|
|
Hệ thống máy tính tại cty có mô hình và sử dụng các dịch vụ như sau:
LAN -------- Proxy\Firewall ----------- Internet.
LAN:
Workstation:
• Có khoảng 20 users sử dụng 20 computer.
• Sử dụng các phần mềm văn phòng như office, Photoshop, yahoo messenger, skype … browser.
• Sử dụng Email (Google Apps).
• Dùng Symantec để phòng Virus.
Server: 1 Windows Server 2008, sử dụng các dịch vụ:
• DNS
• DHCP
• VPN
• WSUS
• File Server.
Proxy\Firewall: 1 Cent OS
Proxy:
• Tất cả các máy tính trong LAN phải qua proxy trước khi ra internet.
• Chỉ cho đi internet trong giờ làm việc.
• Cho server được phép đi thẳng.
• Ngăn chặn không cho download các file thực thi (.exe, .bat, …)
Firewall:
• LAN -------- Internet:
Mở các port sử dụng email (IMAPs, POP3s, SMTP)
Server được phép đi thẳng.
Cấm tất cả traffic còn lại
• Internet --------- LAN:
Nat port VPN vào LAN.
Vấn đề đặt ra là.
Cần làm gì thêm. Để hạn chế tối đa, các máy tính trong cty không phải là 1 "zombie" cho bất kỳ cuộc tấn công DDOS nào ngoài internet.!!!
|
|
|
panfider wrote:
vậy dovecot đóng vai trò gì
Dovecot is an open source IMAP and POP3 email server for Linux/UNIX-like systems, written with security primarily in mind. Dovecot is an excellent choice for both small and large installations. It's fast, simple to set up, requires no special administration and it uses very little memory.
Không rành lắm, có gì ban nói thêm nhé!!!
Thân
|
|
|
panfider wrote:
không thấy ai nhắc tới exim cả ?
mà không biết mail client nào trên Linux tốt
Exim is a message transfer agent (MTA) developed at the University of Cambridge for use on Unix systems connected to the Internet. It is freely available under the terms of the GNU General Public Licence. In style it is similar to Smail 3, but its facilities are more general. There is a great deal of flexibility in the way mail can be routed, and there are extensive facilities for checking incoming mail. Exim can be installed in place of Sendmail, although the configuration of Exim is quite different.
Exim là 1 MTA mà panfider
Thân!!!
|
|
|
Mình đang cần làm một mô hình Email như sau:
Hosting Email ------ POP3-------- Exchange --------> Local Users
Vấn để đang nằm ngay POP3.
Mình không biết có software nào chạy trên Linux (CentOS) để làm việc này như Mdeamon hay POPbeamer trên Windows!!!
Thân.
|
|
|
quanta wrote:
Đọc qua thì thấy có lẽ vấn đề nằm ở việc cấu hình firewall của bạn thôi. Mô hình PPPoE của bạn thế nào?
Đường truyền FTTH (Converter) External ------------- eth1 (CentOS) eth2 --------------- Internal
Rule:
Code:
ACCEPT loc $FW tcp 22
ACCEPT ppp $FW tcp 22
Log mặc định nó ở /var/log/secure mà.
Vào chổ này cũng chằng có gì
|
|
|
quanta wrote:
Chưa dùng Shoreline firewall bao giờ nhưng mình có gợi ý cho bạn là: trên client dùng ssh -vv (hoặc -vvv nếu cần), còn trên server thì xem log để điều tra.
Client
Code:
# ssh -vvv host
OpenSSH_4.3p2, OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug2: ssh_connect: needpriv 0
debug1: Connecting to host [host ip] port 22.
debug1: Connection established.
debug1: permanently_set_uid: 0/0
debug1: identity file /root/.ssh/identity type -1
debug1: identity file /root/.ssh/id_rsa type -1
debug1: identity file /root/.ssh/id_dsa type -1
debug1: loaded 3 keys
ssh_exchange_identification: read: Connection reset by peer
Server.
Không có ghi nhận gì từ /var/log/message.
|
|
|
nora wrote:
tôi nghĩ có lẽ là cậu truy cập từ máy ngoài nhưng cùng mạng nên ping ok
cậu đã install/start ssh service chưa?
Mọi truy cập trong mạng nội bộ đến firewall mình đã cho phép và đều truy cập được hết! Mình chỉ kh truy cập vào FW bằng ssh,... từ internet. Ping từ internet vào FW thì thấy, chạy được web.
