ZZ9's questions

我们正在使用下面的配置设置 sssd 以与活动目录一起使用。

我们不使用属性映射，因为我们想使用 AD ldap 对象中定义的属性，例如自定义 uid、unixHomeDirectory 和公钥等。

sssd.conf：

[sssd]
domains = company.domain
config_file_version = 2
services = nss, pam, sudo, ssh
debug_level = 6

[domain/sew.online]
ad_hostname = EXAMPLESERVER01 #This is templated using ansible
ad_domain = company.domain
krb5_realm = COMPANY.DOMAIN
krb5_store_password_if_offline = true
use_fully_qualified_names = false
id_provider = ad
auth_provider = ad
access_provider = ad
chpass_provider = ad
lookup_family_order = ipv4_only
cache_credentials = true
dns_discovery_domain = {{ prod_domain_name }}
create_homedir = true
auto_private_groups = true
ad_gpo_access_control = permissive
ad_gpo_cache_timeout = 30
ad_site = SITENAME
case_sensitive = false
enumerate = false
default_shell = /bin/bash
ldap_schema = ad
ldap_id_mapping = False
ldap_user_shell = loginShell
ldap_user_principal = samAccountName
ldap_user_ssh_public_key = altSecurityIdentities
ldap_user_home_directory = unixHomeDirectory
fallback_homedir = /home/%u

ldap_force_upper_case_realm = true
ldap_purge_cache_timeout = 0
ldap_account_expire_policy = ad
ldap_group_search_base = DN=etc...
ldap_user_search_base = DN=etc...
debug_level = 6

[nss]
fallback_homedir = /home/%u
reconnection_retries = 3
debug_level = 6

[pam]
offline_credentials_expiration = 3
offline_failed_login_attempts = 10
offline_failed_login_delay = 30
pam_verbosity = 3
pam_id_timeout = 10
pam_pwd_expiration_warning = 30
reconnection_retries = 3
debug_level = 6

krb5.conf

[logging]
default = FILE:/var/log/krb5libs.log

[libdefaults]
default_realm = COMPANY.DOMAIN
ticket_lifetime = 1d
renew_lifetime = 7d
dns_lookup_realm = true
dns_lookup_kdc = true
rdns = false
allow_weak_crypto = false
permitted_enctypes = aes256-cts-hmac-sha1-96
default_tkt_enctypes = aes256-cts
default_tgs_enctypes = aes256-cts
kdc_timesync = 1
kdc_timeout = 3000
forwardable = true
renewable = true
proxiable = true
udp_preference_limit = 1
rnds = false

这是各种 sssd 日志文件的 pastebin： https ://pastebin.com/2P58uybg

日志显示已成功登录（通过 sshd 和公钥身份验证）的域用户尝试运行sudo bash

除密码外，广告集成按需要工作：

• 用户可以使用他们的 sAMAccountName 登录
• 如果我运行 id username 你可以从活动目录中看到用户名的组及其 gid
• 计算机对象（使用 adcli 添加）显示在活动目录中
• 计算机 SPN 似乎存在有效的 kerberos 票证

作为故障排除步骤，我在域控制器上配置了 LDAPS，并在 ubuntu 的 ca 存储中添加了一个内部受信任的证书。

我已经浏览了 sudo 日志（非常详细），它显示该组已成功匹配并允许用户 sudo。

任何帮助表示赞赏。

编辑：

主机操作系统：Ubuntu 18.04

nsswitch.conf

# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc-reference' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.

passwd:         compat systemd sss
group:          compat systemd sss
shadow:         compat sss
gshadow:        files

hosts:          files dns
networks:       files

protocols:      db files
services:       db files sss
ethers:         db files
rpc:            db files

netgroup:       nis sss
sudoers:        files sss

为 ansible 角色安装的软件包：

• adcli
• krb5-用户
• 固态硬盘
• sssd工具
• sssd 广告
• sssd-krb5
• python3-sss
• libpam-sss
• libnss-sss
• libsss-sudo

