Вопросы Теги

Преследование истинной интеграции с Active Directory

Прежде чем Вы будете смеяться надо мной и говорить, "Если Вы хотите Active Directory, используйте Windows" или скажите мне использовать Google, выслушивать меня.

Моя компания полагается очень в большой степени на AD. Нет, мы замужем за ним в этой точке, и как компания Fortune 10, это не изменяется. Однако у нас есть много из *, отклоняют системы в нашей среде (главным образом RHEL и SLES), и я должен все же найти хороший механизм для интеграции с Active Directory как источник идентификационных данных. По крайней мере мне нужно что-то для обеспечения следующего:

  1. Аутентификация через AD учетные данные (разрешение пользователю в двери)
  2. Авторизация однажды аутентифицируется (предоставление пользовательского доступа к областям системы)
  3. Аудит (способность скрепить пользовательские действия к их AD учетным данным)
  4. Поддержка AD групп (не только ванильный LDAP и имеющий необходимость добавить/удалить отдельных пользователей в системах)
  5. Не дублирующийся/зеркальный источник идентификационных данных на основе доверия AD (мне не нужны две огромных системы),

Главные решения, которые я нашел, следующие:

  1. Centrify
  2. Открытый PowerBroker (Открытый PBIS, раньше Аналогично открытый)
  3. SSSD+SELinux

Centrify... просто ужасно. Я никогда не был настоящим поклонником. Кроме того, для потребностей моей компании мы не можем использовать Centrify-экспресс, таким образом, это не свободно, и нет никакой неограниченной лицензии. Однако это - лучшее решение, которое мы нашли, и я отчаянно пытаюсь находить что-то еще.

Открытый PBIS - то, к чему я склоняюсь. Это - то, что VMware использует в бэкенде vShield, и это работает вполне прилично. Это только требует, чтобы несколько команд разбудили набор, это поддерживает AD группы, и нет никакой вторичной системы управления идентификационных данных - это говорит непосредственно с AD. Единственная причина для меня не хождение, которое путь - то, что мне нравятся встроенные решения, и если существует лучший способ сделать это, который уже включен в современные дистрибутивы, я - все для него.

SSSD+SELinux звучал великолепно. Это противно для установки, но это является гибким, собственным, и поддерживаемое большинством современных дистрибутивов. Единственной вещью, в которой это испытывает недостаток (от того, что я понимаю) является поддержка AD групп. Много статей предлагают усилить FreeIPA или что-то подобное для добавления этой функциональности, но на дополнительные материалы для чтения, это нарушает требование 5 и в основном создает сервис идентификационных данных посредника. Я не интересуюсь в основном дублированием AD, или установка доверяют вторичному сервису идентификационных данных.

Другие опции клуджа, которые я бросил вокруг, включают Марионетку использования (который мы используем) выставить/etc/password, тень, файлы группы к конечным точкам, но это требует разработки, это является невероятно косвенным, и я видел, что что-то шло на юг плохо. Более оптимальный вариант добавил бы SSSD+SELinux к Марионеточной идее. В то время как это упростило бы аварию, это - все еще авария.

Что я пропускаю, что Вы используете, и какова "новая жаркость", которую я не объяснил для решения головной боли интеграции AD Linux?

4
задан 25 February 2015 в 03:12
6 ответов

Здесь вы можете найти решения FreeIPA или Centrify / PowerBroker. FreeIPA является частью вашей стандартной подписки RHEL, поэтому уже есть некоторая экономия.

FreeIPA может работать в режиме, в котором все пользователи и группы могут поступать из Active Directory. В FreeIPA вы могли бы только отображать этих пользователей и группы в специфичные для POSIX среды, такие как правила SUDO, общедоступные ключи SSH, определения управления доступом на основе хоста, назначения контекста SE Linux и так далее. Для этого вам необходимо сопоставить некоторых из ваших пользователей / групп AD с некоторыми группами в FreeIPA, но это не дублирование информации, а изменение ее частями, не относящимися к AD.

