• ↓
  • ↑
  • ⇑
 
Записи с темой: Работа (список заголовков)
18:44 

Бездны, просто бездны открываются...

... при попытках заполнить лакуны в собственных знаниях. Всю IT'шную жизнь пользовался я самоподписаннымисгенеренными RSA-сертификатами и горя не знал - понадобилось мне установить защищенное соединение - получил сертификат сервера, проверил его подлинность при помощи полученного из другого источника (В нормальном случае, ага) корневого сертификата + crl'я, согласовал параметры безопасности, наrandom'ил нужной длинный симметричный ключик, зашифровал его публичным ключом сервера да и заслал обратно - ляпота!
Работает, правда, rsa не так, чтоб быстро (Ну-да у меня высоконагруженных проектов и нет) и \шепотом\ говорят что с безопасностью у него проблемы, старый он и ваааще... - в общем, решил я познакомиться с забугорным Digital Signature Standart'ом, который вроде как "пришел на смену".
На первый взгляд - "что там "знакомиться", наливай да пей!" - в смысле юзай вместо openssl rsa openssl dsa и в путь! Сгенерил-запустил - не вышел каменный цветок у Данилы-мастера. Решил почитать что цэ такэ - тут-то бездны и открылись!
Оказывается, DSA, лежащий в основе DSS служит только и исключительно для _цифровой подписи_ сообщения, но никак не для шифрования его содержимого. Т.е. получить сертификат сервера, проверить его подлинность при помощи корневого сертификата ты еще можешь, а вот зашифровать наrandom'ленный симметричный ключ - фиг! Для этой цели нужен или Ха! Ха! Ха! RSA-ключик (Локи, а НАФИГА?!?), или Тадам! - файл параметров diffe-hellman'а, с помощью которого (При условии гарантии неизменности пересылаемых друг-другу сообщений) можно безопасно согласовать ключевую информацию. Вместо одного геморроя - два, ага. Кроме собственно ключей с сертификатами надо еще dhparams генерить.

Мнда. Осталось только дотумкать, как этот процесс в прикладные программы запихнуть и - "еще одна зарубка на приклад"... :shuffle:

@темы: Работа

19:30 

Первый раз в жизни...

... столкнулся с железкой (ADSL-модем+router+DHCP-сервер+еще-чего-изволите), которая _не держит_ настроек после выключения питания. "Сюрприз-сюрприз!", ага. Бывает, оказывается и не такое.
Особую прелесссть происшедшему придал тот факт, что дефолтовые настройки железки совпадают с подсетью, которую использует центральный офис - а задачка ставилась именно что настроить "работу-из-дома"...

@темы: Работа

15:26 

Как известно читаетелям этого дневника...

... FreeBSD 8.1 с обещанной 14ой версией ZFS уже вышла, ergo - надо пробовать реализацию ZFS acl. (get|set)facl работают, но особой радости не несут (Есть и есть. Работают и работают ;)) - расписывать с их помощью списки контроля доступа в работающих системах немалых размеров мало кому хочется, GUI'ёк бы прикрутить... Партия сказала "надо!" - народ ответил "Есть!" - вернее, была такая буква в smb.conf'е - Ны-ты А-Цы-Ель суппорт, вот. Была, да - вот только работала она с POSIX-acl, а в zfs у нас nfsv4, проверяем - закономерно НЕ работает. Смотрим в man - видим, что удивительно, фигу. Ни слова про zfs (Впрочем, и с чего бы? Тут нам samba'у описывают, а не BDSMSD'шную реализацию zfs :)).
Странно, странно. Смотрим в сторону "соседей", которые с ZFS'ом живут мал-мала больше нас - как там это в солярке устроено? Ага. Они с ней работают с помощью модуля vfs_zfsacl. Удивительно, но такой модуль у нас есть. "Чужой", правда. Впрочем, сделать его "своим" судя по официальной wiki не так уж сложно:
cd /usr/ports/net/samba34
make extract
find ./work -exec sed -i "" "s/<sys\/acl.h>/<sunacl.h>/g" {} \;
make config
Ставим "с экспериментальными модулями", компилим... авотхрен. Остальные модули собрались, а vfs_zfsacl - нет. Гхым... смотрим в Makefile |grep zfsacl - а нету! Ну, нету - будет, находим в Makefile'е WANT_EXP_MODULES+= и добавляем vfs_zfsacl в конец списка. Чистим-едитим-собираем-ставим - ок.
Ковыряем smb.conf: WORKGROUP, REALM, security = ads и прочая-разное. Тривиально. Доходим до описания share'ы:
докидываем туда
vfs objects = zfsacl
nfs4:mode = special
nfs4:acedup = merge
nfs4:chown = yes
Если чо - "мопед не мой", я все это стырил из соляркиного конфига, без раскурёжки тамошних man'ов :shuffle:
Отключаем наследование acl (У zfs свои возможности)
inherit acls = no
Создаем zfs filesystem:
zfs create -o mountpoint=/путь пул/система
zfs set aclmode=passthrough пул/система
zfs set aclinherit=passthrough пул/система
Запускаем samba'у - ошибок нет, вроде работает.
Заходим с виндуёчков, лезем в свойства папки... система ругается на неправильный порядок следования опций и предлагает "все-все исправить", соглашаемся, докидываем права для доменных пользователей, применяем-сохраняем, смотрим getfacl'ом из консоли - ага. Применилось. Докидываем setfacl'ом нового пользователя с правами, проверяем из windows - тоже пашет. Уф!

