Настроен почтовик (postfix) с авторизацией пользователей в Active Directory. Напрямую обращается к ad ldap, другие ldap не используются.

Сейчас для почтовика хочется использовать разные ненужные поля пользовательского профиля, но почему-то не все поля видны на линухе. Например если сделать запрос всех пользователей домена:

ldapsearch -h w2k3.tld -p 3268 -b "cn=Users,dc=domain,dc=ru" -x -D "user@domain.ru" -w "password"

То получаем все записи, там например есть поле homePhone, но нет mobilePhone. В общем из того, что видно на самой винде в ADSIedit, больше половины полей не видно в ldapsearch, и они не работают фильтром в запросах из postfix ldap (http://www.postfix.org/ldap_table.5.html).

Читал rfc по составлению ldap фильтров (http://tools.ietf.org/html/rfc2254), читал примеры ldap search на ldap wiki (http://ldapwiki.willeke.com/wiki/Ldapsearch Examples)

Но все же как получить нужные поля - не понимаю. Ну для примера - хочется увидеть поле Notes, на сколько я понял по схеме ad это поле имеет атрибут 1.2.840.113556.1.4.265, но и

ldapsearch -h w2k3.tld -p 3268 -b "cn=Users,dc=domain,dc=ru" "(notes=*)" -x -D "user@domain.ru" -w "password"

ldapsearch -h w2k3.tld -p 3268 -b "cn=Users,dc=domain,dc=ru" "(1.2.840.113556.1.4.265=*)" -x -D "user@domain.ru" -w "password"

Приветствую

Имеется немало десятков слабонагруженных линуховых машин. минимум от 60 гигов свободно на винте, проц иногда должен работать на 100% но это бывает не часто. а вот мозгов маловато. сетка внутри групп сотка, сетка наружу от каждой группы пара мегабит.

чем можно интересным таким загрузить эти машинки? поиском поискал, про distributed.net и всякие *@home знаю. может кроме распределенных вычислений есть еще что-нибудь интересное? ботнет строить не предлагать :)

мне необходимо настроить постфикс, в качестве релея почты от основного корпоративного почтовика наружу.

поскольку в данный момент заменить внутренний почтовик возможности нет, а изнутри иногда бывают вирусы, шлющие что попало через основной почтовик, хочется проверить, что адрес отправителя письма из нашего домена, и реально существует.

этот постфикс только для отправки, его задача принять письмо (только от основного почтовика) и выкинуть наружу, или дать отлуп, что неправильный ящик.

добавляю в конфиг что-то а-ля

smtpd_sender_restrictions =  check_sender_access hash:/etc/postfix-out/sender_domains.map

В файле sender_domains.map - «@domain1.ru OK».

варианты с reject_unauthenticated_sender_login_mismatch и reject_sender_login_mismatch естественно не работают, т.к. не собирал поддержку sasl.

Правильного варианта так найти и не удалось.

не получается заставить работать радиус в самом простом варианте - авторизация только из локального users

Конфиг работал на freeradius 1.xx, приобновлении до 2.0.5 перестал. changelog изучил, поправил по мелочам всякое изменившееся.

сейчас выдает еследующие ошибки:

rad_recv: Access-Request packet from host 10.x.x.x port 1645, id=17, length=82
        User-Name = "user"
        User-Password = "test"
        NAS-Port = 2
        NAS-Port-Id = "tty2"
        NAS-Port-Type = Virtual
        Calling-Station-Id = "10.x.x.x"
        NAS-IP-Address = 10.x.x.x
+- entering group authorize
++[preprocess] returns ok
++[files] returns noop
auth: No authenticate method (Auth-Type) configuration found for the request: Rejecting the user
auth: Failed to validate the user.
Login incorrect: [xxxx] (from client xxxxx port 2 cli 10.x.x.x)
Sending Access-Reject of id 17 to 10.x.x.x port 1645
Finished request 0.