Thân
|
|
|
Hi, các anh.
Em mới cấu hình xong cái ppp0e trên con centOS. Sử dụng shorewall để NAT cho user đi internet.
Em dùng câu lệnh này để có thể ssh từ ngoài tới con FireWall mà kh được.
Code:
Câu lệnh này thì em ping từ ngoài đến con Firewall thì được.
Code:
Câu lệnh này thì có thể truy cập website từ ngoài vào trong.
Code:
DNAT ppp loc:<ip_webserver> tcp 80
Anh em nào biết giúp mình với!
Thân!
G/c:
ppp: Card mang ngoài của firewall
loc: Card mạng trong của firewall
|
|
|
van_security wrote:
quanta wrote:
http://www.google.com/a/cpanel/domain/new
Cảm ơn bác Quân,
Mình vào link của bạn thì nó báo là
This domain has been registered and is in the process of ownership verification. If you believe this registration was unauthorized, please have your domain administrator contact Google support.
Vậy phải liên hệ như thế nào?
Mình đã có một số account email với domain là tencongty.vn bên matbao.com nhưng do dung lượng hạn chế (vì mở rộng giá cao) như vậy có thể dùng domain đó với Google Apps nữa ko? hay phải cancel bên matbao rồi mới dùng với
Google Apps
Em mới đăng ký bên google apps. Standard (50acc, 7gb/1acc)
Vào link này để đăng ký bản standart.
http://www.google.com/apps/intl/en/group/index.html
Nếu công ty sử dụng nhiều hơn 50acc thì làm mail offline. Vì google apps co hổ trợ catch-all. => Em chưa sử dụng chức năng này, nếu có ai sử dụng rồi thì cho ít kinh nghiệm
Thân
|
|
|
Chào anh em,
Hiện tại mình có 1 website, hosting tự mình dựng lên đặt tại công ty. Từ trước giờ kh quan tâm về bảo mật. Nay đang tập làm bảo mật cho hệ thống. Đang xem log file IIS đặt tại
Code:
%windir%\system32\LogFiles
Phát hiện các file log có các nội dung sau:
Code:
#Software: Microsoft Internet Information Services 6.0
#Version: 1.0
#Date: 2010-01-15 05:18:29
#Fields: time c-ip cs-method cs-uri-stem sc-status sc-win32-status
05:18:29 203.144.139.189 [1]USER Administrator 331 0
05:18:29 203.144.139.189 [1]PASS - 530 1326
05:18:29 203.144.139.189 [1]USER Administrator 331 0
05:18:29 203.144.139.189 [1]PASS - 530 1326
05:18:29 203.144.139.189 [1]USER Administrator 331 0
05:18:29 203.144.139.189 [1]PASS - 530 1326
05:18:29 203.144.139.189 [1]USER Administrator 331 0
05:18:29 203.144.139.189 [1]PASS - 530 1326
05:18:29 203.144.139.189 [1]USER Administrator 331 0
05:18:29 203.144.139.189 [1]PASS - 530 1326
05:18:31 203.144.139.189 [1]USER Administrator 331 0
Code:
#Software: Microsoft Internet Information Services 6.0
#Version: 1.0
#Date: 2010-01-31 02:22:37
#Fields: time c-ip cs-method cs-uri-stem sc-status sc-win32-status
02:22:37 60.18.168.108 [1]USER Administrator 331 0
02:22:37 60.18.168.108 [1]PASS - 530 1326
02:22:37 60.18.168.108 [1]USER Administrator 331 0
02:22:37 60.18.168.108 [1]PASS - 530 1326
02:22:38 60.18.168.108 [1]USER Administrator 331 0
02:22:38 60.18.168.108 [1]PASS - 530 1326
02:22:38 60.18.168.108 [1]USER Administrator 331 0
02:22:38 60.18.168.108 [1]PASS - 530 1326
02:22:39 60.18.168.108 [1]USER Administrator 331 0
02:22:39 60.18.168.108 [1]PASS - 530 1326
02:22:39 60.18.168.108 [1]USER Administrator 331 0
02:22:39 60.18.168.108 [1]PASS - 530 1326
02:22:40 60.18.168.108 [1]USER Administrator 331 0
02:22:40 60.18.168.108 [1]PASS - 530 1326
02:22:40 60.18.168.108 [1]USER Administrator 331 0
02:22:40 60.18.168.108 [1]PASS - 530 1326
02:22:41 60.18.168.108 [1]USER Administrator 331 0
02:22:41 60.18.168.108 [1]PASS - 530 1326
Chưa hiểu lắm về nội dung!
