Debian: Аутентификация и авторизация пользователей с помощью LDAP

Написал admin . Опубликовано в Unix просмотров 4 647

Так себеПойдетХорошоПонравилосьОтличный пост (1 votes, average: 5,00 out of 5)
Загрузка...

Начнем с того, что хранение всей информации для аутентификации пользователя, в одном месте — это и хорошо и плохо. Хорошо, потому что удобно администрировать аккаунты пользователей, быстро разворачивать системы и сервисы в сети и тд. Плохо, потому что опасно как со стороны безопасности, так и со стороны отказоустойчивости. Но от этих минусов есть рецепты, поэтому единое хранилище больше хорошо, чем плохо…

Теперь о том, чего нам необходимо добиться.

1. Получить резолвинг имен пользователей и групп из каталога LDAP
2. Разрешить аутентификацию пользователей с помощью LDAP
3. Разграничить права доступа на тот или иной сервер (не всем нужно иметь доступ на все сервера допустим по ssh)
4. Разрешить использовать sudo информацию из LDAP
5. Хранить и спользовать публичные ssh ключи пользователей для аутентификации в ssh

И так по порядку:

1. NSS-LDAP (Name Services Switch) необходим для подтягивания из LDAP в систему таких данных как имена пользователей, группы и другой информации, которая обычно хранится в файлах каталога /etc

aliases, ethers, group, hosts, netgroup, networks, passwd, protocols, rpc, services , shadow

Репликация LDAP (часть 1)

Написал admin . Опубликовано в Databases, Unix просмотров 895

Так себеПойдетХорошоПонравилосьОтличный пост (No Ratings Yet)
Загрузка...

Обзор

Репликация LDAP может пригодиться в тех случаях, когда необходимо иметь несколько идентичных копий директорий LDAP. К примеру клиенты директории LDAP географически распределены и локальные копии директории были бы более предпочтительны в плане скорости доступа. Репликацию можно настроить как на полное дерево, так и на отдельные ветки директории.

Стандартная модель репликации LDAP выглядит в виде иерархии, где есть один master сервер и несколько slave (еще их называют shadow) серверов.

Master сервер отвечает за поддержание slave серверов в актуальном состоянии. Все изменения в директории вносятся на нем и по средством репликации переносятся на slave.
Slave сервера предоставляют каталог для поиска пользователям. Все запросы на поиск обрабатывают они, а не master. Все slave сервера соответственно работают в режиме read-only и не позволяют вносить изменения в данные директории. Этим занимается только master сервер. В случае попытки сделать на slave сервере операцию изменения данных (удаление, изменение или добавление записи), он вернет клиенту ссылку (refferal) на master сервер. Клиент при получении такой ссылки, будет обязан повторно выполнить операцию на предложенном master сервере.

Установка Rsync на Solaris 10

Написал admin . Опубликовано в Solaris просмотров 760

Так себеПойдетХорошоПонравилосьОтличный пост (No Ratings Yet)
Загрузка...

Забираем исходники rsync с офсайта, распаковываем, компилим и ставим.
# wget http://samba.anu.edu.au/ftp/rsync/rsync-3.0.7.tar.gz
# gunzip rsync-3.0.7.tar.gz
# tar -xvf rsync-3.0.7.tar
# cd rsync-3.0.7
# ./configure
# make
# sudo make install

Проверяем как все прошло
# which rsync
/usr/local/bin/rsync

# ldd /usr/local/bin/rsync
libpopt.so.0 =>  /opt/csw/lib/libpopt.so.0
libsec.so.1 =>   /lib/libsec.so.1
libiconv.so.2 =>         /opt/csw/lib/libiconv.so.2
libsocket.so.1 =>        /lib/libsocket.so.1
libnsl.so.1 =>   /lib/libnsl.so.1
libc.so.1 =>     /lib/libc.so.1
libsunmath.so.1 =>       /opt/csw/lib/libsunmath.so.1
libintl.so.8 =>  /opt/csw/lib/libintl.so.8
libm.so.1 =>     /lib/libm.so.1
libavl.so.1 =>   /lib/libavl.so.1
libmp.so.2 =>    /lib/libmp.so.2
libmd.so.1 =>    /lib/libmd.so.1
libscf.so.1 =>   /lib/libscf.so.1
libdl.so.1 =>    /lib/libdl.so.1
libdoor.so.1 =>  /lib/libdoor.so.1
libuutil.so.1 =>         /lib/libuutil.so.1
libgen.so.1 =>   /lib/libgen.so.1
libm.so.2 =>     /lib/libm.so.2

Top Ten One-Liners from CommandLineFu Explained

Написал admin . Опубликовано в Unix просмотров 112

Так себеПойдетХорошоПонравилосьОтличный пост (No Ratings Yet)
Загрузка...

