Re: Servidor SAMBA + Estações Windows e LINU X
Senhores, Como a maioria do pessoal já sabe, o Samba não foi feito para clientes Linux ele foi projetado para clientes Windows, mas, mesmo assim eu montei um how-to de como se autentica o Samba PDC em um domínio Kerberos o que facilita bastante para os clientes Linux utilizarem o domínio do Samba PDC. Site: http://www.eduardosachs.org/mediawiki/ Eu sugiro que você comece a dar uma estudada no OpenAFS (ps.: ele também utiliza domínio Kerberos), eu ainda não implementei ele, mas pretendo futuramente, também existe a possíbilidade de usar o NFS, você pode utilizá-lo sem autenticação ou utilizar com a autenticação Kerberos, isso depende muito do cenário que você está montando, porém, eu já tive muitos problemas de queda do serviço NFS em distribuições diferentes ou até mesmo em versões diferentes eu não sei como anda o desenvolvimento desse serviço. Valeu! Eduardo Sachs - Suporte Intranetworks [EMAIL PROTECTED] Intranetworks Rua Marquês do Pombal 1710/805 Porto Alegre - RS - 90540-000 +55 51 3325-5700 Miguel Da Silva - Centro de Matemática escreveu: Tadeu Cruz escribió: Você pode tambem deixa o samba para estação Windows e usar o NFS para as maquinas linux, e fazer com que as estações linux se autentifique no LDAP ou ate mesmo no samba. Tem o http://www.openafs.org/ que tem cliente para Osx, Windows e Linux Boa sorte - -- [EMAIL PROTECTED] (31) 9976-3161 http://blog.tadeucruz.com Ou senão usar NIS+NFS para Linux. Dobradinha bem conhecida e confiável. Até. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: OpenLDAP - Password Crypt
Pois é, hoje estou usando MD5 e acho inseguro, mesmo somente o
admin da base LDAP tendo acesso aos atributos de senha.
Isso depende muito da sua definição de "seguro". :-)
Bom, caso for uma senha fraca, por sorte eu posso decifrar com
uma comparação por dicionário.
Eu sei que pode ser um pouco de viajem da minha parte, mas eu
estou tentando achar algo realmente seguro para armazenar as senhas,
estou dando uma estudada nessa parte de criptografia.
Eu nunca tinha tentado descriptografar uma senha MD5, mas, para
minha surpresa, eu consegui... :-(
Essa eu *realmente* gostaria de saber como foi feito.
MD5 é hash, isso quer dizer que ele foi desenhado pra não
ter retorno, ou seja, é *muito* difícil obter a palavra por trás
do hash, a menos que você esteja usando comparação por dicionário
ou brute-force, o que é ligeiramente diferente já que você não
obter a senha a partir do MD5 e sim através de comparações.
Eu viajei legal nisso!! Eu estava usando uma comparação por
dicionário para
descobrir a
senha, eu tinha feito alguns testes com senhas fracas, e depois que
você falou isso, eu testei com uma senha *mais* complexa e
realmente vi
que estava usando um dicionário! Desculpe a minha ignoracia :-(
Eu pensei em usar o HASH {SASL} para autenticar usando o HASH do
Kerberos (atributo k5key), assim sendo, fazendo um mecanismo de proxy
(userPassword -- saslauthd -- Kerberos -- k5key), eu já fiz isso
funcionar e funcionou muito bem, mas, eu lembrei que tem a senha do
Samba e que não tem como fazer um proxy igual ao userPassword, mas eu
acho que já ajuda UM pouquinho.
Tem sim, tem um overlay no LDAP pra sincronizar a senha
do kerberos e samba.
Na verdade, o Andrew Bartlett fez um patch para o Heimdal
Kerberos usar a senha do Samba (sambaNTPassword e sambaLMPassword)
quando o usuário tiver o objectClass do Samba, assim sendo, não preciso
do overlay. :-)
Esse overlay só vai *sincronizar* as senhas, ele não vai
dizer que o atributo sambaNTPassword e sambaLMPassword deve utilizar o
atributo k5key para a autenticação, diferente do mecanismo de
transporte do userPassword para o saslauthd (userPassword -
saslauthd).
