Статья
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
- проходил мимо
Re: Статья
Прямо так сразу и осуждение? Я не читал, но осуждаюSamba & CUPS & AD & ACL писал(а):Осуждение статьи - http://www.lissyara.su/?id=1779
- Alex Keda
- стреляли...
- Сообщения: 35465
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
Re: Статья
Код: Выделить всё
# $FreeBSD: src/etc/pam.d/login,v 1.17 2007/06/10 18:57:20 yar Exp $
#
# PAM configuration for the "login" service
#
# auth
#auth sufficient pam_self.so no_warn
#auth include system
#account
#account requisite /usr/lib/pam_securetty.so
#account required /usr/lib/pam_nologin.so
#account include system
# session
#session include system
# password
#password include system
auth required pam_nologin.so no_warn
auth sufficient /usr/local/lib/pam_winbind.so
auth sufficient pam_opie.so no_warn no_fake_prompts
auth requisite pam_opieaccess.so no_warn allow_local
auth required pam_unix.so no_warn try_first_pass
account sufficient /usr/local/lib/pam_winbind.so
account required pam_unix.so
session required pam_permit.so
ширина страницы должна вписываться в 610 пикселов
Убей их всех! Бог потом рассортирует...
- Alex Keda
- стреляли...
- Сообщения: 35465
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
Re: Статья
вотп ро это - не могли бы объяснить - откуда это выколупали и зачем в статье?Самое первое установим heimdal-1.0.1 для того что бы можно
было проводить аутентификацию основанную на Kerberos 5.
Могу немного пояснить, хотя помоему постоянные посетители форума и так это знают.
=======
Раньше, США запрещало экспортировать всякие криптостойкие технологии. Поэтому в дистрибутиве FreeBSD и прочих был обрезанный керберос.
В частности, поэтому аутентификация доменная не работала - там криптостойкость повыше должна была быть (как M$ продавал дистры с такой криптостойкостью - другой вопрос )
Быренько за пределами США организовалась команда товарисчей, котоыре и настругали неймдал - с целью иметь полноценное шифрование.
Потом, эти ограничения сняли. И тепеь в дистрибутиве есть нормальный керберос, и неймдал ставить НЕ НАДО.
Что я и делаю всю шестую ветку и далее.
Чего и вам рекомендую.
Хватит уже таскать за собой кусок какого-то древнего мануала, из времён когда это действительно надо было.
Убей их всех! Бог потом рассортирует...
-
- проходил мимо
Re: Статья
Если сервер выполняет роль и принтсервера, то быть может имеет смысл
монтировать установленные принтеры клиентам через скрипт, а не
ставить драйверы каждому клиенту.
монтировать установленные принтеры клиентам через скрипт, а не
ставить драйверы каждому клиенту.
-
- мл. сержант
- Сообщения: 88
- Зарегистрирован: 2008-08-19 15:35:47
Re: Статья
lissyara писал(а):вотп ро это - не могли бы объяснить - откуда это выколупали и зачем в статье?Самое первое установим heimdal-1.0.1 для того что бы можно
было проводить аутентификацию основанную на Kerberos 5.
Могу немного пояснить, хотя помоему постоянные посетители форума и так это знают.
=======
Раньше, США запрещало экспортировать всякие криптостойкие технологии. Поэтому в дистрибутиве FreeBSD и прочих был обрезанный керберос.
В частности, поэтому аутентификация доменная не работала - там криптостойкость повыше должна была быть (как M$ продавал дистры с такой криптостойкостью - другой вопрос )
Быренько за пределами США организовалась команда товарисчей, котоыре и настругали неймдал - с целью иметь полноценное шифрование.
Потом, эти ограничения сняли. И тепеь в дистрибутиве есть нормальный керберос, и неймдал ставить НЕ НАДО.
Что я и делаю всю шестую ветку и далее.
Чего и вам рекомендую.
Хватит уже таскать за собой кусок какого-то древнего мануала, из времён когда это действительно надо было.
В 7 у меня не получилось со стандартным! Если можно, конфиг покаж!
