顯示文章

這裡允許您檢視這個會員的所有文章。請注意, 您只能看見您有權限閱讀的文章。


主題 - shuaige

頁: [1]
1
Network 討論版 / 請教各位前輩VPNj問題
« 於: 2005-02-18 08:39 »
請問各位前輩
架設好VPN,windows Client連接上後,卻發現不能上網,請問這是怎回事?
似乎是route被搶走

/etc/pptpd.conf的設定是
option /etc/ppp/options.pptp
debug
logwtmp
localip 192.168.0.1
remoteip 192.168.0.234-238,192.168.0.245
netmask 255.255.255.0 <==似乎沒有作用,因為client還是255.255.255.255

/etc/ppp/options.pptp設定如下
lock
debug
proxyarp
auth
require-chap
-chap
-mschap
+mschap-v2
require-mppe
lcp-echo-failure 30
lcp-echo-interval 5
ipcp-accept-local
ipcp-accept-remote
multilink
logfd 2
logfile /var/log/pptpd.log
dump
require-pap
login

謝謝前輩協助

2
各位大大
pptp的vpn可不可以經由pam認證
因為透過pam認證就可以再透過pam去查詢後端公司ADS的上的帳號作認證動作

3
各位大大
不知道誰有這樣經驗可以分享
利用Outlook 2003讀取LDAP(Active Direcotry 2003)作為通訊錄
謝謝大大分享

4
我實驗發現
samba 的security = ads時候如果發現getent passwd讀不到帳號
但wbinfo -u卻有帳號時候
在sbm.conf中
有個設定
winbind trusted domains only = yes
不能設定
不然getent passwd就抓不到帳號

5
請問 224.0.0.251. udp 5353 port是哪個協定在run
我發現我的iptables有這個協定
但是我不知道這是什麼協定說?

6
各位大大救命哦
我的Wbinfo -u可以抓到Ad上的帳號沒問題
wbinfo -a User%Password也可以過
但是我用getent passwd卻抓不到帳號
這是為什麼????
請問有沒有遇過這樣狀況
趕快救我的命
感激不盡

7
各位大大
我在http://www.math.ohio-state.edu/~ccunning/pam_auth/
下載
pam_auth-0.4-4.3.tar.gz
安裝
安裝過程

1) unpack the pam_auth tarball anywhere
2) cd pam_auth
3) phpize
4) ./configure
5) make
6) make install
然後再PHP.ini加入
extension=pam_auth.so
pam_auth.servicename = "php"
我寫了一個測試程式
$username = "kiki";
$password = "1234qwerASDF";
echo "Test PAM Begin....<br>";
if(pam_auth($username, $password, &$error)) {
echo "Yeah baby, we're authenticated!";
} else {
echo $error;
}
在/etc/pam.d/下
加入一個php 與 httpd的檔案
作為pam認證用
但是始終是 "Authentication failure"
我的Apache的mod_pam_auth都可以測試ok
就PHP的pam不ok

安裝過程是有出現
# phpize
configure.in:9: warning: underquoted definition of PHP_WITH_PHP_CONFIG
run info '(automake)Extending aclocal'
or see http://sources.redhat.com/automake/automake.html#Extending-aclocal
configure.in:32: warning: underquoted definition of PHP_EXT_BUILDDIR
configure.in:33: warning: underquoted definition of PHP_EXT_DIR
configure.in:34: warning: underquoted definition of PHP_EXT_SRCDIR
configure.in:35: warning: underquoted definition of PHP_ALWAYS_SHARED
acinclude.m4:19: warning: underquoted definition of PHP_PROG_RE2C
Configuring for:
PHP Api Version: 20020918
Zend Module Api No: 20020429
Zend Extension Api No: 20021010
在make時候
出現以下訊息
If you ever happen to want to link against installed libraries
in a given directory, LIBDIR, you must either use libtool, and
specify the full pathname of the library, or use the `-LLIBDIR'
flag during linking and do at least one of the following:
- add LIBDIR to the `LD_LIBRARY_PATH' environment variable
during execution
- add LIBDIR to the `LD_RUN_PATH' environment variable
during linking
- use the `-Wl,--rpath -Wl,LIBDIR' linker flag
- have your system administrator add LIBDIR to `/etc/ld.so.conf'

See any operating system documentation about shared libraries for
more information, such as the ld(1) and ld.so(8) manual pages.
但我還是繼續作make install
#make install
Installing shared extensions: /usr/lib/php4/

結果還是都試認證錯誤

另外我有嘗試去要安裝
php-pam_auth-4.3.10_0.4-2mdk.i586.rpm
但是這個檔案不是Fedora Core 3或是RedHat的系統
我也不知道怎麼把這檔案解開只安裝pam_auth.so
所以放棄
除此
我有上ftp://ftp.netexpress.net/pub/pam/去抓
php_pam.newest.tgz
要來安裝
執行
#phpize
#./configure
卻出現以下錯誤訊息
configure: error: cannot run /bin/sh ./config.sub
所以就安裝不下去
請大家幫幫我忙
要怎麼解決這問題

