|
|
Trong cái tài liệu hướng dẫn của JAMM có đoạn cấu hình cho mail như sau:
1 access to dn.regex=".*,jvd=([^,]+),o=hosting,dc=myhosting,dc=example"
2 attr=userPassword
3 by self write
4 by group/jammPostmaster/roleOccupant.expand=\
5 "cn=postmaster,jvd=$1,o=hosting,dc=myhosting,dc=example" write
6 by anonymous auth
7 by * none
8 access to dn.regex=".*jvd=([^,]+),o=hosting,dc=myhosting,dc=example"
9 by self write
10 by group/jammPostmaster/roleOccupant.expand=\
11 "cn=postmaster,jvd=$1,o=hosting,dc=myhosting,dc=example" write
12 by * read
13 access to *
14 by * read
Cái access list này cũng không thể chạy được trong openldap 2.3.45.
Mình chưa hiểu rõ đoạn access list này lắm. mình cứ nói theo ý hiểu của mính nhà. bạn nào thấy sai thì có thể sửa lại giúp mình.
dòng 1: tạo một chính sách cho tất cả các dn: có trong jvd=.....,o=hosting,dc=myhosting,dc=example
dòng 2: thuộc tính để tạo access list là userPassword của từng đối tượng trong dn trên.
dòng 3: nếu user đã login thành công thì cho quyền write
dòng 4: chưa hiểu.
dòng 5: cho phép anonymous được xác thực
dòng 7 : ngược lại thì không có quyền gì.
dòng 8 : tìm tất cả các dn có định dạng là *.*jvd=...,o=hosting,dc=myhosting,dc=example"
vd như là domain.jvd=test.info,o=hosting,dc=myhosting,dc=example
dòng 9: tương tự dòng 3
dòng 10,11 chưa hiểu.
dòng 13 14 : áp đặt mọi quyền đọc cho mọi trường hợp còn lại.
|
|
|
Hi quanta! Cảm ơn bạn vì sự giúp đỡ tận tình!
Mình cấu hình theo tài liệu http://jamm.sourceforge.net/howto/single-html/mailserver.html và vì trong openldap ou=People,dc=binbin,dc=com là nơi chứa toàn bộ user của mình. do vậy mình cấu hình file jamm.properties như sau:
Code:
jamm.ldap.search_base = "ou=People,dc=binbin,dc=com"
jamm.ldap.root_dn = "cn=Manager,dc=binbin,dc=com"
|
|
|
Mình cũng đã đọc hướng dẫn đó và có làm theo nhưng vẫn không được.
|
|
|
hi all!
mấy bữa nay mình hí húi cài JAMM version is 0.9.6 download từ trang http://prdownloads.sourceforge.net/jamm/jamm-0.9.6-bin.tar.gz trên con CentOS với chức năng là change password của user mail trong openldap. Nhưng mà quá trình cài đặt chưa thể hoàn tất vì gặp phải lỗi khi login vào jamm với tài khoản là Manager tài khoản quản trị trong Openldap version 2.3.43 hoặc bất cứ một tài khoản nào trong openldap. Nó thông báo lỗi như sau.
trong log cũng không có gì?
các bạn xem giúp mình nhé!
|
|
|
conmale wrote:
External LDAP của bồ là gì? openLDAP? sunONE? Domino? AD?
External LDAP của em là dùng OpenLDAP .
conmale wrote:
Giá trị "search base" ở trên có đúng với external LDAP hay không?
em dùng lênh sau trên máy cài zimbra :
Code:
#ldapsearch -x -b "dc=domain,dc=com" "(objectclass=*)"
thì nó thổi ra cái này : Do vậy vấn đề lấy thông tin từ LDAP external về máy Zimbra đã thông.!
Code:
...
uid=root,ou=People,dc=domain,dc=com
...
do vậy search base của em không thể sai được.
conmale wrote:
Thử tìm hiểu xem uid=%u cụ thể cho cái gì và uid=%n cụ thể cho cái gì?
uid=%u : là giá trị của thuộc tính uid trong LDAP external sẽ được hiểu ngang bằng (gán) với giá trị của thuộc tính tài khoán trong zimbra.
uid=%n : là một entry trong zimbra nó dùng để xác định user trong external LDAP .
tranhuuphuoc wrote:
Bro cứ việc cài đặt Zimbra bình thường, lựa chọn Yes khi cài đặt Zimbra LDAP .
Sau khi cài đặt Zimbra hoàn tất chạy vào phần đăng nhập của admin thiết lập external authentication.
Đọc thêm tài liệu ở đây
http://wiki.zimbra.com/index.php?title=LDAP_Authentication
Em làm đúng như vậy . Phần cài đặt coi như không có vấn đề gì . user trong zimbra-ldap vẫn login vào bình thường. gửi mail bình thường . admin console tạo user trong Zimbra-Ldap bình thường. Mỗi tội user trong LDAP external là không thể login vào được zimbra web thôi . Mà trong khi đó quá trình cấu hình external LDAP test thử user root hoặc bush trong external LDAP lại báo là thành công! Tìm trên mạng thì có rất nhiều bài viết về vấn đề này nhưng chưa thấy các bạn trên zimbra forum đừa ra một phương pháp giải quyết triệt để. phải chăng mình phải mua support .
|
|
|
Hi all !