Способ FreeIPA реализует совместимость с Active Directory, представляя себя своего рода лесом, совместимым с Active Directory. Этого достаточно, чтобы позволить пользователям AD использовать ресурсы FreeIPA через доверительные отношения между лесами, но недостаточно, чтобы пользователи FreeIPA могли получать доступ к системам Windows на другой стороне доверия. Кажется, вам интересна первая часть, так что это должно быть нормально.

Благодаря FreeIPA 4.1, который уже является частью бета-версии RHEL 7.1 (надеюсь, RHEL 7.1 выйдет «скоро»), у нас есть мощный механизм, позволяющий сохранить переопределения для пользователей и групп AD в FreeIPA, а SSSD способен обнаруживать все из них на уровне детализации по серверу.

7
ответ дан 3 December 2019 в 02:24
[११4 90 17१B] म PBIS को ओपन सोर्स संस्करण प्रयोग गर्दछु। संस्करण In मा, यदि मैले केहि समय (जस्तै महिना) को लागी मेशिनमा लगइन गरिरहेको छैन भने, जब म लग इन गर्छु, यो समय सकियो। कमसेकम धेरै मेशीनहरूका लागि मामला थियो। मसँग संस्करण 8. को साथ यो समस्या आएको छैन। [१२१1१] मैले PBIS राम्रो पाएँ। यसले मलाई हेरविचार गर्ने विकल्पहरू सेट गर्न अनुमति दियो (पूर्वनिर्धारित गृह डियर, लगुनका लागि डोमेन धारण गर्नुहोस्, पहुँचको साथ समूह सेट गर्नुहोस्, आदि)। [१२१2२] मैले अरू केहि पनि प्रयास गरेन। तर म भन्न सक्दछु म PBIS बाट खुसी छु। [१२१33] यसलाई स्थापित गर्न पपेट मोड्युल छ (यसको मेरो संस्करण: [११ 49 49२2] https://github.com/etlweather/puppet-pbis [११ 11 22 २२22]]। [११ 11 24 ०२24]
0
ответ дан 3 December 2019 в 02:24

Мне бы очень хотелось услышать, что вы имеете в виду под «настоящими группами AD», когда говорите о SSSD. Новые версии SSSD не требуют, чтобы группы имели атрибуты POSIX, и в основном считывают членство в группах из TokenGroups, если используется поставщик AD.

Кроме того, в RHEL-7.1 (upstream 1.12+), SSSD получил возможность выполнять проверки контроля доступа с использованием политик GPO.

Не стесняйтесь приходить и писать в список sssd-users, если у вас есть конкретный вопрос.

5
ответ дан 3 December 2019 в 02:24

а что насчет winbind + samba + kerberos?

  • Аутентификация через учетные данные AD (позволяя пользователю войти в дверь)

проверено

  • Авторизация после аутентификации (предоставление пользователю доступа к областям система)

проверил

  • Аудит (возможность привязать действия пользователя к их учетным данным AD)

/ var / log / secure? проверено

  • Поддержка групп AD (не только ванильный LDAP и необходимость добавления / удаления отдельных пользователей в системах)

он позволяет использовать как группы объявлений, так и пользователей объявлений в локальных группах, проверено

  • Не дублированный / зеркальный источник идентификационной информации, основанный на доверии AD (I не нужны две огромные системы)