8
原本我打wbinfo -t出現
以下錯誤訊息
checking the trust secret via RPC calls failed
error code was NT_STATUS_PIPE_NOT_AVAILABLE (0xc00000ac)
我的解決方式
wbinfo --set-auth-user Domain_Name\Administrator%password
希望可以提供給遇到錯誤的人

9
Linux 討論版 / Tripwire --init出現問題
« 於: 2005-02-01 10:56 »
我在使用 tripwire --init 再key入 local passphrase密碼後出現以下訊息
不知道有沒有人遇過
tripwire: dynamic-link.h:62: elf_get_dynamic_info: Assertion `! "bad dynamic tag"' failed.

10
Linux 討論版 / Linux的SWAP好像都沒有用到
« 於: 2005-02-01 10:33 »
各位大大有沒有遇過這樣問題
我用top指令查看swap是否有用到,結果used都是0 請問各位大大有沒有遇過這樣狀況,如果有要怎麼解決
我用top指令顯示出來的狀況

top - 10:34:19 up  1:09,  2 users,  load average: 0.63, 0.27, 0.17
Tasks: 130 total,   1 running, 129 sleeping,   0 stopped,   0 zombie
Cpu(s):  3.9% us,  2.8% sy,  0.0% ni, 89.3% id,  3.3% wa,  0.7% hi,  0.0% si
Mem:   1027048k total,   578064k used,   448984k free,   199204k buffers
Swap:  2031608k total,        0k used,  2031608k free,   122384k cached

  PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND
 6368 root      15   0  3100  888 1676 R  3.9  0.1   0:00.02 top
    1 root      16   0  3140  560 1420 S  0.0  0.1   0:09.86 init
    2 root      34  19     0    0    0 S  0.0  0.0   0:00.00 ksoftirqd/0
    3 root       5 -10     0    0    0 S  0.0  0.0   0:00.10 events/0
    4 root       5 -10     0    0    0 S  0.0  0.0   0:00.02 khelper
    5 root      14 -10     0    0    0 S  0.0  0.0   0:00.00 kacpid
   22 root       5 -10     0    0    0 S  0.0  0.0   0:00.00 kblockd/0
   23 root      15   0     0    0    0 S  0.0  0.0   0:00.06 khubd
   32 root      20   0     0    0    0 S  0.0  0.0   0:00.00 pdflush
   33 root      15   0     0    0    0 S  0.0  0.0   0:07.24 pdflush
   35 root       7 -10     0    0    0 S  0.0  0.0   0:00.00 aio/0
   34 root      25   0     0    0    0 S  0.0  0.0   0:00.00 kswapd0
  108 root      25   0     0    0    0 S  0.0  0.0   0:00.00 kseriod
  175 root       5 -10     0    0    0 S  0.0  0.0   0:00.00 ata/0
  177 root      22   0     0    0    0 S  0.0  0.0   0:00.00 scsi_eh_0
  178 root      23   0     0    0    0 S  0.0  0.0   0:00.00 scsi_eh_1
  191 root       6 -10     0    0    0 S  0.0  0.0   0:00.00 kmirrord/0
  202 root      15   0     0    0    0 S  0.0  0.0   0:05.15 kjournald

我在我的FC3 (Fedora Core 3)中使用LVM2建置一個LV 在這LV中我建置一個VG
我把SWAP建在LV中,
以下是我的fstab中內容
/dev/VolGroup00/SystemVol00 /                       ext3    defaults        1 1
LABEL=/boot             /boot                   ext3    defaults        1 2
none                    /dev/pts                devpts  gid=5,mode=620  0 0
none                    /dev/shm                tmpfs   defaults        0 0
/dev/VolGroup00/HomeVol00 /home                   ext3    defaults        1 2
none                    /proc                   proc    defaults        0 0
none                    /sys                    sysfs   defaults        0 0
/dev/VolGroup00/VarVol00 /var                    ext3    defaults        1 2
/dev/VolGroup00/SwapVol01 swap                    swap    defaults        0 0
/dev/hdb                /media/cdrom3           auto    pamconsole,ro,exec,noaut
o,managed 0 0

11
終於搞定
我真是笨,早知道看Fedora 3 的說明就知道如何設定,這個認證問題,還上網查了老半天(不只半天而是好幾天)
我是希望mail server可以與LDAP結合,並且與windows 2003 AD結合,不管我在linux或是windows Ad上開啟一個帳號,這個帳號就可以登入我們網路,並且擁有email
所以用postfix 結合openldap
而設定期間smtp老是搞不定
因為我想要用pam來搞定,上網查了半天都不行
終於在fedora 3的說明檔中得到答案所以分享給大家
,在這之前請先確定pam是正常運作,我確定的方法是先在ldap上開啟一個帳號,然後遠端telnet登入看看這帳號在沒有linux實體帳號下是否可以認證,如果可以表示我pam的login查詢ldap的機制是正常運作
接下來我就一照我看到的postfix與sasl設定列於下