Lang thang cả ngày trên mạng không tìm ra được hướng giải quyết! Mới nhớ tới HVA !
Cấu hình của mình như sau : [external LDAP] ---------------------- [zimbra suite]
Code:
External LDAP IN A 192.168.1.40
Zimbra suite IN A 192.168.1.41
============================
filter : uid=%u
bind DN : uid=admin,dc=domain,dc=com
search base: ou=People,dc=domain,dc=com
usertest : bush
password: 1234567
quá trình cài đặt External LDAP cho Zimbra bằng Wizard báo quá trình kiểm tra user thành công!
Nhưng không hiểu sao khi bật giao diện web của zimbra dùng user bush login vào thì báo không đúng. Không tài nào login được với user bush này kể cả những user khác thuộc external LDAP .
Bạn nào đã từng cài đặt external LDAP cho zimbra có thể cho mình hướng giải quyết được không vậy. Cảm ơn nhiều !
|
|
|
Code:
$TTL 604800
@ IN SOA mail.server.tecsys.com. root.tecsys.com. (
2 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
@ IN NS mail.server.tecsys.com.
IN A 192.168.0.171
server.tecys.com. IN A 192.168.0.171
box IN A 192.168.0.171
mail IN A 192.168.0.171
server.tecys.com. IN MX 10 mail.server.tecsys.com.
thử cái này rổi restart lại bind rồi post lại xem nào ! Có một bài viết của bác tranvanminh về vấn đề DNS recod rất rõ ràng bạn thử tìm và đọc xem sao không nhầm thì trong thư viện .
nature8x wrote:
--> mình phải nói 1 câu có lẽ là rất ngốc nghếch như này: mình đã đọc rất nhiều tài liệu nói về cái MX record này, thế này...thế nọ... Nhưng đến h mình vẫn không biết là cái file MX record đó nó tên là gì? Nằm ở đâu?
--> : mình đn tất cả các host,domain trên 1 địa chỉ IP hết đó. Ý bạn là file: /etc/named.conf hay file /etc/bind/named.conf. Nếu là file /etc/bind/named.conf thì cấu hình của nó như sau:
vào link http://en.wikipedia.org/wiki/MX_record mà đọc thêm
trong file named.conf của cậu dn cái domain của cậu là server.tecsys.com . Thì cậu phải cấu hình theo đúng cái đó chứ.!
|
|
|
Tặng bạn con shell này ! Hy vọng nó tốt cho bạn !
Bạn dùng vi hoặc vim hoặc cái gì đó bạn thích tạo file có tên là shellcode (trường hợp của mình) với nội dung sau :
Code:
#!/bin/bash
{
find $1 -type f -name "*.html"
} > listfile | cat listfile | xargs sed -i 's/'$2' //g'
test = `echo $?`
if test==0
then
echo "Ban da thanh cong rui !"
else
echo "Loi te ne roi !!"
fi
# F10 viet shell nay !
ví dụ bạn muốn tìm trong thư mục /var/www/html những file có phần mở rộng là *.html bạn có thể gõ lệnh này !
#./shellcode /var/www/html cai_ma_doc
nó sẽ xóa tất cả các ký tự "cai_ma_doc" trong file *.html kia . Và nó sẽ tạo ra một file có tên là listfile . file này chứa tất cả cac tên file có phần mở rộng là *.html.
note: không được gõ :
#./shellcode /var/www/html/ cai_ma_doc
I love code shell !
|
|
|
thử đổi file này như sau /etc/bind/db.tecsys.com
Code:
$TTL 604800
@ IN SOA server.tecsys.com. root.tecsys.com. (
2 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS server.tecsys.com.
IN A 192.168.0.171
server.tecys.com. IN A 192.168.0.171
box IN A 192.168.0.171
mail IN A 192.168.0.171
tecys.com IN MX 10 mail.tecys.com.
==============================
PS: kỳ lạ nếu cậu cấu hình cho mail server phải có bản ghi MX chứ đằng này chẳng thấy đâu.
Hơn nữa cái file /etc/named.conf của cậu cấu hình sao . cho mình xem luôn đi . Ở đây mình đn tất cả các host và domain trên một máy (trên một địa chỉ IP hết ). Cậu phải có mô hình cụ thể thì mọi người mới giúp được chứ.!
|
|
|
Hi` ! thask all ! Mấy ngày trước mình đã fix được lỗi và login từ windows xp ngon lành rồi tuy nhiên thằng windows 7 thì vẫn khó tính không chịu zo ! lỗi của mình là ở cái tools migration và smbldap-tool kia . Mình download cái tool migration mới và smbldap-tool (0.9.5.xx)mới về cài lại toàn bộ không hiểu sao lại thành công . Chắc tại tương thích với LDAP hiện tại mình đang dùng (openldap-servers-2.3.43xx) .
@quanta : không phải chỉ có mỗi tài khoản thuộc nhóm "Computers Domain" mới có quyền login. Mà tài khoản nhóm "Users Domain" cũng log in được. sure ! Vì mình đã kiểm nghiệm !
dianguc2050 wrote:
hi!