@темы: FreeBSD, Работа

15:54 

То ли я очень...

... "медленный газ", то ли GOOGLE покусал adobe, но внезапно! выяснилось, что Adobe Flash Player под эти самые ваши виндуёчки стал ставиться с помощью internet-installer'а - правда, в отличие от Chrome'а, adobe'вский установщик спустя минут пять долбежки в закрытый 80 порт догадался - proxy!, причем догадался не в смысле "прочитал IE-proxy settings", а православно(ТМ) спросил на этот счет меня. Еще через минуту долбежки в proxy с вдумчивым чтением "Proxy authentication required" новомодный инста(б)лятор допетрил до идеи спросить насчет имени пользователя и пароля - алилуйя! Правда "по дефолту" этот софтовыродок решил "обогатить" меня еще и McAfee вирус сканом, но от предложенной чести удалось отбоярится.
Еще одна внезапно! обнаруженная программистская тенденция - хроническое неумениенежелание работать с _собственными_ программными продуктами предыдущих версий. Например, "мастер переноса файлов и параметров" из windows всемь сюрприз-сюрприз! вусмерть не хочет признавать продукты жизнедеятельности своего тезки из windows XP. Однак контора. Один программный продукт. Насквозь известный, _собственный же_ формат переноса. А - не умеет, и все тут. Мол, с помощью мастера создайте специяльную флешку, с этой флешкой придите на XP'шку, создайте файл для переноса, передайте его обратно... ну и кто они все после этого? На этом фоне ситуация с переносом history из этого вашего qip'чика в infium кажется просто детскими шалостями (Пааадууумаишь, стопицот версий отдельной программы для конвертации "х" в "у", экие, право, мелочи!). Какой, прости оссподи, ди-зай-нер придумал изменить формат хранения логов из plaintext'а в "куда-то еще" - Б-г весть, но - изменили. Впрочем... "не больно то и хотелось", ибо "богатство" встроенных средств обработки текстов вынь дос'я просто поражает воображение неподготовленного пользователя
Ну и последнее (Надеюсь!) понедельничное - пробовали ли вы организовать ротацию логов или там backup'ов в windows? И не пробуйте, моск целее будет. Простейшая операция "ищем все файлы старше n дней и удаяем" превращается... превращается... превращается... ну, вы поняли. Единственная найденная при беглом осмотре команда, "вроде как согласная" работать с датой создания файла - xcopy, занимается не удалением, а копированием файла, и все бы ничего (Копирнем в темпачок и вытрем по самую папОчку, коли нужно), но - дату ей нужно указать явным образом, а заниматься вычитанием n дней из элементов текущей даты в формате dd:mm:yy как-то... не хочется. В resource kit'е обнаружилась программка forfiles - "наш ответ find'у" с традиционно уежищным синтаксисом и "богатством возможностей", но установка этого самого kit'а на 2003+ да еще не дай Б-г x64 - опять же, нунафик... В общем, проще всего оказалось собрать cygwin с findutils'ами + выдрать из них собственно GNU'тый find + cygwin1.dll и решить раком стоящую задачу в привычном стиле:
find /путь -Btime 5d -delete
Не желающим вошкаться с cygwin'ом можно посоветовать глянуть в сторону unxutils (findutils в него входит, но о x64 придется забыть) или mingw (Бонусом - потенциальная возможность статической линковки в один exe-шник).

