Re: Ситема учета, обработки и совместной работы с документами
08.08.2013 16:55, Jedi пишет: Добрый день! Есть необходимость наладить некую систему, которая позволит небольшому колдичесву пользователей (до 50) вести некую базу по учету входящих и исходящих документов. Их метеданных - номера, даты, кто рассматривал, кто готовил ответ и.т.д. Также система должна иметь возможность хранения и желательно индексирование соджержимого документов. Фрматы - Microsoft Office, Open Office, PDF. Желатьельно из коробки и желательно Debian Wheezy Заранее спасибо За бесплатно и чтобы всё сразу и из коробки точно ничего нет (да и за деньги все серьёзные продукты дорабатываются под заказчика). А так можно вот это глянуть: http://www.naudoc.ru/solutions/free/ , ну и это заодно: http://www.alvexcore.com/ru/ . За деньги можно http://www.motiw.ru/ глянуть. P.S. Сами находимся в состоянии ленивого выбора документооборота :) -- С уважением, Кубашин Александр -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/52136c18.40...@k-sc.ru
Re: openldap+kerberos +|- samba3(4) ?
22.04.2013 18:10, Владимир Скубриев пишет: Планирую использовать в локальной сети openldap + kerberos. Для аутентификации и авторизации пользователей как на серверах локальной сети, так и на десктопах. Дело в том, что не совсем ясно как создавать учетные записи пользователей и машин в openLDAP без использования samba3 и соответственно samba.scheme в openLDAP. Вручную ? А сильно сложно ? Кто нибудь так работает? Опять же 4-я samba уже включает в себя все необходимое. Но её ldap сервер не рекомендуют расширять своими схемами. А нам например надо sudo-ldap и в будущем может еще чего захочется. К тому же она только вышла как то страшно её использовать. Уже тем более встроенный LDAP сервер. Как например управлять полями из схемы добавленной для работы kerberos без samb`ы ? Или может быть все таки лучше использовать samba 3 на всех машинах? Это может сильно облегчить жизнь? Можно использовать самбу 3 с параметром в секции [global] ... kerberos method = system keytab ... и командой net ads join но тогда придется расширять схему openLDAP схемой для 3-ей самбы. В принципе это не проблема. Откуда схему лучше взять с idealx smbldap-tools ? Возникает вопрос использовать samba на машинах ? И как лучше(правильней) генерировать ключи (кейтабы) для других служб, например ssh, ftp. Насколько я понимаю в случае использования samba мы с легкостью можем настроить winbind и использовать в дальнейшем pam_winbind для входа в систему. Но ведь существует еще и pam_krb5, pam_ldap в целом их я и планирую использовать для аутен-ии локально. Прощу помочь определиться и сузить круг вопросов! Спасибо. -- С Уважением, Скубриев Владимир Боюсь ещё больше запутать, но... LDAP это всего лишь одно из возможных хранилищ учётных данных, которые вы вместе с привычными текстовыми файлами можете (/etc/passwd и т.д.) подключить как модуль PAM. Если вы правильно подключите LDAP в систему аутентификации (PAM + NSS), то все стандартные юниксовые команды (adduser, passwd и т.д.) теоретически должны прозрачно менять учётные данные в LDAP базе. В этом случае придётся ручками в LDAP править только данные не предусмотренные стандартными утилитами (например добавить e-mail). Про LDAP админки: Я долго и упорно искал хоть одну приличную админку для правки LDAP как системы хранения учётных данных и не нашёл ничего приличного... Да есть LDAP Account Maneger, но он имеет платную версию, которая содержит расширенную функциональность (читать как: стандартная версия имеет ряд искусственных ограничений), ещё есть GoSa (но это монстр, который претендует слишком на многое, чтобы быть просто системой управления учётными данными). Т.е. взглянуть на LDAP Account Maneger стоит, но ждать от него слишком много не нужно. Далее про PAM и NSS. У меня схема в которой используется именно samba, в основном, для авторизации windows пользователей. Но в какой-то момент встала необходимость авторизовать так же пользователей Ubuntu, плюс на большинстве Unix-серверов пользователи LDAP являются системным (т.е. настроены PAM и NSS). С чем я столкнулся пока настраивал PAM на Ubuntu и Debian: Во первых есть целых три pam-модуля, которые это позволяют: libpam-ldap (использовался до Squueze, сейчас считается устаревшим), libpam-ldapd (рекомендуется как основной pam-ldap модуль для Squueze) и pam-sss (является часть проекта FreeIPA). От libpam-ldap я ушёл с переходом на Squueze, согласно рекомендация дистрибутива. С libpam-ldapd у меня не получилось настроить offline-logon (актуально для ноутбуков), я пытался использовать pam_ccred, но общая схема выглядела как набор костылей и не работала на Ubuntu 12.04. При этом pam-ldapd используется на серверах до сих пор. Изрядно помучившись с поиском работающего решения для рабочих станций я остановился на pam-sss. Он очень просто настраивается и как раз задуман для использования связки ldap и kerberos (основа FreeIPA) или для интеграции Linux в инфраструктуру AD без излишней сложности. Не знаю как сейчас в Debian, но в Ubuntu 12.04 от FreeIPA есть следующие части: sssd -- демон и набор модулей (pam-sss + nss-sss), которые отвечают за аутентификацию, есть FreeIPA-client (по идее должен отвечать за применение политик FreeIPA), но полностью отсутствует FreeIPA-сервер. Как я понимаю, FreeIPA-сервер нормально работает только на RedHat-based. Но если идеи FreeIPA сильно понравятся, то можно и CentOS для этого развернуть, к тому же частью FreeIPA является Web-админка, если смотреть на демки, то вполне вменяемая. Краткий итог: 1) Стоит глянуть на проект FreeIPA, это единственное законченное решение, которое я видел для решение вашей проблемы. Если не срастётся с сервером FreeIPA, то минимум стоит глянуть на часть, которая отвечает за аутентификацию (sssd + nss-sss + pam-sss), к тому же там что-то было про ldap-sudo, если не путаю. 2) Несмотря на то что pam-sss у меня работает на раб. станциях с Ubuntu и на данный момент делает всё, что мне необходимо, смена
Re: как правильно конфигурировать системы при помощи chef,puppet, etc