如果我做：

ssh -J jumphost.example.com target.example.com

我最终立即登录到“目标”。

如果我使用这个 ssh 配置文件，使用更新的 ssh-7.3 跳转配置：

Host jump 10.1.*, targets*, *.example.com
  HostName jumphost.example.com
  IdentitiesOnly yes
  AddKeysToAgent yes
  UseKeychain yes
  IdentityFile ~/.ssh/id_rsa

Host *
  AddKeysToAgent yes
  UseKeychain yes
  IdentityFile ~/.ssh/id_rsa

我最终登录到'jumphost'而不是'target'

他们的钥匙串东西适用于 mac，我已经在没有它的情况下进行了测试，它没有任何区别，但我想我会留下它以防万一。

我在A公司。我们有一堆 Exchange 2010 服务器。

我们已经接受了我们交换的域名：CompanyA CompanyB CompanyC 等...

许多用户的邮箱不在电子邮件地址政策范围内，并且拥有上述所有公司的地址。

CompanyB 决定他们要继续前进并迁移到 O365。我们为他们的邮箱提供了 PST，他们恢复了它们，我们将 MX 指向 365 并删除了接受的域。

一切似乎都很好，直到一周后我们意识到，即使我们删除了接受的域，以 [email protected] 作为地址的邮箱仍然会收到邮件发送到他们的内部邮箱。我还发现邮箱没有被禁用。我立即删除了公司 B 的邮箱，以努力将他们的电子邮件地址从可见到交换中删除，希望它只会在该域的外部出现。

我做了一个 Clean-MailboxDatabase，以上所有内容现在都显示在断开连接的邮箱中。

我从 Outlook 中删除了 NK2 弹出窗口，但仍然出现错误，因为 Exchange 的行为就像该域是一个公认的权威域一样。如何强制 Exchange 将此域的所有邮件发送到正确的 MX（外部）而不查看 IMCEAEX？

#550 5.1.1 RESOLVER.ADR.ExRecipNotFound; not found ##

是否可以嵌套基本身份验证？这样就可以使用一个基本的身份验证指令访问父文件夹和所有子文件夹，但子文件夹具有单独的身份验证

虚拟主机配置：

<VirtualHost *:80>
        ServerName subdomain.domain.com
        #
        #       Comment
        #
        ErrorLog "/var/log/httpd/analytics_prox_error_log"
        CustomLog "/var/log/httpd/analytics_prox_access_log" common
        SSLProxyEngine on
        SSLProxyVerify none
        ProxyRequests Off

        <Location />
                AuthType Basic
                AuthName "ProxyMain"
                AuthUserFile /var/www/analytics-auth/.htpasswd
                Require user datateam
                Satisfy any
                Deny from all
                Allow from 192.168.0.0/16 10.0.0.0/8
        </Location>

        <Location /folder1/>
                AuthType Basic
                AuthName "Proxy"
                AuthUserFile /var/www/analytics-auth/.htpasswd
                Require user mainuser folder1user
                Satisfy any
                Deny from all
                Allow from 192.168.0.0/16 10.0.0.0/8
        </Location>

        <Location /anotherfolder/>
                AuthType Basic
                AuthName "Proxy"
                AuthUserFile /var/www/analytics-auth/.htpasswd
                Require user mainuser anotherfolderuser
                Satisfy any
                Deny from all
                Allow from 192.168.0.0/16 10.0.0.0/8
        </Location>

        ProxyPass / https://1.1.1.1/
        ProxyPassReverse / https://1.1.1.1/
</VirtualHost>

提示输入 / 的基本身份验证对于所有子文件夹都是相同的，并且可以正常工作。（AuthMain）但是，如果我浏览到指定的文件夹（例如 folder1），我将获得根基本身份验证，而不是特定于该位置的基本身份验证

