473183469提出的问题 -server

473183469

Asked: 2018-02-02 23:32:31 +0800 CST

freeradius 静默 rlm_ldap 日志消息

0

从 freeradius2 转换为 freeradius3 后发现rlm_ldap真的很健谈：

Fri Feb  2 08:02:51 2018 : Info: rlm_ldap (ldap): Closing connection (79): Hit idle_timeout, was idle for 202 seconds
Fri Feb  2 08:02:51 2018 : Info: rlm_ldap (ldap): Closing connection (80): Hit idle_timeout, was idle for 202 seconds
Fri Feb  2 08:02:51 2018 : Info: rlm_ldap (ldap): Opening additional connection (81), 1 of 32 pending slots used
Fri Feb  2 08:02:51 2018 : Info: Need 2 more connections to reach min connections (3)

我radius.log只想有 auth msg 行：

Fri Feb  2 08:02:51 2018 : Auth: (3951) Login OK: [user] (from client aphub port 1 cli FA-KE-MA-CA-DD-RE)

但是我找不到如何在单个模块上选择性地禁用日志记录。

遵循 rlm_ldap 的一小时日志：

2018 年 2 月 9 日星期五 10:06:02：信息：rlm_ldap（ldap2）：关闭连接（1320）：命中 idle_timeout，空闲 430 秒
2018 年 2 月 9 日星期五 10:06:02：信息：rlm_ldap（ldap2）：关闭连接（1319）：命中 idle_timeout，空闲 430 秒
2018 年 2 月 9 日星期五 10:06:02：信息：rlm_ldap (ldap2)：打开附加连接 (1321)，已使用 32 个待处理插槽中的 1 个
2018 年 2 月 9 日星期五 10:06:03：信息：需要 2 个以上的连接才能达到最小连接 (3)
2018 年 2 月 9 日星期五 10:06:03：信息：rlm_ldap (ldap2)：打开附加连接 (1322)，已使用 31 个待处理插槽中的 1 个
2018 年 2 月 9 日星期五 10:06:03：信息：rlm_ldap（ldap2-secondary）：关闭连接（1227）：命中 idle_timeout，空闲 431 秒
2018 年 2 月 9 日星期五 10:06:03：信息：rlm_ldap（ldap2-secondary）：关闭连接（1228）：命中 idle_timeout，空闲 431 秒
2018 年 2 月 9 日星期五 10:06:03：信息：rlm_ldap（ldap2-secondary）：打开附加连接（1229），已使用 32 个待处理插槽中的 1 个
2018 年 2 月 9 日星期五 10:06:03：信息：需要 2 个以上的连接才能达到最小连接 (3)
2018 年 2 月 9 日星期五 10:06:03：信息：rlm_ldap（ldap2-secondary）：打开附加连接（1230），已使用 31 个待处理插槽中的 1 个
2018 年 2 月 9 日星期五 10:11:20：信息：rlm_ldap (ldap2)：关闭连接 (1322)：命中 idle_timeout，空闲 317 秒
2018 年 2 月 9 日星期五 10:11:20：信息：rlm_ldap（ldap2）：关闭连接（1321）：命中 idle_timeout，空闲 317 秒
2018 年 2 月 9 日星期五 10:11:20：信息：rlm_ldap (ldap2)：打开附加连接 (1323)，已使用 32 个待处理插槽中的 1 个
2018 年 2 月 9 日星期五 10:11:20：信息：需要 2 个以上的连接才能达到最小连接 (3)
2018 年 2 月 9 日星期五 10:11:20：信息：rlm_ldap (ldap2)：打开附加连接 (1324)，已使用 31 个待处理插槽中的 1 个
