Re: LDAP
On 04/14/18 16:00, Артём Н. wrote: > > - Оправданно ли вообще использование LDAP в таком случае? LDAP удобная вещь, во многих случаях, твой похож на удобный > - Как настроить его так, чтобы был TLS (в перспективе будет торчать "наружу") > с самоподписанным > сертификатом? > - Где хранить .ldif файлы? > - Нужно ли делать /etc/ldap/ldap.conf или, как в руководстве, нужно "add > attributes to cn=config"? > - Лучше запускать LDAP сервер в контейнере или устанавливать в систему? Попробуй FreeIPA, это разработка РедХата, попытка сделать систему управления как Active Directory. По сути 389/bind/kerberos/dogtag обвязанные питоном и с веб интерфейсом ( или REST + CLI, как хочешь). Я к нему ещё FreeRadius прикручивал. достаточно хорошо скрывает от админа детали реализации и связки компонентов, так чтобы "работало и не надо год разбираться" есть: - в Debian, только не уверен насколько хорошо портирован, изначально делался для RH ( я его гоняю в CentOS) - в контейнере: https://hub.docker.com/r/freeipa/freeipa-server/
Re: SAS hotswap и баг
On 04/08/18 04:37, Артём Н. wrote: > Вытащил диск, вставил на место, но в /dev его не увидел. > Зато увидел вот это в dmesg: > а ты просто взял и вытащил диск? он был смонтирован? из системы его удалял, перед тем как вытащить? echo 1 > /sys/block/sda/device/delete не пробовал пересканировать шину после того как вставил обратно? echo "- - -" >/sys/class/scsi_host/host/scan не уверен, насколько набор команд актуален современным ядрам, давно с дисками не возился.
Re: LDAP
> On 15/04/18 04:05 AM, Коротаев Руслан wrote: >> Да, аутентификация по сертификату есть, если вы купите у своего >> провайдера белый IP-адрес, то вам не нужны самоподписанные сертификаты, >> можно использовать Let's Encrypt и разместить RADIUS-сервер на VPS. > > Вот тут добавлю, Let's Encrypt можно получить для динамического адреса > используя сервис аля dyndns. > Вот хотелось поподробнее про Let's Encrypt. Эта идея сначала была, но загнулась, и теперь мои сертификаты самоподписанные. Я так понял, этот сервис подписывает сертификат, созданный на внешнее доменное имя?
Re: LDAP
15.04.2018 17:15, Коротаев Руслан пишет: > В сообщении от [Вс 2018-04-15 16:31 +0300] > Артём Н.пишет: > >> 1. Это вносит проблемы с безопасностью. >> 2. "Нормальным людям" пока ещё далеко до этого: где я, и где IPv6? >> >> Я статью почитал, там какая-то сильно передовая маргинальщина: IPv6, >> новый файрволл, TAYGA и NAS64. Если я с этим сейчас буду разбираться, >> мои проекты встанут на год, и меня проклянут. В текущем варианте, я >> просто хочу "чтобы работало", заниматься исследованиями новых сетевых >> технологий, пока времени нет. > > Согласен, у вас выверенная, хорошо аргументированная позиция, здесь не > поспоришь. > Ну да, сарказм уместен. Но, если серьёзно, во-первых, я предполагаю, что выловлю больше проблем с технологией, которая от меня далека, чем с тем, что есть сейчас (к тому же, в текущем варианте работает, только LDAP остался и пробросы). Во-вторых, там реально много неисследованных проблем с безопасностью и не только. Мне до IPv6 пока далеко, это не решение моей текущей задачи, а отдельная сложная тема. >> А, в смысле точка ему выдаёт IP? > > … ну, да, без IP-адреса интернет работать не может. Я сейчас ещё раз > крепко подумал и решил — у вас действительно самый оптимальный, рабочий > вариант. Он самодостаточен, что-либо менять, только портить. > Я понял, просто у меня возникает недопонимание некоторых моментов. Каждый раз точка будет выдавать IP, а когда я захочу отозвать доступ? А если некто займётся спуфингом (IP подделать не так уж сложно, как кажется, кроме того есть и другие варианты, ещё более инвазивные)? А что будет, когда пользователь закончит работу, но выданный ему "внутри" IP ещё останется? Как вообще настраивать файрволл, в таком случае?
