• ↓
  • ↑
  • ⇑
 
Записи с темой: freebsd (список заголовков)
20:11 

А вот кому...

... точку доступа на базе FreeBSD? Их есть у меня!
Если у вас (Сам собой, разумеется!) вдруг завелся Домашний Сервер (На FreeBSD, разумеется) - ну там торренты покачать, домашние странички повертеть, интернеты среди домашних пораздавать, ну и прочее разное в меру вашей испорченности - рано или поздно захочется прикнутить к нему wifi (Зачем держать дома два устройства, если можно обойтись одним?) - нуу... мне, по крайней мере, захотелось.
WARNING! Чтение следующего текста может вызвать повреждение неподготовленного мозга!

@темы: FreeBSD, Жизнь

15:49 

Собственный кэширующий DNS-сервер...

... хорошая, а иногда и ОЧЕНЬ хорошая штука. Во первых, он "кэширующий" т.е. запоминающий как позитивные, так и негативные ответы - т.е. при повторном обращении к ресурсу он не тратит ни твое, ни провайдерское ;) время. Во вторых, как правило он "более надежный" - в случае возникновения проблем его проще "перезапустить" или "пофиксить", чем, скажем, упавший провайдерский, да и "классическое" разрешение имен штука весьма и весьма надежная. Ну и в третьих - он собственный - и это тоже не маленький плюс %).
С другой стороны - провайдерские DNS-сервера штука тоже не бесполезная: "при прочих равных" условиях они находятся в "льготной" зоне тарификации, проблем с пингом до них как правило нет, кэш у них не мерянный - так что "при прочих равных" условиях ответ на "первый поиск" они дадут быстрее, ну и просто - некоторые ненатуралы провайдерского роду-племени тупо режут доступ к другим серверам по 53 порту.
Впрочем, "одно другому не мешает" - и вполне можно использовать провайдерский (Или, например, Google Public DNS - 8.8.8.8 и 8.8.4.4 если кто не знал ;)) сервер совместно со своим, прописав его в качестве "dns-forwarder'a", получив, с одной стороны, "полкопеечную" экономию трафика + "четвертькопеечную" экономию по скорости разрешения имен и "повышенную надежность", с другой.
И все бы хорошо, но некоторые ненатуралы провайдеры раздают DNS-серверы с кучей прочей-разной полезной информации через DHCP, после чего resolv.conf надо править ручками, ручками же править named.conf и делать rndc reload. Лениво, да. Впрочем - проект FreeBSD, как и Tefal - "всегда думает о нас!", и в 8.1 в rc.conf'е появилась опция named_auto_forward, которая:
- закидывает сервера из resolv.conf в /etc/namedb/auto_forward_conf, который инклудится в named.conf (Ручками, ага.).
- ставит на первое место в resolv.conf nameserver 127.0.0.1.
- чистит лишнее.
Казалось бы, ля-по-та, но... вот сидите вы в каком-нибудь ТЦ с нехреновой проходимостью народа, админ, "несколько ограниченный" адресным пространством ставит lease time в своем DHCP 10 минут (А то и меньше, да...), и? Ровно через 7 минут dhclient отправит запрос на продление аренды и... перезапишет resolv.conf со всеми нашими forwarder'ами. Или решите вы поднять на втором интерфейсе wifi - ifconfig wlan0 wlandev ... wlanmode sta mode 11g ssid ... country RU еще-что-то-там, dhclient wlan0 up и... см. выше.
Не-до-ра-бо-то-чка. В первом случае еще можно закинуть в dhclient.conf
interface "берем из того же rc.conf'а те, что с DHCP inside " {
supersede domain-name-servers;
}, но что делать во втором? doom'аю квакаю.