我第一次在 CentOS7.2 上设置 sensu，一遍又一遍地遵循官方文档，但是我无法让它工作：

我似乎无法连接到 API。Uchiwa 给出了错误：

ALERT
Datacenter site1 returned:
Connection error. Is the Sensu API running?`

我试过：curl -I http://localhost:4567/clients ...我没有得到回应。

这是/var/log/sensu/sensu-api.log http://pastebin.com/wHEHE0bH

我一直在创建一个脚本来使设置可重复。请参阅下面显示我的配置的脚本：http: //pastebin.com/QEt5Msku 如果您在 CentOS7 上运行该脚本，它应该会重复此问题。

使固定：

问题在下面的答案中。在遵循在新 VM 上成功安装 sensu 的非官方指南之后，我比较了两个设置步骤，在新 VM 上构建了几次之后，一点一点地交换步骤，我发现用非官方指南中的一个替换 repo指向一个稍微不同的 URL 解决了我的问题（CentOS6 的 repo，但它适用于 7，它只是安装了一个非当前版本 0.20.3）。

echo '[sensu]
name=sensu-main
baseurl=http://repos.sensuapp.org/yum/el/6/x86_64/
gpgcheck=0
enabled=1' > /etc/yum.repos.d/sensu.repo

在 OSX 或 Windows 等客户端计算机上：

Web 浏览器会在引用其 DNS 缓存之前检查主机文件吗？

我试图在我的脑海中找出完整的 DNS '路由'。

• 主机文件
• 浏览器 DNS 缓存
• 本地 DNS 缓存
• DNS 服务器
• 根提示或转发

浏览器和操作系统之间有区别吗？

刚开始使用 Ansible，我已经在客户端机器上设置了一个 Asible 用户，并从 OpenSSL 创建了一组密钥。我在自己的帐户下运行 Ansible。我在 Ansible 配置中指定了用户和私钥文件。我希望远程命令以该用户身份运行，并且该用户以 sudo 执行需要提升的命令。

/etc/ansible/ansible.cfg

private_key_file = /etc/ansible/pka/confman.crt
remote_user = confman

像这样的命令在初始输入密码后不要求输入密码：

ansible all -m ping

每次我运行它们时都会提示输入密码：

ansible all -m ping -b
Enter passphrase for key '/etc/ansible/private_keys/confman.crt':
(success)

ansible all -m ping --sudo
Enter passphrase for key '/etc/ansible/private_keys/confman.crt':
(success)

ansible all -a "cat /etc/redhat-release"
Enter passphrase for key '/etc/ansible/private_keys/confman.crt':
(success)

为什么？

有没有办法设置密码？有没有更安全的方法？我计划通过 cron 和其他无法输入密码短语的自动化工具远程运行 ansible。

作为上下文，我从来不需要在 Linux 服务器之间进行 SSH，总是从使用 putty、RoyalTS 和 mRemoteNG 等工具的 Windows 机器上进行，所以我的 ssh 知识......稀疏。我想我错过了一些明显的东西。

昨天我得知我的 Azure 服务器存在 RDP 问题，用户无法通过免责声明页面。最初重新启动服务器解决了这个问题，直到今天早上它没有任何效果。

当用户尝试通过远程桌面登录时，他们会像往常一样收到免责声明，但是一旦接受免责声明，它就会消失，但 RDP 保持在同一屏幕上并且不会进入桌面。

这不是凭据问题。（非域，设置为永不过期）。我已经尝试过使用多个客户端，包括本机客户端和第 3 方 RDP 客户端，所有这些都具有相同的结果。

BIND9 拒绝来自 Ubuntu 上 IP 外部 localnet（外部 IP）的查询。

options {
        listen-on port 53       { any; };
        directory               "/var/bind";
        allow-query             { any; };
        allow-query-cache       { any; };
        allow-transfer          { none; };
        recursion               no;
        dnssec-validation       auto;
        auth-nxdomain           no;
};

include "/etc/bind/zones.conf";
include "/etc/bind/reverse-zones.conf";
include "/etc/bind/named.conf.default-zones";

zone.conf 示例

zone "test.test" IN {
    type slave;
    file "zones/test.test.zone";
    masters { 1.1.1.1; };
};

