Добрый день.

На сервере openSuSE 11.1 стоит jabberd2. На нем же был поставлен yahoo-транспорт (для собственных нужд). Из клиента (Psi) я совершенно свободно регистрируюсь на транспорте, однако он не появляется (сам) в ростере, не видно контактов с сервера yahoo. Я могу вручную добавить сервис jahoo.domain.ru в ростер и попрбовать подключить. Он подключается. Но при этом не посылает сообщения по yahoo.

Речь идет об транспорте PyYIMt (http://xmpppy.sourceforge.net/). В журналах ошибок - ничего (размер журнала - 0). в файле yahoouser.dbm находятся мои регистрационные данные на yahoo. Транспорт запущен (пока) из-под пользователя root. В консоли запуска видно только следющее:

linux:/usr/local/xmpppy/xmpppy/yahoo-transport # ./yahoo.py
./yahoo.py:12: DeprecationWarning: the sha module is deprecated; use the hashlib module instead
import base64, ConfigParser, os, platform, random, re, select, sha, shelve, signal, socket, sys, time, traceback
/usr/local/xmpppy/xmpppy/yahoo-transport/xmpp/auth.py:26: DeprecationWarning: the md5 module is deprecated; use hashlib instead
import md5

Но, вроде бы, ничего интересного в этом нет. Брал дистрибутив с SourceForge.net (0.4) и брал последние исходники из CVS. Никакой разницы. В журналах сервера jabberd тоже не замечено ничего интересного.

Помогите, если кто настраивал :)

Добрый день. Я хочу, чтобы мои билеты хранились одном файле, независимо от разных сессий. Мой uid - 1000. Чтобы файл был /tmp/krb5cc_1000

Сейчас, если я запускаю kinit, так и происходит. Однако, если я использую PAM, почему-то, файл кэша переименовывается:

Jun 25 11:05:39 rzn-sepak-bpa su: pam_krb5[10051]: ccname template: FILE:%d/krb5cc_%U Jun 25 11:05:39 rzn-sepak-bpa su: pam_krb5[10051]: keytab: FILE:/etc/krb5.keytab Jun 25 11:05:39 rzn-sepak-bpa su: pam_krb5[10051]: token strategy: v4,524,2b,rxk5

Jun 25 11:05:39 rzn-sepak-bpa su: pam_krb5[10051]: pam_open_session called for 'baranchikov_pa', realm 'DOMAIN.RU'

Jun 25 11:05:39 rzn-sepak-bpa su: pam_krb5[10051]: creating v5 ccache for 'baranchikov_pa', uid=1000, gid=100

Jun 25 11:05:39 rzn-sepak-bpa su: pam_krb5[10051]: saving v5 credentials to 'MEMORY:_pam_krb5_tmp_s_baranchikov_pa@DOMAIN.RU-0' for internal use

Jun 25 11:05:39 rzn-sepak-bpa su: pam_krb5[10051]: copied credentials from «MEMORY:_pam_krb5_tmp_s_baranchikov_pa@DOMAIN.RU-0» to «FILE:/tmp/krb5cc_1000» for the user, destroying «MEMORY:_pam_krb5_tmp_s_baranchikov_pa@DOMAIN.RU-0»

Jun 25 11:05:39 rzn-sepak-bpa su: pam_krb5[10051]: created v5 ccache 'FILE:/tmp/krb5_Ujj6m6' for 'baranchikov_pa'

В /etc/krb5.conf:

.oducn-rzn.so = ODUCN.SO [appdefaults] pam = { ticket_lifetime = 10d renew_lifetime = 10d forwardable = true proxiable = false minimum_uid = 1 ccname_template = FILE:%d/krb5cc_%U clockskew = 300 external = sshd use_shmem = sshd debug = true debug_sensitive = true initial_prompt = true subsequent_prompt = true }

Как видно из журнала, PAM правильно расценивает мои пожелания по именованию файла кэша. Там фигурирует «FILE:/tmp/krb5cc_1000». Но по неизвестной мне причине, он перемещает кэш в другой файл.

Вопрос: как сделать, чтобы файл кэша не переименовывался?

openSuSE 11.2, pam_krb5-2.3.7-2.1.i586

Добрый день.

Проблема есть давно, просто сейчас я чуток в ней покопался и есть, что рассказать.

Есть сервер PDC Samba 3.2.6, CUPS 1.3.9 с ос openSuSE 11.1 - server. Принтер находится на одной из рабочих станций - print. Печать через CUPS (с любой Linux-машины) работает. Проблема только с печатью с Windows-машин.

