LINUX.ORG.RU

Сообщения beren

 

OpenLDAP создать полный доступ для админской группы

Форум — Admin

Приветствую.

Для удобства хочу создать группу в OpenLDAP, члены которой имеют полный доступ к нем (чтение/запись). Я создал группу ldap_admins через вэб интерфейс (ldap account manager). Сделал такой acl

dn: olcDatabase={1}mdb,cn=config
changetype: modify
replace: olcAccess
olcAccess: to attrs=userPassword
  by self write
  by group.exact="cn=ldap_admins,ou=Groups,dc=domain,dc=ru" write
  by anonymous auth
  by * none

Но при входе в вэб интерфейс под уз членом этой группы:The following suffixes are missing in LDAP

Подскажите, пожалуйста, как правильно создать acl ?

 

beren
()

OpenLDAP+ Freeradius+MSCHAPV2

Форум — Admin

Всем привет. Настраиваю vpn сервер с аутентификацией через freeradius. Пользователи хранятся в OpenLDAP. Но есть проблема стандартный vpn клиент подключается по MSCHAPV2. Не понятно как настроить  модуль mschapv2 для openldap. Направьте, пожалуйста, ход мысли )

 ,

beren
()

Openldap и private ssh key

Форум — Admin

Всем привет. Использую openldap для хранения публичного ключа. Если я подключаюсь со своего компа на сервер, где есть закрытый ssh ключ, то всё нормально. Публичный берётся из ldap. А если мне надо с этого сервера подключиться под своей учёткой на другой сервер, то я уже не могу. Потому что нет закрытого ключа.

А как настроить возможность подключаться с сервера на сервер по ssh ?

 

beren
()

Отключить запрос второго пароля

Форум — Admin

Всем привет. Настраиваю linotp для двухфакторной аутентификации https://www.linotp.org/howtos/howto-ssh.html

Если в /etc/pam.d/common-linotp

auth    [success=1 default=ignore]      pam_radius_auth.so
auth    requisite                       pam_deny.so
auth    required                        pam_permit.so

То всё будет запрашивать временный пароль

А как сделать, чтобы если я логинюсь с ip1, то не запрашивало второй пароль ? Если в /etc/pam.d/common-linotp

auth [success=1 default=ignore] pam_access.so accessfile=/etc/ssh/tf.conf
auth	required			pam_radius_auth.so
auth    requisite                       pam_deny.so
auth    required                        pam_permit.so

А в /etc/ssh/tf.conf

+ : ALL: 10.41.34.142
- : ALL : ALL

То вообще перестаёт пускать.

Любые идеи )

 

beren
()

LDAP клиент

Форум — Admin

Всем привет. Подключил я ldap клиент к серверу, используя скрипт https://itc-life.ru/skript-vvoda-debian-8-v-ldapdomen/

