Linux - dimon page

Linux - dimon page http://tudimon.com/ ru Linux - dimon page http://tudimon.com/yandexlogo.gif Linux - dimon page http://tudimon.com/ DataLife Engine Настройка DNS (BIND) http://tudimon.com/2009/07/29/nastrojka-dns-bind.html Задача – поднять службу dns на CentOS 5.2. Linux dimon Wed, 29 Jul 2009 10:29:23 -0500

Задача – поднять службу dns на CentOS 5.2. В качестве DNS службы будем использовать BIND (Berkeley Internet Name Domain, до этого: Berkeley Internet Name Daemon) — открытая и наиболее распространённая реализация DNS-сервера, обеспечивающая выполнение преобразования DNS-имени в IP-адрес и наоборот. Служба будет работать в нерекурсивном режиме (forward only). Для настройки выполняем последовательность действий: 1. Устанавливаем DNS службу: yum install bind 2. Генерим код rndc командой rndc-confgen В результате получаем файл с кодом /etc/rndc.conf 3. Прописываем зоны /var/named/localhost.rev : <div class="quote">$TTL 86400 @ IN SOA localhost. root.localhost. ( 1997022700 ; Serial 28800 ; Refresh 14400 ; Retry 3600000 ; Expire 86400 ) ; Minimum IN NS localhost. 1 IN PTR localhost.</div> /var/named/localhost.zone : <div class="quote">$TTL 86400 @ IN SOA @ root ( 42 ; serial (d. adams) 3H ; refresh 15M ; retry 1W ; expiry 1D ) ; minimum IN NS @ IN A 127.0.0.1</div> 4. Создаем файл /etc/named.conf (если днс установлен не в chroot - иначе все файлы ищем в "песочнице") <div class="quote">include "/etc/rndc.key"; // включаем в текущий файл ключ rndc acl "lan" { 127.0.0.1; 192.168.0.0/24; }; controls { inet 127.0.0.1 port 953 allow { 127.0.0.1; } keys { "rndckey"; }; }; logging { channel default_debug { file "data/named.run"; severity dynamic; }; }; options { directory "/var/named"; // the default dump-file "data/cache_dump.db"; statistics-file "data/named_stats.txt"; version "no camment"; memstatistics-file "data/named_mem_stats.txt"; forward only; forwarders { 200.5.5.1; 200.5.5.254; }; allow-recursion { lan; }; allow-query { lan; }; }; view "localhost" { match-clients { lan; }; match-destinations { lan; }; recursion yes; zone "localhost" IN { type master; file "localhost.zone"; }; zone "0.0.127.in-addr.arpa" IN { type master; file "localhost.rev"; }; };</div> В секции forwarders нужно прописать списки доступных внешних DNS, которые отвечают на запросы (в примере - 200.5.5.1 и 200.5.5.254). 5. Создаем файл /etc/rndc.conf: <div class="quote">include "/etc/rndc.key"; options { default-server 127.0.0.1; default-key "rndckey"; }; server localhost { key "rndckey"; };</div> 6. Запускаем службу: service named start Если стартовал без ошибок – cool 7. Проверяем rndc status <div class="quote">[root@server]# rndc status number of zones: 2 debug level: 0 xfers running: 0 xfers deferred: 0 soa queries in progress: 0 query logging is OFF recursive clients: 0/1000 tcp clients: 0/100 server is up and running</div> Так зоны есть. Вторая проверка: <div class="quote">[root@server etc]# host ya.ru ya.ru has address 213.180.204.8 ya.ru mail is handled by 10 mx2.yandex.ru. ya.ru mail is handled by 10 mx3.yandex.ru. ya.ru mail is handled by 10 mx1.yandex.ru.</div> Работает. 8. Настроим логи. В файле /etc/named.conf исправляем раздел logging. Например так: <div class="quote">logging { channel default_log { file "/var/log/dns.log" versions 5 size 20m; severity info; print-time yes; print-category yes; print-severity yes; }; channel more_log { file "/var/log/dns_more.log" versions 5 size 10m; severity info; print-time yes; print-category yes; print-severity yes; }; category default { default_log; }; category general { default_log; }; category config { default_log; }; category queries { default_log; }; category xfer-in { default_log; }; category xfer-out { default_log; }; category security { more_log; }; category resolver { more_log; }; category notify { more_log; }; category client { more_log; }; category unmatched { more_log; }; category default { more_log; }; category database { more_log; }; category update { more_log; }; };</div> Done

Миграция с Linux (samba+LDAP) на Windows Server 2003 Active Directory http://tudimon.com/2009/05/31/migraciya-s-linux-sambaldap-na-windows-server.html Мы имели контроллер домена на CentOS Samba+LDAP, причем на этом же сервере хранятся расшаренные ресурсы доступ к которым с windows-клиентов осуществляется при помощи самбы. Планируется перенести PDC с линукса на винду, понизив роль старого контроллера домена до простого файлового сервера на самбе. Windows, Linux dimon Sun, 31 May 2009 15:21:00 -0500

