Re: [FUG-BR] RES: [OT] BIND e Active Directory
- Original Message -
From: Renato Frederick [EMAIL PROTECTED]
To: 'Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)'
freebsd@fug.com.br
Sent: Saturday, December 08, 2007 12:05 PM
Subject: [FUG-BR] RES: [OT] BIND e Active Directory
Se você tem estações XP/vista, coloque o DNS 1o para o 2003, é
imprescindível que eles registrem informações no DNS, como o hostname e
consulte as informações relativas ao AD, como as zonas _msdcs.dominio.ad,
DomainDnsZones.dominio.ad, _sites.dominio.ad e outras. Você pode até mandar
o bind aceitar atualização dinâmica, mas se não existir estas zonas e outras
que o wizard cria como os SRV, haverá muitos problemas no seu domínio.
Então, voce pode colocar o free como slave da MS e fazer ele transferir a
zona como uma zona normal(já que o AD usa um tipo de zona integrada ao AD,
que segue o mesmo conceito mas tem melhorias da própria MS), como backup
somente.
Outra coisa que voce tem que ver é se o bind aceita registros SRV.
--
Renato,
O registro que as estações fazem no dns é para registrar seu nome (hostname)
e também o reverso (IP da estação - que pode ser dinâmico - para hostname).
Felizmente tudo que é preciso para fazer a rede funcionar SEM utilizar dns e
dhcpd do windows esta incluso no ports (isc-dhcpd-server3 - o bind já faz
parte do sistema).
Com as configurações informadas abaixo, o dhcpd (instalado no freebsd)
configura o hostname e o reverso das estações assim que a estação alocar um
IP, exatamente o que o Active Directory precisa para funcionar.
Tenho algumas (aprox. 5 sites diferentes) com AD (todas com 2003, até aonde
me lembro) e sempre com esse esquema que já se provou muito eficaz.
Como a interação dhcpd/dns faz parte da infra-estrutura da rede AD, mantenha
isso rodando (bem) no seu freebsd e seu Windows nunca mais vai reclamar da
rede (experiencia propria).
Descobri isso depois de muita insistencia (e vários problemas na rede AD).
[]'s
Luiz
dhcpd.conf
# lease update
default-lease-time 86400;
max-lease-time 604800;
# type
authoritative;
# dns update
ddns-update-style interim;
# Use this to send dhcp log messages to a different log file (you also
# have to hack syslog.conf to complete the redirection).
log-facility local7;
key dhcpd {
algorithm hmac-md5;
secret TEFLU0Q5MW45KiY3ODlBaGE3ODlzMWdoMW5oc2RhaGR1Z3QxCg==;
};
zone xxx.com.br. {
primary 192.168.0.1;
key dhcpd;
}
zone 0.168.192.in-addr.arpa. {
primary 192.168.0.1;
key dhcpd;
}
subnet 192.168.0.0 netmask 255.255.255.0 {
range 192.168.0.121 192.168.0.240;
do-forward-updates on;
deny client-updates;
option netbios-name-servers 192.168.0.XX; #WINS
option domain-name xxx.com.br;
option domain-name-servers 192.168.0.1; # DNS
option netbios-node-type 4;
option routers 192.168.0.1; # gateway
}
- fim dhcpd.conf
- named.conf -
acl clients {
192.168.0.0/24;
};
acl servers {
192.168.0.XX; # Servidor Active Directory
};
options {
# adicione as suas configurações locais aqui
listen-on {
192.168.0.1;
};
allow-recursion { clients; };
};
key dhcpd {
algorithm hmac-md5;
secret TEFLU0Q5MW45KiY3ODlBaGE3ODlzMWdoMW5oc2RhaGR1Z3QxCg==;
};
zone xxx.com.br {
type master;
check-names ignore;
allow-update {
key dhcpd;
servers;
};
file dynamic/xxx.com.br;
};
zone _msdcs.xxx.com.br {
type master;
check-names ignore;
allow-update {
servers;
};
file dynamic/_msdcs.xxx.com.br;
};
zone _sites.xxx.com.br {
type master;
check-names ignore;
allow-update {
servers;
};
file dynamic/_sites.xxx.com.br;
};
zone _tcp.xxx.com.br {
type master;
check-names ignore;
allow-update {
servers;
};
file dynamic/_tcp.xxx.com.br;
};
zone _udp.xxx.com.br {
type master;
check-names ignore;
allow-update {
servers;
};
file dynamic/_udp.xxx.com.br;
};
zone ForestDnsZones.xxx.com.br {
type master;
check-names ignore;
allow-update {
servers;
};
file dynamic/forestdnszones.xxx.com.br;
};
zone DomainDnsZones.xxx.com.br {
type master;
check-names ignore;
allow-update {
servers;
};
file dynamic/domaindnszones.xxx.com.br;
};
zone 0.168.192.in-addr.arpa {
type master;
allow-update {
key dhcpd;
};
file dynamic/0.168.192.in-addr.arpa;
};
- fim do dhcpd.conf
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] RES: RES: [OT] BIND e Active Directory
Luiz, bacana a documentação, é bom para deixar como referencia que o dcpromo
e o wizard não são bichos de 7 cabeças, hehehehe!
