Есть планшетный компьютер. На нём стоит Debian. Всё замечательно.
Нужно загрузиться с live-flashdrive для систематической заливки новых версий ОС. Использую Debian live.
При загрузке с флешки экран (никаких иксов) заливается какой-то радугой и аще нифига не видно. Компьютер работает, можно зайти на него по ssh.

Посмотрел, что система, которая уже установлена на нём использует драйвер видеокарты vga16fb. делаю modprobe vga16fb на своей live-системе - без результата. Такой же чёрный экран.

Не очень понимаю, как linux выбирает драйверы и почему загрузка вроде бы правильного модуля не оказывает никакого влияние. Первый раз наблюдаю такие косяки в консоле.

dovecot.conf:
sieve_global_path = /var/lib/sieve/global.sieve
sieve_global_dir = /var/lib/sieve/global
sieve=~/.dovecot.sieve
sieve_dir=~/.sieve

Если у пользователя есть свои (~/.dovecot.sieve) правила, то глобальные уже не используются. А хотелось бы.
Чё делать?

З.Ы.
Кстати, тупизм со стороны Debian: у них дефолтный sieve_global_dir = /var/lib/dovecot/sieve/global, доступ на чтение к которому есть только у root:root.

Debian. Не получается положить письмо в отдельную папку средствами Sieve в Dovecot. Не совсем понял про namespace.

/etc/dovecot/dovecot.conf

namespace private {
   separator = /
   prefix =
   inbox = yes
   list = yes
}

namespace private {
   prefix = Friends
   separator = /
   location = maildir:/var/mail/%n/.Friends
   list = children #прально?
}

somescript.sieve:

require "fileinto";
if header :contains ["Subject", "SUBJECT", "subject"] ["Friends", "FRIENDS", "friends"] {
 fileinto "Friends";
 #!!!!!!!!!!!Если использовать строку ниже, то редирект работает. Т.е. с организацией самого Sieve всё в порядке
# redirect "user@otherdomain.org"; 
}

Папка /var/mail/username/.Friends создана, в /var/mail/username/subscriptions добавлена, со стороны клиента видна и аще всё в порядке. Видимо, я что-то намудрил с namespace.

Объясните, пожалуйста, для чего в конфигурации amavis даны spamassassin-специфичные настройки, типа, порог срабатывания, действия по обнаружению спама и т.д. ?
Или конфигурация SA в /etc/spamassassin/*.cf нужна лишь для smapd, который не используется в варианте с amavis, и лишь нужна для случая MTA->SA->MTA ?

Есть папка с кучей файлов. Надо эти файлы скормить скрипту. В названиях файлов есть пробелы и если делать

for fname in `ls /path/to/dir`; do ./script $fname ...

то в $fname будут лежать строки - куски названий файлов разделённых пробелами. Чё делать?

Намучался с двумя PDC в филиалах. Понял, что нужна Multi-Master-репликация, ибо и там, и там требуется запись в каталог.
В официальном admin guide (http://www.openldap.org/doc/admin24/replication.html#N-Way Multi-Master) приводится новомодная конфигурация через cn=config.
Я даже не знаю, можно ли это организовать при моём debian lenny, да и так не хочется в это ввязываться - всё как-то там сделано буэээ...

Поэтому всему спрашиваю: как сконфигурить 2 openldap-мастера в slapd.conf?

При попытке подключиться к named:
# rndc status
This may indicate that
* the remote server is using an older version of the command protocol,
* this host is not authorized to connect,
* the clocks are not syncronized, or
* the key is invalid.

rndc.key:
key «rndc-key» {
algorithm hmac-md5;
secret «PVnEpqWe/CFEgxg+pqoyQg==»;
};

named слушает на tcp/953.
Думал, что bind берёт пароль из того же файла, что и rndc-клиент (/etc/bind/rndc.key). Не?
Имею аналогичную конфигурацию на другой машине - всё нормально.
Что ему ещё надо?

Видимо, rndc-интерфейс используется для реплики зон. А она мне нужна. Я настраиваю slave-сервер.

Посоветуйте сабж, а то каждый считает должным выложить примеры своих конфигов. Можно на англицком. Есть книжка от O'Reilly, но полноценного скана нигде не нашёл.

Разбирая всякие примеры, howto, документацию, вроде бы понял, что подружить Samba PDC с Kerberos KDC у меня таки не получится (вроде как, это и называется Active Directory).

Вопрос вот в чём: имея ldap, работающий хранилищем у Samba PDC, можно ли использовать хранящиеся в нём аккаунты как kerberos-принципалы?
При устрановке KDC я создал для него отдельную ветку ou=KerberosPrincipals,dc=example,dc=org и kadmin автоматически её заполнил всякими, как я понял, служебными принципалами.

