Статья
Добавлено: 2008-10-28 10:25:15
Прямо так сразу и осуждение? Я не читал, но осуждаюSamba & CUPS & AD & ACL писал(а):Осуждение статьи - http://www.lissyara.su/?id=1779
Страница 1 из 2
Re: Статья
Добавлено: 2008-10-28 11:25:42
Re: Статья
Добавлено: 2008-10-28 11:31:19
Код: Выделить всё
# $FreeBSD: src/etc/pam.d/login,v 1.17 2007/06/10 18:57:20 yar Exp $
#
# PAM configuration for the "login" service
#
# auth
#auth sufficient pam_self.so no_warn
#auth include system
#account
#account requisite /usr/lib/pam_securetty.so
#account required /usr/lib/pam_nologin.so
#account include system
# session
#session include system
# password
#password include system
auth required pam_nologin.so no_warn
auth sufficient /usr/local/lib/pam_winbind.so
auth sufficient pam_opie.so no_warn no_fake_prompts
auth requisite pam_opieaccess.so no_warn allow_local
auth required pam_unix.so no_warn try_first_pass
account sufficient /usr/local/lib/pam_winbind.so
account required pam_unix.so
session required pam_permit.soширина страницы должна вписываться в 610 пикселов
Re: Статья
Добавлено: 2008-10-28 11:36:29
вотп ро это - не могли бы объяснить - откуда это выколупали и зачем в статье?Самое первое установим heimdal-1.0.1 для того что бы можно
было проводить аутентификацию основанную на Kerberos 5.
Могу немного пояснить, хотя помоему постоянные посетители форума и так это знают.
=======
Раньше, США запрещало экспортировать всякие криптостойкие технологии. Поэтому в дистрибутиве FreeBSD и прочих был обрезанный керберос.
В частности, поэтому аутентификация доменная не работала - там криптостойкость повыше должна была быть (как M$ продавал дистры с такой криптостойкостью - другой вопрос
)Быренько за пределами США организовалась команда товарисчей, котоыре и настругали неймдал - с целью иметь полноценное шифрование.
Потом, эти ограничения сняли. И тепеь в дистрибутиве есть нормальный керберос, и неймдал ставить НЕ НАДО.
Что я и делаю всю шестую ветку и далее.
Чего и вам рекомендую.
Хватит уже таскать за собой кусок какого-то древнего мануала, из времён когда это действительно надо было.
Re: Статья
Добавлено: 2008-10-28 11:37:26
Если сервер выполняет роль и принтсервера, то быть может имеет смысл
монтировать установленные принтеры клиентам через скрипт, а не
ставить драйверы каждому клиенту.
монтировать установленные принтеры клиентам через скрипт, а не
ставить драйверы каждому клиенту.
Re: Статья
Добавлено: 2008-10-28 13:10:44
lissyara писал(а):вотп ро это - не могли бы объяснить - откуда это выколупали и зачем в статье?Самое первое установим heimdal-1.0.1 для того что бы можно
было проводить аутентификацию основанную на Kerberos 5.
Могу немного пояснить, хотя помоему постоянные посетители форума и так это знают.
=======
Раньше, США запрещало экспортировать всякие криптостойкие технологии. Поэтому в дистрибутиве FreeBSD и прочих был обрезанный керберос.
В частности, поэтому аутентификация доменная не работала - там криптостойкость повыше должна была быть (как M$ продавал дистры с такой криптостойкостью - другой вопрос
Быренько за пределами США организовалась команда товарисчей, котоыре и настругали неймдал - с целью иметь полноценное шифрование.
Потом, эти ограничения сняли. И тепеь в дистрибутиве есть нормальный керберос, и неймдал ставить НЕ НАДО.
Что я и делаю всю шестую ветку и далее.
Чего и вам рекомендую.
Хватит уже таскать за собой кусок какого-то древнего мануала, из времён когда это действительно надо было.
В 7 у меня не получилось со стандартным! Если можно, конфиг покаж!