Eu vou precisar fazer alguns testes de performace sobre esse
transporte, e sniffer para ver como é feito todo esse transporte de
senha.
Transporte é independente do hash usado. Você pode estar
usando o hash ROT13, o ideal é ter criptografia no transporte,
um item não afeta o outro, mas juntos eles aumentam a visão geral
de segurança.
Verdade, eu não tinha me dado conta.
Nesse caso, estou pensando **somente** no algoritmo.
Então a pergunta está mal colocada, os algoritmos de
hash são matemáticos, o MD5 é bem superior ao MD4, há
diferentes aspectos quando se lida com criptografia, pois os
algoritmos tem diferentes propósitos, itens como mecanismo
de transporte e tamanho de chave influenciam de forma direta
nos algoritmos e técnicas usadas para criptografar e/ou fazer
hash dos dados.
Hummm... entendido!
Eu vou fazer alguns testes com o {SHA} e verificar as compatibilidades.
Foi provado que é possível obter dois hashes MD5
iguais a partir de duas fontes diferentes, mas elas são
conjuntos específicos de dados e ainda não tem uso prático.
Por isso, muita gente foi pro SHA1, ainda assim, o espaço
é limitado e, portanto, é *teoricamente* possível encontrar
dois conjuntos diferentes que gerem o mesmo hash (ainda que
isso seja mais difícil), não é a toa que já há implementações
de SHA256 e SHA512, pra tornar as interseções ainda mais
difíceis de serem encontradas.
Muito interresante :-)
Abraço,
Abraços!
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: OpenLDAP - Password Crypt
Atenção para a pergunta valendo 300 mil reais. :-)
Pois é, hoje estou usando MD5 e acho inseguro, mesmo somente o
admin da base LDAP tendo acesso aos atributos de senha.
Eu nunca tinha tentado descriptografar uma senha MD5, mas, para
minha surpresa, eu consegui... :-(
A resposta é "depende". Algumas documentações recomendam
SSHA, em outros locais depende da biblioteca e da versão do LDAP,
há algumas nuances e isso não costuma ser um "padrão" amplamente
adotado/divulgado. Você vai ver que no passado (e em algumas RFCs)
o campo armazenava senhas em texto simples.
http://www.openldap.org/lists/openldap-devel/200203/msg00028.html
Eu pensei em usar o HASH {SASL} para autenticar usando o HASH do
Kerberos (atributo k5key), assim sendo, fazendo um mecanismo de proxy
(userPassword -- saslauthd -- Kerberos -- k5key), eu já fiz
isso funcionar e funcionou muito bem, mas, eu lembrei que tem a senha
do Samba e que não tem como fazer um proxy igual ao userPassword, mas
eu acho que já ajuda UM pouquinho.
Eu vou precisar fazer alguns testes de performace sobre esse
transporte, e sniffer para ver como é feito todo esse transporte de
senha.
Vejo seu cenário, compare os algoritmos e escolha. Se
você pensar somente no algoritmo, SHA *ainda* não apresentou
conflitos, ao contrário do MD5, mas é preciso verificar a
implementação do OpenLDAP destes algoritmos e, em especial,
verificar se outras ferramentas que manipular a base LDAP
suportam todos os tipos de HASH.
Nesse caso, estou pensando *somente* no algoritmo. Eu
vou fazer alguns testes com o {SHA} e verificar as compatibilidades.
Abraço,
Abraços!
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
OpenLDAP - Password Crypt
Senhores,
Qual é o hash mais indicado para o userPassword? {SHA}, {SSHA},
{MD5}, {SMD5} ou {CRYPT}? Motivos?
Valeu!
