?

Log in

No account? Create an account
High Availability Squid + SSL-bumping + Kerberos + NTLM. ч. 2 - NTLM + winbind.
_b_c_

HA-Squid+heartbeat+ldirectord(DR)+SSL-bump+Kerberos+NTLM +=+ часть 2



=== Настройка авторизации NTLM + winbind ===


Для прозрачной авторизации пользователей на прокси сервере будем использовать Active Directory. Одним из способов (якобы устаревшим, но разработчики ПО, по-видимому, так не считают) является авторизация NTLM. Для её использования будем настраивать связку samba+winbind. Классику, так сказать.

Для начала установим необходимый минимум пакетов:
apt install samba winbind

Займёмся конфигурированием samba через конфиг /etc/samba/smb.conf


  1. В секции Global:[global]
    workgroup = TEST
    security = ADS
    realm = TEST.LAN

  2. В секции Global в подразделе Misc:
    ############ Misc ############
    winbind uid = 10000-40000
    winbind gid = 10000-40000
    winbind use default domain = yes
    winbind enum users = yes
    winbind enum groups = yes
    client ntlmv2 auth = yes
    winbind separator = +


Затем проверяем правильность настройки конфига:
testparm

В результате видим:
Load smb config files from /etc/samba/smb.conf
rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)
WARNING: The "syslog" option is deprecated
Processing section "[homes]"
Processing section "[printers]"
Processing section "[print$]"
Loaded services file OK.
'winbind separator = +' might cause problems with group membership.
Server role: ROLE_DOMAIN_MEMBER

Ошибок нет, и это хорошо. А то что есть предупреждения — это не страшно.
Read more...Collapse )

High Availability Squid + SSL-bumping + Kerberos + NTLM. ч. 1 - Настройка Debian 9.
_b_c_


HA-Squid+heartbeat+ldirectord(DR)+SSL-bump+Kerberos+NTLM +=+ часть 1


=== Установка двух серверов на Debian 9 (Stretch) ===


Тут всё достаточно просто — можно установить один, а второй склонировать, либо два сразу устанавливать (если нет опыта в установке, то... рекомендую как раз второй способ — сразу два, для тренировки). Ещё раз напомню — я использую Debian. Быстро, просто, надёжно. Да, там старые пакеты, однако мне от серверов нужна, в первую очередь, стабильность и надёжность. И вот тут с Debian'ом вряд ли кто-то сможет поспорить.

Начинаем со скачивания iso-образа. Я использую netinst-образ Debian для архитектуры x86-64, потому что тогда не устанавливается ничего лишнего. Из дополнительного я всегда выбираю ssh-сервер и standart system utilities. Ну а саму установку я здесь расписывать не буду — такой документации в интернете много.

Из необходимого — каждому серверу нужно обязательно по 2 сетевых интерфейса, иначе не будет нормально работать heartbeat. Причём второй интерфейс нужен только для heartbeat, так что 100Мб/с более, чем достаточно. А вот основной интерфейс нужен обязательно 1Гб/c, потому что там будет не только траффик пользовательский и в интернет, но ещё и траффик обмена кешем между серверами Squid (небольшая, но иногда существенная экономия каналов в интернет).

Read more...Collapse )

High Availability Squid + SSL-bumping + Kerberos + NTLM. ч. 0 - План.
_b_c_

HA-Squid+heartbeat+ldirectord(DR)+SSL-bump+Kerberos+NTLM +=+ часть 0


=== План ===


Достаточно давно мне понадобилось настроить высокодоступный кластер (High Availability) Squid с кучей плюшек: (heartbeat + ldirectord (direct routing)) + SSL-bumping + Kerberos + NTLM. Ещё и с двумя независимыми каналами интернета. И чтобы не надо было плодить много серверов.