freeipa не требуется,проверил

0
ответ дан 3 December 2019 в 02:24
[११489 13 १।] व्यक्तिगत रूपमा, मैले या त गर्दिन। माइक्रोसफ्ट सबै भन्दा राम्रो अभ्यास होस्ट सर्वरमा हाइपर-वी भूमिका स्थापना भएको हुन्छ,र मलाई के थाहा छैन तपाईले प्राप्त गर्न को लागी कोशिश गर्नु भएको छ दुई VMS SAN मा समान शेयरलाई औंल्याई। [१२ 3 Your] तपाईको उत्तम शर्त भनेको क्लस्टरमा VM को रूपमा फाइल सर्वर राख्नु हो। यो क्लस्टरमा हुनुले उच्च उपलब्धता प्रदान गर्दछ, तर यदि तपाईं रिडन्डन्ट VM चाहानुहुन्छ भने म क्लस्टरमा दोस्रो फाईल सेयर सेटअप गर्दछु (वा आदर्श भिन्न क्लस्टरमा) र डीएफएस सक्षम गर्दछ। [११489 16 १]] -121 --- 69 8669 9-- [११17] 17 १]] नोट: मैले मेरा लि I्कहरूको सुरूवातमा "" http: // "हटाउनुपर्‍यो किनभने सर्वरफोल्‍ट चाहिन्छ कि मसँग" कम्तिमा १० लिखित प्रतिष्ठान २ भन्दा बढी लिंक पोष्ट गर्न "। पोष्टिंगको समयमा मसँग हाल १ छ, तर मेरो उत्तर २ भन्दा बढी लिंकहरू सन्दर्भ गर्दछ: ([१२ 4]] ---------- [१२ 95]] म आफ्नो XenServer .5..5 होस्टसँग ल्यानमा काम गर्न सफल भएँ। मैले के बुझें त्यसबाट, दुबै हार्डवेयर (BIOS र NIC / फर्मवेयर) र सफ्टवेयर (अपरेटि System प्रणाली / NIC ड्राइभर) ले LAN कार्यक्षमतामा वेकलाई समर्थन गर्नै पर्दछ। [१२ 6]] हार्ड बिट चीजहरूको सफ्टवेयर पक्षमा देखिन्छ किनकि यसको लागि सजिलो छ हार्डवेयरले ल्यानमा वेकको समर्थन गर्दछ भनेर पत्ता लगाउनुहोस् यदि तपाइँको छनौट गरिएको अपरेटिंग सिस्टमको लागि एनआईसीको ड्राइभर हो। जब मेशिन बन्द हुन्छ, अपरेटिंग सिस्टम / एनआईसी ड्राइभरले एनआईसीलाई स्ट्यान्डबाइ मोडमा राख्नुपर्दछ ताकि यसले नेटवर्कको निगरानी गर्न सक्दछ। ल्यान प्याकेटमा उठ्नुहोस् र प्रणालीलाई बुट गर्नुहोस् यदि यसले एउटा पत्ता लगाउँदछ। यदि एनआईसीको ड्राइभरले यो समर्थन गर्दैन भने ल्यानमा उठ्ने काम गर्दैन, जहाँसम्म मैले भन्न सक्छु। [१२ 7]] उबुन्टु विकीले यसमा केही समावेश गर्दछ। लिनक्स अनुप्रयोगहरू उपलब्ध छन् जुन ल्यान प्याकेटहरूमा होस्टमा वेक पठाउन सक्दछ ([११ 17 १17१2]] help.ubuntu.com/commune/WakeOnLan [११ 1 1१73]]। [१२ 8 8 ] ---------- [१२99]] पहिलो चरणमा तपाईले खरीद गर्न चाहानुभएको हार्डवेयरले ल्यान प्रकार्यहरु लाई जगाउँदछ भनेर जाँच गर्नु पर्छ। मैले यस चरणलाई क्रमबद्ध गरें किनभने त्यस समयमा मलाई ल्यान प्रकार्यहरू प्राप्त गर्न आवश्यक पर्दैन, तर तपाईं यो हार्डवेयरको म्यानुअल / विशिष्टता पाना जाँच गरेर र अन्य प्रयोगकर्ताहरूको जानकारी / प्रतिक्रिया खोजी गरेर गर्न सक्नुहुनेछ, विशेष गरी तपाईंको ड्राइभर समर्थनको बारेमा। छनौट गरिएको