Mong anh em chỉ bảo!
Thân
|
|
|
Hiện tại hệ thống mail offline của em như sau:
ISP --> Mail Server (Mdeamon) ---> Local User
Em gặp trường hợp như thế này:
Không hiểu sao, Ngoài các spam mail ra thì email từ @yahoo, @gmail, và 1 số domain (của khách hàng) khác gởi tới đều nằm trong Spam Trap của Mdeamon.
Em phải vào thư mục này để Release mail về cho user!
Mặc dù trong các cấu hình mình đã để default hết, ngoài việc để vài cái rule trong Content Filter để chặn spam từ VIAGRA!
Việc release này rất rất cực,...
Anh em có giải pháp gì hay đã từng làm cái này xin chỉ dẫn.
Thân
|
|
|
facialz wrote:
Làm cache thì ổ cứng là quan trọng nhất, vì cache ghi đĩa rất nhiều. Nếu có thể, bác nên dùng vài ổ cứng, hơn là 1 ổ, không những để cho nhanh hơn mà còn để kéo dài tuổi thọ ổ cứng. Không cần làm RAID0. Dùng RAID lỡ chết 1 ổ thì chết cả. Để phân bổ tải đều lên các ổ cứng chỉ cần khai báo vài cache_dir, mỗi cái đặt trên 1 ổ cứng rồi squid sẽ tự biết cách cân bằng tải, lỡ chết 1 ổ ngoài ổ hệ thống thì không sao.
Nếu có >= 1GB RAM, bác nên dùng hệ thống file ZFS để tăng độ sẵn sàng. Khi mất điện ZFS luôn khởi động lại được vì không bao giờ bị hỏng, và khởi động rất nhanh vì không bao giờ cần check disk.
hi, Anh.
Vì mới tập làm quen với squid nên về phần tối ưu phần cứng dùng cho squid không rành lắm!
Gia su voi đoạn code sau:
Em đã phân vùng cache như vậy thì có hợp lý như anh nói chưa. Squid của em cấu hình RAID0.
#######################################################################
cache_mem 1024 MB
maximum_object_size 3 MB
maximum_object_size_in_memory 512 KB
cache_dir ufs /opt/squid/cache/d1 20000 16 256
cache_dir ufs /opt/squid/cache/d2 20000 16 256
#######################################################################
Anh có thể nói thêm vài option để quản lý tối ưu phần cứng cho việc sử dụng squid!
Thân.
|
|
|
duongtulang wrote:
[root@firewall squid]# squid -z
2010/01/08 00:03:29| Creating Swap Directories
FATAL: Failed to make swap directory /var/cache/squid/00: (13) Permission denied
Squid Cache (Version 2.6.STABLE21): Terminated abnormally.
CPU Usage: 0.001 seconds = 0.000 user + 0.001 sys
Maximum Resident size: 0 KB
Page faults with physical i/o: 0
[root@firewall etc]# service squid restart
Stopping squid: [FAILED]
init_cache_dir /var/cache/squid... Starting squid: ............
