顯示文章

這裡允許您檢視這個會員的所有文章。請注意, 您只能看見您有權限閱讀的文章。


文章 - sclin2k

頁: [1] 2 3
1
自己回一下;
在 Samba 官網有一篇 2003 年的一篇文件: https://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/passdb.html

ldapsam
There are a few points to stress that the ldapsam does not provide. The LDAP support referred to in this documentation does not include:
A means of retrieving user account information from a Windows 200x Active Directory server.
A means of replacing /etc/passwd.

所以是沒辦法利用 ldapsam 從 Windows 200x Active Directory 讀取名單的意思吧?
但現在是 2017 年了,不知是不是己經可以讀取了???

2
  failed to bind to server ldap://192.168.60.253:389 with dn="cn=vmail,dc=tw,dc=example" Error: Invalid credentials

先確定能夠通過驗證再往後面走...

在主機上,直接使用下列方式是可以讀取名單:
ldapsearch -x -H ldap://192.168.60.253 -D 'tw\vmail' -W -b 'dc=tw,dc=example'

也有將 smb.conf 設定檔裡的 vmail 密碼,利用 smbpasswd -W 設定密碼。(vmail 是 AD 網域裡的帳號)
但 samba 啟動出現<無效的認證>,難道是不能用 smbpasswd 來設定 domain 帳號的密碼?????


額外補充:
mail server roundcube 裡的通訊錄也是從 AD 裡取得人員名單,
但搞不定 samba smb.conf 設定檔要怎麼設定,才能從 AD 驗證帳號密碼???

3
先貼上 smb.conf 設定檔內容:
[global]
        passdb backend = ldapsam:ldap://192.168.60.253:389
        encrypt passwords = yes
        ldap admin dn = cn=vmail,dc=tw,dc=example
        ldap ssl = no
        ldap suffix = dc=tw,dc=example

        log level = 3
        log file = /var/log/samba/smb.log
        max log size = 50
        template shell = /bin/bash

[homes]
        comment = Home Directories
        valid users = %S, %D%w%S
        browseable = No
        read only = No
        inherit acls = Yes

依上面的設定連線 Windows AD 驗證時,samba.log 訊息出現:
[2017/05/03 17:29:45.129863,  2] ../source3/lib/smbldap.c:794(smbldap_open_connection)
  smbldap_open_connection: connection opened
[2017/05/03 17:29:45.133564,  2] ../source3/lib/smbldap.c:998(smbldap_connect_system)
  failed to bind to server ldap://192.168.60.253:389 with dn="cn=vmail,dc=tw,dc=example" Error: Invalid credentials
     80090308: LdapErr: DSID-0C0903A9, comment: AcceptSecurityContext error, data 52e, v1db1
以及:
[2017/05/03 17:49:10.309081,  2] ../source3/passdb/pdb_ldap_util.c:287(smbldap_search_domain_info)
  smbldap_search_domain_info: Problem during LDAPsearch: Timed out
[2017/05/03 17:49:10.309132,  2] ../source3/passdb/pdb_ldap_util.c:288(smbldap_search_domain_info)
  smbldap_search_domain_info: Query was: dc=tw,dc=example, (&(objectClass=sambaDomain)(sambaDomainName=CENTOS7))
[2017/05/03 17:49:10.309147,  0] ../source3/passdb/pdb_ldap.c:6540(pdb_ldapsam_init_common)
  pdb_init_ldapsam: WARNING: Could not get domain info, nor add one to the domain. We cannot work reliably without it.
[2017/05/03 17:49:10.309182,  0] ../source3/passdb/pdb_interface.c:180(make_pdb_method_name)
  pdb backend ldapsam:ldap://192.168.60.253:389 did not correctly init (error was NT_STATUS_CANT_ACCESS_DOMAIN_INFO)

Samba 版本是 4.6.3(samba-4.6.3.tar.gz)

這台 CentOS 7 沒有 join domain,純粹想直接連到 AD 做帳號驗證。
一直無法成功,也不知問題出在哪???
請版上各位協助!!!
感謝。


4
大家好,

環境:VMware Workstation 11 安裝 CentOS 7,執行 cacti,DNS
在網路上google了很多,都沒找到答案
我的 messages log 檔裡一直出現 net_ratelimit: xx callbacks suppressed
沒有其他錯誤訊息,不知道這代表什麼意思呢?
如果照字面看,好像跟《網路》有關,不知要如何調整系統設定?

5
放到最前面也擋不了,這次我還從另一台Linux用 ldapsearch -h 192.168.1.254 -x -b "ou=people,ou=test,dc=xxxxx,dc=com,dc=tw" sn=*
整個名單都抓到了 ???

把 anonymous 放前面呢?