अपरेटिंग प्रणाली। [१२००] जे भए पनि, यहाँ मैले ल्यानमा वेक मार्फत बुट लिनको लागि के गरें: [१२१०१] ल्यान प्रकार्यहरूमा वेक सक्षम पार्न मेरो जेनसर्भर होस्टको BIOS कन्फिगर गरियो। मेरो Asus AM1M-A मदरबार्ड (BIOS v1001) को लागि, मैले उन्नत मेनू -> APM (जब उन्नत मोडमा) मा "पावर अन पीएमई" विकल्प सक्षम गरें। प्राविधिक रूपले आवश्यक नहुँदा, मैले "WOL (AC AC Loss समावेश गरीएको) लाई सक्षम पनि गर्‍यो जसले एक विफलता देखा पर्यो भने LAN फंक्शनमा जाग्न अनुमति दिँदछ। [१२१०२] डाउनलोड र स्थापित जेनसर्भर .5..5 ([११ 2 2२73] xenserver.org/open- स्रोत -virtualization-download.html [११492२74]] मेरो XenServer होस्टमा र स्थानीय पहुँच मार्फत एक स्थिर IP ठेगाना कन्फिगर। तब मैले विन्डोज मेशिनमा XenCenter 6.5 डाउनलोड र स्थापना गरें र मेरो XenSverver होस्टमा टाढैबाट जडान भयो। यदि तपाईं लिनक्स वा म्याक मेशिनमा हुनुहुन्छ भने, तब ओपन एक्सनमेनेजरले काम गर्न सक्दछ ([११ 2 2२75] github.com/OpenXenManager/openxenmanager [११4927२276])। [१२१०3] मलाई यकिन छैन कि यदि यस चरण आवश्यक छ भने [११49 2 २78]]। जेनसेन्टरमा, मैले "होस्ट पावर अन" सक्षम गरें र यहाँ वर्णन गरिए अनुसार LAN विकल्प वेकमा चयन गरें ([११49 27 २27]] https://support.citrix.com/proddocs/topic/xencenter-65/xs-xc-host-power- on-सक्षम.html [११49 2 २80०])। जे होस्, मैले XenCenter मा कागजातले उल्लेख गरेको "पावर अन" विकल्प फेला पार्न सकिन। थप रूपमा मेरो XenSverver पावर अप भएन जब मैले यसलाई LAN प्याकेटमा वेक पठाएँ। [१२१०4] स्थानीय कन्सोल मार्फत (XenCenter मा रिमोट कन्सोल पनि काम गर्नेछ) मेरो XenServer होस्टमा, मैले "/ etc / rc सम्पादन गरें। d / rc.local "फाईल र थपिएको लाइन" / usr / sbin / ethtool -s eth0 wol g "तल तल, ताकि बुटमा" Ethtool "कमाण्ड ल्यान प्रकार्यहरूमा NIC को जगाउन सक्षम गर्न चलाउँदछ। यहाँ वर्णन गरिएको छ "अपरेटि system प्रणाली कन्फिगर गर्नुहोस्" सेक्सनमा ([११ [28२28१] https://xen-orchestra.com/blog/how-to-use-wake-on-lan-on-xenserver-6-2/ [ ११4928२2२])। [१२१०5] मैले मेरो XenSverver होस्ट XenCenter मार्फत बन्द गरे। तब मैले ल्यान प्याकेटमा नेटवर्कको अर्को मेसिनबाट मेरो XenSverver होस्टमा वेक पठाएँ र यसले पावर अप गर्यो! विन्डोज मेसिनबाट ल्यान प्याकेटमा वेक पठाउन मैले पावर अफ ([११4928२283] users.telenet.be/jbosman/applications.html [११4928२44]) भन्ने अनुप्रयोग प्रयोग गरें। यदि तपाइँ एक लिनक्स मेशिनमा हुनुहुन्छ भने उबन्टु विकी पृष्ठ यस अनुप्रयोगको लागि यस पोष्टको