Нагугленые рецепты меня не удовлетворяли. Пришлось думать и настраивать самому практически с нуля именно то, что мне было нужно. Теперь же, потоптавшись по куче граблей и прочего весёлого, решил поделиться — вдруг кому-то понадобится. Ну и для меня напоминалка будет. :)


Для начала составим план работ:



  1. Установка двух серверов на Debian 9 (Stretch).

  2. Настройка авторизации NTLM + winbind.

  3. Настройка авторизации Kerberos.

  4. Пересборка deb-пакета Squid с поддержкой SSL-bumping.

  5. Настройка SSL-bumping (подмена HTTPS-сертификатов).

  6. Настройка ldirectord (балансировка нагрузки Active/Active).

  7. Настройка heartbeat Active/Standby для серверов ldirectord.

  8. Дополнительная настройка heartbeat для использования двух разных каналов в интернет с переключением между каналами в случае их недоступности.

  9. Минимальный web-интерфейс для управления серверами и быстрого мониторинга состояния комплекса.



Чем на самом деле нужно гордиться, моё мнение.
_b_c_
В последние дни все с ума сошли почти - все кричат, что гордятся Светланой Алексиевич. Типа нобелевская премия и всё такое. Однако Горбачёву тоже дали нобелевку когда-то... И Обаме...
И я задумался - а чем реально стОит гордиться в жизни?
И понял, вот чем:



Вот этим - стОит гордиться. А политизированной нобелевской премией - явно нет.

P.S. Для тех, кто не понимает - просто не читайте. Вам никогда этого не понять.

Оккупация Беларуси (перепечатка)
_b_c_
Оригинал взят у yanlaros в Оккупация Беларуси
ll1

В этом посте нет лишних слов и рассуждений. В этом посте только сухие статистические данные о трагедии, что развернулась на благодатной белорусской земле, более 70 лет назад. Прошу вас прочитать этот пост очень внимательно и задуматься. Цифры действительно ужасают, ведь Великая Война унесла жизни третей части всего населения страны.

Read more...Collapse )


(no subject)
_b_c_
Честно - история не моя, но прочтя - не мог удержаться и делюсь ей с вами
Есть у меня товарищ Миша. Хороший человек, семьянин, гитарист отменный, весельчак и пиво любит - идеальный практически человек, согласитесь. И дача у него п..., мы там часто зависали, пока я себе дом в деревне не купил. Но речь не об этом.

Как-то жена Мишина говорит нам, мол мужики, а не смотаться ли вам в выходной в деревню картошку посадить, а? А то теща чота разболелась, я с вами не поеду, по домашним делам ей помогу. Мы как про это услышали, аж онемели от счастья. Такое бывает как парад планет - раз в сто лет, не чаще. Разумеется, заикаясь от восторга, мы сказали, что поедем непременно, все там посадим и даже забор поправим. Помню Ленка на нас еще странно посмотрела и сказала много не пить. Ага, нашла что сказать.

Для тех, кто картошку видел только в супермаркетах, коротко расскажу, как ее сажают в деревнях. Коротко - ее сперва надо закопать, потом все лето стоять над ней раком обирая жуков, окучивая и проводя еще ряд магических ритуалов, потом, как срок придет ее нужно выкопать, пое... с сортировкой/сушкой/складированием и можно в принципе есть. Забавный спорт такой, командный. Заебываются все.

Но нас интересовала только первая фаза - картошку надо закопать. А закапывают ее просто - делают грядку (нет, б..., не насыпают и нюхают, а делают. Из земли), кидают туда картошку и закапывают. Делать грядки лопатами - это п..., рабы на галерах так не зае..., потому грядки делают культиватором или конем, т.е. лошадью. Цепляют к лошади сзади плуг, и человек под уздцы ведет ее по ровной линии до конца поля, потом коняшку разворачивают и ведут назад, делая параллельную грядку. И так пока или конь не сдохнет или грядки не кончатся.

