smbd_audit - frontend
Olá pessoal, Fazendo algumas pesquisas no Google para poder melhorar a auditoria do log do samba, encontrei um pacote chamado 'smb_audit-0.3.7' que segundo o arquivo de instalação possui uma espécie de sarg para os logs do samba que pode ser visualizado via interface web. Para poder instalar é preciso um arquivo mysql_audit.so para ser inserido dentro da pasta de libs vfs do samba. Eu não consigo encontrar este arquivo. Procurei no site da mysql, verifiquei na instalação do mysql q tenho na máquina. Alguém já usou este pacote? É funcional? Onde posso encontrar ou como faço para gerar o mysql_audit.so? Aproveitando, como disse eu tenho o full_audit configurado no samba para auditoria do arquivos de log. Eu criei dentro do syslog.conf uma instrução para enviar a saída deste módulo para um arquivo específico. No entanto, ele continua enviar a saída para o messages e o syslog, saturando o sistema com logs redundantes. Como faço para desabilitar a saída destes dois arquivos deixando apenas o que especifiquei para receber os registros? Abaixo a configuração usada no smb e no syslog.conf. Desde já obrigado. Pedro smb.conf # Auditoria vfs objects = full_audit full_audit:prefix = %U|%I|%m|%S full_audit:success = open, opendir, write, unlink, rename, mkdir, rmdir, chmod, chown full_audit:failure = none ; full_audit:facility = local5 full_audit:priority = notice syslog.conf user.*;user.!warn;authpriv.none;cron.none;mail.none;news.none -/var/log/samba/auditoria.log -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Exportação de dados cacti - res olvido
Rafael Balbino escreveu: Olá Pedro, Não tem muita dificuldade neste processo, basta você exportar o banco de dados do cacti e copiar os arquivos rra dos gráficos para o novo servidor. Se não me falhe a memoria os arquivos rra estão em /var/lib/cacti/rra -- Atenciosamente, Rafael Balbino Olá pessoal, Eu implantei o Cacti em uma máquina de teste para fazer o monitoramento dos servidores. Agora quero migrar as informações que foram coletados pelo programa para um outro servidor que será o definitivo. Alguém tem alguma dica sobre uma maneira prática de fazer isso? Os dois servidores estão usando a mesma versão. Alguém pode dar um dica? Desde já obrigado. Pedro -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org -- Assine agora mesmo a melhor Internet do RN !!! ACT Provedor de Internet http://www.act.psi.br Olá pessoal, Obrigado pelas dicas, eu copiei toda a base de dados do mysql e a toda a pasta onde estava instalado o cacti para o outro servidor e tudo funcionou corretamente. Feliz Ano novo para todos. Abraços. Pedro -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Exportação de dados cacti
Olá pessoal, Eu implantei o Cacti em uma máquina de teste para fazer o monitoramento dos servidores. Agora quero migrar as informações que foram coletados pelo programa para um outro servidor que será o definitivo. Alguém tem alguma dica sobre uma maneira prática de fazer isso? Os dois servidores estão usando a mesma versão. Alguém pode dar um dica? Desde já obrigado. Pedro -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
cmd 'df' trazendo informação errada
Olá pessoal, Eu limpei os dados da partição /var que estava ficando cheia, mas no entanto, o quando executo o comando df -h /var, ainda é exibido o espaço que estava sento utilizado anteriormente mas se executo du -hs /var ele retorna que o espaço disponível é bem maior e compatível com o espaço liberado depois da eliminação dos arquivos que realizei. A pergunta é, é possível de alguma forma fazer com que o comando df enxergue o a informação correta sem precisar reiniciar o equipamento ou desmontar a partição? É um equipamento crítico e se for possível gostaria de resolver sem precisar dar uma reboot. Desde já agradeço. Abraço Pedro -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: cmd 'df' trazendo informação errada - resolvido
PEdroArthur_JEdi escreveu: Como dito pelo colega, os arquivos, apesar de apagados, ainda podem estar em uso. Com o comando a seguir você poderá mandar um sinal HUP para todos os processos que possuem arquivos abertos no /var, mas esses arquivos não existem: lsof | awk '$9 ~ /\/var\// {system(if ! [ -e $9 ]; then kill -HUP $2 ; fi )}' Onde $9 é o arquivo e $2 o PID do processo. E é importante entender como o processo se comporta diante do sinal HUP. Na maioria dos leva o processo a re-ler seu arquivo de configuração. As dependências são lsfof, awk... Olá pessoal, Era o samba que não tinha interpretado o comando e ainda estava usando o log com tamanho antigo. Reiniciei o serviço e o 'df' agora está trazendo o espaço livre corretamente. Obrigado pelas dicas. Abraço Pedro -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Sugestão de script
Arthur Furlan escreveu: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Pedro Debian wrote: Olá pessoal, Olá, [...] Alguém conhece alguma forma de poder substituir este nomes dentro dos scripts? Tipo fazer um loço for que leia todos os .bat e ao encontrar o nome do servidor pdc o substitua pelo do bdc. Alguém conhece algum comando que possa fazer isso? Vocẽ pode fazer isso através do comando sed[1]: $ sed -i 's/PDC/BDC/g' arquivo.bat O comando acima irá substituir todas as ocorrências de PDC por BDC no arquivo arquivo.bat. [1]. http://sed.sourceforge.net - -- Atenciosamente, Arthur Furlan [EMAIL PROTECTED] -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.9 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iEYEARECAAYFAkkseSkACgkQHiIxAB175NzaWACgm/COb6hgTQdMO8EKhz+967DU ZUIAn32hE8gsrOS8UPgbdhI9VBh4jRt2 =9QAH -END PGP SIGNATURE- Olá Arthur, Muito obrigado pela dica foi de grande ajuda. Abraços Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Sugestão de script
Olá pessoal, Montei um domínio samba com uma máquina atuando como crontrolador de domínio replicando em um servidor BDC. A cada 5 minutos é feita uma cópia dos scripts usados para mapear as unidadades de rede dos clientes windows do PDC para o BDC. No entanto, todos os scripts tem internamente o nome (dns) do servidor PDC e se este sai fora do ar, apensar do bdc conseguir assumir seu papel as unidades não são mapeadas porque não encontram o controlador. Alguém conhece alguma forma de poder substituir este nomes dentro dos scripts? Tipo fazer um loço for que leia todos os .bat e ao encontrar o nome do servidor pdc o substitua pelo do bdc. Alguém conhece algum comando que possa fazer isso? Obrigado Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Compartilhamento Samba
Olá Eduardo, Eduardo Rodrigues da Luz escreveu: Opa, estou com um problema em um compartilhamento no samba, exemplo todos os usuários que eu dei permissão conseguem acessar a pasta, mais ao criar um arquivo, os outros usuários do mesmo grupo (boletins) não conseguem abrir para escrita, somente leitura, apenas se eu rodar um: # chgrp -R boletins /mnt/boletins # chmod -R 775 /mnt/boletins Pelo visto o problema que samba não está assumindo a permissão que passou. experimente adicionar os seguintes parâmetros ao compartilhamento: force create mode = 775 force directory mode = 775 mesmo assim depois se o usuário criar o arquivo o outro não consegue acessar com permissão de escrita, esse é meu compartilhamento no samba: [boletins] comment = Boletins path = /mnt/boletins writable = yes create mask = 0775 directory mask = 0775 valid users = +boletins estou usando o oldstable debian 3.1. Eduardo. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Sugestão para placa Gigabit - Debian 4
Olá pessoal, Todos os servidores Debian que administro estão atualmente trabalhando com a placa de rede DGE-530T Gigabit. É um excelente equipamento que nunca me deu problemas. No entanto, já estou com dificuldade de encontrar peças sobressalentes no mercado. Gostaria de sugestões de outros equipamentos que utilizam que tenham qualidade semelhantes e de preferência que o kernel do Debian 4 já detecte automaticamente. Desde já agradeço a colaboração. Abraços, Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
LDAP debian x Red Hat E5 - não resolvido
Olá pessoal, Tenho na rede um servidor Open Ldap sobre o Debian que autentica os usuários do samba. Todos os servers Debian funcionam e autenticam perfeitamente. Mas, precirei agora instalar um Server Red Hat Enterprise 5. Instalei o pacote nss_ldap e usei como base o mesmo os arquivos de configuração do samba dos servers Debian (domain servers). Alterei também a configuração do /etc/pam/system-auth adicionando o arquivo pam_ldap.so. Quando eu executo o comando getent passwd ele retorna os usuários do dominio corretamente, mas quando executo o net join -U useradm é retornado o erro: error setting trust account password: NT code 8x1c010002 Unable to join domain MeuDominio. Verifiquei no server ldap, e ele chegou a criar a conta da máquina, mas não deixa o micro ingressar no domínio. Alguém já passou por isso? Tem alguma dica para resolver o caso? Desde já agradeço. Obrigado, Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
LDAP debian x Red hat E5
Olá pessoal, Tenho na rede um servidor Open Ldap sobre o Debian que autentica os usuários do samba. Todos os servers Debian funcionam e autenticam perfeitamente. Mas, precirei agora instalar um Server Red Hat Enterprise 5. Instalei o pacote nss_ldap e usei como base o mesmo os arquivos de configuração do samba dos servers Debian (domain servers). Alterei também a configuração do /etc/pam/system-auth adicionando o arquivo pam_ldap.so. Quando eu executo o comando getent passwd ele retorna os usuários do dominio corretamente, mas quando executo o net join -U useradm é retornado o erro: error setting trust account password: NT code 8x1c010002 Unable to join domain MeuDominio. Verifiquei no server ldap, e ele chegou a criar a conta da máquina, mas não deixa o micro ingressar no domínio. Alguém já passou por isso? Tem alguma dica para resolver o caso? Desde já agradeço. Obrigado, Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Horário de verão Debian x XP
Olá pessoal, Tenho um Debian Etch como PDC da rede qual serve de base para sincronizar o horário das estações Windows XP e Vista da rede. Tenho também na rede um servidor NTP que sincroniza o horários dos demais servidores. Com a entrada do horário de verão, todos os servidores estão com o horário correto. No entanto as estações Windows estão com uma de atraso ainda. Ao executar o comando net time //pdc.meudominio é exibida a seguinte mensagem : A hora atual em \\pdc.meudominio é 09:24 AM A hora local em \\pdc.meudominio é 10:24 AM A hora correta é a segunda opção, mas o windows está atualizando nas estações a primeira opção. No servidor eu já instalei o pacote tz-brasil, e o time zone está configurado para America\SP. A saída do comando date é: Seg Out 20 10:26:51 BRST 2008 O servidor ntp local está sincronizando com o ntp.cais.rnp.br Alguém sabe o que posso fazer para resolver este problema? Obrigado Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Horário de verão Debian x XP - parcialmente resolvido
Pedro Debian escreveu: Olá pessoal, Tenho um Debian Etch como PDC da rede qual serve de base para sincronizar o horário das estações Windows XP e Vista da rede. Tenho também na rede um servidor NTP que sincroniza o horários dos demais servidores. Com a entrada do horário de verão, todos os servidores estão com o horário correto. No entanto as estações Windows estão com uma de atraso ainda. Ao executar o comando net time //pdc.meudominio é exibida a seguinte mensagem : A hora atual em \\pdc.meudominio é 09:24 AM A hora local em \\pdc.meudominio é 10:24 AM A hora correta é a segunda opção, mas o windows está atualizando nas estações a primeira opção. No servidor eu já instalei o pacote tz-brasil, e o time zone está configurado para America\SP. A saída do comando date é: Seg Out 20 10:26:51 BRST 2008 O servidor ntp local está sincronizando com o ntp.cais.rnp.br Alguém sabe o que posso fazer para resolver este problema? Obrigado Pedro Olá pessoal, Encontrei uma solução paleativa mas não completamente satisfatória para este problema. Neste servidor mudei o time zone de America/Sao Paulo para Brasilia com o comando tzconfig. Com isso o horário do servidor retornou para o horário normal necessitando fazer a mudança para o horário de verão manualmente. Mas as estações XP agora estão conseguindo sincronizar a hora correta. O problema que tenho que desativar o cliente ntp nesta máquina pois ao sincronizar com o servidor com o tz de Brasilia ela atrasa uma hora. Se alguém descobrir alguma outra forma me avise por favor. Obrigado Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Horário de verão Debian x XP - tz-brasil não funcinou com clientes wi ndows
Olá Brivaldo, Eu adicionei o mirror indicado na sua resposta e atualizei o pacote tz-brasil. No entanto, as estações Windows ainda continuam capturando a hora do servidor (tanto com tz Sao Paulo como Brasilia) com uma hora de atraso apesar de no servidor está correto. Executei o cliente ntp novamente e sincronizou a hora correta em dois servidores linux mas as estações windows permanecem capturando a hora com atraso. Se tiver alguma idéia me avise por favor. Obrigado, Pedro Brivaldo Junior escreveu: Postei na lista a poucos minutos atras qual o problema, o reportbug gerado e uma correção paliativa: Adicione o repositório temporário aqui da UFMS para isso: http://mirror.ufms.br/debian marvin main contrib non-free Entendam que este repositório é apenas para resolver alguns problemas da Universidade aqui ok? Mas soluciona esse problema. Att. Brivaldo Jr (condector) 2008/10/20 Pedro Debian [EMAIL PROTECTED]: Pedro Debian escreveu: Olá pessoal, Tenho um Debian Etch como PDC da rede qual serve de base para sincronizar o horário das estações Windows XP e Vista da rede. Tenho também na rede um servidor NTP que sincroniza o horários dos demais servidores. Com a entrada do horário de verão, todos os servidores estão com o horário correto. No entanto as estações Windows estão com uma de atraso ainda. Ao executar o comando net time //pdc.meudominio é exibida a seguinte mensagem : A hora atual em \\pdc.meudominio é 09:24 AM A hora local em \\pdc.meudominio é 10:24 AM A hora correta é a segunda opção, mas o windows está atualizando nas estações a primeira opção. No servidor eu já instalei o pacote tz-brasil, e o time zone está configurado para America\SP. A saída do comando date é: Seg Out 20 10:26:51 BRST 2008 O servidor ntp local está sincronizando com o ntp.cais.rnp.br Alguém sabe o que posso fazer para resolver este problema? Obrigado Pedro Olá pessoal, Encontrei uma solução paleativa mas não completamente satisfatória para este problema. Neste servidor mudei o time zone de America/Sao Paulo para Brasilia com o comando tzconfig. Com isso o horário do servidor retornou para o horário normal necessitando fazer a mudança para o horário de verão manualmente. Mas as estações XP agora estão conseguindo sincronizar a hora correta. O problema que tenho que desativar o cliente ntp nesta máquina pois ao sincronizar com o servidor com o tz de Brasilia ela atrasa uma hora. Se alguém descobrir alguma outra forma me avise por favor. Obrigado Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Horário de verão Debian x XP - tz-b rasil não funcinou com clientes windows
Olá, O pessoal do TI teve que desativar a opção das estações windows para ajustar a hora automaticamente com o horário de verão, pois as máquinas tinham mudado o horário antes do tempo. Esperávamos que com o horário de verão não teriámos este problema. Pedro Klebson Porfirio escreveu: Você já verificou se esta marcada a opção para ajustar hora automaticamente no horário de verão nas estações Windows? Em Seg, 2008-10-20 às 14:18 -0300, Pedro Debian escreveu: Olá Brivaldo, Eu adicionei o mirror indicado na sua resposta e atualizei o pacote tz-brasil. No entanto, as estações Windows ainda continuam capturando a hora do servidor (tanto com tz Sao Paulo como Brasilia) com uma hora de atraso apesar de no servidor está correto. Executei o cliente ntp novamente e sincronizou a hora correta em dois servidores linux mas as estações windows permanecem capturando a hora com atraso. Se tiver alguma idéia me avise por favor. Obrigado, Pedro Brivaldo Junior escreveu: Postei na lista a poucos minutos atras qual o problema, o reportbug gerado e uma correção paliativa: Adicione o repositório temporário aqui da UFMS para isso: http://mirror.ufms.br/debian marvin main contrib non-free Entendam que este repositório é apenas para resolver alguns problemas da Universidade aqui ok? Mas soluciona esse problema. Att. Brivaldo Jr (condector) 2008/10/20 Pedro Debian [EMAIL PROTECTED]: Pedro Debian escreveu: Olá pessoal, Tenho um Debian Etch como PDC da rede qual serve de base para sincronizar o horário das estações Windows XP e Vista da rede. Tenho também na rede um servidor NTP que sincroniza o horários dos demais servidores. Com a entrada do horário de verão, todos os servidores estão com o horário correto. No entanto as estações Windows estão com uma de atraso ainda. Ao executar o comando net time //pdc.meudominio é exibida a seguinte mensagem : A hora atual em \\pdc.meudominio é 09:24 AM A hora local em \\pdc.meudominio é 10:24 AM A hora correta é a segunda opção, mas o windows está atualizando nas estações a primeira opção. No servidor eu já instalei o pacote tz-brasil, e o time zone está configurado para America\SP. A saída do comando date é: Seg Out 20 10:26:51 BRST 2008 O servidor ntp local está sincronizando com o ntp.cais.rnp.br Alguém sabe o que posso fazer para resolver este problema? Obrigado Pedro Olá pessoal, Encontrei uma solução paleativa mas não completamente satisfatória para este problema. Neste servidor mudei o time zone de America/Sao Paulo para Brasilia com o comando tzconfig. Com isso o horário do servidor retornou para o horário normal necessitando fazer a mudança para o horário de verão manualmente. Mas as estações XP agora estão conseguindo sincronizar a hora correta. O problema que tenho que desativar o cliente ntp nesta máquina pois ao sincronizar com o servidor com o tz de Brasilia ela atrasa uma hora. Se alguém descobrir alguma outra forma me avise por favor. Obrigado Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Segurança: OpenVPN x Lan House