Хочу обратить внимание, что данная последовательность операций была заточена под нашу сеть. Мы имели контроллер домена на CentOS Samba+LDAP, причем на этом же сервере хранятся расшаренные ресурсы доступ к которым с windows-клиентов осуществляется при помощи самбы. Планируется перенести PDC с линукса на винду, понизив роль старого контроллера домена до простого файлового сервера на самбе. Так же у нас имеется файл, в котором перечислены доменные пароль юзверей в нешифрованном виде. Этап 1 – “Подготовительный” За неделю до времени “Ч” через netlogon.bat на рабочих станциях домена отключили бэндмауэр и перевели энергосбережение в режим «всегда включен». В течение недели несколько раз циркулярно разослали по корпоративной почте письмо с требованием вечером в пятницу оставить компьютеры включенными. <div class="title_spoiler"><a href="javascript:ShowOrHide('e834ba5263aa162fc5259dff121eb4ff')">Показать / Скрыть текст</a></div><div id="e834ba5263aa162fc5259dff121eb4ff" class="text_spoiler" style="display:none;"> OCS.reg <div class="quote">Windows Registry Editor Version 5.00 ;Брандмауэр Windows/Общий доступ к Интернету (ICS) [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess] "Start"=dword:00000004 ;Отключить автоматическую перезагрузку в случае отказа системы [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl] "AutoReboot"=dword:00000000 ;Режим энерго сбережения - "всегда включен" [HKEY_CURRENT_USER\Control Panel\PowerCfg] "CurrentPowerPolicy"="3" [HKEY_USERS\.DEFAULT\Control Panel\PowerCfg] "CurrentPowerPolicy"="3" </div> </div> Остальные этапы выполняются в субботу – официальный выходной день. Этап 2 Ставим на боевом железе Windows Server 2003 (далее везде W2k3) на машину которую впоследствии будем использовать в качестве PDC (соответственно назвав сервер именем PDC). AD пока не поднимаем. Этап 3 Ставим на VMware ОС W2k3, имя BDC Ставим на виртуальную машину, а не боевое железо в связи с тем, что впоследствии будет необходимо несколько раз откатываться к предыдущему состоянию, что на много проще сделать на виртуалке (надеюсь, все знакомы с понятием snapshot). Этап 4 Гасим самбу на старом контроллере домена. Настраиваем BDC: - с помощью утилиты <a href="http://technet.microsoft.com/ru-ru/sysinternals/bb897418(en-us).aspx" target="_blank">NewSID</a> из пакета <a href="http://technet.microsoft.com/ru-ru/sysinternals/default.aspx" target="_blank">Sysinternals</a> меняем SID на SID старого домена - поднимаем Active Directory на BDC - настраиваем Параметры безопасности - Политику паролей – нам пришлось временно уменьшить «минимальную длину пароля» Делаем snapshot системы. Этап 5 – Перенос пользователей и компьютеров со старого сервера домена на новый (BDC) Подключаемся к LDAP серверу старого домена с помощью утилиты <a href="http://ldapadmin.sourceforge.net/" target="_blank">LDAP Admin</a> и выгружаем ветки в xml-файлы: ou=Users -> users.xml ou=Computers -> computers.xml ou=Groups -> groups.xml Из файлов users.xml, computers.xml и файла в котором перечислены не зашифрованные пароли пользователей с помощью Microsoft Excel формируем текстовый файл со строками вида: для пользователей домена строка выглядела так = RID, login, ФИО, password, e-mail для компьютеров домена строка выглядела так = RID, computename т.к. в домен объекты добавляются с последовательным заполнением RID-ов, то вместо строк с пропущенными RID-ами были добавлены строки: RID, computenameRID Для того чтобы заполнить базу AD начальник написал программку на VB.NET. Там есть специальный класс для работы с AD. В принципе эта программа выполняет функции утилиты от <a href="http://support.microsoft.com/kb/199878/ru" target="_blank">Microsoft Addusers.exe</a>. Отличие только в том, что самопальная программа помещает строки с пользователями в ou=Users, а с компьютерами в ou=Computers. Впоследствии мы пришли к выводу, что компьютеры можно было не создавать в новом домене, т.к. они автоматически создадутся при заведении рабочих станций в новый домен. А, следовательно, не нужно было «городить огород» - нужно было просто воспользоваться утилитой от Microsoft-а. Для этого нужно было создать файл вида: <div class="quote">[Users] login, ФИО, password, описание, диск, путь, профиль, сценарий … </div> Который и импортировать с помощью Addusers в AD Т.к. не известно, какой RID «текучий свободный» в домене, пришлось сначала загнать одного пользователя в домен с помощью addusers.exe, потом посмотреть его SID (точнее RID) c помощью утилиты <a href="http://technet.microsoft.com/ru-ru/sysinternals/bb897417(en-us).aspx" target="_blank">PsGetSid</a> и удалить из файла лишних пользователей – нужно чтобы в файле первым был пользователь как раз с RID-ом, который был присвоен этому созданному пользователю. После этого мы откатили систему до предыдущего snapshot-a, заполнили базу Active Directory пользователями и компьютерами, удалили «фиктивные» компьютеры с именами computenameRID Этап 6 – Перенос групп со старого сервера домена на новый (BDC) Из файла groups.xml с помощью Microsoft Excel формируем текстовый файл со строками вида: <div class="quote">[Global] groupname, Камент, user1, user2,… …</div> Каждая строка это перечень пользователей, которых необходимо включить в группу, с названия которой и начинается строка (во загнул <img style="vertical-align: middle;border: none;" alt="winked" src="http://tudimon.com/engine/data/emoticons/winked.gif" /> ) Выполняем эту операцию с помощью addusers: addusers.exe \\BDC /c groups.txt Этап 7 – Создаем DHCP сервер На сервере PDC (на боевом железе) поднимаем DHCP сервер. Со старого сервера берем файл dhcpd.conf и гасим службу dhcpd. C помощью Microsoft Excel и блокнота формируем строки для добавления резервирования для компьютеров домена. Вид строки: <div class="quote">Dhcp Server 192.168.0.1 Scope 192.0.0.0 Add reservedip 192.168.0.22 f0123456789f "computer" "Комп бухгалтера" "BOTH"</div> где: 192.168.0.1 – ip адрес сервера 192.0.0.0 – область ip адресов 192.168.0.22 – резервируемый ip адрес компьютера f0123456789f – MAC адрес сетевого интерфейса компьютера computer – имя компьютера "Комп бухгалтера" – описание коспьютера Сформированные строки сохраняем в текстовый файл c:\dhcp.txt Теперь добавляем резервирование на наш сервер с помощью команды: netsh exec c:\dhcp.txt > log.txt В файл log.txt будут записаны результаты выполнения этой команды. Этап 8 – Понижение роли samba до простого файлового сервера Бэкапим конфиги самбы, ставим kerberos, настраиваем kerberos, настраиваем samba как файловый сервер с авторизацией в AD. Инструкции не привожу т.к. все умеют пользоваться поиском. При настройке считаем контроллером домена BDC, установленный на виртуальной машине. Однако стоит обратить внимание на то, что нам пришлось сменить владельцев и группы расшаренных ресурсов на новые, чтобы пользователи, прошедшие авторизацию на в AD, могли получить доступ к своим папкам. Если раньше у нас было, например, так <div class="quote">[root@server share]# ll drwx------ 6 vasia smb_users 4096 Feb 3 12:06 vasia</div> то должно стать вот так: <div class="quote">[root@server share]# ll drwx------ 6 DOMAIN+vasia DOMAIN+smb_users 4096 Feb 3 12:06 vasia</div> Возможно, что это делать придется не всем – все зависит от настройки Kerberos и Samba. Этап 9 – Загоняем рабочие станции в новый домен Была написана программка на VB которая с помощью утилиты <a href="http://technet.microsoft.com/ru-ru/sysinternals/bb897553(en-us).aspx" target="_blank">PsExec</a> выполняла следующий bat-файл на каждой рабочей станции: <div class="quote">net use N: \\PDC\netdom run /USER:PDC\run @rem echo "Defining variables" @SET HOST=%computername% @SET DUSER=Domain\dmn @SET DPASS=******** @SET LOCUSER=%computername%\Администратор @SET LOCPASS=******** @CALL N:\netdom.exe REMOVE %HOST% /DOMAIN:Domain /UserD:%DUSER% /PasswordD:%DPASS% /UserO:%LOCUSER% /PasswordO:%LOCPASS% @CALL N:\netdom.exe JOIN %HOST% /DOMAIN:Domain /UserD:%DUSER% /PasswordD:%DPASS% /UserO:%LOCUSER% /PasswordO:%LOCPASS% /REBoot net use N: /DELETE</div> Переменные: DUSER – пользователь домена, имеющий право подключать рабочие станции к домену DPASS – его пароль LOCUSER – локальный администратор LOCPASS – его пароль <a href="http://technet.microsoft.com/en-us/library/cc737599(loband).aspx" target="_blank">Netdom.exe</a> – утилита из пакета Windows support tools, который лежит на диске в папке SUPPORT\TOOLS\ SUPTOOLS.MSI Выполнение этого батника приводило к тому, что сначала рабочая станция отключается от домена и сразу же после этого подключается к новому домену. Этап 12 На сервере PDC устанавливаем DNC. Ставим на PDC Active Directory, установив роль Backup Domain Controller Да – да – именно резервный несмотря на имя. После репликации AD с сервером, установленным на виртуальной машине, передаем ему (PDC поднятому на боевом железе) все роли, таким образом делаем его первичным контроллером домена (PDC как и называется сервер <img style="vertical-align: middle;border: none;" alt="smile" src="http://tudimon.com/engine/data/emoticons/smile.gif" /> ). Перенастраиваем самбу – теперь нужно ей указать, что контроллером домена является PDC, а не BDC, как было ранее. Этап 13 Самая неприятная операция – необходимо ручками загнать в новый домен рабочие станции, на которых не выполнился батник из этапа 9. Этап 14 Идем пить пиво и надеяться, что в понедельник не всплывут какие-нибудь не учтенные моменты.

Контроллер домена (PDC) на samba+openLDAP http://tudimon.com/2009/05/18/kontroller-domena-pdc-na-sambaopenldap.html Задача: Перенастроить контроллер домена (PDC) на sambe на использование связки openLDAP + samba Linux dimon Mon, 18 May 2009 14:28:21 -0500

