Debian GNU/Linux

Üdv mindenki,

Kissé már lehet hogy keverek dolgokat, ezért inkább leírom, legalább átgondolom én is, illetve aki tapasztaltabb, az nyugodtan oszthatja a tanácsokat :D

A jelenleg működő megoldás: LDAP-ból authentikál kb. minden(ki), van benne vagy öt domain (ez gyakorlatilag csak a levelezésnek érdekes), és van egy különálló samba, workgroupra konfigurálva.
Ezzel az a probléma, hogy két helyen kell matatni az usereket, jelszavakat, csoportjogosultságokat.

Nosza legyen helyette valami sokkal jobb, összeácsoltam egy sambás AD-t, hogy legyen valamerre az előre. Az lenne a cél, hogy ebből mehessen minden (is), azaz a levelezés meg mindenféle auth. A levelezéssel az a gond, hogy nem tudok felvenni belé több domaint, hogy az exim/dovecot tudja hová rendezgetni a levélkéket. Pedig ez elég jó lenne.

HA mindent jól értek, akkor viszont AD nélkül is lehet élni, NT4-es domainben is, ÉS ekkor viszont használhatunk ldapsam-ot. DE, hogy ne a múlt évezredi megoldásokat használjuk, jó lenne legalább group policykat ledobálni a gépekre, és nem érzem azt a végtelen meggyőződést, hogy az jól fog működni NT4-es domainben, win10-ekkel. Ha egyáltalán fog.

További cicoma - erről mindig megfeledkezem -, hogy van nekünk egy nagyon régi de nagyon jó plotterünk, amihez a legfrissebb driver XP-hez van. Win7-re még fel lehetett tenni egy hasonszőrű plotter driverét, amivel majdnem teljesen jól működik, de az XP-vel azért az tényleg működik még. Szóval az ideális megoldás az lenne, ha lenne AD, külső (open)ldappal(*), és az AD-ban lenne az XP masina is, ami így nekem lehetetlennek tűnik.

A kérdés az, hogy melyik az a konstelláció, ami még/már működik.

*) Talán ha a samba belső ldap szerverét meg lehetne patkolni pár plusz domainnel, bár nem tudom hogy ez mennyire támogatott, és hogy mennyire esélyes hogy mondjuk egy upgrade során "a" samba domain kivételével minden más eltűnik.

--
(Igen, vegyünk Windows szervert, cal-t meg miegyebet, és térjünk át MS megoldásokra. Tulajdonképpen ez sem lehetetlen, már vadásszuk azt az embert, aki hihetően meg tudja szakérteni, hogy a mi cégünknek ez kb. mennyibe kerülne, és mennyivel lenne jobb mint a mostani helyzet. De ezt az ágat egyelőre hanyagoljuk, most nem ez a kérdés.)

Sziasztok!

Egy CAT B30 mobiltelefon belső tárhelyét és SD-kártyáját szeretném Debian 8 alól írni-olvasni (hasonlóképpen mint Windows alatt, azaz egyéb alkalmazás nélkül). Van-e valakinek ezzel kapcsolatos tapasztalata?

Sziasztok!

Most, hogy az új Firefox ESR, már nem támogatja a java plugint, tud valaki arra megoldást, hogy a jnlp-ből is menjen a nyomtatás? Jelenleg nem történik semmi, még egy hibaüzenet se :(

Debian 9

openjdk version "1.8.0_181"
OpenJDK Runtime Environment (build 1.8.0_181-8u181-b13-1~deb9u1-b13)
OpenJDK 64-Bit Server VM (build 25.181-b13, mixed mode)

ii icedtea-netx:amd64 1.6.2-3.1 amd64 NetX - implementation of the Java Network Launching Protocol (JNLP)
ii icedtea-netx-common 1.6.2-3.1 all NetX - implementation of the Java Network Launching Protocol (JNLP)

Ahogy olvastam, [url="https://lists.samba.org/archive/samba/2014-January/178191.html"]2014-ben[/url] ez volt a helyzet: "it is not possible to have samba handle a forest with multiple domain under it"

Hirtelen nem találtam arra utaló jelet, hogy ez megváltozott volna.

Elsősorban arra lenne szükség, hogy az exim ki tudja kotorni az adatokat (kb. annyi a lényeg, hogy az user létezik-e) az AD-ből. Létezik épeszű módszer arra, hogy LDAP-ban lévő, 3-4 domaint át lehessen szögelni samba AD alá?