Realmente, se a máquina cliente estiver com problemas de segurança pode por abaixo todo esforço utilizado para a proteção dos dados uma vez que esta máquina vai ser um cliente confiável dentro da rede onde autenticou-se. Para estes casos é preciso fazer um trabalho de conscientização dos usuários. Sem isso qualquer outro recurso tecnológico por mais avançado que seja se tornará frágil. Outra medida segura para o uso de VPNs corporativas é restringir o acesso equipamentos específicos. Particularmente eu acho a idéia de acessar os dados da empresa a partir de um micro de uma lan-house ou qualquer equipamento de uso público extremamente alto. Trabalhando com micros da empresa ou dos clientes que precisam ter acesso, você pode gerar certificados digitais entre os clientes e servidores e usar recursos com o no-ip de forma que o servidor apenas aceite conexões dos clientes que estiverem dentro daquele dns previamente criado. O treinamento dos usuário quanto aos riscos e o uso destes recursos reduzem drasticamente. Pedro Fabiano Pires escreveu: A questão não é essa. A questão é que se a máquina de onde a pessoa vai conectar estiver comprometida, toda a segurança fica igualmente comprometida, independente da tecnologia de VPN utilizada. Fabiano 2008/10/14 Ali3n [EMAIL PROTECTED] mailto:[EMAIL PROTECTED] monta o openvpn com ssl que fica bem mais seguro. --- Em *ter, 14/10/08, Flávio R. Lopes /[EMAIL PROTECTED] mailto:[EMAIL PROTECTED]/* escreveu: De: Flávio R. Lopes [EMAIL PROTECTED] mailto:[EMAIL PROTECTED] Assunto: Segurança: OpenVPN x Lan House Para: Lista Slack Users [EMAIL PROTECTED] mailto:[EMAIL PROTECTED], debian-user-portuguese debian-user-portuguese@lists.debian.org mailto:debian-user-portuguese@lists.debian.org Data: Terça-feira, 14 de Outubro de 2008, 12:16 Já implementei com sucesso VPN's entre a Matriz e Filiais de clientes, inclusive em notbooks dos representantes e/ou diretores destas empresas. Minha dúvida é na verdade quanto a SEGURANÇA da conexão. Se um representante, por exemplo, precisar efetuar a conexão de uma Lan House ou Hotel ela será segura???...Quais os riscos estaria correndo? Abraço, Flavio -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] mailto:[EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] mailto:[EMAIL PROTECTED] Novos endereços, o Yahoo! que você conhece. Crie um email novo http://br.rd.yahoo.com/mail/taglines/mail/*http://br.new.mail.yahoo.com/addresses com a sua cara @ymail.com http://ymail.com ou @rocketmail.com http://rocketmail.com. -- Fabiano Pires http://pragasdigitais.blogspot.com/ Livrando você da escória da Internet -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Logs com horários diferentes
Olá pessoal, Checando os logs de um servidor me deparei com um fato no mínimo curioso. Verifiquei que os registros do log do samba por exemplo estão com a data e hora compatíveis com a saída do comando date. Já os registros do auth e messages estão com uma hora adiantada. Alguém sabe o motivo e como resolver isso? Este servidor tem o horário sincronizado por NTP e já executei o tz-brasil pois o micro tinha se adiantado ao horário de verão. Se alguém tiver alguma idéia a respeito me avise. Obrigado, Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
squid/ntlm x JRE1.6.0_07
Olá pessoal, Temos um proxy squid que faz autenticação dos clientes através do NTLM aproveitando a base samba dos nossos servidores. O proxy é configurado no browser das máquinas de todos os usuários. Precisei semana passada fazer um acesso a um site que tinha como requisito o jre da Sun. No entanto, ao tentar passar pelo proxy é solicitado o nome, senha e domino. Fiz várias pesquisas na internet, mas encontrei apenas questionamentos como o minha duvida sem respostas. Desde já muito obrigado. Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Squid com dois meios de autenticação - sugest ão de script
Mensagem original Assunto: Re: Squid com dois meios de autenticação Resent-Date: Sat, 5 Jul 2008 22:37:14 + (UTC) Resent-From: debian-user-portuguese@lists.debian.org Data: Sat, 05 Jul 2008 19:40:50 -0300 De: Felipe Augusto van de Wiel (faw) [EMAIL PROTECTED] Responder a: d-u-p debian-user-portuguese@lists.debian.org Para: d-u-p debian-user-portuguese@lists.debian.org Referências: [EMAIL PROTECTED] -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 On 05-07-2008 09:04, Pedro Celio wrote: Olá pessoal, Uso o squid x ntml x ldap para autenticar os usuários da rede. Tudo funciona muito bem para os usuários que estão no dominio, uma vez que isso é necessário pois são aproveitados os usuários do samba. No entanto, devido a uma parceria de uma empresa tercerizada que precisa ter acesso a internet eu gostaria de usar LDAP para autenticar estes usuários fora do domínio. Gostaria de saber se existe alguma forma de instânciar dois métodos de autenticação dentro de um mesmo servidor squid. Alguém saber se é possível e como fazer isso? Você pode escrever um script shell pra fazer a autenticação em várias fases desde que ele respeite a interface do Squid. auth_param basic program seu_script Dentro do seu_script você pode ter primeiro a autenticação em NTML e um teste pra caso ela não funcione usar a autenticação em LDAP. Abraço, - -- Felipe Augusto van de Wiel (faw) Debian. Freedom to code. Code to freedom! -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org Olá Pessoal, A idéia do Felipe é muito interessante, alguém tem algum exemplo deste tipo de script para que eu possa fazer o teste Abraços, Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Desativar o portmap na inicialização Debian
Olá pessoal, Utilizo alguns micros com o Debian 3/4 para fazer roteamento entre as subredes. Eu costumo deixar apenas o ssh ativado para manutenção remota do sistema. No entanto, todas as vezes que reinicializo a máquina, o portmap também é carregado. Já o desativei pelo sysvconfi, desativei o inetd. Mas ele ainda continua carregando. Alguém pode me ajudar a desabitá-lo? Abraços Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Acessar CDROM no qemu
Olá pessoal, Tenho um server rodando o Etch x64. Instalei o qemu com uma versão do Etch x32 dentro de uma vm. Estou conseguindo usar a rede, mas qdo tendo montar o cd dentro do qemu diz que a mídia não está carregada. No dmesg aparece que foi reconhecido o disposivido, mas não consigo usar. É preciso usar algum parâmetro para isso? O Linux já está instalado e funcionando na vm, só o acesso ao cd que não está funcionando. Obrigado Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Erro ao adicionar Server Samba no dom inio - versões diferentes
Olá pessoal, Tenho um PDC (samba+LDAP) sobre o Debian 4 Etch rodando na rede. Estou adicionando mais um Server com Oracle sobre o Linux Oracle Enterprise 5. Qdo tento adicionar o novo server no domínio, aparece o seguinte erro: net join -U administrador error setting trust account password: NT code 0x1c010002 Unable to join domain DOMINIO Verifiquei que a versão do samba nas duas máquinas é diferente: a do PDC - 3.0.24, já no Linux Oracle a versão do samba é 3.0.25b. Tenho outro servidor com a versão 3.0.14 que conseguiu entrar no domínio normalmente, mas também usa Debian ( 3 Sarge) Verifiquei no LDAP e a conta da máquina foi criada corretamente. Logo imagino que o erro seja em alguma configuração do samba. Alguém tem idéia do que pode ser o erro? Desde já obrigado. Abraço Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
iptables x MAC address
Olá pessoal, Estou tentando criar um regra para uma máquina no iptables com o objetivo de realizar a seguinte ação: Esta máquina possui o programa DAPI-SEF instalado que usa a porta 443 para a transmissão dos arquivos. O firewall possui uma política restritiva que impede que sejam feitos acessos as portas altas (com exceção do proxy) para fora da rede. Mesmo colocando o programa no proxy, ele continua fazendo acesso por portas de origem aleatórias o que acarreta o bloqueio da conexão. Pensei em criar uma regra no firewall informando o MAC da máquina permitindo este tipo de acesso. Criei a seguinte regra: iptables -A FORWARD -m mac --mac-source endereço mac -p tcp --dport 443 -j ACCEPT iptables -A FORWARD -m mac --mac-source endereço mac -p tcp --sport 443 -j ACCEPT mas no entanto, não funcionou. Alguém pode me dar alguma dica de como usar o endereço MAC para criar esta regra? A alternativa que estou usando é travar um ip para esta estação no servidor DHCP e fazer a liberação do serviço através de uma regra sobre este endereço. Mas gostaria de saber como funciona este recurso usando o MAC. Desde já muito obrigado. Abraços. Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Dica - Regras contra malwares para o squid
Olá pessoal, Com o aumento vertiginoso dos golpes de phishing e envio de emails bomba com falsas intimações da justiça, pedidos de troca de senha de bancos, etc, apenas os comunicados internos avisando os usuários que isso se trata de golpes não é suficiente, sempre tem aquele mais teimoso que insiste em clicar no link que redireciona para o arquivo 'te_peguei_babaca.exe' e depois é o administrador da rede que tem que ficar depois do expediente para concertar o estrago. Eu encontrei um site auxilia muito o administrador neste hora é o 'www.malware.com.br'. Eles fazem a atualização de uma lista de malwares mais atual e disponibilizam para download a cada 4 horas para o uso em regras do Clamav,DansGuardian, Squid entre outros. No próprio site tem um How to super simples que ensina a baixar e atualizar dinamicamente as regras (no meu caso do squid) para o Administrador não precisar se preocupar. Eu já fiz o teste e funcionou corretamente quando um usuário teimoso clicou no link não foi permitido o acesso ao site. Eu criei também uma pagina de erro específica para este tipo de bloqueio para fazer uma pressão psicológica sobre os teimosos. Vale a pena experimentar. Abraço a todos, Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Resp.: squid autenticando base ldap/samba
Ok Luiz, Pela mensagem o problema está na hora de fazer a gravação do cache do proxy. dá uma olhada nas permissões da pasta /var/cache/squid. Verifique qual o usuário do sistema o squid está relacionado, geralmente é o usuário 'proxy'. Se esta pasta tiver como dono e grupo o root, mude as permissões para o usuário 'proxy' - chown proxy:proxy /var/cache/squid e dê permissões de leitura e escrita para o novo usuário. Faça o teste e mande o retorno. Good luck Pedro Luiz Noal escreveu: modifiquei meu squid conf conforme a linha abaixo e continuo não tendo acesso ao cache do squid: auth_param basic program /usr/lib/squid/ldap_auth -R -b ou=Users,dc=DOMINIO -f uid=%s -d one -h ip do server samba Eis a saída retornada pelo browser Na tentativa de recuperar a URL: http://www.google.com/ O seguinte erro foi encontrado: * Proibido o acesso ao Cache. Eis a saída no access.log 1213012918.737 24 10.26.23.3 TCP_DENIED/407 2896 GET http://www.google.com/ ruindows NONE/- text/html alguma idéia ? Em 06/06/08, Pedro Debian[EMAIL PROTECTED] escreveu: Luiz Noal escreveu: olá lista, tenho uma base ldap/samba funcionando de maneira integrada, os usuários são autenticados na base, seja a partir de hosts linux ou ruindows, mas o squid 2.6 não está querendo se autenticar na base ldap de modo algum . eis alguns trechos de meu squid conf: http_port 10.xx.xx.3:3128 auth_param basic program /usr/lib/squid/ldap_auth -b dc=6bd,dc=br acl navegar proxy_auth REQUIRED http_access allow navegar alguma dica ou opinição ? Olá Luis Eu também já usei o esta combinação squidxldapxsamba, mas a configuração que usei era um pouco diferente da sua como pode ver abaixo. auth_param basic program /usr/lib/squid/ldap_auth -R -b ou=Users,dc=DOMINIO -f uid=%s -d one -h ip do server samba auth_param basic children 3 Dá uma olhada também no log do squid no momento que estiver fazendo a conexão: tail -f /var/log/squid/access.log veja se apresenta algum erro ou mensagem de acesso negado. Qualquer dúvida poste aqui. Abraço Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Ext3 x Gparted - RESOLVIDO
Carlos Ribeiro escreveu: Conforme a saída do parted, há uma certa confusão no particionamento. Veja que a partição 3, extendida, deveria ir dos 16GB até 80GB que é o final do disco, mas tem apenas 4GB !!!. Minha sugestão é que refaça as partições 3, 4 e 5, corrigindo a 3 para os valores corretos, eliminando a 4 que passaria a ser 5 ou 6 conforme sua necessidade e os sistemas já instalados. CR 2008/6/5 David F. A. B. Fante [EMAIL PROTECTED] mailto:[EMAIL PROTECTED]: Pedro Debian escreveu: Olá pessoal, Através do Gparted eu transformei duas partições em uma grande. Nesta partição já está o SO instalado. Qdo executo o fdisk/cfdisk sobre a partição, ele reconhece o novo tamanho. Mas o sistema ainda está mostrando o tamanho anterior antes da execução do procedimento. Tem alguma maneira de fazer o linux reconhecer a nova estrutura? Amigo, isso é bem estranho, como eu não sei como o sistema está lhe informando espaço em disco, no terminal digite: # df E poste o resultado, aproveite e poste o resultado do fdisk, assim ficará mais fácil de a lista te ajudar. Desde já obrigado. Abraços... pedro David F A B Fante -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] mailto:[EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] mailto:[EMAIL PROTECTED] -- CARLOS RIBEIRO Linux-User: 183.572 Machine: 195.669 São Luís - Maranhão - Brasil Olá pessoal, Consegui resolver este problema. Existe um comando especialmente criado para estas situações é o resize2fs -p /dispositivo que está presente no e2fsprogs. Antes de executá-lo é necessário rodar o e2fsck -f sobre os dispositivos. Abraço a todos. Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Ext3 x Gparted - RESOLVIDO
Carlos Ribeiro escreveu: Faz a gentileza de nos mostrar como ficou a saída do comando parted -l ou fdisk -l . Obrigado. CR 2008/6/6 Pedro Debian [EMAIL PROTECTED] mailto:[EMAIL PROTECTED]: Carlos Ribeiro escreveu: Conforme a saída do parted, há uma certa confusão no particionamento. Veja que a partição 3, extendida, deveria ir dos 16GB até 80GB que é o final do disco, mas tem apenas 4GB !!!. Minha sugestão é que refaça as partições 3, 4 e 5, corrigindo a 3 para os valores corretos, eliminando a 4 que passaria a ser 5 ou 6 conforme sua necessidade e os sistemas já instalados. CR 2008/6/5 David F. A. B. Fante [EMAIL PROTECTED] mailto:[EMAIL PROTECTED] mailto:[EMAIL PROTECTED] mailto:[EMAIL PROTECTED]: Pedro Debian escreveu: Olá pessoal, Através do Gparted eu transformei duas partições em uma grande. Nesta partição já está o SO instalado. Qdo executo o fdisk/cfdisk sobre a partição, ele reconhece o novo tamanho. Mas o sistema ainda está mostrando o tamanho anterior antes da execução do procedimento. Tem alguma maneira de fazer o linux reconhecer a nova estrutura? Amigo, isso é bem estranho, como eu não sei como o sistema está lhe informando espaço em disco, no terminal digite: # df E poste o resultado, aproveite e poste o resultado do fdisk, assim ficará mais fácil de a lista te ajudar. Desde já obrigado. Abraços... pedro David F A B Fante --To UNSUBSCRIBE, email to [EMAIL PROTECTED] mailto:[EMAIL PROTECTED] mailto:[EMAIL PROTECTED] mailto:[EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] mailto:[EMAIL PROTECTED] mailto:[EMAIL PROTECTED] mailto:[EMAIL PROTECTED] -- CARLOS RIBEIRO Linux-User: 183.572 Machine: 195.669 São Luís - Maranhão - Brasil Olá pessoal, Consegui resolver este problema. Existe um comando especialmente criado para estas situações é o resize2fs -p /dispositivo que está presente no e2fsprogs. Antes de executá-lo é necessário rodar o e2fsck -f sobre os dispositivos. Abraço a todos. Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] mailto:[EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] mailto:[EMAIL PROTECTED] -- CARLOS RIBEIRO Linux-User: 183.572 Machine: 195.669 São Luís - Maranhão - Brasil Olá Carlos, A saída do parted -l não mudou nada em relação a que havia enviado no email anterior pois isso já estava correto reconhecendo os 60GB (partição 4): Number Start End SizeType File system Sinalizador 1 32,3kB 1003MB 1003MB primária linux-swap 2 1003MB 16,0GB 15,0GB primária ext3 3 16,0GB 20,0GB 4006MB extendida 5 16,0GB 16,5GB 502MB lógica ext3 boot 4 20,0GB 80,0GB 60,0GB primária ext3 O que foi resolvido, é o reconhecimento no restante do espaço adcionado à partição depois que executei o Gparted para os 60GB: Sist. Arq.Tam Usad Disp Uso% Montado em /dev/sda4 55G 13G 40G 24% / Através do resize2fs os Linux conseguir enxergar o espaço adicional. Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: squid autenticando base ldap/samba
Luiz Noal escreveu: olá lista, tenho uma base ldap/samba funcionando de maneira integrada, os usuários são autenticados na base, seja a partir de hosts linux ou ruindows, mas o squid 2.6 não está querendo se autenticar na base ldap de modo algum . eis alguns trechos de meu squid conf: http_port 10.xx.xx.3:3128 auth_param basic program /usr/lib/squid/ldap_auth -b dc=6bd,dc=br acl navegar proxy_auth REQUIRED http_access allow navegar alguma dica ou opinição ? Olá Luis Eu também já usei o esta combinação squidxldapxsamba, mas a configuração que usei era um pouco diferente da sua como pode ver abaixo. auth_param basic program /usr/lib/squid/ldap_auth -R -b ou=Users,dc=DOMINIO -f uid=%s -d one -h ip do server samba auth_param basic children 3 Dá uma olhada também no log do squid no momento que estiver fazendo a conexão: tail -f /var/log/squid/access.log veja se apresenta algum erro ou mensagem de acesso negado. Qualquer dúvida poste aqui. Abraço Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Ext3 x Gparted - RESOLVIDO