@темы: Жизнь, FreeBSD

11:20 

Разжигания межнациональной розни для:

В очередной раз переделываю меню xfce, правлю .desktop-файлы с описанием программ - глаз сам-собой цепляется:
[Desktop Entry]
Encoding=UTF-8
Name=StarDict
Name[ar]=StarDict
Name[cs]=StarDict
Name[de]=StarDict
Name[fr]=StarDict
Name[ga]=StarDict
Name[hr]=StarDict
Name[hu]=StarDict
Name[ku]=StarDict
Name[mk]=StarDict
Name[nl]=StarDict
Name[pt_BR]=StarDict
Name[ru]=StarDict
Name[sk]=StarDict
Name[sv]=StarDict
Name[tr]=Stardict
Name[tt]=StarDict
Name[uk]=Зоряний словник :: StarDict
Name[vi]=StarDict

В остальные файлы даже заглядывать боюсь!

@темы: FreeBSD, Жизнь

16:20 

Закрытия вопроса для:

Скачал последнюю версию драйверов с офсайта. diff показал, что не стоило и возиться - то же самое.
Выпилил из родного Makefile'а uudecode (Ибо нафига? Сама firmware'а вроде как чистый бинарник...), поправил имена файлов + пути. Пересобрал ядро с device firmware
device wpi
device wpifw
device wlan
device wlan_amrr
device wlan_ccmp
Ребутнулся. На удивление - работать стало заметно стабильней - окружение находится максимум, "со второго ребута" - впрочем, 'could not configure bluetooth coexistence', неожиданный обрыв связи при неактивности (Есть мнение, что powersave надо еще и на точке доступа выпиливать, хотя...), и глухой висяк ноута с "последними словами" в логах - wpi: radio switch off я уже словил.
В общем, "есть можно - но на вкус гадость". Во что это все превратиться при добавлении software AP на USB'шной (!) DLINK'овской (!) DWA-125 поверх все той же FreeBSD заранее боюсь представлять. Никакой информации в рекомендованном в 'release notes' к 8.1 (Где поддержка этих самых RALINK'ов и появилась) man 4 run я так и не нашел, разработчик этого (Или не этого? Лень выяснять) run'а для openBSD о перспективе включения режима hostap отозвался матерно в стиле "это была ошибка, больше я ее не повторю", но фрюшники активно 'Call for testers (HOSTAP) run' - и судя по количеству комментов даже кого-то нашли... в общем, не было у Шамана забот, решил Шаман ими обзавестись...

@темы: FreeBSD, Жизнь

16:14 

На выходные взял с собой wi-fi...

... точку доступа и как следует поигрался с беспроводной сетевкой на ноутбуке. Результат м-ммм... двусмысленный, впрочем - обо всем по порядку.
После загрузки (Ибо нефиг вкомпиливать всякое отключаемое в ядро) соответствующего (if_wpi, если кому интересно) модуля сетевка вполне определилась:
wpi0: mem 0xfa000000-0xfa000fff irq 18 at device 0.0 on pci8
wpi0: Driver Revision 20071127
wpi0: Hardware Revision (0x1)