Debian alatt fut egy Seafile, ami gyönyörűen teszi a dolgát, kivéve, hogy töredezik. Ez sem lenne baj, hisz van egy seafileCleanup.sh scriptje, ami szépen felszabadítja a helyet.
A scriptet root-ként futtatva rendben teszi is a dolgát.
Azonban, ha a crotab-ból futtatom root-ként, a következő hibaüzenetet adja:

This script must be run as root user! ()

A crontab sor így néz ki:
1 7 * * 6 root /opt/seafile/utils/seafileCleanup.sh

Hogyan kell úgy futtatnom időzítőből, mintha root-ként belépve indítottam volna el?

Sziasztok!

Csináltam egy raid1 tömböt egy gépen, előkészítésképpen, hogy amikor az éles szerverbe teszem a hdd-ket, kevesebb legyen a kiesés. Az éles szerveren jelenleg van 2 degraded raid, ezeket szeretném kiváltani az új tömbbel. Betettem a 2 új lemezt a szerverbe, elindult a rendszer a régi degraded tömbökkel. Most még szeretnék adatot másolni az új tömbre, mielőtt arról bootolok be. Az új lemezeket látja:
/dev/sdb1: UUID="41860217-e159-3052-6f62-154c40ae5fd5" UUID_SUB="2d07fa04-5f8f-79c1-b3c6-cdac76135ba7" LABEL="ds1223:0" TYPE="linux_raid_member" PARTUUID="f99c403d-01"
/dev/sdc1: UUID="41860217-e159-3052-6f62-154c40ae5fd5" UUID_SUB="6b5ea63d-1a3a-d6e9-e515-4d9b6cf88139" LABEL="ds1223:0" TYPE="linux_raid_member" PARTUUID="18446755-01"
De nem tudom használatba venni. Nem csinálok ilyent napi szinten, próbálkoztam néhány dologgal, eddig sikertelenül:
cat /proc/mdstat
Personalities : [raid1]
md3 : active raid1 sdd1[1]
976630336 blocks super 1.2 [2/1] [_U]

md2 : active raid1 sda3[2]
482883392 blocks super 1.2 [2/1] [U_]

md1 : active raid1 sda2[2]
4878272 blocks super 1.2 [2/1] [U_]

md0 : active raid1 sda1[0]
487360 blocks [2/1] [U_]
pvscan
mdadm --detail --scan
ARRAY /dev/md0 metadata=0.90 UUID=0fd34779:41b2dc8b:544cdd3e:4e1b9688
ARRAY /dev/md/1 metadata=1.2 name=xen3:1 UUID=917d82a3:1909b5d9:da51ad50:53480d63
ARRAY /dev/md/2 metadata=1.2 name=xen3:2 UUID=d78880a5:bfda0428:409cfed4:eb4aec80
ARRAY /dev/md3 metadata=1.2 name=xen3:data UUID=976e2a09:f507b181:70c2efa6:0fa7506a
mdadm --auto-detect
mdadm --assemble -u 41860217:e1593052:6f62154c:40ae5fd5

A tervezett hálózat a következő:

- Adott egy iroda, két hálózattal. Az external az lát nagyjából mindenfelé, az internal csak saját magán belül (az externalt sem látja). A külvilágot csak proxykon (vagy vpn-en) át érik el.
- Van egy teszt AD, két DC-vel (Version 4.8.5-Debian), sdc0 és sdc1. Mindkettőnek két-két IP címe, az internal és external hálózatokba lógatva. Ezekben az internal/external hálózatokban jobbára win10 van.
- Van egy külső hálózat, oda is kellene legalább egy, de inkább két DC (sdc2, sdc3) amik viszont elsősorban linux gépeket authentikálnának (ldap helyett), ezeknek a gépeknek csak egy-egy címük van, viszont látják mind az external, mind az internal hálózatot.

https://www.dropbox.com/s/refr69xlv20b6e6/pas.png

Egyelőre ott tartok, hogy az sdc0 - sdc1 összeállt, a samba-tool drs showrepl nem jelez hibát, a samba-tool dns query sdc0 IRODA.EXAMPLE.COM @ ALL -U administrator szépen listázza a tartományt, benne van az sdc0, sdc1 mindkét címével. Szóval alapvetően nem tűnik lehetetlennek.
A kinit administrator hihető időn belül (pár másodperc) lefut, van ticket.
Az órák szinkronban vannak.