Mình cũng đã từng gặp lỗi như bạn và mình dùng lệnh sau là Ok
bạn vào máy cài samba và dùng lệnh sau:
useradd dianguc2050$ (dianguc2050 là tên máy của máy window cần join.)
Cái này là mình tạo tài khoản máy (kí hiệu $ để chỉ nó thuộc Computers Domain) . Như trên em đã nói với bạn quanta rồi đấy ! Cảm ơn anh và đọc mail em gửi cho anh đi nhé ! anh lười đọc mail thật !
|
|
|
quanta wrote:
oss wrote:
Hi anh quanta
Nếu như là Multil server thì có dc ko ạ
Ý bạn là OpenLDAP được cài trên một con server riêng biệt hả? Mấy bạn Mod. trên Zimbra forum nói rằng: bạn chỉ có thể dùng external OpenLDAP cho việc xác thực mà thôi, còn vẫn phải cài zimbra-ldap. Bạn có thể đọc thêm trên Zimbra forum.
Mình nghĩ ý bạn ấy như thế này bộ cài của zimbra nó tích hợp 6 gói chính : zimbra-ldap ; zimbra-mta ; zimbra-znmp; zimbra-store; zimbra-logger; zimbra-spell . Multil server là cài riêng một só gói ra trên nhiều máy khác nhau.! vd zimbra-ldap cài trên một máy server1 . còn lại zimbra-mta;zimbra-znmp.... cài trên một server khác server2 chẳng hạn.
Cho mình hỏi thêm một số câu hỏi phụ hơi ngoài nề một chút :
1. Tại sao zimbra không dùng bộ "openldap*" có sẵn mà phải dùng cái gói "zimbra-ldap" nó built sẵn để rồi phải dùng đến external OpenLDAP , mà nhiều trường hợp máy cài zimbra đã có service LDAP rồi bây giờ cài LDAP vào lại xảy ra xung đột hơn nữa cái LDAP của thằng zimbra cũng khó dùng hơn và lạ hơn cái LDAP cũ trước phải chăng để tích hợp schema luôn và giảm thiểu tính thiếu đồng bộ cho LDAP chăng.
2. Khi nào mình dùng khái niêm external OpenLDAP ; khi nào dùng Replica LDAP ; và khi nào có khái niệm master/slave LDAP .
Cảm ơn !
|
|
|
Ok ! Đồng ý với ý kiến của bạn . Có thể mình chưa học hết đã hành rồi nên mới gặp phải những vấn đề trong khi cấu hình mà không biết giải quyết . Mình sẽ đọc lại đống tài trong máy mình và mấy cái link bạn đưa cho về ldap vs samba để hiểu thêm cơ chế của nó . . Tuy nhiên , lúc nào gặp phải vấn đề khó hiểu mình sẽ post tiếp ở topic này . Mong các bạn vẫn tiếp tục đóng góp để sớm giải quyết vần đề mà mình đang gặp phải .
|
|
|
@777 và mọi người . !
G/S công ty của mình có một mail server dùng Qmail . Và server đó cấu hình có 2 nhóm mail Group A và Group B cùng domain X . làm thế nào để nhóm A có thể gửi mail ra ngoài internet và các thành viên khác trong công ty(Nhóm B). và Nhóm B chỉ được gủi mail trong công ty và không được gửi ra ngoài internet (cho dù họ muốn). Các bạn có thể nói phần cấu hình làm sao để được như thế hoặc phương hướng giải quyết ?! Cảm ơn mọi người !
|
|
|
Không có SeMachineAccountPrivilege à:
xin lỗi mình post thiếu dòng này . tại copy lại cái history nhưng thiếu mất dòng cuối .
F10 wrote:
đây là thông tin lệnh # net rpc info
Password:
Domain Name: ASIANUX
Domain SID: S-1-5-21-2475993415-691327342-2526492752
Sequence number: 1256327010
Num users: 5
Num domain groups: 2
Num local groups: 0
đây là thông tin lênh # net rpc join
Password:
Creation of workstation account failed
Unable to join domain ASIANUX.
Đây là thông tin lệnh #net rpc testjoin
Password:
[2009/10/24 03:16:10, 0] rpc_client/cli_pipe.c:get_schannel_session_key_common(2445)
get_schannel_session_key: could not fetch trust account password for domain 'ASIANUX'
[2009/10/24 03:16:10, 0] utils/net_rpc_join.c:net_rpc_join_ok(81)
net_rpc_join_ok: failed to get schannel session key from server LINUXPC for domain ASIANUX. Error was NT_STATUS_CANT_ACCESS_DOMAIN_INFO
Join to domain 'ASIANUX' is not valid
Xem lại đoạn này đi.
Mình đã googling thì nó đưa ra phương án là thêm mấy dòng sau vào smb.conf
# This is required for Windows XP client ..
server signing = auto
server schannel = yes
client signing = auto
client schannel = yes
nhưng mà vẫn chưa cải thiện được tình hình !
Trước tiên, cần nói rằng mình chưa có điều kiện thực nghiệm vấn đề mà bạn đang gặp phải
Hay là cậu teamviewer vào máy mình làm sửa luôn nhé !
|
|
|
Cho mình hỏi thêm là homeDirectory của các user muốn join vào domain thì cần phải để homeDirectory=/dev/null và loginShell=/bin/false phải không ?.