Re: [RFR] po://apt/po/ru.po
> > msgid "Duplicate conf file %s/%s" > > msgstr "Повторно указан файл настройки %s/%s" > > > Он точно "указан" или просто есть дубликат файла? Эта ошибка возникает при добавлении в хеш-таблицу файла, который там уже есть. С другой стороны, это значит, что произошла коллизия между конфигурационными файлами разных пакетов, так что можно считать и дубликатом. Как предложите перевести? Может так- В системе уже имеется файл настройки %s/%s -- > msgid "Insufficient information available to perform this download securely" > msgstr "Недостаточно информации для безопасной загрузки" > > msgstr "Недостаточно информации для обеспечения безопасной загрузки" "Обеспечение загрузки" звучит странновато. Возможно поменять на "для выполнения загрузки" - опять же, посмотрим, что скажут остальные. Согласна-для выполнения безопасной загрузки --- > msgid "" > "An error occurred during the signature verification. The repository is not > " > "updated and the previous index files will be used. GPG error: %s: %s" > msgstr "" > "Произошла ошибка при проверке подписи. Репозиторий не обновлён, и будут " > "использованы предыдущие индексные файлы. Ошибка GPG: %s: %s" > > > "При проверке подписи произошла ошибка. Поэтому обновление репозитория " > "не выполнено. Будут использоваться предыдущие индексные файлы." > "Ошибка GPG: %s: %s" Если честно, не вижу преимуществ вашего варианта над исходным. Перефразирование ради перефразирования? Нет - при прочитывании текста руки сами правят механически- на автомате- то есть мысль о том, чтобы создать "сибурды" отсутствует. Просто сказывается опыт предыдущего чтения - любитель чтения :-))) и руки (на клавиатуре) автоматически "приглаживают" фразу. Подтекста - нет, других мыслей - тоже. Вот смотрите - мне кажется, что здесь скупые рублённые фразы 1) Произошла ошибка при проверке подписи. 2) Репозиторий не обновлён, и будут использованы предыдущие индексные файлы. 3) Ошибка GPG: %s: %s" Я их чуть "пригладила" - чуть подправила стилистику (смягчила рублённые фразы), но мнения у людей могут быть разными. -- > msgid "" > "Skipping acquire of configured file '%s' as repository '%s' doesn't have > the " "component '%s' (component misspelt in sources.list?)" > msgstr "" > "Пропускается получение настроенного файла «%s», так как в репозитории «%s» > " > "отсутствует компонент «%s» (возможно, компонент указан с ошибкой в > sources." > "list?)" > > > "Пропускается получение готового файла настройки «%s», поскольку в > репозитории" "«%s» отсутствует компонент «%s» (возможно, компонент указан с > ошибкой " "в sources.list?)" Вам же уже писали, что происходит получение не файла настройки, а именно настроенного файла (т.е. файла, "указанного" в файлах настройки, например "<компонент>/binary-amd64/Packages"). Извините за повтор - у меня пока ещё недостаточно знаний, чтобы сравнить с помощью регулярных выражений несколько файлов > msgid "" > "Release file for %s is not valid yet (invalid for another %s). Updates for > " > "this repository will not be applied." > msgstr "" > "Файл Release для %s пока не действителен (недостоверный ещё %s). Обновление > " "этого репозитория производиться не будет." > > "Файл Release для %s всё ещё не действует (недействительный для нового %s)." > "Обновление из этого репозитория производиться не будет." Вы прочитали комментарий для переводчиков для этой записи? Разве "недействительный для нового 7д 3ч 42мин 1с" - это корректный русский язык? Нет, поскольку "ныряла" в файл - то через poedit, то через текстовый редактор, 80-символов зрительно отсчитывала "на глаз" (и прочее- пыталась понять, как другие люди работают только через текстовый редактор с po-файлами), поэтому не досмотрела пояснения переводчику. Буду внимательнее. - > msgid "" > "This must be accepted explicitly before updates for this repository can be > " > "applied. See %s manpage for details." > msgstr "" > "Требуется явное подтверждение, прежде чем можно будет обновить данный " > "репозиторий. Смотрите справочную страницу %s для дополнительной > информации." > > "Требуется явное подтверждение, прежде чем можно будет выполнить обновление > из " "данного репозитория. Смотрите справочную страницу %s для > дополнительной " "информации." Updates *for* this repository, а не *from*. Тут я сделала небольшую замену исходя из смысла было можно будет обновить данный репозиторий сделала можно будет выполнить обновление из данного репозитория Поэтому и не перевела "механистически" ("Updates *for* this repository, а не *from*"). Потому что при первом чтении данной фразы у меня возникли вопросы - какой репозиторий мы обновляем? Вроде вот я пользователь к примеру не содержу у себя на компьютере репозиторий. Архив скачанных файлов- да, но я их никому не раздаю. Фраза "Требуется явное подтверждение, прежде чем можно
Re: LDAP
On 15/04/18 04:05 AM, Коротаев Руслан wrote: > Да, аутентификация по сертификату есть, если вы купите у своего > провайдера белый IP-адрес, то вам не нужны самоподписанные сертификаты, > можно использовать Let's Encrypt и разместить RADIUS-сервер на VPS. Вот тут добавлю, Let's Encrypt можно получить для динамического адреса используя сервис аля dyndns.
Re: LDAP
В сообщении от [Вс 2018-04-15 16:31 +0300] Артём Н.пишет: > 1. Это вносит проблемы с безопасностью. > 2. "Нормальным людям" пока ещё далеко до этого: где я, и где IPv6? > > Я статью почитал, там какая-то сильно передовая маргинальщина: IPv6, > новый файрволл, TAYGA и NAS64. Если я с этим сейчас буду разбираться, > мои проекты встанут на год, и меня проклянут. В текущем варианте, я > просто хочу "чтобы работало", заниматься исследованиями новых сетевых > технологий, пока времени нет. Согласен, у вас выверенная, хорошо аргументированная позиция, здесь не поспоришь. > А, в смысле точка ему выдаёт IP? … ну, да, без IP-адреса интернет работать не может. Я сейчас ещё раз крепко подумал и решил — у вас действительно самый оптимальный, рабочий вариант. Он самодостаточен, что-либо менять, только портить. -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Re: LDAP
Вот тут пока сложно: с IPv6 я только ознакомился, практически же не работал с ним. Это существенно упрощает администрирование, если коротко, то при использовании IPv6 необходимости в NAT нет, все устройства будут иметь глобально маршрутизируемые адреса. 1. Это вносит проблемы с безопасностью. 2. "Нормальным людям" пока ещё далеко до этого: где я, и где IPv6? Я статью почитал, там какая-то сильно передовая маргинальщина: IPv6, новый файрволл, TAYGA и NAS64. Если я с этим сейчас буду разбираться, мои проекты встанут на год, и меня проклянут. В текущем варианте, я просто хочу "чтобы работало", заниматься исследованиями новых сетевых технологий, пока времени нет. Да, белый IP уже есть, но для того, чтобы отличать VPS нужны доменные имена. Я могу использовать динамический DNS и диспетчер на nginx-proxy. Однако сейчас я пробрасываю порты. … если вы своим VPS будете раздавать IPv6-адреса, ничего пробрасывать не надо, берете любой бесплатный DNS-сервис (например dns.he.net) и присваиваете им доменные имена. То есть VPS с вашего NAS становятся доступны всему интернету, также как VPS какого-нибудь Амазона, нужно только защитить их файрволом. Ну примерно так я и собираюсь сделать, только на v4. В смысле? Любой, знающий IP, считается "прошедшим аутентификацию"? Не вариант. Не знающий IP, а получивший IP. Допустим, вы хотите дать своему знакомому доступ к как каталогу по NFS/FTP. Заводите на RADIUS-сервере учетную запись вашего знакомого (пароли могут хранится в виде хеша, а не открытым текстом) и говорите: «Подключайся к точке доступа с именем HomeShare». Далее он проходит, аутентификацию по сертификату и получает IP. Всё, с этого IP он напрямую получает доступ, ничего больше не требуется. А, в смысле точка ему выдаёт IP?
