服务器 Gind.cn

我想知道如何手动（使用openssl而不是puppet ca命令）创build可以由Puppet使用的CA？ 目标是创build这样的CA，将其部署到多个puppetmasters上，而不是通过puppet cert命令在其上创build证书。 任何想法如何做到这一点？ 我只能find这样的东西： https ：//wiki.mozilla.org/ReleaseEngineering/PuppetAgain/HowTo/Set_up_a_standalone_puppetmaster但它没有工作 – 在创buildCA和客户端证书并将其应用到puppetmaster后，它抱怨： Feb 16 09:35:20 test puppet-master[81728]: Could not prepare for execution: The certificate retrieved from the master does not match the agent's private key. Feb 16 09:35:20 test puppet-master[81728]: Certificate fingerprint: 4F:08:AE:01:B9:14:AC:A4:EA:A7:92:D7:02:E9:34:39:1C:5F:0D:93:A0:85:1C:CF:68:E4:52:B8:25:D1:11:64 Feb 16 09:35:20 test puppet-master[81728]: To fix this, remove the certificate from both the […]

我试图学习如何迁移一个Subversion的回购，并且遇到了一个对我来说毫无意义的问题。 我已经使用svndumpfilter拆分出一个子项目，并删除了一些path前缀。 现在几百个提交正确导入，但是我得到以下错误： <<< Started new transaction, based on original revision 19190 * editing path : branches/features/DynamicSource … done. * editing path : branches/features/DynamicSource/src/build.properties … done. * editing path : branches/features/DynamicSource/src/client/default.htm …done. * editing path : branches/features/DynamicSource/src/client/js/AdHocController.js … done. * editing path : branches/features/DynamicSource/src/client/js/Report.js … done. svnadmin: E160006: No such revision 19098 * adding path […]

我们有一个4节点的Kubernetes集群，使用Juju 2.0和官方标准的Kubernetes魅力安装。 这个本地和私人安装的唯一目的是开发和testing。 这种安装最大的和logging的问题之一就是完全没有正常的服务器closures程序。 由于只有etcd节点closures，整个configuration才会丢失。 我们花了相当多的时间寻找Kubernetes的自动备份/恢复脚本/程序。 对于我们遇到的问题，最常见的答案是使用Juju从头开始部署服务器。 给定30-35分钟。 部署时间似乎不是一个有吸引力的解决scheme？ 你碰巧有任何可行的解决这个问题？

症状 在工作中，我们安装了OSX 10.7.3，每隔一段时间我会看到以下行为： 如果屏幕被locking，则不会接受同一用户/通行证的多次尝试。 如果屏幕解锁，然后打开一个新的bash术语可能会产生提示，如： `I have no name$` 要么 lkyrala$ ssh lkyrala@ah-lkyrala2u You don't exist, go away! 即使我们的Mac正常工作，这里的每个人都必须login两次。 开机后第一次总是失败，但是第二次（使用相同的密码，不改变任何东西，只需再按一次）就成功了。 奇怪的？ 解决方法 有一些解决方法可以解决眼前的问题，但不要阻止它再次发生： 等待（也许一两个小时），问题有时会自行消失。 杀死“opendirectoryd”，让它重新启动。 （从苹果支持社区：用户ID（不是数据）突然删除？ ） 按住电源button重置电脑 更新10/4/2012 我们的networkingpipe理员怀疑locking是牵连的。 locking显然使用UDP，当networking拥塞时，数据包丢失，导致挂起行为。 他们正在寻找步骤来减less拥堵。 如果有问题的文件访问碰巧是活动目录authentication句柄，那么所有这些不同的部分开始合在一起。 讨论 现在，上面的证据指出，我有些东西和opendirectory和login凭证。 其他人报告有这些login问题，但很难确定实际问题（Mac或networking环境？）。 我应该补充一点，大部分networking都是Windows机器，但是我们也有不lessMac和Linux机器，但是我不确定networkingauthentication是如何映射到各个域到其他的细节的。我知道的是，我们的networking证书在Windows域以及mac和linuxlogin中工作 – 所以有些东西是连接不同的系统，或者使用相同的全局authentication系统。 其他细节 不幸的是，我没有设置这个Mac，我们的IT部门，所以我不完全确定身份validation是如何工作的。 我知道这是一个networkinglogin（在我使用Mac的经验中是不寻常的，他们通常有本地帐户连接到外部资源），但在这里，我们的主文件夹在networking上，而不是本地。 在我的Linux安装，连接到networking涉及到YP / NIS，（这使我们能够从任何机器自动安装我们的networking文件系统的一部分），opendirectoryd.log似乎证实这是涉及… /var/log/opendirectoryd.log*显示： 2012-04-04 01:29:12.370 EDT – ddddd.dddddd.dddddd.dddddd – Client: automount, UID: […]