17.04.2013 18:34, Владимир Скубриев пишет: Изучаю chef уже целую неделю. В процессе изучения способов конфигурации пакетов пришел к выводу, что это можно делать разными способами. Первый и самый простой вариант - это поддержка нужных конфигурационных файлов пакетов с использованием шаблонов и переменных. Второй способ это конфигурирование пакетов при помощи стандартных средств конфигурации системы. Например debconf: debconf-get-selections, debconf-set-selections. Третий и видимо - это совместное использование обоих способов. В связи с этим возникает вопрос а как правильно сочетать данные методы или не сочетать? Простой пример с которым я столкнулся. Например мы хотим установить на клиенте libnss-ldapd. Но при этом на клиенте: 1. Она может быть не установлена 2. Она может быть установлена - но не правильно сконфигурирована 3. Нам может понадобится изменить какие-то дополнительные параметры этой библиотеки, конфигурирование которых не доступно через debconf. Мы можем описать наш рецепт следующим образом: 1. Чтобы при установке использовался наш конфигурационный файл debconf 2. Чтобы при переустановке использовался наш конфигурационный файл debconf 3. Дописывать скриптами в нужные нам конфигурационные файлы нужные парамтеры. Насколько я понимаю смысл использования chef, puppet - достижения идемпотентности конфигурации настраиваемых машин. Насколько я понимаю мне необходимо учитывать все возможные факторы, описывать решения для них в рецептах и в дальнейшем совершенствовать свои рецепты, с целью чтобы они соответствовали максимально той конфигурации, которую я хочу получить. Еще возникает вопрос про обновление системы. Что будет в случае, если пакет был сконфигурирован через копирование конфигурационного файла . Пользователь выполнил обновление системы. Сработала пере конфигурация обновленного пакета и изменились конфигурационные файлы. В этом отношении у меня полная каша в голове. Проясните пожалуйста как все должно быть. Что-то я совсем запутался. Еще возникает вопрос чисто по системе debconf. Где посмотреть в системе какие именно скрипты изменяют конфигурационные файлы и вообще занимаются обработкой параметров базы данных debconf. Как данные скрипты относятся к ручной правке конфигурационных файлов из практики ? И как вообще принято администрировать систему debian в рамках моего вопроса? Я конечно понимаю, что очень много всего спросил. Увы подсказать не кому. Надеюсь на понимание. Спасибо! Поведение Puppet здесь очень простое, клиент (конечная машина) раз в пол часа опрашивает сервер о своей конфигурации и каждый раз при этом проверяет, что данная машина этой конфигурации соответствует. Т.е.: Предположим, что за эти пол часа конфигурация на сервере не изменилась, но на машине был удалён пакет или изменён конфигурационный файл, за который отвечает Puppet. В этом случае Puppet переустановит нужный пакет и вернёт файл конфигурации в то состояние, в котором он находится на сервере. Т.к. через Puppet у нас управляются не все сервисы, то периодически возникают ситуации, что конфиг на конечной машине поправили, а puppet это изменение отменил, т.к. на сервере puppet этот файл хранится в предыдущей версии. -- С уважением, Кубашин Александр -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/5176717a.5020...@k-sc.ru
Re: openldap+kerberos +|- samba3(4) ?
23.04.2013 15:33, Владимир Скубриев пишет: Схема именно от samba 3 из пакета smbldap-tools ? Насколько я понял без это схемы windows машину не введешь в домен стандартными способами. Кстати ведь существует способ аутентификации через клиент kerberos от MIT и не много не автоматизированную установку на windows клиентах: http://freeipa.org/page/Implementing_FreeIPA_in_a_mixed_Environment_(Windows/Linux)_-_Step_by_step http://freeipa.org/page/Implementing_FreeIPA_in_a_mixed_Environment_%28Windows/Linux%29_-_Step_by_step Правда на счет перечисления пользователей я не совсем понимаю, как оно настраивается. В том плане, можно ли жить без расширения схем samba и rfc2703bis с клиентами windows и вот этой инструкцией. Я долго и упорно пытался понять как можно ввести Windows машину в Kerberos домен на Linux... Из того, что я понял: 1) Windows машина не должна быть в домене (только рабочая группа). 2) Каждому Kerberos пользователю, который должен аутентифицироваться на конкретной windows-машине нужно создать ЛОКАЛЬНУЮ учётку, совпадающую с учёткой в Kerberos. Т.е. если пользователь есть в Kerberos, но не создан локально, то он не сможет залогиниться на компьютере. 3) Выполнить ряд простых операций на клиенте. IMHO, из-за второго пункта эта схема практически бессмысленна. Кстати rfc2703bis схему используете? Что в ней такого особенного если не секрет - в двух словах ? И можно ли её использовать в линукс окружении ? Как то в моей голове сложилась чёткая связь, что возможность использовать memberOf добавляется через rfc2703bis. Возможно ложная, т.к. до сих пор с этим не столкнулся. Все правильно что ушли. Он( libpam-ldap) мне от старого админа достался. Сейчас все делаю на libpam-ldapd и nslcd. На счет кэша ище не дошел. Обидно что у вас не работает. Надеялся что все настроиться из коробки - без особых ухищрений через конфиги. Насколько помню, то для работы pam_ccred нужен скрипт для синхронизации учётных пользователей, который запускается через CRON. Я считаю такую схему неприемлемой и даже если бы оно заработало, то вариант с sssd мне нравится гораздо больше. Изрядно помучившись с поиском работающего решения для рабочих станций я остановился на pam-sss. Он очень просто настраивается и как раз задуман для использования связки ldap и kerberos (основа FreeIPA) или для интеграции Linux в инфраструктуру AD без излишней сложности. Может быть он того и стоит. Может на нем и остановлюсь. Но пока планировал krb,ldap в случае проблем с krb. Точно стоит :) Просто критической массы документации не накопилось, чтобы этот вариант находился с такой же лёгкостью как тот-же pam-ldap. -- С уважением, Кубашин Александр
Re: Размер swap, когда много памяти
10.02.2013 19:15, Yuri Kozlov пишет: Если вы собрались использовать машину только под виртуалки, то разве могут виртуалки съесть больше, чем им дадут? То есть процесс потребления памяти в вашем случае не строго определён? Мне своп был очень нужен только в двух случаях. - я ошибся в настройках udev и оно напорождало кучу процессов, которые съели всю память. - при сборке чего-то типа wine, где 2Гига мало. То есть 2Гига свопа у меня есть всегда независимо от. Первое: да, я не собираюсь виртуалкам отдавать памяти больше, чем есть физически и я прекрасно понимаю, почему все утверждают, что swap в этом случае не нужен. Второе: Даже если swap не используется (т.е. free выдаёт, что размера swap = 0), то это не значит, что ядро в процессе выделения памяти на него не рассчитывало и виртуально в него уже не залезло.Подробная информация о swap и выделении памяти по приведённой ранее ссылке (http://www.linuxjournal.com/article/10678?page=0,0), очень рекомендую к прочтению. P.S. задачка для разминки: фрагмент из man top, описывающий один из столбцов вывода команды: VIRT -- Virtual Image (kb) The total amount of virtual memory used by the task. It includes all code, data and shared libraries plus pages that have been swapped out and pages that have been mapped but not used. Собственно задачка: Где ядро собирается брать память для pages that have been mapped but not used в случае наличия swap и в случае его отсутствия? -- С уважением, Кубашин Александр -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/51187765.9070...@k-sc.ru