शुरूआत नजिक लिंक गरिएको हेर्नुहोस्। यदि तपाईं म्याकमा हुनुहुन्छ भने, यो अनुप्रयोगले काम गर्न सक्दछ ([११49 2 २85]] readpixel.com/wakeonlan/ [११4928२66]। [१२१०6] -१२१ --- १8860०7- [११489 35]]] तपाईं हराउनुभएको छ [११4918१44] सुन्नुहोस् [११4949१185] ], यी मध्ये एक जस्तै: [१२१०7] सन्दर्भ: [११ 18 18१186] मोड्युल एनजीएक्स_एचटीपी_कोर_ मोड्युल [१२१०8] -१२१ --- 18 34१--०- [११489 39]] अन्यले भने जस्तै तपाईले आफ्नो वातावरण लोड गर्नुपर्नेछ (स्रोत) यसलाई सिधा चलाउनु अघि। अर्को विकल्प प्रयोग गर्नु हो: [११ 18 18१88] apache2ctl [११4918१9]] उदाहरण [१२१०]] sudo apache2ctl -S [१२११०] मेरो होस्टहरू डम्प गर्नका लागि [११489 44 ]44] -१२१ --- 55१5555- [११489 45] You] तपाईले पूरै [११ 19 19 2]] / opt / couchbase / var [११19 19 १ 3]] डाइरेक्टरीलाई भोल्युममा संरक्षण गर्नु पर्छ, केवल [११49 19 १ 4]] / opt / couchbase / var / lib / couchbase भन्दा / डाटा [११ 19 19 5 5]] उपनिर्देशिक। [१२१११] कारण यो छ कि त्यहाँ "क्लस्टर राज्य" भण्डार गरिएको छ [११ 49 19 19 6] / opt / couchbase / var [११ 11 19 १ 7]]। यदि त्यो हरायो भने,यसले सोच्दछ कि यो नयाँ कन्टेनर उदाहरणमा एक बिल्कुल नयाँ क्लस्टर हो। [१२११२] मैले एउटा [११49 19 १] 8]] ब्लग पोष्ट [११ 19 19 19 9]] लेख्नुभयो जुन डकर अन्तर्गत कोचबेस सर्भर स्पिनि .को पूर्ण उदाहरणमा हिँड्दछ। डकफाइल र सबै स्क्रिप्टहरू [११ 11 11२००]] गिथुबमा [११ [49२०२] छन्। [११489 50 ]०] -121 --- २878787 95 - [११9595 95 ,१] १२7,3535 ...9 mill मिलिसेकेन्ड संक्षेप हो र सही नमूना RDY मान प्राप्त गर्न तपाईलाई नमूना समयद्वारा विभाजन गर्न आवश्यक पर्दछ। यस्तो देखिन्छ कि तपाईले पहिले नै सही% RDY रीडिंग पाउनु भएको छ। तपाईं vCPU को साथ भौतिक cpu अनुपात मा उच्च माथि जान सक्नुहुनेछ तर तपाईंले यसो गरिरहनु भएको तरिकाबाट होइन। [१२१33] तपाईंसँग धेरै धेरै क्वाड vCPU VMs छन् र 8 vCPU VM पनि छ। केहि क्वालिटी प्रतिक्रियाहरू छन् जुन पहिले नै सही-साइजिंगको बारेमा छलफल गर्दै छ र कम vCPU मा चक्रलाई एकत्रीत नगरेको केहि राम्रा चीजहरू छन्। एउटा कुरा मैले स्पष्ट गर्न चाहेको हुँ कि त्यो अब यस्तो छैन कि VM ले भौतिक CPUs को संख्याको लागि पर्खनु पर्दछ कि कुनै पनि निर्देशन प्रशोधन गर्नु अघि यो VCPU को संख्यामा उपलब्ध हुनु पर्दछ, यो धेरै हानिकारक छ। मल्टि-VCPU VM को अनुपातको साथ भौतिक कोरमा यस परिमाणको अधिक प्रावधान गर्न। C कोरमा v 64 vCPUs अधिकतम to देखि १ अनुपात भन्दा टाढा हो। मलाई लाग्छ तपाईंसँग यी प्रोसेसरहरूमा HT छ त्यसैले तपाईंसँग १ log