Re: [RFR] po://apt/po/ru.po
Вс 15 апр 2018 @ 14:31 Алексей Шилин: > Это новая версия перевода, в которой учтены присланные советы и замечания. > > Вложены 3 файла: полный файл перевода, изменения относительно оригинала > перевода, а также изменения относительно предыдущей версии перевода. А с Дэйвидом (он настаивает на таком произношении) Калнишкисом (David Kalnischkies ) удалось связаться по поводу Super Meep Powers? Я сейчас задал ему вопрос в IRC, но пока он молчит. #: apt-private/private-cmndline.cc msgid "This APT has Super Cow Powers." msgstr "В APT есть коровья СУПЕРСИЛА." #: apt-private/private-cmndline.cc msgid "This APT helper has Super Meep Powers." msgstr "В этой программе есть Super Meep Powers." Кстати, в случае про Meep речь идёт об APT helper, а не об APT. Сообщение выводится при запуске /usr/lib/apt/apt-helper. Сам apt-helper представляет собой служебную программу и не предназначен для запуска пользователями. Просмотрел diff'ы. В остальном вроде бы всё в порядке.
Re: LDAP
В сообщении от [Вс 2018-04-15 14:05 +0300] Артём Н.пишет: > Вот тут пока сложно: с IPv6 я только ознакомился, практически же не > работал с ним. Это существенно упрощает администрирование, если коротко, то при использовании IPv6 необходимости в NAT нет, все устройства будут иметь глобально маршрутизируемые адреса. > Да, белый IP уже есть, но для того, чтобы отличать VPS нужны доменные > имена. Я могу использовать динамический DNS и диспетчер на > nginx-proxy. Однако сейчас я пробрасываю порты. … если вы своим VPS будете раздавать IPv6-адреса, ничего пробрасывать не надо, берете любой бесплатный DNS-сервис (например dns.he.net) и присваиваете им доменные имена. То есть VPS с вашего NAS становятся доступны всему интернету, также как VPS какого-нибудь Амазона, нужно только защитить их файрволом. > В смысле? > Любой, знающий IP, считается "прошедшим аутентификацию"? > Не вариант. Не знающий IP, а получивший IP. Допустим, вы хотите дать своему знакомому доступ к как каталогу по NFS/FTP. Заводите на RADIUS-сервере учетную запись вашего знакомого (пароли могут хранится в виде хеша, а не открытым текстом) и говорите: «Подключайся к точке доступа с именем HomeShare». Далее он проходит, аутентификацию по сертификату и получает IP. Всё, с этого IP он напрямую получает доступ, ничего больше не требуется. -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Re: LDAP
On 15.04.2018 12:19, Alexander Gerasiov wrote: Hello Артём, On Sat, 14 Apr 2018 23:00:46 +0300 Артём Н.wrote: Хочу сделать так, чтобы все сервисы на NAS централизованно получали данные о пользователях. Решил это реализовать через LDAP. Почитал. Вроде, теоретически понятно, а практически как-то не очень, бьюсь с LDAP уже немало. Тут описано не особо подробно и с опечатками (не slapd.conf, а ldap.conf): https://wiki.debian.org/LDAP/OpenLDAPSetup Это не очепятка, читай внимательнее, там сказано, что slapd.conf - это старый конфиг, теперь всё хранится в slapd.d ldap.conf используется только ldap-tools Я читал лог strace, и понял, что /etc/slapd.conf теперь вообще не читается. - Как настроить его так, чтобы был TLS (в перспективе будет торчать "наружу") с самоподписанным сертификатом? По документации. Легко сказать. Настроил "по документации". Не работает. - Где хранить .ldif файлы? Не надо их нигде хранить, ldap хранит всё внутри своей БД. Для управления пользователями можно использовать, например обертку вроде ldapscripts Уже разобрался: я их просто загружаю в базу LDAP. - Лучше запускать LDAP сервер в контейнере или устанавливать в систему? Удобнее, если в контейнере, конечно. Уже перенёс: теперь в контейнере (osixia/openldap:1.2.0). Рекомендую еще вот этот мануал, не знаю как сейчас, но раньше он был гораздо лучшее написан, чем debian wiki: https://help.ubuntu.com/lts/serverguide/openldap-server.html Спасибо. Читаю.