2018 年 2 月 9 日星期五 10:11:20：信息：rlm_ldap（ldap2-secondary）：关闭连接（1229）：命中 idle_timeout，空闲 317 秒
2018 年 2 月 9 日星期五 10:11:20：信息：rlm_ldap（ldap2-secondary）：关闭连接（1230）：命中 idle_timeout，空闲 317 秒
2018 年 2 月 9 日星期五 10:11:20：信息：rlm_ldap（ldap2-secondary）：打开附加连接（1231），已使用 32 个待处理插槽中的 1 个
2018 年 2 月 9 日星期五 10:11:20：信息：需要 2 个以上的连接才能达到最小连接 (3)
2018 年 2 月 9 日星期五 10:11:20：信息：rlm_ldap（ldap2-secondary）：打开附加连接（1232），已使用 31 个待处理插槽中的 1 个
2018 年 2 月 9 日星期五 10:18:22：信息：rlm_ldap (ldap2)：关闭连接 (1324)：命中 idle_timeout，空闲 422 秒
2018 年 2 月 9 日星期五 10:18:22：信息：rlm_ldap (ldap2)：关闭连接 (1323)：命中 idle_timeout，空闲了 422 秒
2018 年 2 月 9 日星期五 10:18:22：信息：rlm_ldap (ldap2)：打开附加连接 (1325)，已使用 32 个待处理插槽中的 1 个
2018 年 2 月 9 日星期五 10:18:23：信息：需要 2 个以上的连接才能达到最小连接 (3)
2018 年 2 月 9 日星期五 10:18:23：信息：rlm_ldap (ldap2)：打开附加连接 (1326)，已使用 31 个待处理插槽中的 1 个
2018 年 2 月 9 日星期五 10:18:23：信息：rlm_ldap（ldap2-secondary）：关闭连接（1231）：命中 idle_timeout，空闲 423 秒
2018 年 2 月 9 日星期五 10:18:23：信息：rlm_ldap（ldap2-secondary）：关闭连接（1232）：命中 idle_timeout，空闲 423 秒
2018 年 2 月 9 日星期五 10:18:23：信息：rlm_ldap（ldap2-secondary）：打开附加连接（1233），已使用 32 个待处理插槽中的 1 个
2018 年 2 月 9 日星期五 10:18:23：信息：需要 2 个以上的连接才能达到最小连接 (3)
2018 年 2 月 9 日星期五 10:18:23：信息：rlm_ldap（ldap2-secondary）：打开附加连接（1234），已使用 31 个待处理插槽中的 1 个
2018 年 2 月 9 日星期五 10:22:24：信息：rlm_ldap (ldap2)：关闭连接 (1326)：命中 idle_timeout，空闲 241 秒
2018 年 2 月 9 日星期五 10:22:24：信息：rlm_ldap（ldap2）：关闭连接（1325）：命中 idle_timeout，空闲 241 秒
2018 年 2 月 9 日星期五 10:22:24：信息：rlm_ldap (ldap2)：打开附加连接 (1327)，已使用 32 个待处理插槽中的 1 个
2018 年 2 月 9 日星期五 10:22:24 ：信息：需要 2 个以上的连接才能达到最小连接 (3)
2018 年 2 月 9 日星期五 10:22:24：信息：rlm_ldap (ldap2)：打开附加连接 (1328)，已使用 31 个待处理插槽中的 1 个
2018 年 2 月 9 日星期五 10:22:24：信息：rlm_ldap（ldap2-secondary）：关闭连接（1233）：命中 idle_timeout，空闲 241 秒
2018 年 2 月 9 日星期五 10:22:24：信息：rlm_ldap（ldap2-secondary）：关闭连接（1234）：命中 idle_timeout，空闲 241 秒
2018 年 2 月 9 日星期五 10:22:24：信息：rlm_ldap（ldap2-secondary）：打开附加连接（1235），已使用 32 个待处理插槽中的 1 个
2018 年 2 月 9 日星期五 10:22:24 ：信息：需要 2 个以上的连接才能达到最小连接 (3)
2018 年 2 月 9 日星期五 10:22:24：信息：rlm_ldap（ldap2-secondary）：打开附加连接（1236），已使用 31 个待处理插槽中的 1 个