#!/bin/bash
rm /etc/libnss-ldap.conf
wait 3
touch /etc/libnss-ldap.conf
echo "base dc=domain,dc=ru" >> /etc/libnss-ldap.conf
echo "uri ldaps://ldap.domain.ru" >> /etc/libnss-ldap.conf
echo "ldap_version 3" >> /etc/libnss-ldap.conf
echo "rootbinddn cn=admin,dc=domain,dc=ru" >> /etc/libnss-ldap.conf
rm   /etc/pam_ldap.conf
touch /etc/pam_ldap.conf
echo "base dc=domain,dc=ru" >> /etc/pam_ldap.conf
echo "uri ldaps://infra.domain.ru" >> /etc/pam_ldap.conf
echo "ldap_version 3" >> /etc/pam_ldap.conf
echo "rootbinddn cn=admin,dc=domain,dc=ru" >> /etc/pam_ldap.conf
apt-get install libnss-ldap libpam-ldap nscd -y --force-yes
dpkg-reconfigure libnss-ldap
rm /etc/ldap/ldap.conf
echo "BASE    dc=domain,dc=ru" >> /etc/ldap/ldap.conf
echo "URI     ldaps://ldap.domain.ru" >> /etc/ldap/ldap.conf
echo "TLS_CACERT      /etc/ssl/certs/ca-certificates.crt" >>  /etc/ldap/ldap.conf
rm -r /etc/nsswitch.conf
touch  /etc/nsswitch.conf
echo "passwd: compat ldap" >> /etc/nsswitch.conf
echo "group: compat ldap" >> /etc/nsswitch.conf
echo "shadow: compat ldap" >> /etc/nsswitch.conf
echo "gshadow:        files" >> /etc/nsswitch.conf
echo "hosts:          files dns" >> /etc/nsswitch.conf
echo "networks:       files" >> /etc/nsswitch.conf
echo "protocols:      db files" >> /etc/nsswitch.conf
echo "services:       db files" >> /etc/nsswitch.conf
echo "ethers:         db files" >> /etc/nsswitch.conf
echo "rpc:            db files" >> /etc/nsswitch.conf
echo "netgroup:       nis" >> /etc/nsswitch.conf
rm /etc/pam.d/common-auth
touch  /etc/pam.d/common-auth
echo "auth    [success=2 default=ignore]      pam_unix.so nullok_secure" >> /etc/pam.d/common-auth
echo "auth    [success=1 default=ignore]      pam_ldap.so use_first_pass" >> /etc/pam.d/common-auth
echo "auth    requisite                       pam_deny.so" >> /etc/pam.d/common-auth
echo "auth    required                        pam_permit.so" >> /etc/pam.d/common-auth
rm /etc/pam.d/common-password
touch /etc/pam.d/common-password
echo "password        [success=2 default=ignore]      pam_unix.so obscure sha512" >> /etc/pam.d/common-password
echo "password        [success=1 user_unknown=ignore default=die]     pam_ldap.so use_authtok try_first_pass" >> /etc/pam.d/common-password
echo "password        requisite                       pam_deny.so" >> /etc/pam.d/common-password
echo "password        required                        pam_permit.so" >> /etc/pam.d/common-password
rm /etc/pam.d/common-session-noninteractive
touch /etc/pam.d/common-session-noninteractive
echo "session [default=1]                     pam_permit.so" >> /etc/pam.d/common-session-noninteractive
echo "session requisite                       pam_deny.so" >> /etc/pam.d/common-session-noninteractive
echo "session required                        pam_permit.so" >> /etc/pam.d/common-session-noninteractive
echo "session required        pam_unix.so" >> /etc/pam.d/common-session-noninteractive
echo "session optional                        pam_ldap.so" >> /etc/pam.d/common-session-noninteractive
echo "session required	pam_mkhomedir.so skel=/etc/skel/ umask=0022"	>> /etc/pam.d/common-session
echo "%main   ALL=(ALL:ALL) ALL" >> /etc/sudoers
rm /etc/libnss-ldap.secret
touch /etc/libnss-ldap.secret
echo "123" >> /etc/libnss-ldap.secret
service nscd restart

getent passwd и getenet shadow показывает доменных пользователей. Но зайти нельзя. Ошибка: Login incorrect. Любые идеи.

 

beren
()

OpenLdap пароль не реплицирутся.

Форум — Admin

Всем привет. Настроил репликацию по https://linuxlasse.net/linux/howtos/OpenLDAP_N-Way_MultiMaster_Replication Пользователи реплицируются, а пароли нет. Есть идеи ?

 

beren
()

Openldap ldap_modify: Other (e.g., implementation specific) error (80)

Форум — Admin

Всем привет. Добавляю в openldap корневой ldapmodify -Q -Y EXTERNAL -H ldapi:/// -f ca.ldif, но является ошибка:

modifying entry "cn=config"
ldap_modify: Other (e.g., implementation specific) error (80)

В сa.ldif

dn: cn=config
changetype: Modify
add: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/ldap/certs/comodo.crt

Права:

-rw-r--r-- 1 openldap openldap /etc/ldap/certs/comodo.crt

Любые идеи)

 

beren
()

K8s. Контейнер nginx

Форум — Admin

Привет.