Re: LDAP
Если возможностей RADIUS-сервера будет не достаточно, то можно прикрутить к нему LDAP, но это скорее для крупных компаний, для дома это лишнее. [1]: https://blog.kr.pp.ru/post/2017-12-12/ Кое-как настроил LDAP локльно: это чудовище просто какое-то. Задолбался подключать к нему gitlab. Переделал всё на контейнеры, пока не работает TLS.
Re: LDAP
On 15.04.2018 12:05, Коротаев Руслан wrote: В сообщении от [Сб 2018-04-14 23:00 +0300] Артём Н.пишет: Хочу сделать так, чтобы все сервисы на NAS централизованно получали данные о пользователях. Решил это реализовать через LDAP. Почитал. Вроде, теоретически понятно, а практически как-то не очень, бьюсь с LDAP уже немало. - Оправданно ли вообще использование LDAP в таком случае? Рекомендую RADIUS (FreeRADIUS есть в репозитории). Смотрел его, и так понял, что он мне не нужен. Вы очень мало написали о сути проблемы, поэтому поделюсь своим решением, возможно оно и вам поможет. Фактически, писать тут особо нечего. Есть n сервисов, поддерживающих LDAP из коробки, и m пользователей, которые хотят пользоваться частью сервисов и, возможно, иметь личный каталог в ФС. Надо это реализовать. Логично, что управлять пользователями надо централизованно. Задача дальнего будущего - на внешних машинках авторизоваться с LDAP сервера, который крутится в NAS. Проблема: дома есть NAS, на котором крутятся сервисы раздачи файлов и мультимедиа по разным протоколам. Для себя и домашних проблем нет, подключаемся и получаем к ним доступ. Но что если пришли гости и просят WiFi, вряд ли вы хотите чтобы они увидели что-то вроде «Жесть. Отжигаю в Турции». Очевидное решение: сделать на роутере два VLAN — домашний и гостевой, и защитить паролем. Однако, пароля будет недостаточно, когда вас не будет дома, бабушка наверняка их перепутает. Поэтому нужен RADIUS, он есть даже в самом дешевом китайском роутере. Схема сложновата. В моём случае, NAS - вещь в себе. Я могу всё поднять на нём. - Как настроить его так, чтобы был TLS (в перспективе будет торчать "наружу") с самоподписанным сертификатом? Да, аутентификация по сертификату есть, если вы купите у своего провайдера белый IP-адрес, то вам не нужны самоподписанные сертификаты, можно использовать Let's Encrypt и разместить RADIUS-сервер на VPS. Да, белый IP уже есть, но для того, чтобы отличать VPS нужны доменные имена. Я могу использовать динамический DNS и диспетчер на nginx-proxy. Однако сейчас я пробрасываю порты. Имея белый IP-адрес, вы можете подключить IPv6, например через NAT64 [1]. Вы уже не будете ограничены домашней сетью и сможете давать доступ к своим сервисам на различных VPS исходя из IPv6-адреса. Вот тут пока сложно: с IPv6 я только ознакомился, практически же не работал с ним. В общем политика безопасности очень простая — получил IP-адрес (любой IPv4 и/или IPv6), значит прошел аутентификацию и можно давать доступ, дальше всё реализуем через файрвол. В смысле? Любой, знающий IP, считается "прошедшим аутентификацию"? Не вариант. Если возможностей RADIUS-сервера будет не достаточно, то можно прикрутить к нему LDAP, но это скорее для крупных компаний, для дома это лишнее. [1]: https://blog.kr.pp.ru/post/2017-12-12/ Я бы с удовольствием не парился с LDAP, но его поддерживают gitlab, OMV, urbackup, etc.