2018 年 2 月 9 日星期五 10:51:55：信息：rlm_ldap（ldap2）：关闭连接（1328）：命中 idle_timeout，空闲 1771 秒
2018 年 2 月 9 日星期五 10:51:55：信息：rlm_ldap (ldap2)：关闭连接 (1327)：命中 idle_timeout，空闲 1771 秒
2018 年 2 月 9 日星期五 10:51:55：信息：rlm_ldap (ldap2)：打开附加连接 (1329)，已使用 32 个待处理插槽中的 1 个
2018 年 2 月 9 日星期五 10:51:55：信息：需要 2 个以上连接才能达到最小连接数 (3)
2018 年 2 月 9 日星期五 10:51:55：信息：rlm_ldap (ldap2)：打开附加连接 (1330)，已使用 31 个待处理插槽中的 1 个
2018 年 2 月 9 日星期五 10:51:55：信息：rlm_ldap（ldap2-secondary）：关闭连接（1235）：命中 idle_timeout，空闲 1771 秒
2018 年 2 月 9 日星期五 10:51:55：信息：rlm_ldap（ldap2-secondary）：关闭连接（1236）：命中 idle_timeout，空闲 1771 秒
2018 年 2 月 9 日星期五 10:51:55：信息：rlm_ldap（ldap2-secondary）：打开附加连接（1237），已使用 32 个待处理插槽中的 1 个
2018 年 2 月 9 日星期五 10:51:55：信息：需要 2 个以上连接才能达到最小连接数 (3)
2018 年 2 月 9 日星期五 10:51:55：信息：rlm_ldap（ldap2-secondary）：打开附加连接（1238），已使用 31 个待处理插槽中的 1 个
2018 年 2 月 9 日星期五 10:55:54：信息：rlm_ldap（ldap2）：关闭连接（1330）：命中 idle_timeout，空闲 239 秒
2018 年 2 月 9 日星期五 10:55:54：信息：rlm_ldap (ldap2)：关闭连接 (1329)：命中 idle_timeout，空闲 239 秒
2018 年 2 月 9 日星期五 10:55:54：信息：rlm_ldap (ldap2)：打开附加连接 (1331)，已使用 32 个待处理插槽中的 1 个
2018 年 2 月 9 日星期五 10:55:54：信息：需要 2 个以上的连接才能达到最小连接数 (3)
2018 年 2 月 9 日星期五 10:55:54：信息：rlm_ldap (ldap2)：打开附加连接 (1332)，已使用 31 个待处理插槽中的 1 个
2018 年 2 月 9 日星期五 10:55:54：信息：rlm_ldap（ldap2-secondary）：关闭连接（1237）：命中 idle_timeout，空闲 239 秒
2018 年 2 月 9 日星期五 10:55:54：信息：rlm_ldap（ldap2-secondary）：关闭连接（1238）：命中 idle_timeout，空闲 239 秒
2018 年 2 月 9 日星期五 10:55:54：信息：rlm_ldap（ldap2-secondary）：打开附加连接（1239），已使用 32 个待处理插槽中的 1 个
2018 年 2 月 9 日星期五 10:55:54：信息：需要 2 个以上的连接才能达到最小连接数 (3)
2018 年 2 月 9 日星期五 10:55:54：信息：rlm_ldap（ldap2-secondary）：打开附加连接（1240），已使用 31 个待处理插槽中的 1 个
2018 年 2 月 9 日星期五 10:56:14：信息：需要 1 个以上的连接才能达到最小连接 (3)
2018 年 2 月 9 日星期五 10:56:14：信息：rlm_ldap (ldap2)：打开附加连接 (1333)，已使用 30 个待处理插槽中的 1 个
2018 年 2 月 9 日星期五 10:56:14：信息：需要 1 个以上的连接才能达到最小连接 (3)
2018 年 2 月 9 日星期五 10:56:14：信息：rlm_ldap（ldap2-secondary）：打开附加连接（1241），已使用 30 个待处理插槽中的 1 个
2018 年 2 月 9 日星期五 10:56:15：信息：需要 7 个以上的连接才能达到 10 个备件
2018 年 2 月 9 日星期五 10:56:15：信息：rlm_ldap (ldap2)：打开附加连接 (1334)，已使用 29 个待处理插槽中的 1 个