Re: не могу заставить ратоать preseed файл при загрузке через PXE
04.09.2011 23:39, Kramarenko A. Maksim пишет: Доброго всем времени! Путаюсь настроить автоматическую установку Ubuntu/Debian через PXE. Все проходит гладко, за исключением того, что передаваемый ядру файл ответов PXE отказывается подгружаться при установке. После получения настроек по ДХЦП, загрузка файла автоматической настройки debcont пишет: не удалось получить файл предварительной настройки из http://10.230.3.170/preseed/uik.seed и что далее установка будет продолжен не в автоматическом режиме. При этом, при переходе в вритуальную консоль по Ctrl+Alt+F2 wget выполняется корректно и получает файл. Я уже пытался и на внешний веб-хост файл загрузить, но результат один - ошибка. Параметры, передаваемые ядру следующие: label oem menu label ^OEM Nakubani.ru menu default kernel ubuntu-installer/i386/linux append mirror/http/proxy=http://10.230.3.170:3142 netcfg/choose_interface=auto netcfg/get_hostname=ubuntu netcfg/dhcp_failed=note netcfg/dhcp_options=Do not configure the network at this time netcfg/get_hostname=uweb netcfg/get_domain=UIK debian-installer/locale=ru_RU.UTF-8 console-setup/layoutcode=ru localechooser/translation/warn-light=true localechooser/translation/warn-severe=true console-setup/toggle=Alt+Shift url=http://10.230.3.170/preseed/uik.seed initrd=ubuntu-installer/i386/initrd.gz quiet -- помогите победить проблему. Спасибо. Дело конечно давнее, но т.к. занимаюсь этим вопросом, то: Для получения preseed.cfg по сети нужно ещё указывать md5sum, иначе установщик ругается на битый файл ответов, делается это дополнительным параметром: preseed/url/checksum=md5sum . -- С уважением, Кубашин Александр -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/51138bf8.3080...@k-sc.ru
Re: не могу заставить ратоать preseed файл при загрузке через PXE
08.02.2013 7:46, Мечётный, Виталий Александрович пишет: Добрый день. Возможно поможет. У меня подгрузка файла ответов идет по tftp, так как сервис уже есть и грех им не пользоваться. Каталог на сервере /PXE Пример для файла /PXE/pxelinux.cfg/default ... MENU BEGIN as-debian-install MENU TITLE Auto-install Debian GNU/Linux LABEL deb-i386-sid-openbox MENU LABEL i386 sid with OpenBox WM kernel Debian/install/i386/linux append initrd=Debian/install/i386/initrd.gz -- auto preseed/url=tftp://192.168.3.1/openbox.debian.i386.cfg http://192.168.3.1/openbox.debian.i386.cfg auto=true priority=critical hostname=subhost-00 domain=EKB DEBCONF_DEBUG=5 MENU END MENU END Соответственно файл ответов лежит в /PXE/openbox.debian.i386.cfg Никаких md5sum не указывал, все заводится отлично. Единственная проблема была с полностью автоматической установкой, и несвободными прошивками. -- Regards, Vitaly A. Mechetny (Mr) Administrator of network RUTA company 23 Posadskaya st., Yekaterinburg, Sverdlovsk region, Russia e-mail: sysad...@ruta.ru mailto:sysad...@ruta.ru phone: +7 (343) 376 15 54 ext. 54-19 m-phone: +7 (963) 440 06 01 Если тема автоматической установки интересна, то можно создать новую ветвь дискуссии. На данный момент есть полностью автоматическая установка ubuntu 12.04 (desktop вариант), в процессе установка Proxmox VE (ставится он поверх ванильного Squeeze), ну и Clonezilla по сетке грузится, и даже Win XP и Win 7 ставятся (но это оффтоп конечно). Если интересно, можно обменяться опытом. -- С уважением, Кубашин Александр
Re: не могу заставить ратоать preseed файл при загрузке через PXE
08.02.2013 9:04, Мечётный, Виталий Александрович пишет: Опытом всегда полезно обмениваться. =) У меня проблем нет, всё что было нужно работает. После подключения ПК пользователя и запуска автоустановки на выходе получаем готовую к работе систему. Вводим логин и пароль и начинаем работать. Все обновления и изменения транслируются через манифесты puppet. -- Regards, Vitaly A. Mechetny (Mr) Administrator of network RUTA company 23 Posadskaya st., Yekaterinburg, Sverdlovsk region, Russia e-mail: sysad...@ruta.ru mailto:sysad...@ruta.ru phone: +7 (343) 376 15 54 ext. 54-19 m-phone: +7 (963) 440 06 01 Вот про Puppet мне уже интересно :) Сам им пользуюсь, плюс хотел статью сделать по автоматической настройке ubuntu 12.04 (что-то общее есть для всех систем, но часть специфична именно для 12.04). Чуть позже предлагаю переехать в новый топик, а пока несколько вопросов по автоматической установке: 1) используется ли автоматическая разбивка дисков? 2) как станции после установки регистрируются в puppet (автоматом, руками или смешано-хитрым способом)? 3) на основании какого признака определяется, что раб. станция не сервер (чтобы взять нужные манифесты с puppet)? 4) мониторится ли как нибудь работа puppet? -- С уважением, Кубашин Александр
Re: Размер swap, когда много памяти
08.02.2013 9:29, Dmitry A. Zhiglov пишет: 7 февраля 2013 г., 23:35 пользователь Eugene Berdnikov b...@protva.ru написал: On Thu, Feb 07, 2013 at 08:20:42PM +0200, Oleksandr Gavenko wrote: On 2013-02-07, Victor Wagner wrote: Собственно, оттуда же привычка размещать базы данных на raw devices - излишний интеллект файловой системы только мешает СУБД эффективно распределять блоки. А что если база на LLVM? И/или RAID? Правильные базы имеют свою встроенную функциональность lvm и рейдов. Например, у Оракла это называется ASM (advanced storage management). Скорей всего это зависит от монструозности СУБД и нужности, но не от правильности InnoDB в MySQL умеет работать поверх RAW разделов. И да в MySQL есть достаточно параметров, чтобы работать как можно ближе к железу даже поверх ФС. В PostgreSQL я такого не нашёл, там наоборот, один из параметров указывает размер кэша ФС, который используется оптимизатором запросов. P.S. Зачем так далеко от темы уходить... Два с половиной более ли менее грамотных ответа по теме, а остальное офтоп. -- С уважением, Кубашин Александр -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/5114a2e8.9090...@k-sc.ru
