Есть сервер с centos, есть server2008r2 с поднятым AD.

Нашел 100500 инструкций, как заставить одно авторизоваться в другом; как правило, они сводятся к куче конфигов со страшными dn и прочими заклинаниями.

Все это, конечно, освоить за пару дней нереально, но первый вопрос такой: как донести до системы, что пользователя нужно авторизовать уже в AD, и какие приложения это поймут сами, а каким (sshd, например, само же не поймет?) это нужно отдельно объяснять?

Я вот думал, что за это отвечает конфиг pam, но даже после закомменчивания в нем pam_unix и оставления pam_sss ssh-пользователи оставляют в логах (/var/log/secure) записи только вида «я знать не знаю, что это за пользователь».

Каким же конкретно механизмом определяется направление поиска пользователя, пытающегося авторизоваться?

Захотелось этот объектив. Кто про него что хорошего или плохого может сказать?

Кстати, может, его кто ещё и продает?

Задача: есть сервер с GPU, нужно, чтобы пользователи логинились на этот сервер удаленно через графический интерфейс и гоняли приложения, требующие opengl. Может ли FreeNX (именно бесплатная версия) удовлетворить эту потребность? Если так, сколько приблизительно сессий сможет адекватно работать одновременно?

Также реквестируются истории успеха на другом ПО.

В очередной раз встал этот вечный вопрос. Пошуршал по отзывам - про всех говорят плохое, такое ощущение, что цунами зверски ударило по качеству всех представленных на рынке винтов.

Но заметил, что про сигейт вроде бы ругаются чуть меньше, чем про WD, а про WD Red ругаются заметно меньше, чем про WD Blue и Green.

Ругань везде одинаковая - диски тупо умирают, причем быстро (через 1-2 года).

Предполагаемый режим использования - два диска в зеркале. Предполагаемая нагрузка - часов по 10-15 в день, но без регулярного интенсивного доступа. Цель покупки диска - организация хранилища для невосстановимых данных.

Вопрос к людям, которые решали в последнее время эту или похожую задачу - можно ли сейчас хоть с какой-то уверенностью отдать предпочтение той или иной модели того или иного вендора?

Второй вопрос: на фоне столь низкой надежности современных entry-level дисков стоит ли собирать зеркало из трех винтов, или вероятность отказа не столь велика?

Третий вопрос: сопоставима ли вероятность вылета рейда целиком с вероятностью вылета всего компа по сбою питания или другого внезапного дизастера типа наворота какого-нибудь контроллера?

Бюджет проекта примерно равен двум WD Red.

Есть сервак с ESXi, на нем две виртуалки с ESXi же. На обеих виртуалках, воткнутых в одну и ту же сеть хоста, созданы ядерные интерфейсы vmk1 с адресами 10.2.0.1/24 и 10.2.0.4/24. vmkping с одной виртуалки на другую не проходит, но если пингать одну из этих виртуалок из виртуалки с линуксом при помощи arping - пакеты идут.

Где я налажал? Где-то с файрволом? Или mtu нужно где-то поправить?

Есть openvpn на сервере, есть клиентская часть на винде. Клиент подключается, получает адрес в соответствии с настройками, выставленными для него на сервере, но на сервере не создается устройство tun. Один tun-адаптер на сервере присутствует всегда, а при подключении клиента другого не появляется. Куда копать?

Очень хочу найти тексты песен Nancy Kerr, в частности - «Queen of waters». Кто-нибудь может помочь?

Линукс притом, что большинство прослушиваний мной этой пенси происходило под линуксом.

!Ъ: http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=573745

Ъ: мейнтейнер питона в Дебиане не проявлял должного внимания к теркам между мейнтейнерами смежных пакетов, что в совокупности приводило задержкам в обновлениях и прочим безобразиям. Техническому комитету был предложен на рассмотрение вопрос о замене мейнтейнера. Технический комитет принял решение не смещать мейнтейнера, но предписал решать терки не между собой, а при посредничестве комитета, а также убедительно просит мейнтейнера (Matthias Klose) рассмотреть возможность назначения себе помощников (co-maintainers).