Xin lỗi cả nhà đoạn này mình nhầm giữa Machine accounts và User accounts
Machine accounts are analogous to user accounts, and thus in implementing them on a UNIX machine that is hosting Samba (i.e., on which Samba is running), it is necessary to create a special type of user account. Machine accounts differ from normal user accounts in that the account name (login ID) is terminated with a $ sign. An additional difference is that this type of account should not ever be able to log into the UNIX environment as a system user and therefore is set to have a shell of /bin/false and a home directory of /dev/null. The machine account is used only to authenticate domain member machines during start-up. This security measure is designed to block man-in-the-middle attempts to violate network integrity.
|
|
|
2 đoạn này "đá" nhau. Ở 2 cái screenshots trên có thể nhìn thấy rõ là winxp thuộc group Domain Users đấy chứ. Mà như thế thì nó không có quyền để join là đúng rồi, thử lại với Administrator hoặc root xem.
Tại sao vẫn tạo Domain Users làm gì ạ (Câu hỏi ngu ngu nhưng vẫn hỏi ) !? Bạn có tài liệu nào nói về mấy cái này không share cho mình ít .!
Ở trên thì hoangtan thuộc Domain Users, ở dưới lại nhảy vào Domain Admins?
Mình đã sửa lỗi này rồi . và thông tin khi sửa lại như sau :
một số Users .
một số Groups.
Trong môi trường Windows, nhóm Domain Admins thông thường là một thành viên của nhóm Administrators trong domain. Nhưng khi Samba được cài đặt, điều đó không xảy ra. Bạn phải tự gán các quyền cho Domain Admins với lệnh net rpc rights theo hướng dẫn ở trên.
=> Giải quyết bằng 4 lệnh này phải không bạn :
# net -S LINUXPC -U Administrator rpc rights grant 'ASIANUX\Domain Admins' SePrintOperatorPrivilege
# net -S LINUXPC -U Administrator rpc rights grant 'ASIANUX\Domain Admins' SeAddUsersPrivilege
# net -S LINUXPC -U Administrator rpc rights grant 'ASIANUX\Domain Admins' SeRemoteShutdownPrivilege
# net -S LINUXPC -U Administrator rpc rights grant 'ASIANUX\Domain Admins' SeDiskOperatorPrivilege
trong đó LINUXPC là tên netbios name và ASIANUX là Domain name còn 'Domain Admins' là Groups của Domain ASIANUX.
đây là thông tin lệnh # net rpc info
Password:
Domain Name: ASIANUX
Domain SID: S-1-5-21-2475993415-691327342-2526492752
Sequence number: 1256327010
Num users: 5
Num domain groups: 2
Num local groups: 0
đây là thông tin lênh # net rpc join
Password:
Creation of workstation account failed
Unable to join domain ASIANUX.
Đây là thông tin lệnh #net rpc testjoin
Password:
[2009/10/24 03:16:10, 0] rpc_client/cli_pipe.c:get_schannel_session_key_common(2445)
get_schannel_session_key: could not fetch trust account password for domain 'ASIANUX'
[2009/10/24 03:16:10, 0] utils/net_rpc_join.c:net_rpc_join_ok(81)
net_rpc_join_ok: failed to get schannel session key from server LINUXPC for domain ASIANUX. Error was NT_STATUS_CANT_ACCESS_DOMAIN_INFO
Join to domain 'ASIANUX' is not valid
Cho mình hỏi thêm là homeDirectory của các user muốn join vào domain thì cần phải để homeDirectory=/dev/null và loginShell=/bin/false phải không ?.
Mọi câu lệnh liên quan đến chỉnh sửa lại file *.conf đều được restart lại service kỹ lưỡng .
Kết cục vẫn là không join được từ XP vào Domain .
|
|
|
Đây là hình mà mình dùng webmin để chụp lại một số user ldap
Username -> UserID -> Group -> Real name -> Home directory -> Shell
còn đây là phần một số Group ldap quan trọng
Group name -> Group ID -> Members
Hiện tại vì mình cấu hình DNS máy có domain là asianux.com nên mình đã cấu hình lại ldap và samba thành dc=asianux,dc=com . mọi cấu hình khác đều giống như cũ không khác gì .
bạn nói tới quyền của 'Domain Admins' ở đây là gì .? và đoạn tiếng Anh kia bạn có thể nói thành Tiếng Việt để cho mình rõ hơn được không . thask U !
còn đây là kết quả của lệnh : #smbldap-groupshow "Domain Admins"
dn: cn=Domain Admins,ou=Groups,dc=asianux,dc=com
description: Netbios Domain Administrators
sambaSID: S-1-5-21-2475993415-691327342-2526492752-512
sambaGroupType: 2
displayName: Domain Admins
gidNumber: 512
cn: Domain Admins
userPassword:
objectClass: posixGroup,sambaGroupMapping
memberUid: Administrator,root,hoangtan
PS: cố gắng đêm nay giải quyết xong mọi thứ !
|
|
|
Xin lỗi quanta và cả nhà do hôm trước mình bận chút việc nên tận hôm nay mình mới post bài tiếp được .
@quanta : Mình làm theo 3 cách trên nhưng đều không cải thiện được tình hình .