तार्किक कोरहरू छन्? त्यो १ र २ vCPU VMs सँग ठीक हुन सक्छ जुनसँग हलुका लोड छ तर यदि तपाइँ VMs मा भारी भार छ भने यसलाई हासिल गर्न गाह्रो हुन्छ। [१२१44] FYI HT प्रोसेसरहरू CPU% प्रयोग गरिएको गणनामा प्रयोग हुँदैन - मतलब यदि तपाईंसँग log२ तार्किक कोर एक सर्भरमा २. Gh गीगाहटमा चल्दै छ, तपाईं १००% प्रयोगमा हुनुहुन्छ जब तपाईं .4 38.z गीगाहर्ट्जमा हिट गर्नुहुन्छ। त्यसोभए जब तपाईले लोड औसत १.० भन्दा बढी देखाइरहेको देख्नुभयो, त्यसकारण। [१२११5] यहाँ एक ESXi होस्ट छ जुन CP. to देखि १ vCPU मा भौतिक CPU (HT कोर सहित) अनुपात an% को औसत% RDY सँग अनुपातमा चलिरहेको छ। [१२१66] -१२१ --- १ 18 69 7 - [११4895 95 9]] उद्देश्य तपाईलाई अप्पाईको बिभिन्न परिनियोजन परिदृश्यमा कन्फिगरेशन अनुमति दिन जहाँ तपाईसँग धेरै अपाचे उदाहरणहरू वा बहु IP ठेगानाहरू हुन्छन् र व्यवस्थापकलाई कसरी उच्च लचिलोपना प्रदान गर्न सक्छन् भन्ने कुरामा। यसलाई कन्फिगर गर्नुहोस्। [१२११7] तपाईंको मेशिनसँग बहु आईपी ठेगानाहरू र / वा इन्टरफेस हुन सक्छन् र तपाईं केवल अपाचे सुन्न चाहनुहुन्छ र यी केहि प्रतिक्रिया दिन सक्नुहुन्छ। उदाहरण को लागी तपाई अपाचे केवल एक आन्तरिक (RFC1918) IP ठेगानामा बाँध्न र अनुरोध स्वीकार्न चाहानुहुन्छ र समान मेसिनमा सार्वजनिक रूटेबल आईपीमा होइन। [११489 62 ]२] -121 --- 1 44१6877- [११489 63]।] हो, एचएप्रोक्सीले त्यो गर्नेछ। तपाईलाई HAproxy प्रयोग गर्ने सबै भर्चुअल आईपीहरूसँग किल्पिभ हुन आवश्यक छ। तपाईंले भर्चुअल_आईपीड्रेस ब्लकमा कीपलिवेन्ड.कन्टमा बहु आईपीहरू निर्दिष्ट गर्न सक्नुहुनेछ: [१२११8] -१२ --- --- १ 16 8 3232२- [११99 65]]] म [११49०२०२] मा हरेक मामलामा [११4949२०3] SAS प्रयोग गर्दछु, यो घर प्रणाली नभएसम्म जुन उत्पादन कार्य भारहरू चल्दैन। [१२१ 9]] यो गतिको बारेमा कम छ र त्रुटि सुधार, प्रोटोकल र सम्पूर्ण प्रणालीको विश्वसनीयताको बारेमा बढी। [११489 68]] -121---8२8१०२- [११4869 69 69 disk] कुनै डिस्क [११ 49 20२०44] लोड [११ 49 20२०5] र तपाईं SATA ड्राइभको साथ कष्ट भोग्नुपर्नेछ यदि सम्भवतः यदि तपाईंसँग एक ठूलो एर्रे छ जसले RAID 10 वा त्यस्तै केही जस्तो डिस्कहरूमा लोड साझा गर्दछ। [ १२१२०] मसँग SATA ड्राइवहरू चलिरहेको अनुप्रयोग सर्भरहरू (टमकाट) सँग सर्भर छ जुन टमकोटको लग र नियमित OS सामग्री बाहेक कुनै डिस्क गतिविधि छैन। [१२१११] मसँग आईरन RAID मा २ SATA ड्राइभको साथ रिमोट डेस्कटप सर्भरहरू छन् जुन ठीक छ, त्यसैले सम्म सर्भर स्व्यापिंग सुरू गर्नुहोस्। यदि यो बदल्दछ भने, सर्भर टोस्ट हुन्छ र सामान्यतया रिबुट चाहिन्छ। [१२१२२] मसँग नम्बरहरू