Таким образом я смогу настроить авторизацию на linux-машинах через pam_krb, а не через pam_ldap, и использовать Single Sign-On.
Ну а windows-клиентам придётся обломиться.

Работаю с процессором PXA270. Нужно написать драйвер для общения с неким устройством по шине общего назначения (GPIO).

Побаловался, написав небольшую программку в userspace: нажимаю кнопочку - мигает лампочка. Делал я это мапингом /dev/mem-а.
Теперь требуется достучаться до interrupt-контроллера.

Как получить доступ к памяти в kernelspace, чтобы подёргать регистрами interrupt-контроллера?

Такая ситуация:
Построен IPSEC-tunnel. Сеть в моём филиале: 192.168.1.0/24. Удалённая сеть - 192.168.0.0/24. Доступ к роутеру на том конце туннеля не имею. Мне просто прислали настройки.

Одна проблемка: этот IPSEC-tunnel предполагает, что моя сеть должна быть 192.168.3.0/24. Как бы так сделать, не перестраивая внутренню сеть?

Думал транслировать source IP внутренних машин, но действие SNAT позволяется только в POSTROUTING.

Возникло несколько вопросов по реализации NT-домена на samba.

Из официального howto и некоторых мейл-конференций с разработчиками понятно, что samba не может играть роль ActiveDirectory-сервера (Samba-3 is not, and cannot act as, an Active Directory server).
Вместе с тем, в том же самом howto расписываются все прелести систем Single sign-on, который, как я понимаю, в NT-домене зиждется на Kerberos.

Могу ли я поставить на свой Samba PDC тот же Heimdal KDC, потом на Linux-клиенте настроить Winbind так, как я бы это делал при имеющимся Windows PDC? Сейчас напрямую используется LDAP (plain text).
В Samba4 KDC, как и LDAP-сервер, интегрирован в один программный пакет. Это просто супер, что не нужно будет строить по кирпичикам такую сложную систему.

Я понимаю, что Windows-клиенты не смогут использовать мой KDC (по каким-то «особенностям» в реализации Kerberos в ADS). Ну и фиг с ними.

Если я прав, то чем такой сервер - не Active Directory Server? Красивые административные консоли (ADSI) для управления каталогом и групповыми политиками (которые, по-моему, представляют из себя простые файлы реестра Windows и которые можно разместить в smb-шарах) я в расчёт не беру?

Почему, при отсутствии KDC на моём Samba PDC Winbind (точнее, winbind-модуль NSS) всё равно подцепил доменных пользователей? Или это не противоречит логике работы домена? Список пользователей (компьютеров и др. dn) публичен и запрашивается Winbind-ом напрямую у PDC?

Очень много «по-моему» и «как мне кажется», поэтому прошу не пинать. Материал большой...по-моему.

(Только что вылел в раковину кружку «свежезаваренного» чая..буэээ..)

Многие (как и я) вынуждены бухать на работе богомерзкий пакетированный чай. Greenfield, BrookeBond - полное дерьмо. Что посоветуете?

Имеется две связных через VPN сети. В одном офисе есть PDC, в другом - BDC. Настроена репликация LDAP (syncrepl). PDC работает напрямую с provider LDAP, BDC - с customer.

При попытке добавления машины в домен __в сети с BDC__ стандартными средствами Windows оно пишет «не найдено имя пользователя». Добавление же машин в домен в главной, где находится PDC, сети происходит нормально.

На BDC /var/log/samba/log.machinename:

  _samr_create_user: Running the command `/usr/sbin/smbldap-useradd -t 5 -w "production02$"' gave 0 
[2010/02/28 20:51:52,  5] lib/username.c:Get_Pwnam_alloc(133) 
  Finding user PRODUCTION02$ 
[2010/02/28 20:51:52,  5] lib/username.c:Get_Pwnam_internals(77) 
  Trying _Get_Pwnam(), username as lowercase is production02$ 
[2010/02/28 20:51:52,  5] lib/username.c:Get_Pwnam_internals(85) 
  Trying _Get_Pwnam(), username as given is PRODUCTION02$ 
[2010/02/28 20:51:52,  5] lib/username.c:Get_Pwnam_internals(104) 
  Checking combinations of 0 uppercase letters in production02$ 
[2010/02/28 20:51:52,  5] lib/username.c:Get_Pwnam_internals(110) 
  Get_Pwnam_internals didn't find user [PRODUCTION02$]! 
[2010/02/28 20:51:52,  3] passdb/pdb_interface.c:pdb_default_create_user(353) 
  pdb_default_create_user: failed to create a new user structure: NT_STATUS_NO_SUCH_USER 

Как объяснил zgen (здоровья ему на многие лета) (http://www.linux.org.ru/jump-message.jsp?msgid=4598921&cid=4603301), после добавления скриптом smbldap-useradd некоторой стандартной информации в LDAP, samba ищет эту запись и вносит дополнительные, samba.scheme-специфичные аттрибуты. Как раз второй этам у ней и не удаётся.