Theo cách 3 đây là file /etc/ldap.conf sau khi đã config lại các bạn xem có đúng không nhé ?!
nss_base_passwd ou=Users,dc=collins?one
nss_base_passwd ou=Computers,dc=collins?one # This line was added
nss_base_shadow ou=Users,dc=collins?one
nss_base_group ou=Groups,dc=collins?one
URI ldap://127.0.0.1/
BASE dc=collins
binddn cn=admin
bindpw= 123456
TLS_CACERTDIR /etc/openldap/cacerts
|
|
|
mình log vào bằng user winxp (chi tiết xem hình trên mình vừa up thêm rồi ) . Trước đó mình đã add thêm password để cho samba và ldap giao tiếp rồi . (mình cũng đã nghĩ đến chuyện lỗi xảy ra do password được mã hóa nên đã dùng password root của ldap là cleartext như file cấu hình trên bạn thấy cho đơn giản \ dù sao đây cũng là bản demo ) .
password của cn=admin.cn=collins là 123456
smbpasswd -W và gõ 1234567 vào input để lưu nó vào file secrets.tdb
thằng user winxp trước đó cũng được add vào samba rồi .
#smbpasswd -a winxp
-- Trong một tuần làm việc kiệt lực không công . Mình nghĩ nó chỉ có vấn đề sau .
+ Do thằng winxp không log được vào PDC _ LDAP+SAMBA . (loại trừ vì phiên bản của 2 deamon trên đều là version 3). trong trang chính của chúng đã nói là support winxpSP2 .
+ Do thằng user winxp có sambaSID và sambaPrimaryGroupSID không trùng với SID của domain (Phương án này cũng bị loại trừ vì câu lệnh smbldap-usershow và net getlocalsid COLLINS loại trừ )
+ Do Không có quyền truy cập vào domain do không được cấp quyền (loại trừ vì đã add group cho user winxp là 'Domain Admins' bằng câu lệnh )
smbldap-groupmod -m 'winxp' 'Domain Admins'
+ Do cấu hình file smb.conf && slapd.conf bị sai chăng (Không chắc chắn 100% là đúng .!) | v
+ Do cấu hình sai các file PAM và nss.conf chăng .? (chưa chắc chắn 100% là đúng .!) | v
+ .......................................
-> Thực ra trước đó mình đã làm theo rất nhiều loạt bài hướng dẫn cấu hình smb + ldap làm PDC trên CentOS rồi . và mình thấy bài cấu hình Trên UBUNTU này dễ hiểu cho nên làm theo thôi .!
PS: Bạn nào có kinh nghiệm về vấn đề này làm ơn giúp đợ mình rất tin tưởng vào HVA. ! thansk all !
|
|
|
thành phần cấu hình :
1. openldap-servers-2.3.43-3.el5
2. samba-3.0.33-3.7.el5
Mình làm theo hướng dẫn của trang https://help.ubuntu.com/community/OpenLDAP-SambaPDC-OrgInfo-Posix
các file cấu hình như sau :
file /etc/openldap/slapd.conf
include /etc/openldap/schema/core.schema
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/nis.schema
include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/samba.schema
allow bind_v2
pidfile /var/run/openldap/slapd.pid
argsfile /var/run/openldap/slapd.args
loglevel 256
database bdb
suffix "dc=collins"
rootdn "cn=admin,dc=collins"
rootpw 123456
directory /var/lib/ldap/
index objectClass eq,pres
index ou,cn,sn,mail,givenname eq,pres,sub
index uidNumber,gidNumber,memberUid eq,pres
index loginShell eq,pres
index uniqueMember eq,pres
index uid pres,sub,eq
index displayName pres,sub,eq
index sambaSID eq
index sambaPrimaryGroupSID eq
index sambaDomainName eq
index default sub
#/etc/samba/smb.conf
[global]