Когда документ (из блокнота) отправляется на печать, он приходит на узел print и в журнале /var/log/cups/pages видно, что документ пришел с Windows-машины, имеет одну страницу и распечатан успешно. Реально же, печать не производится.

Я поймал сам файл, который пришел на печать. Это обычный Postscript, но в mime у него задания на печать стоит application/vnd.cups-raw:

File of type application/vnd.cups-raw queued by «emma».

Если я этот файл посылаю на печать с помощью lp, то он печатается, а журналы cups говорят, что он распечатан как application/postscript.

Таким образом, я понял, что приходит документ типа application/postscript, а пытается выйти на печать как сырой формат (cups-raw). Вопрос: как заставить его правильно выставлять формат файла? И где это надо делать: на cups PDC, на cups принт-сервера или в samba?

Есть конфигурация: Sendmail + Cyrus Imap.

Посылаю себе через sendmail письмо с файлом во вложении с длинным киррилическим именем "Приложение 3 Программа дежурного инженер.rtf".

В случае KMail, получаю "Приложение 3 Програм%".

В случае ThunderBird получаю "Приложение 3 Программа дежурного".

Странными являются некоторые вещи: оба почтовых клиента при отправке получают во вложении файл с различной длинной отсеченного имени.

KMail точно способен получать письма с длинными именами: 1. этот файл пришел ко мне по почте через KMail без искажения названия. 2. в отправленных письмах (папочка Sent на imap-сервере) файл во вложении виден со всеми буквами в названии.

Задача довольно тривиальна - организовать https:// доступ к сайту.

Сгенерировал себе сертификат. Все браузеры (Firefox, Opera и IE6) ругаются на то, что сертификат подписан неизвестной стороной.

Вопрос 1. Какой известной стороной (сертифицирующим центром) можно подписать? Как это делать, какие дадите советы по конкретным центрам?

Вопрос 2. В DNS есть такой тип записи как CERT (RFC 4398 и 2538). Можно ли с его помощью избежать претензий со стороны браузеров? Если кто делал такие записи, подскажите, как Вы их делали из сертификатов openSSL.

Добрый день. У меня есть Spring Framework + Acegisecurity.

Сущесвтует интерфейс ru.argo.service.ArrivalPriceService, который реализован 2-мя классами, один из которых ru.argo.service.FreeAccomodationsDAO, второй - ru.argo.service.ArrivalPriceDAO

Мне надо сделать так, чтобы AcegiSecutiry позволял пользователю с ролью ARGO_ONLINE_CLIENT иметь доступ к 1-му (доступен через bean FreeAccomodationService), но не имел доступа ко второму.

Если я делаю так:

ru.argo.service.FreeAccomodationsDAO.*=ROLE_ARGO_ONLINE_CLIENT

в журнале вижу
2009-03-26 12:25:33,973 [http-8084-4] DEBUG org.acegisecurity.intercept.AbstractSecurityInterceptor - Secure object: ReflectiveMethodInvocation: public abstract int ru.argo.service.ArrivalPriceService.getItemCount(); target is of class [ru.argo.service.FreeAccomodationsDAO]; ConfigAttributes: [ROLE_NONE]

То есть, он видит, что это действительно идет обращение к классу ru.argo.service.FreeAccomodationsDAO. но тянет все полномочия из интерфейса ru.argo.service.ArrivalPriceService.

Если я предоствляют доступ к интерфейсу:
ru.argo.service.ArrivalPriceService.*=ROLE_ARGO_ONLINE_CLIENT

доступ имеется, но к обоим классам.

Есть, конечно, еще вариант, ограничения создания bean'а для конкретного пользователя, но я тоже не нашел, как это сделать. Например, можно было бы прописать, что пользователь с ролью argo_online_client имеет право создавать bean FreeAccomodationService, но не имеет права создавать bean по имени ArrivalPriceService. (Имя второго bean'а совпадает с именем интерфейса - так сложилось исторически)

Надо запустить BIND на сервере с ОЗУ 16 Мб, 1 ГБ ЖД. Надо еще и что бы работали firewall и ssh.

Пробовал Damn Small Linux. Не нашел так firewall (похоже, отключен при компиляции ядра).

Понравился ttyLinux. но там нет ни gcc, ни bind.

Какой посоветуете дистрибутив?

Добрый день.

Я хочу, чтобы ssh правильно и красиво воспринимал отпечатки ключей из DNS. Для этого, я создал записи типа SSHFP. Но при подключении с опцией -v, ssh возвращает мне, что

debug1: found 2 insecure fingerprints in DNS

Как я понял из кас 4255:

Clients that do validate the DNSSEC signatures themselves SHOULD use
standard DNSSEC validation procedures.