--
Eduardo Sachs - Suporte Intranetworks
[EMAIL PROTECTED]
Intranetworks
Rua Marquês do Pombal 1710/805
Porto Alegre - RS - 90540-000
+55 51 3325-5700
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Iptables + AD
Olhe esse software: http://www.nufw.org/ Eduardo Sachs - Suporte Intranetworks [EMAIL PROTECTED] Intranetworks Rua Marqus do Pombal 1710/805 Porto Alegre - RS - 90540-000 +55 51 3325-5700 .:: S.e.r.i.a.l ::.. escreveu: Ola, boa tarde, Ento eh assim, tenho verificado vrios produtos no mercado que faz as regras junto com o sistema SSO (Single sign on) aonde vc pode criar as regras no firewall liberando portas sendo a origem um ip, rede, ou at mesmo usurios autenticados, aonde o firewall obtem essa informao atravs do AD, utilizando o ticket do kerberos de qdo o usurio faz o logon em sua estao. Firewall que faz isso por exemplo, Sonicwall Pro2040 (firmware 4.0 ou superior) e ISA Server 2006. Gostaria de saber se existe a mesma possibilidade de fazer o mesmo com o iptables. Se eu no me engano existe um pacote que se chama Netcat, mas pelo que vi, ele no integra com o AD. Vlw [.]'s Serial -Original Message- From: Miguel Da Silva - Centro de Matemtica [mailto:[EMAIL PROTECTED]] Sent: quarta-feira, 21 de maio de 2008 14:46 To: DUP Subject: Re: Iptables + AD .:: S.e.r.i.a.l ::.. escribi: Bom dia amigos, Algum sabe se existe a possibilidade de integrar o Iptables com o AD, tipo uma autenticao com Kerberos (SSO) para criao de regras com autenticao? Vlw [.]'s Serial mailto:[EMAIL PROTECTED] Iptables + AD?!?!?! Como assim "regras de autenticao". Explica um pouco mais porque no deu para entender. At. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Gerenciamento de pacotes
Pessoal, Alguem conhece alguma ferramente para gerenciar os pacotes de varios servidores ao mesmo tempo? (tipo o Red Hat Networks) Vou dar um exemplo, eu tenho mais ou menos 140 servidores espalhados por ai, porém, eu não tenho idéia de quais servidores estão desatualizados, eu queria fazer um report de todos os servidores desatualizados e quais pacotes devem ser atualizados. Eu estou pensando em fazer uma ferramenta para fazer isso, antes isso, eu queria saber se alguêm conhece alguma solução para esse caso. Obrigado! -- Eduardo Sachs - Suporte Intranetworks [EMAIL PROTECTED] Intranetworks Rua Marquês do Pombal 1710/805 Porto Alegre - RS - 90540-000 +55 51 3325-5700 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Samba - ACL Posix vs. Windows Explorer
Pessoal, Existe a possibilidade de eu editar as permissões POSIX ACLs de um compartilhamento Samba no Windows Explorer? Muito obrigado! -- Eduardo Sachs - Suporte Intranetworks [EMAIL PROTECTED] Intranetworks Rua Marquês do Pombal 1710/805 Porto Alegre - RS - 90540-000 +55 51 3325-5700 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Recover Bzip2
Isso tá errado, tar cat em 3 arquivo não torna eles um tar
e não compacta eles.
Estranho, eu sempre juntei com o cat para formar o
tar.bz2.
Como seria o modo correto de juntar os arquivos do split?
Como exatamente você separou os arquivos?
Mostre o processo que você usou para criar os 3 arquivos,
daí talvez fique mais fácil te ajudar a encontrar uma forma de
recuperá-los.
O processo para compactar em modo split que eu usei foi o
seguinte:
# tar -jcf - -T /etc/arquivobackup |split -b 2040m -
/home/backups/arquivo-${data}_
O arquivo /etc/arquivobackup é a lista dos diretórios que
entra no backup.
Muito obrigado!