另外，我在我的日志中看到了一个拒绝，所以添加了allow-query-cache { any; };但是这没有任何区别。

日志：client 192.168.3.100#64088 (test.test.SUB.DOMAIN.INTERN): query (cache) 'test.test.SUB.DOMAIN.INTERN/A/IN' denied

运行“ nslookup test.test 172.1.1.5”后（DNS 超时）

现在系统日志中没有任何异常显示。这是 BIND 在加载区域之前显示的内容（没有错误）：

adjusted limit on open files from 4096 to 1048576
found 18 CPUs, using 18 worker threads
using 18 UDP listeners per interface
using up to 18432 sockets
loading configuration from '/etc/bind/named.conf'
reading built-in trusted keys from file '/etc/bind/bind.keys'
using default UDP/IPv4 port range: [1024, 65535]
using default UDP/IPv6 port range: [1024, 65535]
no IPv6 interfaces found
listening on IPv4 interface lo, 127.0.0.1#53
listening on IPv4 interface eth0, 172.1.1.5#53
generating session key for dynamic DNS
sizing zone task pool based on 162 zones
using built-in root key for view _default
set up managed keys zone for view _default, file 'managed-keys.bind'
command channel listening on 127.0.0.1#953
managed-keys-zone: loaded serial 2
zone 0.in-addr.arpa/IN: loaded serial 1

Var/Bind 位于非标准位置，但我在编辑 apparmor 配置文件后检查了日志，没有发现任何问题。

我可以从同一个子网成功查询绑定。

/etc/default/bind9：

# run resolvconf?
RESOLVCONF=no

# startup options for the server
# OPTIONS="-u bind"
OPTIONS="-4 -u bind"

此更改是禁用 ipv6

我是一个 RHEL 人 - 在 Centos7(1503) 上成功设置了服务器，并发现海外有奴隶的人想要运行 Ubuntu。所以这很酷是我的操作系统配置错误。

如果同一记录集中不允许不同的 TTL，为什么绑定允许逐个记录设置 TTL？

如果我使用以下方法设置区域 ttl：

$TTL 39600

然后使用以下方法设置记录 TTL：

@        300     IN      A       1.1.1.1

我在日志中收到警告：

TTL set to prior TTL (300)

这是因为我有“同一记录集中的记录有不同的 TTL，这是不允许的”

如果不允许这样做，那么能够逐条记录设置 TTL 记录有什么意义？

谢谢

我目前有 example.com 指向服务器一。我想从不同的目录（ /​​WebData ）服务器 example.com

我通过编辑 httpd.conf 做到了这一点

http://pastebin.com/UjHhRNTX

我可以按要求工作。

然后我发现我需要将 website.org 添加到服务器。所以我安装了另一个磁盘并创建了一个名为 /WebDataWebsite 的目录

并使用以下 VHost 创建了 /etc/httpd/conf.d/websiteorg.conf：

http://pastebin.com/GTmqtABf

<VirtualHost *:80>
       DocumentRoot "/WebDataWebsite"
       ServerName website.org
       ServerAlias www.website.org
       <Directory "/WebDataWebsite">
               Require all granted
       </Directory>
</VirtualHost>

出于某种原因，所有到 example.com 和 website.org 的流量都被定向到 /WebDataWebsite 中的 index.htm

我做错了什么？如何使 /WebData（在 httpd.conf 中）成为默认网站，但使用 VHost 按 servername website.org 过滤？

我试图建立一个权威的 BIND 服务器，每次我在 CentOS 上遇到同样的问题。我可以在本地为服务器上的区域运行 dig 命令，但是当我nslookup - serverip从 cmd.exe 运行时，我没有得到任何响应。

服务器上的防火墙是打开的，并且 bind 没有显示 in/var/log/messeges或 in/var/named/data/named.run

这是我的 /etc/named.conf

options {
listen-on port 53 { 127.0.0.1; 172.16.100.1; 1.1.1.1; };
//listen-on-v6 port 53 { ::1; };
directory   "/var/named";
dump-file   "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
allow-query     { any; };
allow-transfer  { localhost; 172.16.100.67; };
recursion no;
dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;
/* Path to ISC DLV key */
bindkeys-file "/etc/named.iscdlv.key";
managed-keys-directory "/var/named/dynamic";
pid-file "/run/named/named.pid";
session-keyfile "/run/named/session.key";
};
logging {
        channel default_debug {
                file "data/named.run";
                severity dynamic;
        };
};
zone "." IN {
    type hint;
    file "named.ca";
};
include "/etc/named/zones.conf";
include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";

我已重新启动并禁用 SELinux 以消除它。我已经检查了正确的防火墙设置。

named-checkconf /etc/named.conf显示没有错误并且服务启动成功，我可以ping服务器。

提前致谢！

我正在运行我在所有 SQL 服务器上运行的脚本，但是在此特定服务器上，我遇到了脚本无法在外部位置复制数据库备份的问题，因为脚本在新创建的本地被拒绝访问数据库备份。

无论出于何种原因，备份都不会继承 NTFS 权限，而是使用与数据库关联的权限。

使用新的 SQL Server 2014

通过 32 位 ODBC 连接失败，出现错误“服务器不存在或访问被拒绝”

通过 64 位 ODBC 连接成功

什么可能导致这种情况？

目标是外部用户可以通过 HTTPS 连接，通过 Apache 上的基本身份验证，然后查看代理 tomcat 站点。

我已经使用基本身份验证设置了一个反向代理到在同一台机器上运行在不同端口上的 tomcat 服务器：(/etc/httpd/conf.d/vhost.conf)

NameVirtualHost *:80
<VirtualHost *:80>
    ServerName  sub.domainx.co.uk
    ErrorLog "/var/log/proxy/domainx_prox_error_log"
    CustomLog "/var/log/proxy/domainx_prox_access_log" common
    ProxyRequests Off
    <Proxy *>
        Order deny,allow
        Deny from all
        Allow from all
    </Proxy>
    <Location />
        AuthType Basic
        AuthName "Proxy Auth"
        AuthUserFile /var/www/syzygy-auth/CONFLUENCE/.htpasswd
        Require user ukuser
        Satisfy any
        Deny from all
        Allow from 192.168.0.0/21
   </Location>
   ProxyPass / http://sub.domainx.co.uk:8090/
   ProxyPassReverse / http://sub.domainx.co.uk:8090/
</VirtualHost>

以上工作正常。

然后我开始在 apache 上设置 mod_ssl。

yum -y install mod_ssl

然后我上传了我的通配符 ssl 并对 dollowing 进行了更改/etc/httpd/conf.d/ssl.conf

uncommented: 
DocumentRoot "/var/www/html"
uncommented/updated:
ServerName www.server.world:443
SSLCertificateFile /etc/pki/tls/certs/server.crt
SSLCertificateKeyFile /etc/pki/tls/certs/server.key

这些变化似乎产生了预期的效果。

我无法通过 HTTPS 和 HTTP 代理 tomcat 服务器查看 index.html。

当我添加一个相同的虚拟主机但端口更改为 443 时，没有任何更改生效。

当我在 apache 上添加 SSLProxyEngine 时不会启动。

我在代理错误日志中得到以下信息：

Fatal error initialising mod_ssl, exiting. See /var/log/proxy/domainx_prox_error_log for more information