@темы: Работа

15:59 

До утки...

... через неделю.
В смысле, спустя два года успешного (Вроде как!) использования sysinternals suit'а я внезапно!обнаружил наличие в нем программы psexec, позволяющей "выполнять произвольный код на целевой машине"(Ц) :). Единственное, что несколько омрачает мою радость - аутентификация по пользователю-паролю, *nix'овый вариант с ssh + (r|d)sa key как-то того... кошерней правда его генерить-дистрибьютить надо.

P.S. Нет, не единственная. Еще "доставляет" гнусноубогость MS'овской консоли. Собираю cygwin.

@темы: Работа

14:27 

Не только о Google...

... или "я не люблю". Есть в современном windoсофтостроении несколько тенденций, которые мне ну оч-чень активно не нравятся, и эн-ная их часть "удачно" воплотилась в google chrome.
Вот например, скажите мне, что за ди-зай-нер придумал "online-installer'ы", а? Нет, я знаю, что не google'вцы (Первый раз столкнулся в исполнении MS при попытке установить net.framework), но все же? А что мне делать, если "вот прям щаз" интернета нет, м? А если эту м-мммуйнюшку надо воткнуть на стопицот компов сразу? От только нинада рассказывать про "кэш прокси", ибо нормальной (НЕ ntlm, и не "с помощью авторизатора") аутентификации на прозрачном прокси я почитай что и не видел, а с прокси классическими эти м-ммм... "продукты творчества" работать как правило не умеют (Видимо, basic-аутентификация Слишком Новая Технология, ага).
А эта "новая" политика обновлений? "Кручу-верчу, обмануть хочу", что-то там шуршу, туда-сюда посылаю, а потом упс! Перегрузись, и будет тебе "зашибись". Или не будет, ага. Не-ееет, нормальное ПО должно обновляться по требованию, ИЛИ уведомлять пользователя о выходе обновлений по _заданному пользователем-же_ расписанию (Желательно при этом еще и changelog показывать, да...), остальное - гнусная ересь. Жужель апдейт с её новой "политикой конфиденциальности" - "великое нестроение".
Дурная привычка пользоваться настроками ё-моё и вовсе, ни в какие ворота не лезет. Мало того, что ничего хорошего от этого самого осла ждать по определению не следует ;), так и возможности это ограничивает очень и очень сильно. А что если я хочу потестировать настройки фильтра на прокси, для чего запускаю еще один экземпляр squid'а на нестандартном порту? А что если я хочу воспользоваться tor'ом? Анонимайзером? Баннер-фильтром (Для chrome'а вполне себе актуально)? "Ищите другой браузер".
Отсутствие (Или уже прикрутили? :)) plugin'ов - скорее плюс (Все же браузер это именно _браузер_, а то, что некоторые девАчки умудряются сделать из IE или FF - приличными словами и не охарактеризуешь), но общая бедность настроек - никуда не годится. Кнопка "сделай мне зашибись" НЕ РАБОТАЕТ. Никогда. Люди - они разные, и потребности у них тоже того... различаются.
В общем, впечатление от подобного рода софтин - неплохо "поиграться дома", но "мы таких в коммунизм не возьмем!" в корпоративе подобному софту делать решительно нечего.

