Добрый день, настраиваю openldap proxy на debian 11. Первый раз, и как обычно ничего не получается. Задача - авторизацию сервисов запулить через лдап проски, ибо админ АД выдает только одну учетку служебную для прокси, а пользователи сервисов (юзеры АД) должны логиниться через свои доменные учетки в этих сервисах. Сами сервисы умеют бегать в лдап, но для них админ АД не выдаёт учетки. Причины есть, связанные с космической секьюрностью. На хабре есть статья там команда делала подобную штуку. Что делал:

1.apt install libnss-ldapd libpam-ldapd ldap-utils

2. dpkg-reconfigure slapd - тут задал свой тестовый домен, который подразумевается будет прокси.

3. Убедился, что есть файлик back_ldap.la в директории /usr/lib/ldap/

4.Показал сущности cn=config что надо подгружать бэкенд модуль :

-файлик backend.ldif

objectClass: olcModuleList
cn: module
olcModulePath: /usr/lib/ldap
olcModuleLoad: back_ldap.la

-команда, чтобы этот файлик внести в конфиг ldapadd -Y EXTERNAL -H ldapi:/// -f backend.ldif

5. Пока всё в порядке.

вот конфиг весь, тут видно, что модуль back_ldap.la подгружен. (лапша cn=core и cn=schema убраны)

objectClass: olcGlobal
cn: config
olcArgsFile: /var/run/slapd/slapd.args
olcLogLevel: none
olcPidFile: /var/run/slapd/slapd.pid
olcToolThreads: 1
structuralObjectClass: olcGlobal
entryUUID: adf5cee0-00e6-103e-93ff-19c1b1debbf8
creatorsName: cn=config
createTimestamp: 20231017031159Z
entryCSN: 20231017031159.210589Z#000000#000#000000
modifiersName: cn=config
modifyTimestamp: 20231017031159Z

( читать дальше... )

5. Добавляем базу с ldap сервером, т.е. где все пользователи и живут. Т.е. добавляем backend-базу типа ldap, в качестве которой будет выступать Active Directory:

файлик ldap_db.ldif

dn: olcDatabase=ldap,cn=config
objectClass: olcDatabaseConfig
objectClass: olcLDAPConfig
olcDatabase: ldap
olcDbIDAssertBind: bindmethod="simple" binddn="CN=userNameStaff,CN=Users,DC=company-ad,DC=good-ad,DC=ru" credentials="yY0987654321"
olcDbURI: ldap://company-ad01.company-ad.good-ad.ru
olcReadOnly: TRUE
olcRootDN: cn=admin,dc=localproxy,dc=company2,dc=goodldap,dc=ru
olcRootPW: NH32Ofo5lm9ul4Ofo4r/a6uh+nYI/esd
olcSuffix: dc=localproxy,dc=company2,dc=goodldap,dc=ru
olcDbChaseReferrals: FALSE

Здесь userNameStaff - это логин для просмотра внешнего каталога ldap, в поле credentials его пароль. Эти данные дал владелец АД. Пока в режиме настройки 636 порт не используется. Вот описание с хабра + мои вопросы:

olcDbIDAssertBind: Указание метода подключения, distinguishedName и пароля УЗ для подключения к контроллеру MS Active Directory.

olcDbURI: URI контроллера AD.

olcReadOnly: Режим работы (чтение/запись) с MS Active Directory.

olcRootDN: Сервисная УЗ OpenLDAP. С помощью нее к OpenLDAP будут подключаться сервисы. Я еще добавил credentials, ибо хозяин АД дал учетку с паролем.

olcRootPW: Пароль от сервисной УЗ OpenLDAP. Здесь я указал admin, и его пароль, правильно ли это? или нужно создать нового юзера

olcSuffix: Суффикс домена (какого именно ? домена где прокси? )

olcDbChaseReferrals: Определяет возможность использования механизма отсылок.