Твои же коменты
Код: Выделить всё
lissyara, 2006-11-21 в 9:24:44
В 6.1 не катит. Надо ставить из портов керберос - /usr/ports/security/heimdal
И конфиги примерно такие:
керберос:
[libdefaults]
default_realm = DOMAIN-NAME
clockskew = 300
v4_instance_resolve = false
v4_name_convert = {
host = {
rcmd = host
ftp = ftp
}
plain = {
something = something-else
}
}
[realms]
DOMAIN-NAME = {
ip-kontrollera-domena
admin_server = ip-kontrollera-domena
}
[domain_realm]
.grand-prix = DOMAIN-NAME
Последний раз редактировалось atrium 2008-10-28 13:13:23, всего редактировалось 1 раз.
- Alex Keda
- стреляли...
- Сообщения: 35465
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
Re: Статья
почему у меня катит в 6.2; 6.3; 7.0?
много народу с нуля ставить будет щас 6.1 когда на оф. сайте его ещё поискать надо чтоб скачать?
много народу с нуля ставить будет щас 6.1 когда на оф. сайте его ещё поискать надо чтоб скачать?
Убей их всех! Бог потом рассортирует...
-
- мл. сержант
- Сообщения: 88
- Зарегистрирован: 2008-08-19 15:35:47
Re: Статья
lissyara писал(а):почему у меня катит в 6.2; 6.3; 7.0?
много народу с нуля ставить будет щас 6.1 когда на оф. сайте его ещё поискать надо чтоб скачать?
Если не трудно конфиг можешь показать?
- Alex Keda
- стреляли...
- Сообщения: 35465
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
Re: Статья
конфиг чего?
http://www.lissyara.su/?id=1460
за той поправкой что устарело на год и heimdal из всех ампутирован уже давно
http://www.lissyara.su/?id=1460
за той поправкой что устарело на год и heimdal из всех ампутирован уже давно
Убей их всех! Бог потом рассортирует...
-
- мл. сержант
- Сообщения: 88
- Зарегистрирован: 2008-08-19 15:35:47
Re: Статья
lissyara писал(а):конфиг чего?
http://www.lissyara.su/?id=1460
за той поправкой что устарело на год и heimdal из всех ампутирован уже давно
krb5.conf для 7 без heimdal
- Alex Keda
- стреляли...
- Сообщения: 35465
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
Re: Статья
непонялatrium писал(а):lissyara писал(а):конфиг чего?
http://www.lissyara.su/?id=1460
за той поправкой что устарело на год и heimdal из всех ампутирован уже давно
krb5.conf для 7 без heimdal
Убей их всех! Бог потом рассортирует...
-
- проходил мимо
Re: Статья
Код: Выделить всё
powercharge# uname -a
FreeBSD powercharge.moskb.local 7.0-RELEASE-p4 FreeBSD 7.0-RELEASE-p4 #3: Thu Sep 18 12:17:45 UTC 2008 andy@powercharge.moskb.local:/usr/obj/usr/src/sys/MYKERN i386
powercharge# more /etc/krb5.conf
[libdefaults]
default_realm = MOSKB.LOCAL
dns_lookup_kdc = yes
dns_lookup_realm = yes
kdc_timesync = yes
[domain_realm]
.moskb.local = MOSKB.LOCAL
[realms]
MOSKB.LOCAL = {
kdc = dc2.moskb.local
admin_server = dc2.moskb.local
kpasswd_server = dc2.moskb.local
default_domain = moskb.local
}
[logging]
kdc = FILE:/var/log/kdc.log
powercharge# kl
kldconfig kldload kldstat kldunload kldxref klist
powercharge# klist
Credentials cache: FILE:/tmp/krb5cc_0
Principal: andy@MOSKB.LOCAL
Issued Expires Principal
Sep 7 05:43:29 >>>Expired<<< krbtgt/MOSKB.LOCAL@MOSKB.LOCAL
powercharge# kinit renew
renew@MOSKB.LOCAL's Password:
powercharge# kinit andy
andy@MOSKB.LOCAL's Password:
kinit: NOTICE: ticket renewable lifetime is 1 week
powercharge# pkg_info | grep hemdail
powercharge#
-
- мл. сержант
- Сообщения: 88
- Зарегистрирован: 2008-08-19 15:35:47
Re: Статья
спасиб мужики!
Просто наверно где-то я кривые руки использовал
Просто наверно где-то я кривые руки использовал
-
- проходил мимо
Re: Статья
Максим, большая просьба отредактировать статью на предмет выбрасывания данных, соответствующих реальным
таки подобная публикация тянет на выписывание вам пачки дюлей службой безопастности. Сроки - чем быстрее, тем лучше. Дополнительные комментарии отправлю руководителю вашего IT подразделения
таки подобная публикация тянет на выписывание вам пачки дюлей службой безопастности. Сроки - чем быстрее, тем лучше. Дополнительные комментарии отправлю руководителю вашего IT подразделения
- Alex Keda
- стреляли...