Carlos Ribeiro escreveu: Até agora não tive problemas no uso do Gparted, semelhante a esse citado por ti. A diferença, e que até certo fica incompreensível para mim, é a existência de uma partição extendida com 4GB. Caso tenhas interesse na discussão, me diz como esses 4GB estão sendo usado, qual o file system, etc. Mais uma vez obrigado pela atenção. CR PS: Desculpa minha insistência. O que aprendi até hoje é resultado dessa constante busca de resposta para coisas/problemas que não compreendo. Olá Carlos, Neste mesmo hd tenho outro S.O instalado. Por algum motivo que ainda não consegui descobrir aquela partição de 4GB ficou inacessível. Mas como estou trabalhando com outra partição não dei muita importância para ela. Mas realmente, esta partição está sobrando ai. Provavelmente eu a irei excluir futuramente. Obrigado. Pedro 2008/6/6 Pedro Debian [EMAIL PROTECTED] mailto:[EMAIL PROTECTED]: Carlos Ribeiro escreveu: Faz a gentileza de nos mostrar como ficou a saída do comando parted -l ou fdisk -l . Obrigado. CR 2008/6/6 Pedro Debian [EMAIL PROTECTED] mailto:[EMAIL PROTECTED] mailto:[EMAIL PROTECTED] mailto:[EMAIL PROTECTED]: Carlos Ribeiro escreveu: Conforme a saída do parted, há uma certa confusão no particionamento. Veja que a partição 3, extendida, deveria ir dos 16GB até 80GB que é o final do disco, mas tem apenas 4GB !!!. Minha sugestão é que refaça as partições 3, 4 e 5, corrigindo a 3 para os valores corretos, eliminando a 4 que passaria a ser 5 ou 6 conforme sua necessidade e os sistemas já instalados. CR 2008/6/5 David F. A. B. Fante [EMAIL PROTECTED] mailto:[EMAIL PROTECTED] mailto:[EMAIL PROTECTED] mailto:[EMAIL PROTECTED] mailto:[EMAIL PROTECTED] mailto:[EMAIL PROTECTED] mailto:[EMAIL PROTECTED] mailto:[EMAIL PROTECTED]: Pedro Debian escreveu: Olá pessoal, Através do Gparted eu transformei duas partições em uma grande. Nesta partição já está o SO instalado. Qdo executo o fdisk/cfdisk sobre a partição, ele reconhece o novo tamanho. Mas o sistema ainda está mostrando o tamanho anterior antes da execução do procedimento. Tem alguma maneira de fazer o linux reconhecer a nova estrutura? Amigo, isso é bem estranho, como eu não sei como o sistema está lhe informando espaço em disco, no terminal digite: # df E poste o resultado, aproveite e poste o resultado do fdisk, assim ficará mais fácil de a lista te ajudar. Desde já obrigado. Abraços... pedro David F A B Fante --To UNSUBSCRIBE, email to [EMAIL PROTECTED] mailto:[EMAIL PROTECTED] mailto:[EMAIL PROTECTED] mailto:[EMAIL PROTECTED] mailto:[EMAIL PROTECTED] mailto:[EMAIL PROTECTED] mailto:[EMAIL PROTECTED] mailto:[EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] mailto:[EMAIL PROTECTED] mailto:[EMAIL PROTECTED] mailto:[EMAIL PROTECTED] mailto:[EMAIL PROTECTED] mailto:[EMAIL PROTECTED] mailto:[EMAIL PROTECTED] mailto:[EMAIL PROTECTED] --CARLOS RIBEIRO Linux-User: 183.572 Machine: 195.669 São Luís - Maranhão - Brasil Olá pessoal, Consegui resolver este problema. Existe um comando especialmente criado para estas situações é o resize2fs -p /dispositivo que está presente no e2fsprogs. Antes de executá-lo é necessário rodar o e2fsck -f sobre os dispositivos. Abraço a todos. Pedro --To UNSUBSCRIBE, email to [EMAIL PROTECTED] mailto:[EMAIL PROTECTED] mailto:[EMAIL PROTECTED] mailto:[EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] mailto:[EMAIL PROTECTED] mailto:[EMAIL PROTECTED] mailto:[EMAIL PROTECTED] -- CARLOS RIBEIRO Linux-User: 183.572 Machine: 195.669 São Luís - Maranhão - Brasil Olá Carlos, A saída do parted -l não mudou nada em relação a que havia enviado no email anterior pois isso já estava correto
Ext3 x Gparted
Olá pessoal, Através do Gparted eu transformei duas partições em uma grande. Nesta partição já está o SO instalado. Qdo executo o fdisk/cfdisk sobre a partição, ele reconhece o novo tamanho. Mas o sistema ainda está mostrando o tamanho anterior antes da execução do procedimento. Tem alguma maneira de fazer o linux reconhecer a nova estrutura? Desde já obrigado. pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Ext3 x Gparted
David F. A. B. Fante escreveu: Pedro Debian escreveu: Olá pessoal, Através do Gparted eu transformei duas partições em uma grande. Nesta partição já está o SO instalado. Qdo executo o fdisk/cfdisk sobre a partição, ele reconhece o novo tamanho. Mas o sistema ainda está mostrando o tamanho anterior antes da execução do procedimento. Tem alguma maneira de fazer o linux reconhecer a nova estrutura? Amigo, isso é bem estranho, como eu não sei como o sistema está lhe informando espaço em disco, no terminal digite: # df E poste o resultado, aproveite e poste o resultado do fdisk, assim ficará mais fácil de a lista te ajudar. Desde já obrigado. Abraços... pedro David F A B Fante Olá André, Seguem as informações que vc pediu. Esta é a partição que executei o gparted df -h Sist. Arq.Tam Usad Disp Uso% Montado em /dev/sda4 24G 13G 11G 54% / tmpfs 938M 0 938M 0% /dev/shm Abaixo vai a saída do parted -l /dev/sda. Pode verificar que a partição 4 é exibida como 60 Gb mas o linux está reconhecendo apeans os 24 Gb anteriores. Number Start End SizeType File system Sinalizador 1 32,3kB 1003MB 1003MB primária linux-swap 2 1003MB 16,0GB 15,0GB primária ext3 3 16,0GB 20,0GB 4006MB extendida 5 16,0GB 16,5GB 502MB lógica ext3 boot 4 20,0GB 80,0GB 60,0GB primária ext3 Desde já muito obrigado. Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Comportamento estranho r8169 - Descoberta
Olá Pessoal, Fiz alguns testes e verifiquei que quando a máquina inicia sem o cabo de rede conectado ao switch, ao ser conectado depois, é reconhecida apenas as velocidade de 10 Mbits. Se a máquina for iniciada com o cabo de rede conectado, o problema não acontece. Testei com cabos certificados, com outros que nos mesmos crimpamos, mas o erro aconteceu em ambos os casos quando a máquina incia sem o cabo. Fiz o teste em outro micro desta vez um Core2Duo com esta mesma placa onboard e o mesmo problema aconteceu. O problema não acontece com as placas Dlink Gigabit DGE 530T. Alguém sabe se existe algum bug no driver da 8169 que possa causar este problema? Alguma sugestão para resolvê-lo? Obrigado pedro Junior Polegato - Linux escreveu: Pedro Celio escreveu: Instalei uma placa Realtek Gbit em um equipamento (P3 650 Mhz) com o Debian 4 Etch. O sistema reconheceu e carregou a placa. No entanto a velocidade de comunicação ficou a 10 Mbits. Eu usei o rmmod para remover o módulo carregado, reiniciei a máquina com um cabo de rede plugado em uma porta 1000 do switch. Subiu corretamente, no entanto, qdo eu despluguei o cabo para conectar em outra porta 1000 do mesmo switch, a velocidade caiu novamente e só reestabeleceu ao normal qdo reiniciei o micro. Alguém já viu algo do tipo? Estou usando a versão 2.6.18-6-486 do kernel. Olá, Rede gigabit precisa de cabos feitos conforme especificações CAT-5e ou CAT-6 para funcionarem. Agora para funcionarem realmente de acordo, sem surpresas, vai de CAT-6 com fios e conectores blindados. Em breve espero estar comercializando esses padrões. Verifique também o problema de aterramento e contato, pois sinais sofrem muito com isso, além de estática e conectores mal feitos/acabados. []'s Junior Polegato -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Samba Controlador de Domínio NÃO RODA SCRIPT
Flávio R. Lopes escreveu: Olá Pedro...obrigado por me responder. Vamos lá Simrodando manualmente \\Servidor\netlogon\netlogon.bat deu certo!!a unidade é mapeada!!! Ok! O meu compartilhamento netlogon está assim: [netlogon] comment = Servico de logon path = /var/samba/netlogon read only = No create mask = 0777 directory mask = 0777 guest ok = yes browseable = no No meu compartilhamento só não tem a Tag: available=yes conforme vc sugere no seu exemplo. Aliás, para que server este available=yes ?? Outra coisase eu entrar pelo ambiente de rede no servidor, o A opção available qdo yes indica que o compartilhamento está ativo, mas na ausência do mesmo o smb.conf por default ele já fica ativado no sistema. compartilhamento [netlogon] não apareceaté aí acho que é para ser assim mesmo...certo??? Por exemplo, o compartilhamento Publico aparece e permite os usuários acessarem o diretório... O compartilhamento não aparece porque a opção browseable esta definida para 'no', é ela que exibe ou oculta o compartilhamento. E respondendo sua última pergunta, SIM O parâmetro logon script está igualzinho ao que vc descreveu, ou seja, logon script = netlogon.bat Tem alguma sugestão? Ok. Existem algumas outras opções que podem influenciar este comportamento. Verifique dentro da seção [global] do smb.conf se as seguintes opções existem e estão setadas com os parâmetros corretos: ... local master = yes domain master = yes preferred master = yes domain logons = yes ... Caso não estejam configuradas, as insira, reinicialize o samba e faça o teste. Good lucky! Abraços Pedro Abraço, Flávio Pedro Debian escreveu: Olá Flávio, Flávio R. Lopes escreveu: Olá galera. Estou testando aqui um SAMBA como Controlador de Domínio (PDC). Pelos documentos que achei na Net, consegui fazer uma estação com Win-XP entrar no Domínio. Fez uma ótima escolha, uso o samba a 6 anos é um excelente programa. O problema é que não consegui fazer rodar, quando o usuário loga no domínio o Script de Logon, no meu caso chameio-o de netlogon.bat que fica armazenado em /var/samba/netlogon Ok. Como está a configuração do seu [netlogon]? Ele está ativo? Vc tentou executar o script manualmente \\servidor\netlogon\netlogon.bat? Se fez isso, ele foi executado corretamente e a unidade foi mapeada? Segue um exemplo funcional de configuração do netlogon: [netlogon] browseable=no path=/var/samba/netlogon available=yes Outra coisa: o parâmetro logon script = netlogon.bat foi definido desta forma? No meu arquivo netlogon.bat tem somente uma instrução para mapear uma unidade de rede, já devidamente compartilhada no smb.conf. A instrução é essa: net use h: \\Servidor\Publico /yes Já cheguei a dar permissão 777 no diretório e no arquivo, mas não funciona. Alguém tem alguma dica?...Onde será que estou fazendo cáca?? Abraço, Flávio Boa sorte Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Samba Controlador de Domínio NÃO RODA SCRIPT
Flávio R. Lopes escreveu: Oi Pedro Entãona minha seção [Global] tem todas essas opções. Entãoé por isso q não consigo entender o q acontece. Alguma outra sugestão? Ok! Como está definida a opção security? Esta setada para user? O usuário que vc está logando no samba é um usuário válido? Execute um tail -f /var/log/samba/[seu arquivo de log] antes de executar o logon no sistema e fique reparando se ele vai executar algo no netlogon, verifique se aparace alguma mensagem de erro. Se for o caso pegue o log e poste aqui para a gente dar uma analisada. Good lucky! Pedro Pedro Debian escreveu: Flávio R. Lopes escreveu: Olá Pedro...obrigado por me responder. Vamos lá Simrodando manualmente \\Servidor\netlogon\netlogon.bat deu certo!!a unidade é mapeada!!! Ok! O meu compartilhamento netlogon está assim: [netlogon] comment = Servico de logon path = /var/samba/netlogon read only = No create mask = 0777 directory mask = 0777 guest ok = yes browseable = no No meu compartilhamento só não tem a Tag: available=yes conforme vc sugere no seu exemplo. Aliás, para que server este available=yes ?? Outra coisase eu entrar pelo ambiente de rede no servidor, o A opção available qdo yes indica que o compartilhamento está ativo, mas na ausência do mesmo o smb.conf por default ele já fica ativado no sistema. compartilhamento [netlogon] não apareceaté aí acho que é para ser assim mesmo...certo??? Por exemplo, o compartilhamento Publico aparece e permite os usuários acessarem o diretório... O compartilhamento não aparece porque a opção browseable esta definida para 'no', é ela que exibe ou oculta o compartilhamento. E respondendo sua última pergunta, SIM O parâmetro logon script está igualzinho ao que vc descreveu, ou seja, logon script = netlogon.bat Tem alguma sugestão? Ok. Existem algumas outras opções que podem influenciar este comportamento. Verifique dentro da seção [global] do smb.conf se as seguintes opções existem e estão setadas com os parâmetros corretos: ... local master = yes domain master = yes preferred master = yes domain logons = yes ... Caso não estejam configuradas, as insira, reinicialize o samba e faça o teste. Good lucky! Abraços Pedro Abraço, Flávio Pedro Debian escreveu: Olá Flávio, Flávio R. Lopes escreveu: Olá galera. Estou testando aqui um SAMBA como Controlador de Domínio (PDC). Pelos documentos que achei na Net, consegui fazer uma estação com Win-XP entrar no Domínio. Fez uma ótima escolha, uso o samba a 6 anos é um excelente programa. O problema é que não consegui fazer rodar, quando o usuário loga no domínio o Script de Logon, no meu caso chameio-o de netlogon.bat que fica armazenado em /var/samba/netlogon Ok. Como está a configuração do seu [netlogon]? Ele está ativo? Vc tentou executar o script manualmente \\servidor\netlogon\netlogon.bat? Se fez isso, ele foi executado corretamente e a unidade foi mapeada? Segue um exemplo funcional de configuração do netlogon: [netlogon] browseable=no path=/var/samba/netlogon available=yes Outra coisa: o parâmetro logon script = netlogon.bat foi definido desta forma? No meu arquivo netlogon.bat tem somente uma instrução para mapear uma unidade de rede, já devidamente compartilhada no smb.conf. A instrução é essa: net use h: \\Servidor\Publico /yes Já cheguei a dar permissão 777 no diretório e no arquivo, mas não funciona. Alguém tem alguma dica?...Onde será que estou fazendo cáca?? Abraço, Flávio Boa sorte Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Samba Controlador de Domínio NÃO RODA SCRIPT
Olá Flávio, Flávio R. Lopes escreveu: Olá galera. Estou testando aqui um SAMBA como Controlador de Domínio (PDC). Pelos documentos que achei na Net, consegui fazer uma estação com Win-XP entrar no Domínio. Fez uma ótima escolha, uso o samba a 6 anos é um excelente programa. O problema é que não consegui fazer rodar, quando o usuário loga no domínio o Script de Logon, no meu caso chameio-o de netlogon.bat que fica armazenado em /var/samba/netlogon Ok. Como está a configuração do seu [netlogon]? Ele está ativo? Vc tentou executar o script manualmente \\servidor\netlogon\netlogon.bat? Se fez isso, ele foi executado corretamente e a unidade foi mapeada? Segue um exemplo funcional de configuração do netlogon: [netlogon] browseable=no path=/var/samba/netlogon available=yes Outra coisa: o parâmetro logon script = netlogon.bat foi definido desta forma? No meu arquivo netlogon.bat tem somente uma instrução para mapear uma unidade de rede, já devidamente compartilhada no smb.conf. A instrução é essa: net use h: \\Servidor\Publico /yes Já cheguei a dar permissão 777 no diretório e no arquivo, mas não funciona. Alguém tem alguma dica?...Onde será que estou fazendo cáca?? Abraço, Flávio Boa sorte Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Problemas para gerar relátórios com S ARG
Juliana Guisolberto escreveu: Boa tarde pessoal, Não sei o que está acontecendo, mas exporadicamente meu sarg não está gerando os relatórios de acesso. E quando isso acontece, é exibido o seguinte erro no meu log /etc/cron.daily/sarg: line 7: 26564 Segmentation fault /usr/bin/sarg - f /etc/squid/sarg.conf -d $DIA/$MES/$ANO Porém, sem eu fazer nada, ele volta a funcionar, depois, passa alguns dias e o problema volta a acontecer. Segue meu script que gera os relatórios. 1 #!/bin/bash 2 # 3 DIA=`date +%d` 4 MES=`date +%m` 5 ANO=`date +%Y` 6 7 /usr/bin/sarg -f /etc/squid/sarg.conf -d $DIA/$MES/$ANO Muito obrigada, Olá Juliana, Antes de tudo, é muito bacana ver uma mulher tomando as rédias no mundo pinguím. Parabéns! Eu já tive um caso bem parecido com o seu. No meu caso, era algum arquivo do sarg que estava corrompido, consegui resolver desinstalando e instalando novamente o pacote. Boa sorte. Qualquer dúvida poste novamente. Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Problemas ao montar raid - mdadm
Olá pessoal, Instalei um novo servidor de testes com o Debian 4. Instalei também o mdadm para ativar raid 1 que já trabalhava no Sarge e funcionava corretamente. O hd usado foi particionado com raid autodetect e com sistemas de arquivos xfs. Qdo iniciei o micro novo com o Etch, ele habilitou o /dev/md0. Através do cat /proc/mdstat verifiquei que o raid estava habilitado e funcionando, mas no entanto, não consegui por nada montar o dispositivo. Eu usei o comando mount -t xfs /dev/md0 /mnt/raid tentei também montar o hd individualmente também mas não funcionou. Desinstalei o mdadm do micro e ao reiniciar consegui montar o hd normalmente. Através de um live cd Back Track 2 o hd foi montado automaticamente no md0, mas não consegui fazer a mesma coisa no debian. Alguém pode me ajudar ? Desde já obrigado. Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Problemas ao montar raid - mdadm