но работать отказалась. man дал наводку, что ей, зарразе, окромя себя самой еще device firmware и собственно firmware в виде kernel-модуля wpifw нужны. ОК, не проблема - грузим то и другое с помощью kldload'a, создаем сетевуху через ifconfig (Да-да, это 8-ка, сынок!):
ifconfig wlan0 create wlandev wpi0 wlanmode sta mode 11g up
- в логах видим фигу. Вернее,
wpifw: You need to read the LICENSE file in /usr/share/doc/legal/intel_wpi/.
wpifw: If you agree with the license, set legal.intel_wpi.license_ack=1 in /boot/loader.conf.
Гхым. Странно, вообще-то, ну - надо, так надо!
Добавляем, ребутим, запускаем... вроде ок. wpi0 asssociated, wlan0 - no carrier, логично.
ifconfig wlan0 scan - висяк.
В логи - wpi0: could not configure bluetooth coexistence.
Л-ладно. Лезем в БИОС, отключаем блютус (Ибо, один хрен, не пользуемся).
Повторяем... тот же висяк.
В логи? wpi0: could not set power mode.
Ытить! kldunload if_wpi; kldload if_wpi; ifconfig ...
Сканирует! Ребут-повтор... авотхрен. Еще два разА... опять сканирует. Ребут, повтор... scan играет в партизана, а вот list scan все очень даже пишет.
Шо за нефиг? Не понятно. Гружу wlan_ccmp, запускаю wpa_supplicant - не может найти WPA-enabled точку доступа. Ребут, лоад-анлоад, wpa_supplicant -dd ... куча отладки и установленное соединение. Получаю с точки адрес, начинаю ее пинговать. Нормально... но на примерно 1400 пингах соединение рвется "без объяснения причин" - wlan0 associated, wpa_supplicant молчит, а пинги не идут. up/down, рестарт wpa_supplicant - еще полторы тысячи пингов. Мнда. Не весело. Продолжаю курить ifconfig, нахожу опцию '-powersave' и содинение пашет 6 часов без перерыва. Норм? Ну, вроде...
Запускаю утром - тут тебе и bluetooth coexistance, и power mode, и device timeout до кучи... Неее, нам такого не нужно.
Смотрим разработчика драйвера в man'ах: damien.bergamini@free.fr, лезем на сайт - damien.bergamini.free.fr - новые дрова есть, но - сюрприз-сюрприз! Для openbsd. Firmware ажно версии 3.2 супротив имеющейся в /usr/src/sys/contrib/dev/wpi/ iwlwifi-3945-2.14.4.fw.uu. Надо только собрать, ага. Качаем-распаковываем... ага, ага. Makefile'а нету. Берем родной из /usr/src/sys/modules/wpifw/, правим пути с именами файлов и с четвертой попытки что-то там даже собирается. Копируем, ребутим (На всякий случАй с poweroff'ом!) грузим... один хрен, не работает - или вернее, работает тем же манИром. Если удается завести - пашет без проблем, но запускается "с толкача" путем неведома Шаманства. Что характерно - на работе вполне себе с первого раза грузится и даже находит какие-то точки доступа.
В общем, будем еще посмотреть, да.

@темы: FreeBSD, Жизнь

15:26 

Как известно читаетелям этого дневника...

... FreeBSD 8.1 с обещанной 14ой версией ZFS уже вышла, ergo - надо пробовать реализацию ZFS acl. (get|set)facl работают, но особой радости не несут (Есть и есть. Работают и работают ;)) - расписывать с их помощью списки контроля доступа в работающих системах немалых размеров мало кому хочется, GUI'ёк бы прикрутить... Партия сказала "надо!" - народ ответил "Есть!" - вернее, была такая буква в smb.conf'е - Ны-ты А-Цы-Ель суппорт, вот. Была, да - вот только работала она с POSIX-acl, а в zfs у нас nfsv4, проверяем - закономерно НЕ работает. Смотрим в man - видим, что удивительно, фигу. Ни слова про zfs (Впрочем, и с чего бы? Тут нам samba'у описывают, а не BDSMSD'шную реализацию zfs :)).
Странно, странно. Смотрим в сторону "соседей", которые с ZFS'ом живут мал-мала больше нас - как там это в солярке устроено? Ага. Они с ней работают с помощью модуля vfs_zfsacl. Удивительно, но такой модуль у нас есть. "Чужой", правда. Впрочем, сделать его "своим" судя по официальной wiki не так уж сложно:
cd /usr/ports/net/samba34
make extract
find ./work -exec sed -i "" "s/<sys\/acl.h>/<sunacl.h>/g" {} \;
make config
Ставим "с экспериментальными модулями", компилим... авотхрен. Остальные модули собрались, а vfs_zfsacl - нет. Гхым... смотрим в Makefile |grep zfsacl - а нету! Ну, нету - будет, находим в Makefile'е WANT_EXP_MODULES+= и добавляем vfs_zfsacl в конец списка. Чистим-едитим-собираем-ставим - ок.
Ковыряем smb.conf: WORKGROUP, REALM, security = ads и прочая-разное. Тривиально. Доходим до описания share'ы:
докидываем туда
vfs objects = zfsacl
nfs4:mode = special
nfs4:acedup = merge
nfs4:chown = yes
Если чо - "мопед не мой", я все это стырил из соляркиного конфига, без раскурёжки тамошних man'ов :shuffle:
Отключаем наследование acl (У zfs свои возможности)
inherit acls = no
Создаем zfs filesystem:
zfs create -o mountpoint=/путь пул/система
zfs set aclmode=passthrough пул/система
zfs set aclinherit=passthrough пул/система
Запускаем samba'у - ошибок нет, вроде работает.
Заходим с виндуёчков, лезем в свойства папки... система ругается на неправильный порядок следования опций и предлагает "все-все исправить", соглашаемся, докидываем права для доменных пользователей, применяем-сохраняем, смотрим getfacl'ом из консоли - ага. Применилось. Докидываем setfacl'ом нового пользователя с правами, проверяем из windows - тоже пашет. Уф!