############# squid.conf ######
http_port 3128 transparent
visible_hostname squid_itoffice
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
cache_dir ufs /var/cache/squid 2000 16 256
cache_effective_user squid
cache_effective_group squid
cache_mem 512 MB
store_avg_object_size 2 GB
maximum_object_size 4000 MB
###############################################
refresh_pattern -i \.zip$ 11110 100% 10000 override-expire override-lastmod ignore-reload
refresh_pattern -i \.gz$ 11110 100% 10000 override-expire override-lastmod ignore-reload
refresh_pattern -i \.jpg$ 11110 100% 10000 override-expire override-lastmod ignore-reload
refresh_pattern -i \.jpeg$ 11110 90% 100000 override-expire override-lastmod ignore-reload
refresh_pattern -i \.gif$ 11100 100% 100000 override-expire override-lastmod ignore-reload
refresh_pattern -i \.wmv$ 11100 100% 100000 override-expire override-lastmod ignore-reload
refresh_pattern -i \.mp3$ 11100 100% 100000 override-expire override-lastmod ignore-reload
refresh_pattern -i \.png$ 11110 100% 100000 override-expire override-lastmod ignore-reload
refresh_pattern -i \.swf$ 11100 100% 100000 override-expire override-lastmod ignore-reload
refresh_pattern -i \.flv$ 11110 100% 100000 override-expire override-lastmod ignore-reload
refresh_pattern -i \.js$ 11110 100% 100000 override-expire override-lastmod ignore-reload
refresh_pattern -i \.css$ 11110 100% 100000 override-expire override-lastmod ignore-reload
refresh_pattern -i \.html$ 11110 100% 100000 override-expire override-lastmod ignore-reload
############################ ACL default ###################################################
acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
###########################################################################################
#acl sang time MTWHF 8:00-11:30
#acl chieu time MTWHF 13:00-18:00
acl camwebbay dstdomain "/etc/squid/camwebbay"
acl camwebbay_search url_regex "/etc/squid/camwebbay_search"
##########################################################################################
http_access deny camwebbay
http_access deny camwebbay_search
http_access allow localhost
http_access allow SSL_ports
http_access deny !Safe_ports
http_access allow all
####
[root@firewall etc]# ls -la /var/cache/
total 100
drwxr-xr-x 13 root root 4096 Jan 7 05:50 .
drwxr-xr-x 24 root root 4096 Jan 6 23:50 ..
drwxr-xr-x 3 root root 4096 Jan 4 16:03 alchemist
drwxrwxrwt 2 root root 4096 Jan 7 00:09 coolkey
drwxrwxr-x 2 root lp 4096 Jan 4 17:10 cups
drwxr-xr-x 2 root root 4096 Jan 4 15:53 fontconfig
drwxr-xr-x 2 root root 4096 Sep 3 19:42 foomatic
drwxr-xr-x 2 root root 4096 Jan 7 03:35 logwatch
drwxr-xr-x 14 root root 4096 Jan 6 21:32 man
drwx------ 2 apache apache 4096 Sep 4 04:42 mod_proxy
drwxr-xr-x 3 root root 4096 Jan 4 15:39 samba
drwxr-xr-x 2 root root 4096 Jan 7 05:50 squid
drwxr-xr-x 6 root root 4096 Jan 6 23:49 yum
####
Nhờ các anh chị hướng dẫn giúp em. Em cảm ơn nhiều.
Thử cấp quyền thư mục đó cho squid thử xem!
|
|
|
myquartz wrote:
Chưa định nghĩa cái acl "all" mà đã xài nó. Chắc all này là src.
acl src all 0.0.0.0/0
Mặt khác ko phải là acl_access, nhầm với http_access chăng?
Mình thiếu dòng đỏ
|
|
|
vi /etc/squid/squid.conf
Code:
visible_hostname ldapclient
http_port 3128
acl home_network src 192.168.10.0/24
acl business_hours time M T W H F 9:00-17:00
http_access allow home_network business_hours
acl_access allow all
hostname
Code:
Thân
|
|
|
Em vọc squid.
Setup xong, em start nó lên, nhưng nó báo lỗi này!
Code:
[root@ldapclient ~]# service squid start
init_cache_dir /var/spool/squid... /etc/init.d/squid: line 62: 4306 Aborted $SQUID -z -F -D >> /var/log/squid/squid.out 2>&1
Starting squid: /etc/init.d/squid: line 42: 4307 Aborted $SQUID $SQUID_OPTS >> /var/log/squid/squid.out 2>&1
[FAILED]
cat /var/log/messages
Code:
Nov 20 23:04:14 ldapclient squid[4335]: Bungled squid.conf line 2: http_access deny all
Nov 20 23:04:15 ldapclient squid[4336]: Bungled squid.conf line 2: http_access deny all
Mong các anh chỉ giúp!
|
|
|
odouroflove wrote:
Mình cài 2 HDH (XP & 7), nhưng Win XP bị lỗi và chưa có cách khắc phục. Giờ mình muốn lấy dữ liệu từ thư mục Document bên Win XP sang Win7 để cài lại Win XP nhưng ko truy cập được vào thư mục này.
Ai có cách nào giúp mình với nhé ?
Cảm ơn nhiều !
Nếu mà "bí" lắm thì gỡ HDD sang máy khác chép DATA.
Thân
|
|
|
thupt86 wrote:
Mình xin trình bày sơ qua về các dạng Proxy Server (có gì k chính xác mong Khoai và mọi người sửa giúp mình. Thanks).