-Mensagem original-
De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em
nome de Luiz Otavio O Souza
Enviada em: domingo, 9 de dezembro de 2007 09:07
Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
Assunto: Re: [FUG-BR] RES: [OT] BIND e Active Directory
- Original Message -
From: Renato Frederick [EMAIL PROTECTED]
To: 'Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)'
freebsd@fug.com.br
Sent: Saturday, December 08, 2007 12:05 PM
Subject: [FUG-BR] RES: [OT] BIND e Active Directory
Se você tem estações XP/vista, coloque o DNS 1o para o 2003, é
imprescindível que eles registrem informações no DNS, como o hostname e
consulte as informações relativas ao AD, como as zonas
_msdcs.dominio.ad,
DomainDnsZones.dominio.ad, _sites.dominio.ad e outras. Você pode até
mandar
o bind aceitar atualização dinâmica, mas se não existir estas zonas e
outras
que o wizard cria como os SRV, haverá muitos problemas no seu domínio.
Então, voce pode colocar o free como slave da MS e fazer ele transferir
a
zona como uma zona normal(já que o AD usa um tipo de zona integrada ao
AD,
que segue o mesmo conceito mas tem melhorias da própria MS), como
backup
somente.
Outra coisa que voce tem que ver é se o bind aceita registros SRV.
--
Renato,
O registro que as estações fazem no dns é para registrar seu nome
(hostname)
e também o reverso (IP da estação - que pode ser dinâmico - para
hostname).
Felizmente tudo que é preciso para fazer a rede funcionar SEM utilizar
dns e
dhcpd do windows esta incluso no ports (isc-dhcpd-server3 - o bind já
faz
parte do sistema).
Com as configurações informadas abaixo, o dhcpd (instalado no freebsd)
configura o hostname e o reverso das estações assim que a estação
alocar um
IP, exatamente o que o Active Directory precisa para funcionar.
Tenho algumas (aprox. 5 sites diferentes) com AD (todas com 2003, até
aonde
me lembro) e sempre com esse esquema que já se provou muito eficaz.
Como a interação dhcpd/dns faz parte da infra-estrutura da rede AD,
mantenha
isso rodando (bem) no seu freebsd e seu Windows nunca mais vai reclamar
da
rede (experiencia propria).
Descobri isso depois de muita insistencia (e vários problemas na rede
AD).
[]'s
Luiz
dhcpd.conf
# lease update
default-lease-time 86400;
max-lease-time 604800;
# type
authoritative;
# dns update
ddns-update-style interim;