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Recover Bzip2
Pessoal, Eu estou precisando recuperar alguns arquivos que estão no formato bzip2. Porém, esses arquivos foram gerados em modo split, isso quer dizer que a cada 2GB o arquivo se separa um do outro. Os arquivos estão da seguinte maneira: arquivo_aa - 1,4GB incompleto arquivo_ab - 2.0GB completo arquivo_ac - 2.0GB completo Eu usei o cat para juntar todos os arquivos, exemplo: # cat arquivo_aa arquivo_ab arquivo_ac arquivo.tar.bz2 Porém, eu consegui descomprimir somente até o arquivo_aa pois ele está com 1,4GB e incompleto, e depois disso o tar pede para rodar o famoso bzip2recover. Eu até tentei usar o bzip2recover, mas não tive sucesso. Eu queria pelo menos recuperar o arquivo_ab e o arquivo_ac, teria como recuperar esses 2 ultimos arquivos sendo que o primeiro está corrompido? Eu dependo do arquivo_aa para recuperar o arquivo_ab e arquivo_ac? Muito obrigado! -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: getent listando duas vezes o arquivo consultado
Felipe, Já me intrometendo no assunto. É preciso colocar os usuários do sistema operacional no base LDAP? Valeu! Eduardo Sachs - Suporte Intranetworks [EMAIL PROTECTED] Intranetworks Rua Marquês do Pombal 1710/805 Porto Alegre - RS - 90540-000 +55 51 3325-5700 Felipe Augusto van de Wiel (faw) escreveu: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 On 28-12-2007 10:34, Pedro Debian wrote: Felipe Augusto van de Wiel (faw) escreveu: On 26-12-2007 12:03, Pedro Debian wrote: Olá pessoal, Um dos meus servidores está com um comportamento um tanto quanto estranho. Quando executo o "getent passwd" ele lista o arquivo duas vezes na tela. Neste servidor também roda o ldap. Pensei que poderia ter influência, mas mesmo desativando o ldap, tirando as referencias os nsswitch.conf e desistalando o libnss-ldap e libpam-ldap, este comportamento não cessou. Alguém sabe me explicar o motivo e como resolver o caso? Você tem nscd instalado e em execução? Tenho sim, está em funcionamento e em execução. Tem algum outro motivo que poderia levar a isso? Pois, apenas os usuários locais estão apresentando este problema, os usuários da base de dados LDAP são listados corretamente. Se você desligar o nscd o problema pára? Você por acaso injetou as contas de sistema no LDAP? Abraço, - -- Felipe Augusto van de Wiel (faw) "Debian. Freedom to code. Code to freedom!" -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFHdSpHCjAO0JDlykYRArWyAJ9Jmmub6RQY4tkZ4GzY5OHqpmwsMgCcCBcd I2LNOjlNCEpYDkD1vpTJDDk= =OYrR -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
LDAP - Backup database
Pessoal, Eu posso fazer o backup da base LDAP usando o slapcat com o serviço slapd rodando? Ou, eu devo parar o serviço slapd para fazer o backup da base LDAP com o slapcat? Valeu! -- Eduardo Sachs - Suporte Intranetworks [EMAIL PROTECTED] Intranetworks Rua Marquês do Pombal 1710/805 Porto Alegre - RS - 90540-000 +55 51 3325-5700 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP - Backup database