Начинаю изучать kubernetes.

В качестве практики: развернуть стандартный nginx из докера в тестовом кластере в тестовом namespace

Правильный ли план:

  1. установить docker

  2. Скачать образ nginx (docker pull nginx) Тут я не понимаю надо ли создавать свой локальный docker registry или можно потом сказать куберу бери образ из docker hub ?

  3. Создаём секреты в кубере для доступа в хранилище образов (ocker registry или docker hub)

  4. Пишем yaml файл для пода

  5. Развёртываем из этого файла pod с контейнером nginx

Правильно ли это ? Всех с наступающим )

 

beren
()

Тэги в elastic search

Форум — Admin

Всем привет.

Как настроить в logstash так чтобы логи postifx шли в индекс postfix ?

Если конфиге logstash сделать

input {
  beats {
    port => 5044
  }
}

filter {
     grok { 
}
}     
output {
if "postfix" in [tags]{
        elasticsearch {
            hosts    => "localhost:9200"
            index    => "postfix-%{+YYYY.MM.dd}"
        }
}
}

А в конфиге filebeat.yml

filebeat.inputs:
- type: log
  enabled: true
  paths:
      - /var/log/maillog*
  exclude_files: [".gz$"]
tags: ["postfix"]
output.logstash:
  hosts: ["10.50.11.8:5044"]

То в логах logstash получим

Could not index event to Elasticsearch. {:status=>400, :action=>["index", {:_id=>nil, :_index=>"buildlog4", :_type=>"_doc", :routing=>nil}, #<LogStash::Event:0x49522875>], :response=>{"index"=>{"_index"=>"buildlog4", "_type"=>"_doc", "_id"=>"tmgaz20Bp3jq-MOqGvqp", "status"=>400, "error"=>{"type"=>"mapper_parsing_exception", "reason"=>"failed to parse field [host] of type [text] in document with id 'tmgaz20Bp3jq-MOqGvqp'. Preview of field's value: '{name=mail1.mydomain.com}'", "caused_by"=>{"type"=>"illegal_state_exception", "reason"=>"Can't get text on a START_OBJECT at 1:357"}}}}}

То есть логи с mail1.mydomain.com пытается записать в индекс buildlog4.

Любая помощь =)

 

beren
()

Не приходят логи

Форум — Admin

Добрый день.

Использую ELK для postfix

Для теста связи logstash и filebeat в logstash

input {
  beats {
    port => 5044
  }
}


output {
        elasticsearch {
            hosts    => "localhost:9200"
            index    => "postfix1-%{+YYYY.MM.dd}"
        }

 file {
         path  => "/some/debug"
         codec => rubydebug
    }
}

В конфиге filebeat.yml

filebeat.inputs:
- type: log
  enabled: true
  paths:
      - /var/log/maillog*

output.logstash:
  hosts: ["192.168.199.146:5044"]
xpack.monitoring:
  enabled: true
  elasticsearch:
    hosts: ["http://192.168.199.146:9200"]

Но папка файл /some/debug не создаётся и в Kibana нет индекса.

Warning только в логе filebeat

WARN    beater/filebeat.go:152  Filebeat is unable to load the Ingest Node pipelines for the configured modules because the Elasticsearch output is not configured/enabled. If you have already loaded the Ingest Node pipelines or are using Logstash pipelines, you can ignore this warning.

Что можно сделать, чтобы индекс появился ?

 

beren
()

Регулярное выражение

Форум — Admin

Всем привет.

Чисто теоретически для чего в \b(?:[1-9][0-9]*)\b ?

Всем добра =)

 

beren
()

Драйверы для гостевой системы

Форум — Admin

Всем привет.

Создал ВМ Windows Server 2016 на Oracle VM server через Oracle VM manager.

Но драйверов на сетевую карту система не увидела.

Оракл говорит надо установить паравиртуальные драйверы https://www.oracle.com/virtualization/ovm-windows-pv-drivers.html

Но как загрузить в виртуалку драйверы, если сети нет ? )

 

beren
()

Отзывы об Oracle vm server

Форум — Admin

Всем привет.

