Здравствуйте! Кто-нибудь юзал в работе связку Linux(Centos6) с ActiveDirectory через SASL?
Пробовал заводить всё это хозяйство через winbind, получалось, но всякие крутые перцы на разных форумах говорят, что winbind ущербен и лучше использовать SASL для интеграции..
Я толком не знаю в чём ущербность winbind, как по мне, то с winbind всё было просто, за исключением того, что после обновления ядра и перезапуска сервера, на шарах файловых ресурсов каждый раз мапились разные UIDы для пользователей и GIDы на директории, в следствии чего доступ пропадал..
Может быть как раз из-за этого, что не хранится статичный кэш..? Ну у меня так и не получилось разобраться с SASL.
Юзал вот эти статьи:
https://fedorahosted.org/sssd/wiki/Configuring sssd to authenticate with a Wi...

http://www.chriscowley.me.uk/blog/2013/12/16/integrating-rhel-with-active-dir...
Но ни какого эффекта не произошло.. Я так и не догнал, каким образом через этот SASL должны прокачиваться posix атрибуты..? Кто-нибудь может поделиться идеями, как всё это делается через SASL?

Здравствуйте! Подскажите люди добрые, как узнать, какое количество соединений на порт по умолчанию установлено на RedHat 6? Скажем, как можно увеличить количество соединений на 80 порт? Спасибо!

Здравствуйте! Подскажите пож-та если кто знает, каким-нибудь образом можно заставить SSH(или это не в нём дело) при коннекте к серверу писать о сроке истечения пароля?
В частности коннектюсь с виндовой машины, используя SecureCRT на RHEL6, ssh версии 2.
На всякий прилагаю конфиг:

#       $OpenBSD: sshd_config,v 1.80 2008/07/02 02:24:18 djm Exp $

# This is the sshd server system-wide configuration file.  See
# sshd_config(5) for more information.

# This sshd was compiled with PATH=/usr/local/bin:/bin:/usr/bin

# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented.  Uncommented options change a
# default value.

#Port 22
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress ::

# Disable legacy (protocol version 1) support in the server for new
# installations. In future the default will change to require explicit
# activation of protocol 1
Protocol 2

# HostKey for protocol version 1
#HostKey /etc/ssh/ssh_host_key
# HostKeys for protocol version 2
#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_dsa_key

# Lifetime and size of ephemeral version 1 server key
#KeyRegenerationInterval 1h
#ServerKeyBits 1024

# Logging
# obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
SyslogFacility AUTHPRIV
#LogLevel INFO

# Authentication:

#LoginGraceTime 2m
#PermitRootLogin yes
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10

#RSAAuthentication yes
#PubkeyAuthentication yes
#AuthorizedKeysFile     .ssh/authorized_keys
#AuthorizedKeysCommand none
#AuthorizedKeysCommandRunAs nobody

# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#RhostsRSAAuthentication no
# similar for protocol version 2
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# RhostsRSAAuthentication and HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes

# To disable tunneled clear text passwords, change to no here!
#PasswordAuthentication yes
#PermitEmptyPasswords no
PasswordAuthentication yes

# Change to no to disable s/key passwords
#ChallengeResponseAuthentication yes
ChallengeResponseAuthentication no

# Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosGetAFSToken no
#KerberosUseKuserok yes

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes
GSSAPICleanupCredentials yes
#GSSAPIStrictAcceptorCheck yes
#GSSAPIKeyExchange no

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
#UsePAM no

# Accept locale-related environment variables
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL LANGUAGE
AcceptEnv XMODIFIERS

#AllowAgentForwarding yes
#AllowTcpForwarding yes
#GatewayPorts no
#X11Forwarding no
X11Forwarding yes
#X11DisplayOffset 10
#X11UseLocalhost yes
#PrintMotd yes
#PrintLastLog yes
#TCPKeepAlive yes
#UseLogin no
#UsePrivilegeSeparation yes
#PermitUserEnvironment no
#Compression delayed
#ClientAliveInterval 0
#ClientAliveCountMax 3
#ShowPatchLevel no
#UseDNS yes
#PidFile /var/run/sshd.pid
#MaxStartups 10
#PermitTunnel no
#ChrootDirectory none

# no default banner path
#Banner none

# override default of no subsystems
Subsystem       sftp    /usr/libexec/openssh/sftp-server

# Example of overriding settings on a per-user basis
#Match User anoncvs
#       X11Forwarding no
#       AllowTcpForwarding no
#       ForceCommand cvs server
KerberosAuthentication no
PubkeyAuthentication yes
UsePAM yes
GSSAPIAuthentication yes
AuthorizedKeysCommand /usr/bin/sss_ssh_authorizedkeys

Доброго времени суток!
Люди добрые и знающие, у кого-нибудь был опыт совместной настройки таких продуктов как Free IPA + SAMBA на RHEL6/CentOS6 ?
Идея следующая, поднять Free IPA как единую точку автризации для всех учёток и серверных хостов под RHEL. А также через Free IPA раздавать доступ на SAMBA шары виндовым пользователям. Организовать так называемый single-sign-on, чтобы у пользователя была одна учетка и чтоб он мог через нее иметь доступ на линукс сервера и на самбовские шары через винду?
Вообще такое реально воплотить в жизнь? Или я чего-то нереального напридумывал?
Пробовал настраивать Kerberized CIFS по документации от RedHat https://access.redhat.com/site/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/cifs.html но ничего не вышло.. Т.е. получается учетки и в IPA и в SAMBA, что при смене пароля в IPA непозволяет изменения отобразить в SAMBA..
Версии пакетов:
ipa-server-3.0.0-26.el6_4.2.x86_64
samba-3.6.9-151.el6.x86_64
Ребят, может кто-нибудь поделиться опытом/знаниями по этой теме?
Спасибо!