Размер swap, когда много памяти
Есть сервер с 84Гб памяти, под виртуализацию, на нём будет использоваться Proxmox VE (debian-based дистрибутив заточенный на управление виртуальными машинами). Где-то встречал, что для Linux swap желателен в любом случае, не зависимо от объёма памяти (если памяти много, то большой swap не нужен). Какие есть соображение по поводу оптимального размера swap, и чем это мнение обосновано? -- С уважением, Кубашин Александр -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/51125242.8000...@k-sc.ru
Re: Размер swap, когда много памяти
06.02.2013 16:53, Кубашин Александр Сергеевич пишет: Есть сервер с 84Гб памяти, под виртуализацию, на нём будет использоваться Proxmox VE (debian-based дистрибутив заточенный на управление виртуальными машинами). Где-то встречал, что для Linux swap желателен в любом случае, не зависимо от объёма памяти (если памяти много, то большой swap не нужен). Какие есть соображение по поводу оптимального размера swap, и чем это мнение обосновано? Про необходимость swap, изначально находил здесь (читать раздел Своп нужен): http://www.linux.org.ru/wiki/en/User:shimon/12309 Можно назвать источник спорным и тема раскрыта достаточно поверхностно, но вдумчивый гуглинг привёл сюда: http://www.linuxjournal.com/article/10678?page=0,0 Здесь тема swap раскрыта очень хорошо, но текст на английском. Из этих 2-х источников можно сделать однозначный вывод: Swap нужен! Если очень коротко (и очень далеко от оригиналов): Linux имеет хорошие механизмы экономии памяти и в процессе работы практически всегда памяти резервируется больше, чем реально используется. Но т.к. зарезервированная (виртуальная) память должна быть в наличии, то наличие swap (как резерва) позволяет выделить виртуальной памяти больше чем есть физической (а как сказано выше: далеко не всё что выделено будет в итоге востребовано). Т.е. даже если использование swap в реальной системе равно нулю, то это не значит, что его наличие никак не повлияло на механизмы выделения памяти. Будем считать, что я описал очень криво, но заинтересовал всех любопытных к прочтению оригинальных источников :) Рекомендации от RedHat (взято здесь: http://kb.mosaicdataservices.com/questions/170/SWAP+Memory+Recommendations+for+Linux%7B47%7DRHEL+systems ): Systems with 4GB of ram or less require a minimum of 2GB of swap space Systems with 4GB to 16GB of ram require a minimum of 4GB of swap space Systems with 16GB to 64GB of ram require a minimum of 8GB of swap space Systems with 64GB to 256GB of ram require a minimum of 16GB of swap space -- С уважением, Кубашин Александр -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/51134ea8.9030...@k-sc.ru
Re: Размер swap, когда много памяти
06.02.2013 20:03, Roman V. Nikolaev пишет: 06.02.2013 16:53, Кубашин Александр Сергеевич пишет: Есть сервер с 84Гб памяти, под виртуализацию, на нём будет использоваться Proxmox VE (debian-based дистрибутив заточенный на управление виртуальными машинами). Где-то встречал, что для Linux swap желателен в любом случае, не зависимо от объёма памяти (если памяти много, то большой swap не нужен). Какие есть соображение по поводу оптимального размера swap, и чем это мнение обосновано? А как вариант с zram? И своп есть для всякой фигни, и памяти много не занимает. Спасибо за наводку, но вопрос был немного не о том, а именно: Нужен ли системе swap если памяти достаточно? Но если вдруг памяти будет не хватать... то и в эту сторону посмотрим :) -- С уважением, Кубашин Александр -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/5113581b.4010...@k-sc.ru
Re: восстановление загрузки системы
11.01.2013 19:52, Sohin Vyacheslaw пишет: aptitude reinstall linux-image-2.6.32-5-amd64 и т.д. а можно поподробнее про и т.д.? что-то типа #update-initramfs -c -k `uname -r` ? Небольшое уточнение по chroot... 1) Грузимся с LiveCD 2) Подключаем все старые разделы в папку /mnt (для примера): mount /dev/адрес root /mnt mount /dev/адрес boot /mnt/boot [если был] mount /dev/адрес usr /mnt/usr [если был] и т.д. mount -o bind /dev /mnt/dev [это важно] 3)chroot /mnt 4) Как и советовали aptitude reinstall linux-image-version Теоретически этого должно хватить. -- С уважением, Кубашин Александр -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/51076b91.5070...@k-sc.ru
Re: разыскиваются инструменты для управления множеством серверов
17.10.2012 17:05, Anatoly Molchanov пишет: 1. Пишем скрипт: если в репе появился новый пакет, начинающийся на myservers, то устанавливаем его; если есть новая версия установленного, то обновляемся. Скрипт кидаем на все машины 2. На одном (двух/трех) сервере поднимаем репу apt-get install reprepro. Все конфиги раздаем через пакеты * в скрипте можно уточнить установку/обновление пакетов через другие префиксы: myservers-server23-iptables устанавливать только на Сервер №23 ну и т.д. Puppet в разы проще и в разы мощнее, стоит ли свои велосипеды городить?... Но puppet на случай раскидывания конфигураций, установки нужных пакетов и прочих задач возникающих при администрировании большого числа серверов. Если же нужно просто команду на ряде серверов выполнить, то clusterssh, наверно, ближе к требованиям. -- С уважением, Кубашин Александр -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/507eaf66.5020...@k-sc.ru
Общая папка для нескольких пользователей
Две простых ситуации: 1) Один компьютер с несколькими пользователями, хочется иметь общие файлы: музыка, фотографии и т.д. Каждый из пользователей должен иметь возможность изменять/удалять/добавлять любые файлы в этот каталог. 2) Есть внешний жёсткий диск (или флэшка) который должен свободно переносится между несколькими Linux-компьютерами. Естественно, что пользователи на них могут быть разными, а право удалять/добавлять/изменять файлы должно быть у всех. Файловая система в обоих случаях родная для Linux (пусть будет ext4). Даже если на корневую папку дать права 777, то, по-умолчания, umask=022 (или 002 в лучшем случае) и каждый вновь созданный файл имеет право редактировать только владелец. Менять всем umask не всегда возможно (случай с флэшкой), да и не безопасно в общем случае. Пока единственный вариант, который пришёл в голову, воспользоваться Posix ACL: setfacl -m d:o:rwX путь к папке (т.е. в ACL по-умолчанию задать права: rwx для всех пользователей). Среди недостатков: помню времена, когда включение ACL требовало обязательного указания опции монтирования (неудобно для варианта с флэшкой) и высокая сложность для обычного пользователя (данное письмо, в том числе, возникло как попытка ответа на вопрос на одном из форумов). Если есть другие варианты решения проблемы (или критика моего варианта решения), то я с удовольствием их выслушаю. -- С уважением, Кубашин Александр -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/5029d73e.6010...@k-sc.ru