Olá Andre Andre Luiz de Souza escreveu: Qual é o erro que dá no comando: mount -t xfs /dev/md0 /mnt/raid O erro que é exibido ao executar este comando é o seguinte: mount: wrong fs type, bad option, bad superblock on /dev/md0, missing codepage or other error. no entanto, se eu desinstalo o mdadm e executo o comando sobre o dispositivo: /dev/hdc1 consigo montá-lo sem mais problemas. Antes de montar tenta ativar o raid: |#/sbin/mdadm -A --run /dev/md0| No meu caso, o raid já estava ativo. Mas mesmo executando o comando que sugeriu não deu certo. Se tiver mais alguma idéia eu agradeço. Abraço. Pedro 2008/4/30 Pedro Debian [EMAIL PROTECTED] mailto:[EMAIL PROTECTED]: Olá pessoal, Instalei um novo servidor de testes com o Debian 4. Instalei também o mdadm para ativar raid 1 que já trabalhava no Sarge e funcionava corretamente. O hd usado foi particionado com raid autodetect e com sistemas de arquivos xfs. Qdo iniciei o micro novo com o Etch, ele habilitou o /dev/md0. Através do cat /proc/mdstat verifiquei que o raid estava habilitado e funcionando, mas no entanto, não consegui por nada montar o dispositivo. Eu usei o comando mount -t xfs /dev/md0 /mnt/raid tentei também montar o hd individualmente também mas não funcionou. Desinstalei o mdadm do micro e ao reiniciar consegui montar o hd normalmente. Através de um live cd Back Track 2 o hd foi montado automaticamente no md0, mas não consegui fazer a mesma coisa no debian. Alguém pode me ajudar ? Desde já obrigado. Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] mailto:[EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] mailto:[EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Pesquisa em logs
Olá Pessoal, Esbarrei em um problema, durante a pesquisa do log do samba. Ele armazena os registros dos acessos em duas linhas. como no exemplo abaixo: [2008/03/30 14:33:13, 2, pid=8681, effective(543, 543), real(543, 0)] modules/vfs_extd_audit.c:audit_open(219) vfs_extd_audit: open Whb/TEMP/14323311 Eu tentei fazer um filtro dos acontecimentos de um determinado dia usando o grep (grep -i 2008/04/03 samba.log ) mas ele me retorna apenas a primeira parte do log, o que fica na segunda linha ( que é o que mais preciso não aparece) não é retornado. Fiz algumas pesquisas a respeito e tentei a opção -Z do próprio grep, mas não consegui exito. Alguém conhece uma forma de conseguir isso com ou grep ou outro comando? Desde de já agradeço. Atenciosamente. Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Duvida autenticação OpenLdapxTLS em ser vidores membros do dominio
Olá pessoal, Tenho um serviço LDAP (PCD/BDC + Samba ) rodando na rede. Estou usando ele com TLS para aumentar a segurança. Criei os certificados auto assinados nos dois servidores, configurei o sladp.conf indicando os arquivos. Nestes servidores apareceram duas portas do LDAP 389/636 Alterei o pam_ldap.conf habilitando a opção ssl start_tls, fiz isso tanto no servidor onde está o certificado como no servidor membro do dominio. Os servidores membros estão conseguindo acessar a base de dados corretamente, mas ainda usando a porta 389 no libnss-ldap e no libpam-ldap. Como posso saber se a conexão já está sendo criptografada? É necessário configurar algo mais nos clientes para usar esta opção? Desde já muito obrigado. Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Roteamento com interface virtuais
Olá pessoal, Tenho seguinte situação abaixo: [Rede Servers]-{SW1}-[roteador1]-{SW2}-[roteador2]-[Rede Estacoes] Estou migrando os servers para uma rede diferente das estações. Questão de gerenciamento e segurança. Os Servers estão atrás de um roteador com duas placas de rede 1000 Mbs. Uma ligada ao Switch dos Servers(SW1) e outra outra ligada ao Switch da rede(SW2) onde estão as estações. No Roteador1(Debian), defini o IP do Roteador2 como gateway e Roteador2 (Debian) defini a rota de comunicação com a rede dos Servers (route add -net 192.168.2.0/24 gw 192.168.1.1) onde o gw indicado na rota é o IP de uma das interfaces do Roteador1. A única função do Roteador2 dentro da rede é fazer é esta ligação entre as duas redes. Gostaria de saber se é possível o eliminar instanciando uma interface virtual no Roteador1(tipo eth1:1) configurando outro IP para ela e definindo a rota que está presente no Roteador2 (mostrada acima). Os testes que fiz não deram muito certo. É possível? Se sim, é viável? Se não, existe alguma sugestão para melhorar este projeto? Desde já muito obrigado. Abraços Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP x TLS - erro nos certificados - Resolvido
Pedro Debian escreveu: Olá pessoal, Tenho um server rodando LDAP junto com o samba. Estou tentando colocar os certificados TLS para aumentar a segurança, mas algo está dando errado. Segundo o material que estou usando de base, tenho que criar os certificados com a /usr/lib/ssl/misc/CA.pl -newreq No Common Name estou informando a saída do hostname -f PDC estou usando a mesma senha do admin LDAP. São gerados dois files: newreq.pem e newkey.pem Depois executo o openssl rsa -in newkey.pem -out openkey.pem para tirar a senha da chave pública. No slapd.conf está da seguinte forma: allow bind_v2 TLSCACertificateFile /../newreq.pem TLSCertificateFile /../newreq.pem TLSCertificateKeyFile /../openkey.pem No ldap.conf mudei para: TLS_REQCERT allow Quando reinicio o serviço aparecem os seguintes erros: TLS: could not load verify locations (file:/../newreq.pem`, dir:'`) main: TLS init def ctx failed: -1 Já conferi a linha de código está com a grafia e o caminho correto. Quando comento a linha do certificado volta a funcionar normalmente. Alguém pode me ajudar a respeito? Obrigado Pedro Olá pessoal, O material que estava consultado tinha alguns erros. Consultando o site do projeto www.openldap.org, consegui resolver o problema. Abraços Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
LDAP x TLS - erro nos certificados
Olá pessoal, Tenho um server rodando LDAP junto com o samba. Estou tentando colocar os certificados TLS para aumentar a segurança, mas algo está dando errado. Segundo o material que estou usando de base, tenho que criar os certificados com a /usr/lib/ssl/misc/CA.pl -newreq No Common Name estou informando a saída do hostname -f PDC estou usando a mesma senha do admin LDAP. São gerados dois files: newreq.pem e newkey.pem Depois executo o openssl rsa -in newkey.pem -out openkey.pem para tirar a senha da chave pública. No slapd.conf está da seguinte forma: allow bind_v2 TLSCACertificateFile /../newreq.pem TLSCertificateFile /../newreq.pem TLSCertificateKeyFile /../openkey.pem No ldap.conf mudei para: TLS_REQCERT allow Quando reinicio o serviço aparecem os seguintes erros: TLS: could not load verify locations (file:/../newreq.pem`, dir:'`) main: TLS init def ctx failed: -1 Já conferi a linha de código está com a grafia e o caminho correto. Quando comento a linha do certificado volta a funcionar normalmente. Alguém pode me ajudar a respeito? Obrigado Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Hds USB são desconectadas aleatoriamente
Olá pessoal, Tenho um micro com o Debian 4 Etch e duas hds USB. Uma para dados de operação no dia a dia que fica constantemente em uso outro para realização de bkp. Por algum motivo que não consigo descobrir, aleatoriamente e com muita frequência nos últimos tempos, ocorre um erro no linux e os dois hds são desativados e somem até da relação do /dev, de modo que só consigo as usar novamente qdo reinicio o equipamento. Estou usando o EXT3 como sistema de arquivos. Abaixo estou enviando um pedaço do erro que aparece. Se alguém puder me ajudar eu agradeço. Obrigado Pedro Log-Erro Mar 19 07:00:01 servjus kernel: kjournald starting. Commit interval 5 seconds Mar 19 07:00:01 servjus kernel: EXT3 FS on sdb2, internal journal Mar 19 07:00:01 servjus kernel: EXT3-fs: mounted filesystem with ordered data mode. Mar 20 07:00:01 servjus kernel: kjournald starting. Commit interval 5 seconds Mar 20 07:00:01 servjus kernel: EXT3 FS on sdb1, internal journal Mar 20 07:00:01 servjus kernel: EXT3-fs: mounted filesystem with ordered data mode. Mar 20 08:01:39 servjus kernel: usb 1-3: reset high speed USB device using ehci_hcd and address 3 Mar 20 08:01:50 servjus kernel: usb 1-3: device not accepting address 3, error -110 Mar 20 08:01:50 servjus kernel: usb 1-3: reset high speed USB device using ehci_hcd and address 3 Mar 20 08:02:02 servjus kernel: usb 1-3: device not accepting address 3, error -110 .. Mar 20 08:02:23 servjus kernel: EXT3-fs error (device sdb1): read_block_bitmap: Cannot read block bitmap - block_group = 167, block_bitmap = 5472256 Mar 20 08:02:23 servjus kernel: Aborting journal on device sdb1. Mar 20 08:02:23 servjus kernel: sd 3:0:0:0: rejecting I/O to device being removed Mar 20 08:02:23 servjus kernel: Buffer I/O error on device sdb1, logical block 1545 .. Mar 20 08:02:23 servjus kernel: EXT3-fs error (device sdb1) in ext3_reserve_inode_write: Journal has aborted Mar 20 08:02:23 servjus kernel: sd 3:0:0:0: rejecting I/O to device being removed .. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Servidor NIS
Geilson, O NIS é mais simples de configurar, mas também deixa a desejar no quesito de segurança. Ele resolve seu problema, mas a nível de empresa, o mais indicado é o LDAP, que é uma solução bem mais confiável além de poder integrar vários outros serviços por meio dela como squid, samba, email, etc. Boa sorte Abraços Pedro Geilson Melo escreveu: Bom dia a todos. Estou com um ambiente onde duas estações rodando Ubuntu precisam efetuar login no Etch. A minha dúvida é se o serviço mais indicado pra isso é mesmo o NIS, ou existe algo melhor. Geilson -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Regras para bloqueio https - aparentemente resolvido
Olá Marcos, Marcos Trazzini escreveu: Olá pessoal, Opa, beleza? Uso o squid para fazer restrições de acesso aos usuários. Foram criados alguns grupos onde são informados apenas os sites que os usuários podem acessar. Até ai tudo bem. Ótimo, menos mal. No entanto, qdo os usuários acessam qualquer site pelo protocolo https:// eles furam o proxy e conseguem navegar. Humm, isso é mal. (...) Se faço http_access allow Faturamente Safe_Ports Os usuários voltam a ter acesso a qualquer site iniciado por https. Como devo fazer para limitar o acesso dos usuários a apenas os sites que eu especificar e não deixar o acesso livre como ocorre hoje? OK, vamos por partes. Primeiro explique o que tem na ACL Faturamente (Era pra ser Faturamento, não?). Outra coisa importante que vc não deve ter percebido é que a ACL Safe_ports inclui um moonte de portas definidas por padrão no Squid, e não é a mais indicada para o seu caso. De qualquer forma, acho que a ACL SSL_ports é mais indicada. Ops é o Faturamente foi realmente um equivoco... éra pra ser Farutamento mesmo, falha nossa. Sobre as ACLs eu tinha imaginado mas não colocado em prática... por isso todas as portas declaradas sob as variáveis Safe/SSL_Ports estavam abertas para os usuários passearem. Partindo do princípio que a ACL Faturamente possui a lista dos sites HTTPS que vc pretende liberar o acesso, acho que o seguinte já basta: CORTE AQUI http_access allow Faturamente SSL_Ports Como vc sugeriu eu coloquei a regra assim: http_access allow Faturamento Sites_Faturamento SSL_Ports Assim apenas os sites listados no arquivo vão poder fazer conexão com este tipo de porta. Nos testes iniciais pelo menos funcionou legal aqui. Mas qualquer dúvida eu grito de novo. CORTE AQUI Ah sim, tente colocar a linha uma linha antes da linha http_access deny CONNECT SSL_ports, só pra garantir que não haverá nenhuma outra regra definida antes que contrarie esta. Se NÃO DER CERTO, cole aqui suas regras do squid.conf. O comando a seguir pode ser útil: # grep '^[^#$]' /etc/squid/squid.conf |egrep '^(http_access|acl)' Abraço Obrigado pelas dicas Abraço Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: tz-brasil horário incorreto - Não reso lvido
Olá Felipe, Felipe Augusto van de Wiel (faw) escreveu: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 On 06-02-2008 10:37, Pedro Debian wrote: Felipe Augusto van de Wiel (faw) escreveu: [...] No /etc/default/rcS você encontra: # Set UTC=yes if your system clock is set to UTC (GMT), and UTC=no if not. UTC=yes Se mudar para UTC=no, provavelmente seu sistema deve passar a operar da forma que você espera, salvo alguma outra variável de ambiente ou configuração fora do esperado. Eu mudei a opção para NO conforme vc sugeriu acima, mas mesmo assim não deu certo não. O Debian continua pegando um horário diferente da BIOS. Tem alguma outra coisa que dá pra mudar? Você reiniciou a máquina? Sim, reiniciei a máquina; Você tem alguma variável TZ ou TZ* exportada? Eu instalei o tz-brasil. Mas não entendi sua pergunta; Você usa NTP? Ou algum outro serviço de ajuste de relógio? Tentei usar, mas agora está desativado ele não está influenciando. O que os comandos 'date' e 'date --utc' mostram? O comando date -u está mostrando duas horas adiantados do date; O que o comando 'hwclock' mostra? Tentei usar este comando de diversas formas mas ele sempre dá um erro select() to /dev/rtc tp waot for clock tick timed out. Tem alguma dica para tentar solucionar o problema. Minha solução temporária foi adiantar o relogio da BIOS em duas horas para que o horário do sistema fique correto. Abraço Pedro Abraço, - -- Felipe Augusto van de Wiel (faw) Debian. Freedom to code. Code to freedom! -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFHqdtXCjAO0JDlykYRAiTeAKCt3Nc3rnT13yQ4cpqnuzSOVlgItQCgtw8/ skhUXGm5wAjsPkFNJPNDIS8= =PX7G -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: tz-brasil horário incorreto - Não reso lvido
Olá Felipe Augusto van de Wiel (faw) escreveu: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 On 01-02-2008 18:39, Fabio Guerrazzi wrote: quote quem=Pedro Celio Olá pessoal, Estou terminando um servidor de autenticação LDAP, instalei o tz-brasil para deixar o horário de verão correto. Usei a configuração America/SaoPaulo, no entanto, o horario está atrasado duas horas com o horario da bios que está horario convencional (não no horário de verão). Ex. se a Bios está 14 o sistema está 12. Já atualizei o tz-brasil, executei com o parâmetro --force e nada. Tenho que marretar a solução deixando o horário da bios bem mais adiantado para ficar na hora certa. Alguém sabe explicar e resolver isso... Não sei se resolve, mas o correto é a BIOS estar com o horário GMT (Greenwich Mean Time). Hmmm... nem sempre... estações de trabalho com dual boot precisam do relógio na hora local (já que geralmente o Janelão faz cagada quando a BIOS está em UTC/GMT). No /etc/default/rcS você encontra: # Set UTC=yes if your system clock is set to UTC (GMT), and UTC=no if not. UTC=yes Se mudar para UTC=no, provavelmente seu sistema deve passar a operar da forma que você espera, salvo alguma outra variável de ambiente ou configuração fora do esperado. Eu mudei a opção para NO conforme vc sugeriu acima, mas mesmo assim não deu certo não. O Debian continua pegando um horário diferente da BIOS. Tem alguma outra coisa que dá pra mudar? Abraço Abraço, - -- Felipe Augusto van de Wiel (faw) Debian. Freedom to code. Code to freedom! -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFHo4WFCjAO0JDlykYRAnwKAJ9vYZN+NA34WjURdMVFPmoQA7sBbACfapJh CG5hKC7bleM4O3niqJ8JvtY= =9H5i -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Barrar port scans iptables
Olá Pessoal, Estou fazendo algumas implementações no firewall e uma das funcionalidade que gostaria de inserir é uma regra para barrar tentativas de escaneamento de portas externas. Fiz alguns testes usando módulo recent do iptables mas não tive muito sucesso para detectar a varredura para todas as portas. Alguém já fez algum implementação neste sentido? Obrigado Abraços Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Barrar port scans iptables - Não Resolvid o
Rondineli Gama Saad escreveu: Pedro Debian wrote: Olá Pessoal, Estou fazendo algumas implementações no firewall e uma das funcionalidade que gostaria de inserir é uma regra para barrar tentativas de escaneamento de portas externas. Fiz alguns testes usando módulo recent do iptables mas não tive muito sucesso para detectar a varredura para todas as portas. Alguém já fez algum implementação neste sentido? Obrigado Abraços Pedro Olá Pedro, Basta colocar no inicio do script as seguintes regras: # Negar pacotes com bad flags iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j LOG --log-level alert --log-prefix FIREWALL: Pkt Invalido! L1: iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j LOG --log-level alert --log-prefix FIREWALL: Pkt Invalido! L2: iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP iptables -A INPUT -p tcp --tcp-flags ALL NONE-j LOG --log-level alert --log-prefix FIREWALL: Pkt Invalido! L3: iptables -A INPUT -p tcp --tcp-flags ALL NONE-j DROP iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j LOG --log-level alert --log-prefix FIREWALL: Pkt Invalido! L4: iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j LOG --log-level alert --log-prefix FIREWALL: Pkt Invalido! L5: iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP Ou seja, estas regras vai barrar todas as tentativas de escaneamento de portas usando as combinações de flags do TCP e ainda vai criar logs das tentativas com seus respectivos supostos ips atacantes. Espero ter ajudado. Rondineli Saad Olá, Por algum motivo, aqui não funcionou. Todos os testes que fiz com o nmap ele conseguiu detectar as portas abertas. Exceto o momento que Dropei as tabelas INPUT e FORWARD mas neste caso mesmo sem qualquer regra ele bloqueou o acesso à máquina. Tem algum script que consegue detectar o escaneamento da porta bloqueia por certo tempo qualquer tentativa deste ip acessar a máquina? Um artigo a Linux Magazine comentou que é possuivel fazer isso com o módulo recent do iptables mas não estou conseguindo montar. Alguém pode dar um luz? Obrigado Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Sites bloqueados no squid não aparecem no sarg - não resolvido