Вот теперь все теоретически подкованы и могут слушать дальше. Приехали мы в субботу с утра пораньше в деревню, сразу мощно выпили и пошли к дядьке Степану лошадь просить. А дядька Степан, надо отметить, такой человек, что за 2 литра беленькой и закусь сам бы весь огород зубами перепахал. Короче с лошадью договорились на послеобеда, а сами вернулись в дом и еще пузырь съели, на часы поглядывая - до прибытия лошади оставалось полчаса.

Миша, когда пьяный, постоянно выдвигает какие-то x... идеи, которые мне, когда я пьяный, кажутся гениальными. "А давай курнем?" - сказал Миша. "А давай", - согласился зачем-то я. Сказано - сделано. Короче к моменту прибытия лошади я мог только глупо улыбаться и смотреть на этот мир добрыми глазами. Помню Миша меня потормошил немного, мол вставай, у нас гости (это он про лошадь), но я тока улыбался еще шире. В конце концов Миша сказал, что ему-то оказывается ваще не вставило, а потому он щяс вдвоем с лошадью нарежет эти грядки как от неx... делать, сам закидает картошку и все там сделает как надо. Миша немного поискал где у лошади морда, взял ее под уздцы и эта дружная компания бодро попиздила на огород.

Через неопределенное время сознание ко мне медленно и частично вернулось и мне стало интересно, что там у Миши с лошадью получается. Помните я говорил про ровные параллельные грядки? Помните? Так вот я посмотрел и оx....

Обкуренный агроном Миша применил новаторский метод нарезания грядок - он водил лошадь по сужающейся спирали, пока она не сузилась настолько, что лошадь стала во время очередного витка доставать себе носом до жопы. На этом Миша решил, что достаточно, как-то быстро накидал в борозду картошки, - куда полведра, а куда одну на метр-, быстренько лопатой все это дело засыпал, а по центру, где лошадь кусала себя за жопу, вырыл яму и е... туда 2 ведра оставшегося посадочного материала.

Я в это время ничем помочь ему не мог, потому как валялся у ворот и меня скрючивало от хохота. Миша с лошадью бодро прошли мимо меня и кто-то из них буркнул на ходу, что вот дармоед б..., пока мы въе... он лежит на травке.

Не знаю, что сказала Мише жена, когда увидела все это своими глазами через две недели, но когда картошка взошла - это было прекрасное, неземное зрелище. Особенно умилял неохватный куст картошки по центру. Все село на экскурсии ходило.

Интересно, как это смотрелось сверху...

Кстати, картошка выросла вкусная, и Миша, несомненно приписал это ее свойство своему новаторскому методу.

А вы говорите Англия, круги на полях....

Возрождение Компьюленты (репост)
_b_c_
Оригинал взят у zelenyikot в Возрождение Компьюленты
Весной 2014 года научно-популярный рунет постигло сразу две тяжелых утраты: сменился редакционный состав Ленты.ру и закрылась Компьюлента. Эти два ресурса, были одними из немногих (если не единственными), кто поставлял актуальные новости мировой науки, и делал это в доступной интересной форме на русском языке.

1
Read more...Collapse )

Как Луноход съездил на ИгроМир (репост)
_b_c_
Оригинал взят у zelenyikot в Как Луноход съездил на ИгроМир
IMG_1018

Решил подвести некоторые итоги нашего участия на выставке "ИгроМир 2014". Туда мы привезли технологические макеты космических аппаратов "Луноход-2" и "Венера-7", игровой симулятор марсохода Curiosity и оборудовали стенд Российского межпланетного общества.
Читать и смотреть дальше...Collapse )

Первые шаги с Raspberry Pi - часть 2.
_b_c_
 Сегодня будем настраивать Wi-Fi (предполагается, что модуль подключён и обнаружен системой). Для этого откроем для редактирования /etc/network/interfaces. В нём нужно прописать:

# подключаем модуль, как только будет обнаружен системой
allow-hotplug wlan0
# чтобы интерфейс получал ip-адрес от DHCP-сервера
iface wlan0 inet dhcp
# выполняеи поиск точек доступа
wpa-ap-scan 1
# спрашиваем имя у точек доступа
wpa-scan-ssid 1
# настраиваем шифрование (соответственно для WPA-PSK и WPA2-PSK
wpa-proto RSN WPA
wpa-pairwise CCMP TKIP
wpa-group CCMP TKIP
wpa-key-mgmt WPA-PSK