在同一时间片 19 Auth 发生。

473183469

Asked: 2018-01-26 14:10:51 +0800 CST

Debian 上的 exim4 共享密钥权限

3

在 Debian 上，exim4 密钥文件应该/etc/exim4/exim.key具有权限：

chmod 640 exim.key
chown root:Debian-exim exim.key

如果我已经有一个 key 文件/etc/ssl/private，由 group 拥有ssl-cert，我该如何回收它以供 exim 使用？

如果我将/etc/ssl/privatedir 组更改为Debian-exim它可以工作，但是例如我需要将 openldap 添加到Debian-exim组中，以便使用 slapd 的密钥。很不明显，不是吗？

添加Debian-exim到ssl-cert组中不起作用：是 exim 软件本身将配置归咎于不安全。

哪个是最佳实践解决方案？

473183469

Asked: 2016-09-02 05:44:52 +0800 CST

SASL 错误：未提供凭据，或者凭据不可用或无法访问

1

在 Debian GNU/Linux 环境中，我无法让 SASL 与 kerberos 一起工作：

sudo /usr/sbin/sasl-sample-server -m GSSAPI -s ldap
强制使用机制 GSSAPI
发送 1 个机制的列表
S：R1NTQVBJ
等待客户端机制...
C：[...修剪了很多线条...]
得到'GSSAPI'
sasl-sample-server：SASL 其他：GSSAPI 错误：未提供凭据，或者凭据不可用或无法访问。(unknown mech-code 0 for mech unknown)
sasl-sample-server：开始 SASL 协商：通用故障（通用故障）

文档说这是无法访问 keytab 的服务。

但：

sasl-sample-server 由 root 运行，因此不存在任何权限问题；
检查命令，strace我可以确认文件/etc/krb5.keytab已被访问。

我的想法不多了：我现在应该检查什么？

消息错误有两个方面：我主要检查了or the credentials were unavailable or inaccessible部分；这No credentials were supplied部分是什么意思？

473183469

Asked: 2016-08-26 02:18:51 +0800 CST

活动目录：与 DNS SRV 记录关联的整数值的语义是什么？

3

从以下示例开始（引用于samba wiki）：

$host -t SRV _ldap._tcp.samdom.example.com.
_ldap._tcp.samdom.example.com has SRV record 0 100 389 dc1.samdom.example.com.

响应中的整数是什么意思？

389 可能是涉及的 TCP 端口，但 0？和100？

473183469

Asked: 2016-02-12 23:47:10 +0800 CST

在 Debian 上使用 EXTLINUX 升级内核

2

我想将 Debian 库存内核升级为打包为 .deb 包的已编译内核。

运行：

dpkg -i linux-image-x.x.Custom_amd64.deb

触发 grub-update，并且，正如我从文件系统中看到的，创建 initrd 文件。

但是现在，我如何告诉 EXTLINUX 从新内核启动？

473183469

Asked: 2016-01-14 03:21:26 +0800 CST

WindowsNT.3.5 域：家的位置

0

背景：我正在使用模拟 MS NT Server 3.5 的 Samba PDC（不是 AD 模式）。

我的问题是以下行smb.conf：

logon home = \\%L\%U

此行使用户挂载一个home以其用户名命名的共享，该用户名使用用户的 LDAP 条目中指定的字母命名：

 sambaHomeDrive: Y:

我的问题是：我可以logon home改成

 logon home = \\my_store_server\%U

还是我被迫在 PDC 上拥有房屋？

473183469

Asked: 2015-11-24 01:14:36 +0800 CST

apache2 的 systemd 启动脚本：如何传递环境变量？

1

以下 systemd 启动脚本 (Debian GNU/Linux Jessie)

[Unit]
Description=Apache httpd web server
After=network.target

[Service]
PIDFile=/var/run/apache2/apache2.pid
EnvironmentFile=/etc/default/apache2
EnvironmentFile=/etc/apache2/envvars
ExecStart=/usr/sbin/apache2 -d /etc/apache2 -k start

[Install]
WantedBy=multi-user.target

不起作用，因为可执行文件不会在EnvironmentFile.