Olá pessoal, Ninguém que faz autenticação no Squid por usuários passou pelo problema abaixo Me ajudem a encontrar uma luz. Obrigado Pedro Pedro Debian escreveu: Olá pessoal, Estava reparando o log do squid e notei o seguinte: Quando acesso um site que não tem uma regra deny direta, ele faz três referencias: 1201104202.356 1 192.168.1.120 TCP_DENIED/407 1808 GET http://www.uol.com.br/ - NONE/- text/html 1201104202.423 59 192.168.1.120 TCP_DENIED/407 1918 GET http://www.uol.com.br/ - NONE/- text/html 1201104202.598175 192.168.1.120 TCP_DENIED/403 1395 GET http://www.uol.com.br/ pedro NONE/- text/html Verifiquei os códigos das mensagens 407 - Proxy Authentication Required e 403- Forbidden. Neste caso na ultima msg dá para ver o nome do usuário . Este usuário não tem acesso a navegação mas no geral não tem uma regra que especifica isso... Quando tento acessar um site onde existe uma regra deny para o site específico, não aparecem as mensagens como codigo 407 como anteriomente, ele vai direto para a 403 e não traz o nome, como pode ser visto abaixo: 1201103383.639827 192.168.1.120 TCP_DENIED/403 1393 GET http://www.orkut.com/ - NONE/- text/html Tem alguma forma de contornar isso, e fazer com que o squid faça a autenticação dos usuários para estas regras? Eu postei os .conf nos link abaixo, se puderem me ajudar eu agradeço. # squid.conf http://pastebin.com/m1d5c4965 Abraço Pedro Pedro Debian escreveu: Olá Márcio, Estou enviando os links dos arquivos .conf que postei. # Squid.conf http://pastebin.com/m1d5c4965 # Sarg.con http://pastebin.com/m39577fa Desde já obrigado Abraço, Pedro Márcio Pedroso escreveu: coloque o seu squid.conf e seu sarg.conf... Em 22/01/08, *Pedro Debian* [EMAIL PROTECTED] mailto:[EMAIL PROTECTED] escreveu: Olá Pessoal, Estou implantando um proxy com autenticação usuários através do NTLM do samba. As regras estão funcionando corretamente, no entanto, ao monitorar as tentativas de acesso a sites que estão bloqueados, verifiquei que o squid não relaciona a tentativa de acesso ao usuário mas apenas ao ip da máquina que está tentando acessar. Ex: acl bloqueados dstdom_regex www.orkut.com http://www.orkut.com http_access deny bloqueados Eis a saída do squid 99. 7 192.168.0.1 http://192.168.0.1 TCP_DENIED/403 1397 GET http://www.orkut.com/ - NONE/- text/html Quando o site não está bloqueado diretamente, aparece o usuário que ser autenticou: 99. 7 192.168.0.1 http://192.168.0.1 TCP_DENIED/403 1397 GET http://www.orkut.com/ -usuario- text/html Logo quando o usuário não aparece, não é mostrado nos relatórios gerados pelo sarg também. Posso fazer alguma coisa para que seja possível identificar estas tentativas de acesso realizadas pelo usuário onde possa aparecer seu nome de acesso? Desde de já muito obrigado. Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] mailto:[EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] mailto:[EMAIL PROTECTED] -- linux user nº 432194 Eu sou livre e você? -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Sites bloqueados no squid não aparecem no sarg - post dos arquivos .conf
Olá Márcio, Estou enviando os links dos arquivos .conf que postei. # Squid.conf http://pastebin.com/m1d5c4965 # Sarg.con http://pastebin.com/m39577fa Desde já obrigado Abraço, Pedro Márcio Pedroso escreveu: coloque o seu squid.conf e seu sarg.conf... Em 22/01/08, *Pedro Debian* [EMAIL PROTECTED] mailto:[EMAIL PROTECTED] escreveu: Olá Pessoal, Estou implantando um proxy com autenticação usuários através do NTLM do samba. As regras estão funcionando corretamente, no entanto, ao monitorar as tentativas de acesso a sites que estão bloqueados, verifiquei que o squid não relaciona a tentativa de acesso ao usuário mas apenas ao ip da máquina que está tentando acessar. Ex: acl bloqueados dstdom_regex www.orkut.com http://www.orkut.com http_access deny bloqueados Eis a saída do squid 99. 7 192.168.0.1 http://192.168.0.1 TCP_DENIED/403 1397 GET http://www.orkut.com/ - NONE/- text/html Quando o site não está bloqueado diretamente, aparece o usuário que ser autenticou: 99. 7 192.168.0.1 http://192.168.0.1 TCP_DENIED/403 1397 GET http://www.orkut.com/ -usuario- text/html Logo quando o usuário não aparece, não é mostrado nos relatórios gerados pelo sarg também. Posso fazer alguma coisa para que seja possível identificar estas tentativas de acesso realizadas pelo usuário onde possa aparecer seu nome de acesso? Desde de já muito obrigado. Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] mailto:[EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] mailto:[EMAIL PROTECTED] -- linux user nº 432194 Eu sou livre e você? -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Sites bloqueados no squid não aparecem no sarg - mensagem de erro
Olá pessoal, Estava reparando o log do squid e notei o seguinte: Quando acesso um site que não tem uma regra deny direta, ele faz três referencias: 1201104202.356 1 192.168.1.120 TCP_DENIED/407 1808 GET http://www.uol.com.br/ - NONE/- text/html 1201104202.423 59 192.168.1.120 TCP_DENIED/407 1918 GET http://www.uol.com.br/ - NONE/- text/html 1201104202.598175 192.168.1.120 TCP_DENIED/403 1395 GET http://www.uol.com.br/ pedro NONE/- text/html Verifiquei os códigos das mensagens 407 - Proxy Authentication Required e 403- Forbidden. Neste caso na ultima msg dá para ver o nome do usuário . Este usuário não tem acesso a navegação mas no geral não tem uma regra que especifica isso... Quando tento acessar um site onde existe uma regra deny para o site específico, não aparecem as mensagens como codigo 407 como anteriomente, ele vai direto para a 403 e não traz o nome, como pode ser visto abaixo: 1201103383.639827 192.168.1.120 TCP_DENIED/403 1393 GET http://www.orkut.com/ - NONE/- text/html Tem alguma forma de contornar isso, e fazer com que o squid faça a autenticação dos usuários para estas regras? Eu postei os .conf nos link abaixo, se puderem me ajudar eu agradeço. # squid.conf http://pastebin.com/m1d5c4965 Abraço Pedro Pedro Debian escreveu: Olá Márcio, Estou enviando os links dos arquivos .conf que postei. # Squid.conf http://pastebin.com/m1d5c4965 # Sarg.con http://pastebin.com/m39577fa Desde já obrigado Abraço, Pedro Márcio Pedroso escreveu: coloque o seu squid.conf e seu sarg.conf... Em 22/01/08, *Pedro Debian* [EMAIL PROTECTED] mailto:[EMAIL PROTECTED] escreveu: Olá Pessoal, Estou implantando um proxy com autenticação usuários através do NTLM do samba. As regras estão funcionando corretamente, no entanto, ao monitorar as tentativas de acesso a sites que estão bloqueados, verifiquei que o squid não relaciona a tentativa de acesso ao usuário mas apenas ao ip da máquina que está tentando acessar. Ex: acl bloqueados dstdom_regex www.orkut.com http://www.orkut.com http_access deny bloqueados Eis a saída do squid 99. 7 192.168.0.1 http://192.168.0.1 TCP_DENIED/403 1397 GET http://www.orkut.com/ - NONE/- text/html Quando o site não está bloqueado diretamente, aparece o usuário que ser autenticou: 99. 7 192.168.0.1 http://192.168.0.1 TCP_DENIED/403 1397 GET http://www.orkut.com/ -usuario- text/html Logo quando o usuário não aparece, não é mostrado nos relatórios gerados pelo sarg também. Posso fazer alguma coisa para que seja possível identificar estas tentativas de acesso realizadas pelo usuário onde possa aparecer seu nome de acesso? Desde de já muito obrigado. Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] mailto:[EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] mailto:[EMAIL PROTECTED] -- linux user nº 432194 Eu sou livre e você? -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Sites bloqueados no squid não aparecem no sarg
Olá Pessoal, Estou implantando um proxy com autenticação usuários através do NTLM do samba. As regras estão funcionando corretamente, no entanto, ao monitorar as tentativas de acesso a sites que estão bloqueados, verifiquei que o squid não relaciona a tentativa de acesso ao usuário mas apenas ao ip da máquina que está tentando acessar. Ex: acl bloqueados dstdom_regex www.orkut.com http_access deny bloqueados Eis a saída do squid 99. 7 192.168.0.1 TCP_DENIED/403 1397 GET http://www.orkut.com/ - NONE/- text/html Quando o site não está bloqueado diretamente, aparece o usuário que ser autenticou: 99. 7 192.168.0.1 TCP_DENIED/403 1397 GET http://www.orkut.com/ -usuario- text/html Logo quando o usuário não aparece, não é mostrado nos relatórios gerados pelo sarg também. Posso fazer alguma coisa para que seja possível identificar estas tentativas de acesso realizadas pelo usuário onde possa aparecer seu nome de acesso? Desde de já muito obrigado. Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: getent listando duas vezes o arquivo consultado
Felipe Augusto van de Wiel (faw) escreveu: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 On 26-12-2007 12:03, Pedro Debian wrote: Olá pessoal, Um dos meus servidores está com um comportamento um tanto quanto estranho. Quando executo o getent passwd ele lista o arquivo duas vezes na tela. Neste servidor também roda o ldap. Pensei que poderia ter influência, mas mesmo desativando o ldap, tirando as referencias os nsswitch.conf e desistalando o libnss-ldap e libpam-ldap, este comportamento não cessou. Alguém sabe me explicar o motivo e como resolver o caso? Você tem nscd instalado e em execução? Tenho sim, está em funcionamento e em execução. Tem algum outro motivo que poderia levar a isso? Pois, apenas os usuários locais estão apresentando este problema, os usuários da base de dados LDAP são listados corretamente. Abraço, - -- Felipe Augusto van de Wiel (faw) Debian. Freedom to code. Code to freedom! -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFHcvxRCjAO0JDlykYRAmHQAJ0WUzzsVvFTfvRYznold7Sb3Ws1rACgwXFV pS1EOUoBM0j+9LAlko9fbIc= =ilEL -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
rsync mantendo as permissões dos arquivos sincronizados
Olá pessoal, Estou acertando uma rotina para sincronizar os scripts de logon do samba entre um PDC e seu BDC. Estou usando a ferramente rsync com autenticação por ssh para fazer a transferência. Meu problema é que cada grupo de usuário tem acesso restrito ao seu respectivo script, que fica bloqueado para os demais usuários. Criei um usuário no sistema para fazer esta replicação, mas como suas permissões são de usuário comum não funcionou obviamente. Nos artigos que consultei o pessoal disse que não é recomedavel criar o acesso do ssh sem senha para o usuário root (o que resolveria meu problema neste caso). Alguma sugestão de como resolver este problema Não vou alterar constantemente estes arquivos, mas qdo alterar preciso que fiquem atualizados nas duas pontas, uma vez que se o PDC cair, o BDC assume o lugar dele. Desde já obrigado. Abraço Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: getent listando duas vezes o arquivo consultado
Ola, Felipe Augusto van de Wiel (faw) escreveu: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 On 28-12-2007 10:34, Pedro Debian wrote: Felipe Augusto van de Wiel (faw) escreveu: On 26-12-2007 12:03, Pedro Debian wrote: Olá pessoal, Um dos meus servidores está com um comportamento um tanto quanto estranho. Quando executo o getent passwd ele lista o arquivo duas vezes na tela. Neste servidor também roda o ldap. Pensei que poderia ter influência, mas mesmo desativando o ldap, tirando as referencias os nsswitch.conf e desistalando o libnss-ldap e libpam-ldap, este comportamento não cessou. Alguém sabe me explicar o motivo e como resolver o caso? Você tem nscd instalado e em execução? Tenho sim, está em funcionamento e em execução. Tem algum outro motivo que poderia levar a isso? Pois, apenas os usuários locais estão apresentando este problema, os usuários da base de dados LDAP são listados corretamente. Se você desligar o nscd o problema pára? negativo, já fiz o teste. Mesmo com o nscd desativado o problema continuou. Você por acaso injetou as contas de sistema no LDAP? Não. Inseri as contas na base LDAP manualmente sem usar a base do sistema. Já até desativei o LDAP, desistalei o libnss-ldap, libpam-ldap e removi as ref. do /etc/nsswitch.conf para ver se tinha alguma informação ambigua nas duas bases mas mesmo sem a presença do LDAP, continua listando duas vezes a base do sistema. Abraço, - -- Felipe Augusto van de Wiel (faw) Debian. Freedom to code. Code to freedom! -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFHdSpHCjAO0JDlykYRArWyAJ9Jmmub6RQY4tkZ4GzY5OHqpmwsMgCcCBcd I2LNOjlNCEpYDkD1vpTJDDk= =OYrR -END PGP SIGNATURE- Abraço, Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
getent listando duas vezes o arquivo consultado
Olá pessoal, Um dos meus servidores está com um comportamento um tanto quanto estranho. Quando executo o getent passwd ele lista o arquivo duas vezes na tela. Neste servidor também roda o ldap. Pensei que poderia ter influência, mas mesmo desativando o ldap, tirando as referencias os nsswitch.conf e desistalando o libnss-ldap e libpam-ldap, este comportamento não cessou. Alguém sabe me explicar o motivo e como resolver o caso? Abraço Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP - servidor secundário
gunix escreveu: Galera..., como eu faço para sincronizar as bases LDAP de um servidor primario e servidor secundário? Att Gunix Olá Gustavo, Já tive este problema também, o colega da lista Felipe, me passou este link onde vc pode consultar um bom material a respeito do slurpd que é o responsável por esta replicação. http://www.inf.ufrgs.br/procpar/disc/inf01008/trabalhos/sem01-1/t1/openldap/capitulo8.html Outro material interessante é: http://www.umich.edu/~dirsvcs/ldap/doc/guides/slapd/ Abaixo um exemplo da configuração de arquivos dos arquivos Master e Slave. Para replicar o servidor LDAP basta vc fazer: 1) Configurar o LDAP MASTER e o LDAP SLAVE Servidor Master No final do arquivo /etc/ldap/slapd.conf adicionar: ## # Diretivas de Replicação ## # LDAP MASTER replogfile /var/lib/ldap/replog replica uri=ldap://PI_LDAP_SLAVE:389 binddn=cn=admin,dc=dominio,dc=eti,dc=br bindmethod=simple credentials=ldap_admin_pass Servidor Slave No final do arquivo /etc/ldap/slapd.conf adicionar: ## # Diretivas de Replicação ## LDAP SLAVE updatedn cn=Admin,dc=DOMINIO,dc=eti,dc=br updateref ldap://IP_LDAP_MASTER:389; 2) Criar arquvivo com base do LDAP no servidor MASTER slapcat -l ldap_backup.ldif 3) Enviar atráves de ssh o arquivo gerado para o servidor SLAVE 2) Criar arquvivo com base do LDAP no servidor MASTER slapcat -l ldap_backup.ldif 3) Enviar atráves de ssh o arquivo gerado para o servidor SLAVE scp ldap_backup.ldif [EMAIL PROTECTED] 4) Edite o arquivo gerado e retire as linhas iniciais dele que fazem referência para o SERVIDOR MASTER vim ldap_backup.ldif +14 5) Adicione a base do LDAP através do comando slapdd slapadd -l ldap_backup.ldif -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Migração dos usuários para LDAP - máquinas não importadas
Olá pessoal, Estou migrando a base de usuários de um sistema samba convencional para o LDAP. Pesquisando descobri que os scripts do pacote migrationtools ajudam a realizar a tarefa. Executei o migrate_base.pl, migrate_passwd.pl, migrate_group.pl. Funcionou corretamente. No entanto, percebi que as contas das máquinas do dominio que também estão dentro do /etc/passwd não foram importadas para o arquivo .ldif. e com por isso as máquinas XP não conseguem autenticar no dominio, sendo necessário incluí-las manualmente. Alguém conhece uma forma de resolver este problema? O uid das máquinas está dentro da mesma faixa dos usuários que foram importados. Desde já muito obrigado Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Migração dos usuários para LDAP - máquinas não importadas
Claudio Rocha de Jesus escreveu: Você configurou o script para refletir a sua configuração antes de roda-los? --- Pedro Debian [EMAIL PROTECTED] escreveu: Olá pessoal, Estou migrando a base de usuários de um sistema samba convencional para o LDAP. Pesquisando descobri que os scripts do pacote migrationtools ajudam a realizar a tarefa. Executei o migrate_base.pl, migrate_passwd.pl, migrate_group.pl. Funcionou corretamente. No entanto, percebi que as contas das máquinas do dominio que também estão dentro do /etc/passwd não foram importadas para o arquivo .ldif. e com por isso as máquinas XP não conseguem autenticar no dominio, sendo necessário incluí-las manualmente. Alguém conhece uma forma de resolver este problema? O uid das máquinas está dentro da mesma faixa dos usuários que foram importados. Desde já muito obrigado Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- Claudio Rocha de Jesus Analista de Suporte Técnico [EMAIL PROTECTED] Linux user number 433834 /*Sem educação não há liberdade.*/ -- Abra sua conta no Yahoo! Mail, o único sem limite de espaço para armazenamento! http://br.mail.yahoo.com/ Olá Cláudio, Conforme o material que usei como base, no arquivo migrate_common.ph alterei as informações para meu domínio, além da alterar o grup relacionado ao arquivo passwd de 'people' para 'Users' que é o grupo que uso para armazenar os usuários. Mesmo assim nenhuma das máquinas que estão incluídos dentro do /etc/passwd foram exportado para o .ldif. Tem idéia de alguma opção para fazer isso. Obrigado Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Samba - Troca de senha nos clientes Linux
Eduardo - Suporte Intranetworks escreveu: Pessoal, Eu tenho um Samba PDC com LDAP, nos clientes Windows XP eu consigo trocar a senha do usuário, ele muda corretamente nos obejtos sambaLMPassword e sambaNTPassword do LDAP. Porém eu tenho algumas estações Linux que eu adicionei no dominio PDC através do comando net rpc join, e eu não estou conseguindo alterar a senha do usuário através do comando smbpasswd ou passwd, eu tentei usar o PAM para fazer a troca de senha, mas não consegui fazer funcionar. Eu só preciso alterar a senha do Samba (sambaLMPassword e sambaNTPassword), a senha do LDAP (userPassword) não precisa ser alterada, mas isso não vem ao caso. Eu estou usando Debian Etch no servidor e nas estações, alguêm poderia me ajudar? Muito obrigado! Olá Eduardo, Vc tentou usar o smbldap-tools ? Tente usar o smbldap-usermode -P nomedousuario. Boa sorte Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Comportamento estranho placa de rede - RESOLVIDO