@темы: FreeBSD, Работа

16:17 

Неожиданно...

... почти без проблем настроил bluetooth. Встроенный BT-адаптер ожидаемо (Черте-что-и-с-боку-бантик. В виндах работал с помощью toshiba bluetooth stack) не определился, а вот встроенный - заработал пусть и не с первого раза - косячило само определение USB-устройства, после того, как отключил от USB телефонную зарядку все пришло в норму. /etc/rc.d/bluetooth start ubt0 - не работал, пока я не скопировал /etc/defaults/bluetooth.device.conf и не раскоментировал в нем всякое-разное. Больше расхождений с handbook'ом не было.

@темы: FreeBSD

13:39 

Не ладно что-то в датском королевстве

Или nmap как-то м-ммм... страннохреново работает. FreeBSD 7.3 i386, nmap 5.21:
nmap -sP 192.168.x.x/24 - выдает список хостов, сам себя не находит
sudo nmap -sP 192.168.x.x/24 - выдает только сам себя (Запуск от root'а - та же фигня)
sudo nmap -sP 192.168.x.x/24 -oN /dev/null - выдает список хостов, включая себя.
ОК, ставим nmap 5.31 из портов:
nmap -sP 192.168.x.x/24 - за две секунды выдает список хостов
sudo nmap -sP 192.168.x.x/24 - дает тот же список но за 30+ секунд
ЧТЯДТ?! Не запускать же его внутри скрипта, в самом деле, через sudo от имени обычного юзверя, а?

@темы: FreeBSD, Работа

15:50 

Основной прикол с ручным созданием...

... browse.dat'а
"DC1" 408c9b0b "Domain controller for WORKGROUP" "WORKGROUP"
"IBM11-9" 40011203 "Штрахер" "WORKGROUP"
не второе поле - "код" (Вроде-как-уникальный, но хрен поймешь для чего нужный )), а третье - "комментарий", ради которого, вроде как, весь сыр-бор и загорелся. Как _задать_ его для каждого конкретного компа понятно ("Computer description" в Windows или server string ="" в samba'е), а вот как его _получить_? Вопро-оооос! Вдумчивая курежка man'ов к утилитам samba suit'а к результату не привела, гугль тоже не спас - пришлось воспользоваться Методом Научного Тыка. Description вполне себе выдает smbtree - но! берет он его как раз из browse.dat'а ;), или с broadcast'а - о чем выше ). Smbclient + smbutil его вообще не видят. Зато rpcclient с параметром -c srvinfo host выдает нечто-то вроде:
IBM1-3 Wk Sv NT PtB Валентина Антоновна Каб-1 Комп-3
platform_id : 500
os version : 5.1
server type : 0x11003
что вполне потрошится тем же ex'ом (Sed + awk не знаю, и, как следствие, не люблю ;)) до нужного состояния.

@темы: FreeBSD, Работа

11:23 

И почему героически поборов одни...