6
slapd.conf 的存取權限如下,這樣的設定無法阻擋未認證的使用者存取 LDAP 名單嗎?

access to attrs=userPassword
       by self write
       by anonymous auth
       by dn.base="cn=root,dc=ldap,dc=xxxx,dc=com,dc=tw" write
       by * none

access to *
       by self write
       by users read
       by anonymous none
       by dn.base="cn=root,dc=ldap,dc=xxxx,dc=com,dc=tw" write
       by * none

我的測試方式是利用 outlook 裡面的通訊錄,在裡設定好 LDAP 連結,但未勾選設定<此伺服器需要我登入>,另在<其他設定、搜尋、自訂>輸入 dc=xxxx,dc=com,dc=tw。

這樣還是可以搜尋 LDAP 名單,是我的測試方式錯誤嗎?

7
唉!我也覺得奇怪丫
但前人留的字條確實這樣寫 ???

就算不熟,遇到任何事情先看 log 不是最基本的嗎?
怎麼會是清 log?

8
大家好,
我對MySQL資料庫完全不熟及之前的人員有建置了內部使用的WEB EIP系統。剛到目前就職的公司時,完全沒有資訊人員交接工作事項(之前的都走了),且我負責的是網管部份。
最近公司MySQL在查詢時會LAG的很嚴重(某些查詢動作),有時都覺得它掛了。之前的人留下的小字條說LAG時要清資料庫LOG :'(

1.想請問資料庫有各自的LOG嗎?我查了又查,看了又看,找不到有其他的LOG ???
2.如標題,ibdata1 這個檔案有12GB的大小,這樣正常嗎?有辦法用最簡單的方法縮小嗎?

請大家幫我出個主意和方向,感謝!

9
謝謝netman給我個方向,如果問題解決了再上來回報。

10
我又發現一個問題,如果我用一般的USER登入SERVER,利用 su - xxx 會一直出現 su: incorrect password,
 :'( 天啊! 現在才發現之前的人裝起來時,就有這個問題了。而我一直用root登入也沒切換到其他使用者,所以一直沒發現這個問題! :'(
到底是修改了什麼權限啊!!!!!

這一篇和我遇到的問題是一樣的:
http://www.linuxquestions.org/questions/linux-newbie-8/unabel-to-switch-user-shell-869157/

11
謝謝netman

我不是nslcd設定,

最先的 shadow權限我己經裝一台Centos 6 來對照,原先的權限沒問題。重新產生shadow也無法解決 :'(

我把設定貼上來(我也不確定到底是不是LDAP引起的),我是用SSH連線進去幫USER改密碼,順便每日查看secure log發現改完後的訊息。這是錯誤訊息是出現在用SSH進去 <passwd xxxxx> 幫USER改密碼,如果USER透過WEB改密碼是不會有錯誤訊息。上網查好像跟pam_gnome_keyring.so模組有關,有用到的模組:pam.d裡的 login,gdm-password,passwd都看過,但不知問題在哪 :'(

slapd.conf:
database config
access to *
        by dn.exact="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" manage
        by * none

database monitor
access to *
        by dn.exact="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" read
        by dn.exact="cn=root,dc=AAA,dc=BBB,dc=com,dc=tw" read
        by * none

access to attrs=userPassword
       by self write
       by anonymous auth
       by dn.base="cn=root,dc=AAA,dc=BBB,dc=com,dc=tw" write
       by * none

access to *
       by self write
       by users read
       by dn.base="cn=root,dc=AAA,dc=BBB,dc=com,dc=tw" write
       by * none

database        bdb
suffix          "dc=BBB,dc=com,dc=tw"
checkpoint      1024 15
rootdn          "cn=manage,dc=BBB,dc=com,dc=tw"
rootpw          {SSHA}
其他預設。

ldap.conf:
BASE    dc=BBB,dc=com,dc=tw
URI     ldap://127.0.0.1

補充:我有把 LDAP service 停用測試,還是有上面的錯誤訊息 :-\

12
大家好,
我剛到新公司接手一台別人建置的 Centos 6 的系統,幫USER變更密碼可以變更,但secure log 檔裡會出現如下訊息:
passwd: gkr-pam: couldn't update the 'login' keyring password: no old password was entered

查看/etc/shadow的權限是沒有任何權限,擁有者是root。不知道正不正常?我另一台是 Centos 5權限是644,剛到新公司還沒時間裝測試機對照 :-\

我也試著變更shadow的權限無效!上網查了說可以用pwconv重新產生一個新的shadow檔案,但沒自己試過所以先上來問問。也有另一個解法是說 sudo 的限制,也查看了沒變動過。

請有經驗的前輩先幫忙解答,感謝!

補充:我又找到一篇是說與LDAP有關,我的SERVER有架LDAP給MAIL使用,但還是不知要如何解決 ???