Добрый день!
Помогите пож-та разобраться c NTP. Насколько я понял, синхронизировать время можно через ntpdate и ntpd.
ntpdate моментально выравнивает время, а вот с ntpd как-то не получается..
1. Можно ли как-нибудь ntpd заставить моментально выровнять время? Или по идее он этого делать не должен?
2. На основании чего ntpd выравнивает время?

Люди добрые и знающие, помогите разобраться с темой автоматического добавления хостов в зоны DNS через DHCP.
Сервер на RHEL6, часть клиентов тоже на RHEL6 и часть на винде.
Версии пакетов:
dhcp-4.1.1-34.P1.el6.x86_64
bind-9.8.2-0.17.rc1.el6_4.4.x86_64

Сгенирил ключ:

dnssec-keygen -a HMAC-MD5 -b 128 -n USER DHCP_UPDATER

Конфиги след. вида:

/etc/named.conf

key DHCP_UPDATER {
algorithm HMAC-MD5.SIG-ALG.REG.INT;
secret T1oCPFK0gBOt/aW1IOc5Fw==;
};

options {
listen-on port 53 { 192.168.1.1; };
listen-on-v6 port 53 { none; };
directory «/var/named»;
dump-file «/var/named/data/cache_dump.db»;
statistics-file «/var/named/data/named_stats.txt»;
memstatistics-file
«/var/named/data/named_mem_stats.txt»;
allow-query { any; };
recursion yes;

dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;

/* Path to ISC DLV key */
bindkeys-file «/etc/named.iscdlv.key»;

managed-keys-directory «/var/named/dynamic»;
};

logging {
channel default_debug {
file «data/named.run»;
severity dynamic;
};
};

zone «example.com» IN {
type master;
file «data/example.com»;
allow-update { key DHCP_UPDATER; };
};

zone «1.168.192.in-addr.arpa» IN {
type master;
file «data/1.168.192.in-addr.arpa»;
allow-update { key DHCP_UPDATER; };
};

include «/etc/rndc.key»;
include «/etc/named.rfc1912.zones»;

/etc/dhcp/dhcpd.conf

authoritative;
allow client-updates;
ddns-update-style interim;
ddns-updates on;

key DHCP_UPDATER {
algorithm HMAC-MD5.SIG-ALG.REG.INT;
secret T1oCPFK0gBOt/aW1IOc5Fw==;
};

zone example.com. {
primary 127.0.0.1;
key DHCP_UPDATER;
}
zone 1.168.192.in-addr.arpa. {
primary 127.0.0.1;
key DHCP_UPDATER;
}

subnet 192.168.1.0 netmask 255.255.255.0 {
range 192.168.1.140 192.168.1.150;
option routers 192.168.1.1;
option subnet-mask 255.255.255.0;
option broadcast-address 192.168.1.255;
option domain-name «example.com»;
option domain-name-servers 192.168.1.140;
option netbios-node-type 1;
default-lease-time 600;
max-lease-time 1200;
min-lease-time 200;
one-lease-per-client on;
option ip-forwarding off;
update-static-leases on;
ddns-domainname «example.com»;
}

Права на файлы следующие:

-rw-rw-r-- 1 named named 129 May 6 16:09 1.168.192.in-addr.arpa
-rw-rw-r-- 1 named named 54 May 6 16:09 Kdhcp_updater.+157+54700.key
-rw-rw-r-- 1 named named 165 May 6 16:09 Kdhcp_updater.+157+54700.private
-rw-rw-r-- 1 named named 1070 May 6 16:09 example.com

При подключении клиентов, leases выдаются. Но не появляеются файлы *.jnl и соответственно не вносятся изменения в файлы зон.. Подскажите пож-та в чём может проблема заключаться?

Перемещено beastie из general

Доброго времени суток! Появилась задача организации сервера единой точки входа для линуксовых юзеров и последующей миграцией туда же самба аккаунтов. Поднял сервер - RHEL6. На нём поднял openldap и в ldap интегрировал базу Kerberos (Коллеги сказали, что это крутая тема и с ней будет всё секъюрно). LDAPом управляю через phpldapadmin. Вопрос - можно ли как-нибудь избавиться от 2-ух кратного заведения аккаунтов (т.е. и в LDAP и Kerberos)? Сейчас приходится заводить учётку в KRB потом в LDAP (или наоборот) и пользователь авторизуется через KRB, а инфу (uid,gid) тянет с LDAP. Или может быть имеется инструмент уже готовый для таких целей по Линукс? Собственно, хотелось бы из PLA заводить учётку в LDAP и она автоматом попадала бы в KRB. Может кто-то уже сталкивался с такой темой?