<div align="right">Черновик! Не все операции завершены и описаны</div> Задача: Перенастроить контроллер домена (PDC) на sambe на использование openLDAP + samba Серверная ОС – CentOS 5.2 Рабочие станции комплектуются ОС MS Windows XP. Сервер имеет два сетевых интерфейса: внешний: eth0 xxx.xxx.xxx.xxx внутренний: eth1 192.168.1.1/255.255.255.0 1. Устанавливаем yum install openldap-servers openldap-clients gcc nss_ldap 2. Копируем схемы самбы в openldap: <div class="quote">[root@dsrv]# cp /usr/share/doc/samba-3.0.28/LDAP/samba.schema /etc/openldap/schema/samba.schema</div> 3. Копируем smbldap-tools <div class="quote">[root@dsrv]# cp /usr/share/doc/samba-3.0.28/LDAP/smbldap-tools-0.9.2 /etc/smbldap-tools</div> Если их там нет, то лезем на сайт <a href="https://gna.org/projects/smbldap-tools/" target="_blank">https://gna.org/projects/smbldap-tools/</a> и качаем нужную нам версию: <div class="quote">[root@dsrv install]# wget http://download.gna.org/smbldap-tools/packages/smbldap -tools-0.9.5.tgz --15:41:20-- http://download.gna.org/smbldap-tools/packages/smbldap-tools-0.9.5 .tgz Resolving download.gna.org... 78.40.121.79 Connecting to download.gna.org|78.40.121.79|:80... connected. HTTP request sent, awaiting response... 200 OK Length: 303131 (296K) [application/x-tar] Saving to: `smbldap-tools-0.9.5.tgz' 100%[=======================================>] 303,131 4.22K/s in 38s 15:41:59 (7.70 KB/s) - `smbldap-tools-0.9.5.tgz' saved [303131/303131] [root@dsrv install]# [root@dsrv install]# tar zxvf smbldap-tools-0.9.5.tgz smbldap-tools-0.9.5/ smbldap-tools-0.9.5/ChangeLog smbldap-tools-0.9.5/smbldap-passwd smbldap-tools-0.9.5/TODO smbldap-tools-0.9.5/smbldap-groupadd smbldap-tools-0.9.5/smbldap-tools.spec smbldap-tools-0.9.5/smbldap.conf smbldap-tools-0.9.5/smbldap-populate smbldap-tools-0.9.5/INFRA smbldap-tools-0.9.5/smbldap-userinfo smbldap-tools-0.9.5/smbldap-usershow smbldap-tools-0.9.5/README smbldap-tools-0.9.5/smbldap-useradd smbldap-tools-0.9.5/FILES smbldap-tools-0.9.5/doc/ smbldap-tools-0.9.5/doc/smb.conf smbldap-tools-0.9.5/doc/slapd.conf smbldap-tools-0.9.5/doc/smbldap-tools.html smbldap-tools-0.9.5/doc/migration_scripts/ smbldap-tools-0.9.5/doc/migration_scripts/smbldap-migrate-pwdump-accounts smbldap-tools-0.9.5/doc/migration_scripts/smbldap-migrate-unix-groups smbldap-tools-0.9.5/doc/migration_scripts/smbldap-migrate-pwdump-groups smbldap-tools-0.9.5/doc/migration_scripts/smbldap-migrate-unix-accounts smbldap-tools-0.9.5/doc/smbldap-tools.pdf smbldap-tools-0.9.5/smbldap-userlist smbldap-tools-0.9.5/smbldap_bind.conf smbldap-tools-0.9.5/smbldap_tools.pm smbldap-tools-0.9.5/COPYING smbldap-tools-0.9.5/smbldap-groupdel smbldap-tools-0.9.5/smbldap-groupshow smbldap-tools-0.9.5/Makefile smbldap-tools-0.9.5/smbldap-userdel smbldap-tools-0.9.5/INSTALL smbldap-tools-0.9.5/smbldap-usermod smbldap-tools-0.9.5/configure.pl smbldap-tools-0.9.5/CONTRIBUTORS smbldap-tools-0.9.5/smbldap-groupmod [root@dsrv install]#</div> Даем права на исполнение скриптам (если их нету): <div class="quote">[root@dsrv smbldap-tools]# ll total 224 -rw-r--r-- 1 root root 428 Jan 3 2006 smbldap_bind.conf -rw-r--r-- 1 root root 7785 Jan 3 2006 smbldap.conf -rw-r--r-- 1 root root 5987 Jan 3 2006 smbldap-groupadd -rw-r--r-- 1 root root 2473 Jan 3 2006 smbldap-groupdel -rw-r--r-- 1 root root 8881 Jan 3 2006 smbldap-groupmod -rw-r--r-- 1 root root 2005 Jan 3 2006 smbldap-groupshow -rw-r--r-- 1 root root 10294 Jan 3 2006 smbldap-passwd -rw-r--r-- 1 root root 14995 Jan 3 2006 smbldap-populate -rw-r--r-- 1 root root 28729 Jan 3 2006 smbldap_tools.pm -rw-r--r-- 1 root root 3988 Jan 3 2006 smbldap-tools.spec -rw-r--r-- 1 root root 20969 Jan 3 2006 smbldap-useradd -rw-r--r-- 1 root root 3244 Jan 3 2006 smbldap-userdel -rw-r--r-- 1 root root 7633 Jan 3 2006 smbldap-userinfo -rw-r--r-- 1 root root 18968 Jan 3 2006 smbldap-usermod -rw-r--r-- 1 root root 1958 Jan 3 2006 smbldap-usershow [root@dsrv smbldap-tools]# chmod u+x smbldap-* [root@dsrv smbldap-tools]# ll total 224 -rw-r--r-- 1 root root 428 Jan 3 2006 smbldap_bind.conf -rw-r--r-- 1 root root 7785 Jan 3 2006 smbldap.conf -rwxr--r-- 1 root root 5987 Jan 3 2006 smbldap-groupadd -rwxr--r-- 1 root root 2473 Jan 3 2006 smbldap-groupdel -rwxr--r-- 1 root root 8881 Jan 3 2006 smbldap-groupmod -rwxr--r-- 1 root root 2005 Jan 3 2006 smbldap-groupshow -rwxr--r-- 1 root root 10294 Jan 3 2006 smbldap-passwd -rwxr--r-- 1 root root 14995 Jan 3 2006 smbldap-populate -rw-r--r-- 1 root root 28729 Jan 3 2006 smbldap_tools.pm -rwxr--r-- 1 root root 3988 Jan 3 2006 smbldap-tools.spec -rwxr--r-- 1 root root 20969 Jan 3 2006 smbldap-useradd -rwxr--r-- 1 root root 3244 Jan 3 2006 smbldap-userdel -rwxr--r-- 1 root root 7633 Jan 3 2006 smbldap-userinfo -rwxr--r-- 1 root root 18968 Jan 3 2006 smbldap-usermod -rwxr--r-- 1 root root 1958 Jan 3 2006 smbldap-usershow</div> 4. Правим /etc/openldap/slapd.conf Добавляем строки (подключаем файлы схем): <div class="quote">include /etc/openldap/schema/samba.schema include /etc/openldap/schema/misc.schema include /etc/openldap/schema/openldap.schema</div> ищем строку access to attrs и приводим блок к виду (при необходимости добавляем): <div class="quote">access to attrs=userPassword by self write by dn = "uid=root,dc=sclad,dc=lan" write by anonymous auth by * none</div> таким образом, определим доступ к атрибуту пароль пользователя. Сам пользователь имеет право записи, анонимному пользователю предоставляется возможность пройти аутентификацию (после этого он представляет уже другой объект и доступа к паролям анонимного пользователя не происходит, как можно было бы подумать) а пользователь с контекстом "uid=root,dc=sclad,dc=lan" имеет право на запись. Другие же пользователи доступа к паролю не имеют никакого. Т.е. другими словами никто, кроме администратора и самого пользователя не имеют доступа к паролю. добавляем блок: <div class="quote">access to * by self write by dn="uid=root,dc=spec,dc=lan" write by anonymous auth by * none</div> доступ к остальным полям базы LDAP – сам пользователь может читать атрибуты, а пользователь с контекстом root может писать всё что угодно, а анонимному пользователю предоставляется возможность пройти аутентификацию, остальные ничего не могут. с помощью проги slappasswd генерим пароль root и исправляем строки: <div class="quote">database bdb suffix "dc=sclad,dc=lan" rootdn "cn=root,dc=sclad,dc=lan" rootpw {SSHA}Sm…MSm </div> здесь database - тип базы данных suffix - основной суффикс БД (к этому я вернусь немного ниже) rootdn – описание объекта root rootpw - это поле содержит пароль администратора объекта root (то есть всей БД LDAP), используем в зашифрованном виде – сгенерированный slappasswd добавляем строки: <div class="quote">index sambaSID eq index sambaPrimaryGroupSID eq index sambaDomainName eq</div> Таким образом, мы определяем первичные и вторичные индексы БД, что может ускорить поиск по БД <div class="quote">loglevel 256</div> Этот ключ устанавливает slapd уровень отладки. Текущие уровни отладки: -1 включает всю отладочную информацию 0 без отладки 1 трассировать вызовы функций 2 отладка обработки пакетов 4 тщательная отладочная трассировка 8 управление соединением 16 печать принятых и отправленных пакетов 32 обработка фильтров поиска 64 обработка конфигурационного файла 128 обработка списка контроля доступа 256 регистрировать статистику соединения/обработки/результатов 512 регистрировать статистику отправленных элементов 1024 печать коммуникаций с shell механизмом базы данных 2048 печать отладки анализа элемента Для того чтобы увидеть логи ЛДАП-а мы так же должны добавить в файл /etc/syslog.conf следующее: <div class="quote"># логи LDAP-сервера: local4.* /var/log/ldap.log</div> 5. Копируем параметры базы LDAP <div class="quote">сp /etc/openldap/DB_CONFIG.example /var/lib/ldap/DB_CONFIG</div> Назначаем права на папку <div class="quote">chown -R ldap:ldap /var/lib/ldap</div> После того как вы настроили OpenLDAP, запустите его командой и посмотрим, слушает ли он порты: <div class="quote">[root@dsrv openldap]# service ldap start Checking configuration files for slapd: config file testing succeeded [ OK ] Starting slapd: [ OK ] [root@dsrv openldap]# netstat -nap | grep slapd tcp 0 0 0.0.0.0:389 0.0.0.0:* LISTEN 9985/slapd tcp 0 0 :::389 :::* LISTEN 9985/slapd unix 2 [ ] DGRAM 27715 9985/slapd</div> 6. Правим /etc/ldap.conf, исправляя строки: <div class="quote"># Сервер LDAP - ip адрес сервера или его # имя, находящееся в /etc/hosts, или в DNS на удалённом узле host 127.0.0.1 # Основной суфикс, должен совпадать с суфиксом в slapd.conf base dc=sclad,dc=lan # Версия протокола ldap_version 3 # Это root и его пароль rootbinddn cn=root,dc=sclad,dc=lan rootpw {SSHA}Sm…MSm # Порт, на котором работает LDAP port 389 # Область поиска scope one # Время ожидпния при поиске timelimit 30 # Timeout подключения к LDAP серверу bind_timelimit 10 # Если не удалось подключиться к LDAP, # То не пытаться переподключиться bind_policy soft # nss_ldap закроет подключение, если сервер # не ответит в указонное в idle_timelimit время idle_timelimit 3600 nss_initgroups_ignoreusers root,ldap,named,avahi,haldaemon,dbus,radvd,tomcat,radiusd,news,mailman # Базовые dn для поиска различных объектов, one - это область поиска. # Данные параметры используются nss. nss_base_passwd ou=Users,dc=sclad,dc=lan?one nss_base_passwd ou=Computers,dc=sclad,dc=lan?one nss_base_shadow ou=Users,dc=sclad,dc=lan?one nss_base_group ou=Group,dc=sclad,dc=lan?one # persist -- не отключаться от LDAP сервера # oneshot -- отключаться после каждого запроса #nss_connect_policy persist</div> 7. Копируем ldap.conf или делаем ссылку <div class="quote">[root@dsrv]# cp /etc/ldap.conf /etc/openldap/ldap.conf</div> 8. Создаем файл /etc/ldap.secret и в него пишем пароль в открытом виде, задаем права на файл: <div class="quote">[root@dsrv etc]# touch ldap.secret [root@dsrv etc]# chmod 600 ldap.secret [root@dsrv etc]# echo "very_secret_passwort" >> ldap.secret [root@dsrv etc]# ll | grep ldap.secret -rw------- 1 root root 9 Mar 20 17:21 ldap.secret</div> Причем very_secret_passwort – это тот же пароль, который генерили в 6 пункте (в конце пароля должен стоять символ возврата каретки). Права на файл все же лучше выставить такие - root:root 400. 9. Заполняем базу: Теперь нужно создать корневой объект нашего дерева. Создадим файл base.ldif с таким содержанием: <div class="quote">dn: dc=sclad,dc=ru objectClass: dcObject objectClass: organization objectClass: top dc:sclad o:sclad</div> Теперь добавим эту запись в ldap: <div class="quote">[root@dsrv openldap]# ldapadd -x -D "cn=root,dc=sclad,dc=lan" -W -f base.ldif Enter LDAP Password: adding new entry "dc=sclad,dc=lan" [root@dsrv openldap]#</div> Параметры запуска: -x : не использовать sasl -D "dn" : под каким пользователем подключаться -W : запросить ввод пароля -w : указать пароль в командной строке -f file : имя файла из которого брать информацию о добавляемом объекте. Далее для работы с samba требуется поместить в ldap следующую древовидную схему: dn: dc=sclad,dc=lan | +-dn: ou=Users,dc= sclad,dc=lan | +-dn: ou=Groups,dc= sclad,dc=lan | +-dn: ou=Computers,dc= sclad,dc=lan Т.е. внутри главного контейнера dc=sclad,dc=lan создаются ещё три: Users - для хранения пользовательских аккаунтов, Group - группы, Computers - аккаунты компьютеров в домене. Получаем следующий ldif-файл newentry.ldif: <div class="quote">dn: ou=Users,dc=sclad,dc=lan objectClass: organizationalUnit ou: Users dn: ou=Groups,dc=sclad,dc=lan objectClass: organizationalUnit ou: Groups dn: ou=Computers,dc=sclad,dc=lan objectClass: organizationalUnit ou: Computers dn: ou=Idmap,dc=sclad,dc=lan objectClass: organizationalUnit ou: Idmap</div> Хочу обратить внимание, что между блоками описания различных объектов дерева необходима пустая строка, чтобы утилита ldapadd корректно их разделяла. Добавим записи в ldap: <div class="quote">[root@dsrv openldap]# ldapadd -x -D "cn=root,dc=sclad,dc=lan" -W -f newentry.ldif Enter LDAP Password: adding new entry "ou=Users,dc=sclad,dc=lan" adding new entry "ou=Groups,dc=sclad,dc=lan" adding new entry "ou=Computers,dc=sclad,dc=lan" adding new entry "ou=Idmap,dc=sclad,dc=lan" [root@dsrv openldap]#</div> На этом этапе уже можно подключиться к лдап-серверу и посмотреть, что же мы имеем. Я использовал утилиту LDAP Admin: <div align="center"><img src="http://tudimon.com/uploads/posts/2009-05/1242641602_derevo_chistoe.jpg" alt='Контроллер домена (PDC) на samba+openLDAP' title='Контроллер домена (PDC) на samba+openLDAP' /></div> Описание настройки LDAP Admin:<div class="title_spoiler"><a href="javascript:ShowOrHide('8c5fe95f82fa7953da3ac90a940c4d76')">Показать / Скрыть текст</a></div><div id="8c5fe95f82fa7953da3ac90a940c4d76" class="text_spoiler" style="display:none;"> Для управления базой (LDAP) будем пользоваться утилитой <a href="http://ldapadmin.sourceforge.net/" target="_blank">LDAP Admin</a>. Эта утилита запускается на админском компе и подключается к серверу по сети. 1. Качаем LDAP Admin 2. Запускаем 3. Меню “Start” – “Connect …” 4. Щелкаем “New connection” 5. На вкладке “General” указываем параметры подключения: Host = 192.168.1.1 (наш сервер) Port = 389 (default) Base = dc=sclad,dc=lan Username = cn=root,dc=sclad,dc=lan Password = very_secret_passwort 6. Проверяем подключение кнопкой “Test connection” 7. Подлючаемся к базе: меню “Start” – “Connect …” 8. Добавляем пользователя: меню “Edit” – “New” – “User” (Ctrl+U) 9. Задаем пароль: правой кнопкой по пользователю и “Set password” 10. Логинемся под пользователем на доменном компьютере. </div> 10. Включаем авторизацию по лдап authconfig --enableldap --update Проверяем в /etc/nsswitch.conf: <div class="quote">passwd: files ldap shadow: files ldap group: files ldap</div> 11. После того как мы настроим samba на работу с лдап-ом нам нужно будет изменить SID root-a в ldap-е на такой же какой у нас был в sambe. Поэтому посмотрим и запишем SID root-a в samba в файл sid_root_smb: <div class="quote">[root@dsrv samba]# pdbedit -Lw root -v Unix username: root NT username: Account Flags: [U ] User SID: S-1-5-21-2564309360-712306396-2862245629-1000 Primary Group SID: S-1-5-21-2564309360-712306396-2862245629-513 Full Name: root Home Directory: scladroot HomeDir Drive: Logon Script: logon.bat Profile Path: Domain: SCLAD Account desc: Workstations: Munged dial: Logon time: 0 Logoff time: never Kickoff time: never Password last set: Tue, 14 Apr 2009 12:22:58 MSD Password can change: Tue, 14 Apr 2009 12:22:58 MSD Password must change: never Last bad password : 0 Bad password count : 0 Logon hours : FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF [root@dsrv samba]# pdbedit -Lw root -v > sid_root_smb</div> 12. Правим /etc/samba/smb.conf конфиг исходный – см в <a href="http://tudimon.com/2009/03/16/kontroller-domena-pdc-na-samba.html" >статье</a> в него добавляем строки: <div class="quote"> # Поддержка wins wins support = Yes # Используем dns proxy dns proxy = Yes # Сетевые параметры socket options = TCP_NODELAY IPTOS_LOWDELAY SO_SNDBUF=4096 SO_RCVBUF=4096 # Синхронизировать время с доменом # time server = Yes ####### Параметры LDAP ####### # Пароли храним в LDAP passdb backend = ldapsam:ldap://127.0.0.1/ # Определяем админовский dn. Пароль к нему должен добавляться # непосредственно smbpasswd -w. После смены dn админа пароль тоже надо # сменить ldap admin dn = cn=root,dc=sclad,dc=lan # Определяем суффикс базы данных ldap ldap suffix = dc=sclad,dc=lan # Группы в контейнере ou=groups ldap group suffix = ou=Groups # Пользователи храняться в контейнере ou=users ldap user suffix = ou=Users # Контейнер для машин пользователей ldap machine suffix = ou=Computers ldap idmap suffix = ou=Idmap # Запрещаем удалять объекты ldap delete dn = No # Отключаем поддержку SSL #ldap ssl = off # скрипты для добавления юзеров и групп (юзается в usermgr от nt4) add user script = /etc/smbldap-tools/smbldap-useradd -m "%u" add machine script = /etc/smbldap-tools/smbldap-useradd -t 0 -w "%u" add group script = /etc/smbldap-tools/smbldap-groupadd -p "%g" add user to group script = /etc/smbldap-tools/smbldap-groupmod -m "%u" "%g" delete user script = /etc/smbldap-tools/smbldap-userdel "%u" delete user from group script = /etc/smbldap-tools/smbldap-groupmod -x "%u" "%g" delete group script = /etc/smbldap-tools/smbldap-groupdel "%g" set primary group script = /etc/smbldap-tools/smbldap-usermod -g '%g' '%u'</div> ldap suffix - это основной суффикс БД. В определении системы директорий существует так называемый корневой объект root. Суффикс определяет этот объект. Вообще существует 2 стандарта LDAP имен для скелета дерева: - метод для глобальных сетей - имеет подобный вид и описывает URL адрес: person.domain.com (cn=person,dc=domain,dc=com) - метод для глобальных сетей - описывает организацию (вообще-то этот вид является стандартным) и имеет следующий вид: person.organization_unit.organization.country (cn=person,ou=otd1,o=lab,c=RU) Выбор метода зависит от конкретного назначения LDAP и особого значения не имеет. Обычно в компаниях применяется второй способ построения скелета дерева. Я же использую интернет наименование для краткости. 13. Перезагружаем службы (чтобы применить новые конфиги): <div class="quote">[root@dsrv openldap]# service ldap start Checking configuration files for slapd: config file testing succeeded [ OK ] Starting slapd: [ OK ] [root@dsrv openldap]# service winbind restart Shutting down Winbind services: [ OK ] Starting Winbind services: [ OK ] [root@dsrv openldap]# service smb restart Shutting down SMB services: [ OK ] Shutting down NMB services: [ OK ] Starting SMB services: [ OK ] Starting NMB services: [ OK ]</div> 14. Устанавливаем ldap admin password (даем самбе права на чтение ldap базы): <div class="quote">[root@dsrv /]# smbpasswd -w very_secret_passwort</div> 15. Устанавливаем перловые модули нужные для smbldap-tools <div class="quote"> [root@dsrv ~]# perl -MCPAN -e shell /usr/lib/perl5/5.8.8/CPAN/Config.pm initialized. … Are you ready for manual configuration? [yes] n … cpan> install Net::LDAP … /usr/bin/make install -- OK cpan> install Crypt::SmbHash … /usr/bin/make install -- OK cpan> install Unicode::MapUTF8 … /usr/bin/make install -- OK </div> 16. Конфигурируем smbldap-tools: 16.1. Смотрим SID домена - его нужно будет указать при конфигурировании /etc/smbldap-tools/configure.pl <div class="quote">[root@dsrv samba]# net getlocalsid DSRV SID for domain DSRV is: S-1-5-21-93199991-951995455-3406427012 [root@dsrv /]# net rpc getsid Password: Could not connect to server DSRV The username or password was not correct. Storing SID S-1-5-21-93199991-951995455-3406427012 for Domain SCLAD.LAN in secrets.tdb [root@dsrv /]#</div> 16.2. Запускаем скрипт и отвечаем на вопросы: <div class="quote">[root@dsrv samba]# /etc/smbldap-tools/configure.pl Use of $# is deprecated at /etc/smbldap-tools/configure.pl line 314. -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=- smbldap-tools script configuration -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-= Before starting, check . if your samba controller is up and running. . if the domain SID is defined (you can get it with the 'net getlocalsid') . you can leave the configuration using the Crtl-c key combination . empty value can be set with the "." character -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=- Looking for configuration files... Samba Configuration File Path [/etc/samba/smb.conf] > The default directory in which the smbldap configuration files are stored is shown. If you need to change this, enter the full directory path, then press enter to continue. Smbldap-tools Configuration Directory Path [/etc/smbldap-tools/] > … -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-= Use of uninitialized value in concatenation (.) or string at /etc/smbldap-tools/configure.pl line 314, <STDIN /> line 34. backup old configuration files: /etc/smbldap-tools/smbldap.conf->/etc/smbldap-tools/smbldap.conf.old /etc/smbldap-tools/smbldap_bind.conf->/etc/smbldap-tools/smbldap_bind.conf.old writing new configuration file: /etc/smbldap-tools/smbldap.conf done. /etc/smbldap-tools/smbldap_bind.conf done.</div> За “…” скрывается куча вопросов. Скрипт генерит файлы конфигурации /etc/smbldap-tools/smbldap.conf и /etc/smbldap-tools/smbldap_bind.conf, которые используются следующим скриптом. 16.3. Запускаем скрипт и задаем новый пароль (я использовал тот же самый): <div class="quote">[root@dsrv samba]# /etc/smbldap-tools/smbldap-populate Populating LDAP directory for domain SCLAD.LAN (S-1-5-21-93199991-951995455-3406427012) (using builtin directory structure) entry dc=sclad,dc=lan already exist. entry ou=Users,dc=sclad,dc=lan already exist. entry ou=Groups,dc=sclad,dc=lan already exist. entry ou=Computers,dc=sclad,dc=lan already exist. entry ou=Idmap,dc=sclad,dc=lan already exist. adding new entry: uid=root,ou=Users,dc=sclad,dc=lan adding new entry: uid=nobody,ou=Users,dc=sclad,dc=lan adding new entry: cn=Domain Admins,ou=Groups,dc=sclad,dc=lan adding new entry: cn=Domain Users,ou=Groups,dc=sclad,dc=lan adding new entry: cn=Domain Guests,ou=Groups,dc=sclad,dc=lan adding new entry: cn=Domain Computers,ou=Groups,dc=sclad,dc=lan adding new entry: cn=Administrators,ou=Groups,dc=sclad,dc=lan adding new entry: cn=Account Operators,ou=Groups,dc=sclad,dc=lan adding new entry: cn=Print Operators,ou=Groups,dc=sclad,dc=lan adding new entry: cn=Backup Operators,ou=Groups,dc=sclad,dc=lan adding new entry: cn=Replicators,ou=Groups,dc=sclad,dc=lan entry sambaDomainName=SCLAD.LAN,dc=sclad,dc=lan already exist. Updating it... Please provide a password for the domain root: Changing UNIX and samba passwords for root New password: Retype new password: [root@dsrv samba]#</div> Можно заметить, что скрипт ругнулся на уже существующие записи, которые мы создали вручную выше. 17. Введем наш сервер в наш же домен: <div class="quote">[root@dsrv samba]# net rpc join -S DSRV Password: Joined domain SCLAD.LAN. You have new mail in /var/spool/mail/root [root@dsrv samba]#</div> 18. Теперь необходимо изменить SID root-a в LDAP-e на такой же какой используется в sambe. Выше мы смотрели и даже записали SID root-a в sambe. При использовании схемы с LDAP нам потребуется поместить в LDAP учётную запись пользователя root и задать для неё nt-пароль. Важно, что у пользователя root аттрибуты sambaSID, sambaPrimaryGroupSID должны иметь вид: sambaSID: DOMAINSID-1000 sambaPrimaryGroupSID: DOMAINSID-1001 Связано это с тем, что ldapsam использует специальный алгоритм для связи uid с sid: rid='2*uidNumber+1000' primaryGroup='2*uidNumber+1001' Посмотрим SID root-a в LDAP-e: <div class="quote">[root@dsrv ~]# ldapsearch -x -D "cn=root,dc=sclad,dc=lan" -W -b 'dc=sclad,dc=lan' 'cn=root' Enter LDAP Password: # extended LDIF # # LDAPv3 # base with scope subtree # filter: cn=root # requesting: ALL # # root, Users, sclad.lan dn: uid=root,ou=Users,dc=sclad,dc=lan cn: root sn: root objectClass: top objectClass: person objectClass: organizationalPerson objectClass: inetOrgPerson objectClass: sambaSamAccount objectClass: posixAccount objectClass: shadowAccount gidNumber: 0 uid: root uidNumber: 0 homeDirectory: /home/root sambaLogonTime: 0 sambaLogoffTime: 2147483647 sambaKickoffTime: 2147483647 sambaPwdCanChange: 0 sambaHomePath: DSRVroot sambaHomeDrive: Z: sambaProfilePath: DSRVprofilesroot sambaPrimaryGroupSID: S-1-5-21-93199991-951995455-3406427012-512 sambaSID: S-1-5-21-93199991-951995455-3406427012-500 loginShell: /bin/false gecos: Netbios Domain Administrator sambaLMPassword: A800BDD34ABDA30D944E2DF489A880E4 sambaAcctFlags: [U] sambaNTPassword: 1D374EB0B2FEB239A7643E37950D2C15 sambaPwdLastSet: 1239956579 sambaPwdMustChange: 1243844579 userPassword:: e1NTSEF9Z0RteU1JZHpoSzF3WXUzdXhkYWFPK2JUV1ZSd01tMUs= shadowLastChange: 14351 shadowMax: 45 # search result search: 2 result: 0 Success # numResponses: 2 # numEntries: 1 [root@dsrv log]# net getlocalsid DSRV SID for domain DSRV is: S-1-5-21-93199991-951995455-3406427012</div> Т.е. SID root-a в samba: User SID: S-1-5-21-2564309360-712306396-2862245629-1000 Primary Group SID: S-1-5-21-2564309360-712306396-2862245629-513 ldap sambaPrimaryGroupSID: S-1-5-21-93199991-951995455-3406427012-512 sambaSID: S-1-5-21-93199991-951995455-3406427012-500 Странно – здесь мы наблюдаем не только rid не правильные, но и даже отличающиеся DOMAINSID. Видимо на одной из стадий установки была допущена ошибка. Нужно будет проверить при аналогичной установке! В общем, нам нужно установить для root-a: sambaPrimaryGroupSID: S-1-5-21-93199991-951995455-3406427012-512 sambaSID: S-1-5-21-93199991-951995455-3406427012-1000 т.е. подменить только sambaSID. Для этого создадим следующий ldif-файл rootedit.ldif: <div class="quote">dn: uid=root,ou=Users,dc=sclad,dc=lan changetype: modify replace: sambaSID sambaSID: S-1-5-21-93199991-951995455-3406427012-1000</div> Для добавления информации в базу воспользуйтесь командой: <div class="quote">[root@dsrv openldap]# ldapmodify -x -D "cn=root,dc=sclad,dc=lan" -W -f rootedit.ldif Enter LDAP Password: modifying entry "uid=root,ou=Users,dc=sclad,dc=lan" [root@dsrv openldap]#</div> И посмотрим, что же у нас получилось: <div class="quote">[root@dsrv openldap]# ldapsearch -x -D "cn=root,dc=sclad,dc=lan" -W -b 'dc=sclad,dc=lan' 'cn=root' Enter LDAP Password: # extended LDIF # # LDAPv3 # base with scope subtree # filter: cn=root # requesting: ALL # # root, Users, sclad.lan dn: uid=root,ou=Users,dc=sclad,dc=lan cn: root sn: root objectClass: top objectClass: person objectClass: organizationalPerson objectClass: inetOrgPerson objectClass: sambaSamAccount objectClass: posixAccount objectClass: shadowAccount gidNumber: 0 uid: root uidNumber: 0 homeDirectory: /home/root sambaLogonTime: 0 sambaLogoffTime: 2147483647 sambaKickoffTime: 2147483647 sambaPwdCanChange: 0 sambaHomePath: DSRVroot sambaHomeDrive: Z: sambaProfilePath: DSRVprofilesroot sambaPrimaryGroupSID: S-1-5-21-93199991-951995455-3406427012-512 loginShell: /bin/false gecos: Netbios Domain Administrator sambaLMPassword: A800BDD34ABDA30D944E2DF489A880E4 sambaAcctFlags: [U] sambaNTPassword: 1D374EB0B2FEB239A7643E37950D2C15 sambaPwdLastSet: 1239956579 sambaPwdMustChange: 1243844579 userPassword:: e1NTSEF9Z0RteU1JZHpoSzF3WXUzdXhkYWFPK2JUV1ZSd01tMUs= shadowLastChange: 14351 shadowMax: 45 sambaSID: S-1-5-21-93199991-951995455-3406427012-1000 # search result search: 2 result: 0 Success # numResponses: 2 # numEntries: 1 [root@dsrv openldap]#</div> Мы видим, что sambaSID изменился на нужный. Если бы это был новый сервер, то на этом можно было бы и закончить. Однако, у нас уже есть рабочая система с учетсками юзеров, компов и групп в самбе. Их то и нужно перенести в лдап. 18. Необходимо перенести всё из самбы

Восстановление пароля root-а на Линуксе http://tudimon.com/2009/04/18/vosstanovlenie-parolya-root-a-na-linukse.html Решил записать как восстановить (сбросить) пароль root-а на Линуксе Linux dimon Sat, 18 Apr 2009 22:42:04 -0500

У меня был случай когда я забыл пароль root на Линуксе. Пришлось его сбрасывать. Решил вот записать как это сделать. Для этого нужно выполнить последовательность действий: 1. Запускаем компьютер и дожидаемся заставки GRUB 2. Нажимаем какую-нить клавишу, чтобы прервать загрузку 3. Из списка ОС выбираем нужную нам 4. Нажимаем 'e' для редактирования команд загрузки 5. В новом окне выбираем строку "kernel /vmlinuz-…" 6. Нажимаем 'e' для редактирования строки 7. В конец строки дописываем " S" 8. Нажимаем ENTER 9. Нажимаем 'b' для загрузки ОС 10. После загрузки просто устанавливаем новый пароль: <div class="quote">sh-3.2# passwd Changing password for user root. New UNIX password: Retype new UNIX password: passwd: all authentication tokens update successfully. sh-3.2#</div> 11. Перезагружаем компьютер: <div class="quote">sh-3.2# shutdown –r 0 INIT: Sending processes the TERM signal</div> Таким образом, мы загрузили ОС в однопользовательском режиме и просто поменяли пароль. А теперь представим что это у нас не домашний компьютер, а корпоративный сервер. Т.е. получается, что злоумышленнику достаточно получить доступ к серверу, чтобы скачать любую информацию с этого сервера. Для устранения этой уязвимости в загрузчик GRUB добавлена возможность установить пароль на доступ к его параметрам. Для этого с помощью команды grub-md5-crypt или md5crypt (в разных ос - разные команды) сгенерим хэш пароля: <div class="quote">[root@dsrv grub]# grub-md5-crypt Password: Retype password: $1$5adsDASFdsfdsgdf80</div> И добавите его в общий раздел файла /boot/grub/menu.lst в виде строки: password --md5 $1$5adsDASFdsfdsgdf80 Теперь чтобы попасть в загрузчик GRUB нам нужно нажать 'р' и ввести пароль. Главное снова не забыть его <img style="vertical-align: middle;border: none;" alt="feel" src="http://tudimon.com/engine/data/emoticons/feel.gif" />

Разрешение доступа к ФТП средствами iptables http://tudimon.com/2009/04/16/razreshenie-dostupa-k-ftp-sredstvami-iptables.html Есть локальная сеть компьютеры которой вылазят в инте через сервер с Линуксом. Необходимо средствами iptables разрешить доступ компьютерам локальной сети к ФТП серверам в интернете. Linux dimon Thu, 16 Apr 2009 10:34:37 -0500

Есть локальная сеть компьютеры которой вылазят в инте через сервер с Линуксом. Необходимо средствами iptables разрешить доступ компьютерам локальной сети к ФТП серверам в интернете. Для этого добавим в файл /etc/sysconfig/iptables правила: <div class="quote">#FTP -A INPUT -s 192.168.0.0/255.255.255.0 -p tcp --dport 21 -j ACCEPT</div> Теперь в таблице NAT нужно добавить правило (в файле /etc/sysconfig/iptables после строки *nat): <div class="quote">-A POSTROUTING -s 192.168.0.0/255.255.255.0 -p tcp --dport 21 -j MASQUERADE</div> где 192.168.0.0/255.255.255.0 - наша локальная сеть. Однако, после добавления этих правил доступ к FTP серверами из локальной сети получить так и не удалось. Все дело оказалось в том, что протокол ФТП несет дополнительную информацию о соединении в области данных пакета. Соответственно корректная трассировка таких соединений требует подключения дополнительных вспомогательных модулей. Протокол FTP сначала открывает одиночное соединение, которое называется "сеансом управления FTP" (FTP control session). При выполнении команд в пределах этого сеанса, для передачи сопутствующих данных открываются дополнительные порты. Эти соединения могут быть активными или пассивными. При создании активного соединения клиент передает FTP серверу номер порта и IP адрес для соединения. Затем клент открывает порт, сервер подключает к заданному порту клиента свой порт с номером 20 (известный как FTP-Data) и передает данные через установленное соединение. Проблема состоит в том, что iptables ничего не знает об этих дополнительных подключениях, поскольку вся информация о них передается через область данных пакета. Из-за этого iptables не позволит серверу соединиться с указанным портом клиента. Решение проблемы состоит в добавлении специального вспомогательного модуля трассировки, который отслеживает, специфичную для данного протокола, информацию в области данных пакетов, передаваемых в рамках сеанса управления. При создании такого соединения, вспомогательный модуль корректно воспримет передаваемую информацию и создаст соответствующую запись в таблице трассировщика со статусом RELATED, благодаря чему соединение будет установлено. Пассивный FTP действует противоположным образом. Клиент посылает запрос серверу на получение данных, а сервер возвращает клиенту IP адрес и номер порта для подключения. Клиент подключает свой 20-й порт (FTP-data) к указанному порту сервера и получает запрошенные данные. Если ваш FTP сервер находится за брандмауэром(iptables), то нам потребуется этот вспомогательный модуль для того, чтобы сервер смог обслуживать клиентов из Интернет. То же самое касается случая, когда мы хотим ограничить своих пользователей только возможностью подключения к HTTP и FTP серверам в Интернет и закрыть все остальные порты. Поэтому необходимо подключить дополнительный вспомогательный модуль данном ip_nat_ftp. Это осуществляется добавлением в файл /etc/sysconfig/iptables-config следующих строк: <div class="quote"># Additional iptables modules (nat helper) # Default: -empty- IPTABLES_MODULES="ip_nat_ftp"</div> Перед этим естественно нужно проверить есть ли такие модули в системе: <div class="quote">[root@srv sysconfig]# modprobe -l | grep nat /lib/modules/2.6.9-42.ELsmp/kernel/net/bridge/netfilter/ebtable_nat.ko /lib/modules/2.6.9-42.ELsmp/kernel/net/bridge/netfilter/ebt_dnat.ko /lib/modules/2.6.9-42.ELsmp/kernel/net/bridge/netfilter/ebt_snat.ko /lib/modules/2.6.9-42.ELsmp/kernel/net/ipv4/netfilter/iptable_nat.ko /lib/modules/2.6.9-42.ELsmp/kernel/net/ipv4/netfilter/ip_nat_snmp_basic.ko /lib/modules/2.6.9-42.ELsmp/kernel/net/ipv4/netfilter/ip_nat_ftp.ko /lib/modules/2.6.9-42.ELsmp/kernel/net/ipv4/netfilter/ip_nat_tftp.ko /lib/modules/2.6.9-42.ELsmp/kernel/net/ipv4/netfilter/ip_nat_amanda.ko /lib/modules/2.6.9-42.ELsmp/kernel/net/ipv4/netfilter/ip_nat_irc.ko /lib/modules/2.6.9-42.ELsmp/kernel/drivers/net/natsemi.ko</div>

Пробрасывание порта средствами iptables внутрь локальной сети http://tudimon.com/2009/04/15/probrasyvanie-porta-sredstvami-iptables-vnutr.html Нужно пробросить порт внутрь локальной сети (т.е. вывесить порта сервера, находящегося внутри локальной сети в сеть во-вне, на внешний IP) с помощью iptables. Linux dimon Wed, 15 Apr 2009 15:36:58 -0500

Нужно пробросить порт внутрь локальной сети (т.е. вывесить порт сервера, находящегося внутри локальной сети в сеть во-вне, на внешний IP) с помощью iptables. Проброс в локальную сеть через шлюз по умолчанию (для машины куда он делается). Исходные данные: WAN_IP - внешний IP адрес WAN_PORT - внешний порт ETH1 - внешний сетевой интерфейс сервера ETH0 - внутренний сетевой интерфейс сервера COMP_IP - IP адрес машины (в локальной сети) на которую надо пробросить порт COMP_PORT - собственно сам порт на локальной машине xx.xx.xx.xx - IP адрес компа с которого мы будем подключаться Необходимо в файл /etc/sysconfig/iptables добавить правила: <div class="scriptcode">-A INPUT -s xx.xx.xx.xx -i ETH1 -p tcp -m tcp --dport WAN_PORT -j ACCEPT -A FORWARD -s xx.xx.xx.xx -i ETH1 -p tcp -m tcp --dport WAN_PORT -j ACCEPT</div> Тут я немного не понял: Везде написано, что достаточно правила FORWARD, однако у нас пакеты не попадали в остальные цепочки - сразу отбрасывались. Возможно из-за каких-то других настроек iptables. Поэтомы мы и дописали правило INPUT. -s xx.xx.xx.xx - это дополнительная фильтрация входящих пакетов. Так мы сможем подключиться к WAN_IP:WAN_PORT только с ip=xx.xx.xx.xx. Сделано для повышения безопасности. Теперь в таблице NAT нужно добавить правило (в файле /etc/sysconfig/iptables после строки *nat): <div class="scriptcode">-A PREROUTING -p tcp -i ETH1 --dport WAN_PORT -j DNAT --to-destination COMP_IP:COMP_PORT </div> В соответствии с этим правилом, все пакеты, поступающие на WAN_PORT порт интерфейса ETH1 перенаправляются на наш внутренний компьютер COMP_IP:COMP_PORT. Посмотрим получившиеся правила: <div class="quote">[root@srv /]# iptables -L -n -v Chain PREROUTING (policy ACCEPT 394 packets, 28084 bytes) pkts bytes target prot opt in out source destination 1 76 DNAT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:WAN_PORT to:COMP_IP:COMP_PORT Chain INPUT (2 references) pkts bytes target prot opt in out source destination 893 58796 ACCEPT tcp -- * * xx.xx.xx.xx 0.0.0.0/0 tcp dpt:WAN_PORT</div>

Контроллер домена (PDC) на sambe http://tudimon.com/2009/03/16/kontroller-domena-pdc-na-samba.html Задача поднять контроллер домена (PDC) с помощью samba на ОС Linux CentOS 5.2 (LDAP не используем). Рабочие станции комплектуются ОС MS Windows XP. Linux dimon Mon, 16 Mar 2009 15:44:01 -0500

Задача поднять контроллер домена (PDC) с помощью samba на ОС Linux CentOS 5.2 (LDAP не используем). Рабочие станции комплектуются ОС MS Windows XP. Сервер имеет два сетевых интерфейса: внешний: eth0 xxx.xxx.xxx.xxx внутренний: eth1 192.168.1.1/255.255.255.0 Группы: smb_wst – для компьютеров домена smb_usr – для пользователей домена smb_adm – для админов 1. Ставим самбу yum install samba 2. Правим /etc/samba/smb.conf <div class="quote"> #==== Settings ===== [global] # Имя домена workgroup = sclad # Описание сервера server string = Samba Server Version %v # nebios имя машины netbios name = sclad # Интерфейс на котором самба слушает подключения interfaces = lo eth1 192.168.1.0/255.255.255.0 # Хосты, которым разрешено обращаться к нашему серверу hosts allow = 127. 192.168.1. # Порты на которые самба слушает подключения smb ports = 139 # Лог файл самбы log file = /var/log/samba/%m.log # Максимальный размер лога (в Кб) max log size = 50 # Тип безопасности user(необходимо для PDC) security = user # Использовать зашированные пароли encrypt passwords = yes domain logons = yes # Скрипт, который запустится при входе пользователя logon script = logon.bat # Сетевой путь к перемещаемому профилю (для неперемещаемых профилей оставляем пусто) logon path = # Делаем из samb'ы PDC local master = yes domain master = yes os level = 33 preferred master = yes # использовать принтеры load printers = yes cups options = raw #==== Share Definitions ===== [homes] comment = Home Directories browseable = no writable = yes [printers] comment = All Printers path = /var/spool/samba browseable = no guest ok = no writable = no printable = yes [shared] comment = Share path = /docs/shared browseable = yes guest ok = yes writable = yes [netlogon] comment = Network Logon Service path = /docs/netlogon guest ok = yes writable = no share modes = no </div> 3. Создаем папки (шары): /docs/shared/ /docs/netlogon/ 4. Создаем логон-скрипт: /docs/netlogon/logon.bat 5. Стартуем службу: <div class="quote">[root@sclad /]# service smb start Starting SMB services: [ OK ] Starting NMB services: [ OK ]</div> 6. Добавляем комп в домен: <div class="quote">[root@sclad ~]# adduser comp$ [root@sclad ~]# smbpasswd -a -m comp Added user comp$.</div> 7. Создаем группы: <div class="quote">[root@sclad script]# groupadd smb_wst [root@sclad script]# groupadd smb_usr [root@sclad script]# groupadd smb_adm</div> 8. Добавляем root-а в домен (самбу), добавляем его в группу smb_adm: <div class="quote">[root@sclad samba]# smbpasswd -a root New SMB password: ***** Retype new SMB password: ***** Added user root. [root@sclad etc]# groups root root : root bin daemon sys adm disk wheel [root@sclad etc]# gpasswd -a root smb_adm Adding user root to group smb_adm [root@sclad etc]# groups root root : root bin daemon sys adm disk wheel smb_adm</div> 9. Создаем пользователя vasia в домене, добавляем его в группу smb_usr: <div class="quote">[root@sclad etc]# useradd vasia [root@sclad etc]# smbpasswd -a vasia New SMB password: ***** Retype new SMB password: ***** Added user vasia. [root@sclad etc]# usermod -G smb_usr vasia [root@sclad etc]# groups vasia vasia : vasia smb_usr</div> 10. Подключаем комп к домену: Мой компьютер – Свойства. Вкладка ”Имя компьютера”. 11. Теперь необходимо смапить линксовые группы с группами Windows, т.е. установить соответствие между Windows SIDs группой и UNIX группами. 11.1. Смотри SID домена: <div class="quote">[root@sclad samba]# net lookup name sclad S-1-5-21-1385638664-950386362-3318781817 3 (Domain) SCLAD</div> 11.2. Мапим группы: Domain Users = smb_usr (SID окончание 513) Domain Admins = smb_adm (SID окончание 512) <div class="quote">[root@sclad samba]# net groupmap add Usage: net groupmap add {rid=<int />|sid=<string />} unixgroup=<string /> [type=] [ntgroup=<string />] [comment=<string />] [root@sclad samba]# net groupmap add sid="S-1-5-21-1385638664-950386362-3318781817-513" unixgroup=smb_usr ntgroup="Domain Users" Successfully added group Domain Users to the mapping db as a domain group [root@sclad samba]# net groupmap add sid="S-1-5-21-1385638664-950386362-3318781817-512" unixgroup=smb_adm ntgroup="Domain Admins" Successfully added group Domain Admins to the mapping db as a domain group [root@sclad samba]# net groupmap list Domain Admins (S-1-5-21-1385638664-950386362-3318781817-512) -> smb_adm Domain Users (S-1-5-21-1385638664-950386362-3318781817-513) -> smb_usr</div> 11.3. Проверяем: - логинемся под пользователем vasia и видим, что он не имеет прав локального администратора, - логинемся под root и видим, что он локальный адимин. 12. Добавляем самбу в ”автозапуск”: <div class="quote">[root@sclad samba]# chkconfig smb on [root@sclad samba]# chkconfig --list | grep mb smb 0:off 1:off 2:on 3:on 4:on 5:on 6:off </div> PS:

Команды - сеть http://tudimon.com/2009/02/19/komandy-set.html Краткая памятка о командах настройки/мониторинга сети на сервере с Linux-ом. Делалась для себя. Так что не обессудьте Команды dimon Thu, 19 Feb 2009 16:54:34 -0600

Краткая памятка о командах настройки/мониторинга сети на сервере с Linux-ом. Делалась для себя. Так что не обессудьте <img style="vertical-align: middle;border: none;" alt="feel" src="http://tudimon.com/engine/data/emoticons/feel.gif" /> netstat [– anp] Вывода на экран списка сетевых подключений, таблиц маршрутизации, статистики интерфейсов и т. п. Помимо всего прочего она позволяет отобразить статус соединения, что полезно при анализе системы на предмет её безопасности - a - активные - n – не резолвить ip - p – какой процесс <div class="quote">[root@srv ~]# netstat -anp Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:646 0.0.0.0:* LISTEN 2160/rpc.statd tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN 2540/mysqld tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 2135/portmap …</div> tcpdump [–n port 80] Утилита, позволяющая перехватывать и анализировать сетевой трафик, проходящий через компьютер, на котором запущена данная программа. - n - не резолвить ip <div class="quote">[root@srv ~]# tcpdump -n port 80 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes 16:11:15.240857 IP xxx.xxx.xxx.xxx.http > zzz.zzz.zzz.zzz.5: S 35789788:35789788(0) ack 45079 win 16384 16:11:15.240915 IP zzz.zzz.zzz.zzz.5 > xxx.xxx.xxx.xxx.http: R 45079:45079(0) win 0 2 packets captured 4 packets received by filter 0 packets dropped by kernel</div> ifconfig Команда ifconfig используется для конфигурирования сетевых интерфейсов ядра. Если аргументы не переданы, ifconfig выдает информацию о состоянии активных интерфейсов <div class="quote">[root@srv ~]# ifconfig eth0 eth0 Link encap:Ethernet HWaddr 00:01:11:11:11:11 inet addr:xxx.xxx.xxx.xxx Bcast:xxx.xxx.xxx.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:7961 errors:0 dropped:0 overruns:0 frame:0 TX packets:3162 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:615694 (601.2 KiB) TX bytes:475343 (464.2 KiB) Interrupt:201</div> ifconfig eth0:1 xxx.xxx.xxx.xx1 netmask 255.255.255.0 позволяет задать аллиас – дополнительный ip на одну сетевую карту route Управление таблицами маршрутизации в сети. Эта команда доступна только после установки поддержки протокола TCP/IP Если аргументы не переданы, route выдает информацию о состоянии существующих маршрутах print - распечатка маршрута add - добавление маршрута delete - удаление маршрута change - изменение существующего маршрута <div class="quote">[root@srv ~]# route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface xxx.xxx.xxx.0 * 255.255.255.0 U 0 0 0 eth1 zzz.zzz.zzz.0 * 255.255.255.0 U 0 0 0 eth0 xxx.xxx.xxx.0 * 255.255.0.0 U 0 0 0 eth1 default gw.zzz.ru 0.0.0.0 UG 0 0 0 eth0</div> tracert Диагностическая программа, предназначенная для определения маршрута до точки назначения с помощью посылки в точку назначения эхо-пакетов протокола Internet Control Message Protocol (ICMP) с различными значениями срока жизни (TTL, Time-To-Live). <div class="quote">[root@srv ~]# tracert ya.ru traceroute to ya.ru (213.180.204.8), 30 hops max, 40 byte packets 1 gw.zzz.ru (xxx.xxx.xxx.xxx) 7.686 ms 7.639 ms 7.720 ms 2 DPT-310-SRP1-1.inetprov.net (zzz.zzz.zzz.zz1) 9.044 ms 11.169 ms 11.227 ms … 8 multiped-vlan4.yandex.net (213.180.210.156) 15.247 ms 15.553 ms 15.435 ms 9 ya.ru (213.180.204.8) 15.403 ms 13.157 ms 13.525 ms</div>

Команды - мониторинг ресурсов системы http://tudimon.com/2009/02/19/komandy-monitoringa-resursov-sistemy.html Краткая памятка о командах мониторинга ресурсов сервера с Linux-ом. Делалась для себя. Так что не обессудьте Команды dimon Thu, 19 Feb 2009 16:37:27 -0600

Краткая памятка о командах мониторинга ресурсов сервера с Linux-ом. Делалась для себя. Так что не обессудьте <img style="vertical-align: middle;border: none;" alt="feel" src="http://tudimon.com/engine/data/emoticons/feel.gif" /> ps [ax] Утилита типа виндового диспетчера задач <div class="quote">[root@srv ~]# ps ax PID TTY STAT TIME COMMAND 1 ? Ss 0:01 init [3] 2 ? S< 0:00 [migration/0] …</div> Ключ u позволяет отобразить имя пользователя от которого запущен процесс <div class="quote">[root@srv ~]# ps axu USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND root 1 0.4 0.1 2060 616 ? Ss 15:53 0:01 init [3] root 2 0.0 0.0 0 0 ? S< 15:53 0:00 [migration/0] …</div> top Утилита для наблюдения за процессами в real-time <div class="quote">[root@srv ~]# top top - 16:00:19 up 7 min, 1 user, load average: 0.01, 0.22, 0.15 Tasks: 93 total, 1 running, 92 sleeping, 0 stopped, 0 zombie Cpu(s): 0.2%us, 0.0%sy, 0.0%ni, 99.8%id, 0.0%wa, 0.0%hi, 0.0%si, 0.0%st Mem: 515452k total, 245872k used, 269580k free, 17048k buffers Swap: 1052248k total, 0k used, 1052248k free, 155336k cached PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 2957 root 15 0 2188 996 796 R 0 0.2 0:00.05 top 1 root 15 0 2060 616 528 S 0 0.1 0:01.28 init 2 root RT -5 0 0 0 S 0 0.0 0:00.00 migration/0 …</div> Нажатие на клавиши вызывает сортировку таблицы: M – по столбцу %MEM С - по столбцу %CPU vmstat N Выдаёт сведения о процессах, памяти и загруженности центрального процессора где N – интервал обновления в секундах <div class="quote">[root@srv ~]# vmstat 5 procs -----------memory---------- ---swap-- -----io---- --system-- -----cpu------ r b swpd free buff cache si so bi bo in cs us sy id wa st 0 0 0 269208 17244 155388 0 0 159 19 517 70 2 1 95 2 0 0 0 0 269208 17256 155388 0 0 1 9 1025 55 0 0 100 0 0</div> idstat - ?? пока хз что это <img style="vertical-align: middle;border: none;" alt="feel" src="http://tudimon.com/engine/data/emoticons/feel.gif" /> df «диск фрии» - показывает количество используемого и свободного дискового пространства <div class="quote">[root@srv ~]# df Filesystem 1K-blocks Used Available Use% Mounted on /dev/md0 64472092 1187784 59956452 2% / /dev/sda1 101086 11146 84721 12% /boot tmpfs 257724 0 257724 0% /dev/shm</div> du [-ksh] Показывает количество блоков диска, занятых каждым из файлов каталога du –ksh /etc – размер папки etc в килобайтах <div class="quote">[root@srv ~]# du -ksh /etc 41M /etc</div> <div class="quote">[root@srv ~]# du -k /etc 16 /etc/oddjobd.conf.d 16 /etc/netplug.d 8 /etc/stunnel …</div>

Создание ipsec VPN-туннеля между двумя сетями http://tudimon.com/2009/02/04/sozdanie-vpn-tunnelja-mezhdu-dvumja-setjami.html Есть две сети с серверами на CentOS. Каждый из северов имеет внутренний интерфейс для локальной сети офиса и внешний интерфейс со статичным ip-адресом и служит в качестве прокси-сервера. Задача - поднять ipsec VPN-туннель между двумя сетями. Cеть выглядит так: ( office_1 ) -- [ linux ] ~~ internet ~~ [ linux ] -- ( office_2 ) Linux dimon Wed, 04 Feb 2009 14:42:24 -0600

Есть две сети с серверами на CentOS. Каждый из северов имеет внутренний интерфейс для локальной сети офиса и внешний интерфейс со статичным ip-адресом и служит в качестве прокси-сервера. Необходимо создать VPN-туннель между двумя сетями. Cеть выглядит так: <div align="center">( office_1 ) -- [ linux ] ~~ internet ~~ [ linux ] -- ( office_2 )</div> сети и интерфейсы : сеть office_1 - 10.0.0.0/24 сеть office_2 - 192.168.0.0/24 office_1_int - 10.0.0.1/24 (внутренний интерфейс, office_1) office_1_ext - 84.84.84.1 (внешний интерфейс) office_2_ext - 84.84.84.2 (внешний интерфейс) office_2_int - 192.168.0.1/24 (внутренний интерфейс, office_2) Следующие шаги выполняем на сервере office_2: 1. создаем /etc/sysconfig/network-scripts/ifcfg-ipsec0 на сервере office_2 <div class="quote"> TYPE=IPSEC # тип соединения ONBOOT=yes # запускать при включении сервера IKE_METHOD=PSK # тип ключа SRCGW=192.168.0.1 # шлюз источника, т.е. шлюз сети office_2 DSTGW=10.0.0.1 # шлюз получателя, т.е. шлюз сети office_1 SRCNET=192.168.0.0/24 # сеть источника - сеть office_2 DSTNET=10.0.0.0/9 # сеть получателя - сеть office_1 DST=84.84.84.1 # внешний IP-адрес получателя - сети office_1 </div> 2. Создаем /etc/sysconfig/network-scripts/keys-ipsec0 на сервере office_2 <div class="quote"> IKE_PSK=superpass </div> где superpass – ключ, одинаковый для обоих серверов 3. Чтобы ограничить доступ к файлу keys-ipsec0, позволив читать и изменять его только пользователю root, выполните после создания файла следующее на сервере office_2 chmod 600 /etc/sysconfig/network-scripts/keys-ipsec0 4. Правим/создаем /etc/racoon/racoon.conf: <div class="quote"> # Racoon IKE daemon configuration file. # See 'man racoon.conf' for a description of the format and entries. path include "/etc/racoon"; path pre_shared_key "/etc/racoon/psk.txt"; path certificate "/etc/racoon/certs"; sainfo anonymous { pfs_group 2; lifetime time 1 hour ; encryption_algorithm 3des, blowfish 448, rijndael ; authentication_algorithm hmac_sha1, hmac_md5 ; compression_algorithm deflate ; } </div> где: sainfo anonymous - отмечает, что SA может автоматически инициализировать соединение с любым партнёром при совпадении учётных сведений IPsec. pfs_group 2 - определяет протокол обмена ключами Диффи-Хелмана, задающий алгоритм, по которому узлы IPsec устанавливают общий временный ключ сеанса для второй фазы соединения IPsec. lifetime time 1 hour - этот параметр задаёт срок жизни SA и может быть определяться временем или объёмом данных в байтах. encryption_algorithm 3des, blowfish 448, rijndael -указывает поддерживаемые алгоритмы шифрования для фазы 2. authentication_algorithm hmac_sha1, hmac_md5 - перечисляет поддерживаемые алгоритмы хэша для проверке подлинности. Поддерживаются режимы sha1 и md5 хэшированных кодов проверки подлинности сообщения (Hashed Message Authentication Codes, HMAC). compression_algorithm deflate - определяет алгоритм сжатия Deflate для поддержки сжатия IP-заголовков (IP Payload Compression, IPCOMP), что может увеличить скорость передачи IP-датаграм по медленным соединениям. 5. Отредактируем /etc/sysctl.conf и зададим net.ipv4.ip_forward равным 1 Чтобы изменение вступило в силу, выполним команду: sysctl -p /etc/sysctl.conf или тупо перезагрузим сервер 6. Запускаем интерфейс ifup ipsec0 Аналогично настраиваем сервер office_1. Только меняем везде ipsec0 на ipsec1 (что в принципе не обязательно – можно на обоих настроить ipsec0) и в конфигурационных файлах меняем везде местами ip источника и получателя. Проверка работоспособности – с машины офиса office_1 пингуем шлюз сети office_2, а потом какой-нибудь компьютер сети office_2. Так же пингуем в обратном направление. На время настройки я посоветовал бы отключить iptables на обоих серверах. PS: я так и не понял обязательно ли ключ прописывать в /etc/racoon/psk.txt – вроде и без него все работает.