# Use this to send dhcp log messages to a different log file (you also
# have to hack syslog.conf to complete the redirection).
log-facility local7;
key dhcpd {
algorithm hmac-md5;
secret TEFLU0Q5MW45KiY3ODlBaGE3ODlzMWdoMW5oc2RhaGR1Z3QxCg==;
};
zone xxx.com.br. {
primary 192.168.0.1;
key dhcpd;
}
zone 0.168.192.in-addr.arpa. {
primary 192.168.0.1;
key dhcpd;
}
subnet 192.168.0.0 netmask 255.255.255.0 {
range 192.168.0.121 192.168.0.240;
do-forward-updates on;
deny client-updates;
option netbios-name-servers 192.168.0.XX; #WINS
option domain-name xxx.com.br;
option domain-name-servers 192.168.0.1; # DNS
option netbios-node-type 4;
option routers 192.168.0.1; # gateway
}
- fim dhcpd.conf
- named.conf -
acl clients {
192.168.0.0/24;
};
acl servers {
192.168.0.XX; # Servidor Active Directory
};
options {
# adicione as suas configurações locais aqui
listen-on {
192.168.0.1;
};
allow-recursion { clients; };
};
key dhcpd {
algorithm hmac-md5;
secret TEFLU0Q5MW45KiY3ODlBaGE3ODlzMWdoMW5oc2RhaGR1Z3QxCg==;
};
zone xxx.com.br {
type master;
check-names ignore;
allow-update {
key dhcpd;
servers;
};
file dynamic/xxx.com.br;
};
zone _msdcs.xxx.com.br {
type master;
check-names ignore;
allow-update {
servers;
};
file dynamic/_msdcs.xxx.com.br;
};
zone _sites.xxx.com.br {
type master;
check-names ignore;
allow-update {
servers;
};
file dynamic/_sites.xxx.com.br;
};
zone _tcp.xxx.com.br {
type master;
check-names ignore;
allow-update {
servers;
};
file dynamic/_tcp.xxx.com.br;
};
zone _udp.xxx.com.br {
type master;
check-names ignore;
allow-update {
servers;
};
file dynamic/_udp.xxx.com.br;
};
zone ForestDnsZones.xxx.com.br {
type master;
check-names ignore;
allow-update {
servers;
};
file dynamic/forestdnszones.xxx.com.br;
};
zone
Re: [FUG-BR] Problema com TRAC
Na verdade existe um erro no manual, o comando correto é trac-admin e não svn-admin :P Vou notificar o Patrick! Abs[] Em 08/12/07, Alessandro de Souza Rocha [EMAIL PROTECTED] escreveu: Em 07/12/07, Jose Augusto[EMAIL PROTECTED] escreveu: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Pessoal, Estou implatando trac+subversion, peguei o manual do Patrick lá no FreeBSD Brasil, instalei o trac tudo ok, mas não consigo executar o comando svn-admin do trac, dá comand not found antes quando eu tentei o svnadmin do subversion tive que dar o comando inteiro /usr/local/bin/svnadmin Alguém sabe o que pode estar acontecendo? Abs[] - -- - -- Segurança da Informação se faz com tecnologia, processos e pessoas, e a formação destas exige mais que uma seqüência de treinamentos. Porque você treina macacos. Pessoas,você educa. Se a gente se lança sem vigor, sete de dez ações tomadas não dão certo. É extremamente difícil tomar decisões num estado de agitação. Por outro lado, se sem se preocupar com as conseqüências menores, abordamos os problemas com o espíito afiado como uma lâmina, sempre encontramos a solução em menos tempo do que é necessáio para respirar sete vezes. Nabeshima Naoshige (1538-1618) -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.7 (MingW32) iD8DBQFHWZ2FVCgiIjCYfrkRAj21AKClaG1S/IYI2xkHYMk/Fq1w8mETrQCeL1uA a+1YoqWZTwZtMjUP7MkqRV0= =tHKP -END PGP SIGNATURE- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd http://www.howtoforge.com/subversion_web_access_apache -- Alessandro de Souza Rocha Administrador de Redes e Sistemas Freebsd-BR User #117 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- -- Segurança da Informação se faz com tecnologia, processos e pessoas, e a formação destas exige mais que uma seqüência de treinamentos. Porque você treina macacos. Pessoas,você educa. Se a gente se lança sem vigor, sete de dez ações tomadas não dão certo. É extremamente difícil tomar decisões num estado de agitação. Por outro lado, se sem se preocupar com as conseqüências menores, abordamos os problemas com o espíito afiado como uma lâmina, sempre encontramos a solução em menos tempo do que é necessáio para respirar sete vezes. Nabeshima Naoshige (1538-1618) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Controle de Banda mais detalhado