Boa Eu devo ler mais o man! Eduardo Sachs - Suporte Intranetworks [EMAIL PROTECTED] Intranetworks Rua Marquês do Pombal 1710/805 Porto Alegre - RS - 90540-000 +55 51 3325-5700 Felipe Augusto van de Wiel (faw) escreveu: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 On 27-12-2007 15:15, Claudio Rocha de Jesus wrote: --- Eduardo - Suporte Intranetworks escreveu: Pessoal, Eu posso fazer o backup da base LDAP usando o slapcat com o serviço slapd rodando? Ou, eu devo parar o serviço slapd para fazer o backup da base LDAP com o slapcat? Você pode usar o slapcat com o ldap no ar, mas é sempre aconselhável para-lo quando for fazer backup, para evitar qualquer tipo de inconsistência nas informações. Da página de manual do slapcat: LIMITATIONS In general, your slapd(8) should not be running (at least, not in read- write mode) when you do this to ensure consistency of the database. Em outras palavras: pare o slapd. Abraço, - -- Felipe Augusto van de Wiel (faw) "Debian. Freedom to code. Code to freedom!" -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFHc+KgCjAO0JDlykYRAn8aAJwOSnuqd//FnEud5vhSYitlTT1Q/QCdFu/l yDWVzIYj6z5NJzIaww4RIFY= =uDxg -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Samba - Troca de senha nos clientes Linux
Caros, Eu configurei o Samba com o Winbind, e o PAM com Winbind. O tutorial que eu segui foi esse: http://www.esdebian.org/article.php/20070827021254449 Na verdade, esse tutorial para adicionar o Linux ao Active Directory, mas eu utilizei somente a configurao do Winbind que tem no smb.conf e a configurao do PAM. Valeu! Eduardo Sachs - Suporte Intranetworks [EMAIL PROTECTED] Intranetworks Rua Marqus do Pombal 1710/805 Porto Alegre - RS - 90540-000 +55 51 3325-5700 Claudio Rocha de Jesus escreveu: Como voc resolveu, somente para que fique documentada a soluo para outros. Grato. --- Eduardo - Suporte Intranetworks [EMAIL PROTECTED] escreveu: Valeu cara, eu j consegui resolver o caso! Muito obrigado! Eduardo Sachs - Suporte Intranetworks [EMAIL PROTECTED] Intranetworks Rua Marqus do Pombal 1710/805 Porto Alegre - RS - 90540-000 +55 51 3325-5700 Claudio Rocha de Jesus escreveu: Minha mquina esta conectada na rede samba e se autentica no ldap. Mas at hoje no precisei alterar a senha ento no sei como esta isso. Mas da uma conferida nos arquivos que configurei: --- Eduardo - Suporte Intranetworks [EMAIL PROTECTED] escreveu: - Vocecirc; tem ldap configurado junto com o samba? O serviccedil;o do OpenLDAP estaacute; rodando no mesmo servidor do Samba PDC. Na estaccedil;atilde;o cliente Linux, configurei o cliente LDAP (/etc/ldap.confe /etc/ldap/ldap.conf) e o nsswitch estaacute; como passwd, group e shadowcomo "files ldap", e obviamento eu coloquei a estaccedil;atilde;o nodominio do PDC, "net rpc join". Para os usuaacute;rios se logarem nas estaccedil;otilde;es, o PAM busca os usuaacute;riosno LDAP. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] -- Claudio Rocha de Jesus Analista de Suporte Tcnico [EMAIL PROTECTED] Linux user number 433834 /*Sem educao no h liberdade.*/ -- Abra sua conta no Yahoo! Mail, o nico sem limite de espao para armazenamento! http://br.mail.yahoo.com/ -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] -- Claudio Rocha de Jesus Analista de Suporte Tcnico [EMAIL PROTECTED] Linux user number 433834 /*Sem educao no h liberdade.*/ -- Abra sua conta no Yahoo! Mail, o nico sem limite de espao para armazenamento! http://br.mail.yahoo.com/ -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Samba - Troca de senha nos clientes Linux