конфиг минималистический. вот функциональный кусок (пропущенные все начальные настройки)

$INCLUDE ${confdir}/clients.conf

modules {
  preprocess {
    huntgroups         = ${confdir}/huntgroups
    hints              = ${confdir}/empty_file
  }

  files {
    usersfile          = ${confdir}/users
    acctusersfile      = ${confdir}/empty_file
    preproxy_usersfile = ${confdir}/empty_file
    compat             = no
  }

  always fail {
    rcode = fail
  }
  always reject {
    rcode = reject
  }
  always ok {
    rcode = ok
  }
}

authorize {
  preprocess
  files
}
instantiate  {
}
authenticate {
}
preacct      {
}
accounting   {
}
session      {
}
post-auth    {
}
pre-proxy    {
}
post-proxy   {
}

вот фаил users

user    Cleartext-Password == "test", Auth-Type := Local, NAS-Port-Type == Virtual
        Service-Type += Administrative-User,
        APC-Service-Type += 2

есть какие-нибудь идеи?

Долгое время использую в syslog-ng следующий темплейт для вывода:

destination     d_messages      { file("/var/log/messages"
 template("$R_YEAR.$R_MONTH.$R_DAY $R_HOUR:$R_MIN:$R_SEC $HOST($FACILITY.$PRIORITY) $MESSAGE\n")  ); };

в логе это выглядело так:

2010.02.08 18:59:53 server(auth.info) sshd[31489]: Accepted publickey for john from 192.168.1.3 port 57705 ssh2
2010.02.24 17:14:57 server(authpriv.info) sshd[22099]: pam_unix(sshd:session): session closed for user xxxx

обратите внемание, после "(фацилити.приорити)" в самом $message идет имя процесса и [пид]. в случае kernel - просто «kernel» без пида.

Начиная с 3.x версии при том же темплейте пропал кусок с именем программы и опциональным пидом из $message. теперь, с точно таким же темплейтом выглядит так:

2010.02.24 10:58:02 server(daemon.info) synchronized to 193.125.143.172, stratum 2
2010.02.24 11:02:07 server(auth.info) Invalid user xxxxx from 192.168.x.x

я добавил $PROGRAM[$PID]:

destination     d_messages      { file("/var/log/messages"
 template("$R_YEAR.$R_MONTH.$R_DAY $R_HOUR:$R_MIN:$R_SEC $HOST($FACILITY.$PRIORITY) $PROGRAM[$PID]: $MESSAGE\n")  ); };

стало почти хорошо:

2010.02.24 14:04:19 server(auth.info) sshd[14741]: Accepted keyboard-interactive/pam for xxxx from 192.168.x.x port 43208 ssh2

но, теперь появились лишние пустые скобки у kernel

2010.02.24 14:06:59 server(kern.info) kernel[]: EXT3 FS on dm-3, internal journal

вопрос - как привести сисло к предидущему виду, что бы не переписывать тонны фильтров в обработчиках.

Есть две производственные площадки. Между ними есть 3 разных канала точка-точка. Каналы очень разнородные по скорости и задержкам.

С обоих сторон - linux роутеры.

Нужен механизм переключения, при пропадании хорошего канала, на более плохие и возврат на хороший при его появлении.

При обрыве переключение должно быть относительно быстрым, в течении нескольких секунд, что бы не происходили обрывы сессий.

На оконечке линк всегда есть, при этом физически канал может быть оборван.

Как посоветуете решить? Сделать load-balance teql по всем трем с разными приоритетами? но как он поведет себя при обрыве на одном из линков?

Неплохо знаю линуховый iptables, но встала задача настроить ipfw во freebsd.

Вопрос следующий: есть роутер, он пробрасывает соединения с внешнего 25 порта на внутренний сервак. При этом почтовый сервер "видит" соединения от ip роутера, а не от внешнего клиента. На фре ipfw и отдельно rinetd, который и занимается пробросом. Вопрос, как сделать форвардинг нормально, что бы почтовик видел, что соединение идет снаружи.

Правильно ли я понял, что мне нужно избавиться от rinetd и форвардить средствами ipfw? Как?

