eng3's questions

Minha organização está executando o Active Directory, que usa Kerberos para autenticação. Tenho um grupo de computadores Linux que não têm permissão para ingressar no AD. Para autenticação do usuário, configurei o Kerberos e o PAM para apontar para o servidor AD. Depois de adicionar o usuário ao sistema, posso fazer login usando meu nome de usuário e senha do AD. Depois de fazer login, tenho um tíquete. Isso é muito conveniente, pois não preciso manter um conjunto separado de credenciais para os usuários.

Agora eu gostaria de configurar o encaminhamento de tickets entre meu grupo de computadores para não ter que digitar minha senha novamente toda vez. Isso não funciona.

Cenário de exemplo: cliente AD ssh para server1 no meu grupo de computadores não no AD. Posso usar meu nome de usuário e senha para fazer login. Após o login, tenho um tíquete. Agora, quero fazer login no server1 no meu grupo de computadores não no AD. Isso me solicita uma senha novamente. Idealmente, como já tenho um tíquete no cliente AD, não preciso digitar minha senha para nenhum dos logins.

Com base no meu entendimento rudimentar do kerberos , acho que isso está falhando na etapa "TGS-REQ" em que o cliente tenta obter um tíquete de serviço de host (servidor) do kdc. Como meu host não está registrado/adicionado/ingressado, presumo que o KDC/AD não pode fornecer um e essa etapa falha.

Minhas perguntas?

1. Estou certo, essa é a causa dos meus problemas?
2. Existe alguma maneira de contornar isso para atingir minha meta de logon único usando credenciais do AD?
3. E se eu configurar meu próprio KDC/AD/IDM local? Existe uma maneira de apontar isso para o AD principal?

Usando chmod, acidentalmente mudei tudo em uma pasta bin e agora sudo/su não funciona.

Eu sei que rpm -q --whatprovides pode fornecer qual RPM fornece um arquivo específico. e rpm --setperms pode restaurar tudo fornecido por um RPM.

Existe uma maneira de restaurar as permissões de todos os arquivos em uma pasta usando rpm?

Eu tenho uma função lambda que configurei para iniciar uma instância:

import boto3
ec2 = boto3.client('ec2')
response = ec2.start_instances(
    InstanceIds=['i-xxx']
)
print(response)

A resposta parece boa, mostrando que está pendente de parado:

START RequestId: 26c0cf5e-6d70-4701-b0bd-68276b06d30d Version: $LATEST
{
    "StartingInstances": [
        {
            "CurrentState": {"Code": 0, "Name": "pending"},
            "InstanceId": "i-xxxxxx",
            "PreviousState": {"Code": 80, "Name": "stopped"},
        }
    ],
    "ResponseMetadata": {
        "RequestId": "fdab5818-0536-457f-a19e-17fea60100f4",
        "HTTPStatusCode": 200,
        "HTTPHeaders": {
            "x-amzn-requestid": "fdab5818-0536-457f-a19e-17fea60100f4",
            "content-type": "text/xml;charset=UTF-8",
            "content-length": "579",
            "date": "Wed, 16 Dec 2020 18:38:57 GMT",
            "server": "AmazonEC2",
        },
        "RetryAttempts": 0,
    },
}
END RequestId: f2ed2be9-e2f2-4beb-a69b-4cddee35bef4
REPORT RequestId: f2ed2be9-e2f2-4beb-a69b-4cddee35bef4  Duration: 1381.48 ms    Billed Duration: 1382 ms    Memory Size: 256 MB Max Memory Used: 97 MB  Init Duration: 688.96 ms    

No entanto, quando olho para o console, ele ainda mostra como parado e nunca inicia.

Não parece que falhou ao iniciar:

                "StateReason": {
                    "Code": "Client.UserInitiatedShutdown",
                    "Message": "Client.UserInitiatedShutdown: User initiated shutdown",
                },

Política baseada em execução:

{
  "Version": "2012-10-17",
  "Id": "default",
  "Statement": [
    {
      "Sid": "xxxxxxx",
      "Effect": "Allow",
      "Principal": {
        "Service": "s3.amazonaws.com"
      },
      "Action": "lambda:InvokeFunction",
      "Resource": "xxxxxxFunction",
      "Condition": {
        "StringEquals": {
          "AWS:SourceAccount": "xxxxxxxx"
        }
      }
    }
  ]
}

Parece que não tentou realmente começar. Eu usei este código para iniciar outras instâncias. Eu estou querendo saber se é um problema de permissões, mas não há erro. A função de execução da função lambda tem EC2fullaccess.

Observe, outro ponto de dados. Eu tentei mais código que usa o comando ssm send para enviar um comando assim que estiver em execução (depois de iniciar manualmente). Se eu tentar isso enquanto estiver em execução, ele será bem-sucedido.

Estou tentando evitar conflitos de IP com a VPN wireguard e gostaria de selecionar o bloco de endereço IPV4 privado menos usado.

Existem estatísticas publicadas sobre o uso do espaço de endereço IPV4 privado? Ou talvez alguns estudos?

Histórico: Tenho um servidor de armazenamento RHEL6 (muitos HDs) e um servidor de aplicativos RHEL6 (pouco armazenamento, muita CPU/memória). Eles estão atualmente conectados a um switch Catalyst 2960-X de 1 GB. Há também um servidor Windows e 15 computadores clientes Windows que praticamente atuam como terminais também conectados. O servidor de armazenamento contém todos os dados e está vinculado ao servidor de aplicativos por meio de uma única montagem NFS4.

Uso: Usuários SSH (com X11) para o servidor de aplicativos para executar jobs. Os usuários também têm a opção de executar tarefas no servidor de armazenamento (porque, no passado, tudo o que tínhamos era o servidor de armazenamento). O servidor de armazenamento fará backup de todos os seus dados no servidor Windows todas as noites.

Pergunta: Como haverá muito tráfego de rede entre o aplicativo e o servidor de armazenamento, existe uma maneira melhor de conectar os dois? Por exemplo, eu poderia conectar uma linha direta entre os dois e montar a montagem NFS4 nessa interface dedicada. Seria melhor usar o Channel Bonding (tenho 4 NICS em cada servidor)? Isso realmente ajudaria, pois estou usando apenas uma única montagem NFS? A tolerância a falhas aprimorada não é uma preocupação neste sistema, considerando que estamos usando apenas uma linha no momento. Como alternativa, posso usar a 2ª NIC em cada servidor para uma VLAN separada. Isso separaria pelo menos o tráfego do cliente SSH/X11 do tráfego NFS4/CIFS.

Eu gostaria que o rsnapshot não criasse uma segunda cópia de todos os meus arquivos e, em vez disso, tivesse apenas hardlinks para os arquivos originais e salvasse apenas uma cópia das alterações.

Eu tenho um servidor windows e linux. Eu gostaria de ter backups do meu sistema Linux armazenados no sistema Windows. No entanto, também gostaria de ter instantâneos disponíveis para os usuários.

Estou executando o rsnapshot no linux para obter instantâneos. Não consigo colocar a raiz do instantâneo no Windows, pois não posso preservar os atributos do arquivo em um sistema de arquivos diferente; portanto, o instantâneo reside no Linux. Isso significa que agora meus arquivos estão usando o dobro do espaço (original e instantâneo)

Como um instantâneo não é um backup, crio um backup compactando meus arquivos e enviando o arquivo zip para o Windows.

O problema é que, como estou criando um backup separado, não preciso manter duas cópias do mesmo arquivo no Linux. Portanto, gostaria que o rsnapshot não criasse uma segunda cópia de todos os meus arquivos e, em vez disso, tivesse apenas hardlinks para os arquivos originais.

Posso simplesmente criar manualmente a primeira pasta reter/intervalo com todos os hardlinks? (cp-al)