LINUX.ORG.RU

Сообщения selivan

 
Форум — Admin

Apache LDAP авторизация 2-х AD trusted domains

Имеем: 2 домена AD, установлено взаимное доверие, пользователи одного могут авторизовываться в другом и наоборот. Apache с LDAP авторизацией. Вопрос: как сделать авторизацию на определённый Location так, чтобы там могли авторизовываться пользователи обоих доменов? Для одного домена всё выглядит просто:

Authtype Basic
AuthBasicProvider ldap
AuthzLDAPAuthoritative off
AuthName "ENTER YOUR WINDOWS LOGIN"

AuthLDAPURL "ldap://dc:389/DC=domain,DC=name?sAMAccountName?sub?(objectClass=*)" NONE
AuthLDAPBindDN "cn=ldap_user,cn=Users,dc=domain.name"
AuthLDAPBindPassword "ldap_password"
require valid-user

А как сделать для двух не знаю. Пробовал 

AuthBasicProvider ldap ldap
и потом указывать по два варианта AuthLDAPURL, AuthLDAPBindDN и AuthLDAPBindPassword - не подходит, последний вариант тупо перекрывает первый.

selivan
()
4 комментария
Форум — Admin

Веб-морда для kvm/libvirt

Задача - перевести реальные сервера на виртуалки. Т. к. нужны и винда, и линукс, Xen не вариант(да, есть какие-то паравиртуальные драйвера под винду, но в продакшен они пока не годятся и не скоро будут). Значит KVM. Хочется иметь возможность нормальной работы со снапшотами, производительность LVM при наличии снапшотов падает, и весьма печально - остаются qcow-диски. Virt-manager к сожалению есть только под Linux, а управлять всем этим счастьем надо удалённо, зачастую из-под винды - нужна веб-морда. Вопрос: что выбрать? Теперь о грустном: Proxmox VE работать со снапшотами не хочет - через интерфейс нельзя, если делать через qemu-консоль - виртуалка больше не заводится. Conviture вместо снапшота схораняет образ памяти и выключает виртуалку, снапшот диска не делает. Посоветуйте какой-нибудь вариант

selivan
()
14 комментариев
Форум — Admin

Проблема: iproute2 и подключение через двух провайдеров

Реальные конфиги очень большие и тяжёлые, поэтому смоделировал проблему на виртуалках и пробую решить её там.

На шлюзе PROXY есть два подключения к интернету: eth1 и eth2. В качестве PROXY использовались Debian Lenny и CentOS 5.5, результат одинаковый.

Задача: выпускать компьютер HOST(10.10.0.68) в интернет через второе подключение, остальные компьютеры - через первое.

Настройки PROXY:

Интерфейсы: 

lo 127.0.0.1/8
eth0 10.10.0.2/24     # локальная сеть
eth1 192.168.1.252/24 # провайдер, default gw 192.168.1.1
eth2 10.0.0.61/24     # провайдер, default gw 10.0.0.2

Правила роутинга: 

# ip rule list
0:    from all lookup 255
100:    from all fwmark 0x2 lookup 100
32766:    from all lookup main
32767:    from all lookup default

Список маршрутов: 

# ip route list
10.0.0.0/24 dev eth2 proto kernel scope link src 10.0.0.61 # интерфейс в интернет
92.168.1.0/24 dev eth1 proto kernel scope link src 192.168.1.252
10.10.0.0/24 dev eth0 proto kernel scope link src 10.10.0.2
default via 10.0.0.2 dev eth2

# ip route list table 100
192.168.1.0/24 dev eth1 scope link src 192.168.1.252
default via 192.168.1.1 dev eth1

Настройка iptables(SNAT и маркировка пакетов): 

echo "1" > /proc/sys/net/ipv4/ip_forward

# NAT
# выпускаем локалку в интернет
iptables -t nat -A POSTROUTING -s 10.10.0.0/24 -o eth2 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.10.0.0/24 -o eth1 -j MASQUERADE

# ROUTING

ip route flush table 100
ip route add 192.168.1.0/24 dev eth1 src 192.168.1.252 table 100
ip route add default via 192.168.1.1  dev eth1 table 100

ip rule del pri 100
ip rule add fwmark 2 lookup 100 pri 100

# MARK RULES
iptables -t mangle -A FORWARD -s 10.10.0.68 -j MARK --set-mark 2
iptables -t mangle -A FORWARD -s 10.10.0.68 -d 127.0.0.0/8 -j MARK --set-mark 0
iptables -t mangle -A FORWARD -s 10.10.0.68 -d 10.0.0.0/8 -j MARK --set-mark 0
iptables -t mangle -A FORWARD -s 10.10.0.68 -d 192.168.0.0/16 -j MARK --set-mark 0
iptables -t mangle -A FORWARD -s 10.10.0.68 -d 172.16.0.0/12 -j MARK --set-mark 0

# COUNT RULES
iptables -t mangle -A POSTROUTING -m mark --mark 2 -j ACCEPT

ip route flush cache

Последнее правило заведено для проверки работы маркировки. Действительно, при прохождении пакета на внешние хосты его счётчик увеличивается, то есть маркировка выставлется верно. Все возможные модули со словом mark в названии загружены: 

#lsmod | grep -i mark
xt_connmark             6209  0
xt_CONNMARK             6465  0
xt_CONNSECMARK          6465  0
xt_SECMARK              6852  0
xt_mark                 5953  1
xt_MARK                 6465  5
ip_conntrack           53281  8 xt_connmark,xt_CONNMARK,xt_CONNSECMARK,ipt_MASQUERADE,iptable_nat,ip_nat,ip_conntrack_netbios_ns,xt_state
x_tables               17349  14 xt_connmark,xt_CONNMARK,xt_CONNSECMARK,xt_SECMARK,xt_mark,xt_MARK,ipt_MASQUERADE,iptable_nat,ipt_REJECT,xt_state,ip_tables,ip6t_REJECT,xt_tcpudp,ip6_tables
Настройки HOST(10.10.0.68):

Интерфейсы: 

eth0 10.0.0.68/24
lo 127.0.0.1/8
Список маршрутов: 
#ip rule list
0:    from all lookup 255
32766:    from all lookup main
32767:    from all lookup default

Проверяем - не работает:

Запуск traceroute на HOST показывает, что трафик до 8.8.8.8(гуглёвский бесплатный DNS) всё равно идёт через 10.10.0.2 и потом 10.0.0.2, то есть через первого провайдера.

Проверяем работу второго провайдера:

Меняем на PROXY маршрут по-умолчанию на 192.168.1.1: 

# ip route del default
# ip route add default via 192.168.1.1 dev eth1
Всё работает, и traceroute на HOST'е показывает, что пакеты идуит через 192.168.1.1.

В чём может быть проблема? Весь гугл облазил - вроде всё правильно. :( :( *смайлик, бьющийся головой об стену*

selivan
()
7 комментариев
← назад

RSS подписка на новые темы