Re: Восстановление работоспособности bacula
26.07.2012 12:18, Гусев, Артём Михайлович пишет: Здравствуйте. Возникла проблема с бакулой, а точнее с сервером bacula-director. После аварии был запущен новый сервер, но вот беда в том что резервные копии баз (sqlite) для него неактуальны и содержат состояния томов двухмесячной давности. Всвязи с этим возникает вопрос: возможна ли синхронизация баз bacula-director с содержимым томов bacula-sd чтобы была возможность восстанавливать данные из последних бэкапов? Не знаю в тему или нет, но восстановить файлы в Bacula можно без использования каталога: http://blog.unixstyle.ru/index.php?/archives/7-Bacula-bscan8,-bls8,-bextract8.html P.S. Сам не пробовал, т.к. не было необходимости. -- С уважением, Кубашин Александр -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/50111083.3040...@k-sc.ru
Re: Автоматические обновления
21.07.2012 22:04, Артём Н. пишет: Как делаются _правильно_? Достаточно ли включить APT::Periodic::Download-Upgradeable-Packages и добавить скрипт с простой автоматической установкой по cron? Зачем тогда нужен cron-apt, если обновления уже реализованы в apt? В идеале хотелось бы, чтобы пакеты, которые обновляются без вопросов, обновлялись автоматически. А пакеты, которые требуют вмешательства (конфликтуют или заменяют конфиги) не устанавливались. В итоге, чтобы мне приходило уведомление со статистикой: сколько пакетов установилось и какие, какие требуют вмешательства. Такое возможно? P.S.: Постепенно пытаюсь разобраться со всем, что попадётся под руку. Попытался сделать автоматическое обновление для группы машин на Ubuntu (всё это находится в тестовой эксплуатации, но вроде работает нормально). Задача решается предустановленным для Ubuntu пакетом unattended-upgrades (в Debian он есть в стандартных репозиториях) и парой конфигов: /etc/apt/apt.conf.d/10periodic APT::Periodic::Enable 1; APT::Periodic::Update-Package-Lists 7; APT::Periodic::Download-Upgradeable-Packages 1; APT::Periodic::AutocleanInterval 14; APT::Periodic::Unattended-Upgrade 1; APT::Periodic::RandomSleep 600; /etc/apt/apt.conf.d/50unattended-upgrades // Automatically upgrade packages from these (origin:archive) pairs Unattended-Upgrade::Allowed-Origins { ${distro_id}:${distro_codename}-security; ${distro_id}:${distro_codename}-updates; // ${distro_id}:${distro_codename}-proposed; // ${distro_id}:${distro_codename}-backports; }; Параметры вроде говорят сами за себя... -- С уважением, Кубашин Александр -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/500ce1c5.7060...@k-sc.ru
Re: Мониторинг Icinga+PNP4Nagios+check_mk
26.06.2012 8:37, Кубашин Александр Сергеевич пишет: Решил пересмотреть организацию своей системы мониторинга (связка Icinga+Cacti). Не нравится, что нужно отдельно настраивать Icinga и Cacti для мониторинга одних и тех же вещей, плюс потихоньку перехожу на управления конфигурациями через Puppet, а в нём есть встроенные средства для настройки Nagios. Первое, что нашлось это PNP4Nagios: прикрутил на тестовой машине к localhost, выглядит вполне симпатично: графики масштабируются (в munin этого очень не хватает), данные подхватываются из проверок Icinga (Nagios), что весьма удобно. Чуть позже натолкнулся на Check_MK, если кратко то это замена NPRE, NSClient++ и прочих с очень интересными плюшками. На первый взгляд выглядит потрясающе, но заставляет пересмотреть подход к организации мониторинга достаточно серьёзно. Смущает очень малое количество упоминаний на русском (английский не проблема, просто это говорит о скромной популярности проекта) и переход от активных проверок к пассивным. Если кто-нибудь сталкивался, поделитесь, пожалуйста, впечатлениями... В продолжение темы: check_mk нравится всё больше и больше, уже получилось создать собственную проверку для мониторинга числа терминальных сессий Windows 2003/2008, но застрял на мониторинге интерфейсов Cisco (по SNMP)... Проблема в следующем: есть чуть меньше 3-х десятков интерфейсов (vlan-ы), которые мониторятся нормально, но имя проверок в Icinga и PNP4Nagios совпадают с именем интерфейса (в стиле Interface FastEthernet0/0.721), а мне нужно, чтобы показывался Description интерфейса (его человекочитаемое описание на cisco) или чтобы имя проверки можно было указать вручную (этот вариант пока наиболее предпочтителен)... Может у кого-то есть опыт решения данной проблемы... P.S. Если есть какие-то вопросы по Check_MK, то могу ответить в силу накопленного (пока весьма скромного) опыта. -- С уважением, Кубашин Александр -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4ff6c904.5050...@k-sc.ru
Re: Мониторинг Icinga+PNP4Nagios+check_mk
06.07.2012 15:16, Кубашин Александр Сергеевич пишет: В продолжение темы: check_mk нравится всё больше и больше, уже получилось создать собственную проверку для мониторинга числа терминальных сессий Windows 2003/2008, но застрял на мониторинге интерфейсов Cisco (по SNMP)... Проблема в следующем: есть чуть меньше 3-х десятков интерфейсов (vlan-ы), которые мониторятся нормально, но имя проверок в Icinga и PNP4Nagios совпадают с именем интерфейса (в стиле Interface FastEthernet0/0.721), а мне нужно, чтобы показывался Description интерфейса (его человекочитаемое описание на cisco) или чтобы имя проверки можно было указать вручную (этот вариант пока наиболее предпочтителен)... Может у кого-то есть опыт решения данной проблемы... P.S. Если есть какие-то вопросы по Check_MK, то могу ответить в силу накопленного (пока весьма скромного) опыта. Писать в рассылку очень полезно... Только написал, сразу нашёл решение проблемы )) Нужно влючить в мониторинге версию snmp2c (читать про bulkwalk_snmp и if_inventory_uses_alias = True). -- С уважением, Кубашин Александр -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4ff6cd7b.7000...@k-sc.ru
Re: Реконвертировать из pdf в odt