- Сообщения: 35465
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
Re: Статья
а дядько и правда оттуда, судя по адресу....Serg писал(а):Максим, большая просьба отредактировать статью на предмет выбрасывания данных, соответствующих реальным
таки подобная публикация тянет на выписывание вам пачки дюлей службой безопастности. Сроки - чем быстрее, тем лучше. Дополнительные комментарии отправлю руководителю вашего IT подразделения
дядько, не ругайся. Не нравитсяь и срочно надо - мог и я поправить - можно же написать нормально.
Убей их всех! Бог потом рассортирует...
-
- ст. лейтенант
- Сообщения: 1117
- Зарегистрирован: 2007-03-04 7:48:58
- Откуда: Mytischi
Re: Статья
"Таксиста, нашедшего на заднем сиденье документы с грифом "Совершенно секретно", просим застрелиться самостоятельно" [c]Serg писал(а):Максим, большая просьба отредактировать статью на предмет выбрасывания данных, соответствующих реальным
таки подобная публикация тянет на выписывание вам пачки дюлей службой безопастности. Сроки - чем быстрее, тем лучше. Дополнительные комментарии отправлю руководителю вашего IT подразделения
Скажите Сергей, Вы думаете кто-то Вас атакует?
Jul 16 19:37:15 freebsd sshd[4152]: Invalid user idiot from 210.75.200.104
-
- ст. лейтенант
- Сообщения: 1117
- Зарегистрирован: 2007-03-04 7:48:58
- Откуда: Mytischi
Re: Статья
Дядьке, за рассекречивание собственного отдела, сегодня ночью яловые сапоги в дверь постучат.lissyara писал(а):дядько, не ругайся. Не нравитсяь и срочно надо - мог и я поправить - можно же написать нормально.
Jul 16 19:37:15 freebsd sshd[4152]: Invalid user idiot from 210.75.200.104
- manefesto
- Группенфюррер
- Сообщения: 6934
- Зарегистрирован: 2007-07-20 8:27:30
- Откуда: Пермь
- Контактная информация:
-
- мл. сержант
- Сообщения: 88
- Зарегистрирован: 2008-08-19 15:35:47
Re: Статья
Serg писал(а):Максим, большая просьба отредактировать статью на предмет выбрасывания данных, соответствующих реальным
таки подобная публикация тянет на выписывание вам пачки дюлей службой безопастности. Сроки - чем быстрее, тем лучше. Дополнительные комментарии отправлю руководителю вашего IT подразделения
Данных никаких рнеальных нет, так что не ругайтесь! Домен в инет не смотрит!
-
- ефрейтор
- Сообщения: 60
- Зарегистрирован: 2007-06-19 6:14:24
- Контактная информация:
Re: Статья
Люди добрые подскажите как сделать так чтобы билетики сами автоматом получались. А то полученный с помощью kinit user@exemple.ru билетик через 10 часов перестает действовать и юзеры попасть в шару не могут.
Последний раз редактировалось ymsssg 2008-11-13 11:24:22, всего редактировалось 1 раз.
-
- подполковник
- Сообщения: 3929
- Зарегистрирован: 2008-09-04 11:51:25
- Откуда: Санкт-Петербург
Re: Статья
Между прочим у меня то же kerberos не завелся? пока я в krb5.conf не добавил протокол для kdc
kdc = tcp / kdc.<my realname>
kdc = tcp / kdc.<my realname>
-
- проходил мимо
Re: Статья
Привет всем !!!
На мой взгляд, был упущен немаловажный момент - синхронизация времени
Перед запуском кербероса очень важно настроить синхронизацию времени на серверах
Надеюсь объяснять, как это делать не надо
На мой взгляд, был упущен немаловажный момент - синхронизация времени
Перед запуском кербероса очень важно настроить синхронизацию времени на серверах
Надеюсь объяснять, как это делать не надо
-
- ст. лейтенант
- Сообщения: 1117
- Зарегистрирован: 2007-03-04 7:48:58
- Откуда: Mytischi
Re: Статья
1. Samba умеет обновлять сама билеты кербероса, опцию не вспомню, но man smb.conf подскажетymsssg писал(а):Люди добрые подскажите как сделать так чтобы билетики сами автоматом получались. А то полученный с помощью kinit user@exemple.ru билетик через 10 часов перестает действовать и юзеры попасть в шару не могут.