这是我在/var/log/daemon.log服务启动时读到的：

Nov 23 10:05:30 kdc apache2[3111]: AH00526: Syntax error on line 74 of /etc/apache2/apache2.conf:
Nov 23 10:05:30 kdc apache2[3111]: Invalid Mutex directory in argument file:${APACHE_LOCK_DIR}

APACHE_LOCK_DIR 在 /etc/apache2/envvars 中定义，它是 debian 的股票：

# envvars - default environment variables for apache2ctl

# this won't be correct after changing uid
unset HOME

# for supporting multiple apache2 instances
if [ "${APACHE_CONFDIR##/etc/apache2-}" != "${APACHE_CONFDIR}" ] ; then
    SUFFIX="-${APACHE_CONFDIR##/etc/apache2-}"
else
    SUFFIX=
fi
# Since there is no sane way to get the parsed apache2 config in scripts, some
# settings are defined via environment variables and then used in apache2ctl,
# /etc/init.d/apache2, /etc/logrotate.d/apache2, etc.
export APACHE_RUN_USER=www-data
export APACHE_RUN_GROUP=www-data
# temporary state file location. This might be changed to /run in Wheezy+1
export APACHE_PID_FILE=/var/run/apache2/apache2$SUFFIX.pid
export APACHE_RUN_DIR=/var/run/apache2$SUFFIX
export APACHE_LOCK_DIR=/var/lock/apache2$SUFFIX
# Only /var/log/apache2 is handled by /etc/logrotate.d/apache2.
export APACHE_LOG_DIR=/var/log/apache2$SUFFIX

## The locale used by some modules like mod_dav
export LANG=C
## Uncomment the following line to use the system default locale instead:
#. /etc/default/locale

export LANG

## The command to get the status for 'apache2ctl status'.
## Some packages providing 'www-browser' need '--dump' instead of '-dump'.
#export APACHE_LYNX='www-browser -dump'

## If you need a higher file descriptor limit, uncomment and adjust the
## following line (default is 8192):
#APACHE_ULIMIT_MAX_FILES='ulimit -n 65536'

## If you would like to pass arguments to the web server, add them below
## to the APACHE_ARGUMENTS environment.
#export APACHE_ARGUMENTS=''

## Enable the debug mode for maintainer scripts.
## This will produce a verbose output on package installations of web server modules and web application
## installations which interact with Apache
#export APACHE2_MAINTSCRIPT_DEBUG=1

我还有一些关于其他环境变量的警告，所以我需要 systemd 来读取 env 文件。真的。

473183469

Asked: 2015-11-10 06:16:55 +0800 CST

可以安全地将系统用户添加到 Debian

2

我想通过 puppet 将系统用户添加到 Debian 盒子。

用户是：

user { 'puppet':
  ensure  => 'present',
  comment => 'puppetserver daemon',
  gid     => '109',
  groups  => ['www-data'],
  home    => '/opt/puppetlabs/server/data/puppetserver',
  shell   => '/bin/false',
  uid     => '107',
}

（uid 和 gid 取自包创建的用户puppetserver）。

我可以确信其他服务尚未在某些盒子上使用 uid 107 吗？safe uidDebian上有s吗？在 Debian 中系统用户的 uid 分配是如何工作的？

473183469

Asked: 2015-10-31 01:28:56 +0800 CST

EXTLINUX 警告安装 grub

2

apt-get dist-upgrade在EXTLINUX 上做时Debian GNU/Linux Jessie警告我现在必须安装grub.

系统是在我未完成映像后安装的：忽略警告是否安全？grub如果现在没有安装并且一切正常（也许直到我重新启动），我是否也要安装？

你能给我指点吗？

freeradius 静默 rlm_ldap 日志消息

Debian 上的 exim4 共享密钥权限

SASL 错误：未提供凭据，或者凭据不可用或无法访问

活动目录：与 DNS SRV 记录关联的整数值的语义是什么？

在 Debian 上使用 EXTLINUX 升级内核

WindowsNT.3.5 域：家的位置

apache2 的 systemd 启动脚本：如何传递环境变量？

可以安全地将系统用户添加到 Debian

EXTLINUX 警告安装 grub

新安装后 postgres 的默认超级用户用户名/密码是什么？

SFTP 使用什么端口？

命令行列出 Windows Active Directory 组中的用户？

什么是 Pem 文件，它与其他 OpenSSL 生成的密钥文件格式有何不同？

如何确定bash变量是否为空？

473183469's questions