Понадобилось подключиться к ssh серверу сети, единственный вход к которой организован через http/https прокси сервер squid.
Для поддержки данного соединения стандартному ssh клиенту ubuntu понадобится дополнительный пакет:
# apt-get install corkscrew
после этого подключаемся командой:
$ ssh username@server -o ProxyCommand='corkscrew proxy.domain.com 3128 %h %p'
где proxy.domain.com это адрес прокси сервера, работающего на порту 3128
На прокси сервере должно быть разрешено подключаться к порту 22
Можно не указывать -o ProxyCommand в командной строке а задать параметр глобально в файле /etc/ssh/ssh_config:
ProxyCommand corkscrew proxy/domain.com 3128 %h %p
При этом через прокси-сервер будут выполняться все соединения, в том числе kio протокола sftp://. Т.е. можно будет подключаться через krusader и konqueror. Nautilus в gnome к сожалению игнорирует параметры ssh_config и пытается подключиться напрямую.
Friday, February 29, 2008
Thursday, February 21, 2008
Авторизуем пользователей Apache в Active Directory
Настраиваем авторизацию Apache 2 (ubuntu 7.10 gutsy) в Active Directory.
Сначала я хотел настроить авторизацию пользователей через модуль pam. Но из-за ошибки в текущем модуле libapache2-mod-auth-pam от данного способа пришлось отказаться.
Мой выбор остановился на модуле authnz_ldap. Итак настраиваем авторизацию через LDAP.
Включаем модуль authnz_ldap и ldap:
# a2enmod authnz_ldap
Настраиваем авторизацию в конфигурационном файле Apache (приведены только необходимые для авторизации команды):
# Отключаем проверку сертификата при ssl подключении к ldap
LDAPVerifyServerCert OFF
AuthType Basic
AuthBasicProvider ldap
# Строка подключения к LDAP серверу (http://httpd.apache.org/docs/2.0/mod/mod_auth_ldap.html#authldapurl)
AuthLDAPURL "ldaps://dc.example.com/ou=dep,dc=firma,dc=com?sAMAccountName?sub?(objectClass=user)" NONE
# Поскольку Active Directory не разрешает анонимные подключения то необходимо указать пользователя и пароль под которым будет выполняться поиск в LDAP
AuthLDAPBindDN "ldapquery@firma.com"
AuthLDAPBindPassword "topsecret"
# Ограничиваем доступ только членам группы subversion в Active Directory. Необходимо указывать memberOf в формате LDAP
require ldap-attribute memberOf=CN=subversion,OU=dep,DC=firma,DC=com
# Информационная строка, которая отображается при запросе пароля
AuthName "Subversion repository"
Если нет необходимости в использование SSL для подключения к LDAP, то команду LDAPVerifyServerCert можно убрать использовать параметр AuthLDAPURL вида "ldap://..."
Сначала я хотел настроить авторизацию пользователей через модуль pam. Но из-за ошибки в текущем модуле libapache2-mod-auth-pam от данного способа пришлось отказаться.
Мой выбор остановился на модуле authnz_ldap. Итак настраиваем авторизацию через LDAP.
Включаем модуль authnz_ldap и ldap:
# a2enmod authnz_ldap
Настраиваем авторизацию в конфигурационном файле Apache (приведены только необходимые для авторизации команды):
# Отключаем проверку сертификата при ssl подключении к ldap
LDAPVerifyServerCert OFF
AuthType Basic
AuthBasicProvider ldap
# Строка подключения к LDAP серверу (http://httpd.apache.org/docs/2.0/mod/mod_auth_ldap.html#authldapurl)
AuthLDAPURL "ldaps://dc.example.com/ou=dep,dc=firma,dc=com?sAMAccountName?sub?(objectClass=user)" NONE
# Поскольку Active Directory не разрешает анонимные подключения то необходимо указать пользователя и пароль под которым будет выполняться поиск в LDAP
AuthLDAPBindDN "ldapquery@firma.com"
AuthLDAPBindPassword "topsecret"
# Ограничиваем доступ только членам группы subversion в Active Directory. Необходимо указывать memberOf в формате LDAP
require ldap-attribute memberOf=CN=subversion,OU=dep,DC=firma,DC=com
# Информационная строка, которая отображается при запросе пароля
AuthName "Subversion repository"
Если нет необходимости в использование SSL для подключения к LDAP, то команду LDAPVerifyServerCert можно убрать использовать параметр AuthLDAPURL вида "ldap://..."
Tuesday, February 12, 2008
JavaScript for adding users to Active Directory
Понадобилось добавить сразу несколько десятков пользователей в Active Directory. Слегка погуглив и не найдя простого решения решил что проще написать скрипт самому. С импортом из Excel или текстового файла решил пока не заморачиваться а просто задавать список пользователей в переменной типа:
var users = "Иванов Петр Сергеевич,Сенкевич Петр Телевизорович";
Доменное имя пользователя формируется из фамилии и инициалов через тире, затем транслитерацией переводится в латиницу вида senkevich-pt.
http://kvadriga.googlecode.com/files/addusers.js
var users = "Иванов Петр Сергеевич,Сенкевич Петр Телевизорович";
Доменное имя пользователя формируется из фамилии и инициалов через тире, затем транслитерацией переводится в латиницу вида senkevich-pt.
http://kvadriga.googlecode.com/files/addusers.js
Subscribe to:
Posts (Atom)