De.

A samba-tool dns query sdc0 IRODA.EXAMPLE.COM @ ALL -U administrator bő húsz másodpercig fut.
A smbclient -L localhost -U% a https://wiki.samba.org/index.php/Setting_up_Samba_as_an_Active_Director… oldallal ellentétben nem írja hogy 'Domain=[IRODA] OS=[Unix]...'

# smbclient -L localhost -U%

        Sharename       Type      Comment
        ---------       ----      -------
        netlogon        Disk      
        sysvol          Disk      
        IPC$            IPC       IPC Service (Samba 4.8.5-Debian)
Reconnecting with SMB1 for workgroup listing.

        Server               Comment
        ---------            -------

        Workgroup            Master
        ---------            -------
        WORKGROUP            

A /etc/resolv.conf-ba az sdc0 címeit írtam mint nameservert. A journalct, logok nem írnak semmi gyanúsat.

# Global parameters
[global]
        netbios name = SDC1
        realm = IRODA.EXAMPLE.COM
        server role = active directory domain controller
        workgroup = IRODA

[netlogon]
        path = /var/lib/samba/sysvol/iroda.example.com/scripts
        read only = No

[sysvol]
        path = /var/lib/samba/sysvol
        read only = No

Szóval a kérdések:

- Amit tervezek az oké, vagy eleve hülyeség?
- A kliensek - w10 - mennyire lesznek betegek a szerteszét IP tartományokban lévő, esetleg elérhetetlen DC-k miatt? (Valahol rémlik, hogy el lehet magyarázni nekik, hogy mégis, melyikeket akarják használni)
- Miért ilyen lassú a dns lekérdezése? Gond ez?

Sziasztok!

Jelenleg az outlook egy smb megosztáson keresztül éri el az outlook adatfájlokat. Ezt szeretném átalakítani egy valamilyen mail szerver szintű megoldásra.

Van 4 meglévő e-mail cím. Azt szeretném elérni, hogy ezek az e-mailek a szerveren keresztül a megfelelő felhasználóval párosítva jussanak el a helyi gépekre. A meglevő adatfájlokat egybe kellen olvasztani a hozzájuk tartozó e-mail fiókkal és ezáltal a saját adatfájlukba dolgozzanak a fiókok.

Milyen megoldést javasoltok erre?

Valamilyen leírás,videó,segítség nagyon jó lenne! :)

Köszönöm szépen előre is!

Sziasztok!

Debian 8-on minden nap az error.log-ot az Apache frissítés előtt/után rögzíti a következő üzeneteket. Mindig ugyan azokat a hibákat azonos időpontban. Az SSL hiba már frissítés előtt is jelen volt, viszont a
[mpm_prefork:warn] [pid 31023] AH00167: long lost child came home!
üzenet biztos, hogy az óta jött elő. A többiben már nem vagyok biztos.
Ezekkel kell szerintetek foglalkoznom? Mit tudok tenni velük, hogy ne okozzanak problémát?