... грабли тут же встаешь на другие, а? SAMBA PDC, master browser, local browser - все чин-чинарем, выборы выигрывает, клиентам светится, сетку выдает... первые 20 минут даже всю, а потом комп за компом из "сетевого окружения" исчезают. smbtree генерит список не то, чтобы полный - но более сущесвенный, нежели получают винды, nmblookup -b '*' показывает 3 компа, зато запущенный "по следам" nmap'a через тот же broadcast четко резолвит имена всех активных хостов в сети, browser.dat регулярно обновляется и содержит тот же список, что получают клиенты, dhcp+ddns настроены и работают, тот же nmap резолвит все и всех ). Гугль находит толпу (Ну хорошо, не "толпу" - "с пяток") страдальцев с той же бедой, но ответа не дает.
Постепенно прихожу к мысли заполнять browse.dat ручками по результату того же nmap'а, благо формат у него простой - но это какой-то совсем уж непотребный костыль выйдет... :shuffle:
Будем надеяться, что утро вечера поумнее, и понедельник будет не только "тяжелым", но и "результативным" днем!

@темы: FreeBSD, Работа

11:15 

Эх, не знали создатели named...

... что "явное лучше неявного"(С), не дождались рождения языка Python ;), иначе не стали бы _неявным_ образом устанавливать значение allow-recursion в { localhost; localnet; };. А так - named запускается при старте системы, когда ни о каких ng*-интерфейсах (Создаются "по требованию", ага) еще и речи нет, о VPN-сети он нифига не знает, и рекурсивно запросы разрешать отказывается - nslookup-то справляется (МОЛЧА!), а вот gethostbyname уже не проходит.
Зато DIG с любимой BSD'шечки молчать отказывается, и честно заявляет, что за авторитетным ответом - вот по этому реффералу :) - дальше man + vi named.conf + rndc reload и все ОК.

@темы: FreeBSD, Работа

10:13 

Еще немного о SAMBA'е...

... в качестве PDC. Bydefault'но samba пред(по)лагает использование roaming-профилей с указанием секции [homes] в smb.conf'е, раздачей домашних папок с соответствующими правами доступа (pam_mkhomedir спасает, если что ;)) и прочими радостями жизни, что нафиг никому не сдалось (Учитывая неискоренимую привычку большинства юзверей хранить стопицот фильмов, песен, фоточег и прочей фигни на рабочем столе). Есть проблЭма? Есть решение! man smb.conf называется :).
Читаем:
logon path blah-blah-blah Disable the use of roaming profiles by setting the value of this parameter to the empty string. For example, logon path = "".(C) Угу. Только не работает. Впрочем - и не должно, т.к. настройки в smb.conf'е перекрываются данными из "профиля пользователя" в tdb-backend'е а пользователи уже созданы. ОК. pdbedit -L -v, смотрим - ага, так и есть, logon path задан. pdbedit -r -u user -p "", проверяем... не-а. не работает. Странно. Гугль гугль ты могуч... ага, нас таких страдальцев до и больше - надо внимательней читать man'ы: "Warning Do not quote the value. Setting this as "\\%N\profile\%U" will break profile handling."(С) там же. Тут квотим, тут не квотим, там селедку завернули empty string обозначили... pdbedit -r -u user -p '' - и все работает. В smb.conf'е пишем просто logon path = - и все тоже работает!

@темы: FreeBSD, Работа

16:18 

Рабочее, матерное.

Какой трижды ...!!! сукин сын в мелкоцопте придумал скрывать панель "параметров" до нажатия кнопки ALT??? Почти час искал adapters&bindings! Найду - убью, в общем.

@темы: FreeBSD, Работа

14:13 

А мужики-то не знали!