Re: LDAP
Hello Артём, On Sat, 14 Apr 2018 23:00:46 +0300 Артём Н.wrote: > Хочу сделать так, чтобы все сервисы на NAS централизованно получали > данные о пользователях. Решил это реализовать через LDAP. > Почитал. Вроде, теоретически понятно, а практически как-то не очень, > бьюсь с LDAP уже немало. Тут описано не особо подробно и с опечатками > (не slapd.conf, а ldap.conf): > https://wiki.debian.org/LDAP/OpenLDAPSetup Это не очепятка, читай внимательнее, там сказано, что slapd.conf - это старый конфиг, теперь всё хранится в slapd.d ldap.conf используется только ldap-tools > > Может кто-нибудь объяснить (по шагам): > > - Оправданно ли вообще использование LDAP в таком случае? Почему бы и нет. > - Как настроить его так, чтобы был TLS (в перспективе будет торчать > "наружу") с самоподписанным сертификатом? По документации. > - Где хранить .ldif файлы? Не надо их нигде хранить, ldap хранит всё внутри своей БД. Для управления пользователями можно использовать, например обертку вроде ldapscripts > - Нужно ли делать /etc/ldap/ldap.conf или, как в руководстве, нужно > "add attributes to cn=config"? Как в руководстве. > - Лучше запускать LDAP сервер в контейнере или устанавливать в > систему? Удобнее, если в контейнере, конечно. Рекомендую еще вот этот мануал, не знаю как сейчас, но раньше он был гораздо лучшее написан, чем debian wiki: https://help.ubuntu.com/lts/serverguide/openldap-server.html -- Best regards, Alexander Gerasiov Contacts: e-mail: g...@cs.msu.su WWW: http://gerasiov.net TG/Skype: gerasiov PGP fingerprint: 04B5 9D90 DF7C C2AB CD49 BAEA CA87 E9E8 2AAC 33F1 pgpNXcLtIF0LE.pgp Description: OpenPGP digital signature
Re: LDAP
В сообщении от [Сб 2018-04-14 23:00 +0300] Артём Н.пишет: > Хочу сделать так, чтобы все сервисы на NAS централизованно получали > данные о пользователях. Решил это реализовать через LDAP. Почитал. > Вроде, теоретически понятно, а практически как-то не очень, бьюсь с > LDAP уже немало. > > - Оправданно ли вообще использование LDAP в таком случае? Рекомендую RADIUS (FreeRADIUS есть в репозитории). Вы очень мало написали о сути проблемы, поэтому поделюсь своим решением, возможно оно и вам поможет. Проблема: дома есть NAS, на котором крутятся сервисы раздачи файлов и мультимедиа по разным протоколам. Для себя и домашних проблем нет, подключаемся и получаем к ним доступ. Но что если пришли гости и просят WiFi, вряд ли вы хотите чтобы они увидели что-то вроде «Жесть. Отжигаю в Турции». Очевидное решение: сделать на роутере два VLAN — домашний и гостевой, и защитить паролем. Однако, пароля будет недостаточно, когда вас не будет дома, бабушка наверняка их перепутает. Поэтому нужен RADIUS, он есть даже в самом дешевом китайском роутере. > - Как настроить его так, чтобы был TLS (в перспективе будет торчать > "наружу") с самоподписанным сертификатом? Да, аутентификация по сертификату есть, если вы купите у своего провайдера белый IP-адрес, то вам не нужны самоподписанные сертификаты, можно использовать Let's Encrypt и разместить RADIUS-сервер на VPS. Имея белый IP-адрес, вы можете подключить IPv6, например через NAT64 [1]. Вы уже не будете ограничены домашней сетью и сможете давать доступ к своим сервисам на различных VPS исходя из IPv6-адреса. В общем политика безопасности очень простая — получил IP-адрес (любой IPv4 и/или IPv6), значит прошел аутентификацию и можно давать доступ, дальше всё реализуем через файрвол. Если возможностей RADIUS-сервера будет не достаточно, то можно прикрутить к нему LDAP, но это скорее для крупных компаний, для дома это лишнее. [1]: https://blog.kr.pp.ru/post/2017-12-12/ -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature