При попытке подключиться к named:
# rndc status
This may indicate that
* the remote server is using an older version of the command protocol,
* this host is not authorized to connect,
* the clocks are not syncronized, or
* the key is invalid.

rndc.key:
key «rndc-key» {
algorithm hmac-md5;
secret «PVnEpqWe/CFEgxg+pqoyQg==»;
};

named слушает на tcp/953.
Думал, что bind берёт пароль из того же файла, что и rndc-клиент (/etc/bind/rndc.key). Не?
Имею аналогичную конфигурацию на другой машине - всё нормально.
Что ему ещё надо?

Видимо, rndc-интерфейс используется для реплики зон. А она мне нужна. Я настраиваю slave-сервер.

Посоветуйте сабж, а то каждый считает должным выложить примеры своих конфигов. Можно на англицком. Есть книжка от O'Reilly, но полноценного скана нигде не нашёл.

Разбирая всякие примеры, howto, документацию, вроде бы понял, что подружить Samba PDC с Kerberos KDC у меня таки не получится (вроде как, это и называется Active Directory).

Вопрос вот в чём: имея ldap, работающий хранилищем у Samba PDC, можно ли использовать хранящиеся в нём аккаунты как kerberos-принципалы?
При устрановке KDC я создал для него отдельную ветку ou=KerberosPrincipals,dc=example,dc=org и kadmin автоматически её заполнил всякими, как я понял, служебными принципалами.

Таким образом я смогу настроить авторизацию на linux-машинах через pam_krb, а не через pam_ldap, и использовать Single Sign-On.
Ну а windows-клиентам придётся обломиться.

Работаю с процессором PXA270. Нужно написать драйвер для общения с неким устройством по шине общего назначения (GPIO).

Побаловался, написав небольшую программку в userspace: нажимаю кнопочку - мигает лампочка. Делал я это мапингом /dev/mem-а.
Теперь требуется достучаться до interrupt-контроллера.

Как получить доступ к памяти в kernelspace, чтобы подёргать регистрами interrupt-контроллера?

Такая ситуация:
Построен IPSEC-tunnel. Сеть в моём филиале: 192.168.1.0/24. Удалённая сеть - 192.168.0.0/24. Доступ к роутеру на том конце туннеля не имею. Мне просто прислали настройки.

Одна проблемка: этот IPSEC-tunnel предполагает, что моя сеть должна быть 192.168.3.0/24. Как бы так сделать, не перестраивая внутренню сеть?

Думал транслировать source IP внутренних машин, но действие SNAT позволяется только в POSTROUTING.

Возникло несколько вопросов по реализации NT-домена на samba.

Из официального howto и некоторых мейл-конференций с разработчиками понятно, что samba не может играть роль ActiveDirectory-сервера (Samba-3 is not, and cannot act as, an Active Directory server).
Вместе с тем, в том же самом howto расписываются все прелести систем Single sign-on, который, как я понимаю, в NT-домене зиждется на Kerberos.

Могу ли я поставить на свой Samba PDC тот же Heimdal KDC, потом на Linux-клиенте настроить Winbind так, как я бы это делал при имеющимся Windows PDC? Сейчас напрямую используется LDAP (plain text).
В Samba4 KDC, как и LDAP-сервер, интегрирован в один программный пакет. Это просто супер, что не нужно будет строить по кирпичикам такую сложную систему.

Я понимаю, что Windows-клиенты не смогут использовать мой KDC (по каким-то «особенностям» в реализации Kerberos в ADS). Ну и фиг с ними.

Если я прав, то чем такой сервер - не Active Directory Server? Красивые административные консоли (ADSI) для управления каталогом и групповыми политиками (которые, по-моему, представляют из себя простые файлы реестра Windows и которые можно разместить в smb-шарах) я в расчёт не беру?

Почему, при отсутствии KDC на моём Samba PDC Winbind (точнее, winbind-модуль NSS) всё равно подцепил доменных пользователей? Или это не противоречит логике работы домена? Список пользователей (компьютеров и др. dn) публичен и запрашивается Winbind-ом напрямую у PDC?

Очень много «по-моему» и «как мне кажется», поэтому прошу не пинать. Материал большой...по-моему.

(Только что вылел в раковину кружку «свежезаваренного» чая..буэээ..)

Многие (как и я) вынуждены бухать на работе богомерзкий пакетированный чай. Greenfield, BrookeBond - полное дерьмо. Что посоветуете?