Хочу для тестов себе поставить это решение.

Есть кто пользовался, какие отзывы ?

 

beren
()

Перенос сайта Joomla с одного локального сервера на другой

Форум — Admin

Всем привет. Хочу перенести сайт Joomla с Ubuntu 16.04.5 LTS на Ubuntu 18.04.2 LTS и установить последнюю версию Joomla.

Правильно так ?:

1) На Joomla установить Akeeba Backup 2) Забэкапить c помощью Akeeba Backup 3) На Ubuntu 18.04.2 установить apache, mysql, последнюю версию Joomla 4) Восстановить с помощью akeeba kickstart

 

beren
()

Requires: vulkan-filesystem

Форум — Admin

Всем привет.

Устанавливаю CUDA 10.1 на RED HAT 7.

Добавил репозиторий.

Хочу установить, там такое Requires: vulkan-filesystem

Как это победить ?

 ,

beren
()

Тестовый docker контейнер

Форум — Admin

Всем привет.

Хочу сделать штуку в контейнере.

Но чтобы ничего не сломать хочу забэкапить, сделать копию контейнера. На ней попробовать и сделать на боевом контейнере.

Правильно ли так сделать:

1) Забэкапить контейнер docker:

docker commit -p 78727078a04 backup_war_docker_container1:13052019
docker save -o backup_war_docker_container.tar war_container

2) Запустить контейнер из образа, созданного на шаге 2:

docker run -it IMAGE ID  /bin/bash

3) Если на боевом контейнере что-то не так, то восстановиться:

docker load -i backup_war_docker_container.tar

 

beren
()

Миграция из Vmware Esxi в Proxmox

Форум — Admin

Добрый день.

У кого-нибудь был опыт в миграции ВМ из Esxi 5.1 в Proxmox ? Как сделать правильно ?

В документации Proxmox https://pve.proxmox.com/wiki/Migration_of_servers_to_Proxmox_VE#Physical_serv...

Prepare the disk file
My disk file used for this howto: win2003.vmdk

Change your VMDK disk file with vmware-vdiskmanager.exe to a single growable file (vmware-vdiskmanager.exe is located in your VMware installation path, e.g. "C:\Program Files\VMware\VMware Server") - open a cmd and go to the directory where your vmdk disk files are.

То есть нужен vmware-vdiskmanager.exe ? Его нужно установить локально и скачать vmdk ? А у меня ВМ для миграции много весят, не вариант скачивать vmdk.

 ,

beren
()

Включить Container Registry в gitlab

Форум — Admin

Добрый день.

Хочу включить Container Registry.

Делаю по https://docs.gitlab.com/ee/administration/container_registry.html

Я не понимаю, что писать host: port: api_url: path: key: /var/opt/gitlab/gitlab-rails/etc/gitlab-registry.key issuer: omnibus-gitlab-issuer Чтобы заработало ) Например, gitlab у меня доступен по https://git-test

 

beren
()

Web monitoring

Форум — Admin

Добрый день.

Имеем 2 площадки в Германии и в России.

Необходим веб мониторинг сайтов. https://www.zabbix.com/documentation/3.4/ru/manual/web_monitoring

Zabbix сервер развёрнут в России.

Если развернуть агент на машине в Германии и подключить его к Zabbix серверу в России.

Сайты будут мониториться как если бы агент был установлен в России.

А как бы так сделать, чтобы можно было мониторить параметры из Германии и России ?

В Германии разворачивать zabbix прокси и к нему агента подключить ?

Больше вариантов нет ?

 

beren
()

Zabbix

Форум — Admin

Добрый день.

Как правильно убрать из Zabbix мониторинг свободного места некоторых дисков ? Использую стандартный шаблон. Обнаружене LLD

Просто есть бэкапные серверы, у них диски всегда заняты.

А zabbix фиксирует проблемы.

Это делается путём отключения item в свойствах хоста ?

 

beren
()

RSS подписка на новые темы