Pedro Celio escreveu: */Ricardo Carlini Sperandio [EMAIL PROTECTED]/* escreveu: Sim, o motivo é o udev que associou o mac address da placa de rede que vc usou de imagem para a eth0. para resolver isso, vc precisa editar o arquivo: /etc/udev/rules.d/z25_persistent-net.rules por exemplo: vomos supor que ele esteja assim: # PCI device 0x10b7:0x9055 (3c59x) SUBSYSTEM==net, DRIVERS==?*, ATTRS{address}==00:50:04:88:37:6d, NAME=eth0 vc precisa modificar a entrada ATTRS{address}==00:50:04:88:37:6d para a correspondente da placa que se encontra no micro, mas como saber o mac dela? use o comando ifconfig ou dmesg, no caso descobri que a placa tinha mac: 00:50:56:C0:00:08 nesse caso mudei o arquivo para: UBSYSTEM==net, DRIVERS==?*, ATTRS{address}==00:50:56:C0:00:08, NAME=eth0 Espero ter sido claro agora. Atenciosamente, On Nov 26, 2007 6:46 PM, Pedro Celio wrote: Olá pessoal, Estou usando o Debian Etch como SO de novos equipamentos que adquirimos. Estes micros possuem a mesma configuração. Por isso instalei o Debian em um e com o comando 'dd' com o SO startado a partir de um live cd, copiei a imagem do hd para os outros equipamento. Todos funcionaram normalmente com exceto pelas placas de rede. Estas são onboar da Realtk Gigabit. No dmesg |grep eth, o sistema reconhece a interface 'eth0' em todas as máquinas. No entanto qdo o sistema é carregado, alguma maquinas estão subindo 'eth1, eth2' mas nenhuma a 'eth0', nem mesmo mudando o /etc/network/interfaces para estático e atribuindo um ip para eth0. Alguém saberia o motivo que isso pode acontecer??? se atribuo um ip, ou deixo a placa carregada (mesmo ela estando com a referncia errada) o micro funciona na rede normalmente. Estou intrigado, se alguém souber a respeito e puder me explicar, eu agradeço. Abraço Pedro Pedro C Borges User Linux # 398043 Abra sua conta no Yahoo! Mail, o único sem limite de espaço para armazenamento! -- Ricardo Carlini Sperandio Analista/Consultor Linux Connectcom - GISUT / CEF Certificado LPI GEDEL: Grupo Especializado em Desenvolvimento Linux DCC/UFMG Computers are like air conditioners. They don't work when you open Windows. Olá Ricardo, Obrigado pelas dias... vou fazer o teste e te aviso... a semelhança entre as duas perguntas que vc respondeu a respeito, foi pq a primeira pergunta que mandei na parte da manhã, até no meio da tarde não tinha chegado na lista, pensei que tinha estraviado... por isso mandei outra. Abraço Pedro Pedro C Borges User Linux # 398043 Abra sua conta no Yahoo! Mail http://br.rd.yahoo.com/mail/taglines/mail/*http://br.mail.yahoo.com/, o único sem limite de espaço para armazenamento! Olá pessoal, O problema estava realmente nas regras do udev. Ele tinha pego as configurações do MAC da máquina original que usei para gerar uma imagem do sistema. Depois que mudei a regra e reinicializei o micro, a eth0 voltou a ser reconhecida. Muito obrigado pelas dicas. Grande abraço a todos. Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Adicionar novo hardware
Olá pessoal, Estou começando a usar o Debian 4.0 nos novos equipamentos adquiridos. Compramos 4 equipamentos com a mesma configuração. Instalei o Etch em um deles e usando o comando 'dd' reproduzi a imagem do sistema para os outros 3. Com exceção da placa de rede, tudo funcionou perfeitamente. Os micros vieram com uma RTL-8169SC onboard. No micro inicial que instalei o Debian, está funcionando normal a rede. Nos demais micros, aparece a mensagem que o dispositivo não foi encontrado. Qdo executo o dmes |grep eth o dispositivo aparece normalmente, mas o sistema não reconhece. Imagino que deva ser algum problema de endereçamento... Tentei instalar o kudzu para reconhecer mas não achei o pacote dele no sistema. Alguém pode me dar uma luz para onde devo seguir? Como faço para remover as referencias a instalação da placa de rede para que ela possa funcionar nos outros micros? Desde já obrigado Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Remover hd usb com segurança no Debian 4
Rodolfo Barbosa escreveu: Pedro Debian escreveu: Olá pessoal, Estou usando um hd usb para fazer bkp do servidor, que é operado apenas em modo console. Como eu faço para remover o dispositivo com segurança pela linha de comando? Estou desmontando ele ( umount /particao) mas o sistema acusa que ele ainda continua ativo. Deste de já obrigado. Pedro Olá Pedro, O que você quer dizer com o sistema acusar que o HD ainda está ativo? Ele não desmonta? Abraços, Rodolfo, Quando desmonto o mesmo equipamento, ele apaga o led do dispositivo. Quando executo o umount /partição no Debian, o led continua acesso. Existe um comando mais apropriado para a remoção destes tipos de dispositivos pelo console? Obrigado Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Remover hd usb com segurança no Debian 4
Olá pessoal, Estou usando um hd usb para fazer bkp do servidor, que é operado apenas em modo console. Como eu faço para remover o dispositivo com segurança pela linha de comando? Estou desmontando ele ( umount /particao) mas o sistema acusa que ele ainda continua ativo. Deste de já obrigado. Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Samba Como Controlador de domínio + XP
Rafael Freitas escreveu: Pessoal seguinte, Estou com problemas para configurar o samba como controlador de domínio, segui todas as receitas de bolos na net, a propria documentação do samba, e o que ocorre é o seguinte, depois de criar o usuário no sistema, no samba, criar um login de máquina, ao logar no XP, ele loga, mas não carrega o ambiente, fica congelado, passa pela tela de carregando configuraçoes pessoais, e nada ou seja, loga mas não carrega, inclusive a musiquinha de logon chega a tocar. Olá Rafael, Para um servidor PDC, bem simples para implementação do que quer. Sugiro a leitura do manual do samba que pode ser acessado no endereço abaixo. No viva o Linux vc consegue encontrar muitos exemplos de outras configurações para todos os estilos de PDC. http://us3.samba.org/samba/docs/man/Samba-HOWTO-Collection/ Sobre seu problema, da tela estar congelando: - Pelo arquivo de configuração dá para notar que sua máquina não foi adicionada ao domínio. Vc vai precisar fazer isso individualmente em cada micro através do ícone Meu Computador, Nome do computador, Alterar, informando a seguir o nome do domínio. Antes porém vc precisa inserir no arqu. de conf. os comandos para adicionar a máquina ao dominio conforme pode ser observado no exemplo de configuração no final desta mensagem. -Se vc não for trabalhar com perfil remoto dos usuários, deixe as opções logon path = e logon home = sem parâmetros. Sugiro que faça um teste antes de colocar na rede para funcionar, fazendo as devidas alterações para sua necessidade. Abraço Pedro meu smb.conf está assim: [global] workgroup = HOME netbios name = SRV-SMB server string = Samba PDC logon path = \\%L\profiles\%U logon script = netlogon.bat # com permissão de leitura para todos logon home = \\%L\%U\.profiles domain logons = yes security = user encrypt passwords = yes os level = 100 preferred master = yes domain master = yes local master = yes [netlogon] comment = Servico de Logon path = /var/samba/netlogon #permissoes 775 guest ok = yes browseable = no writable = yes [profiles] comment = Diretorios de Profiles do Windows path = /var/profiles # com permissões 1777 read only = no browseable = no create mask = 0600 directory mask = 0700 [homes] comment = Diretorio Home path = /home/%u valid users = %S writable = yes browseable = no Se alguém tiver uma luz no fim do túnel, o servidor é um debian etch com samba 3.0.25 . Desde já agradeço. #Arquivo de conf. Samba 3.x #Modificado por: Pedro #Data: 11/10/2006 #Ultima alteracao: 21/11/2006 - Pedro #Controlador de dominio [global] #Identificacao do servidor netbios name = jussara workgroup = TESTE server string = PDC local master = yes domain master = yes preferred master = yes domain logons = yes wins support = yes wins proxy = yes dns proxy = yes max wins ttl = 518400 logon script = %G.bat logon home = logon path = logon drive = Z: os level = 250 #Logs log file = /var/log/samba/samba.log max log size = 5 debug level = 2 username level = 0 #Seguranca admin users = Adm security = user smb passwd file = /etc/samba/smbpasswd hosts allow = hosts deny = null passwords = no hide dot files = yes encrypt passwords = true guest ok = yes map to guest = never dead time = 0 guest only = no browseable = no writeable = yes password level = 0 username level = 0 #INSERE A MÁQUINA NO DOMINIO add machine script = /usr/sbin/useradd -g users -c Maquina Dominio -s /bin/false -d /dev/nul %m$ #Configuracao Linguagem/Pastas unix charset = iso8859-1 display charset = cp850 preserve case = no short preserve case = yes default case = lown create mask = 777 create mode = 777 directory mask = 777 directory mode = 777 idmap uid = 16777216-33554431 idmap gid = 16777216-33554431 template shell = /bin/false #Resolucao de nomes na rede name resolve order = hosts lmhosts wins bcast winbind use default domain = yes #Propriedades do servidor socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192 keep alive = 10 getwd cache = yes #Impressoras load printers = no #Lixeira recycle:keeptree = True recycle:maxsize = 10 recycle:touch = True recycle:exclude = *.tmp *.cpr recycle:repository = .recycle
Re: Conf Squid para não pedir senha no browser - usando LDAP
Edson Marquezani Filho escreveu: Sim, se chama Single-Sign-On (SSO), você vai encontrar diversos artigos e referência sobre como implementá-lo de diferentes formas. Uma delas é usar Kerberos, a outra, mais especificamente ligada ao Samba, é utilizar o Samba Authenticated HOWTO: http://www.tldp.org/HOWTO/Samba-Authenticated-Gateway-HOWTO.html Abraço, Uma dúvida que sempre tive: tem como fazer o squid autenticar num kerberos ? Eu gostaria de implementar um esquema SSO desses, pra depois usar com outros serviços, mas receio que a integração de outros softwares com Kerberos seja limitada. Por exemplo, num esquema de PDC com LDAP, e outros serviços na rede, primeiro teria que fazer a integração Kerberos+LDAP e depois Samba+Kerberos, e Squid+Kerberos, e por aí vai. Seria isso ? Isso é praticável ? Disseram-me já que o melhor seria usar SASL com Kerberos, porque SASL é muito mais aceito pelas aplicações em geral. Como ficaria nesse caso ? Pessoal, Dá para fazer SSO no squid x Ldap diretamente sempre precisar usar o samba para autenticar os usuários Abraço Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Conf Squid para não pedir senha no browse r - outra duvida
Felipe Augusto van de Wiel (faw) escreveu: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 On 10-10-2007 10:47, Pedro Debian wrote: Banca o material de autenticação com o samba. Fiz algumas pesquisas sobre o tema, mas não achei material mais afundo se existe alguma maneira de fazer SSO diretamente entre o squid e o Ldap. Não confunda as coisas, SSO é um conceito, não um produto. Vc saberia me dizer se existe esta possibilidade? Se existir vc tem alguma material ou indica algum para eu poder analisar? Sim, você pode fazer o Squid autenticar diretamente no LDAP usando o ldap_auth, há diversos documentos na lista e no FAQ do Squid que detalham isso. Eu já consegui fazer o squid autenticar usando o LDAP, no entanto ao abrir o browser é solicitada a senha do usuário. Vc tem algum material que já tenha usado para que eu passo passar por esta autenticação de forma automática sem precisar digitar a senha novamente, usando preferencialmente o LDAP? Me indicaram usar NTLM, mas para isso tenho que instalar o samba e configurar-lo para autenticar no meu PDC que usa o LDAP. Então... se houver uma maneira de autenticar o usuário diretamente nele, eu evito os intermediários. Desde já muito obrigado Pedro Abraço, - -- Felipe Augusto van de Wiel (faw) Debian. Freedom to code. Code to freedom! -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFHDinfCjAO0JDlykYRAnTuAJ9yGfEMvElQH6AsLFR3jJpehM2LjQCg1BGs 898Yiju/z4gkgqA7pyKtU8w= =8W/e -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Conf Squid para não pedir senha no browse r - outra duvida
Felipe Augusto van de Wiel (faw) escreveu: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 On 11-10-2007 11:12, Pedro Debian wrote: Eu já consegui fazer o squid autenticar usando o LDAP, no entanto ao abrir o browser é solicitada a senha do usuário. Vc tem algum material que já tenha usado para que eu passo passar por esta autenticação de forma automática sem precisar digitar a senha novamente, usando preferencialmente o LDAP? Ok, vamos tentar de novo. SSO é um conceito e para tanto há diversos passos que precisam ser seguidos para atingí-lo, o LDAP é um repositório de informações, para fazer o que você quer com Squid e LDAP você precisa de um tipo de cache de senhas ou sistema de persistência que permita dizer: fulano de tal já está autenticado, _não_ o LDAP _não_ faz isso, quem faz isso são ferramentas como o Kerberos ou um sistema como Samba Authenticated HOWTO. O LDAP é o backend, o cara nos bastidores compartilhando informações de forma consistente entre vários serviços, no primeiro e-mail que mandei nesta thread eu mandei o link sobre como fazer para o seu navegador não pedir senha. Me indicaram usar NTLM, mas para isso tenho que instalar o samba e configurar-lo para autenticar no meu PDC que usa o LDAP. Então... se houver uma maneira de autenticar o usuário diretamente nele, eu evito os intermediários. Se você não tem Samba, então você precisa de algo como Kerberos para fazer uso dos tickets compartilhados e permitir a persistência das informações, só que a autenticação NTLM ou Negotiate são melhores no Squid3. Não há um Tutorial e/ou HOWTO para fazer isso em 10 passos simples, é preciso saber como você usa sua base LDAP, quais serviços estão em produção, quais objetos são usados, qual o perfil dos clientes, como você quer que o SSO opere e assim por diante. Há scripts shell que fazem o truque de adicionar um IP mais nome de usuário há um arquivo texto, usando a limitação de uma autenticação por usuário-máquina, você pode mudar o autenticador e escrever um script shell para alcançar o SSO, mas até hoje eu vi isso dar vários problemas em situações que seus usuários vivem criando. Parece que há plugins para navegadores suportarem outros tipos de autenticação (e você pode salvar a senha nesse sentido de não ter que digitá-la novamente). O pessoal fala bastante do pGina, que pode ser outra alternativa a ser considerada. Mas essa é a hora de abaixar suas expectativa, esta é a parte difícil, Kerberos, LDAP, SASL, Squid, navegadores ainda não estão 100% integrados e ainda compõem o desafio do dia-a-dia de manter o balanço dos recursos e serviços funcionando. Em outras palavras, vai dar algum trabalho montar todas as peças do seu quebra-cabeças pois não há uma receita de bolo. Abraço, - -- Felipe Augusto van de Wiel (faw) Debian. Freedom to code. Code to freedom! -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFHDjixCjAO0JDlykYRAnBZAJ90a1xqbxsuNbhmTSJeh3GcuLFzmwCeLdEg 0k3xF0MFy9fpCj+R9cUI9T0= =uTwE -END PGP SIGNATURE- Olá Felipe, Obrigado pelas explicações. No material que peguei sobre o uso do LDAP no qual me baseei para implantar o ambiente de teste sobre o qual estou trabalhando, não tinham informações a reste respeito, mas agora pelo menos sei qual o caminho deverei seguir para equacionar este problema. Obrigado pelas dicas, Abraço Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Conf Squid para não pedir senha no browse r - RESOLVIDO