वा साझेदारी गर्न केहि त्यस्तो छैन। तर मेरो अनुभवले आदेश दिन्छ कि यदि तपाईंसँग कुनै प्रकारको [११4920२०66] लोड [११ 20 20२०]] छ, र तपाईंसँग ठूलो RAID १० वा समान छैन भने SAS ले ठूलो फरक पार्नेछ यदि तपाईंको [११4920२०8] लोड [११49 11२०]] डिस्क चाहिएको छ भने पहुँच गर्नुहोस्। [१२१२]] तपाईं भन्छन कि यो उत्पादन सेटअपको लागि होईन - त्यसकारण, मँ भन्छु कि तपाईं [११ 49 2२१०] साटा [११ 11 2२११] साटा ड्राइभको साथ हुन सक्नुहुनेछ, तर यो निर्भर गर्दछ तपाईंको गैर-उत्पादन प्रयोग के हो। यदि यो VMs को गुच्छा भण्डार गर्ने हो जुन वास्तवमै प्रयोग गरिने छैन तर त्यहाँ केही परीक्षण गर्न धेरै बेकारमा उपलब्ध छ र त्यहाँ तपाइँको परीक्षणहरूको प्रदर्शन आवश्यक पर्दैन (उदाहरणका लागि बेन्चमार्क वा perf परीक्षण होइन), त्यसो भए तपाई सायद जान सक्नुहुन्छ SATA मार्ग सुरक्षित रूपमा। [१२१44] तर यसलाई उत्पादनमा ल्याउन वा यसमा एउटा उत्पादन VM फ्याँक्न गल्ती नगर्नुहोस्! [११4848 80 80०] -१२१ --- 8२8१०3- [११99 8 1१] तपाईंले पोर्ट to० लाई पक्का गर्नको लागि टमकाटलाई मूलको रूपमा चलाउन आवश्यक पर्दछ। १०२24 भन्दा मुनिका सबै पोर्टहरूलाई बाइन्डि forका लागि सुपरयूजर अनुमतिहरू आवश्यक पर्दछ। [१२१२5] यो पनि अन्तिम अपवाद हो स्ट्याकट्रेसमा तपाईंलाई बताउन कोशिस गर्दछ: [१२१२6] चेतावनीको एकदम छोटो शब्द, यसलाई विस्तारित सुरक्षा छलफल बन्नको लागि: सुरक्षा दृष्टिकोणबाट यो टम्याकट (वा सम्भवत: कुनै जाभा अनुप्रयोग) चलाउन राम्रो विचार हुँदैन। सुपरयूजर अनुमतिहरू। टम्याक-होस्ट गरिएको वेब अनुप्रयोगमा बगहरूले यी अनुमतिहरूसहित मनमानी कोड कार्यान्वयनको लागि नेतृत्व लिन सक्छ, संभवतः प्रणालीमा टाढाको आक्रमणकारी जड पहुँच प्रदान गर्दछ। [१२१२7] पूर्वनिर्धारित टोम्याक पोर्ट यस कारणले गर्दा (अरूमा) 80०80० अनप्रिभिलेटेड हो।यससँग बाँध्नको लागि सुपरवाइजर अनुमतिहरू आवश्यक पर्दैन र यसैले टमकोट साधारण प्रणाली प्रयोगकर्ताको रूपमा चलाउन सकिन्छ। [१२१128] यदि तपाईले पोर्ट via० मार्फत टम्याकटद्वारा होस्ट गरेको वेब अनुप्रयोग पहुँच गर्न आवश्यक छ भने तपाईले वेब सर्वरको साथ टमकाट उदाहरणको अगाडि देख्नुपर्दछ। जस्तै अपाचे यो पोर्ट on० मा सुन्छ र टोमकाटलाई अनुरोध रिभर्स-प्रोक्सी गर्दछ। यो अधिक सुरक्षित छ, कम्तिमा होइन किनकि अपाचेले पोर्ट to० लाई बाध्य पारेपछि यसको सुपरयूजर सुविधाहरू खसाल्छ। [१२१ 9]] अपाचे भर्चुअल होस्ट कन्फिगरेसन जसले यो यस्तो देखिन सक्छ: [१२१30०] -१२ --- 18 34१20२० - [११489999993] यो आवाज निम्न बग जस्तै सुरूवात प्याडमा पोस्ट गरियो: [११ 2 2२१२] https://bugs.launchpad.net/ubuntu/+source/php-apcu/+bug/1422484 [१२१1१] छोटो संस्करण यस्तो देखिन्छ कि त्यहाँ PHP for को लागि APC प्रयोगकर्ता क्यासको साथ समस्या छ। कम्तिमा संस्करण उबन्टु १.0.