我有 dn: ou=people,dc=example,dc=com objectClass: organizationalUnit ou: people 和一组pipe理员为它: dn: cn=people-admins,ou=groups,dc=example,dc=com objectClass: groupOfUniqueNames cn: admins of people group uniqueMember: uid=admin1,ou=people,dc=example,dc=com 我添加这样的规则允许people-admins添加/删除/修改用户组中的用户 dn: olcDatabase={1}hdb,cn=config changetype: modify delete: olcAccess – add: olcAccess olcAccess: to attrs=userPassword,shadowLastChange by self write by dn="cn=admin,dc=example,dc=com" write by anonymous auth by * none olcAccess: to dn.one="ou=people,dc=example,dc=com" by group.exact=cn=people-admins,ou=groups,dc=example,dc=com write by self write by dn="cn=admin,dc=example,dc=com" […]
我目前有一个思科路由器,我想configuration一个ACL,只允许谷歌DNS服务器,并阻止所有其他人,如果他们在客户端上configuration。 我有以下的ACL,但它没有正确应用,它允许使用其他DNS服务器,而不是谷歌。 ACLS access-list 101 permit udp any host 8.8.8.8 eq 53 access-list 101 permit udp any host 8.8.4.4 eq 53 access-list 101 deny udp any any eq 53 access-list 101 permit ip any any 有什么我失踪? 提前致谢 :)
我正在CENTOS中设置ACL权限。 我正在接近我想到的结构,但是完成拼图时缺less一个零件。 有没有办法隐藏一个特定的用户/组的文件/目录? 我不是说不能读取,改变目录。 我想完全隐藏它从特定的用户/组( 不显示在ls -la )。
我使用haproxy 1.4.13版本的Ubuntu。 其负载均衡两个子域名: app1.domain.com app2.domain.com 现在我想能够使用ACL根据url请求发送到右后端例如: http://app1.domain.com/path/games/index.php sould be send to backend1 http://app1.domain.com/path/photos/index.php should be send to backend2 http://app2.domain.com/path/mail/index.php sould be send to backend3 http://app2.domain.com/path/wazap/index.php should be send to backend4 我确实使用了下面的acl代码 frontend http-farm bind 0.0.0.0:80 acl app1web hdr_beg(host) -i app1 # for http://app1.domain.com acl app2web hdr_beg(host) -i app2 # for http://app2.domain.com acl msg-url-1 url_reg ^\/path/games/.* […]
这是一个相当简单的问题,我一直在无休止地争论不休,所以我决定只是提出这个问题。 我有一堆用户的FTP服务器。 它们都是ftp用户组的一部分。 我只希望他们能够访问一个文件夹,我们称之为/ home /文件夹。 目前,所有用户都可以访问/和其他文件夹。 理论上,如果我运行: setfacl -xg:501 / 应该删除文件夹/的所有权限,如果不是? 我只是试了一下,没有改变任何东西。
我看到HAProxy的一些非常奇怪的行为。 我有下面的设置,以允许example.com/wiki去一个服务器和example.com/去另一个。 麻烦的是,/ wiki只有一半的时间,/ webserver只有一半的时间。 仔细检查后,似乎是在两个后端之间切换; 可能对它们进行负载平衡,而不是根据ACL规则转到特定的后端。 另一个奇怪的是,即使规则明确指出只有服务器的临时主机应该到达后端,services-staging.example.com/greenoven和staging.example.com都会去金橘。 我的HAProxyconfiguration有问题吗? 我是否正确使用acls或后端? global log 127.0.0.1 local1 debug maxconn 200000 chroot /var/lib/haproxy user haproxy group haproxy daemon #debug #quiet defaults log global mode http option httplog option dontlognull retries 3 option redispatch maxconn 200000 contimeout 5000 clitimeout 50000 srvtimeout 50000 stats uri /monitor stats auth admin:GS01 stats refresh […]
这可能是一个常见问题,但找不到解决scheme。 这里的问题是:在Web服务器环境中,有一组需要打开的公共端口,例如:21,25,53,80,110,143,3306等 我知道如何创build一个访问列表,以允许给定端口上的外部IP和静态规则,以引导端口通信到目标内部IP。 但是,当你有15个公共IP地址,所有这些都需要打开20个完全相同的端口时,这就是很多单调的ip +单端口规则。 是否有一种方法来每个公共IP指定一个端口的访问列表和一个相应的静态规则? 基本上我想用30行(15个公共X(1个访问列表+ 1个静态))和600对这个closures! 想法非常赞赏(在这种情况下,显然);-)
我已经在Solaris 10上部署了JBoss 5 – 服务器连接具有不受限制的高端口(> 1023)对互联网开放。 我可以通过SSH和FTP从同一子网上的第二台服务器和互联网上的任何地方访问该框。 JBoss运行在端口8080上,可通过盒子上的http:// locahost:8080访问。 我无法通过http://ip.add.goes.here:8080从同一子网中的其他服务器或通过Internet访问它。 JBoss或Solaris 10中的其他地方是否有任何服务或configuration需要从默认更改为允许HTTP通信服务?
我有一个商业级电缆调制解调器的小型networking。 我有一个* .192 / 29块分配给调制解调器的内部。 第一个可用的IP,.193分配给电缆调制解调器接口。 我无法访问属于ISP的电缆调制解调器上的configuration。 就我所见,我有两个select。 一个是将/ 29划分成两个/ 30个。 问题在于它会给我两个实质上的点对点连接。 .193上的调制解调器连接到我的路由器上.194。然后.197在我的路由器的另一个接口上使用.198连接到一个设备。 一旦我这样做了,我的IP就用尽了,除了路由器,我只有一个设备在线。 另一个select是将调制解调器和任何其他设备放在路由器之前的公共网段上。 (这是我目前的设置,使用带有NM-16交换模块的Cisco 2651XM路由器。)这使我可以使用.194到.198作为有源设备。 我用这个解决scheme的问题是,我没有办法在通信上放置防火墙访问列表。 我有一台运行在IP .195上的服务器。 从互联网到该服务器的stream量来自调制解调器上的.193,直接转到.195,位于交换模块的单个VLAN内。 连接调制解调器的接口是一个二层的端口,不会占用一个ACL。 它不通过路由接口,所以不会通过任何访问列表。 服务器向互联网敞开,无法控制stream量。 我对VACL并不熟悉,可能会起作用,但似乎只能在高端交换机上支持,而在NM-16上却不可用。 一个可能的解决scheme是将私有IP放在服务器上,并使用NAT将Internetstream量发送到服务器,但这会导致内部设备尝试访问服务器的问题,因为它们的stream量不会通过外部NAT进入接口。 这似乎应该是一个普遍的问题,但我无法find任何网上讨论它。 我错过了一些简单的东西吗
在Scientific Linux 6上使用rsync( rsync-3.0.6-5.el6_0.1.x86_64 )将文件从VFAT磁盘传输到NFS挂载的ext3文件系统。 我在ext3系统上设置了ACL,并且在创build新文件或目录时(通过NFS挂载,通过命令行或Nautilus),所有这些都可以按预期工作。 但是,当rsync-ing或cp-ing时,不会为ext3分区上的复制文件创buildACL。 背景是VFAT来自相机,间歇地安装,并不创build文件或目录。 有没有一种方法可以让rsync(甚至是复制),即默认的ACL规则将ACL应用于rsync-ed或cp-ed文件和dirs?