Dạng kết nối trực tiếp
Phương pháp đầu tiên được sử dụng trong kỹ thuật proxy là cho user kết nối trực tiếp đến firewall proxy, sau đó proxy hỏi user cho địa chỉ host hướng đến, đó là một phương pháp brute force sử dụng bởi firewall một cách dể dàng, và đó cũng là nguyên nhân tại sao nó là phương pháp ít thích hợp.
Trước tiên, yêu cầu user phải biết địa chỉ của firewall, kế tiếp nó yêu cầu user nhập vào hai địa chỉ hai địa chỉ cho mỗi kết nối: địa chỉ của filewall và địa chỉ đích hướng đến. Cuối cùng nó ngăn cản những ứng dụng hoặc những nguyên bản trên máy tính của user điều đó tạo sự kết nối cho user, bởi vì chúng không biết như thế nào điều khiển những yêu cầu đặc biệt cho sự truyền thông với proxy .
Dạng thay đổi Clinet
Phương pháp kế tiếp sử dụng proxy setup phải thêm vào những ứng dụng tại máy tính của user. User thưc thi những ứng dụng đặc biệt đó với việc tạo ra sự kết nối thông qua firewall. User với ứng dụng đó hành động chỉ như những ứng dụng không sửa đổi. User cho địa chỉ của host hướng tới. Những ứng dụng thêm vào biết địa chỉ firewall từ file config cuc bộ, setup sự kết nối đến ứng dụng proxy trên firewall, và truyền cho nó địa chỉ cung cấp bởi người sử dụng. Phương pháp này rất khó hiệu quả và có khả năng che dấu người sử dụng, tuy nhiên, cần có một ứng dụng client thêm vào cho mỗi dịch vụ mạng là một đặt tính trở ngại.
Dạng vô hình
Một phương pháp phát triển gần đây cho phép truy xuất đến proxy, trong vài hệ thống firewall được biết như proxy vô hình. Trong mô hình này, không cần có những ứng dụng thêm vào với user và không kết nối trực tiếp đến firewall hoặc biết rằng firewall có tồn tại. Sử dụng sự điều khiển đường đi cơ bản, tất cả sự kết nối đến mạng bên ngoài được chỉ đường thông qua firewall. Như những packet nhập vào firewall, tự động chúng được đổi hướng đến proxy đang chờ. Theo hướng này,firewall thực hiện rất tốt việc giả như host đích. Khi kết nối tạo ra firewall proxy , client applycation nghỉ rằng nó được kết nối đến server thật, nếu được phép, proxy applycation sau đó thực hiện hàm proxy chuẩn trong việc tạo kết nối thứ hai đến server thật.
Proxy dạng vô hình gồm có 2 loại: circuit_level proxy và application_level proxy
Bạn ấy đã lấy những ý từ trong link này
/hvaonline/posts/list/7048.html
Đọc xong cái "khái niệm" đó cũng còn mơ hồ để phân biệt được firewall & proxy lắm. Bạn nào có thể nói rõ hơn về proxy.
P/s: Mạn phép mở lại đề tài này để tôi hiểu rõ hơn về proxy!
|
|
|
van_security wrote:
myquartz wrote:
Tớ chỉ sử dụng một cách, bất cứ ai From: @domain-của-ta.com thì sẽ yêu cầu phải xác thực chứng nhận là người trong nhà (tức là chỉ nhận mail khác @domain-của-ta.com mới ko phải xác thực).
Bạn có thể chỉ rõ cách thiết lập cụ thể được không?
Mình cũng bị các mail Spam dạng này lấy địa chỉ mail gừi là domain của mình. Tuy nhiên vì mình có mua gối Anti-spam của mdeamon nên chương trình sẽ đánh dầu là subject [SPAM] [SPAM].
Tuy nhiên nếu có cách nào chặn nó triệt để hơn (Deny ở mức connection hay không tiếp nhận các email như trên) thì tốt hơn.
Vậy là tốt rồi.
Mình chưa biết làm cách nào để cho nó gán "[SPAM] [SPAM]. " vào subject của những email như thế khi mdeamon server kh có anti-spam.
A/e kh còn giải pháp nào nữa sao ta.
|
|
|
van_security wrote:
Mình không dùng bảng 10 như bạn. Nhưng theo bảng v9.6.2 thì có thể chống spam theo địa chỉ email đả biết.