29.06.2012 9:19, James Brown пишет: Доброе утро, Чем-то можно такое сделать? Похоже, конвертировали из odt в pdf (или из какого-то mso-шного формата), а нужно сделать, чтобы можно было заполнять форму на компе,а не от руки. Есть расширение http://extensions.services.openoffice.org/project/pdfimport/ (в убунте вроде даже в репозитории есть), но для начала стоит попробовать открыть PDF фирменным Adobe Reader (если там и правда форма предназначена для заполнения). -- С уважением, Кубашин Александр -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4ff59016.6080...@k-sc.ru
Мониторинг Icinga+PNP4Nagios+check_mk
Решил пересмотреть организацию своей системы мониторинга (связка Icinga+Cacti). Не нравится, что нужно отдельно настраивать Icinga и Cacti для мониторинга одних и тех же вещей, плюс потихоньку перехожу на управления конфигурациями через Puppet, а в нём есть встроенные средства для настройки Nagios. Первое, что нашлось это PNP4Nagios: прикрутил на тестовой машине к localhost, выглядит вполне симпатично: графики масштабируются (в munin этого очень не хватает), данные подхватываются из проверок Icinga (Nagios), что весьма удобно. Чуть позже натолкнулся на Check_MK, если кратко то это замена NPRE, NSClient++ и прочих с очень интересными плюшками. На первый взгляд выглядит потрясающе, но заставляет пересмотреть подход к организации мониторинга достаточно серьёзно. Смущает очень малое количество упоминаний на русском (английский не проблема, просто это говорит о скромной популярности проекта) и переход от активных проверок к пассивным. Если кто-нибудь сталкивался, поделитесь, пожалуйста, впечатлениями... -- С уважением, Кубашин Александр -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4fe93c88.3000...@k-sc.ru
Re: Puppet при автоматической установке
04.05.2012 14:06, Денис Мажар пишет: 04.05.2012 12:54, Кубашин Александр Сергеевич пишет: На данный момент часть сервисов уже управляется через Puppet, проблема именно в автоматической регистрации машины во время установки... Puppet умеет автоматически подписывать сертификаты клиентов и определять конфиг клиентов по рег. выражениям. Это не то что нужно? Спасибо, именно это и искал, уже нагуглил про /etc/puppet/|autosign.conf...| -- С уважением, Кубашин Александр
Re: Win-домен на Linux-сервере. Варианты реализации.
20.03.2012 1:31, Maksym Tiurin пишет: evgeny writes: [Исходное сообщение опубликовано на форуме: http://manualpages.pro/node/105] Решил я собрать воедино мысли о том, как управлять сетью предприятия. Так чтоб с одной стороны, удобно было, а с другой - не дорого и безопасно. Из того, что нынче есть в наличии и опробовано, рассказываю. *1*. Домен на Samba 3, без дополнений, то есть - с локальными пользователями. Эмулируется NT-домен, хорошо подходит для маленьких сеток. Вся настройка сводится к копированию конфигурации smb.conf и заведении пользователей, которое, кстати, можно придумать через какую-то Web-интерфейсину. Принципиально, можно попробовать множество дополнений, например, NT-политики. + простота, до дубового - заводить в такой домен Linux-машины кажется извращением - GPO полноценного нет Полноценный это со всеми плюшками 2008-го сервера? Если не обязательно то никто не мешает poledit'ом нагенерить нужных политик и сложить на самбу. Как владелец Samba-домена (с учётками в LDAP) на ~200 пользователей могу сказать следующее: 1) Poledit подходит для систем включая WinXP (которые потихоньку начинают вымирать), а в Win 7 они никак не работают (Win Vista мы успешно пропустили). 2) Poledit не поддерживает иерархическое наследование политик, т.е. там объектами управления являются: -- пользователь; -- группа пользователей; -- компьютер. Чаще всего этого хватает, но для больших сетей это неудобно. 3) Весь софт у меня устанавливается через WPKG (для Win-машин). Мы долго спорили с коллегами по поводу установки софта WPKG vs AD и договорились, что в WPKG сам софт ставится удобней (не нужно заморачиваться с перепаковкой в msi, гибче возможности по проверкам на необходимость установки и т.д.), но управление группами установки в AD лучше. 4) Вогнать Linux (Ubuntu 11.10) в Samba-домен оказалось то ещё приключение: Сначала я пытался авторизоваться через Samba (не помню что именно, но что-то в этой схеме мне не понравилось). Потом я сделал аутентификацию через pam_ldapd и nss_ldapd (на манер Debian Squeeze), но этот вариант тоже работал так себе, т.к. заставить аутентифицироваться комп с доменной учёткой при отсутствии сети почему-то не получилось (pam_ccred я использовал и nss-updatedb тоже), возможно это связано именно с Ubuntu 11.10 и не стандартными для неё pam_ldapd и nss_ldapd. Достаточно просто и элегантно заработал вариант с LDAP через pam_sss и nss_sss (это клиентская часть FreeIPA, которая появилась начиная с Ubuntu 11.10, в ReHat-based, по идее, должно быть уже давно). Но в этом варианте не работает сквозная аутентификация (SSO), т.к. Linux ничего не знает о NTLM, а Kerberos я не поднимал. Для подключения шар, требующих аутентификации, можно использовать pam_mount, но (чьёрт побери!!!) это нафиг ломало сеть при засыпании ноутбука, так что я от него отказался. 5) Я уже долго и занудно ищу варианты админки для управления учётками в LDAP, до сих пор не нашёл... Из того что можно посмотреть: -- LDAP Account Manager (LAM) -- простой, вроде всё необходимое есть, но запуск скриптов на создание учётки только в коммерческой верссии, поэтому отпал. -- GoSA -- супермегакомбайн, который вносит множество своих атрибутов в LDAP для работы. Если бы оно управляло только учётками, я бы этого монстра наверно полюбил, но оно хочет управлять даже настройками почтового сервера... Можно конечно все эти мегаплюшки просто игнорировать, но воевать с менеджером учёток за то чтобы он делал только нужную мне работу я не хочу. -- Zivios -- издалека похоже на то, что нужно (управление LDAP, Kerberos, DNS, Samba), но практически ничего невозможно найти по опыту реального использования этой штуки не то что на русском, а даже на английском языке. Плюс отсутствие большого вендора (ala RedHat) за спиной внушает опасение за дальнейшую судьбу проекта. P.S. sorry за копию в личку (сто лет в рассылку не отвечал) -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f68157e.7010...@k-sc.ru
Re: И вот пришла Злая Тётя Ддося