Тут кто-то умный как-то обмолвился про то, что нельзя использовать ssh как впн в промышленных масштабах из-за оверхеда, а также из-за того, что он работает в userspace. Тезис состоял в том, что производительность впн-решения, работающего в userspace, будет очень сильно проигрывать «ядерным» решениям, так как то ли вызовы из юзерспейса долго идут, то ли что-то в этом роде. Я подумал, подумал, и полез в гугл искать темы про сравнение вышеперечисленных решений в контексте производительности. А там - раз! - и говорят, что openvpn лучше, чем pptp, что, на мой взгляд, противоречит тезису, так как openvpn юзерспейсный, а pptp юзает модули ядра.

Возможно, у меня каша в голове, если так, то дайте наводку на годную литературу или хотя бы умный пост на каком-нибудь слешдоте.

А ещё некоторые говорили, что openvpn лучше, чем ipsec, потому что ipsec чаще спотыкается о файрволы. Неужели производительность настолько слабо различается, что из-за проблем с файрволами уходят на openvpn? Кстати, openvpn использует дополнительные драйверы (для tap- и tun-устройств), значит, тоже в ядре работает, хотя бы частично..

В общем, просветите на эту тему, извиняюсь за поток сознания.

ping berkeley.com

PING berkeley.org (12.162.105.76) 56(84) bytes of data.
64 bytes from berkeley.org (12.162.105.76): icmp_req=1 ttl=113 time=204 ms

Притом если пинговать локалхост, то приходят эхи с ttl=64, как и положено нетронутому пакету, выпущенному с линукс-машины.

По дороге кто-то манглит?

Использую Debian Wheezy, Gnome 3, два монитора. Драйвер видеокарты от Нвидии. В нвидиевском настройщике один из мониторов указан первичным, настройки записаны в xorg.conf.

Бывают проблемы следующих видов:

1. Во время работы скринсейвера при попытке разбудить машину окошко ввода пароля не появляется в видимой области (пароль набрать можно, и о но тогда разблокируется, но не всегда).

2. При запуске скринсейвера один из мониторов продолжает показывать то, что на нем было до запуска. На ввод не реагирует, но суть блокировки отчасти и в том, чтобы не смотрел кто попало в монитор - неприятно.

3. Окна иногда перепрывагивают из основного монитора в дополнительный. Это иногда происходит после запуска приложения при первом клике в него мышью, а иногда и вообще не сразу. Несколько раз думал, что апдейты решат проблему, но ни апдейт всех пакетов из wheezy до актуального состояния, ни смена версии драйвера нвидии (после очередного обновления ядра).

Кто-то такое видел? Нужно писать беграпорт, или это у меня руки кривые?

Есть линуксовый сервер с прокси, через него происходят практически все соединения в нашей сети. Случайно обнаружилось, что от некоторых пользователей время от времени появляются такие запросы:

GET http://<some>.<lan>.4.168:2869/upnphost/udhisapi.dll?

От какого именно пользователя идет запрос - понятно по попадающему в лог сквида имени доменного аккаунта, и среди 5 юзеров, за которыми такое замечено, у одной девушки таких запросов на два порядка больше, чем у остальных:

# zgrep /upnphost/udhisapi.dll /var/log/squid/access.log* | egrep "[a-z]+_[a-z]{2}" | awk '{print $8}' | sort | uniq -c | sort -n | awk '{print $1}'
11
67
92
117
6983

Есть подозрение, что с компом этой девушки что-то не так. Можно сходить и поглядеть, но хорошо бы, конечно, знать, что искать.

Если кому-то такое попадалось в практике, поделитесь, пожалуйста, опытом.

WD запускает серию Caviar Red. Будут номиналами 1 и 3 ТБ, чуть-чуть шустрее зеленых, позиционируются как винты для офисных NAS'ов.