Твои же коменты
Код: Выделить всё
lissyara, 2006-11-21 в 9:24:44
В 6.1 не катит. Надо ставить из портов керберос - /usr/ports/security/heimdal
И конфиги примерно такие:
керберос:
[libdefaults]
default_realm = DOMAIN-NAME
clockskew = 300
v4_instance_resolve = false
v4_name_convert = {
host = {
rcmd = host
ftp = ftp
}
plain = {
something = something-else
}
}
[realms]
DOMAIN-NAME = {
ip-kontrollera-domena
admin_server = ip-kontrollera-domena
}
[domain_realm]
.grand-prix = DOMAIN-NAMERe: Статья
Добавлено: 2008-10-28 13:12:34
почему у меня катит в 6.2; 6.3; 7.0?
много народу с нуля ставить будет щас 6.1 когда на оф. сайте его ещё поискать надо чтоб скачать?
много народу с нуля ставить будет щас 6.1 когда на оф. сайте его ещё поискать надо чтоб скачать?
Re: Статья
Добавлено: 2008-10-28 13:22:48
lissyara писал(а):почему у меня катит в 6.2; 6.3; 7.0?
много народу с нуля ставить будет щас 6.1 когда на оф. сайте его ещё поискать надо чтоб скачать?
Если не трудно конфиг можешь показать?
Re: Статья
Добавлено: 2008-10-28 13:56:26
конфиг чего?
http://www.lissyara.su/?id=1460
за той поправкой что устарело на год и heimdal из всех ампутирован уже давно
http://www.lissyara.su/?id=1460
за той поправкой что устарело на год и heimdal из всех ампутирован уже давно
Re: Статья
Добавлено: 2008-10-28 14:38:21
lissyara писал(а):конфиг чего?
http://www.lissyara.su/?id=1460
за той поправкой что устарело на год и heimdal из всех ампутирован уже давно
krb5.conf для 7 без heimdal
Re: Статья
Добавлено: 2008-10-28 14:56:32
непонялatrium писал(а):lissyara писал(а):конфиг чего?
http://www.lissyara.su/?id=1460
за той поправкой что устарело на год и heimdal из всех ампутирован уже давно
krb5.conf для 7 без heimdal
Re: Статья
Добавлено: 2008-10-28 15:01:14
Код: Выделить всё
powercharge# uname -a
FreeBSD powercharge.moskb.local 7.0-RELEASE-p4 FreeBSD 7.0-RELEASE-p4 #3: Thu Sep 18 12:17:45 UTC 2008 andy@powercharge.moskb.local:/usr/obj/usr/src/sys/MYKERN i386
powercharge# more /etc/krb5.conf
[libdefaults]
default_realm = MOSKB.LOCAL
dns_lookup_kdc = yes
dns_lookup_realm = yes
kdc_timesync = yes
[domain_realm]
.moskb.local = MOSKB.LOCAL
[realms]
MOSKB.LOCAL = {
kdc = dc2.moskb.local
admin_server = dc2.moskb.local
kpasswd_server = dc2.moskb.local
default_domain = moskb.local
}
[logging]
kdc = FILE:/var/log/kdc.log
powercharge# kl
kldconfig kldload kldstat kldunload kldxref klist
powercharge# klist
Credentials cache: FILE:/tmp/krb5cc_0
Principal: andy@MOSKB.LOCAL
Issued Expires Principal
Sep 7 05:43:29 >>>Expired<<< krbtgt/MOSKB.LOCAL@MOSKB.LOCAL
powercharge# kinit renew
renew@MOSKB.LOCAL's Password:
powercharge# kinit andy
andy@MOSKB.LOCAL's Password:
kinit: NOTICE: ticket renewable lifetime is 1 week
powercharge# pkg_info | grep hemdail
powercharge#
Re: Статья
Добавлено: 2008-10-28 15:19:38
спасиб мужики!