Valeu cara, eu já consegui resolver o caso! Muito obrigado! Eduardo Sachs - Suporte Intranetworks [EMAIL PROTECTED] Intranetworks Rua Marquês do Pombal 1710/805 Porto Alegre - RS - 90540-000 +55 51 3325-5700 Claudio Rocha de Jesus escreveu: Minha máquina esta conectada na rede samba e se autentica no ldap. Mas até hoje não precisei alterar a senha então não sei como esta isso. Mas da uma conferida nos arquivos que configurei: --- Eduardo - Suporte Intranetworks [EMAIL PROTECTED] escreveu: - Vocecirc; tem ldap configurado junto com o samba? O serviccedil;o do OpenLDAP estaacute; rodando no mesmo servidor do Samba PDC. Na estaccedil;atilde;o cliente Linux, configurei o cliente LDAP (/etc/ldap.confe /etc/ldap/ldap.conf) e o nsswitch estaacute; como passwd, group e shadowcomo files ldap, e obviamento eu coloquei a estaccedil;atilde;o nodominio do PDC, net rpc join. Para os usuaacute;rios se logarem nas estaccedil;otilde;es, o PAM busca os usuaacute;riosno LDAP. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- Claudio Rocha de Jesus Analista de Suporte Técnico [EMAIL PROTECTED] Linux user number 433834 /*Sem educação não há liberdade.*/ -- Abra sua conta no Yahoo! Mail, o único sem limite de espaço para armazenamento! http://br.mail.yahoo.com/ -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Samba - Troca de senha nos clientes Linux
Pessoal, Eu tenho um Samba PDC com LDAP, nos clientes Windows XP eu consigo trocar a senha do usuário, ele muda corretamente nos obejtos sambaLMPassword e sambaNTPassword do LDAP. Porém eu tenho algumas estações Linux que eu adicionei no dominio PDC através do comando net rpc join, e eu não estou conseguindo alterar a senha do usuário através do comando smbpasswd ou passwd, eu tentei usar o PAM para fazer a troca de senha, mas não consegui fazer funcionar. Eu só preciso alterar a senha do Samba (sambaLMPassword e sambaNTPassword), a senha do LDAP (userPassword) não precisa ser alterada, mas isso não vem ao caso. Eu estou usando Debian Etch no servidor e nas estações, alguêm poderia me ajudar? Muito obrigado! -- Eduardo Sachs - Suporte Intranetworks [EMAIL PROTECTED] Intranetworks Rua Marquês do Pombal 1710/805 Porto Alegre - RS - 90540-000 +55 51 3325-5700 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Samba - Troca de senha nos clientes Linux
Opa! No smb.conf: unix password sync = yes passwd program = /usr/sbin/smbldap-passwd -u %u passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n Isto deve manter o teu passwd sincronizado com o samba que vai estar com o ldap. Abraço. t+. Joel, Coloquei os parametros que você falou, mas mesmo assim não funcionou, mas e a configuração do PAM no Linux cliente, como fica? Que eu saiba é preciso ter o PAM com o modulo pam_smbpass.so configurado. Pelo que eu entendi o PAM com esse modulo vai lá no Samba e troca a senha. Olhe isso: $ passwd Password: passwd : Authentication token manipulation error passwd: password unchanged $ smbpasswd Old SMB password: New SMB password: Retype new SMB password: machine 127.0.0.1 rejected the password change: Error was : No such user. Failed to change password for sachs Caso eu coloque uma senha invalida no Old SMB password, ele me mostra isso: $ smbpasswd Old SMB password: New SMB password: Retype new SMB password: Could not connect to machine 127.0.0.1: NT_STATUS_LOGON_FAILURE Failed to change password for sachs E no primeiro smbpasswd eu coloquei a senha correta no Old SMB password e diz que o usuário não existe (No such user). Eu acho que nessa primeira tentativa ele está procurando o arquivo smbpasswd no filesystem do Linux cliente, e não achou o usuário. E se eu coloco uma senha invalida no Old SMB password me diz esse erro de LOGON (NT_STATUS_LOGON_FAILURE). Valeu! -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Samba - Troca de senha nos clientes Linux