02.11.2011 14:23, Дмитрий Савельев пишет: On 01.11.2011 11:59, Дмитрий Савельев wrote: On 30.10.2011 17:40, Aleksandr Sytar wrote: Очень странно что nginx вам не подошел. В нем ест отличный инструмент limit_conn и limit_req. Может вы не не изучили документацию по этим модулям? Мне в свое время с помощью них и geoip удалось побороть 100Mbit ддос. А все-таки nginx пошел, это видимо или из-за ддос-атаки, или из-за анти-ддос настроек апача и iptables не всегда грузилось и выдавало ngunx timeout. Возникает вопрос, сохранять ли ранее описанные параноидальные настройки апача? Как я понимаю, если не сохранять, то процессы апача могут начать плодиться также, только через nginx? Сейчас вкуриваю материалы по nginx, вроде после его установки сначала все стало виснуть, затем немного повкуривал настройки, используя этот материал http://www.xakep.ru/post/49752/default.asp (хотя для нормальной ситуации, если нет ddos, такой конфиг, как я понимаю, - верх кривизны), сайту полегчало, но не до конца. Сейчас пытаюсь использовать limit_conn для определения наиболее активных ddos-еров, буду курить limit_req и geoip (т.к., я вполне понимаю, что посетителями моего сайта могут быть россияне + русскоязычные живущие в Европе и США, но египтяне, африканцы, индусы, аргентинцы и т.п. - вряд ли, если я так отсеку 10 легитимных пользователей из 1000 ддосеров, то это не очень хорошо, но на худой конец они могут и через проксю зайти, тем более что сайт больше ориентирован на тех, кто живет в России, на соотечественников за рубежом несколько в меньшей степени). Правда, сайт интенсивно ддосят с российских ip, а их по geoip не забанишь. Возник вопрос, что кэширование может в какой-то степени улучшить ситуацию, т.к. не будет подвешивать апач и php прорвавшимися запросами ддосеров. Однако, сервер у меня под lenny, там nginx nginx/0.6.32, он, как я понимаю, не умеет кэширование. Если поставить nginx из squeeze, не потащит он за собой лишних либ и полсистемы?! Нашел более новую версию на бэкпортах, так что из сквиз ставить не пришлось. Настроил кэширование, и даже после убирания из правил iptables баны ip ботнета - сайт работает отлично. 500 ботов пока положить его не могут. Пусть несколько поздновато, но сам когда-то озадачивался проблемой ДДОС, правда больше в теории, но систему защиты для одного сайта поднял. Работоспособность оценить не могу,т.к. ДДОСа так и не было :) Вместе с другом написали статью по настройке Nginx на Squeeze (http://manualpages.pro/node/31), там очень полезно глянуть раздел про оптимизацию, да и просто бегло почитать не помешает. P.S. Своими соображениями по защите от ДДОС поделюсь в личку если нужно... P.P.S. Достаточно сложная, но IMHO, очень полезная статья http://wiki.opennet.ru/DDoS -- C уважением, Кубашин Александр -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4eb14398.1040...@k-sc.ru
Медленная отрисовка графиков Cacti в Squeeze
После обновления с Lenny до Squeeze графики Cacti стали отображаться в несколько раз медленней, при этом сильно увеличилась нагрузка на CPU. Проблема решилась установкой прав 777 на каталог /var/cache/fontconfig. Причём после того как будет создан кэш шрифтов для rrdtool (после первой же отрисовки с внесёнными изменениями) можно вернуть права обратно. -- C уважением, Кубашин Александр -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4d526914.7080...@k-sc.ru
Re: Вопрос по pam_ldap
Alexander GQ Gerasiov пишет: - /etc/ldap/ldap.conf этот используется ldap-утилитами - /etc/pam_ldap.conf этот libpam_ldap - /etc/libnss-ldap.conf этот libnss_ldap смотря для каких целей. А для аутентификации пользователей (которые являются пользователями самбы по совместительству) который из них нужен? И какими утилитами используется /etc/ldap.conf? -- С уважением, Кубашин Александр -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Вопрос по pam_ldap
alex kuklin пишет: Artem Chuprina wrote: Кубашин Александр Сергеевич - Debian-russian @ Wed, 17 Oct 2007 10:32:06 +0400: - /etc/ldap/ldap.conf этот используется ldap-утилитами - /etc/pam_ldap.conf этот libpam_ldap - /etc/libnss-ldap.conf этот libnss_ldap смотря для каких целей. КАС А для аутентификации пользователей (которые являются КАС пользователями самбы по совместительству) который из них нужен? Для аутентификации - памовский. А вот пользуется самба памом или еще чем - это уже как она настроена... Если говорить о полноценном использовании самбы, то ее надо напрямую цеплять в LDAP, а не через PAM. Если нужно объединить базу самбы и локальных пользователей, то нужно 1. прописать подключение самбы в smb.conf 2. объяснить libnss и pam, что надо брать инфу из ldap Спасибо всем, самба уже более года через LDAP и работает, просто в sarge, если я не ошибаюсь, был только /etc/ldap.conf на всё, а в etch это несколько изменилось... Вот и решил разобраться что за чем нужно, учитывая, что содержимое всех трёх файлов у меня идентично... -- С уважением, Кубашин Александр -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Вопрос по pam_ldap
alex kuklin пишет: Кубашин Александр Сергеевич wrote: Спасибо всем, самба уже более года через LDAP и работает, просто в sarge, если я не ошибаюсь, был только /etc/ldap.conf на всё, а в etch это несколько изменилось... Вот и решил разобраться что за чем нужно, учитывая, что содержимое всех трёх файлов у меня идентично... Это ОЧЕНЬ странно. Настройки pam и nss чущественно разные. Переставьте libnss-ldap и libpam-ldap или возьмите оттуда дефолтные конфиги. Ну и в /etc/pam.d/* и /etc/nsswitch.conf не забудьте прописать. Идентичны только файлы /etc/libpam-ldap.conf и pam_ldap.conf... А pam.d и nsswitch.conf настроены давно, ещё при sarge. Сейчас поставил на чистом сервере libnss-ldap и libpam-ldap, разница в настройках сделанных Дебианом только в следующем: в pam_ldap.conf раскомментирована строка: pam_password md5 а в libnss-ldap.conf: nss_base_passwd ou=Users,dc=myorg,dc=ru |113 # (can be overriden by value of former attribute nss_base_passwd ou=Computers,dc=myorg,dc=ru |114 # in user's entry) nss_base_shadow ou=Users,dc=myorg,dc=ru |115 #pam_login_attribute userPrincipalName nss_base_group ou=Groups,dc=myorg,dc=ru |116 #pam_template_login_attribute uid Причём в закомментированном виде эти настройки есть в обоих файлах... Настройки для серверов ldap естественно совпадают. Соответственно, если эти настройки включены в оба файла (у меня так), то всё должно работать (да и работает собственно говоря). -- С уважением, Кубашин Александр -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Вопрос по pam_ldap
Здравствуйте. Не подскажете какой из файлов настройки pam_ldap используется в Debian Etch, а то я их насчитал 3 штуки: - /etc/ldap/ldap.conf - /etc/pam_ldap.conf - /etc/libnss-ldap.conf Рабочим вроде является только последний, но хочется уточнить нужны ли кому-нибудь остальные файлы... -- С уважением, Кубашин Александр -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP account web manager