Vào Menu [Security] -> [Spam Filter] -> Sau đó chọn Tab [Black list] Tại đây bạn có thể thêm địa các địa chỉ email mình định nghĩa là danh sách đen ....
Không phải vậy bạn ah!
mail này là lấy domain của mình để gởi cho địa chỉ chính là điạ chỉ cùa người người luôn!
Mình có mô tả trong đoạn header đó!
Vd:
From: account_cua_minh@domain_cua_minh
To: account_cua_minh@domain_cua_minh
Như vậy thì làm sao mà đưa vào blacklist được.
Ở đây nó chỉ khác dòng:
Received:
và Message-ID:
Nhưng mình không biết làm sao để chặn từ 2 thông tin đó để đưa chúng vào spam!
Thân
|
|
|
Đây là header của 1 email là spam!
Return-path: <myaccount@mydomain.com>
Received: from mail.mydomain.com ([210.245.123.22])
by mydomain.com (mydomain.com)
(MDaemon PRO v10.0.0)
with DomainPOP id md50000000210.msg
for <myaccount@mydomain.com>; Sun, 25 Oct 2009 16:24:37 +0700
X-MDRemoteIP: 210.245.123.22
X-Return-Path: myaccount@mydomain.com
X-Envelope-From: myaccount@mydomain.com
X-MDaemon-Deliver-To: myaccount@mydomain.com
Envelope-to: myaccount@mydomain.com
Delivery-date: Sun, 25 Oct 2009 16:07:12 +0700
Received: from [95.108.18.127]
by sv122.visun.vn with esmtp (Exim 4.67)
(envelope-from <myaccount@mydomain.com>
id 1N1z4C-0003Tl-2f
for myaccount@mydomain.com; Sun, 25 Oct 2009 16:07:12 +0700
To: myaccount@mydomain.com
Subject: Sooner or later you'll understand
Date: Sun, 25 Oct 2009 10:25:05 +0100
From: Luis <myaccount@mydomain.com>
Message-ID: <5069MSR.3190986.7767698002KPNAAAYFTXKSJYB087@[95.108.18.127]>
X-Priority: 3
X-Mailer: PHPMailer (phpmailer.sourceforge.net) [version 2.0.4]
Mime-Version: 1.0
Content-type: text/html; charset="iso-8859-1"
Theo mình dòng màu đỏ là thông tin của sender.
Màu xanh là thông tin của mình.
Làm sao để mình có thể anti những e-mail dạng này? A/e góp ý cho mình tý.
Thân
|
|
|
quanta wrote:
nguyendinhtuanit wrote:
Em nghĩ nó nằm san sát TCP/IP của TCP/IP protocol stack thuộc tầng Network của OSI
Chọn packet có protocol là LDAP rồi nhìn xuống phần protocol details có thể biết được gì không nhỉ?
Ý anh nói là hình này (trong ghi chú mày đỏ)
...IP -> TCP -> LDAP.
|
|
|
quanta wrote:
nguyendinhtuanit wrote:
Cho em hỏi thêm là LDAP nằm ở tầng nào trong mô hình OSI?
Cảm ơn anh!
Nói đến LDAP là người ta nói đến TCP/IP protocol stack chứ không nói đến OSI đâu. Mình có cái ảnh này tặng bạn:
Thử đọc thêm về lịch sử của LDAP rồi "đoán" xem nó nằm ở tầng nào?
Một cách khác, thử dump vài packets trên LDAP server rồi dùng Wireshark mở ra xem nó có gì.
Em nghĩ nó nằm san sát TCP/IP của TCP/IP protocol stack thuộc tầng Network của OSI
Kết wa Wireshark!
Từ 2->4 là bắt tay 3 bước
Từ 5 -> 16 là quá trình bind ----- search ---- và unbind của LDAP client tới Ldap Server
Anh giải thích em thêm tí
Thân
|
|
|
conmale wrote:
vietwow wrote:
conmale wrote:
OpenLDAP != AD 2003.
Cách config đơn giản đây: http://www.openldap.org/doc/admin23/quickstart.html
Sẵn tiện anh conmale có thể nêu giúp em 1 vài ứng dụng/project trong thực tế cần sử dụng công nghệ LDAP này ko ? Trước giờ em cũng nghĩ chức năng nó giống như AD bên Win, thấy nó hay được ứng dụng trong các công ty nhưng ko hình dung rõ ý nghĩa/chức năng của nó
LDAP là một phương tiện chứa dữ liệu nó không phải là một công nghệ. Đúng ra, LDAP là một protocol (Light Weight Access Protocol) nhưng nó có ứng dụng cho protocol nhằm mục đích lưu trữ dữ liệu.