@темы: Вендекапец!, Работа

13:39 

Не ладно что-то в датском королевстве

Или nmap как-то м-ммм... страннохреново работает. FreeBSD 7.3 i386, nmap 5.21:
nmap -sP 192.168.x.x/24 - выдает список хостов, сам себя не находит
sudo nmap -sP 192.168.x.x/24 - выдает только сам себя (Запуск от root'а - та же фигня)
sudo nmap -sP 192.168.x.x/24 -oN /dev/null - выдает список хостов, включая себя.
ОК, ставим nmap 5.31 из портов:
nmap -sP 192.168.x.x/24 - за две секунды выдает список хостов
sudo nmap -sP 192.168.x.x/24 - дает тот же список но за 30+ секунд
ЧТЯДТ?! Не запускать же его внутри скрипта, в самом деле, через sudo от имени обычного юзверя, а?

@темы: FreeBSD, Работа

10:06 

Шок - это по нашему!

Звонит девочка-менеджер из удаленного офиса одного из клиентов и просит проконсультировать по личному вопросу:
"У меня дома LCD-монитор накрылся, скорее всего - дроссель, он перед окончательной смертью так характерно свистел, а теперь подсветка не работает, но матрица жива - если фонариком сбоку подсветить - все видно. Что с ним можно сделать, а?"

@настроение: Чувствую себя "офисным планктоном" ))

@темы: Работа, Жизнь

16:16 

Есть у М-софта замечательная штука...

... WSUS называется. "Свое казино с блэк-джеком и шлюхами", ага. Сервер обновлений windows для своей сети. Вещь можно сказать, незаменимая.
Вот только с прокси-с-аутентификацией работать не умеет, хоть и притворяется ;). Возможность использовать прокси для синхронизации есть, и возможность эта даже работает, а вот собственно _закачка_ одобренных обновлений осуществляется "фоновой интеллектуальной службой передачи" a.k.a. BITS, которая настолько "интеллектуальна", что аутентифицироваться на проксюке не умеет. Сюрпри-иииз! Велосипед похож на настоящий, но не работает, с чем его и поздравляю. Пришлось рисовать отдельный экземпляр прокси с отключенной аутентификацией и ограничением доступа по source-адресу WSUS'а и destination url *().microsoft.com (Там туева хуча адресов, по которым он _может_ ломиться).
В очередной раз шлю лучи поноса по известному адресу.

@темы: Работа

15:50 

Основной прикол с ручным созданием...

... browse.dat'а
"DC1" 408c9b0b "Domain controller for WORKGROUP" "WORKGROUP"
"IBM11-9" 40011203 "Штрахер" "WORKGROUP"
не второе поле - "код" (Вроде-как-уникальный, но хрен поймешь для чего нужный )), а третье - "комментарий", ради которого, вроде как, весь сыр-бор и загорелся. Как _задать_ его для каждого конкретного компа понятно ("Computer description" в Windows или server string ="" в samba'е), а вот как его _получить_? Вопро-оооос! Вдумчивая курежка man'ов к утилитам samba suit'а к результату не привела, гугль тоже не спас - пришлось воспользоваться Методом Научного Тыка. Description вполне себе выдает smbtree - но! берет он его как раз из browse.dat'а ;), или с broadcast'а - о чем выше ). Smbclient + smbutil его вообще не видят. Зато rpcclient с параметром -c srvinfo host выдает нечто-то вроде:
IBM1-3 Wk Sv NT PtB Валентина Антоновна Каб-1 Комп-3
platform_id : 500
os version : 5.1
server type : 0x11003
что вполне потрошится тем же ex'ом (Sed + awk не знаю, и, как следствие, не люблю ;)) до нужного состояния.

@темы: FreeBSD, Работа

11:23 

И почему героически поборов одни...

... грабли тут же встаешь на другие, а? SAMBA PDC, master browser, local browser - все чин-чинарем, выборы выигрывает, клиентам светится, сетку выдает... первые 20 минут даже всю, а потом комп за компом из "сетевого окружения" исчезают. smbtree генерит список не то, чтобы полный - но более сущесвенный, нежели получают винды, nmblookup -b '*' показывает 3 компа, зато запущенный "по следам" nmap'a через тот же broadcast четко резолвит имена всех активных хостов в сети, browser.dat регулярно обновляется и содержит тот же список, что получают клиенты, dhcp+ddns настроены и работают, тот же nmap резолвит все и всех ). Гугль находит толпу (Ну хорошо, не "толпу" - "с пяток") страдальцев с той же бедой, но ответа не дает.
Постепенно прихожу к мысли заполнять browse.dat ручками по результату того же nmap'а, благо формат у него простой - но это какой-то совсем уж непотребный костыль выйдет... :shuffle:
Будем надеяться, что утро вечера поумнее, и понедельник будет не только "тяжелым", но и "результативным" днем!