# Domain name ..
workgroup = COLLINS
# Server name - as seen by Windows PCs ..
netbios name = LINUXPC
# Be a PDC ..
domain logons = Yes
domain master = Yes
# Be a WINS server ..
wins support = true
obey pam restrictions = Yes
dns proxy = No
os level = 35
log file = /var/log/samba/log.%m
max log size = 1000
syslog = 0
panic action = /usr/share/samba/panic-action %d
pam password change = Yes
# Allows users on WinXP PCs to change their password when they press Ctrl-Alt-Del
unix password sync = no
ldap passwd sync = yes
# Printing from PCs will go via CUPS ..
load printers = yes
printing = cups
printcap name = cups
# Use LDAP for Samba user accounts and groups ..
passdb backend = ldapsam:ldap://localhost
# This must match init.ldif ..
ldap suffix = dc=collins
# The password for cn=admin MUST be stored in /etc/samba/secrets.tdb
# This is done by running 'sudo smbpasswd -w'.
ldap admin dn = cn=admin,dc=collins
# 4 OUs that Samba uses when creating user accounts, computer accounts, etc.
# (Because we are using smbldap-tools, call them 'Users', 'Computers', etc.)
ldap machine suffix = ou=Computers
ldap user suffix = ou=Users
ldap group suffix = ou=Groups
ldap idmap suffix = ou=Idmap
# Samba and LDAP server are on the same server in this example.
ldap ssl = no
# Scripts for Samba to use if it creates users, groups, etc.
add user script = /usr/sbin/smbldap-useradd -m '%u'
delete user script = /usr/sbin/smbldap-userdel %u
add group script = /usr/sbin/smbldap-groupadd -p '%g'
delete group script = /usr/sbin/smbldap-groupdel '%g'
add user to group script = /usr/sbin/smbldap-groupmod -m '%u' '%g'
delete user from group script = /usr/sbin/smbldap-groupmod -x '%u' '%g'
set primary group script = /usr/sbin/smbldap-usermod -g '%g' '%u'
# Script that Samba users when a PC joins the domain ..
# (when changing 'Computer Properties' on the PC)
add machine script = /usr/sbin/smbldap-useradd -w '%u'
# Values used when a new user is created ..
# (Note: '%L' does not work properly with smbldap-tools 0.9.4-1)
logon drive = H:
logon home = \\linuxpc\%U
logon path = \\linuxpc\Profiles\%U
logon script = logon.bat
# This is required for Windows XP client ..
server signing = auto
server schannel = Auto
[homes]
comment = Home Directories
valid users = %S
read only = No
browseable = No
[netlogon]
comment = Network Logon Service
path = /var/lib/samba/netlogon
admin users = root
guest ok = Yes
browseable = No
[Profiles]
comment = Roaming Profile Share
# would probably change this to elsewhere in a production system ..
path = /var/lib/samba/profiles
read only = No
profile acls = Yes
browsable = No
[printers]
comment = All Printers
path = /var/spool/samba
use client driver = Yes
create mask = 0600
guest ok = Yes
printable = Yes
browseable = No
public = yes
writable = yes
admin users = root
write list = root
[print$]
comment = Printer Drivers Share
path = /var/lib/samba/printers
write list = root
create mask = 0664
directory mask = 0775
admin users = root
file /etc/openldap/ldap.conf
URI ldap://127.0.0.1/
BASE "dc=collins"
TLS_CACERTDIR /etc/openldap/cacerts
ls -l /var/lib/ldap
total 69104
-rw-r--r-- 1 ldap ldap 4096 Oct 15 12:18 alock
-rw------- 1 ldap ldap 8192 Oct 15 12:18 cn.bdb
-rw------- 1 ldap ldap 24576 Oct 15 08:46 __db.001
-rw------- 1 ldap ldap 80019456 Oct 15 08:46 __db.002
-rw------- 1 ldap ldap 335552512 Oct 15 08:46 __db.003
-rw------- 1 ldap ldap 2359296 Oct 15 08:46 __db.004
-rw------- 1 ldap ldap 352256 Oct 15 08:46 __db.005
-rw------- 1 ldap ldap 24576 Oct 15 08:46 __db.006
-rw-r----- 1 ldap ldap 921 Oct 15 08:46 DB_CONFIG
-rw------- 1 ldap ldap 8192 Oct 15 09:02 displayName.bdb
-rw------- 1 ldap ldap 8192 Oct 15 11:46 dn2id.bdb
-rw------- 1 ldap ldap 8192 Oct 15 12:18 gidNumber.bdb
-rw------- 1 ldap ldap 32768 Oct 15 12:18 id2entry.bdb
-rw------- 1 ldap ldap 10485760 Oct 15 12:18 log.0000000001
-rw------- 1 ldap ldap 8192 Oct 15 12:18 loginShell.bdb
-rw------- 1 ldap ldap 8192 Oct 15 12:18 memberUid.bdb
-rw------- 1 ldap ldap 8192 Oct 15 12:18 objectClass.bdb
-rw------- 1 ldap ldap 8192 Oct 15 09:05 ou.bdb
-rw------- 1 ldap ldap 8192 Oct 15 08:54 sambaDomainName.bdb
-rw------- 1 ldap ldap 8192 Oct 15 11:46 sambaPrimaryGroupSID.bdb
-rw------- 1 ldap ldap 8192 Oct 15 12:18 sambaSID.bdb
-rw------- 1 ldap ldap 8192 Oct 15 12:18 sn.bdb
-rw------- 1 ldap ldap 8192 Oct 15 12:18 uid.bdb
-rw------- 1 ldap ldap 8192 Oct 15 12:18 uidNumber.bdb
-rw------- 1 ldap ldap 8192 Oct 15 10:15 uniqueMember.bdb
* Mình đã test thử từ một máy Linux login vào domain collins thì OK .!
Nhưng đến lúc login từ một máy WinxpSP2 vào domain đó thì xuất hiện lỗi sau :
* Mình đã search cả tuần (không nói ngoa ) về lỗi này mà vẫn không ra . Nên nhờ các bạn giúp đỡ .