Имеется две связных через VPN сети. В одном офисе есть PDC, в другом - BDC. Настроена репликация LDAP (syncrepl). PDC работает напрямую с provider LDAP, BDC - с customer.

При попытке добавления машины в домен __в сети с BDC__ стандартными средствами Windows оно пишет «не найдено имя пользователя». Добавление же машин в домен в главной, где находится PDC, сети происходит нормально.

На BDC /var/log/samba/log.machinename:

  _samr_create_user: Running the command `/usr/sbin/smbldap-useradd -t 5 -w "production02$"' gave 0 
[2010/02/28 20:51:52,  5] lib/username.c:Get_Pwnam_alloc(133) 
  Finding user PRODUCTION02$ 
[2010/02/28 20:51:52,  5] lib/username.c:Get_Pwnam_internals(77) 
  Trying _Get_Pwnam(), username as lowercase is production02$ 
[2010/02/28 20:51:52,  5] lib/username.c:Get_Pwnam_internals(85) 
  Trying _Get_Pwnam(), username as given is PRODUCTION02$ 
[2010/02/28 20:51:52,  5] lib/username.c:Get_Pwnam_internals(104) 
  Checking combinations of 0 uppercase letters in production02$ 
[2010/02/28 20:51:52,  5] lib/username.c:Get_Pwnam_internals(110) 
  Get_Pwnam_internals didn't find user [PRODUCTION02$]! 
[2010/02/28 20:51:52,  3] passdb/pdb_interface.c:pdb_default_create_user(353) 
  pdb_default_create_user: failed to create a new user structure: NT_STATUS_NO_SUCH_USER 

Как объяснил zgen (здоровья ему на многие лета) (http://www.linux.org.ru/jump-message.jsp?msgid=4598921&cid=4603301), после добавления скриптом smbldap-useradd некоторой стандартной информации в LDAP, samba ищет эту запись и вносит дополнительные, samba.scheme-специфичные аттрибуты. Как раз второй этам у ней и не удаётся.

Думается, что smbldap-useradd добавляет запись в LDAP, следуя редиректу, который посылает клиента на provider-LDAP, а вот сама samba пытается найти эту запись уже на своём, customer-LDAP сервере. Но на неё ещё ничего реплицироваться не успело.

Делаю, чтобы и BDC использовал первичный LDAP-сервер: меняю значения в smb.conf passdb backend и в /etc/smbldap-tools/smbldap.conf.

Проблема остаётся. Ничего не понимаю.

В итоге пришлось сам клиентский комп везти в главный офис и там его добавлять в домен (В LDAP-то я бы её ручками добавил, но не знаю, что и где надо дописывать во всякие реестры windows, чтобы оно увидело, что машина - вот в этом домене).

Вопрос: следует ли мне настраивать во втором офисе контроллер домена как BDC или сделать 2 PDC с репликацией LDAP? Или делать репликацию provider-provider ? Что именно меняет запись domain master в smb.conf с «yes» на «no»?

winbind не используется - всё через pam_ldap & nss_ldap. getent passwd везде нормально отрабатывает.

PDC smb.conf http://pastebin.com/kGWYU43e

BDC smb.conf http://pastebin.com/tVxdYH8X

Debian lenny.

При попытке подключение windows-машины из сети с BDC не находит (эта машина) этого самого BDC. Т.е. широковещательные NetBios-запросы Domain Master Browser остаются безответными.

BDC smb.conf:

domain master = no preferred master = yes domain logons = yes

Хочется сабжа в гетерогенной сети и ещё хочется прояснить теоретические знания.
Какие протоколы используются для реализации сабжа в windows, unix? ntlm, kerberos (заменяет ли второй первого?)? Как обстоит дело с реализацией в клиентском ПО?

Если я хочу организовать ipsec-tunnel, то мне обязательно строить туннель (ipip, gre...) между двумя роутерами?
Если нет, то как мне одному роутеру сказать, что удалённая локальная сеть лежит именно за вот той машиной?

