В Втр, 23/12/2008 в 14:31 +0300, Pavel Wolneykien пишет: > Alexey Rusakov <[email protected]> wrote: > > И снова появилась работа для НИИТП > > Мой комментарий к замечаниям заказчика. Давайте в office-server@, наверное.
> "ПК ОБИ, установленный по данной методике, не способен выполнять свои
> основные функции, т.е. на правильный ввод пароля пользователя
> приходит отрицательный ответ ОС."
>
> Конечно, было бы здорово посмотреть логи, но думаю что они банально
> не смогли настроить pam_ldap и nss_ldap.
Ну да, скорее всего.
> Об этом можно догадаться по нижеследующему замечанию:
>
> "Требуется произвести следующие доработки:
> - переработать методику установки ПК ОБИ,
> - обновить файлы конфигурации на установочных дисках;
> - установка ПК ОБИ должна производится программой –
> инсталлятором."
>
> Выходит что-то не так в наших конфигурационных файлах? Иначе для
> чего их обновлять? А переработка методики потребуется, естественно,
> если мы напишем инсталлятор. Вопрос только в том, что это должна быть
> за программа. Мне сейчас представляется что им необходим генератор
> конфигурационных файлов pam_ldap.conf, nss_ldap.conf и
> nsswitch.conf. На мой взгляд было бы здорово объединить установку
> дополнительных пакетов (pam_ldap и nss_ldap) и их настройку в одну
> операцию, как это часто происходит в Debian. В Debian и Ubuntu при
> установке некоторых пакетов обычная работа apt прерывается и программа
> переходит в режим диалога, задавая "наводящие" вопросы по поводу
> конфигурации пакета. Причём в консоли диалог текстовый (curses), а в
> Synaptics -- графический (GTK). Кто-нибудь знает как это сделано и
> можно ли сделать такое нам в Альте?
Нельзя. У нас нет dpkg reconfigure. Увы, донастройку после установки
придётся делать/вызывать ручками.
> "проверка целостности должна проводится на всех машинах комплекса
> (проводится только на ЭВМ серверов безопасности)"
>
> Интересно, что именно помешало запустить alterator-osec там, где им
> было нужно? Ведь мы обсуждали этот вопрос во время первого визита в
> НИИТП и все согласились, что делать распределённую проверку не нужно,
> достаточно, чтобы можно было вручную запускать osec на каждой ЭВМ,
> отвечающей за безопасность. Похоже, что с ними ни о чём нельзя
> договариваться на словах...
Речь не о распределённой проверке, а о том, чтобы на десктопах её тоже
можно было делать.
> "неясен смысл функции "пароль администратора" – что это за пароль"
>
> Имя (DN) и пароль администратора позволяют получить полный доступ к
> БД по протоколу LDAP. Для совершения некоторых операций, например
> репликации, эта информация нужна самому серверу LDAP.
Видимо, эту фразу нужно вписать в документацию. ber...@?
> "часть сообщений аудита формируется на английском языке (например,
> "Password changed…""
>
> Виноват, проглядел. Но я думал, что мы это пошлём просто как bugfix.
Да.
> "при ситуации, когда первичные login и password введены верно,
> вторичный login введен верно, вторичный password –
> ошибочный, в протоколе аудита появляется сообщение "неверный ввод пароля",
> оператор – "unknown", хотя оператор свой login указал верно."
>
> Тоже ведь обсуждали этот вопрос: я им объяснил, что PAM не пишет в
> лог имя пользователя при ошибочной аутентификации, а переделывать --
> трудоёмкая задача. Они вроде бы тогда решили, что переживут. Выходит,
> что нет?
Переживут, я думаю. Попробуем продавить по этой части.
> "функция сетевого экрана не работает – (доступ по HTTPS открыт
> всегда)"
>
> Здесь возникает очевидный вопрос: порт 443 нельзя закрыть средствами
> alterator-firewall или они просто не пытались этого сделать?
А что написано в руководстве об этом?
> "неверно работает фильтр в аудите безопасности (при выборе типа
> сообщений для задания типа фильтрации присутствует по два
> одинаковых типа"
>
> Это тоже очевидная бага с нашей стороны...
Угу.
> "при вводе неразрешенных символов в режиме редактирования
> пользователей или списка ЭВМ, окно отображения характеристик
> интерфейса переключается на английский язык"
>
> Странно как. Это похоже на ошибку в Альтераторе.
Похоже. Увы, inger@ и slazav@ сейчас в отпуске, и зафиксить это
по-быстрому не получится. Придётся отложить до следующего года...
> "в документации не описаны методы внедрения сообщений в журнал Аудита
> безопасности о событиях из программ собственной разработки"
>
> Я пользовался logger (man logger). Им, наверное, нужен #include
> <syslog.h> и man syslog.
Я спросил их насчёт того, в каком виде они хотят эту документацию. Ждём
ответа.
> "в п. 4.2.5 руководства системного программиста (редактирование
> учетных записей) описать, как пользователи могут самостоятельно
> вводить себя в группу и искдючать из нее"
>
> Думаю что всё дело в поле "пароль группы" в
> alterator-groups-ldap. Когда мы это обсуждали в последний раз, то
> решили убрать пароль оттуда. Так что вопрос, наверное, снят.
>
> "в п. 4.4.1 РСП (настройка сервера безопасности) указать типовые общие
> настройки, необходимые для функционирования системы ОБИ, а также
> в пункте "настройки TLS" описать, откуда брать данные о сертификате
> сервера, имя и путь к файлу с секретным ключом"
>
> Произвольное место. Куда положат, оттуда пусть и берут. Максимум, что
> мы можем сделать, это порекомендовать им такое место...
Это и нужно.
> В конфигурационных файлах по умолчанию указано
> /etc/openldap/ssl/{ca,server}.pem.
>
> "относительно "УЦ" – удостоверяющих центров, указать, как пользователю
> получить сертификат подлинности"
>
> Лучше всего, конечно, покупать такие сертификаты у компании ООО
> "Альт-Линукс". Причём именно пользователям, каждому по отдельности.
> А если серьёзно, то для локальной сети сертификат нужно изготовить
> самому (man openssl). Лично я пользовался программой tinyca.
Про то, что сертификат можно изготовить самому либо как получить
сертификат, нужно тоже написать в доках, хотя бы пару абзацев.
> "при описании настроек домена LDAP описать, что изменится в работе
> комплекса при задании пароля домена"
>
> Думаю, что он начнёт работать тогда.
:)
> "при настройке домена LDAP и конфигурировании ведомого режима
> требуется указать, какой пароль можно указывать в разделе
> "Конфигурация ведомого режима", какие настройки в этом случае должны
> быть осуществлены для ведущего сервера"
>
> Пароль такой-же как "пароль администратора домена". Имя тоже. Его
> же.
bertis@, добавь?
--
Alexey "Ktirf" Rusakov
Head of Systems development dept.
ALT Linux Technology
signature.asc
Description: Эта часть сообщения подписана цифровой подписью
_______________________________________________ office-server mailing list [email protected] https://lists.altlinux.org/mailman/listinfo/office-server