13
有沒有可能 SWITCH 的 PORT 要指定成全雙工,不要用預設 AUTO
純粹猜測 ;D

14
謝謝 hikohan,終於透過 cpan 解決了。

rpm 建議用官方釋出的,不然如果有善心人士幫你整組打好的。

perl 可以直接利用 cpan install ,或者手動 perl MAKEFILE.PL 打造 。

15
您好,
會安裝這個套件是因為安裝MailScanner時它會一併安裝
但不知為什麼這個套件裝不起來
所以想另外想辦法試著安裝它
謝謝您

補充一下:我有先在測試機安裝是可以正常安裝,結果在正常服務的主機裝不起來,還好MailScanner還是可以正常啟動及掃瞄,不然就......

16
我的系統是 CentOS 6,rebuild "perl-Compress-Raw-Zlib-2.027-1.noarch"出現的錯誤訊息,看起來像是缺了套件,但不知從何查起,請大家幫幫忙,謝謝!!!

補充:rpm-lib 版本是 rpm-libs-4.8.0-27.el6.i686

Processing files: perl-Compress-Raw-Zlib-2.027-1.noarch
Provides: Zlib.so perl(Compress::Raw::Zlib) = 2.027
Requires(rpmlib): rpmlib(CompressedFileNames) <= 3.0.4-1 rpmlib(PayloadFilesHavePrefix) <= 4.0-1 rpmlib(VersionedDependencies) <= 3.0.3-1
Requires: libc.so.6 libc.so.6(GLIBC_2.0) libc.so.6(GLIBC_2.1.3) libc.so.6(GLIBC_2.3.4) libc.so.6(GLIBC_2.4) rtld(GNU_HASH)
錯誤:Arch dependent binaries in noarch package


RPM 組建錯誤:
    Arch dependent binaries in noarch package

17
可以,我自己有這樣做過,可以正常使用,但要注意各目錄的權限,如果有 service 在跑要先暫停
系統版本:CentOS 5

把原來的 /home 目錄更名,再新建一個新的 /home(要注意目錄權限),將新硬碟格式化、mount 到新的 /home,再將各使用者的目錄搬到新掛載的 /home 目錄內(要再檢查一下各使用者目錄的權限)

18
本人公司使用Kaspersky的感覺:我們公司現在就是用Kaspersky,USER現在每次更新病毒碼都要花半個小時以上(公司內有架一台Kaspersky Administrator kit,也有可能是我們公司的伺服器太弱了),使用者反應電腦都卡卡的,都快跑不動了。

Anti Vir 我只用過個人免費版,感覺不太耗資源,更新的速度也還可接受。企業版還沒用過,可以請有用過企業版的大大提供一下使用感覺,因為我也要評估一下要換哪一家的防毒軟體比較好。

19
您可以 Google 一下 fail2ban postfix,網路上有很多資料可參考。

20
看來似乎是做不到了。
想這麼做是因為不想弄數個登入設定檔,重點是想學點批次檔的寫法及用法
之前我是利用使用者名稱在登入網域時,建立不同的網路磁碟或者匯入不同的登入檔.............
但這個用在小公司可以,但如果想在二、三百人的公司就不適用了。
我想在大公司可能分數個設定檔才是最好的維護方式吧。
感謝各位的回應!!!

21
想在使用者登入 Windows AD 網域時,利用批次檔取得使用者所屬群組,進而執行特定的功能。
但現在我只能取得使用者名字,不知如何才能用批次檔指令取得所屬群組???

22
Linux 討論版 / 回覆: DNS設定問題請教
« 於: 2010-09-28 11:01 »
目前有個狀況
假設XXX.com.tw為敝公司網域
授權YYY部門自行管理其子網域(即YYY.XXX.com.tw)
想請教各位
YYY.XXX.com.tw 此 A 記錄正確應該設定在何處
是在XXX.com.tw的zone File內,除了加NS記錄外,再指定A記錄
{
   YYY           IN    A    192.168.100.2
   YYY           IN    NS   dns.YYY
   dns.YYY      IN    A    192.168.100.5
}
還是由YYY部門於自行的Zone File內指定 A記錄呢?
{
                    IN    NS  dns
                    IN    A   192.168.100.2
   dns             IN   A   192.168.100.5
}
謝謝


我的作法是在主網域下加入子網域的 NS 及 A 記錄;而子網域的管理者再自行設定自已管理的主機對映在子網域的 DNS 內。

23
之前一直遇到 ASUS M6、M2 這兩個系列的筆電在安裝無線網路驅動程式後,就會造成 Windows 系統藍色畫面,一直重覆開機。現在發現不能使用 ASUS 所提供的無線網卡驅動程式,我自已在系統安裝完成後,先驅動其他的設備,無線網卡不驅動。直接連上 Windows update 的更新網站,選用 Windows 所提供的無線網卡驅動程式。安裝完成後無線網卡驅動了,也不會造成系統藍色畫面。雖然已經是舊筆電了,但還是提供給大家參考,不知其他人是否有不同的解決方法提供給大家。