Estou acompanhando a discursão sobre este assunto, acho que o objetivo é o seguinte: 1 - Limitar a velocidade de UP/DOWN do bloco de ip (ex: 192.168.0.0/24) (como se fosse uma faixa de ip entregue no cliente através de um roteador, ex. um link de 1024kbits) 2 - Limitar a velocidade de UP/DOWN de cada ip do bloco (ex: até 128kbits), sendo que o ip não passaria dessa velocidade e a soma geral do bloco não ultrapasse o limite estabelecido no item 1. caso pratico: - num bloco de ip, com 253 ips utilizáveis (/24), se cada um com velocidade limita da a 128kbits, que teria um limite total de 32.384 kbits. - porem o cliente que detém este bloco comprou apenas 1024 kbits, e quer cada maquina atinja no máximo 128 kbits. Alguém já fez isso com IPFW? PS: Isso também poderia ser feito com bloco de IP menores, conforme a necessidade. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Dúvida no sugar CRM
Caros amigos , to tentando instalar o sugar crm porem na hora da instalação ele ta dando o seguinte erro Caminho para salvar sessão pode ser escrito)Diretório não Válido alguem saberia me dizer o que pode ser ??? att diogo - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] OSSEC + AMAVIS + MAIA
Boa noite, alguém aqui está usando o OSSEC com amavis + Maia + spamassassim? o ossec está pegando dois logs e emitindo avisos a todo instante, visto que o problema ocorre sempre que recebo algum email no servidor. a primeira é de log grande, isso eu consegui reparar aumentando o tamanho do log na regra do ossec. já a segunda não consegui resolver que é quando o spamassassin faz o scan da messagem gerando logs grandes também, poré o ossec responde conforme a baixo: OSSEC HIDS Notification. 2007 Dec 09 22:17:40 Received From: capitao-/var/log/maillog Rule: 1002 fired (level 2) - Unknown problem somewhere in the system. Portion of the log(s): Dec 9 22:17:38 amavis[75022]: (75022-03) Maia: [read_system_config] Bad header checking is ENABLED --END OF NOTIFICATION OSSEC HIDS Notification. 2007 Dec 09 22:17:47 Received From: -/var/log/maillog Rule: 1002 fired (level 2) - Unknown problem somewhere in the system. Portion of the log(s): Dec 9 22:17:42 capitao amavis[75022]: (75022-03) extra modules loaded: /usr/local/etc/mail/spamassassin/FuzzyOcr.pm, /usr/local/lib/perl5/site_perl/5.8.8/mach/auto/NetAddr/IP/Util/autosplit.ix, /usr/local/lib/perl5/site_perl/5.8.8/mach/auto/NetAddr/IP/Util/inet_any2n.al, /usr/local/lib/perl5/site_perl/5.8.8/mach/auto/NetAddr/IP/Util/inet_n2dx.al, /usr/local/lib/perl5/site_perl/5.8.8/mach/auto/NetAddr/IP/Util/ipv6_aton.al, /usr/local/lib/perl5/site_perl/5.8.8/mach/auto/NetAddr/IP/Util/ipv6_n2d.al, /usr/local/lib/perl5/site_perl/5.8.8/mach/auto/NetAddr/IP/autosplit.ix, Crypt/Blowfish.pm, Crypt/CBC.pm, Error.pm, Mail/SPF.pm, Mail/SPF/Base.pm, Mail/SPF/Exception.pm, Mail/SPF/MacroString.pm, Mail/SPF/Record.pm, Mail/SPF/Request.pm, Mail/SPF/Result.pm, Mail/SPF/Server.pm, Mail/SPF/Util.pm, Mail/SpamAssassin/Locales.pm, Mail/SpamAssassin/Plugin/Bayes.pm, Mail/SpamAssassin/Plugin/BodyEval.pm, Mail/SpamAssassin/Plugin/Check.pm, Mail/SpamAssassin/Plugin/DNSEval.pm, Mail/SpamAssassin/P lugin/HTMLEval.pm, Mail/Sp... --END OF NOTIFICATION Como evitar esse envio do ossec neste quesito? ou ainda, como criar uma regra de exceção para o spamassassim+maia? -- Kivanio Pereira Barbosa Cel 8121-4248 www.eiqconsultoria.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