@темы: FreeBSD, Работа

11:15 

Эх, не знали создатели named...

... что "явное лучше неявного"(С), не дождались рождения языка Python ;), иначе не стали бы _неявным_ образом устанавливать значение allow-recursion в { localhost; localnet; };. А так - named запускается при старте системы, когда ни о каких ng*-интерфейсах (Создаются "по требованию", ага) еще и речи нет, о VPN-сети он нифига не знает, и рекурсивно запросы разрешать отказывается - nslookup-то справляется (МОЛЧА!), а вот gethostbyname уже не проходит.
Зато DIG с любимой BSD'шечки молчать отказывается, и честно заявляет, что за авторитетным ответом - вот по этому реффералу :) - дальше man + vi named.conf + rndc reload и все ОК.

@темы: FreeBSD, Работа

10:54 

Грабли и костыли.

Есть центральный офис. Есть филиальная сеть. Есть VPN. И есть м-ммм... разновсяческие провайдеры, в том числе и pptp'шники. В результате - есть локальная сетевуха со своим серым IP'шником, DNS'ами и "шлюзом по умолчанию" (Провайдеру, вестимо, лениво забивать route'ы для всех своих AC, список которых, к тому же может меняться - а DNS round-robin'ом выдает и все океюшки). Есть pptp-соединение до провайдера - опять таки, со своими DNS-серверами (Не спрашивайте меня "зачем"!) и своим шлюзом по умолчанию. И есть VPN-соединение до центрального офиса, опять же со своим DNS'ом и default gateway'ем (Хочется пустить I-net трафик филиальной сети через прозрачныйproxy центрального офиса с логгированием, фильтрацией, аутентификацией и прочими радостями жизни).
На выходе почему-то трабла - судя по всему не работает системный gethostbyname()/getaddrinfo() - сторонние программы не резолвят имена, а специализированные утилиты (Тот же nslookup) ответ дают. Метрики на маршрутах правильные (У VPN'а наименьшая, ага), dial-up connections в adapters&bindings на верху находятся, все пингуется-опрашивается-ходит, а gethostbyname как не работал, так и не работает :(.
В качестве временного "костыля" поднял non-transparent proxy для удаленных офисов и докрутил браузеры - но как-то не радует меня данное решение. Куды бечь, на что смотреть - Б-г знает, мне пока не ведомо :(.

@темы: Работа

10:13 

Еще немного о SAMBA'е...

... в качестве PDC. Bydefault'но samba пред(по)лагает использование roaming-профилей с указанием секции [homes] в smb.conf'е, раздачей домашних папок с соответствующими правами доступа (pam_mkhomedir спасает, если что ;)) и прочими радостями жизни, что нафиг никому не сдалось (Учитывая неискоренимую привычку большинства юзверей хранить стопицот фильмов, песен, фоточег и прочей фигни на рабочем столе). Есть проблЭма? Есть решение! man smb.conf называется :).
Читаем:
logon path blah-blah-blah Disable the use of roaming profiles by setting the value of this parameter to the empty string. For example, logon path = "".(C) Угу. Только не работает. Впрочем - и не должно, т.к. настройки в smb.conf'е перекрываются данными из "профиля пользователя" в tdb-backend'е а пользователи уже созданы. ОК. pdbedit -L -v, смотрим - ага, так и есть, logon path задан. pdbedit -r -u user -p "", проверяем... не-а. не работает. Странно. Гугль гугль ты могуч... ага, нас таких страдальцев до и больше - надо внимательней читать man'ы: "Warning Do not quote the value. Setting this as "\\%N\profile\%U" will break profile handling."(С) там же. Тут квотим, тут не квотим, там селедку завернули empty string обозначили... pdbedit -r -u user -p '' - и все работает. В smb.conf'е пишем просто logon path = - и все тоже работает!

@темы: FreeBSD, Работа

16:18 

Рабочее, матерное.