24
switch  上的 port 設定是否正確。

25
問題似乎解決了。我發現上面我原先貼的 jail.conf設定:named-refused 裡;
少了一行設定值:ignoreip 的設定值,所以 server 上的 jail.conf 乾脆 ignoreip 這行也把它刪除。發現它似乎可以自動產生 iptables policy 了,目前正在觀察中 ;D

26
謝謝您的回應。
上述這些動作及設定都有正確產生,而且我的 POSTFIX、SASL policy 都是正常可運作。
之前忘了說明了,fail2ban 如果我手動 restart 是可以擷取到 log 檔內 query 的主機 IP,而且可產生 iptables policy。但它應該可以自動觸發檢查 dns query deny 的行為,進而自動產生 iptables policy。而不須要人的介入。我的 fail2ban Named rule 似乎無法自動觸發??

27
Linux 討論版 / fail2ban 無法擋掉 dns query
« 於: 2009-12-16 11:18 »
近來發現有遠端不明主機一直在 query 我的 dns server。雖然 dns 主機己經 deny 了。但想更進一步將不明主機在被deny後利用iptables擋掉,以免它一直測試。
網路上有一個套件:fail2ban,我己經用它來阻擋 postfix、sasl 的攻擊,是正常可work。但是用在 dns 的部份一直無法正常產生 iptables policy。在網路上搜尋很多資料,但很少有用在 dns 部份的。

系統的基本資料(都是使用預設值):
log資料:/var/log/named/security.log
16-Dec-2009 10:35:20.960 client 66.238.93.161#35319: query (cache) './NS/IN' denied

jail.conf設定:
[named-refused-udp]
enabled  = true
port = domain,953
protocol = udp

filter   = named-refused
action   = iptables-multiport[name=Named, port="domain,953", protocol=udp]
           sendmail-whois[name=Named, dest=test@mydomain.com.tw, sender=fail2ban@mydomain.com.tw]
logpath  = /var/log/named/security.log
maxretry = 1

[named-refused-tcp]
enabled  = true
port = domain,953
protocol = tcp

filter   = named-refused
action   = iptables-multiport[name=Named, port="domain,953", protocol=tcp]
           sendmail-whois[name=Named, dest=test@mydomain.com.tw, sender=fail2ban@mydomain.com.tw]
logpath  = /var/log/named/security.log
maxretry = 1

filter設定:
_daemon=named
__pid_re=(?:\[\d+\])
__daemon_re=\(?%(_daemon)s(?:\(\S+\))?\)?:?
__daemon_combs_re=(?:%(__pid_re)s?:\s+%(__daemon_re)s|%(__daemon_re)s%(__pid_re)s?:)

__line_prefix=(?:\s\S+ %(__daemon_combs_re)s\s+)?

failregex = %(__line_prefix)sclient <HOST>#\S+: query(?: \(cache\))? '.*' denied\s*$


28
終於找到問題了,原來是 FileZilla FTP軟體的〈檔名篩選器〉的設定沒有啟用。
之前的版本是不會顯示隱藏檔的,但不知最近的版本為什麼沒有套用我之前的設定???!!!

29

我是說你是否開了這個參數喔... 有的話要拿掉。

更新前,參數是沒開啟的。

30
補上我的設定檔:
ServerName         "FTP Server"
ServerIdent         off "FTP Server ready."
ServerType         inetd
DefaultServer         on
AccessGrantMsg         "User %u logged in."
DeferWelcome         off

VRootEngine                     on
DefaultRoot         ~ !adm
VRootAlias                      etc/security/pam_env.conf /etc/security/pam_env.conf

AuthPAM            on
AuthPAMConfig         proftpd
AuthOrder         mod_auth_pam.c* mod_auth_unix.c
PersistentPasswd      on

IdentLookups         off
UseReverseDNS         off

Port            21

Umask            022

RootLogin         off
LoginPasswordPrompt      on
MaxLoginAttempts      3
MaxClients  10  "Sorry, max %m users -- try again later"
PassivePorts                    65000 65500

AllowRetrieveRestart      on
AllowStoreRestart      on

MaxInstances         10

User            nobody
Group            nobody

UseSendfile         no

ScoreboardFile         /var/run/proftpd.score

<Global>
  AllowOverwrite      yes
  <Limit ALL SITE_CHMOD>
    AllowAll
  </Limit>
</Global>

LogFormat         default   "%h %l %u %t \"%r\" %s %b"
LogFormat         auth   "%v [%P] %h %t \"%r\" %s"

頁: [1] 2 3