Vc tentou usar o smbldap-tools ? Tente usar o smbldap-usermode -P nomedousuario. Boa sorte Pedro Pedro, Eu estou querendo alterar a senha do usuário apartir de uma estação Linux, pelo servidor PDC eu consigo usar o smbpasswd, smbldap-passwd ou smbldap-mod para a alteração de senha, mas imagine a seguinte situação, eu tenho 100 estações Linux, imagine esses 100 usuários pedindo para eu alterar a senha apartir do servidor, seria uma coisa muito ruim. Eu preciso que pela estação Linux eles possam usar o comando passwd para a alteração de senha, entendeu? Eu sei que tem o libpam_smbpass.so para alterar a senha do Samba apartir do PAM, mas eu não consegui usar esse modulo (burrice minha), eu não sei se precisa colocar algum paramentro no smb.conf do servidor ou do cliente. Valeu! -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Samba - Troca de senha nos clientes Linux
Voc tem ldap configurado junto com o samba? O servio do OpenLDAP est rodando no mesmo servidor do Samba PDC. Na estao cliente Linux, configurei o cliente LDAP (/etc/ldap.conf e /etc/ldap/ldap.conf) e o nsswitch est como passwd, group e shadow como "files ldap", e obviamento eu coloquei a estao no dominio do PDC, "net rpc join". Para os usurios se logarem nas estaes, o PAM busca os usurios no LDAP. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Samba 4
Depende da situação. Já usei muito tempo Poledit, hoje não uso mais, padrões de imagens, chaves de registro e outros sistemas funcionam tão bem quanto. :) Já que você não usa o Poledit, o que você está usando para fazer as regras? Valeu! -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Samba 4
Felipe Augusto van de Wiel (faw) escreveu: Não administro servidores AD (e só por isso eu já seria feliz) e também efetuo controle das estações, e sou feliz. :) Bom, você usa o poledit do NT4 né? -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Sobrecarga - Samba/LDAP/NSCD
Olá Felipe, Ok, dependendo do uso dessa base, você pode mudar alguns índices, mas isso já seria a parte de ajuste fino. Eu vou dar uma estudada nos indices, e ver o que eu posso melhorar. Se você achar isso me mande uma cópia. :-) O DB_CONFIG tem alguns comentários internos (no Debian) e na documentação do BDB e do OpenLDAP, tem que garimpar, dependendo do número de clientes e acessos. No seu caso, não deveria precisar de configurações especiais (com relação ao DB_CONFIG do Debian) e imaginando que você tem 200 usuários. O DB_CONFIG é bem obscuro, eu vou procurar algumas informações sobre ele no Google e no Debian. Você usa o DB_CONFIG? Se usa, para quantos usuários? H... não tem checkpoint? Eu posso colocar o checkpoint. Muitos usuários e grupos é subjetivo, estamos falando de mais de 2000 nós? Quanto mais novo o OpenLDAP melhor, as versões mais antigas (2.0.x) tinham indexação LDBM melhor que BDB, talvez isso resolva, até 300-500 nós na base, você deveria ter um desempenho melhor com LDBM (em versões mais antigas). Essa seria a minha arvore resumida: DC=empresa,DC=com,DC=br DC=Groups,DC=empresa,DC=com,DC=br - com 616 entradas. DC=Users,DC=empresa,DC=com,DC=br - com 1582 entradas. DC=Computers,DC=empresa,DC=com,DC=br - com 626 entradas. DC=Contacts,DC=empresa,DC=com,DC=br- com 1035 entradas. Eu já estou usando como backend o LDBM. H... entendo... há um projeto envolvido e provavelmente há custos, isso me cheira a erro de escopo. ;) É... isso não seria uma