Просто наверно где-то я кривые руки использовал
Просто наверно где-то я кривые руки использовал
Re: Статья
Добавлено: 2008-10-31 14:49:57
Максим, большая просьба отредактировать статью на предмет выбрасывания данных, соответствующих реальным
таки подобная публикация тянет на выписывание вам пачки дюлей службой безопастности. Сроки - чем быстрее, тем лучше. Дополнительные комментарии отправлю руководителю вашего IT подразделения
таки подобная публикация тянет на выписывание вам пачки дюлей службой безопастности. Сроки - чем быстрее, тем лучше. Дополнительные комментарии отправлю руководителю вашего IT подразделения
Re: Статья
Добавлено: 2008-10-31 14:53:25
а дядько и правда оттуда, судя по адресу....Serg писал(а):Максим, большая просьба отредактировать статью на предмет выбрасывания данных, соответствующих реальным
таки подобная публикация тянет на выписывание вам пачки дюлей службой безопастности. Сроки - чем быстрее, тем лучше. Дополнительные комментарии отправлю руководителю вашего IT подразделения
дядько, не ругайся. Не нравитсяь и срочно надо - мог и я поправить - можно же написать нормально.
Re: Статья
Добавлено: 2008-10-31 15:00:45
Serg писал(а):Максим, большая просьба отредактировать статью на предмет выбрасывания данных, соответствующих реальным
таки подобная публикация тянет на выписывание вам пачки дюлей службой безопастности. Сроки - чем быстрее, тем лучше. Дополнительные комментарии отправлю руководителю вашего IT подразделения
"Таксиста, нашедшего на заднем сиденье документы с грифом "Совершенно секретно", просим застрелиться самостоятельно" [c] Скажите Сергей, Вы думаете кто-то Вас атакует?
Re: Статья
Добавлено: 2008-10-31 15:04:33
Дядьке, за рассекречивание собственного отдела, сегодня ночью яловые сапоги в дверь постучат.lissyara писал(а):дядько, не ругайся. Не нравитсяь и срочно надо - мог и я поправить - можно же написать нормально.
Re: Статья
Добавлено: 2008-10-31 18:10:23
2Andy: С Лехой работаешь ?
Re: Статья
Добавлено: 2008-10-31 19:20:55
Serg писал(а):Максим, большая просьба отредактировать статью на предмет выбрасывания данных, соответствующих реальным
таки подобная публикация тянет на выписывание вам пачки дюлей службой безопастности. Сроки - чем быстрее, тем лучше. Дополнительные комментарии отправлю руководителю вашего IT подразделения
Данных никаких рнеальных нет, так что не ругайтесь! Домен в инет не смотрит!
Re: Статья
Добавлено: 2008-11-01 7:28:53
Люди добрые подскажите как сделать так чтобы билетики сами автоматом получались. А то полученный с помощью kinit user@exemple.ru билетик через 10 часов перестает действовать и юзеры попасть в шару не могут.
Re: Статья
Добавлено: 2008-11-05 16:51:53
Между прочим у меня то же kerberos не завелся? пока я в krb5.conf не добавил протокол для kdc
kdc = tcp / kdc.<my realname>
kdc = tcp / kdc.<my realname>
Re: Статья
Добавлено: 2009-01-12 13:15:36
Привет всем !!!
На мой взгляд, был упущен немаловажный момент - синхронизация времени
Перед запуском кербероса очень важно настроить синхронизацию времени на серверах
Надеюсь объяснять, как это делать не надо
На мой взгляд, был упущен немаловажный момент - синхронизация времени
Перед запуском кербероса очень важно настроить синхронизацию времени на серверах
Надеюсь объяснять, как это делать не надо
Re: Статья
Добавлено: 2009-01-17 22:03:13
1. Samba умеет обновлять сама билеты кербероса, опцию не вспомню, но man smb.conf подскажетymsssg писал(а):Люди добрые подскажите как сделать так чтобы билетики сами автоматом получались. А то полученный с помощью kinit user@exemple.ru билетик через 10 часов перестает действовать и юзеры попасть в шару не могут.