Какой трижды ...!!! сукин сын в мелкоцопте придумал скрывать панель "параметров" до нажатия кнопки ALT??? Почти час искал adapters&bindings! Найду - убью, в общем.

@темы: FreeBSD, Работа

14:13 

А мужики-то не знали!

Оказывается, в SAMBA'е еще со времен 3.0.11 появилась возможность делегировать управление и root'а маппить в samba-пользователя уже не надо - достаточно сделать net rpc rights list
и раздать соответствующие права из списка
SeMachineAccountPrivilege Add machines to domain
SeTakeOwnershipPrivilege Take ownership of files or other objects
SeBackupPrivilege Back up files and directories
SeRestorePrivilege Restore files and directories
SeRemoteShutdownPrivilege Force shutdown from a remote system
SePrintOperatorPrivilege Manage printers
SeAddUsersPrivilege Add users and groups to the domain
SeDiskOperatorPrivilege Manage disk shares
при помощи net rpc rights grant пользователь|группа <права> и будет у нас свое казино с блэк-джеком и шлюхами, a.k.a. NT4 Domain, управляемый "виндовыми" пользователями ))).

@темы: FreeBSD, Работа

14:12 

Окрошка:

Во времена оны плакался я, что в 8-ке, дескать, fdisk с bsdlabel'ом как-то "не так не работают" - что могу сказать сейчас? "Зато мы делаем танки!" Зато в 8.1 хорошо работает gpart, так что поднять поверх gmirror'а (mirror'им диски целиком) gjournal (С отдельным разделом под журнал) удалось без всяких танцев-с-бубнами и костылей, с первого захода, аминь, аминь, аминь.
С Б-жьей и Старших Товарищей помощью разрешился вопрос с триждыдолбанным KMS - данные его внутреннего LDAP'а вполне себе edit'ятся, но... ЧЕРЕЗ WEB-INTERFACE only ну или там через MS Аутглюк из-под админ-юзера (Кто, ну скажите мне, кто настраивает почту для admin-user'а?) !!! Повбывал бы, ей-ктулху.
Отдельные лучи поноса Intel'у - три пересборки ядра FreeBSD + полдня танцев-с-бубном прежде, чем выяснилось, что DG41CN AHCI НЕ поддерживает. Абыдна, да - 'device ahci' + 'opions ATA_CAM' мне, в общем-то, понравились...
Ах, да - еще себе в копилочку - практически случайно нашелся отличный (На первый взгляд!) эмулятор терминала - termit. Умеет работать с tab'ами, менять кодировку и... и больше ничего ). Из всех зависимостей - только что-то GTK'шное (Виджеты для терминала, вроде бы) - на вид именно то, что надо...

@темы: FreeBSD, Работа

16:29 

Я это самое...