У меня есть сервер с кучей дисков ide/sata которые собраны в md/lvm. Мне хочется подключить к нему соседний, что бы использовать его емкость. (не самба/нфс). Очевидное решение - воткнуть в оба сервера по pci гигабитной сетевухе, поднять там iscsi или AoE. Однако все недостатки использования ethernet, особенно на дешевых сетевухах. В тот же момент у меня есть некоторое количество нормальных u160/u320 scsi контроллеров. Есть ли способ соединить эти машины по scsi (ну естетсвенно сменив id контроллера)? То есть я так понимаю, что на дисковом сервере нужна некая софтовая прослойка которая раздаст имеющийся md через scsi, как будто он на этой же шине и висит. Такое реализуемо вообще как-нибудь?

Переключился на нового провайдера.
При броузинге инета стали постоянно вылезать ошибки, мозилла пишет "Попытка соединения не удалась", то же самое выдает вгет, удается качать только со второй-третьей попытки :

xxxx@xxxx ~/temp $ wget http://zx.pk.ru/showthread.php?t=8762
--2009-03-09 20:55:09-- http://zx.pk.ru/showthread.php?t=8762
Resolving zx.pk.ru... 212.122.1.59
Connecting to zx.pk.ru|212.122.1.59|:80... failed: No route to host.

xxxx@xxxx ~/temp $ wget http://zx.pk.ru/showthread.php?t=8762
--2009-03-09 20:55:10-- http://zx.pk.ru/showthread.php?t=8762
Resolving zx.pk.ru... 212.122.1.59
Connecting to zx.pk.ru|212.122.1.59|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: unspecified [text/html]
Saving to: `showthread.php?t=8762'

[ <=> ] 84,129 120K/s in 0.7s

2009-03-09 20:55:11 (120 KB/s) - `showthread.php?t=8762' saved [84129]


При этом судя по всему не проблема dns, т.к. сразу после скачивания этой страницы точно такую же ошибку я получаю и по http://zx.pk.ru/.
Никак не могу понять то ли я перенастроил что-то не так или у провайдера проблемы.
Чем еще потестировать?

Помогите выбрать движок вики для внутрифирменных нужд.

Основное требование - это нормальная работы прав доступа. Вторичное требование - удобная (простая) текстовая разметка документов, особенно таблиц и моноспейсных кусков кода.

Я посмотрел уже некоторое количество разных вики, но более-менее подходящего решения так и не нашел.

Например mediawiki совершенно не защищена, и сложно реализуется различный уровень доступа, для одной и той же страницы, для разных групп пользователей. Достаточно понравилась tikiwiki, но у нее некорректно работают права доступа, например группа пользователей, которая фактически может видеть страницы не находит их в поиске, не видит их в полном списке страниц. достаточно неудобно сделано присвоение прав доступа на каждую созданную страницу. есть и другие глюки именно в работе с правами.

Для внутрипроизводственных нужд нам нужна некая программа а-ля вики, которая позволит содержать в себе документацию, заметки, и т.п.

Я пользовался mediawiki, и меня лично она вполне устраивает, простота создания и редактирования статей, разметки, иерархическое представление дерева статей, оповещение об изменениях и т.п.

Но на сколько я понял, у нее отсуствует как класс понятие разделения доступа, а нам необходимо определить как минимум 2-3 уровня с различным доступом к документам.

Главное - что бы более низкие уровни не могли увидеть информацию более высоких. Смысла разделять на редактируемое и не редактируемое нет. То, что доступно для просмотра должно быть доступно и для редактирования. Но все неавторизованные пользователи не должны видеть ничего или только самый первый уровень статей.

Есть ли такие варианты?

>>>

Чем синхронизировать home на нескольких (3-4) компах, причем один из них (рабочий) имеет только web через squid.

>>>

Задача как обычно тривиальна - домашняя файлопомойка из десятка дисков, все разного размера, года выпуска и надежности.

Сейчас это просто LVM, работающее (пока) без сбоев.

