include -D_REENTRANT -D_THREAD_SAFE -I/usr/local/include/avahi-compat-libdns_sd/ -Iinclude -I./include -I. -I. -I./lib/replace -I./lib/talloc -I./lib/tdb/include -I./libaddns -I./librpc -I./popt -I/usr/local/include -DLDAP_DEPRECATED -O2 -fno-strict-aliasing -pipe -DLDAP_DEPRECATED -O -D_SAMBA_BUILD_=3    -I/usr/ports/net/samba33/work/samba-3.3.9/source/lib -D_SAMBA_BUILD_=3 -fPIC -DPIC -c libsmb/clikrb5.c -o libsmb/clikrb5.o                                                                                                                                   
gmake: *** [libsmb/clikrb5.o] Error 1                                                                                                   
*** Error code 1                                                                                                                        

Stop in /usr/ports/net/samba33.
*** Error code 1               

Stop in /usr/ports/net/samba33.
ОС:

Код: Выделить всё

FreeBSD fw01.domain.biz 7.2-STABLE FreeBSD 7.2-STABLE #0: Thu Nov 12 21:15:11 MSK 2009     apostle@fw01.domain.biz:/usr/src/sys/i386/compile/domainKERN  i386
при попытке "снести" heimdal получаю такой вот "отлуп":

Код: Выделить всё

fw01# pkg_delete heimdal-1.0.1_1
pkg_delete: package 'heimdal-1.0.1_1' is required by these other packages
and may not be deinstalled:
amavisd-new-2.6.4_2,1
p5-DBD-Pg-2.15.1
p5-Mail-SpamAssassin-3.2.5_4
postgresql-client-8.2.13
то есть приложениям сторонний пакет для поддержки kerberos нужен, или они глубоко ошибаются?