注意：这个问题以前是closures的。 你可以阅读讨论 。 我在这里问的原因是： 此驱动器位于赞比亚农村学校的离线内容caching服务器中。 服务器是从磁盘映像创build的，所有的内容都是可以replace的。 由于赞比亚学校的预算有限，而且会有很多这样的学校，所以它的价格必须便宜。 它也必须是可靠的，因为在恶劣的道路上可能需要8个小时才能更换。 我不能问在这里什么驱动器不是“超便宜的废话”。 因此，我们正在对符合这些标准的驱动器进行自己的研究和实验。 我无法通过覆盖他们（自动重新分配）来修复坏道，这违背了我的假设，我想知道为什么。 我想也许一个安全擦除可能会修复坏道，但是在我破坏驱动之前就想要别人的意见。 我想我可能错过了可以预测失败的SMART数据。 这是一个金士顿240GB固态硬盘，在现场工作约3个月，并突然发展了坏道： smartctl 5.41 2011-06-09 r3365 [i686-linux-3.2.20-net6501-121115-1cw] (local build) Copyright (C) 2002-11 by Bruce Allen, http://smartmontools.sourceforge.net === START OF INFORMATION SECTION === Device Model: KINGSTON SVP200S3240G Serial Number: 50026B7228010E5C LU WWN Device Id: 5 0026b7 228010e5c Firmware Version: 502ABBF0 User Capacity: 240,057,409,536 bytes […]

我已经写了这个简短的powershell脚本来重命名计算机作为MDT任务序列的一部分： Import-Module ActiveDirectory $AdminUsername = 'domain.com\administrator' $AdminPassword = 'password' | ConvertTo-SecureString -asPlainText -Force $cred = New-Object System.Management.Automation.PSCredential -ArgumentList $AdminUsername, $AdminPassword $Domain = Get-ADDomainController –DomainName domain.com -Discover -NextClosestSite $Site = $Domain.Site $DomainComputer = Get-WmiObject Win32_BIOS $Serial = $DomainComputer.SerialNumber $Computername = $Site + "-" + $Serial Rename-Computer -NewName $Computername -DomainCredential $cred 当MDT运行这个任务时，它以本地pipe理员身份运行。 当它尝试加载AD模块时出现以下错误。 Warning: Error initializing default […]

我正在configuration一个系统，其中所有IT资源都可以通过一个用户口令对访问，无论是访问服务器上的shell，login到Samba域，WiFi，OpenVPN，Mantis等（访问特定的服务pipe理按组成员身份或用户对象字段）。 由于我们在我们的networking中有个人数据，所以我们需要按照欧盟数据保护指令（或其波兰版本）执行密码老化。 问题是LDAP中的Samba和POSIX帐户使用不同的密码哈希和老化信息。 虽然同步密码本身很简单（ smb.conf的ldap password sync = Yes ），但是将密码老化添加到混合中会破坏以下内容：Samba不更新shadowLastChange。 与obey pam restrictions = Yes一起obey pam restrictions = Yes创build一个Windows用户不能更改老化密码的系统，但是如果我不使用它，主目录将不会自动创build。 另一种方法是使用LDAP扩展操作来更改密码，但是smbk5pwd模块也没有设置它。 更糟糕的是，OpenLDAP的维护者不会更新/接受补丁，因为这个字段被认为是不赞成的。 所以，我的问题是，最好的解决scheme是什么？ 他们有什么缺点？ 使用LDAP ppolicy和内部LDAP密码老化？ 它与NSS，PAM模块，samba，其他系统有什么关系？ NSS和PAM模块是否需要特殊configuration才能使用ppolicy而不是shadow？ GOsa²与ppolicy 一起工作吗？ 是否有其他的pipe理工具，可以使用ppolicy LDAP？ 共同修改更新LDAP中字段的更改密码脚本。 （留下用户自己更新密码而不更改密码的可能性）