Я подписал всю зону DNS по руководству https://www.ripe.net/projects/disi//dnssec_howto/dnssec_howto-v1.6.html. Теперь, я вижу в DNS записи о подписи моих отпечатков SSH. Кусок возврата dig -t any выглядит так:

nlink.example.ru. 7200 IN SSHFP 2 1 D3FE8B44D74E91D6F79FECDFE3042956A387B1B9
nlink.example.ru. 7200 IN SSHFP 1 1 FFFF1A4D189A54FCB675B9D76DA1B406F728AB82
nlink.example.ru. 7200 IN RRSIG SSHFP 5 3 7200 20090401111251 20090302111251 60933 example.ru. XFE2qXQxq73A+fsAG3OKDgRJd1nmIuoddX4+L5JUf9OKPi6ut10ZWP+K 3ompNTOneQf6ks+GVHuAOnRa5S86U5lP3W9ZMv4o8zxBlZn8606uzBi6 398u3uFZa34yicI5F0z5DqwRhOtYLnaJjp7LnkSwAyCtHwgkJXBKPCul HW4=
nlink.example.ru. 7200 IN RRSIG SSHFP 5 3 7200 20090401111251 20090302111251 36184 example.ru. BNR+ohyG3SS3/+0n+hoSwI2Yk63Kl6D04K2bMAM4uURmoFNfAIyCbZCm o3v8bqDlatAWCOitYaVB2pOWKIHjBT4AyMMDZkIXmQhOtMmsnkWXgJ/E ifDJVnShVYF9mwZWye6RXoWmTp+9TuTtKwfx41KICRqdjlH6oWYmYJjk GJU=

Но при этом, если я подключаюсь к узлу nlink.example.ru, ssh -v по-прежнему выдает сообщения о том, что отпечатки ключей не безопасны:
found 2 insecure fingerprints in DNS

Так как же их сделать безопасными? Ведь именно в этом случае, ssh больше не будет меня спрашивать, хочу ли я принять эти ключи, а будет делать это сам молча.

Проблема в следующем: мне надо на некоторые узлы (указанные в access.db) не запускать никакие вспомогательные фильтры Sendmail'а. Я указывают в access хоть OK, хоть RELAY - milter'ы все равно запускаются.

access:
10,47,10,240 OK

При подключении с этого узла, запускаются всяческие milter;ы (их у меня 2)

Добрый день. Мне не нравится, что при подключении с нового места, мой ssh-сервер пересылает все ключи по интернету и они могут быть перехвачены. Я читал о том, что этими ключами надо обмениваться чуть ли не при личной встрече, но не через интернет.

Вопрос: как сделать, чтобы мой ssh сервер не производил обмен ключами с киентами? То есть, чтобы ключ можно было установить только вручную, для пущей безопасности

Если честно, то я не полностью все знаю о жизненном цикле плагина в milter, но я понял так.

Когда я полдключаюсь к почтовому серверу (через telnet) он долго висит (около 30 секунд), только потом говорит, кто он такой:
ESMTP Sendmail 8.14.3/8.14.3/SuSE Linux 0.8; Mon, 29 Dec 2008 12:00:21 +0300

В это время, в журнале почты /var/log/mail видно, что какие-то происходят косяки:

Dec 29 12:00:21 rzn-sepak-bpa spamd[17758]: spamd: connection from localhost [127.0.0.1] at port 33392
Dec 29 12:00:51 rzn-sepak-bpa spamd[17758]: spamd: timeout: (30 second socket timeout reading input from client) at /usr/bin/spamd line 2016.
Dec 29 12:00:52 rzn-sepak-bpa sendmail[19961]: mBT90LNG019961: milter_sys_read(spamd): cmd read returned 71, expecting 1397768524
Dec 29 12:00:52 rzn-sepak-bpa sendmail[19961]: mBT90LNG019961: Milter (spamd): to error state
Dec 29 12:00:52 rzn-sepak-bpa sendmail[19961]: mBT90LNG019961: Milter (spamd): init failed to open
Dec 29 12:00:52 rzn-sepak-bpa sendmail[19961]: mBT90LNG019961: Milter (spamd): to error state
Dec 29 12:00:52 rzn-sepak-bpa sendmail[19961]: mBT90LNG019961: Milter: connect to filters
Dec 29 12:00:52 rzn-sepak-bpa spamd[17757]: prefork: child states: II

Обратите внимение на 30-секундную задержку, о которой, собственно, в журнале и написано.

То, что milter работает нормально, я знаю: с его помощью подцепленный Kaspersky anti-spam функционирует, как положено.