०4 को साथ प्याकेज गरिएको। [१२१2२] फिक्सि5 php5-apcu प्याकेज शुद्ध गर्न सकिन्छ र त्यसपछि अपाचे पुन: सुरु गर्न सकिन्छ जस्तो देखिन्छ: [१२१33] मैले भर्खरै यो गरें त्यसैले म निश्चित छु कि यसले वास्तवमा यो लामो अवधिलाई ठीक गर्दछ कि हुँदैन। मैले त्रुटि लगमा एपीसी त्रुटिहरू पनि हेरिरहेको थिएँ। [१२१44] यदि तपाइँ बिभिन्न समाधान फेला पार्नुभयो भने, म सुन्न चाहान्छु। [११ 49 0000००२] -121---१77००8- [११ 00 00००3] Ive यस रूपमा यसका साथ व्यवहार गर्दै छु: [१२१35]] स्पष्टीकरण यो हो कि तपाईं [११49 21२१4] स्क्रिन -११ [११ 21२२5]] को आउटपुट लिनुहुन्छ र विशेष स्क्रिन प्रयोग गरेर तपाईंलाई रुचि छ ग्रेप तब चरलाई [११ 21 21२१6]] प्रक्रिया [११21 21 २१217] मा तोक्नुहोस्। [१२१66] किनकि [११ 21 21२] screen] स्क्रिन-एलएस [११ 21 21२ 9]] बाट आउटपुट सँधै पीआईडी ​​हुन्छ एक पीरियड पछि तपाईं पछाडि काट्न प्रयोग गर्न सक्नुहुनेछ। अवधि र यस पछाडि सबै। माथिको उदाहरणमा हामीले त्यसलाई प्यारेन्थेसिसमा हाल्छौं र यसलाई मार्ने आदेशमा खुवाउँदछौं जुन तपाईंले यसलाई रैखिक रूपमा गर्न सक्नुहुनेछ जसमा अस्थायी फाइलमा लेख्न र त्यसबाट पढ्न समावेश हुन सक्छ। [१२१77] तपाईंले पक्का गर्नु पर्दछ तपाईंको स्क्रिन नाम अद्वितीय छ। र त्यो ग्रेप केवल तपाईं मार्न चाहानु भएको स्क्रिनको नाम फर्कदैछ। [११4 10 ००१०] -१२१ --- २११74-- [११4 90 ०११] रेडहाट प्रस्ताव यहाँ राम्रोसँग कभर गरिएको छ: [१२१88] लिनक्स सर्भरहरूको लागि सक्रिय निर्देशिका प्रमाणीकरणको बारेमा सामान्य ज्ञान? [१२१9]] मेरो हालको स्थापनाहरूमा, यो SSSD (बिल्ट-इन) मार्फत गरिएको छ र ldap वा sssd.conf समूह फिल्टरहरू। [१२१40०] तपाइँको लिनक्स प्रयोगकर्ताहरूलाई [११ 2 2२2] प्रणालीमा [११ 49 2२२] के ठीक गर्नुपर्छ? [११4 16 ०१16]
2
ответ дан 3 December 2019 в 02:24

Я также использую Winbind + Kerberose и годами отлично работаю, но теперь я перехожу на Pbis, так как уже много лет использую его на некоторых машинах, и меня это устраивает. но так как мне нравятся и нативные решения, я начну тестировать sssd-интеграцию, как упоминалось в этом документе, с RedHat. https://www.redhat.com/en/files/resources/en-rhel-intergrating-rhel-6-active-directory.pdf

в нем есть различные сценарии AD-интеграции.

0
ответ дан 3 December 2019 в 02:24

Теги

Похожие вопросы