Sergey Chumakov пишет: Hi All, Ищу протое web лицо для упрвления учетными записями (почтовыми) в LDAP. Свое рисовать я боюсь не осилю в приемлемые сроки и с нормальным качеством. Может есть что-нибудь, что можно использовать в качестве заготовки? Схема работает у меня простая - есть запись domain в /etc/passwd. Завожу с такими же uid/gid аккаунты в LDAP-е с именами domain-name, с помощью virtusertable отдаю им почту на [EMAIL PROTECTED] Сейчас LDAP правлю сам с шелла. Хочу отдать на сторону администрирование пользователей в рамках одного почтового домена. 2-3 простых операции - добавить, удалить ну и сменить полное имя. Тоже выбираю что-то подобное, пока ближе всех подошла gosa, но она очень плохо документирована и требует установки своих схем в LDAP, т.е. базу пользователей придется править под gosa, благо это не тяжело. Среди плюсов очень приятный веб-интрефейс и наличие на сайте пакета под Debian. https://gosa.gonicus.de/ -- С уважением,Кубашин Александр -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Проблема с достав кой почты
Alexander Lourier пишет: On Tuesday 26 December 2006 17:20, Кубашин Александр Сергеевич wrote: man iptables на предмет TCPMSS. Спасибо, после долгих экспериментнов добавил следующее правило $IPTABLES -A INPUT -p tcp -s 81.20.103.118 --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1400 и все заработало, единственно, что пришлось помучаться это в какую цепочку это правило нужно вставлять, просто книги по TCP/IP под руками не было :) P.S. разрешение всех icmp пакетов не помогало. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Проблема с достав кой почты
Alexander Lourier пишет: Значит они теряются у провайдера. Игры с MSS - это костыли. Надо или ругаться с провайдером, или менять его. Потери ICMP-пакетов могут плохо кончиться. Это я понимаю, но я не уверен, что это проблема моего провайдера, меня вобще тот почтовый сервер настораживет, он до сих пор по smtp работает (а не по esmtp) и приветствие выдают странное: 220 *2**200*20**2**0*00 Просто пока дозвонится до их админа не удалось, а мне нужно чтобы в праздники пока меня нет люди могли работать. А вот кто icmp пакеты режет вопрос действительно интересный... Не подскажите как это можно проверить? Еще раз спасибо :) С уважением, Кубашин Александр -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP account web manager
Kirill A. Korinskiy пишет: А оно сильно завязано на kde (просто иконка насторожила)? Еще что она умеет (feature list на сайте я так и не нашел)? К KDE она вобще отвношения не имеет, она имеет отношение к PHP :) Не могу сказать про все плюсы и минусы, т.к. пока еще только присматриваюсь, но среди плюсов: -- есть параметры для достаточного числа сервисов (Unix, samba, Opengroupware и т.д.); -- можно отключать ненужные сирвисы; -- можно пользователям позволить менять свои параметры, а возможно даже некоторые параметры других пользоваетелей (например телефоны), насколько это грамотно сделано сказать не могу; -- позволяет создать шаблоны пользователя, когда можно из логина сразу получить почтовый адрес, прописать другую служебную информацию и т.д.; -- есть русский интерфейс :). среди минусов: -- контроль доступа делается полностью через gosa, т.е. реально пользователь работает под правами администратора LDAP просто gosa не позволяет ему делать, что не положено; -- не вижу простого способа добавлять свои сервисы; -- с документацие очень туго. И вобще там демка есть :) С уважением, Кубашин Александр -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Проблема с достав кой почты
Alexey Lobanov пишет: Вполне вероятно, что глючная прошивка циски в кривых руках админа. А низкоприоритетного MX у них нет? Нельзя туда почту завернуть принудительно? А.Л. Видимо там действительно пробелма с сетью, т.к. ping до провайдера доходит с ttl = 243, а уже до самого почтового сервера (а если верить traceroute, то он сразу за провайдером) ttl уже 51... А альтернативного MX у них нет. Вобщем спасибо всем, т.к. проблема все таки решена удовлетворительным для меня образом, а с админами того почтовика я связался и проблему пояснил, они поблагодарили и обещали посмотреть :) С уважением, Кубашин Александр -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Проблема с доставк ой почты
Столкнулся с проблемой доставки почты на один единственный адрес при этом в логах exim v4.63 (/var/spool/exim4/msglog/): 2006-12-26 17:02:21 SMTP timeout while connected to proxy.ivene.elektra.ru [81.20.103.118] after sending data block (8189 bytes written): Connection timed out Это сообщение повторяется один в один при каждой попытке доставить почту, т.е. пишется всегда ровно 8189 байт. После долгих поисков в интернете в качестве решения проблемы нашел изменение mtu, после установки mtu в 1400 почта тут же ушла, но интернет практически перестал работать (icq работает, а странички не открываются). Может кто подскажет что можно сделать? -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Как повернуть стр аницу в latex?
Dmitry-T wrote: Хочется чтоб сохранялась общая нумерация страниц, было нормальное оглавление, но одно из приложений документа было повёрнуто в landscape (из-за очень длинной широкой таблицы). Обыскался, неужели в latex нельзя такое сделать? Это было давно при написании диплома, поэтому точно не подскажу, но код для вывода картинки в альбомной ориетнации у меня выглядел так: \begin{landscape} \begin{figure}[htb!] \begin{center} \includegraphics[height=0.85\textwidth]{img/db_scheme} \end{center} \caption{Схема базы данных} \label{fig:db_scheme} \end{figure} \end{landscape} В описании к стилю диплома нашел еще это: % Альбомная ориентация страниц \RequirePackage{lscape} Думаю должно хватить :) -- С уважением, Кубашин Александр -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: APT и частично proxy
Fedor пишет: Здрасте Как можно настроить APT чтобы он частично качал из локальной сети а частично пользовался прокси? Может apt-cacher настроить? У меня при этом /etc/apt/sources.list выглядит примерно так: deb ftp://samba-pdc.k-sc.ru/pub/debian_sarge/dvd1/ stable contrib main deb ftp://samba-pdc.k-sc.ru/pub/debian_sarge/dvd2/ stable contrib main deb ftp://samba-pdc.k-sc.ru/pub/debian_sarge/ local/ # Получаем обновления через apt-cacher deb http://192.168.1.27/apt-cacher/security.debian.org/ stable/updates main contrib P.S. samba-pdc.k-sc.ru имеет локальный адрес. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]