Думается, что smbldap-useradd добавляет запись в LDAP, следуя редиректу, который посылает клиента на provider-LDAP, а вот сама samba пытается найти эту запись уже на своём, customer-LDAP сервере. Но на неё ещё ничего реплицироваться не успело.

Делаю, чтобы и BDC использовал первичный LDAP-сервер: меняю значения в smb.conf passdb backend и в /etc/smbldap-tools/smbldap.conf.

Проблема остаётся. Ничего не понимаю.

В итоге пришлось сам клиентский комп везти в главный офис и там его добавлять в домен (В LDAP-то я бы её ручками добавил, но не знаю, что и где надо дописывать во всякие реестры windows, чтобы оно увидело, что машина - вот в этом домене).

Вопрос: следует ли мне настраивать во втором офисе контроллер домена как BDC или сделать 2 PDC с репликацией LDAP? Или делать репликацию provider-provider ? Что именно меняет запись domain master в smb.conf с «yes» на «no»?

winbind не используется - всё через pam_ldap & nss_ldap. getent passwd везде нормально отрабатывает.

PDC smb.conf http://pastebin.com/kGWYU43e

BDC smb.conf http://pastebin.com/tVxdYH8X

Debian lenny.

При попытке подключение windows-машины из сети с BDC не находит (эта машина) этого самого BDC. Т.е. широковещательные NetBios-запросы Domain Master Browser остаются безответными.

BDC smb.conf:

domain master = no preferred master = yes domain logons = yes

Хочется сабжа в гетерогенной сети и ещё хочется прояснить теоретические знания.
Какие протоколы используются для реализации сабжа в windows, unix? ntlm, kerberos (заменяет ли второй первого?)? Как обстоит дело с реализацией в клиентском ПО?

Если я хочу организовать ipsec-tunnel, то мне обязательно строить туннель (ipip, gre...) между двумя роутерами?
Если нет, то как мне одному роутеру сказать, что удалённая локальная сеть лежит именно за вот той машиной?

При попытке инициализации какого-либо соединения, соответствующего политикам получаю ошибку:

...
racoon: DEBUG: getsainfo pass #2
racoon: ERROR: failed to get sainfo.

path certificate "/etc/racoon/certs";

remote 1.2.3.4 {
    exchange_mode aggressive,main;
    my_identifier asn1dn;
    peers_identifier asn1dn;
    certificate_type x509 "core.crt" "core.key";
    ca_type x509 "ca-certificates.crt";
    peers_certfile x509 "branch.crt";

    proposal {
        encryption_algorithm aes;
        hash_algorithm sha1;
        authentication_method rsasig;
        dh_group 2;
    }   
}

sainfo {} отсутствует. Если я его опишу, то ipsec работает. Насколько я понял, он нужен для второй фазы, если приведённых в racoon.conf настроек недостаточно для согласования.

Делал всё по LARTC.

Хочу прикрутить к работающей системе dovecot как LDA. Чтобы ничего не случилось с уже имеющимися письмами, пока буду складывать в /var/log/mail_dovecote.

main.cf:

local_transport = dovecot
dovecot_destination_recipient_limit = 1

master.cf:

dovecot unix    -       n       n       -       -       pipe
 flags=DRhu user=mail:mail argv=/usr/lib/dovecot/deliver -f ${sender} -d ${recipient} -p /var/mail_dovecot/${user}

При отправке письма, postfix возвращает:

<username@examaple.org>: user unknown

markevichus@mail:~$ sudo /usr/lib/dovecot/authtest testuser
[sudo] password for markevichus: 
userdb: testuser
uid   : 3179
gid   : 513
user  : testuser
home  : /home/testuser
extra fields:
  system_groups_user=testuser

markevichus@mail:~$ ls -l /var/run/dovecot/auth-master 
srw------- 1 mail root 0 Feb 17 20:22 /var/run/dovecot/auth-master

В /var/log/mail.log:

Feb 17 20:22:46 mail postfix/pipe[32238]: B3DC31B44EA: to=<username@example.org>, relay=dovecot, delay=0.02, delays=0.01/0/0/0.01, dsn=5.1.1, status=bounced (user unknown

Не понимаю, в каком месте он смотрит наличие юзеров. Авторизация в системе завёрнута через ldap.

Возможно ли создать один сертификат для нескольких CN?
Например, smtp сервер имеет имя mx.example.org, но у него есть каноническое имя smtp, которое может использовать пользователь в своём MUA. И если он будет использовать целевое имя отличное от заданного в CN, то его MUA будет всё время выкидывать предупреждение.
А ещё есть imap.exmaple.org и не хочется для всех них создавать по сертификату.