Оказывается, в SAMBA'е еще со времен 3.0.11 появилась возможность делегировать управление и root'а маппить в samba-пользователя уже не надо - достаточно сделать net rpc rights list
и раздать соответствующие права из списка
SeMachineAccountPrivilege Add machines to domain
SeTakeOwnershipPrivilege Take ownership of files or other objects
SeBackupPrivilege Back up files and directories
SeRestorePrivilege Restore files and directories
SeRemoteShutdownPrivilege Force shutdown from a remote system
SePrintOperatorPrivilege Manage printers
SeAddUsersPrivilege Add users and groups to the domain
SeDiskOperatorPrivilege Manage disk shares
при помощи net rpc rights grant пользователь|группа <права> и будет у нас свое казино с блэк-джеком и шлюхами, a.k.a. NT4 Domain, управляемый "виндовыми" пользователями ))).

@темы: FreeBSD, Работа

14:12 

Окрошка:

Во времена оны плакался я, что в 8-ке, дескать, fdisk с bsdlabel'ом как-то "не так не работают" - что могу сказать сейчас? "Зато мы делаем танки!" Зато в 8.1 хорошо работает gpart, так что поднять поверх gmirror'а (mirror'им диски целиком) gjournal (С отдельным разделом под журнал) удалось без всяких танцев-с-бубнами и костылей, с первого захода, аминь, аминь, аминь.
С Б-жьей и Старших Товарищей помощью разрешился вопрос с триждыдолбанным KMS - данные его внутреннего LDAP'а вполне себе edit'ятся, но... ЧЕРЕЗ WEB-INTERFACE only ну или там через MS Аутглюк из-под админ-юзера (Кто, ну скажите мне, кто настраивает почту для admin-user'а?) !!! Повбывал бы, ей-ктулху.
Отдельные лучи поноса Intel'у - три пересборки ядра FreeBSD + полдня танцев-с-бубном прежде, чем выяснилось, что DG41CN AHCI НЕ поддерживает. Абыдна, да - 'device ahci' + 'opions ATA_CAM' мне, в общем-то, понравились...
Ах, да - еще себе в копилочку - практически случайно нашелся отличный (На первый взгляд!) эмулятор терминала - termit. Умеет работать с tab'ами, менять кодировку и... и больше ничего ). Из всех зависимостей - только что-то GTK'шное (Виджеты для терминала, вроде бы) - на вид именно то, что надо...

@темы: FreeBSD, Работа

16:29 

Я это самое...

... "десятиногое ракообразное". Криведко, в смысле. Решил поднять "собственное казино с блэк-джеком и шлюхами" собственный W2003SR2 для разбирательств с RADIUS'ом в тихих домашних условиях. Создаю VM'ку на virtualbox'е через консоль:
VboxManage createvm WSERVER --ostype Windows2003 --remember
VBoxManage modifyvm WSERVER --memory 2048 --acpi on --ioapic on --cpus 1 --hwvirtex on --hwvirtexecl on --boot1 dvd --boot2 disk --boot3 none --boot4 none --nic1 hostonly --hostonlyadapter1 vboxnet0
VBoxManage createhd --filename ./VHD/server.vhd --size 20 --remember
VBoxManage storagectl WSERVER --name hdd0 --add sata
VBoxManage storageattach WSERVER --storagectl hdd0 --port 0 --device 0 --type disk --medium ./VHD/server.vhd
VBoxManage storageattach WSERVER --storagectl hdd0 --port 1 --device 1 --type dvd --medium host:cd0
Буй! Не могу, говорит, приаттачить к данному контроллеру. К НЕданному scsi, например - тоже не смог. А вот к ide - самое оно.
VBoxManage storagectl WSERVER --name hdd1 --add ide
VBoxManage storageattach WSERVER --storagectl hdd1 --port 0 --device 0 --type dvd --medium host:cd0
Да, кстати, если кому интересно, чтобы подключить host drive во FreeBSD (И, наверное, не только ;)) нужно воткнуть atapicam, и раздать права на файлы устройств - закинуть юзера в группу operators и отредактировать devfs.conf, чтобы права раздавались при создании файлов
VBoxHeadless -s WSERVER -n -o - Запускаем!
Все хорошо, только демонстрационный диск с 2003 сервером не видится. Хм. Ставлю диск с Frenzy (LiveCD на базе Freebsd. заточенный под системное администрированике) - грузится. ЗАГОВОР! Ок, вынимаю диск - No bootable medium found
Дропаю VBoxHeadless, ставлю другой диск - то же самое. Монтирую образ - никак. Редактирую машинку, меняю контроллеры, танцую с бубном... ну НИКАК и все. Уже и DELAY на биосе в VB поменял, и тип меню сменил, и все что можно поотключал... полдня убил.
Потом цепляю в очередной раз VBoxHeadless с паролем "1" (Задолбало сто раз нормальное нечто вводить!)... а он меня с ним не пускает! Со старым... есть. Это жжж! не спроста! Смотрю в процессах... с-зззараза! VBoxHeadless, оказывается, только от консоли отвалился, а не дропнулся к чертям собачьим, как ему требовалось - в результате я полсуток коннектился к одной и той же машине!!! ЛЕЖАЩЕЙ машине, заметим.
Дропнул в процессах VBoxHeadless, запустил по новой - работает! Океюшки, живем!