Добавляем этот конфиг и сразу ошибка:

root@proxyldap:/etc/ldap# ldapadd -Y EXTERNAL -H ldapi:/// -f ldap_db.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "olcDatabase=ldap,cn=config"
ldap_add: Other (e.g., implementation specific) error (80)
        additional info: <olcRootPW> can only be set when rootdn is under suffix

root@proxyldap:/etc/ldap#

Уже и удалял строки, иногда добавляется, но ошибка при перезапуске slapd в журнале backend_startup: warning, database 2 (ldap) has no suffix

Перерыл много чего, везде всё по разному и юзают конфиг slapd.conf в папке openldap (типа старый стиль), а с cn=config толком нет инфы. Мне просто нужно пользователей какого-либо сервиса пропускать в базу company-ad01.company-ad.good-ad.ru . Это же пользователи этого АД. Сервисов много, всем [сервисам] учётки не дают для просмотра каталога ldap, дают только дну. Вот нужен некий прокси. Подскажите где поправить чтобы проксирование срабатывало.

В общем, обнаружено месторождение очень странных материнских плат с распаянными мобильными процессорами фирмы интуль, с десятого по тринадцатое поколение, от четырёх до десяти ядер. Всё остальное — полноразмерное, есть PCI-E 4.0 x8 и x4, два SATA-коннектора плюс два места под NVME-накопители. Цена умеренная: если брать ещё память, твердотельник и кулер, то можно уложиться в триста с копейками долларов (десятиядерный обойдётся дороже).

В тут, например.

Что скажут благородные доны? Конфетка, или таки полное кю?

Колллеги, посоветуйте какой бесплатный почтовый хостинг по типу того какой был яндекс , для привязки своего домена

С TCP/IP всё понятно. Есть IP адрес и порт.

А как программа понимает при работе UDP hole punching что пакет адресован именно ей, а не какой-нибудь другой программе, которая размещена на хосте с тем же IP?

Ищу уже час наверное, но везде какие-то мутные пространные рассуждения.

Спасибо.

Альтерантива Yandex для почты для своего домена? Какой бесплатный сервис выбрать? Или свой почтовый сервак лучше поднять? (MTA) Какие лучше на текущий момент серверы?

Перемещено hobbit из general

У меня сейчас процессор работает через intel_cpufreq, хотя в ядре опция intel_state включена.

bash-5.1$ cat /sys/devices/system/cpu/cpu*/cpufreq/scaling_driver
intel_cpufreq
intel_cpufreq
intel_cpufreq
intel_cpufreq
intel_cpufreq
intel_cpufreq
intel_cpufreq
intel_cpufreq
intel_cpufreq
intel_cpufreq
intel_cpufreq
intel_cpufreq
intel_cpufreq
intel_cpufreq
intel_cpufreq
intel_cpufreq
intel_cpufreq
intel_cpufreq
intel_cpufreq
intel_cpufreq
intel_cpufreq
intel_cpufreq
intel_cpufreq
intel_cpufreq

uname -a
Linux host 6.1.21 #2 SMP PREEMPT_DYNAMIC Sun Mar 26 14:11:33 UTC 2023 x86_64 GNU/Linux

конфиг ядра - https://pastebin.com/FraZLJx0

В грабе тоже включил - https://pastebin.com/1HChe8vK

Версия ядра 6.1.21

Куда копать?

Я хочу мониторить свой домашний ПК (потребление CPU, RAM, диски, дисковая, сетевая активность, нагрузка на видеокарту и т.д.). И чтобы были красивые графики за ~год.

Ранее я поднимал на своём ПК zabbix\checkmk\prometheus + grafana и т.д. Всё это работало.

Но теперь мне не хочется тратить время на поднятие дополнительных севисов. К тому же, понадобится поднимать и БД для хранения метрик, соответственно, будет тратиться ресурсы моего SSD.

Есть ли какие-нибудь бесплатные публичные сервисы, где я бы мог зарегистрироваться по почте, проставить агентов на своё ПК (zabbix, check-mk и т.д.) и слать свои метрики туда? И заходить на чужой Zabbix\checkmk и смотреть графики?

Или другой вялендовский WM.

Дело в том, что сейчас у меня lightdm - а это избыточная избыточность в этом плане.

lightdm требует xserver для экрана входа, который я никогда не вижу по причине автологина. Вот и хочется избавиться от лишнего звена. Слышал про запуск средствами системды, в качестве пользовательского юнита. Слышал про greetd и даже сам использовал, но в итоге забросил, даже не помню почему.

Вот и хочется узнать, как это настроено у уважаемых лорчан.

Объясните, пожалуйста, правила для REST API. В каких случаях должно выдавать какие ошибки?