[Sun Sep 02 07:35:02.204182 2018] [:notice] [pid 2732] FastCGI: process manager initialized (pid 2732)
[ 2018-09-02 07:35:02.2142 2734/7fb6c8a39740 agents/Watchdog/Main.cpp:538 ]: Options: { 'analytics_log_user' => 'nobody', 'default_group' => 'nogroup', 'default_python' => 'python', 'default_ruby' => '/usr/bin/ruby', 'default_user' => 'nobody', 'log_level' => '0', 'max_pool_size' => '6', 'passenger_root' => '/usr/lib/ruby/vendor_ruby/phusion_passenger/locations.ini', 'passenger_version' => '4.0.53', 'pool_idle_time' => '300', 'temp_dir' => '/tmp', 'union_station_gateway_address' => 'gateway.unionstationapp.com', 'union_station_gateway_port' => '443', 'user_switching' => 'true', 'web_server_passenger_version' => '4.0.53', 'web_server_pid' => '31023', 'web_server_type' => 'apache', 'web_server_worker_gid' => '33', 'web_server_worker_uid' => '33' }
[ 2018-09-02 07:35:02.2275 2737/7fee0b973740 agents/HelperAgent/Main.cpp:650 ]: PassengerHelperAgent online, listening at unix:/tmp/passenger.1.0.31023/generation-3/request
[ 2018-09-02 07:35:02.2433 2747/7f5894e3e780 agents/LoggingAgent/Main.cpp:321 ]: PassengerLoggingAgent online, listening at unix:/tmp/passenger.1.0.31023/generation-3/logging
[ 2018-09-02 07:35:02.2434 2734/7fb6c8a39740 agents/Watchdog/Main.cpp:728 ]: All Phusion Passenger agents started!
[Sun Sep 02 07:35:02.278629 2018] [ssl:warn] [pid 31023] AH01906: levelezo_cime:8080:0 server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)
[Sun Sep 02 07:35:02.278653 2018] [ssl:warn] [pid 31023] AH01909: levelezo_cime:8080:0 server certificate does NOT include an ID which matches the server name
[Sun Sep 02 07:35:02.278698 2018] [ssl:error] [pid 31023] AH02217: ssl_stapling_init_cert: can't retrieve issuer certificate! [subject: emailAddress=postmaster@levelezo.hu,CN=mail.levelezo.hu,OU=IT,O=Ceg Kft,L=Telepules,ST=Megye,C=HU / issuer: emailAddress=postmaster@levelezo.hu,CN=mail.levelezo.hu,OU=IT,O=Ceg,L=Telepules,ST=Megye,C=HU / serial: E90118B9F3D4B5D2 / notbefore: May 1 05:20:35 2016 GMT / notafter: Apr 29 05:20:35 2026 GMT]
[Sun Sep 02 07:35:02.278704 2018] [ssl:error] [pid 31023] AH02567: Unable to configure certificate levelezo_cime:8080:0 for stapling
[Sun Sep 02 07:35:02.278973 2018] [mpm_prefork:notice] [pid 31023] AH00163: Apache/2.4.10 (Debian) mod_fastcgi/mod_fastcgi-SNAP-0910052141 mod_fcgid/2.3.9 Phusion_Passenger/4.0.53 OpenSSL/1.0.1t mod_wsgi/4.3.0 Python/3.4.2 configured -- resuming normal operations
[Sun Sep 02 07:35:02.278986 2018] [core:notice] [pid 31023] AH00094: Command line: '/usr/sbin/apache2'
[Sun Sep 02 07:35:02.279017 2018] [mpm_prefork:warn] [pid 31023] AH00167: long lost child came home! (pid 12683)
[Mon Sep 03 07:35:02.848270 2018] [mpm_prefork:notice] [pid 31023] AH00171: Graceful restart requested, doing restart


Köszönöm a segítséget előre is!

Üdv:
spgabor

Sziasztok!

Van egy teszt-szerverem, amin egy OpenMediavault fut. Ebben a gépben három hálózati kártya van. Az első külön IP címet kapott, a másik kettőt összefűztem Bond Round-Robin módon. Mindkét IP ugyanazt az átjárót kapja.
Onnantól, hogy mindkét "kártya, tehát fizikai és Bond" be van dugva, nincs külső NET elérés. Ha a fizikai kártyát kihúzom, és restartolom a szervert, minden tökéletesen működik.

Az első kártya adatai (fizikai): 192.168.1.10/255.255.255.0 gw: 192.168.1.1
A második kártya adatai (bond): 192.168.1.5/255.255.255.0 gw: 192.168.1.1


# Include additional interface stanzas.
source-directory interfaces.d


# The loopback network interface
auto lo
iface lo inet loopback

# enp1s0 network interface
auto enp1s0
allow-hotplug enp1s0
iface enp1s0 inet manual
pre-down ip -4 addr flush dev $IFACE
dns-nameservers 1.0.0.1 1.1.1.1
dns-search pgtech.local
iface enp1s0 inet6 manual
pre-down ip -6 addr flush dev $IFACE

# bond0 network interface
auto bond0
iface bond0 inet static
address 192.168.1.5
gateway 192.168.1.1
netmask 255.255.255.0
dns-nameservers 1.0.0.1 1.1.1.1
dns-search pgtech.local
bond-slaves eth1 eth2
bond-mode 0
bond-miimon 100
bond-downdelay 200
bond-updelay 200
iface bond0 inet6 manual
pre-down ip -6 addr flush dev $IFACE

A hálózatban, csak "buta" switch van, és természetesen a router.

Ha valaki meg tudja mondani, miért nem mehet a két eszköz egyszerre, kérem értesse meg velem!