@темы: FreeBSD, Работа

16:15 

Продолжение RADIUS'ной...

... истории. В логах периодически всплывает rad_init_send_request Failed: sendto -1: Permission denied. Такое ощущение, что он тупо не может создать сокет по одной из двух причин - либо IPADDR_ANY конфликтует с имеющимся в системе Jail'ом (Ну-ууу... вряд ли. Я бы понял, если бы jail не поднимался, или если бы все происходило изнутри jail'a - но в host-системе?), либо сокет пытается прибиндиться к одному из protected-портов sin_port=htons(0) - что тоже вряд ли, ибо mpd5 стартует все-таки от root'а...
Надо навтыкать всякого-разного debug'а в radlib.c и пересобрать mpd - но делать это на рабочей машине в рабочее же время как-то... не хочется. Впрочем, можно попробовать сменить destdir у порта и поставить еще одну версию... буду думать дальше.

@темы: FreeBSD, Работа

16:11 

Очередные грабли

FreeBSD 8.1. mpd 5.5. l2tp. Настроено. Работает. Вести mpd.secret достаточно быстро достает ;) решаю настроить аутентификацию через RADIUS.
На Windows 2003R2 с DC (Дети, НЕ ДЕЛАЙТЕ так! DC и RADIUS на одном компе - решение для нищебродов ;)) поднимаю IAS. Создаю клиента RADIUS, задаю shared secret, включаю подпись запросов, создаю политику доступа, применяю по nas_ip_address и nas_id, разрешаю доступ. В аттрибутах пользователя включаю все, что нужно ;).
Перехожу к mpd:
set radius config /usr/local/etc/radius.conf (Ибо нефиг палить пароли в конфигах ))
set auth enable radius-auth
set radius me
set radius identifier
set radius enable message-authentic
Перезапускаю, ломлюсь - фигу. В логах виндей - "неправильная подпись". ОК, снимаю галку с требованием подписи и выпиливаю message-authentic, а вот дальше начинается СТРАННОЕ.
В виндах - все ОК, юзверю разрешен доступ. tcpdump показывает, что ответ от IAS'a вполне себе прилетает, а в логах mpd - "No valid RADIUS response". Ага, думаю. Дело в радиус-атрибутах! Смотрю в доки по mpd - и впрямь, Framed-Protocol в respons'e нифига не поддерживается, а MS гордо шлет 'PPP'. ОК, выпиливаю нафиг все доп. атрибуты RADIUS'а в политике IAS'а. По tcpdump'у и впрямь видно, что ничего лишнего не шлется... вроде как. Результат тот же самый.
Многа думаю.

@темы: Работа, FreeBSD

14:08 

Не так давно...