Есть сервер, на котором крутится задача, которая будет там крутиться ещё несколько минут. Или часов. Приходит команда изменить какие-то исходные данные. Так как команды прерывать текущие задачи не было, а изменяемые данные используются задачей, они будут изменены только по окончании текущей задачи. Поэтому сервер выдаёт ошибку 409 Conflict. Это правильно? Как принято поступать в подобных случаях?

Перемещено hobbit из talks

Доброго времени суток всем!

Есть несколько удаленных «офисов». В основном и еще в одном белая статика, еше в двух просто белый IP, но не статика. Инет в двух офисах 100мБит, в остальных 200+.

Сечас ovpn через tcp. Все коннектятся к основному офису «звездой». Сети везде прописаны разные, прописаны статические маршруты, все работает. Не устараивает скорость, хотелось бы по полной использовать интернет канал. И по возможности соединить не звездой в «все со всем», чтоб не гонять трафик через осоновной офис.

Роутеры rb750gr3 и hap-ac2, где скорость не критична RB951G и hap-lite (в планах заменить). Везде обновил ROS до v7.7.

Собственно вопрос, как лучше завязать, wireguard или ipsec? 750gr3 и ac2 вроде имеют аппаратную поддержку ipsec.

Здравствуйте. Вопрос по поводу создания виртуальных дисплеев. Я делал так на встроенной графике Intel (https://thm-unix.github.io/blog/tablet-as-second-monitor). Но на десктопе у меня только NVIDIA, без встроенной. Подскажите, пожалуйста, как создать виртуальный дисплей на NVIDIA графике?

GTX1660S / nvidia 525.89.02-2 / Arch Linux

Безопасно ли сейчас использовать btrfs, как основную файловую систему ? Просто многие промышленые решения уже используют btrfs (fedora, steamdeck), видимо не просто так. И какие опции стоит использовать, например есть ли вообще смысл от сжатия zstd ? Или есть ли опции которые значительно замедляют или ускоряют работу файловой системы ? Та и вообщем какие есть нюансы при использование btrfs ?

Всем привет.

В vim-е замечательная функция автоформатирования текста. К примеру, есть такой кусок конфига nginx:

server {
listen 127.0.0.1;
server_name localhost;
root /var/www/localhost;
# Lets encrypt
location ^~ /.well-known/acme-challenge/ {
alias /usr/local/www/acme/.well-known/acme-challenge/;
}
location / { 
return 301 https://localhost;
}
}

server {
        listen 127.0.0.1;
        server_name localhost;
        root /var/www/localhost;
# Lets encrypt
        location ^~ /.well-known/acme-challenge/ {
                alias /usr/local/www/acme/.well-known/acme-challenge/;
        }
        location / {
                return 301 https://localhost;
        }
}

Все отлично... Но только к строкам с комментариями не применяются отступы. Можно ли как-нить сделать чтоб после форматирования текст выглядел так?:

server {
        listen 127.0.0.1;
        server_name localhost;
        root /var/www/localhost;
        # Lets encrypt
        location ^~ /.well-known/acme-challenge/ {
                alias /usr/local/www/acme/.well-known/acme-challenge/;
        }
        location / {
                return 301 https://localhost;
        }
}

P.S: sudo cast LINUX-ORG-RU

Нужно указать в докерфайле какую-нибудь команду, которая ничего не делает. Но чтобы работало завершение по сигналам.

Первое, что пробовал это ENTRYPOINT ["sleep", "infinity"]. Не сработало. sleep игнорирует сигналы. Всякие вариации вроде bash -c "sleep infinity" или bash -c "exec sleep infinity" тоже не работают.

Лучшее, что придумал - ENTRYPOINT ["sh", "-c", "while sleep 1; do true; done"]. Но немного некрасиво - секунду всё равно ждать и крутится там туда-сюда, запускает sleep всё время. И кажись для SIGSTOP не работает, только для SIGINT.

Какой самый классный и короткой способ сделать так, чтобы и по сигналу (SIGINT и SIGSTOP) завершало выполнение, и чтобы в рамках sh работало, и выглядело не монструозно. Через всякие trap-ы и kill-ы и я смогу, но там строк на 10 будет в лучшем случае.

Прогуглил, нужного ответа не нашел.