Критерии - ничего особо ценного нет, 90% это локальное зеркало скачанного из сети. Но терять все сразу естественно нет желания, по этому хочется минимизировать потери, когда начнутся сбои.

Варианты сбоев: в первом приближении мне видится пара вариантов 1) бэдблоки, и т.п. случайные отказы при чтении. 2) выгорание винта целиком (отвал головы, электроника).

>>>

подскажите софтинку. надо что бы крутилась на серваке и отслеживала десяток-другой параметров типа загрузки проца, места на дисках, очереди, температуры, всякие смарт и упс, и тому подобное. при выхождении за пределы - писала бы в сислог/слала почту. опционально - хранила где-то перфоманс данные для постоения графиков.

глобальные типа нагиоса и т.п. не нужны, нужно что-то синглхостное, легкое и простое. в принципе понравился collectd - грамотно собирает перфоманс для всего, что найдет, но там нет алертов вообще.

>>>

вот кстати, наткнулся в новостях - вспомнил вопрос.

есть хоть одна смотрелка картинок, которая в режиме филбраузера при нажатии кнопки "up level" оставляла бы курсор на фолдере, а не переходила бы не в корень вышестоящей директории.

например:

находясь в директории ~/photo/new/ и нажав на что-то что поднимет меня на уровень выше до ~/photo/ хочется что бы курсор был не на ~/photo/.. и не на первой директории типа ~/photo/abc а именно на ~/photo/new/ из которой я только-что вышел.

>>>

>>>

есть модуль, например 3c59x, он вкомпилен в ядро, потому, что ядро грузится по сети, и должно быть уже с поддержкой сетевухи.

мне нужно как-то передать параметры конкретно этому модулю, как это возможно сделать? гуглил, но пока не нашел.

>>>

подскажите с точки зрения стабильности/фичастости дров, что лучше на данный момент работает в линухе. выбор будет из карточек ati X1600/ ati hd2600 / geforce 85xx, т.е. в районе 100уе.

исключительно для десктопа живущего пополам под вин/лин. под вин нужно что бы без проблемм с современными игрушками (не представляю что сейчас игры то требуют), а под линукс стабильная работа, со всякими новомодными gl оконными менеджерами.

фичи и глюки других карт тех же фирм,других ценовых категорий и возрастов - не интересны. только настоящий момент ну и с прицелом на год-два вперед.

>>>

не секрет, что лор - один из наиболее активных linux ресурсов рунета, однако реализация его в виде форума имеет и отрицательные стороны.

например то, что найти нужную информацию по решению проблемм с какой-либо софтиной зачастую становится сложной задачей подбора фильтров в поиске и т.п, перебора кучи тредов в поисках ценных идей. так же не редко всречаются треды оканчивающиеся фразами типа "все, я разобрался", без описания собственно а в чем же была ошибка. :) прямой вопрос в форуме то же не редко остается вообще без ответов.

вроде бы и количество специалистов велико, а часто получить нужный совет по настройке достаточно сложно.

моя идея заключается в том, что бы поднять на базе ЛОРа (вместе а не вместо! :) ресурс типа базы знаний/вики, где бы содержались конкретные howto и обсуждения по решению тех или иных вопросов, по конкретным приложениям. достаточно сильно структурированный, что бы занимаясь настройкой какого-либо сервиса я мог просмотреть одну ветку посвещенную этому сервису и сразу увидеть уже решения пройденных ошибок, и добавить свои проблеммы и варианты решений.

(мне в принципе нравится реализация русской гдженту-вики, хотя есть минусы: ориентация только на 1 дистрибутив, отсутсвие иерархичности представленных знаний).

готов сам внести посильную помощь в настройке/поддежке/хостинге этой идеи.

>>>

кто-нибудь решал задачу построения графика задержек по traceroute? хочется что-то подобное тому, что делает mtr, только с графиками.

сейчас пробую реализовать на rdtool, но она не совсем хорошо для этого подходит.

плюс при изменении трейса, появлении или исчезании хопов в ней достаточно сложно эту динамику изобразить.

может есть какие-то более простые пути?

>>>