Server should be SSL-aware but has no certificate configured

我知道这usermod -g不是许多像这样的帖子的最佳实践，但是他们通常解释usermod不应该使用它，因为它会改变用户的主要组。这些帖子似乎没有考虑到-aG只是附加组的开关。

这仍然是不好的做法还是与使用没有什么不同gpasswd -a？

我想在 Apache 2.4 中测试 LimitRequestFieldSize 的值。

我试过设置它，想知道是否有一种直接的方法可以从 apache 调用它的值或通过浏览器测试它。

是否可以替换通过代理传递的每个页面上的内容，类似于 mod_rewrite 用于 URL 的方式？关于替代品的文档不清楚。

我有一些我正在反向代理的页面，它们具有绝对路径。这破坏了网站。它们需要替换，而 mod_rewrite 之类的工具没有拾取它们，因为它们不是 URL 请求。

<VirtualHost *:80>
    ServerName  servername1
    ServerAlias servername2

    ErrorLog "/var/log/proxy/jpuat_prox_error_log"
    CustomLog "/var/log/proxy/jpuat_prox_access_log" common

    RewriteEngine on
    LogLevel alert rewrite:trace2
    RewriteCond %{HTTP_HOST} /uat.site.co.jp$ [NC]
    RewriteRule ^(.*)$ http://jp.uat.site2uk.co.uk/$1 [P]

    AddOutputFilterByType SUBSTITUTE text/html
    Substitute "s|uat.site.co.jp|jp.uat.site2uk.co.uk|i"


    ProxyRequests Off

    <Proxy *>
            Order deny,allow
            Allow from all
    </Proxy>

    ProxyPass / http://uat.site.co.jp/
    ProxyPassReverse / http://uat.site.co.jp/
</VirtualHost>

以上都不适用于替换 HTML 字符串

<link href="//uat.site.co.jp/css/css.css

和

<link href="//uat.site2uk.co.uk/css/css.css

更改后的配置：

<VirtualHost *:80>
    ServerName  jp.uat.site2uk.co.uk
    ServerAlias uat.site.co.jp
    ErrorLog "/var/log/proxy/jpuat_prox_error_log"
    CustomLog "/var/log/proxy/jpuat_prox_access_log" common
    ProxyRequests Off
    <Proxy *>
        Order deny,allow
        Allow from all
    </Proxy>
    ProxyPass / http://uat.site.co.jp/
    ProxyPassReverse / http://uat.site.co.jp/
    AddOutputFilterByType SUBSTITUTE text/html
    Substitute "s|uat.site.co.jp|jp.uat.site2uk.co.uk|ni"
</VirtualHost>

我正在运行一个 vmware 环境（不幸的是版本 4），它需要我使用 bios rom 文件才能运行服务器 2012。我在创建后将其上传到 VM 的根文件夹，然后再启动并更改一些配置行。

bios440.filename = bios.440.rom
mce.enable = TRUE
cpuid.hypervisor.v0 = FALSE
vmGenCounter.enable = FALSE 

配置参数和ROM从这里

在我克隆虚拟机或尝试部署模板之前，这非常有效。文件没有被复制。

从模板克隆或部署时，有什么方法可以告诉 vmware 文件需要与 VM 一起复制？

bios440.filename =[ESX-ISO (SAN1)] ROMs/bios.440.rom

数据存储的名称在哪里ESX-ISO (SAN1)

我们有许多用户需要在一个月内完成的任务（时间表、报告等），我正在尝试考虑强制用户完成这些任务的最佳方式。

目前，我们发送提醒电子邮件。这些很容易被忽略。帐户浪费大量时间追人。

我希望通过组策略找到一种方法，将他们所有的网络流量重定向到一个特定的页面，通知他们需要完成他们的任务。（有点 BOFH，我知道……）

或者用户不能忽略的其他一些方法来强制他们完成这些任务（总共需要 5 分钟）。

你们有什么感想？