Сам процесс spamd, вроде бы, тоже функционирует, так как из консольного spamc он письма обрабатывает.

spamd запущен с флагами:
20729 ? Ss 0:01 /usr/sbin/spamd -x -d -c -L -r /var/run/spamd.pid

В Sendmail'е он подключен так:
INPUT_MAIL_FILTER(`spamd',`S=inet:783@localhost, F=, T=C:15m;S:4m;R:4m;E:10m')


ОС: openSuSE 11.1 - i586

Есть машина Windows. Она на моем компьютере. Подключена к домену (не мной). Хочу подключиться вместо нее Linux'ом. Домен - на Windows Server'ах.

Я скопировал SID с подключенной машины и установил его командой net setlocalsid под Linux. Установил в smb.conf netbios name и workgroup соответственно, в имя и домен Windows-машины.

При попытке реализовать вход в компьютер по Windows-логинам (через YAST), мне сообщается, что компьютер не включен в домен и предлагает включить.

Получается, что не достаточно просто написать то же имя компьютера, установить такой же SID и дать тот же ip-адрес? Что еще подскажете попробовать?

Стоит sendmail. Он установлен как основной сервер: одной стороной смотрит в интернет, а другой - в локальную сеть. По нему приходит много спама.

Я обнаружил, что есть много спама, приходящего ко мне от моего же имени. Нпример:

From:pavel@domain.ru

To:pave@domain.ru

Мне это не понравилось. Подключился через telnet и понял, что, действительно, sendmail позволяет слать с внешней сети письма от моего домена моему же домену.

Думал, как это все нейтрализовать. Наклюнулись 2 варианта:

1. Запрещяем слать почту с вшених узлов от имени моео домена.

2. При помытке послать почту с внашних ip-адресов, требовать аутентификацию, если используется мой домен как домен отправки.

К сожалению, не нашел как сделать ни того, ни дрогого. Просьба: поделитесь своим опытом в реализации такой конфигурации

В RFC по Sieve написано, что, мол, 2 строки считаются одинаковыми, если их представление в utf8 совпадает. Как я понимаю, значит в sieve можно просто писать слова на кириллице, и он их будет правильно обрабатывать. Но у меня так не получилось.

Такаие строки работают:

header :contains "Subject" "[Probably Spam]"

А вот строка

header :contains "Subject" "[Спам]"

не срабатывает. Мне это очень печально, потому что "секс" и "порно" можно было бы спокойно отсечь на sieve, но не будешь же перечислять их во всех возможных кодировках! Я думал, что такая проблема только в sendmail, потому решил попробовать еще и Sieve.

Представьте себе обычную методичку и то, как она сшита и как напечатана. Есть некоторые инструменты, позволяющие сделать так под Windows. А что есть в Linux? Желательно, в OpenOffice?

Добрый день.

Дело было так. Поставил Samba (раньше на ней даже домен висел). На CUPS развернул сетевые принтеры (так как в конторе Linux'ов больше, чем винды). Попытался из-под винды подключиться к принтеру под Линуксом. Тамошний мастер подключения запросил выдать ему драйверы, так как на сервере их не обнаружил. Я их ему давал. Все было нормально.

Потом, я обновил сервер (OpenSuSE) и изменил настройки Samba. Это привело к тому, что из-под винды принтеры печатали только с некоторых программ (FireFox, OpenOffice). Еще некоторые программы не печатали вообще (задание на печать уходило, но не печаталось): 1С, Opera, Клиент-банк.

Мне это надоело и я решил установить на сервере драйверы принтеров, как положено - через cupsaddsmb. После этого, принтеры стали устанавливаться замечательно, но печатать перестали вовсе. Что тольяо я уже не делал с ними! (хотя, очевидно, чего-то важного так и не сделал).

Сейчас, если я посылаю задание на печать на принтер из-под винды, я получаю в журнале cups/error_log:

I [20/Aug/2008:21:15:52 +0400] [Job 295] Adding start banner page "none".

I [20/Aug/2008:21:15:52 +0400] [Job 295] Adding job file of type application/vnd.cups-raw.

I [20/Aug/2008:21:15:52 +0400] [Job 295] Adding end banner page "none".

I [20/Aug/2008:21:15:52 +0400] [Job 295] Queued on "laserjetm1005" by "emma".

I [20/Aug/2008:21:15:52 +0400] [Job 295] Started backend /usr/lib64/cups/backend/usb (PID 10279)

I [20/Aug/2008:21:15:53 +0400] [Job 295] Completed successfully.

Для примера, привожу журнал успешной печати прямо из-под Линукса (но через сеть):

I [20/Aug/2008:21:14:06 +0400] [Job 294] Adding start banner page "none".

I [20/Aug/2008:21:14:06 +0400] [Job 294] Adding job file of type application/octet-stream.

I [20/Aug/2008:21:14:06 +0400] [Job 294] Adding end banner page "none".

I [20/Aug/2008:21:14:06 +0400] [Job 294] Queued on "laserjetm1005" by "polina".

I [20/Aug/2008:21:14:06 +0400] [Job 294] Started backend /usr/lib64/cups/backend/usb (PID 10254)

I [20/Aug/2008:21:14:06 +0400] [Job 294] Completed successfully.

В журнале напечатанных страниц, это все выглядит одинаково (cups/page.log):

laserjetm1005 polina 294 [20/Aug/2008:21:14:06 +0400] 1 1 - 192.168.0.2

laserjetm1005 emma 295 [20/Aug/2008:21:15:52 +0400] 1 1 - 192.168.0.2

Технические данные:

ОС: openSuSE 1.0

Samba - 3.2.0rc1-22.1-1795-SUSE-SL11.0

cups - 1.3.7

Windows - 2000

Printer - HP LaserJet M1005 (МФУ)

Конечный вопрос: как сделать так, чтобы принтер снова стал печатать из-под винды?

>>>

Добрый день

Когда моя JSP-страница общается с контроллером, я получаю все свои параметры на русском языке в некоей кодировке, которую никак не могу декодировать по-нормальному в обычную строку (без пробелов между & и #):

& #1080;& #1085;& #1076;& #1082;& #1089;& #1072;& #1089;& #1086;& #1089;& #1072;

Это слово "индексНасоса". Пробовал различные кодеки из org.apache.commons.codec.net - ни один не подошел. Хотелось бы какой-нибудь кодек типа тех, что предлагает Apache (очень уж удобно :)).

>>>

У меня есть sendmail. Его вышестоящий сервер (smarthost) использует SSL-сертификаты. Без удачной авторизации по SSL, мои письма далее не пускаются. Мне надо настроить sendmail, чтобы он использовал сертификат с сервера. Как это сделать?

Когда я подключаюсь к этому серверу (smarthost'у) с помощью Thunderbird, он предлагает мне принять серверный сертификат.

При попытке отправки письма sendmail пишет:

Apr 25 16:33:45 gemini sendmail[7773]: STARTTLS=client, relay=mail.rrtu., version=TLSv1/SSLv3, verify=FAIL, cipher=DHE-RSA-AES256-SHA, bits =256/256

Apr 25 16:33:45 gemini sendmail[7773]: m3PCXiks007771: to=<xxx@mail.ru>, delay=00:00:01, xdelay=00:00:00, mailer=relay, pri=120507, relay=mail.rrtu. [192.168.200.4], dsn=2.0.0, stat=Sent (m3PCXE0j006531 Message accepted for delivery)

Я использую openSuSE 10.3 (x86_64)

>>>

Возможно, я пишу не туда, так как DocBook не есть вещь, специфическая для Линукс. Но полагаюсь я на развитость и обширность сообщества.

В DocBook можно помещать картинки. Можно производить множество различных украшений документации. Но вот я хочу, чтобы картинки были подсвечены тенью. Есть такой инструмент практически везде (у нас принято реализовывать на GIMP), но ведь это - дело чисто машинальное. Следовательно вопрос: как сделать, чтобы на имеющиеся картинки при компиляции того или иного формата (HTML, PDF) накладывалась тень?

>>>

Добрый день. XMLMind - коммерческий редактор XML, но раньше он издавался по свободному лицензионному соглашению (statdart edition) и его можно было использовать бесплатно. Я тогда скачал его под Windows.

Сейчас, фирма переходит на Linux и надо бы запустить XMLMind под OpenSuSE 10.3. Я просто скопировал всю директорию из c:/program files/ себе и запустил файл bin/xxe. Все запускается и работает замечательно... кроме русского текста.

Когда я переключаюсь на русский язык - символы просто не печатаются. Я специально сохранил документ и просмотрел hex-просмотрщиком Midnight Commander'а - символов там, где я писал по-русски, действительно нет. Никаких.

Тогда я попробовал исправть кодировку системную:

export LANG=ru_RU.cp1251

./xxe

Симполы теперь печатаются, но:

1. не в кодировке cp1251

2. разобрать их у меня вообще не получилось

Потому у меня вопрос к людям знающим: как заставить XMLMind работать с русскими раскладками.

И еще (чуть не забыл): если открыть уже введенный документ с русскими буквами - они отображаются нормально и даже копируются через буфер нормально.

Версия XMLMind - 3.5.1

>>>