2. в кронтаб поместить строку kinit --renew
Jul 16 19:37:15 freebsd sshd[4152]: Invalid user idiot from 210.75.200.104
-
- ефрейтор
- Сообщения: 60
- Зарегистрирован: 2007-06-19 6:14:24
- Контактная информация:
Re: Статья
to Andy премного благодарен за наводку. У меня ранее работал второй вариант, а теперь сделал первый.
to ALL проблему автобновления билетиков можно решить способовами указанными Andy, я лишь хочу показать как я реализовывал эти способы у себя.
1 способ: В конфиге Samba smb.conf прописываем winbind refresh tickets = true (по умолчанию автообновление билетиков отключено)
2 способ: В рутовом кронтабе прописал:
# Renew Kerberos Ticket
#* */8 * * * /usr/bin/kinit -R
Кому какой способ удобнее каждому видней, но первый имхо красивей и прозрачнее.
P.S. to All спасибо за внимание
to ALL проблему автобновления билетиков можно решить способовами указанными Andy, я лишь хочу показать как я реализовывал эти способы у себя.
1 способ: В конфиге Samba smb.conf прописываем winbind refresh tickets = true (по умолчанию автообновление билетиков отключено)
2 способ: В рутовом кронтабе прописал:
# Renew Kerberos Ticket
#* */8 * * * /usr/bin/kinit -R
Кому какой способ удобнее каждому видней, но первый имхо красивей и прозрачнее.
P.S. to All спасибо за внимание
-
- проходил мимо
Re: Статья
Друзья, подскажите: согласно этому обсуждению heimdal более не нужен (как минимум во FreeBSD >= 6.2).
Столкнулся с ошибкой при сборке samba 3.3:
ОС:
при попытке "снести" heimdal получаю такой вот "отлуп":
то есть приложениям сторонний пакет для поддержки kerberos нужен, или они глубоко ошибаются?
Столкнулся с ошибкой при сборке samba 3.3:
Код: Выделить всё
Compiling libsmb/clikrb5.c
libsmb/clikrb5.c: In function 'krb5_set_real_time':
libsmb/clikrb5.c:132: error: dereferencing pointer to incomplete type
libsmb/clikrb5.c:133: error: dereferencing pointer to incomplete type
The following command failed:
cc -I. -I/usr/ports/net/samba33/work/samba-3.3.9/source -I/usr/ports/net/samba33/work/samba-3.3.9/source/iniparser/src -Iinclude -I./include -I. -I. -I./lib/replace -I./lib/talloc -I./lib/tdb/include -I./libaddns -I./librpc -DHAVE_CONFIG_H -I/usr/local/include -D_REENTRANT -D_THREAD_SAFE -I/usr/local/include/avahi-compat-libdns_sd/ -Iinclude -I./include -I. -I. -I./lib/replace -I./lib/talloc -I./lib/tdb/include -I./libaddns -I./librpc -I./popt -I/usr/local/include -DLDAP_DEPRECATED -O2 -fno-strict-aliasing -pipe -DLDAP_DEPRECATED -O -D_SAMBA_BUILD_=3 -I/usr/ports/net/samba33/work/samba-3.3.9/source/lib -D_SAMBA_BUILD_=3 -fPIC -DPIC -c libsmb/clikrb5.c -o libsmb/clikrb5.o
gmake: *** [libsmb/clikrb5.o] Error 1
*** Error code 1
Stop in /usr/ports/net/samba33.
*** Error code 1
Stop in /usr/ports/net/samba33.
Код: Выделить всё
FreeBSD fw01.domain.biz 7.2-STABLE FreeBSD 7.2-STABLE #0: Thu Nov 12 21:15:11 MSK 2009 apostle@fw01.domain.biz:/usr/src/sys/i386/compile/domainKERN i386
Код: Выделить всё
fw01# pkg_delete heimdal-1.0.1_1
pkg_delete: package 'heimdal-1.0.1_1' is required by these other packages
and may not be deinstalled:
amavisd-new-2.6.4_2,1
p5-DBD-Pg-2.15.1
p5-Mail-SpamAssassin-3.2.5_4
postgresql-client-8.2.13