我正在用iptablesconfiguration一个Linux路由器。 我想写一些validationtesting来确认这样的configuration： 互联网上的一些家伙的stream量不会被转发 转发到公司LAN上的主机在DMZ中的Web服务器上的端口80。 一个古老的常见问题提到了一个iptables -C选项，它允许有人问这样的问题：“给定一个从X到Y的包，在Z端口，它会被接受还是被丢弃？ 虽然常见问题解答表明它是这样工作的，但对于iptables （但可能不是ipchains因为它在示例中使用） -C选项似乎不模拟testing数据包运行通过所有规则，而是检查存在一个完全匹配规则。 这个testing没有什么价值。 我想断言规则具有预期的效果，而不仅仅是存在。 我已经考虑过创build更多的testing虚拟机和虚拟networking，然后用像nmap这样的工具来探索效果。 但是，由于创build所有这些额外的虚拟机的复杂性，我避免了这个解决scheme，这实际上是一个非常繁重的方式来产生一些testingstream量。 有一个自动化的testing方法也可以，这个方法也可以在真实的服务器上运行。 我还能怎样解决这个问题？ 有什么机制可以用来生成或模拟任意stream量，然后知道是否（或将）被丢弃或被iptables接受？

博客文章“ 为您的域名提供A tinyurl服务 ”解释了如何使用Google Apps为您的域名设置ShortName服务。 例如，如果您的域是example.com并且您使用的是Google Apps，则可以对其进行configuration，使http://go.example.com是您企业的个人ShortName服务。 注意：这不是要为世界创build一个“tinyurl”服务。 这是一个企业。 有一个短名称服务是有用的，只有您的用户可以使用，以便您可以创build链接到内部页面。 您可以说，“今天的午餐菜单位于http://go.example.com/lunch ”，而不是告诉人们很长的url。 博客文章logging了赋予人们build立自己的联系的一些好处。 （最重要的是：他们不必打扰你build立一个新的链接！） 问题 该系统的问题是，该url仍然相当长。 人们宁愿input“去/午餐”到他们的networking浏览器，并使其工作。 不幸的是，由于HTTP协议工作的技术性，Google Apps无法支持此function。 HTTP 1.1中的“Host：”标题列出了用户input到其Web浏览器的域，而不是FQDN 。 换句话说，当Google Apps获取“ http：// go / lunch ”的HTTP请求时，networking服务器会收到“go”作为主机名。 由于Google Apps为许多网域提供此服务，因此无法判断您是否需要go.example.com或go.some-other-example.com 。 因此，用户每次都必须input“go.example.com/lunch”，这比“去/午餐”要长得多。 解决scheme 谷歌可以通过使用networkingcookie或其他scheme来解决这个问题。 没有一个是特别干净或容易的。 直到他们这样做，你可以通过设置一个你自己的接受请求的机器来“解决”这个问题，并redirect它们。 服务器接受名为“go”的站点的HTTP请求，并将请求redirect到go.example.com 。 然后，您创build正确的DNSlogging，使其工作，并旋转您的DHCPconfiguration，使您的笔记本电脑/工作站做正确的事情。 这个服务器故障文档的目的是解释过程，然后给出configuration示例，以帮助您为您的网站做到这一点。 由于我无法访问或了解世界上的每个操作系统，因此我将其作为“社区维基”，以便人们可以在为其工作时填写configuration代码片段。 我把“TODO”放在特别需要改进的地方。 细节 在这个例子中，我们将使用“example.com”作为域。 第1步：以正常方式设置Google Apps服务。 像go.example.com一样configurationgo.example.com的服务。 testing它，并确保像http://go.example.com/foo这样的URL工作。 如果不完整，请不要继续。 这就好比在你拥有一辆之前试图修理你的车。 第2步：select您的redirect器主机名 如果您的短名称服务是go.example.com ，理想情况下，您将使您的redirect器名称为go.example.com 。 […]

作为我工作的一部分，我pipe理几台CentOS 5服务器，使用木偶作为主要设置。 我们大约有一半的服务器有一个标准化的设置来托pipe各种Django站点，而其余的则是应用程序的混乱。 我正在逐步整理我们的托pipe实践，现在我已经着手了解如何在操作系统级别pipe理安全更新。 我担心有一个cron工作正在进行yum -y update但也不希望每个服务器都要及时检查，并检查每个包含更新的包，因为这需要一段时间。 所以我想知道是否有任何好的捷径或工作实践，可以最大限度地减less所涉及的风险， 并尽量减less我需要花费的时间。 或者换句话说，有什么工具或做法可以自动执行大量的工作，同时还能够控制。 到目前为止，我已经决定的步骤是： 禁用所有的第三方存储库，并build立我们自己的存储库，所以我可以控制通过那里更新。 我们已经为我们的生产服务器（大部分）准备了服务器，在那里我可以testing（但是有多lesstesting足够testing？） 另外请注意，我已经看过yum安全插件，但在CentOS上不起作用 。 那么如何pipe理运行异构应用程序的大量CentOS服务器的更新呢？