...возмущался я головожопостью отдельных представителей роду-племени одминского. Так вот, судя по всему - зря. Это не "он дурак", это мода такая. Гнездо, ага. Оказывается, есть на бескрайних просторах нашей родины ПРОВАЙДЕР, который поступает ровно таким образом: выдает каждому клиенту БЕЛЫЙ IP-адрес из пренадлежащего ему пула, прописывает (Ручками, ОГА - какой-такой Dynamic Hosts Configuration Protocol, о чем это вы? Мы тут программку на Delphi'ях нарисовали, она все-все сама сделает! Ах, да! Для Кор-по-ра-тив-ных клиентов мы можем предоставить 130 D-Link!) DNS + пяток маршрутов (До DNS'а, PPTP-Access Concentrator'ов и пр) - а потом поднимает PPTP-туннель, выдает новый IPшник и NAT'ит весь трафик через новый же шлюз. Profit!
А то, что до этих самых "белых" IP-шников нельзя достучаться извне, то, что долбанный NAT знать не знает и знать не хочет о всяких-разных PPTP/L2TP/IPSec pass-through, то, что дебужить эту ситуацию со стороны чистейшей воды сю-ууур! - это такие, право, мелочи... "Работает же все!"(Ц) Воистину, более мммм... своеобразных решений я еще не видел.

Ну и как обычно, о вечном. Очередные грабли - nmap не больно-то дружит с ngX интерфейсами. Из-под юзера nmap - ок. Делаем nmap -sS - даешь повышение привелегий. Запускаем nmap от root'а... упс!
WARNING: Unable to find appropriate route to ...
ifconfig + netstat -nr - все ОК, роуты есть, интерфейс жив. ping - есть. А вот работать отказывается.
Попытка скормить nmap'у нужный интерфейс при помощи -e ngX успехом так же не увенчалась. Гугль, тоже не обрадовал - мол, да, глюк есть, вроде как есть даже патч - но... с 2006 так и не принят. Абыдна, вай!

@настроение: Повбывал бы!

@темы: FreeBSD, Жизнь, Работа

13:52 

На...

... невесть каком дне дошли руки прикрутить к фрюхе flash - традицьённым способом, через эмуляцию linux + nspluginwrapper. В процессе "внезапно"(ТМ) выяснилось, что для LINUXULATOR'а кроме options COMPAT_FREEBSD32 и options COMPAT_LINUX32 (Что, в общем-то логично) нужен еще options COMPAT_FREEBSD7 о чем ни одна зар-раза во всем гугле ни словом не обмолвилась, а если учесть, что при сборке ядра я предпочитаю выпиливать все "ненужное"... в общем, собиралось оно весь вечер да еще полночи методом "околонаучного тыка" (С четвертой попытки угадал, однако!). На этом фоне "стаслые и ужаслые" предупреждения о том, что в linux-f10-pango "есть известные уязвимости" можно и вовсе не упоминать ).
Заодним, "чтоб два раза не ходить", выпилил из ядра поддержку АТА-устройств, заменив все на device ahci + options ATA_CAM. Погорячился, разумеется - SATA'шный винт работает краше прежнего (NCQ включено, ага. На паре find'ов + make index даже заметно... вроде как), а вот IDE'шный ноутбучный CDROM того... потерялся. Пришлось пересобирать ядро еще раз, добавив туда device atacore, device atapci и device atapicam (Унфикации для ;)).
Еще из маленких, но ОЧЕНЬ приятных бонусов - options VESA + options SC_PIXEL_MODE для amd64 архитектуры. В 8.0, насколько я помню, не было, а в 8.1 - от оно, "1280хсколько-то в консоли - это реально!" или "Зачем нам X'ы? Наc и так неплохо кормят! mplayer в VESA вполне даже смотрится, дас-ссс...
Из НЕприятного - в очередной раз (ТМ) попробовал собрать X'ы с HAL'ом и DBUS'ом. Не-а. Один черт, "налысо не нравится - стриги "под канадку". Система "потеряла" USB'шную беспроводную мышь - lshal показывает ресивер, а остальное - хрен вам. Вроде в прошлый раз такой траблы не было... ну или мне было сильно не до нее )))

@настроение: А в остальном, прекрасная маркиза...

@темы: FreeBSD, Жизнь

Танец-с-саблями на граблях

главная