à thêm vài cái này nữa .:
#net getlocalsid COLLINS
SID for domain COLLINS is: S-1-5-21-3841696716-758133549-4286232611
còn đây là thông tin về user winxp :
#smbldap-usershow winxp
dn: uid=winxp,dc=collins
sambaPwdCanChange: 1255576625
sambaAcctFlags: [U ]
shadowLastChange: 14532
sambaNTPassword: 95EF6011B57C1E99AA593659E27F750E
sambaPasswordHistory: 0000000000000000000000000000000000000000000000000000000000000000
sambaPwdLastSet: 1255580758
sambaPrimaryGroupSID: S-1-5-21-3841696716-758133549-4286232611
sambaSID: S-1-5-21-3841696716-758133549-4286232611-500
uid: winxp
cn: winxp
homeDirectory: /dev/null
uidNumber: 501
objectClass: posixAccount,shadowAccount,person,sambaSamAccount
gidNumber: 512
shadowExpire: 14975
gecos: winxp
sn: winxp
userPassword: {SSHA}IkJACHNR09Cqp1+AyZLefXaRMWsz0V8K
loginShell: /bin/false
* Làm ơn giúp mình với tuần này nữa mà vẫn không được thì chắc là bó quách Ldap && Samba đi dùng AD cho nó lẹ mất !
|
|
|
@conmale . Rất cảm ơn anh về những thông tin anh chia sẻ .! Quả thật nó rất hữu ích cho em lúc này.
|
|
|
Thử netcat và "pipe" nó về /dev/null xem sao? (dùng netcat thế nào thì tự tìm hiểu xem?).
@conmale . Anh conmale này , theo hướng gợi ý của anh em đã tìm và có gắng kết hợp thằng /dev/null và thằng netcat. Nhưng em gặp phải một vấn đề có thể mô hình như sau :
Em có 2 con máy ảo (dòng redhat) . A (192.168.1.2) && B (192.168.1.4) . Em giả sử A là một web server (port 80 open) . và B là một tay h@cker đang cố moi móc thông tin về các service của A.
1 Trên máy A em cho mở một port vd 8080 nhét thằng /dev/null vào mục đích là để đánh lừa thằng nào muốn scan port .
# nc -vvlp 8080 < /dev/null
bên máy B dùng nmap với dòng code sau :
#nmap 192.168.1.2 -p 8080
Hj hj ! nmap đã bị đánh lừa .
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2009-08-30 02:09 ICT
Interesting ports on 192.168.1.2:
PORT STATE SERVICE
8080/tcp open http-proxy
MAC Address: 00:0C:29:9F:A3:EA (VMware)
Nmap finished: 1 IP address (1 host up) scanned in 0.173 seconds
Việc đánh lừa port service đã OK . !
2 Tiếp đến em muốn những thông tin mà gửi tới port 80 (đang được mở trong A cho httpd ) sẽ chẳng nhận lại được gì ! (Thật dại dột thế thì client thật gõ http://IP_A:80 thì vào làm sao được web nhỉ ! )
# nc -vvlp 80 < /dev/null
Ồ lỗi lòi mắt port 80 đang được mở cho httpd . Không thể làm được điều này.
đến đây thì em nghĩ liệu netcat có thể làm cho thông tin gửi về một port đang mở của 1 dịch vụ nào đó (ở vd này là httpd ) về /dev/null không khi không làm được điều này # nc -vvlp 80 < /dev/null + 2
Anh có thể gợi ý thêm không ạ. ! thask anh.!
|
|
|
Giả sử web service của HVA ở cổng 80 và nó được một firewall NAT vào một server khác chạy trên Linux. Đồng thời cổng 25 là cổng smtp được firewall NAT vào một server chạy trên bsd. Hơn nữa, có một số cổng "giả" mở ra nhưng các gói tin đi vào những cổng này hoàn toàn biến mất (vào /dev/null) mà không hề trả lời nmap thì liệu nmap có "đoán" đúng OS footprint hay không?
Điều giả sử này rất hay ! Cảm ơn anh conmale rất nhiều về thông tin này. Từ trước tới giờ em chưa nghĩ được đến mức này. hi
Giả sử web service của HVA ở cổng 80 và nó được một firewall NAT vào một server khác chạy trên Linux. Đồng thời cổng 25 là cổng smtp được firewall NAT vào một server chạy trên bsd.
Trường hợp này chắc là thằng nmap nhầm con web server của HVA là linux rồi (chẳng lẽ web server của HVA dùng đồ của lão Bin thật ).
Hơn nữa, có một số cổng "giả" mở ra nhưng các gói tin đi vào những cổng này hoàn toàn biến mất (vào /dev/null) mà không hề trả lời nmap thì liệu nmap có "đoán" đúng OS footprint hay không?
trường hợp này em nghĩ nmap sẽ không thể đoán được OSfootprint . vì đơn giản khi nmap nhận được các gói tin phản hồi thì nmap sẽ so sánh nó với một cơ sở dữ liệu được lưu chữ của riêng nó (hình như là nmap-os-db gì gì đó trong trường hợp này) nếu phù hợp với OS nào thì nó chỉ việc output ra thui. Trường hợp các gói tin đi vào mà không có trả lại cho nmap thì coi như http://nmap.org/book/nmap-os-db.html thông tin rùi.
...... gói tin đi vào những cổng này hoàn toàn biến mất (vào /dev/null)....
&& ...chỉnh Web service từ Apache thành IIS 5...