1) 編輯/etc/postfix/main.cf 並且設定如下:

smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
broken_sasl_auth_clients = yes

smtpd_recipient_restrictions =
  permit_sasl_authenticated,
  permit_mynetworks,
  reject_unauth_destination

2) 開啟 saslauthd:

   /sbin/chkconfig --level 345 saslauthd on
   /sbin/service saslauthd start

3) 編輯/etc/sysconfig/saslauthd 並設定如下:

   MECH=pam

4) 重新開啟Postfix:

   /sbin/service postfix restart

測試:
利用outlook連結到這台server,試試傳一封信看看smtp是否ok
這樣應該就搞定
PS:在這動作之前,postfix與ldap要先架設好,並且確定正常運作,這樣會比較保險

PS:環境是在Fedora 3下

12
LDAP 討論區 / 三層管理權限架構(ACLs)
« 於: 2004-12-17 17:48 »
我終於搞定ACLs,不知道是不是我比較笨,搞這搞好久都快要放棄說。這初步的成功讓我特高興。所以在這裡分享給大家,如果大家在管理自己公司權限部份可以有類似我這樣的架構可以試試看。
以下是公司Base DN
dc=example,dc=com,dc=tw

我的權限架構如下:
第一層:高級主管階級(Administrator/root)==> ou=admins 包含{cn=admin}
第二層:主管階級(Supervisor/Manager)==> ou=management 包含{cn=meanger}
第三層:一般員工(Employees)==>employees 包含{cn=joe}

權限控管如下:
不管是anonymous或是LDAP中的成員都可以觀看DN(dc=example,dc=com,dc=tw)中的資料。每個在LDAP裡的成員並且認證過都可以修改自己密碼。

1.高級主管(ou=admins)擁有最大權力可以任意更改LDAP架構中資料(包含Read,Write,Search,Delete,Modify...)
2.主管階級(ou=management)可以修改ou=management與ou=employees的attribute資料。
3.一般員工(ou=employees)頂多可以修改自己密碼的權利,以及觀看LDAP所有成員裡頭的資料。

ACLs的設定如下:
access to attrs=userPassword
        by self write
        by * auth

access to dn.children="ou=employees,dc=example,dc=com,dc=tw"
        by dn.children="ou=management,dc=example,dc=com,dc=tw" write
        by dn.children="ou=admins,dc=example,dc=com,dc=tw" write
        by users read
        by * auth

access to dn.children="ou=management,dc=example,dc=com,dc=tw"
        by self write
        by * read
        by * auth

access to *
        by * read
        by * auth
        by dn.children="ou=admins,dc=example,dc=com,dc=tw" write

特別注意:
因為ACLs採用 First Match Wins 的原則,所以順序很重要。因此,限制較嚴格應該列在較寬鬆的條件前面。
例如:
#此將會受於任何人讀取的權利
access to *
           by read
#限制userPassword只能用於認證的目的,但允許使用者變更自己密碼
access to attrs=userPassword
           by self write
           by * auth
這樣的設定變成認證過的成員與anonymous都只能讀取userPassword而不能修改密碼。所以要改成如下設定
access to attrs=userPassword
           by self write
           by * auth

access to *
           by read
此外我還發現,除此這樣的限制外by的內容也是有First Match Wins的關係,如果你有一個設定如下:
access to *
           by read
           by write
這結果就會造成只能讀取,所以設定上特別注意。如果非要用這樣方法,可以用存取規則流程控制(break,continue,stop)來控管就可以達到以上要求。

另外這裡還說明有關dn.<scope-style>=<DN>中scope-style的差別。
例如目錄包含如下:

        0: o=suffix
        1: cn=Manager,o=suffix
        2: ou=people,o=suffix
        3: uid=kdz,ou=people,o=suffix
        4: cn=addresses,uid=kdz,ou=people,o=suffix
        5: uid=hyc,ou=people,o=suffix

然後:

      dn.base="ou=people,o=suffix" match 2;
      dn.one="ou=people,o=suffix" match 3, and 5;
      dn.subtree="ou=people,o=suffix" match 2, 3, 4, and 5; and
      dn.children="ou=people,o=suffix" match 3, 4, and 5.

關於who(誰)來認證說明如下:
*
  相符於任何使用者LDAP成員與anonymous
self
  現行LDAP成員(相符DN者),假定該使用者之前bind已經認證成功
anonymous
  未經認證的使用者
users
  經過認證的使用者

存取等級:
none        =0            無法存取
auth        =x          必須bind認證
compare   =cx        可比對屬性
search        =scx       可使用搜尋過濾器
read         =rscx    可讀取搜尋結果
write         =wrscx     可更改屬性

13
LDAP 討論區 / 不知道PHP-NUKE支援LDAP認證?
« 於: 2004-12-15 07:50 »
有誰知道PHP-NUKE是否支援LDAP認證?

頁: [1]