Подробности (ссылка сюда найдена на сайте wdc.com)

Перемещено JB из hardware

Имеем:

                   интернет
       ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
      ||                                 ||
 _____||______                        ___||___
(   1.2.3.4   )                      (        )
(             )                      (   ws1  )
(   router    )                      (________)
(             )
(_10.0.0.1/24_)
      ||
      ||
   ___||___
  (        )
  ( switch )========================================
  (________)          ||                           ||
                 _____||____                  _____||____
                (10.0.0.2/24)                (10.0.0.5/24)
                (           )                (           )
                (___server__)                (____ws2____)

На роутере порт 22 проброшен на порт 22 машины server.

Делаем:

server# iptables -t raw -A PREROUTING -j LOG --log-prefix "raw PREROUTING "
server# iptables -t mangle -A PREROUTING -j LOG --log-prefix "mangle PREROUTING "
server# iptables -t nat -A PREROUTING -j LOG --log-prefix "nat PREROUTING "
server# iptables -t nat -A PREROUTING -p tcp --dport 4444 -j DNAT --to-destination 10.0.0.5:22
server# iptables -t nat -A POSTROUTING -j MASQUERADE

ws1# ssh -L 5555:10.0.0.2:4444 1.2.3.4 -fN
ws1# ssh localhost -p 5555

Смотрим логи на server - в raw PREROUTING пакеты идут, в mangle PREROUTING идут, а в nat PREROUTING - не идут, нету. Исходя из схемы, должны идти.

Что хотелось получить:

возможность вместо ssh обращаться на ws2 через DNAT, настроенный на server1, к сервису, шифрование у которого внушает доверия меньше, чем ssh, и иметь шифрованное соединение. Из-за того, что пакеты, выходящие из ssh-туннеля, не попадают в nat PREROUTING, не получается сделать DNAT, и мой план не работает.

Где в реализации плана я допустил ошибки?

Одному знакомому нужен вот этот человек. Тут есть вхожие на упомянутый ресурс, можете попросить его написать на ibm-pk@mail.ru ?

Спасибо.

Сабж. Обновился, обновил блоб от нвидии (он вряд ли виноват, правда), окошки перестали тягаться за середину с альтом. Залез dconf-editor'ом куда следует, проверил, что modifier выставлен в <Alt>.

Может, там где-то ещё кнопка есть - «отключить эту фичу совсем» - которая спрятана где-то ещё поглубже?

Debian Wheezy, вывод звука не трогал. После очередного обновления звук стал хрустеть (точнее, это происходит только при воспроизведении фильмов в vlc), не лечится ничем, пропадает само через несколько минут просмотра. Люди советуют «выкинуть каку и поставить oss», но я не верю, что неисправность в моем любимом дистре не может быть починена чуть проще, чем пересборкой ядра.

Кто что посоветует?

Нужно найти в тексте строку и заменить ее на результат выполнения некоего скрипта, принявшего эту строку в качестве аргумента.

Можно так?

В рассылке debian-devel-announce объявлен срок фриза wheezy.

Hi,

We know no-one likes reading long mails on d-d-a, so we'll keep this short: we'll be stopping automatic migrations of packages from unstable to testing - aka freezing - on June 30th.

Any packages in unstable before the 19:52 dinstall begins on that day will be given automatic freeze exceptions (for the specific version in unstable).

As with the Squeeze freeze the process will be gradual, with a more liberal acceptance policy in the earlier stages. Precise details as to what that means will be available soon.

Regards,

Neil McGovern

Радуемся!

1. Обновился очередной раз, стало плохо. Запускаю vlc - звук идет нормалный, если пару раз перемотать - с большой вероятностью начинаются помехи в виде писка, слегка модулированного не пойми чем, громкость писков примерно пропорциональна громкости звука.

alsamixer не запускается, выдает сегфолт

Ведро - самое новое из wheezy, 3.2.0-2-686.

Все пакеты обновлены вчера, глюк не пропал.

mplayer звук проигрывает нормально.

2. Было давно, обновлением не починилось. Если запущен огнелис с какой-нибудь звучащей вкладкой, то другие приложения (mpd) звук играть не хотят. Лечится киллом огнелиса.

Есть мнение, что стоит выпилить pulseaudio и поставить oss4. Также мне кажется, что если переставить систему из свежего образа, все будет хорошо. На что лучше по соотношению затрат времени и вероятности успеха потратить время - на переустановку оси или на возню с oss?