Các dịch vụ ứng dụng khả năng của LDAP rất rộng rãi nhất là trong khu vực xác thực người dùng (authentication và authorisation). Mường tượng nó như một DNS có chứa thông tin.
Một cách tổng quát mà nói, LDAP thường phân chia theo O (Organisation - tổ chức) và các OU (Organisation Unit - phân bộ). Trong các OU có thể có những OU con và trong các OU có các CN (Common Name), những nhóm giá trị này thường được gọi là DN (Distinguished Name - tên gọi phân biệt). Mỗi giá trị chứa trong LDAP thuộc dạng tên:giá trị, thường được gọi là LDAP Attribute (viết tắt là attr, mỗi attr được nhận diện như một LDAP Object.
Những điểm ở trên hình thành một cái gọi là LDAP schema và có tiêu chuẩn thống nhất giữa các ứng dụng phát triển LDAP. Đây là lý do LDAP được ưa chuộng cho công tác lưu trữ và tích hợp với các cơ phận authentication / authorisation vì chúng có thể được dùng giữa các LDAP system (bất kể công ty sản xuất) miễn sao các cty sản xuất tuân thủ đúng tiêu chuẩn chung.
Nếu có ai hỏi, tại sao không dùng CDSL để chứa account của người dùng mà phải đụng tới LDAP. Câu trả lời là: vẫn có thể dùng CSDL cho mục đích đó. Tuy nhiên, CSDL không linh động bằng vì mỗi CSDL có những điểm khác nhau. LDAP như một bộ phận độc lập dùng để lưu dữ liệu, bất cứ hệ thống nào cần thông tin về user account (chẳng hạn), đều có thể share chung một (hoặc nhiều LDAP có cùng thông tin). Thử hình dung một hệ thống có 100 UNIX server và mỗi server phải bảo trì 1 /etc/passwd file. Làm cách nào để đồng bộ hóa 100 /etc/passwd file một cách bảo đảm, gọn gàng? Ngoài hệ thống NIS (và NIS+) cho mục đích này, càng ngày càng nhiều hệ thống tích hợp và sử dụng LDAP vì nó không giới hạn platform.
LDAP đóng vai trò rất quan trọng trong việc ứng dụng SSO (single sign on). Điều này có nghĩa là một người đăng nhập vào một hệ thống, người ấy có thể truy cập đến các servers / services / tài nguyên... cho phép mà không cần phải xác thực lại. Thử hình dung việc logon mail.yahoo.com, sau đó có thể nhảy đến yahoo 360, yahoo mailing list.... mà không cần phải xác thực tài khoản nữa. Thử hình dung yahoo sẽ có những dịch vụ khác và mỗi yahoo account chỉ cần chứa ở 1 nơi và các dịch vụ để dùng chung một LDAP chứa account để xác thực người dùng. Thử hình dung yahoo có 1000 servers và 1000 /etc/passwd file để bảo trì ).
Ngoài ra, LDAP được tạo ra đặc biệt cho hành động "đọc". Bởi thế, xác thực người dùng bằng phương tiện "lookup" LDAP nhanh, hiệu suất, ít tốn tài nguyên, đơn giản hơn là query 1 user account trên CSDL.
Một khái niệm rất hay
Cho em hỏi thêm về LDAP.
Ldap nằm ở tầng nào trong mô hình OSI.???
Cảm ơn anh!
|
|
|
conmale wrote:
- Nên bỏ thói quen cực kỳ nguy hiểm là chạy mọi thứ ở chế độ root.
- Nên lưu ý tất cả mọi thứ trên *nix đều là case sensitive.
Ngẫm nghĩ 2 điều trên sẽ có giải pháp.
Hi, anh conmale.
Cho em hỏi ngoài lề 1 tí
Vậy tạo user như thế nào trên hệ điều hành Unix hay Linux để có những quyền phù hợp quản trị hệ thống.
Còn User root sử dụng khi nào ạ.
Cảm ơn anh
|
|
|
Mình cũng đang cấu hình PDC (openldap + samba) Nhưng chưa thành công. VẪn đang báo lỗi như bạn đã post ở trên.