... "десятиногое ракообразное". Криведко, в смысле. Решил поднять "собственное казино с блэк-джеком и шлюхами" собственный W2003SR2 для разбирательств с RADIUS'ом в тихих домашних условиях. Создаю VM'ку на virtualbox'е через консоль:
VboxManage createvm WSERVER --ostype Windows2003 --remember
VBoxManage modifyvm WSERVER --memory 2048 --acpi on --ioapic on --cpus 1 --hwvirtex on --hwvirtexecl on --boot1 dvd --boot2 disk --boot3 none --boot4 none --nic1 hostonly --hostonlyadapter1 vboxnet0
VBoxManage createhd --filename ./VHD/server.vhd --size 20 --remember
VBoxManage storagectl WSERVER --name hdd0 --add sata
VBoxManage storageattach WSERVER --storagectl hdd0 --port 0 --device 0 --type disk --medium ./VHD/server.vhd
VBoxManage storageattach WSERVER --storagectl hdd0 --port 1 --device 1 --type dvd --medium host:cd0
Буй! Не могу, говорит, приаттачить к данному контроллеру. К НЕданному scsi, например - тоже не смог. А вот к ide - самое оно.
VBoxManage storagectl WSERVER --name hdd1 --add ide
VBoxManage storageattach WSERVER --storagectl hdd1 --port 0 --device 0 --type dvd --medium host:cd0
Да, кстати, если кому интересно, чтобы подключить host drive во FreeBSD (И, наверное, не только ;)) нужно воткнуть atapicam, и раздать права на файлы устройств - закинуть юзера в группу operators и отредактировать devfs.conf, чтобы права раздавались при создании файлов
VBoxHeadless -s WSERVER -n -o - Запускаем!
Все хорошо, только демонстрационный диск с 2003 сервером не видится. Хм. Ставлю диск с Frenzy (LiveCD на базе Freebsd. заточенный под системное администрированике) - грузится. ЗАГОВОР! Ок, вынимаю диск - No bootable medium found
Дропаю VBoxHeadless, ставлю другой диск - то же самое. Монтирую образ - никак. Редактирую машинку, меняю контроллеры, танцую с бубном... ну НИКАК и все. Уже и DELAY на биосе в VB поменял, и тип меню сменил, и все что можно поотключал... полдня убил.
Потом цепляю в очередной раз VBoxHeadless с паролем "1" (Задолбало сто раз нормальное нечто вводить!)... а он меня с ним не пускает! Со старым... есть. Это жжж! не спроста! Смотрю в процессах... с-зззараза! VBoxHeadless, оказывается, только от консоли отвалился, а не дропнулся к чертям собачьим, как ему требовалось - в результате я полсуток коннектился к одной и той же машине!!! ЛЕЖАЩЕЙ машине, заметим.
Дропнул в процессах VBoxHeadless, запустил по новой - работает! Океюшки, живем!

@темы: FreeBSD, Работа

16:15 

Продолжение RADIUS'ной...

... истории. В логах периодически всплывает rad_init_send_request Failed: sendto -1: Permission denied. Такое ощущение, что он тупо не может создать сокет по одной из двух причин - либо IPADDR_ANY конфликтует с имеющимся в системе Jail'ом (Ну-ууу... вряд ли. Я бы понял, если бы jail не поднимался, или если бы все происходило изнутри jail'a - но в host-системе?), либо сокет пытается прибиндиться к одному из protected-портов sin_port=htons(0) - что тоже вряд ли, ибо mpd5 стартует все-таки от root'а...
Надо навтыкать всякого-разного debug'а в radlib.c и пересобрать mpd - но делать это на рабочей машине в рабочее же время как-то... не хочется. Впрочем, можно попробовать сменить destdir у порта и поставить еще одну версию... буду думать дальше.

@темы: FreeBSD, Работа

16:11 

Очередные грабли

FreeBSD 8.1. mpd 5.5. l2tp. Настроено. Работает. Вести mpd.secret достаточно быстро достает ;) решаю настроить аутентификацию через RADIUS.
На Windows 2003R2 с DC (Дети, НЕ ДЕЛАЙТЕ так! DC и RADIUS на одном компе - решение для нищебродов ;)) поднимаю IAS. Создаю клиента RADIUS, задаю shared secret, включаю подпись запросов, создаю политику доступа, применяю по nas_ip_address и nas_id, разрешаю доступ. В аттрибутах пользователя включаю все, что нужно ;).
Перехожу к mpd:
set radius config /usr/local/etc/radius.conf (Ибо нефиг палить пароли в конфигах ))
set auth enable radius-auth
set radius me
set radius identifier
set radius enable message-authentic
Перезапускаю, ломлюсь - фигу. В логах виндей - "неправильная подпись". ОК, снимаю галку с требованием подписи и выпиливаю message-authentic, а вот дальше начинается СТРАННОЕ.
В виндах - все ОК, юзверю разрешен доступ. tcpdump показывает, что ответ от IAS'a вполне себе прилетает, а в логах mpd - "No valid RADIUS response". Ага, думаю. Дело в радиус-атрибутах! Смотрю в доки по mpd - и впрямь, Framed-Protocol в respons'e нифига не поддерживается, а MS гордо шлет 'PPP'. ОК, выпиливаю нафиг все доп. атрибуты RADIUS'а в политике IAS'а. По tcpdump'у и впрямь видно, что ничего лишнего не шлется... вроде как. Результат тот же самый.
Многа думаю.

@темы: Работа, FreeBSD

Танец-с-саблями на граблях

главная