boa nesse momento. Por que o NSCD é, por natureza, ruim. O cache dele vez por outra (com certa freqüência) conflita com as informações mais atualizadas e atrapalha alguns detalhes de configuração e deploy. Em versões mais novas do etch, a libnss-ldap configurada corretamente é o bastante. Se estivermos falando de um número assustador de nós (10k-200k), o nscd realmente pode ser de grande ajuda no sentido de aliviar a carga, mas ele também precisará de ajustes finos (e do código mais recente e estável possível). O que você quis dizer com deploy? Eu vou ver a configuração do nsswitch no Red Hat. Poder você pode, se eu vou encontrar algo sem saber as versões e sem ver o DIT é outra história. :-) Uma alternativa é por a culpa no Red Hat e migrar tudo para Debian. ;) Hehehe Abraço, Abraços! -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Sobrecarga - Samba/LDAP/NSCD
Pessoal, Primeiramente, desculpe pelo tamanho do email, pois eu quis especificar o maximo possivel. Eu não estou usando Debian nesse servidor, mas mesmo assim gostaria de uma ajuda. Estou com alguns problemas de sobrecarga no Samba/LDAP, vou explicar como funciona a minha infra-estrutura. Tenho os seguintes servidores: - PDC/Samba/WINS com LDAP Master com NSCD. - BDC/Samba com LDAP Slave com NSCD. - Member/Samba com LDAP slave com NSCD. Cada servidor tem o seu LDAP próprio para consultar. Eu tenho o Member/Samba que tem mais de 200 usuários acessando. Quando o Member/Samba usa como 'password server' o PDC, o PDC tem picos de sobrecarga no tempo de 2 em 2 horas, 24hrs por dia, mas na noite diminui um pouco a sobrecarga (termino de expediente), e quando eu seto o 'password server' para ser o BDC, acontece a mesma coisa, mas dai a sobrecarga passa para o BDC. Quando o servidor (PDC ou BDC) está com a sobrecarga, eu percebi o seguinte, no TOP: 11386 ldap 25 0 13664 12M 920 S82.7 1.2 852:14 1 /usr/sbin/slapd No PDC tem mais processos do NSCD do que no BDC, dai não depende qual 'password server' está configurado no Member/Samba. [EMAIL PROTECTED]:~# pidof nscd 22954 22953 22952 22951 22948 22947 22946 22945 22944 [EMAIL PROTECTED]:~# [EMAIL PROTECTED] pidof nscd 32304 [EMAIL PROTECTED] Quando a sobrecarga está no PDC acontece o seguinte, o NSCD fica com o processo muito alto: [EMAIL PROTECTED]:~# top 5574 nscd 25 0 1988 1528 1200 R105.9 0.1 1260m 0 /usr/sbin/nscd Quando a sobrecarga está no BDC, o NSCD não sobrecarrega. Informações sobre o servidor: PDC: Red Hat Enterprise Linux AS release 3 (Taroon Update 4) samba-3.0.9-1.3E.13.2 openldap-2.0.27-23 nscd-2.3.2-95.50 Hardware: Dell Poweredge SC 420 2 x 80 GB SATA 1GB de Memória Intel(R) Pentium(R) 4 CPU 3.00GHz -- BDC: Red Hat Enterprise Linux AS release 3 (Taroon Update 8) samba-3.0.9-1.3E.13.2 nscd-2.3.2-95.50 openldap-2.0.27-23 Hardware: Dell Poweredge 1750 36 GB SCSI 1GB de Memória Intel(R) Xeon(TM) CPU 2.40GHz -- Member: Red Hat Enterprise Linux AS release 3 (Taroon Update 5) samba-3.0.9-1.3E.10 openldap-2.0.27-23 nscd-2.3.2-95.50 Hardware: Dell Poweredge 2650 2 x 72 GB SCSI 6GB de Memória 3 CPUs Intel(R) Xeon(TM) MP CPU 2.50GHz Segue em anexo o grafico do PDC/BDC/Member no MRTG e tambem os arquivos de configuração (smb.conf, slapd.conf e nscd.conf) de cada server. Muito obrigado! -- Eduardo Sachs - Suporte Intranetworks [EMAIL PROTECTED] Intranetworks Rua Marquês do Pombal 1710/805 Porto Alegre - RS - 90540-000 +55 51 3325-5700 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