При попытке инициализации какого-либо соединения, соответствующего политикам получаю ошибку:

...
racoon: DEBUG: getsainfo pass #2
racoon: ERROR: failed to get sainfo.

path certificate "/etc/racoon/certs";

remote 1.2.3.4 {
    exchange_mode aggressive,main;
    my_identifier asn1dn;
    peers_identifier asn1dn;
    certificate_type x509 "core.crt" "core.key";
    ca_type x509 "ca-certificates.crt";
    peers_certfile x509 "branch.crt";

    proposal {
        encryption_algorithm aes;
        hash_algorithm sha1;
        authentication_method rsasig;
        dh_group 2;
    }   
}

sainfo {} отсутствует. Если я его опишу, то ipsec работает. Насколько я понял, он нужен для второй фазы, если приведённых в racoon.conf настроек недостаточно для согласования.

Делал всё по LARTC.

Хочу прикрутить к работающей системе dovecot как LDA. Чтобы ничего не случилось с уже имеющимися письмами, пока буду складывать в /var/log/mail_dovecote.

main.cf:

local_transport = dovecot
dovecot_destination_recipient_limit = 1

master.cf:

dovecot unix    -       n       n       -       -       pipe
 flags=DRhu user=mail:mail argv=/usr/lib/dovecot/deliver -f ${sender} -d ${recipient} -p /var/mail_dovecot/${user}

При отправке письма, postfix возвращает:

<username@examaple.org>: user unknown

markevichus@mail:~$ sudo /usr/lib/dovecot/authtest testuser
[sudo] password for markevichus: 
userdb: testuser
uid   : 3179
gid   : 513
user  : testuser
home  : /home/testuser
extra fields:
  system_groups_user=testuser

markevichus@mail:~$ ls -l /var/run/dovecot/auth-master 
srw------- 1 mail root 0 Feb 17 20:22 /var/run/dovecot/auth-master

В /var/log/mail.log:

Feb 17 20:22:46 mail postfix/pipe[32238]: B3DC31B44EA: to=<username@example.org>, relay=dovecot, delay=0.02, delays=0.01/0/0/0.01, dsn=5.1.1, status=bounced (user unknown

Не понимаю, в каком месте он смотрит наличие юзеров. Авторизация в системе завёрнута через ldap.

Возможно ли создать один сертификат для нескольких CN?
Например, smtp сервер имеет имя mx.example.org, но у него есть каноническое имя smtp, которое может использовать пользователь в своём MUA. И если он будет использовать целевое имя отличное от заданного в CN, то его MUA будет всё время выкидывать предупреждение.
А ещё есть imap.exmaple.org и не хочется для всех них создавать по сертификату.

Настраиваю dovecot lda и в время ползанья по примерам и документациям в интернете обнаружил, что во всех конфигурациях люди при использовании dovecot в качестве LDA очень любят пользоваться виртуальными ящиками.
Т.е., везде имеется virtual_transport = dovecot.
Посему вопрос: мне чем-то грозит local_transport = dovecot?

Мне очень не хочется заводить ещё штук 10 всякого рода карт для виртуальных адресатов.

Достался в наследство postfix. Пока только освоил методы борьбы со спамом силами самого postfix.

Когда таки прикручу SA, хотелось бы иметь отдельную папочку «Спам», куда будут отправляться сомнительные по содержанию письма, - как в gmail.com.
Это прерогатива кого? Куда мне смотреть? На IMAP-сервер?

На сервере вся почта храниться в /var/mail/username. Как я понимаю, это maildrop.

Вчера, перед уходом на работу, поставил обновляться на ноуте arch.
Прихожу домой: девушка сидит за компом и занимается своими делами. Говорит, что открытую консольку не трогала.

Пробую запустить thunderbird, xterm (в openbox)...тишина. Перезагружаю. Выхожу в терминал:
# pacman
Segmentation fault
# xterm
Segmentation fault
....

Видимо, что-то с glibc.

Чё теперь мне с ним без пакетного менеджера делать?

Поднимался недавно в irc сей вопрос, но его окончания я не дождался.

Есть маршрутизатор с 2мя внешними каналами. Как мне заставить бежать трафик от локального MTA (desination tcp/25) на не-default gateway.
Если бы пакет от локального процесса проходил mangle PREROUTING, то я бы его роутил по метке.

Как насильно очистить какой-либо volume по каким-либо критериям? Т.е. удалить не только записи в БД, но и данные на диске?
Например, удалить все файлы, связанные с определённым клиентом за определённой давностью?

Как запустить процесс через web-морду с владельцем-пользователем отличными от того, под которым запускается сам web-сервер?
setUID на конечную программу я ставить не собираюсь. А для shell-скриптов он бесполезен. И писать Си-программу для каждого случая мне не оч хочется.