Giờ vẫn chưa có cách giải quyết.
Thân
|
|
|
Vấn đề ở trên không quan trọng lắm, cái đó để em ngâm sau đi.
Giờ em muốn cho các máy xp join vào domain của máy cấu hình samba, máy samba là Domain Controller.
Nên đã config /etc/samba/smb.conf như sau:
Code:
[global]
workgroup = THAIDUONG
server string = Samba Server Version %v
interfaces = lo, eth1
passdb backend = tdbsam
log file = /var/log/samba/%m.log
add machine script = /usr/sbin/useradd -n -c "Workstation (%u)" -M -d /nohome -s /bin/false "%u"
logon script = logon.cmd
logon drive = h:
domain logons = Yes
os level = 33
domain master = Yes
dns proxy = No
admin users = admin, @sbadmin
hosts allow = 127., 192.168.109., 192.168.13.
[Data]
comment = Shared Data
path = /tmp/Data
valid users = sambatest, sambatest01
read only = No
guest ok = Yes
[homes]
comment = Home Directories
read only = No
guest ok = Yes
[printers]
comment = All Printers
path = /var/spool/samba
printable = Yes
browseable = No
[netlogon]
path = /home/netlogon
write list = admin
guest ok = Yes
[profiles]
path = /home/ntprofile
read only = No
create mask = 0600
directory mask = 0700
guest ok = Yes
browseable = No
Sau đó:
Code:
[root@ldapsamba ~]# testparm
Load smb config files from /etc/samba/smb.conf
Unknown parameter encountered: "domain admin group"
Ignoring unknown parameter "domain admin group"
Processing section "[Data]"
Processing section "[homes]"
Processing section "[printers]"
Processing section "[netlogon]"
Processing section "[profiles]"
Loaded services file OK.
Server role: ROLE_DOMAIN_PDC
Press enter to see a dump of your service definitions
Các Anh có thể chỉ cho mình cái lỗi
Unknown parameter encountered: "domain admin group"
Ignoring unknown parameter "domain admin group"
p/s: Em đã sử dụng windowxp để join domain thaiduong nhưng không thể chứng thực bằng username/password đã tạo trong "domain admin group"
Cảm ơn anh em!
|
|
|
quanta wrote:
Nó bảo đã "added" vào rồi đấy thôi, sau khi gõ lệnh trên, 'cat' (hoặc 'grep sambatest01') thử /etc/samba/smbpasswd xem nó ra cái gì?
Không ra gì hết anh.
|
|
|
quanta wrote:
nguyendinhtuanit wrote:
...
Cho em hỏi 1 chổ nữa.
Trên file cấu hình em đã khai báo
Code:
smb passwd file = /etc/samba/smbpasswd
Nhưng tại sao khi
Code:
. Nó không vào file đó mà nó lưu vào một nơi nào đó
Thân
Bạn cho xem kết quả trả về khi gõ lệnh trên?
Quá trình thêm 1user sử dụng samba.
Code:
[root@ldapsamba tmp]# useradd -g users sambatest01
[root@ldapsamba tmp]# passwd sambatest01
Changing password for user sambatest01.
New UNIX password:
BAD PASSWORD: it is too simplistic/systematic
Retype new UNIX password:
passwd: all authentication tokens updated successfully.
[root@ldapsamba tmp]# smbpasswd -a sambatest01
New SMB password:
Retype new SMB password:
Added user sambatest01.
[root@ldapsamba tmp]#
Thân
|
|
|
quanta wrote:
- Thế trong /tmp/Data có gì chưa?
- Lệnh tạo file của bạn đâu?
- Bạn xem log của Samba chưa?
Hi Anh quanta. tks anh.
Trong khi chờ đợi trả lời, em đã xóa và cài lại tất cả dịch vụ samba. Và biết chổ sai của em là:
Sử dụng tài khoản root để chứng thực khi kết nối từ máy window & linux vào samba server. Vì tài khoản root lúc này chưa được
Code:
.
Không hiểu sao, mà nó "cache" lại lâu quá. Test cả ngày trời mà vẫn kh được.
Cho em hỏi 1 chổ nữa.
Trên file cấu hình em đã khai báo
Code:
smb passwd file = /etc/samba/smbpasswd
Nhưng tại sao khi
Code:
. Nó không vào file đó mà nó lưu vào một nơi nào đó
Thân
|
|