Pedro Debian escreveu: Felipe Augusto van de Wiel (faw) escreveu: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 On 11-10-2007 11:12, Pedro Debian wrote: Eu já consegui fazer o squid autenticar usando o LDAP, no entanto ao abrir o browser é solicitada a senha do usuário. Vc tem algum material que já tenha usado para que eu passo passar por esta autenticação de forma automática sem precisar digitar a senha novamente, usando preferencialmente o LDAP? Ok, vamos tentar de novo. SSO é um conceito e para tanto há diversos passos que precisam ser seguidos para atingí-lo, o LDAP é um repositório de informações, para fazer o que você quer com Squid e LDAP você precisa de um tipo de cache de senhas ou sistema de persistência que permita dizer: fulano de tal já está autenticado, _não_ o LDAP _não_ faz isso, quem faz isso são ferramentas como o Kerberos ou um sistema como Samba Authenticated HOWTO. O LDAP é o backend, o cara nos bastidores compartilhando informações de forma consistente entre vários serviços, no primeiro e-mail que mandei nesta thread eu mandei o link sobre como fazer para o seu navegador não pedir senha. Me indicaram usar NTLM, mas para isso tenho que instalar o samba e configurar-lo para autenticar no meu PDC que usa o LDAP. Então... se houver uma maneira de autenticar o usuário diretamente nele, eu evito os intermediários. Se você não tem Samba, então você precisa de algo como Kerberos para fazer uso dos tickets compartilhados e permitir a persistência das informações, só que a autenticação NTLM ou Negotiate são melhores no Squid3. Não há um Tutorial e/ou HOWTO para fazer isso em 10 passos simples, é preciso saber como você usa sua base LDAP, quais serviços estão em produção, quais objetos são usados, qual o perfil dos clientes, como você quer que o SSO opere e assim por diante. Há scripts shell que fazem o truque de adicionar um IP mais nome de usuário há um arquivo texto, usando a limitação de uma autenticação por usuário-máquina, você pode mudar o autenticador e escrever um script shell para alcançar o SSO, mas até hoje eu vi isso dar vários problemas em situações que seus usuários vivem criando. Parece que há plugins para navegadores suportarem outros tipos de autenticação (e você pode salvar a senha nesse sentido de não ter que digitá-la novamente). O pessoal fala bastante do pGina, que pode ser outra alternativa a ser considerada. Mas essa é a hora de abaixar suas expectativa, esta é a parte difícil, Kerberos, LDAP, SASL, Squid, navegadores ainda não estão 100% integrados e ainda compõem o desafio do dia-a-dia de manter o balanço dos recursos e serviços funcionando. Em outras palavras, vai dar algum trabalho montar todas as peças do seu quebra-cabeças pois não há uma receita de bolo. Abraço, - -- Felipe Augusto van de Wiel (faw) Debian. Freedom to code. Code to freedom! -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFHDjixCjAO0JDlykYRAnBZAJ90a1xqbxsuNbhmTSJeh3GcuLFzmwCeLdEg 0k3xF0MFy9fpCj+R9cUI9T0= =uTwE -END PGP SIGNATURE- Olá Felipe, Obrigado pelas explicações. No material que peguei sobre o uso do LDAP no qual me baseei para implantar o ambiente de teste sobre o qual estou trabalhando, não tinham informações a reste respeito, mas agora pelo menos sei qual o caminho deverei seguir para equacionar este problema. Obrigado pelas dicas, Abraço Pedro Olá pessoal, Graças a ajuda do pessoal da lista, e alguns artigos que encontrei, consegui fazer o squid autenticar os usuários já logados na rede sem precisar digitar a senha novamente. No meu caso, configurei o squid para autenticar através do samba usando o NTLM. O samba por sua vez faz parte do dominio da rede e valida os usuários em minha base LDAP que fica no PDC. Se um usuário não autorizado tenta acessar os a internet, é solicitado o nome de usuário e senha. Estou mandando abaixo o arquivo no qual me baseei para resolver o problema. http://www.slackware-brasil.com.br/web_site/artigos/artigo_completo.php?aid=66 Gostaria de saber do pessoal mais experiente, a respeito da segurança desta implementação, uma vez que este serviço roda no firewall/proxy que fica diretamente em contato com a internet. Eu bloquei o serviço samba e os demais serviços que são usados por ele para acesso externo a rede. Alguém sugere mais algum recurso extra que poderia aumentar o nível de segurança do serviço??? Abraço, e mais uma vez obrigado a todos. Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: detecção de so via iptables
Miguel Da Silva - Centro de Matemática escreveu: Luiz Noal escribió: boa noite to tentando uma detecção de sistema operacional (Ruindows) via iptables, alguém tem uma idéia de como ?? luiz noal santa maria - rs Já tentou com o nmap?! Até mais. Se for usar o nmap use o parâmetro -O Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Conf Squid para não pedir senha no browse r - outra duvida
Felipe Augusto van de Wiel (faw) escreveu: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 On 09-10-2007 17:15, Pedro Debian wrote: Olá pessoal, Estou trabalhando com o Squid 2.6 autenticando os usuários com minha base LDAP. Está tudo funcionando legal, mas gostaria de saber se já que o squid usa a mesma base que os usuários utilizam para fazer logon na rede para acessar a internet, existe alguma maneira de fazer com o que o sistema se autentique sem precisar pedir usuário se senha toda vez que o usuário abre o browser Se alguém puder dar uma força desde já eu agradeço. Sim, se chama Single-Sign-On (SSO), você vai encontrar diversos artigos e referência sobre como implementá-lo de diferentes formas. Uma delas é usar Kerberos, a outra, mais especificamente ligada ao Samba, é utilizar o Samba Authenticated HOWTO: http://www.tldp.org/HOWTO/Samba-Authenticated-Gateway-HOWTO.html Abraço, - -- Felipe Augusto van de Wiel (faw) Debian. Freedom to code. Code to freedom! -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFHC+8vCjAO0JDlykYRAgW+AJ9SfwfjWVq1VI9wqLSsE2SQUzh+3ACghuBg gMvZcsRgnYorWsmh4YnK4DU= =yuMR -END PGP SIGNATURE- Olá Felipe, Banca o material de autenticação com o samba. Fiz algumas pesquisas sobre o tema, mas não achei material mais afundo se existe alguma maneira de fazer SSO diretamente entre o squid e o Ldap. Vc saberia me dizer se existe esta possibilidade? Se existir vc tem alguma material ou indica algum para eu poder analisar? Desde já muito obrigado. Abraço, Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Conf Squid para não pedir senha no brow ser
Olá pessoal, Estou trabalhando com o Squid 2.6 autenticando os usuários com minha base LDAP. Está tudo funcionando legal, mas gostaria de saber se já que o squid usa a mesma base que os usuários utilizam para fazer logon na rede para acessar a internet, existe alguma maneira de fazer com o que o sistema se autentique sem precisar pedir usuário se senha toda vez que o usuário abre o browser Se alguém puder dar uma força desde já eu agradeço. Abraço Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Snort Scan
Ali3n escreveu: Olá Pessoal! O meu snort rodando em modo promíscuo ele captura os pacotes como icmp, http, ftp e etc... Só eu não vejo ele capturar scanners. Eu estou usando nmap -sS -O -P0 host e não vejo nenhum alerta. Eu preciso fazer o que pra ele capturar scans ??? Grato pela Atenção! Abra sua conta no Yahoo! Mail, o único sem limite de espaço para armazenamento! http://br.mail.yahoo.com/ Você precisa verificar se o pré-processador sportscan está habilidado no snort.conf. Nele vc precisa configurar os parâmetros para protocolo, entre outras coisas. Nos site do snort (www.snort.org) vc consegue baixar o manual se vc tiver compilado o programa via código fonte o manual vem junto em formato pdf. Vale a pena dar uma olhada. Experimente colocar a opção -T5 entre os parâmetros do nmap, é um tipo de ataque mais agressivo, dificilmente ele passar despercebido pelo IDS. Qualquer dúvida posta na lista. Abraço Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Problema Configurar snort
Ali3n escreveu: Oi Pessoal! O meu snort não acha o banco de dados. Como é possível? Tá informado no /etc/snort/snort.conf e também no /etc/snort/snot.eth0.conf E mesmo assim quando eu vou iniciar ele exibe a seguinte mensagem: Oct 8 10:05:33 debian snort: database: must enter database name in configuration file Oct 8 10:05:33 debian snort: FATAL ERROR: Alguém tem alguma dica Valeu. Abra sua conta no Yahoo! Mail, o único sem limite de espaço para armazenamento! http://br.mail.yahoo.com/ Para usar o Snort com banco primeiro vc precisa: - Compilar o Snort com suporte para o banco que deseja trabalhar e que o Snort oferece suport (MySql, MSSQL, Postgree, etc); - Criar o banco de dados do snort. Na pasta do código fonte, vc encontra scripts que fazer isso para vc. Basta apenas executar o scritp refernente a seu banco. Verifique se isso já foi feito. Qualquer dúvida poste ai. Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Ftp x Squid - NAO RESOLVIDO
Juliana G Pereira escreveu: Pedro, Tente nesse formato: *ftp://usuario:[EMAIL PROTECTED]/ Juliana *Pedro Debian [EMAIL PROTECTED]* 05/10/2007 16:47 To debian-portuguese debian-user-portuguese@lists.debian.org cc Subject Ftp x Squid Pessoal, Estou migrando um proxy transparente para um autenticado usando o Squid 2.6.STABLE5. No entanto, nos micros cuja configuração do browser apontei para o proxy, não estão acessando alguns serviços que pelo proxy transparente acessava normalmente. Um deles que está me dando dor de cabeça é o FTP. Qdo tento fazer a conexão aparece o seguinte erro: Ocorreu uma falha na autenticação no FTP, na tentativa de recuperar a seguinte URL: ftp://ftp.com4.com.br/ Squid emitiu o seguinte comando FTP: PASS yourpassworde recebeu esta resposta: Sorry, no ANONYMOUS access allowed. Já configurei a variável ftp_passive on, ftp_user [EMAIL PROTECTED], adcionei a Var. SafePorts = 20-21 No entanto nenhuma destas opções funcionou. Se tiro a configuração do browser o ftp volta a funcionar corretamente. Alguém já passou por isso? Podem me dar uma forma. Abrigado Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] Olá pessoal, Alguém pode dar uma força neste caso? Ainda não consegui resolver o caso. Será que pode ser alguma configuração do Squid. Obrigado Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Ftp x Squid
Pessoal, Estou migrando um proxy transparente para um autenticado usando o Squid 2.6.STABLE5. No entanto, nos micros cuja configuração do browser apontei para o proxy, não estão acessando alguns serviços que pelo proxy transparente acessava normalmente. Um deles que está me dando dor de cabeça é o FTP. Qdo tento fazer a conexão aparece o seguinte erro: Ocorreu uma falha na autenticação no FTP, na tentativa de recuperar a seguinte URL: ftp://ftp.com4.com.br/ Squid emitiu o seguinte comando FTP: PASS yourpassworde recebeu esta resposta: Sorry, no ANONYMOUS access allowed. Já configurei a variável ftp_passive on, ftp_user [EMAIL PROTECTED], adcionei a Var. SafePorts = 20-21 No entanto nenhuma destas opções funcionou. Se tiro a configuração do browser o ftp volta a funcionar corretamente. Alguém já passou por isso? Podem me dar uma forma. Abrigado Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Replicar DHCP
Olá pessoal, Estou reestruturando a rede da empresa, para dar uma maior disponibilidade no uso da mesma. Para isso desejo permitir a replicação entre os servidores DHCP e DNS. Já tenho um DHCP montado, mas que trabalha sozinho. Alguém pode mandar algum conf ou de preferência indicar algum material sobre o assunto para mim??? Desde já muito obrigado. Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Resolvendo endereço incorreto do host
Olá pessoal, Está acontecendo um caso estranho na minha rede. Tenho quatro servidores (debian 3 e 4) todos eles tem seus respectivos nomes (netbios) registrados no /etc/hosts. Três destes servidores tem uma segunda placa de rede para comunicação privada entre eles que é isolada do restante da rede. Por algum motivo, os micros da rede pararam de resolver os nomes de alguns destes servidores e qdo executo ping nome do servidor ele traz o endereço da segunda placa de rede e logo, não consegue estabelece conexão com o mesmo (no caso pelo samba). Ex: hosts srvbkp 192.168.1.62 #placa de rede 1 srvbkpp 192.168.2.1 # placa de rede 2 Todos servidores possuem esta configuração. Qdo executo o ping a partir deles na rede 1 ping srvbkp ele buscam o ip da placa de rede 1. Porém quando executo o mesmo comando de uma máquina windows que também está na rede 1 ele traz o ip da placa de rede 2. Isso aconteceu do nada tenho um outro servidor com o mesmo problema. Se eu pingo direto no ip, funciona normal... mas se tento resolver o nome não dá certo. Alguém pode me dar uma luz Obrigado Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: phpLdapAdmin não altera senha do Sa mba - Quase resolvido
Felipe Santos escreveu: Cara! Se não me engano, se vc mudar a senha nos parametros sambaLMPassword e sambaNTPassword, além do userPassword funciona do jeito que você quer... Valeu Em 22/08/07, * Edson Marquezani Filho* [EMAIL PROTECTED] mailto:[EMAIL PROTECTED] escreveu: Em 22/08/07, Pedro Debian[EMAIL PROTECTED] mailto:[EMAIL PROTECTED] escreveu: Olá pessoal, Graças a ajuda de vcs consegui montar um servidor LDAP+SAMBA funcionando redondinho. Instalei o phpLdapAdmin, para o pessoal do suporte ter mais facilidade em gerenciar as contas de usuários. Consigo criar os usuários, alterar os parâmetros, mas quando tento alterar a senha para o usuários logar no samba não dá certo. No phpLdapAdmin altera, se eu digitar a nova senha e cliqccar para conferir diz que alterou, mas quanto tento logar no samba, a nova senha não entra, continuando funcionar a antiga. Instalei um pacote chamado mkntpwd que vi em um artigo do viva o linux, mas também não funcionou. Alguma dica para resolver este problema? Bom, o PhpLdapAdmin só altera o atributo userPassword mesmo e deixa o sambaLMPassword e sambaNTPassword inalterados, que são as senhas que o Windows 98 e 2000/NT/XP confere, respectivamente. Nunca vi nada pra alterar isso, mas se você for lá nos fontes do PhpLdap e editar isso dá pra fazer né. Seja usando o smbldaptools pra trocar as senhas, ou usando biblioteca nativa do php mesmo. Aliás, se você fizer isso, manda pra gente que vai ser útil. =) Valeu, o esquema da senha do samba foi resolvido, tive que alterar estes campos mesmo. Do contrário, acho que seria necessário procurar outra ferramenta pra administrador os usuários. Já ouvi falar em Lan Account Manager, entre outras, mas nunca testei. Outra coisa, como eu configuro o phpLdapAdmin para buscar o próximo uidNumber do usuário para não ter que inserir este valor manualmente. Ele já não faz isso ? Ele até mostra hint: (automatically determined) do lado do campo. Sempre que usei, nunca me preocupei com o uidNumber. Felipe, estou usando a versão 0.95 com php4, será que pode ser isso... ??? Qual versão vc usa. Nesta que estou usando se não colocar o uidNumber do usuário ele não deixa criar ele. Desde já muito obrigado Abraço Boa sorte. Pedro Abraço Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Scripts no Cron
Thunderblade Tempestis escreveu: E ai, galera? Bem, eu sei que pode parecer uma pergunta tosca, mas... Se eu colocar uma serie de comandos em um arquivo e por no cron pra rodar, os comandos serão executados um de cada vez, ou todos de uma vez só? O que eu quero é: Comando 1 termino do comando Comando 2 termino do comando Comando 3 Obrigado, galera -Temp Os comandos serão executados individualmente na sequência que estiverem dentro do seus scritp. Eu uso esta forma nos meus servidores, funciona normal. Apenas uma dica, se vc for incluir este agendamento no final do arquivo crontab, sempre dê um enter depois, por algum motivo o cron não executa se não tiver esta linha em branco no final do arquivo. Abraço Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
phpLdapAdmin não altera senha do Samba
Olá pessoal, Graças a ajuda de vcs consegui montar um servidor LDAP+SAMBA funcionando redondinho. Instalei o phpLdapAdmin, para o pessoal do suporte ter mais facilidade em gerenciar as contas de usuários. Consigo criar os usuários, alterar os parâmetros, mas quando tento alterar a senha para o usuários logar no samba não dá certo. No phpLdapAdmin altera, se eu digitar a nova senha e cliqccar para conferir diz que alterou, mas quanto tento logar no samba, a nova senha não entra, continuando funcionar a antiga. Instalei um pacote chamado mkntpwd que vi em um artigo do viva o linux, mas também não funcionou. Alguma dica para resolver este problema? Outra coisa, como eu configuro o phpLdapAdmin para buscar o próximo uidNumber do usuário para não ter que inserir este valor manualmente. Desde já muito obrigado Abraço Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: RES: Bloquear msn com Iptables por mac address
Andre Novelli - Depto de TI escreveu: ultimamento o que tenho feito alem dos bloqueios normais, é rodar um exe no usuario (no caso do windows) onde eu mato os executaveis que eu nao quero que rodem. tosco mas funcional. Como eu uso active directory com group polices fica facil limitar tudo por GPO's . Em Quarta 22 Agosto 2007, Daniel escreveu: juliana, a lista de mac é fácil fazer, o pessoal até já te passou como... mas nào acho que só bloqueando a porta 1863 seu msn para.. bloquear msn nào é uma tarefa tão simples, eu mesmo já tentei muitas e muitas coisas, e mesmo conseguindo por um tempinho, sempre surge um outro caminho para conexão.. já tentei com o layer7, por portas, por expressão, mas nunca consegui bloqueá-lo efetivamente.. saiu uma dica no l-d-cas da unicamp uma vez, mas tb está furada... enfim, apesar de vc ter pedido algo simples, o resultado nào será satisfatório.. mas boa sorte.. :-) []'s daniel _ De: Juliana Guisolberto [mailto:[EMAIL PROTECTED] Enviada em: terça-feira, 21 de agosto de 2007 11:34 Para: Linux Debian Assunto: Bloquear msn com Iptables por mac address Bom dia Pessoal, Estou bloqueando o msn aqui na empresa, porém só para alguns mac-address. Fiz a seguinte regra no Iptables que funcionou com exito -- iptables -A FORWARD -m mac --mac-source macaddress-p tcp --dport 1863 -j DROP, porém eu tenho uma lista de mac-address para bloquear. E eu gostaria de deixar esses mac-address em um arquivo e ao invés de eu criar a regra para cada mac-address, eu apontaria para o diretório aonde está o arquivo que eu criei com a lista de mac-address. Tentei fazer da seguinte forma: iptables -A FORWARD -m mac --mac-source \etc\macaddress(arquivo aonde está o mac address-p tcp --dport 1863 -j DROP, porém não funcionou. Alguém tem idéia se é possível e como posso fazer isso? Obrigada, Juliana Pessoal, Uma boa solução que encontrei e resolveram meus problemas, foi a criação de regras no squid e no iptables para fazer este bloqueio. As versões mais novas dos msn fazer um tunel pela porta 80, o que o firewall não consegue bloquear. Por isso além de bloquear as porta nativa do programa, criamos algumas regras que bloqueiam a saída pela porta 80 também, estou mandando o que fizermos, deve funcionar no caso de vcs também. Boa Sorte Pedro IPTABLES # MSN echo CONFIGURACAO DE REGRAS DE MSN - OK iptables -N MSN iptables -A FORWARD -p tcp --syn --dport 1863 -j MSN for i in `cat /etc/squid/arq_conf/m_msn` do iptables -A MSN -s $i -p tcp --dport 1863 -j DROP iptables -A MSN -d $i -p tcp --sport 1863 -j DROP done iptables -A MSN -m limit --limit 1/s -p tcp --syn --dport 1863 -j LOG --log-prefix FRW: ACESSO MSN # SQUID acl MsnP req_mime_type application/x-msn-messenger acl Msn dstdomain gateway.messenger.hotmail.com loginnet.passport.com c.msn.com rad.msn.com 65.54.194.118 207.68.178.61 acl MsnA url_regex .dll acl BloqueadosMsn dstdomain gateway.messenger.hotmail.com loginnet.passport.com http_access allow maquinas_MSN MsnP http_access allow maquinas_MSN MsnA http_access deny MsnP http_access deny Msn http_access deny MsnA -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
fuser no Etch...