2. в кронтаб поместить строку kinit --renew
Re: Статья
Добавлено: 2009-02-09 7:55:31
to Andy премного благодарен за наводку. У меня ранее работал второй вариант, а теперь сделал первый.
to ALL проблему автобновления билетиков можно решить способовами указанными Andy, я лишь хочу показать как я реализовывал эти способы у себя.
1 способ: В конфиге Samba smb.conf прописываем winbind refresh tickets = true (по умолчанию автообновление билетиков отключено)
2 способ: В рутовом кронтабе прописал:
# Renew Kerberos Ticket
#* */8 * * * /usr/bin/kinit -R
Кому какой способ удобнее каждому видней, но первый имхо красивей и прозрачнее.
P.S. to All спасибо за внимание
to ALL проблему автобновления билетиков можно решить способовами указанными Andy, я лишь хочу показать как я реализовывал эти способы у себя.
1 способ: В конфиге Samba smb.conf прописываем winbind refresh tickets = true (по умолчанию автообновление билетиков отключено)
2 способ: В рутовом кронтабе прописал:
# Renew Kerberos Ticket
#* */8 * * * /usr/bin/kinit -R
Кому какой способ удобнее каждому видней, но первый имхо красивей и прозрачнее.
P.S. to All спасибо за внимание
Re: Статья
Добавлено: 2009-11-19 11:17:39
Друзья, подскажите: согласно этому обсуждению heimdal более не нужен (как минимум во FreeBSD >= 6.2).
Столкнулся с ошибкой при сборке samba 3.3:
ОС:
при попытке "снести" heimdal получаю такой вот "отлуп":
то есть приложениям сторонний пакет для поддержки kerberos нужен, или они глубоко ошибаются?
Столкнулся с ошибкой при сборке samba 3.3:
Код: Выделить всё
Compiling libsmb/clikrb5.c
libsmb/clikrb5.c: In function 'krb5_set_real_time':
libsmb/clikrb5.c:132: error: dereferencing pointer to incomplete type
libsmb/clikrb5.c:133: error: dereferencing pointer to incomplete type
The following command failed:
cc -I. -I/usr/ports/net/samba33/work/samba-3.3.9/source -I/usr/ports/net/samba33/work/samba-3.3.9/source/iniparser/src -Iinclude -I./include -I. -I. -I./lib/replace -I./lib/talloc -I./lib/tdb/include -I./libaddns -I./librpc -DHAVE_CONFIG_H -I/usr/local/include -D_REENTRANT -D_THREAD_SAFE -I/usr/local/include/avahi-compat-libdns_sd/ -Iinclude -I./include -I. -I. -I./lib/replace -I./lib/talloc -I./lib/tdb/include -I./libaddns -I./librpc -I./popt -I/usr/local/include -DLDAP_DEPRECATED -O2 -fno-strict-aliasing -pipe -DLDAP_DEPRECATED -O -D_SAMBA_BUILD_=3 -I/usr/ports/net/samba33/work/samba-3.3.9/source/lib -D_SAMBA_BUILD_=3 -fPIC -DPIC -c libsmb/clikrb5.c -o libsmb/clikrb5.o
gmake: *** [libsmb/clikrb5.o] Error 1
*** Error code 1
Stop in /usr/ports/net/samba33.
*** Error code 1
Stop in /usr/ports/net/samba33.Код: Выделить всё
FreeBSD fw01.domain.biz 7.2-STABLE FreeBSD 7.2-STABLE #0: Thu Nov 12 21:15:11 MSK 2009 apostle@fw01.domain.biz:/usr/src/sys/i386/compile/domainKERN i386Код: Выделить всё
fw01# pkg_delete heimdal-1.0.1_1
pkg_delete: package 'heimdal-1.0.1_1' is required by these other packages
and may not be deinstalled:
amavisd-new-2.6.4_2,1
p5-DBD-Pg-2.15.1
p5-Mail-SpamAssassin-3.2.5_4
postgresql-client-8.2.13