eng3's questions

我的组织正在运行使用 Kerberos 进行身份验证的 Active Directory。我有一组不允许加入 AD 的 Linux 计算机。对于用户身份验证，我设置了 kerberos 和 pam 以指向 AD 服务器。将用户添加到系统后，我可以使用我的 AD 用户名和密码登录。登录后，我有一张票。这非常方便，因为我不需要为用户维护一组单独的凭据。

现在我想在我的计算机组之间设置票证转发，这样我就不必每次都重新输入密码。这行不通。

示例场景：AD 客户端通过 ssh 连接到不在 AD 中的计算机组中的 server1。我可以使用我的用户名和密码登录。登录后，我有一张票。我现在想登录不在 AD 中的计算机组中的 server1。这会再次提示我输入密码。理想情况下，由于我在 AD 客户端上已经有一张票，因此我不需要输入密码进行任何登录。

根据我对 kerberos 的初步了解，我认为这是由于“TGS-REQ”步骤失败，在此步骤中，客户端尝试从 kdc 获取主机（服务器）服务票证。由于我的主机未注册/添加/加入，我假设 KDC/AD 无法提供，因此该步骤失败。

我的问题？

1. 我是否正确？这就是我的问题的原因？
2. 有没有什么方法可以解决这个问题，实现使用 AD creds 的单点登录目标？
3. 如果我设置自己的本地 KDC/AD/IDM 会怎么样？有没有办法将其指向主 AD？

使用 chmod，我不小心更改了 bin 文件夹中的所有内容，现在 sudo/su 不起作用。

我知道rpm -q --whatprovides可以提供哪个 RPM 提供特定文件。和rpm --setperms可以恢复 RPM 提供的所有内容。

有没有办法使用rpm恢复文件夹中所有文件的权限？

我有一个 lambda 函数，我已经设置它来启动一个实例：

import boto3
ec2 = boto3.client('ec2')
response = ec2.start_instances(
    InstanceIds=['i-xxx']
)
print(response)

响应看起来不错，显示它将从停止状态等待：

START RequestId: 26c0cf5e-6d70-4701-b0bd-68276b06d30d Version: $LATEST
{
    "StartingInstances": [
        {
            "CurrentState": {"Code": 0, "Name": "pending"},
            "InstanceId": "i-xxxxxx",
            "PreviousState": {"Code": 80, "Name": "stopped"},
        }
    ],
    "ResponseMetadata": {
        "RequestId": "fdab5818-0536-457f-a19e-17fea60100f4",
        "HTTPStatusCode": 200,
        "HTTPHeaders": {
            "x-amzn-requestid": "fdab5818-0536-457f-a19e-17fea60100f4",
            "content-type": "text/xml;charset=UTF-8",
            "content-length": "579",
            "date": "Wed, 16 Dec 2020 18:38:57 GMT",
            "server": "AmazonEC2",
        },
        "RetryAttempts": 0,
    },
}
END RequestId: f2ed2be9-e2f2-4beb-a69b-4cddee35bef4
REPORT RequestId: f2ed2be9-e2f2-4beb-a69b-4cddee35bef4  Duration: 1381.48 ms    Billed Duration: 1382 ms    Memory Size: 256 MB Max Memory Used: 97 MB  Init Duration: 688.96 ms    

但是，当我查看控制台时，它仍然显示为已停止并且从不启动。

它似乎没有启动失败：

                "StateReason": {
                    "Code": "Client.UserInitiatedShutdown",
                    "Message": "Client.UserInitiatedShutdown: User initiated shutdown",
                },

基于执行的政策：

{
  "Version": "2012-10-17",
  "Id": "default",
  "Statement": [
    {
      "Sid": "xxxxxxx",
      "Effect": "Allow",
      "Principal": {
        "Service": "s3.amazonaws.com"
      },
      "Action": "lambda:InvokeFunction",
      "Resource": "xxxxxxFunction",
      "Condition": {
        "StringEquals": {
          "AWS:SourceAccount": "xxxxxxxx"
        }
      }
    }
  ]
}

似乎它并没有真正尝试开始。我已使用此代码启动其他实例。我想知道这是否是权限问题，但没有错误。lambda 函数执行角色具有 EC2fullaccess。

注意，另一个数据点。我尝试了进一步的代码，该代码使用 ssm send 命令在运行后（手动启动后）发送命令。如果我在它运行时尝试它会成功。

我试图避免与wireguard VPN 发生IP 冲突，并希望选择使用最少的私有IPV4 地址块。

是否发布了有关私有 IPV4 地址空间使用情况的统计数据？或者也许是一些研究？

背景： 我有一个 RHEL6 存储服务器（很多 HD）和一个 RHEL6 应用程序服务器（小存储，大量 CPU/内存）。它们当前连接到 1GB Catalyst 2960-X 交换机。还有一个 Windows 服务器和 15 台客户端 Windows 计算机，它们几乎可以作为终端连接。存储服务器包含所有数据，并通过单个 NFS4 挂载链接到应用程序服务器。

用法： 用户通过 SSH（使用 X11）到应用服务器运行作业。用户也可以选择在存储服务器上运行作业（因为在过去，我们只有存储服务器）。存储服务器每晚会将其所有数据备份到 Windows 服务器。

问题： 由于应用程序和存储服务器之间的网络流量会很大，有没有更好的方法来连接两者？例如，我可以在两者之间连接一条直线，并将 NFS4 安装在该专用接口上。使用通道绑定会更好吗（我在每台服务器上有 4 个 NICS）？因为我只使用一个 NFS 挂载，这真的有帮助吗？考虑到我们现在只使用一条线路，改进的容错性不是这个系统的问题。或者，我可以将每台服务器上的第二个 NIC 用于单独的 VLAN。这至少会将 SSH/X11 客户端流量与 NFS4/CIFS 流量分开。

我希望 rsnapshot 不为我的所有文件创建第二个副本，而只是拥有指向原始文件的硬链接，并且只保存更改的副本。

我有一个 Windows 和 linux 服务器。我想将我的 linux 系统的备份存储到 windows 系统上。但是，我也希望为用户提供快照。

我在 linux 上运行 rsnapshot 以获得快照。我无法将快照根放在 Windows 上，因为我无法将文件属性保留在不同的文件系统上，因此快照位于 linux 上。这意味着现在我的文件使用了两倍的空间（原始和快照）

由于快照不是备份，因此我通过压缩文件并将压缩文件发送到 Windows 来创建备份。

问题是因为我创建了一个单独的备份，所以我不需要在 linux 上保留同一个文件的两个副本。因此，我希望 rsnapshot 不为我的所有文件创建第二个副本，而只包含指向原始文件的硬链接。

我可以简单地手动创建包含所有硬链接的第一个保留/间隔文件夹吗？(cp -al)