# вписываем имя вашей точки доступа
wpa-ssid _ssid_of_router_
# вписываем пароль для соединения с точкой доступа
wpa-psk _password_
# и говорим, чтобы интерфейс wlan0 включался автоматически при загрузке системы
auto wlan0

Теперь нужно проверить - работает ли. Для этого "гасим" и "поднимаем" интерфейс:
ifdown wlan0
ifup wlan0

Далее смотрим, что нам скажет ifconfig. Он должен показать, что интерфейс wlan0 успешно соединился и получил ip-адрес. Также можно посмотреть параметры самого Wi-Fi соединения командой iwconfig.
После чего вы можете обнаружить, что ваше wi-fi соединение "гаснет" через минут 10 само, если вы его не используете. Это включаются функции энергосбережения. Чтобы отключить их, нужно создать файлик touch /etc/modprobe.d/8192cu.conf (предполагается, что Wi-Fi-модуль у вас на базе чипа RTL8192CU, если на другом, соответственно и файлик будет называться иначе, хотя может быть и будет работать - сам проверить не могу в связи с наличием только одного модуля). В нём вписываем:
# выключаем энергосбережение
options 8192cu rtw_power_mgnt=0 rtw_enusbss=1 rtw_ips_mode=1

Теперь можно перезагрузиться и наслаждаться. :)

В следующий раз поговорим о подключении pi-камеры по интерфейсу CSI и запуске с неё потока видео на другой компьютер. А также раздаче потока видео всем желающим по HTTP-протоколу.

P.S. Чтобы ip-адрес не "плавал" при переподключениях, рекомендую "привязать" в настройках точки доступа MAC-адрес (смотрим поле HWaddr команды ifconfig wlan0) модуля к определённому ip-адресу. Тогда вы всегда будете знать, какой адрес у вашей "малинки".

Всё, за что берётся Microsoft, превращается в тлен и навоз.
_b_c_
Ещё Windows 7 меня, как системного администратора, начала раздражать. Windows 8 в плане работы по настройке меня повергла в шок. Но чашу терпения переполнила вчерашняя покупка Nokia 301.1. Попытка залить со старенькой Nokia 6610i контакты на новый телефон привела меня на сайт майкрософта, где я прочитал:

"Note: Some of the phones such as Nokia 110, Nokia 111, Nokia 112, Nokia 113, Nokia 114, Nokia 206, Nokia 301, Asha 205 and Asha 210 do not support Software updates or backup using Nokia Suite. With these phone models updating the device wirelessly Over the Air (OTA) is the only available method."

Т.е. телефон Nokia теперь не работает с... Nokia PC Suite... Занавес.

Добавлено (24.09.2014):
С мелкомягкими можно и нужно бороться. Итак, проблема была решена. Для того, чтобы телефон из вышеприведённого списка смог нормально определяться и работать с Nokia PC Suite необходимо сделать следующее:
1. Удалить нафиг имеющуюся версию PC Suite.
2. Установить старую версию Nokia Suite. Судя по отзывам в интернете отлично работает версия Nokia Suite 3.5.34.
3. Nokia Suite ни в коем случае НЕ обновлять.
4. Установить драйвер соединения. У меня сейчас установлен Nokia Connectivity Cable Driver 7.1.182.0.
5. При подключении телефона выбирать на нём Режим модема!
В результате всё нормально работает. Главное в настройках отключить автообновление ПО. :)

Самое смешное, что в поддержке мелкомягких божатся и клянутся, что телефон с Nokia Suite работать не может. Что это чисто мой локальный глюк, никак иначе, и ни у кого больше это работать не будет, никогда. Однако поиск по интернету даёт иные результаты - работает у всех.