Olá pessoal, Hoje tentei descobrir qual processo estava usando uma porta do servidor, no entanto não encontrei o comando fuser que sempre usava para este fim no Sarge. Este comando não faz mais parte do Etch? Se faz qual pacote uso para o instalar... pesquisei no google não encontrei nada a respeito. Se ele não existir mais para estes distribuição existe alguma programa equivalente ? Desde já muito obrigado Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Seleção de kernel na instalação do etch
Olá pessoal, Estou migrando alguns servidores do Sarge para o Etch. Porém alguns são micros mais antigos que ficam muito lentos com a versão 2.6.18-4-686 que é a padrão de instalação. Porém com a 2.6.18-4-486 eles rodam legal. Primeiramente gostaria de saber, na instalação do Etch tem como selecionar uma versão de kernel diferente? Outra coisa, tenho os pacotes .deb do kernel que peguei de outro micro para instalar em um destes servers que estou atualizando. Tenho tanto o kernel-image como o linux-image. Porém se sou um dpkg -i neles não instalam. Tem como instalar diretamente estes pacotes para não precisar os baixar ou ter que colocar os cds no repositório com o apt-cdrom? Desde já muito obrigado Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: problema com phpldapadmin - RESOLVIDO
Edmundo Valle Neto escreveu: Andre Novelli - Depto de TI escreveu: Em Quinta 16 Agosto 2007, Rondineli Gama Saad escreveu: Debian wrote: Olá pessoal, Montei um servidor LDAP para autenticar o acesso a rede. Ainda estou testando mas está funcionando legal. Por enqto estou usando o smbldap- scripts para gerenciar as contas. gostaria de usar o phpldapadmin. Eu instalei ele uma vez, mas não sei pq parou de funcionar. Segui um tutorial que pediu para instalar o php4-ldap, o apache-ssl, e instalei o phpldapadmin. O apache tá rodando legal. Porém qdo tento acessar o ldap dá esta mensagem : Your install of PHP appears to be missing LDAP support. Please install LDAP support before using phpLDAPadmin. Don't forget restart your web server. Ficou faltando alguma coisa? Já removi e instalei novamente, apaguei os arq. de conf do etc, mas o problema permance. Alguém tem alguma dica para eu sair desta? Obrigado Pedro Olá Pedro, Este problema estava dando para mim, pois não tinha instalado o pacote php5-ldap, claro se o seu php for a versão 5. Isso resolveria. Rondineli Saad As vezes um dpkg-reconfigure php4 resolve ! Nao sei porque mas no sarge eu resolvia muito essas coisas fazendo isso. Não sei te explicar porque isso acontece não cheguei a olhar os scripts dos pacotes, mas nas ocasiões em que eu instalei ele com o php4 + apache2 às vezes o módulo do php referente ao ldap some do arquivo /etc/php4/apache2/php.ini (principalmente quando alguns pacotes referentes ao serviço são desinstalados e reinstalados), existe uma sessão que diz quais os módulos devem ser carregados pelo php e quando você instala o php4-ldap é adicionada uma linha no arquivo php.ini, provavelmente esta linha está faltando. Edmundo Valle Neto Olá pessoal, Densistalei o php4, php-ldap e phpldapadmin e instalei novamente. Voltou a funcionar. Obrigado a todos! Abraço Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
LDAP x SAMBA - alteração de senhas de usuários
Olá pessoal, Estou migrando nosso sistema de autenticação de usuários da rede do NIS para o LDAP. Já configurei o servidor principal e estou usando a ferramenta PHPLDAPADMIN para fazer o gerenciamento das contas. Aqui utilizamos os samba nos servidores e as estações são windows. Quando eu cadastro um novo usuário para o samba no PHPLDAPADMIN, dá certo, consigo logar com ele. O problema é qdo quero alterar a senha. Se eu altero ela pela ferramenta gráfica pelo visto ela não esta atualizando o samba. Dentro do PHPLDAPADMIN, fica atualizada a nova senha, mas o samba fica com a atinga. Ai tenho que usar o comando smbldap-passwd. O samba está configurado para autenticar no LDAP, também já pedi para sincronizar os usuários Unix (criação, alteração, exclusão) como os usuários Samba (usei o Webmin) mas mesmo assim continua do mesmo jeito. Alguém sabe o que pode estar dando errado??? Tem como fazer alguma configuração para aceitar a configuração de senhas pelo PHPLDAPADMIN? Desde já muito obrigado. Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
ip fora da rede detectado no proxy interno
Olá pessoal, Hoje de manhã checando o relatório do proxy interno (Squid/Sarg) encontrei uma entrada de um ip que não faz parte de minha rede 207.46.27.253 tentando acessar 61.135.132.110:25. O acesso foi bloqueado, mas não entendi como isso seria possível. Chequei os logs do firewall (iptables) e não encontrei nada de anormal. Alguém saberia me dizer como este ip pode ter ido parar no relatório do proxy? Desde já agradeço. Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Samba x subredes II
Olá pessoal, Já postei algumas mensagens sobre o assunto anteriormente que me deram uma boa ajuda, porém sugiram algumas novas dúvidas. Quero segmentar uma parte da rede que está em uma área insegura. Uma das maneiras que me passara para resolver o problema foi colocar em cada segmento um servidor samba para se comunicar com o demais. Tenho algumas dúvidas: * É necessário colocar um servidor mesmo em cada de segmento ou dá para rotear as máquinas da subrede de modo que se comuniquem com as da outra rede (compartilhamento de arquivos, uso impressora) com um único servidor na rede principal? * Colocando um servidor em cada subrede, é possível deixar as máquina de toda rede sob o mesmo domínio ou será necessário criar outro para cada subrede?? * Usando o mesmo domínio para todas as máquinas é possível através da base descompasso, fazer com que as máquinas da subrede se autentiquem no MDC da máquina principal sem precisar criar as senhas no servidor local desta rede? Desde já muito obrigado Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Regra Iptables com varios IPs
Olá Bruno, Há um tempo atrás vc mandou uma mensagem na lista, que tinha feito uma regra onde conseguia passar como parâmetro um arquivo texto com uma lista de ips para serem liberados no msn. Já tentei de várias formas adicionar esta regras não não funcionou, sempre dá erro. Vc poderia postar sua regra para eu ver o que estou fazendo de errado??? Desde de já obrigado Pedro Bruno Henrique de Oliveira escreveu: Em Sex, 2007-02-09 às 08:28 -0200, Elton Simões Baptista escreveu: Bom dia, Preciso colocar mais de um ip em uma regra. A regra eh, se o pacote nao vier da maq com ip tal ou tal ou tal, redirecione para a porta tal. Assim: -A PREROUTING -p tcp -m tcp ! -s $TERMINAL ! -d $SAIDA --dport 80 -j REDIRECT -to-ports 3128 onde esta o $TERMINAL eu preciso colocar varios IPs ja tentei com virgula, com chaves, com um monte de coisas e nao funfa Alguem sabe como posso fazer isso? Bom dia Elton, Tenho uma regra no iptables semelhante para liberar o messenger para uma lista de ip, coloquei uma variavel recebendo o arquivo, exemplo: lista_ip=/etc/lista_ip.txt Dentro do arquivo tenho os ips em ordem de lista, assim: 192.168.1.x 192.168.1.x E funciona perfeitamente. Att Bruno Henrique de Oliveira.
Sugestões para projeto de rede
Olá pessoal, Já postei algumas mensagens anteriores, e já algum tempo venho fazendo um estudo sobre o problema que vou citar: SITUAÇÃO ATUAL: Administro uma rede de atualmente 80 computadores. Sendo 4 servidores (Gateway, Arquivos, Bkp, Aplicações - S.O. Debian) e o restante são clientes Windows (98/ME/XP). A rede é basicamente usada para compartilhamento de arquivos, acesso a impressoras. Usamos o Samba 3.0.14 para permitir a comunicação. Um micro pricipal é o PDC e todos as demais estações (também os outros servidores com exceção do Gateway) estão dentro deste mesmo dominio. Uso atualmente o NIS entre os servidores para permitir o acesso das estações aos compartilhamentos destes pelos clientes. Um dos servidores acima tambem trabalha como server DHCP e DNS. PROBLEMA: O grande problema de se trabalhar em uma rede monolitica como esta é o quesito segurança. Tenho estações em locais distantes que poderiam ser usadas para acessar os outros micros (inclusive da diretoria) pois todos se enchergam na rede. POSSIVEL SOLUÇÃO: Dentro deste estudo que fiz, uma solução interessante para o problema seria segmentar esta rede de forma a pode controlar a visão das estações das subredes através de regras de firewall. NECESSIDADE: Quero poder separar as áreas críticas em grupos restritos de forma que não vejam a rede como um todo, e também segmentar alguns departamentos com maior número de estações de forma a balancear o tráfego de dados. Gostaria de manter todas as máquinas sob o dominio de um servidor principal que pudesse concentrar todos os usuários para facilitar a administração. Preciso que estas máquinas possam também se comunicar (compartilhamento de arquivos, acesso a impressoras - Netbios) com as outras subredes caso exista uma necessidade futura, o controle deste acesso ficaria por conta do firewall. DUVIDA: Gostaria de sugestões de qual seria a melhor forma para fazer isso, ou ainda um outra solução que poderia me trazer o mesmo resultado. Desde já muito obrigado Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Sugestões para projeto de rede
Olá pessoal, A principio, gostaria de soluções a nível de linux (tipo o que uso, samba ou software que permita fazer esta interligação das redes) mesmo, para eu poder fazer um teste em uma rede paralela que montei. Desde já obrigado Pedro Andre Novelli - Depto de TI escreveu: Em Quinta 26 Abril 2007 09:25, Junior Polegato - Linux escreveu: Pedro - Debian escreveu: Olá pessoal, Já postei algumas mensagens anteriores, e já algum tempo venho fazendo um estudo sobre o problema que vou citar: SITUAÇÃO ATUAL: Administro uma rede de atualmente 80 computadores. Sendo 4 servidores (Gateway, Arquivos, Bkp, Aplicações - S.O. Debian) e o restante são clientes Windows (98/ME/XP). A rede é basicamente usada para compartilhamento de arquivos, acesso a impressoras. Usamos o Samba 3.0.14 para permitir a comunicação. Um micro pricipal é o PDC e todos as demais estações (também os outros servidores com exceção do Gateway) estão dentro deste mesmo dominio. Uso atualmente o NIS entre os servidores para permitir o acesso das estações aos compartilhamentos destes pelos clientes. Um dos servidores acima tambem trabalha como server DHCP e DNS. PROBLEMA: O grande problema de se trabalhar em uma rede monolitica como esta é o quesito segurança. Tenho estações em locais distantes que poderiam ser usadas para acessar os outros micros (inclusive da diretoria) pois todos se enchergam na rede. POSSIVEL SOLUÇÃO: Dentro deste estudo que fiz, uma solução interessante para o problema seria segmentar esta rede de forma a pode controlar a visão das estações das subredes através de regras de firewall. NECESSIDADE: Quero poder separar as áreas críticas em grupos restritos de forma que não vejam a rede como um todo, e também segmentar alguns departamentos com maior número de estações de forma a balancear o tráfego de dados. Gostaria de manter todas as máquinas sob o dominio de um servidor principal que pudesse concentrar todos os usuários para facilitar a administração. Preciso que estas máquinas possam também se comunicar (compartilhamento de arquivos, acesso a impressoras - Netbios) com as outras subredes caso exista uma necessidade futura, o controle deste acesso ficaria por conta do firewall. DUVIDA: Gostaria de sugestões de qual seria a melhor forma para fazer isso, ou ainda um outra solução que poderia me trazer o mesmo resultado. Desde já muito obrigado Pedro Olá, Use switch com vlan (nível 3), assim no próprio switch você dita a regra de que placa de rede vê a outra. Poderia fazer isso a nível IP, configurando no DHCP ou máquina a máquina, mas um cara fuçado pode mudar o IP e ver outras máquinas. Ou compre switch para cada grupo e uma placa de rede para cada no roteador. -- Atenciosamente, Junior Polegato Um peregrino de problemas; Um pergaminho de soluções! Página Profissional: http://www.juniorpolegato.com.br Na lata me veio a ideia da VLan na cabeça! è muito mais simples e patico de administrar! Nao precisa ser um CCNA ferrado pra montar uma Vlanzinha funcional, basta pesquisar um pouco sobre o assunto Nao sei o throughput[1] da sua rede, mas tente cair pra 2com ou cisco que sao os mais legais de mexer. [1] - http://pt.wikipedia.org/wiki/Throughput
Erro subredes NETBIOS/Samba
Olá pessoal, Minha idéia é a seguinte. Tenho uma rede com 80 micros (clientes windows 98/XP) com 1 servidor samba atuando como PDC. Uso DHCP/DNS interno. Quero dividir esta rede, para facilitar o gerenciamento e diminuir o broadcast. Configurei um roteador que interliga as duas redes. Configurei o dhcrelay3 apontando para o servidor DHCP quer esta na rede principal. Bom, os clientes w98 não logam por nada na nova rede. Os XPs logan mas só com os usuários que ja estavam sendo usados na rede principal. Se tento logar com um usuário diferente do que já estava usando, ele dá problemas e diz que o dominio não está disponível. Porém se entro com o usuário convencial, ele loga normalmente. Logando com o usuario válido... ele enxerga as máquinas do grupo, mas se tento acessar seu conteúdo. Alguém sabe como posso fazer esta interligação destas redes? Sei que o Netbios não é roteável. [rede1]--[gw principal]---[roteador rede2]--[rede2] | | | -[PCD Samba]--- Os micros da rede1 e da rede2 se autenticam no PDC Samba. Porém a partir da rede dois não consigo colocar mais micros no dominio, nem logar com usuário diferentes com os quais já linha logado na rede1 antes de mudar estas máquinas para a rede2. Os micros da rede dois se enchergam no ambiente de rede, mas não se acessam, alguns pedem senha, outro dão erro de cara. O que devo fazer... ?? Desde já obrigado Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Manual Sarg 2.2.2
Olá Pessal, Fiz um upgrade do sarg 2.0.5 para 2.2.2, e usei o mesmo arquivo de configuração da versão anterior, porém aparece o seguinte erro : /SARG: (html11) Erro no open do arquivo: /var/www/relat/2007Apr11-2007Apr11/users/. e depois disso o relatório não é criado de forma correta. Qdo restaurei a versão anterior o relatório voltou a ser gerado corretamente. Portanto, deduzo que o erro seja uma mudança de sintaxe do sistema. Alguém tem alguma informação a respeito, ou um manual (tutoria) desta nova versão??? Desde já muito obrigado. Pedro
Squid 2.6.5 e sarg 2.2.2 - mudança de sinta xe de parâmetros
Olá pessoal, Atualizei em meu sistema (Debian) os seguintes programas: Squid 2.5 Squid 2.6 / Sarg 2.0 Sarg 2.2.2. Eu sei que a sintaxe de aluguns parâmetros do Squid 2.5 mudaram para o 2.6, mas sobre o sarg não encontrei nada a respeito. Copiei o meu sarg.conf da versão anterior, porém qdo o executo, ele só gera os top sites, e da uma mensagem de erro: /SARG: (html11) Erro no open do arquivo: /var/www/relat/2007Apr11-2007Apr11/users/. Pesquisei na internet não encontrei nada a respeito deste erro. Será que alguém pode me dar uma força a respeito??? Desde já muito obrigado Pedro
Samba x Subredes
Olá pessoal, Já venho postando algumas dúvidas nesta lista a respeito de um projeto que estou fazendo para montar uma rede linux com vários segmentos autenticando seus usuários a partir de um PDC rodando Samba 3.x. Configurei um servidor dhcp3, um DNS com o bind9 tudo ok. Os clientes são máquinas windows XP, Me e 98. Os XPs estão entrando corretamente autenticando o usuários e mapeando suas respectivas unidades. Porém os clientes 98/Me não encontram um servidor válido na rede. alguém já viu isso...? Estou usando um roteador com dhcrelay apontando para o servidor dhcp. Porém se eu pego este cliente e coloco na mesma rede que o servidor samba, ele autentica normalmente!!! Toda ajuda é bem vinda. Obrigado Pedro ___ Yahoo! Mail - Sempre a melhor opção para você! Experimente já e veja as novidades. http://br.yahoo.com/mailbeta/tudonovo/ -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Não consigo alterar hostname
Olá Alexandre As vezes o hostname nome_da_maquina nos deixa na mão mesmo. Tente alterar o arquivo /etc/hostname ao invés de /etc/hosts, pois é ele que guarda esta informação. Grande abraço Pedro Alexander escreveu: Não consigo alterar hostname: Faço assim - hostname [novo_hostname] ou mcedit /etc/hosts e altero o hostname Quando dou boot volta tudo ao q éra antes -- Jesus te ama Não seja pirata seja livre Não use drogas, use Software Livre ___ Yahoo! Mail - Sempre a melhor opção para você! Experimente já e veja as novidades. http://br.yahoo.com/mailbeta/tudonovo/ -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
DHCP3 x NIS x SAMBA
Olá pessoal, Estou segmentando a rede da empresa. Usamos servidores Debian rodando samba com nis (PDC) para distribuir as senhas para os outros dois servidores. Na rede nativa dos servidores está tudo funcionando normal. Porém coloquei um roteador dividindo a rede e configurei o dhcrelay apontando para o servidor dhcp que também fica na rede dos demais servidores. Os clientes (windows) conseguem autenticar mas apenas no PDC, mas não conseguem acessar os compartilhamentos dos demais servidores. Alguém já viu alguma coisa parecida? Parece que o nis não estão compartilhando as senhas na outra rede. Abaixo está meu arquivo dhcp.conf : Desde já muito obrigado Pedro dhcp.conf max-lease-time 7200; default-lease-time 600; INTERFACES=eth1; ddns-update-style none; # Define como sendo o servidor oficial da rede authoritative; # Log log-facility local7; ### CONFIGURACOES DA REDE # REDE1 subnet 192.168.1.0 netmask 255.255.255.0 { range 192.168.1.211 192.168.1.222; option routers 192.168.1.250; option domain-name-servers 192.168.1.62; } # REDE 5 subnet 192.168.5.0 netmask 255.255.255.0 { option routers 192.168.5.1; option domain-name-servers 192.168.1.70; option netbios-name-servers 192.168.1.248,192.168.1.1,192.168.1.62; option netbios-node-type 8; option nis-servers 192.168.1.248,192.168.1.1,192.168.1.62; range 192.168.5.2 192.168.5.9; } ___ Yahoo! Mail - Sempre a melhor opção para você! Experimente já e veja as novidades. http://br.yahoo.com/mailbeta/tudonovo/ -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Autenticação squid por usuário em arquivos
Olá pessoal, Estou usando a autenticação do squid através do samba. Estou usando a linha abaixo para autenticar os usuários: acl usuarios proxy_auth pedro http_access allow usuarios Gostaria ao invés de digitar os nomes no final da regra, poder colocar os mesmos dentro de um arquivo eu tentei a opção: acl usuarios proxy_auth /etc/squid/usuarios porém não funcionou. Alguém pode me dar uma força??? Obrigado Pedro ___ Yahoo! Mail - Sempre a melhor opção para você! Experimente já e veja as novidades. http://br.yahoo.com/mailbeta/tudonovo/ -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]