Anh già khó tính có thể dạy cho em . À bọn đàn em cái trò này được không ạ . Hay thật mất hút như tên của nó vậy null .
|
|
|
Nhìn vào đoạn sniff của anh conmale chụp thì \theo_em có vẻ như nmap lần lượt gửi các gói tin tới các ports service . Để đoán xem service nào đang được open. Nhưng còn dòng này Aggressive OS guesses: Linux 2.6.24 (Debian) (86%), Linux 2.6.15 - 2.6.26 (86%), Linux 2.6.15 (Ubuntu) (85%), Linux 2.6.20 (Ubuntu 7.04 server, x86) (85%), Linux 2.6.27.21-grsec (85%), Linux 2.6.22 (Debian 4.0) (85%)
thì em không biết làm sao nmap lại xác định được kernel của OS hơn nữa còn xác định được đó là debian OR Ubuntu. ANh gợi ý thêm đi nhé .!...
|
|
|
Có phải chế độ safe mode của U là chê độ single user mode(level 1) không nhỉ .!?
|
|
|
Theo cái hình lỗi mà bạn cung cấp thì mình đoán 90% là do lỗi độ phân giải màn hình trong Ubuntu. Trước đây mình đã nghịch chỉnh lại độ phân giải màn hình của Ubuntu và kết quả là như cái hiện tượng mà bạn đang gập . cho bạn cái link này (làn trước mình làm theo và đã khác phục được lỗi ! ) . Code:
http://www.google.com/search?hl=en&source=hp&q=reconfig+xorg+ubuntu&aq=1&oq=reconfig+x&aqi=g3
|
|
|
Mình cài webmin [port 10000] ở máy có địa chỉ là x.x.x.x và có cấu hình SSL hỗ trợ . khi cài xong . mình vào firefox và bình tĩnh gõ http://x.x.x.x:10000 lúc này trình duyệt tự động nhảy sang https://x.x.x.x:10000 . [Đoạn này là nó đã dùng cả port 443] sẽ không có vấn đề nếu mình không dùng DNS để chỉ ra cái x.x.x.x:10000 kia là webmin.lab.vn mình dung bản ghi SRV để chỉ ra dịch vụ webmin port 10000 như sau
webmin IN A x.x.x.x
tcp_.webmin.lab.vn. IN SRV 1 0 10000 webmin.lab.vn.
nhưng mà vì webmin đã được ssl hỗ trợ . khi mình gõ vào trình duyệt webmin.lab.vn thì nó không vào được trang login của webmin . thằng SRV không cho kiểu khai báo hai port của 1 dịch vụ 1 lúc kiểu như
tcp_.webmin.lab.vn. IN SRV 1 0 10000 443 webmin.lab.vn.
. Bạn nào có giải pháp nào không giúp mình vụ này với .!
PS : Nếu cài lại webmin bỏ chức năng cho ssl hỗ trợ webmin thì đăng nhập bằng tên webmin.lab.vn vào bình thường .
|
|
|
cảm ơn bạn mình đã hiểu hơn rồi !
|
|
|
#ls -l /etc/shadow trong Ubuntu thì được thông tin như sau
-rw-r----- 1 root shadow 1035 2009-06-06 07:10 /etc/shadow
trong redhat và solaris thì được tương tự như sau
-r-------- 1 root root ................................../etc/shadow
vậy cho hỏi tại sao root có quyền tối cao như vậy lại không thể wx trong /etc/shadow đối với redhat và solaris . phải chăng là vấn đề bảo mật . Nhưng có cần phải cự tuyệt hoàn toàn với root không.
* nhân thể mình lấy 1 ví dụ . mình đăng nhập với tài khoản root và dùng lênh useradd tạo ra user test . vậy thì root sẽ phải ghi các thông tin cần thiết của test vào /etc/shadow hay là một user khác của hệ thống đảm nhiệm . Nếu root đảm nhiệm thì làm sao root có thể ghi được vào file /etc/shadow nhỉ .
Mình chưa hiểu chỗ này ! mong các bạn giúp đỡ ! thaxk !
|
|
|
Có bạn nào cài đặt Centos 5.3 từ USB thành công mà không cần sử dụng ổ đĩa DVD hay không ? Nếu bạn nào cài đặt thành công thì chỉ tôi phương thức (cách làm) giùm .
Mình có một cách cực hay và đã làm thành công nhưng mình mới chỉ thực hiện trong mội trường Linux (Ubuntu9.04) còn windows thì chưa . Chú ý Đòi hỏi là cái USB của bạn phải có dung lượng lớn hơn hoặc tối thiểu bằng dung lượng của file *.iso (như ở đây là file Centos5.3.iso mà bạn dowload từ trên mạng về.).
Chỉ cần cài phần mêm usb-creator trong linux sau đó dùng chương trình này để tạo đĩa boot trong usb (quá trình tiến hành chỉ là kích chuột nếu linux của bạn có giao diện đồ họa).
--- nếu không muốn vất vả trong việc cài đặt usb-create thì chỉ cần cài ubuntu9.04 bản dành cho desktop nó đã tích hợp sẵn usb-create cho bạn dùng rồi..
-Một kinh nghiêm như sau : theo mình bạn kiếm một bản live CD của Ubuntu 9.04 sau đó tạo boot cho USB dùng chương trình usb-create ở trên đỡ phải cài Ubuntu ra rồi lại gỡ đi cài centos.
link support nè : https://help.ubuntu.com/community/Installation/FromUSBStick
|
|