Завел VPS c VPN забугром, нужно часть машрутов роутить чз него. Есть ли возможность на IPSec vpn сделать push route клиенту? На openvpn было :)

Что значит запись 0.0.0.0 0.0.0.0 в /etc/hosts?
Или 0.0.0.0 0.0.0.0.someaddress.com?

Наткнулся в андройде на образы ext4 с дедупликацией на блочном уровне.

В фичах стоит shared_blocks.

Такой образ монтируется только при явном указании ro

mount -o ro systaem_a.img test

В режиме rw ругается на неподдерживаемые фичи.

EXT4-fs (loop0): couldn't mount RDWR because of unsupported optional features (4000)

Если добавить ему места и раздедуплицировать, то фича shared_blocks исчезает

resize2fs -f system_a.img 6G
e2fsck -y -E unshare_blocks system_a.img

было:
Filesystem features:      ext_attr dir_index filetype extent sparse_super large_file huge_file uninit_bg dir_nlink extra_isize shared_blocks

стало:
Filesystem features:      ext_attr dir_index filetype extent sparse_super large_file huge_file uninit_bg dir_nlink extra_isize

и теперь можно монтировать образ в rw.

Но вопросы. Какого хрена нигде не описана эта фича? Как вообще создают такие образы? Можно ли обратно сжать раздедуплицированный образ? Три часа гугления - ноль результатов…

Понятно, что это надо изучать на годичных курсах. Но я не инженер SIP и внедрять в промышленных масштабах пока ничего не собираюсь. Мне просто понять, как через астериск выпустить 160 абонентов (сделано) и принять 40 городских номеров. А не вот это вот «диалплан - сердце, всё готово, вам звонят благодарные клиенты слушают hello-world». А понимания как идут городские номера мне так и не пришло. Да и вообще маршрутизацию не понял. Как SIP-сервер реципиента ищется? Записи в DNS по этому домену? Там ip веба обычно. А межгород входящий на мой городской? Федеральный номер преобразуется сразу в URI? В общем нихрена не понятно. У нас тут 40 входящих в Е1 одного прова, исходящие в SIP на другого через интернет третьего. Надо бардак фиксить. А я саппортам даже нормальных вопросов задать не могу, а уж про ТЗ как нам надо вообще молчу.

Перемещено leave из talks

Добрый день!

Есть 2 сервера, на обоих нужен openssl с поддержкой ГОСТ. Используемый мануал: https://sysos.ru/?p=589

1. Ubuntu 18.04 Использую уже установленный openssl из репозитория (openssl 1.1.1). Успешно собираю gost-engine.

openssl engine выдает:

(rdrand) Intel RDRAND engine
(dynamic) Dynamic engine loading support (gost) Reference implementation of GOST engine

openssl ciphers|tr ':' '\n'|grep GOST выдает:
GOST2012-GOST8912-GOST8912 GOST2001-GOST89-GOST89

Все успешно. Серт по url читается успешно

2. Centos Stream 8
   Использую уже установленный openssl из репозитория (openssl 1.1.1k)
   Успешно собираю gost-engine.
   openssl engine выдает:
   (dynamic) Dynamic engine loading support
   (gost) Reference implementation of GOST engine
   openssl ciphers|tr ':' '\n'|grep GOST выдает пустоту.
   Не работает =\ Серт по url не выдается.

Подскажите пожалуйста в чем может быть загвоздка?

После очередного апдейта ворда, depclean предложил снести VAAPI. Немного поковырявшись выяснил, что есть

x11-libs/libva-intel-driver
     Доступные версии:      2.4.1-r1^t **9999*l^t {X wayland ABI_MIPS="n32 n64 o32" ABI_S390="32 64" ABI_X86="32 64 x32"}
     Домашняя страница:     https://github.com/intel/intel-vaapi-driver
     Описание:              HW video decode support for Intel integrated graphics

и

x11-libs/libva-intel-media-driver
     Доступные версии:      20.4.5^t 21.3.5^t ~21.4.0^t **9999*l^t {X +custom-cflags set-as-default test}
     Домашняя страница:     https://github.com/intel/media-driver
     Описание:              Intel Media Driver for VAAPI (iHD)

В первом случае vainfo выдает чуть больше информации (хотя пакет раз в 10 меньше). В чем разница?