I love working in the shell. Mastery of shell lets you get things done in seconds, rather than minutes or hours, if you chose to write a program instead.

In this article I’d like to explain the top one-liners from the commandlinefu.com. It’s a user-driven website where people get to choose the best and most useful shell one-liners.

But before I do that, I want to take the opportunity and link to a few of my articles that I wrote some time ago on working efficiently in the command line:

And now the explanation of top one-liners from commandlinefu.

#1. Run the last command as root

$ sudo !!

We all know what the sudo command does — it runs the command as another user, in this case, it runs the command as superuser because no other user was specified. But what’s really interesting is the bang-bang !! part of the command. It’s called the event designator. An event designator references a command in shell’s history. In this case the event designator references the previous command. Writing !! is the same as writing !-1. The -1 refers to the last command. You can generalize it, and write !-n to refer to the n-th previous command. To view all your previous commands, type history.

I wrote about event designators in much more detail in my article “The Definitive Guide to Bash Command Line History.” The article also comes with a printable cheat sheet for working with the history.

Apache: Разрешить доступ с IP без аутентификации

Написал admin . Опубликовано в Unix просмотров 275

Так себеПойдетХорошоПонравилосьОтличный пост (No Ratings Yet)
Загрузка...

Для разрешения свободного доступа к ресурсу Apache с определeнного IP без запроса пароля, можно использовать опцию Satisfy

AuthName "Enter you password" AuthType Basic AuthUserFile /var/www/.htpasswd Require valid-user Order allow,deny Allow from xx.xx.xx.xx Satisfy Any 

Samba макро-подстановки

Написал admin . Опубликовано в Unix просмотров 238

Так себеПойдетХорошоПонравилосьОтличный пост (No Ratings Yet)
Загрузка...

Список макросов Samba, которые можно использовать при конфигурации шар и самого сервера.

%S = the name of the current service, if any.
%P = the root directory of the current service, if any.
%u = user name of the current service, if any.
%g = primary group name of %u.
%U = session user name (the user name that the client wanted, not necessarily the same as the one they got).
%G = primary group name of %U.

Кириллица на FTP

Написал admin . Опубликовано в Unix просмотров 372

Так себеПойдетХорошоПонравилосьОтличный пост (No Ratings Yet)
Загрузка...

1. Берем pure-ftpd последний, собираем с rfc2640

2. В конфиге указываем кодировку файловой системы и клиента

FileSystemCharset     koi8-r
ClientCharset         cp1251

Похожие статьи:

Управление rTorrent (hotkeys)

Написал admin . Опубликовано в Other, Unix просмотров 2 088

Так себеПойдетХорошоПонравилосьОтличный пост (1 votes, average: 5,00 out of 5)
Загрузка...

Использование rtorrent в screen сессии.

Enter — добавить новый torrent файл. Для упрощения ввода имени файла, можно пользоваться клавишей Tab.
^T — обновить трэкер
^Q — отключает программу, повторное нажатие закрывает программу не посылая трэкеру стоп сигнал
^N|<стрелка вниз> — выбор следующего торрента/адреса
^P|<стрелка вверх> — выбор предыдущего торрента/адреса
^F|<стрелка вправо> — просмотр состояния загрузки/аплоуда торрента
^B|<стрелка влево> — возвращает на предыдущий экран
A|S|D — увеличить скорость загрузки на 1/5/50 кб
Z|X|C — уменьшить скорость загрузки на 1/5/50 кб
a|s|d — увеличить скорость отдачи на 1/5/50 кб
z|x|c — уменьшить скорость отдачи на 1/5/50 кб
1—9 — переключение между различными группами (по состоянию загрузки)
^S — начать закачку
^D — остановить закачку (повторное нажатие удаляет торрент-файл. Данные остаются)
^K — закрыть торрент и его файлы
^E — пересоздать все файлы торрента
^R — перечитать хэш торрента
^O — изменить директорию на загрузку (торрент должен быть закрыт)
+|- — увеличить уменьшить приоритет загрузки торрента
— добавить URL или путь к торренту
L — просмотреть лог (чтобы выйти нужно нажать пробел)
^X — вызвать команду или поменять настройку

Похожие статьи:

Фиксированная группа у CVS проектов

Написал admin . Опубликовано в Unix просмотров 156

Так себеПойдетХорошоПонравилосьОтличный пост (No Ratings Yet)
Загрузка...

Для того, чтобы у файлов в репозитории CVS не съезжала основная группа, необходимо у корня и всех подпапок проектов выставить SGID.

# find /cvs -type d -exec chmod g+s {} \;
# chgrp -R cvs /cvs/*