Zentyal (старое eBox) - администрирование корпоративной сети

[vadim-nsk]

vadimka, у меня были глюки в perl-скриптах во время установки как на виртуальную машину, так и на реальный сервер. Несмотря на ошибки, eBox установился и работает. Так же замечен старый баг линейки 8.04 с русской консолью.
По поводу доступа к ldap сторонними приложениями. Я использую Apache Directory Studio для просмотра и редактирования каталога ldap. При помощи этого продукта я в несколько кликов экспортировал всех пользователей и все группы из 1.3, и так же в несколько кликов импортировал их в 1.4. Apache Directory Studio - это лучший софт для работы с ldap любых разработчиков.

а ну и еще по сравнению с версией которую я использовал раньше, механизм доступа к ldap изменился. Лично меня интересовал доступ к логинам и паролям, для использовании в других приложениях. Во первых - раньше требовался во первых dc администратора и пароль, а сейчас в этом нужды нет, т.е. пользователь может найти сои параметры без админского доступа.

Это можно было сделать и раньше через cn=ebox и другими параметрами DN из файла /etc/ldap.conf (параметр rootbinddn) и паролем из /etc/ldap.secret.

Про то что такое было возможным в 1.2 я не спорю просто немного растерялся, когда обновился и не обнаружил всего мне нужного.

По поводу установки. Было замечено что если выбрать языком установки русский язык практически без ошибок не обойтись (отловлено на 3 серверах, баг оформлен и отправлен), поэтому предлагаю сразу использовать английский язык.  

[Zergius]

jaykay, вопрос, как ты Apache Directory Studio завёл? Я что-то не смог понять, какую он библиотеку просит при запуске.

Вопрос к общественности, у кого получилось запустить master-slave связку? Объясните неумёхе, что к чему? Ставлю на одной машине MASTER, на второй выставляю slave - вбиваю пароль с мастера а в итоге получаю "A realy nasty bug has occured"

[NetFox]

Я начал делать по этому мануалу http://trac.ebox-platform.com/wiki/Document/HowTo/EBoxMasterSlaveSetup (у меня U9.10), но пока еще не успел, как нагрузили другими делами. Обрати внимание на эти строки:
We must only install the usersandgroups module in the master eBox. In order to do that we'll run:

Код: [Выделить]

sudo apt-get install ebox-usersandgroups apparmor-[/color]

Из-за того, что развернутый сервер был сделан с appamor добавление slave стало невозможным.
Начал делать параллельно и по правилам. Но пришлось прервать это дело две недели назад. Когда вернусь к нему - не знаю. Возможно, появится eBox 1.4 в 10.04, тогда сразу оттуда - все равно на LTS переходить придется, а дегрейд до 8.04 делать не хочется.

Вся документация тут: http://trac.ebox-platform.com/wiki/Document/Index

[Zergius]

Действительно беда была в том, что на мастере ещё хотел самбу поставить, а слейв хотел сделать мыльником... Нада чтоб мастер стоял чистый, без дополнительных пакетов... Но всё равно получил ещё одну засаду... После репликации пользователи и группы появляются на слейве, id username показывает наличие такового, но самба его не поднимает (не создаёт папку), а веб моська не даёт посмотреть информацию ни по пользователю, ни по группе...

Вот что вижу в веб моське после попытки посмотреть информацию о юзвере:

(Нажмите, чтобы показать/скрыть)

A really nasty bug has occurred
Exception
Unknown error at EBox::SambaLdapUser::_getAccountFlags Referral received
Trace
Unknown error at EBox::SambaLdapUser::_getAccountFlags Referral received at /usr/share/perl5/EBox/Ldap.pm line 712
EBox::Ldap::_errorOnLdap('Net::LDAP::Search=HASH(0xb03ed2c)', 'HASH(0xb04292c)') called at /usr/share/perl5/EBox/Ldap.pm line 351
EBox::Ldap::search('EBox::Ldap=HASH(0x96916d8)', 'HASH(0xb04292c)') called at /usr/share/perl5/EBox/SambaLdapUser.pm line 848
EBox::SambaLdapUser::_getAccountFlags('EBox::SambaLdapUser=HASH(0xb087218)', 'test') called at /usr/share/perl5/EBox/SambaLdapUser.pm line 858
EBox::SambaLdapUser::_userSharing('EBox::SambaLdapUser=HASH(0xb087218)', 'test') called at /usr/share/perl5/EBox/SambaLdapUser.pm line 459
EBox::SambaLdapUser::_userAddOns('EBox::SambaLdapUser=HASH(0xb087218)', 'test') called at /usr/share/perl5/EBox/UsersAndGroups.pm line 2135
EBox::UsersAndGroups::allUserAddOns('EBox::UsersAndGroups=HASH(0x96914d4)', 'test') called at /usr/share/perl5/EBox/CGI/UsersAndGroups/User.pm line 50
EBox::CGI::UsersAndGroups::User::_process('EBox::CGI::UsersAndGroups::User=HASH(0xaf6137c)') called at /usr/share/perl5/EBox/CGI/Base.pm line 262
EBox::CGI::Base::run('EBox::CGI::UsersAndGroups::User=HASH(0xaf6137c)') called at /usr/share/perl5/EBox/CGI/Run.pm line 120
EBox::CGI::Run::run('EBox::CGI::Run', 'UsersAndGroups/User', 'EBox') called at /usr/share/ebox/cgi/ebox.cgi line 19
ModPerl::ROOT::ModPerl::Registry::usr_share_ebox_cgi_ebox_2ecgi::handler('Apache2::RequestRec=SCALAR(0xb03f2e4)') called at /usr/lib/perl5/ModPerl/RegistryCooker.pm line 204
eval {...} called at /usr/lib/perl5/ModPerl/RegistryCooker.pm line 204
ModPerl::RegistryCooker::run('ModPerl::Registry=HASH(0xaf60e30)') called at /usr/lib/perl5/ModPerl/RegistryCooker.pm line 170
ModPerl::RegistryCooker::default_handler('ModPerl::Registry=HASH(0xaf60e30)') called at /usr/lib/perl5/ModPerl/Registry.pm line 31
ModPerl::Registry::handler('ModPerl::Registry', 'Apache2::RequestRec=SCALAR(0xb03f2e4)') called at -e line 0
eval {...} called at -e line 0

[Raven703]

Raven703 , заходишь в UTM->Firewall->Фильтр пакетов->Правила Фильтрации между внутренними сетями->Настроить правила->Add new.
Decision: DENY

у меня так и сделано
вот только когда делаю пинг например 10.10 на 20.10 то он нормально проходит. Может ANY не включает в себя ping?

[Zergius]

Смотри внимательно, нет ли обратного правила ещё где-нить... Тоге поймал как-то такую хрень, три часа ковырял, что мог, оказалось в одной записи противоположное правило, вот и сбоило...

[D_Andrew]

Кому-нибудь удалось связать сервер на 1.4 (PDC) и 1.3 ebox-desktop на ubuntu 9.10?  Сделал все по инструкции с оффсайта, не логинится. -(
Буду признателен если расскажете как.

[D_Andrew]

Все завелось. Спасибо jaykay, сделал как он описал в инструкции. 
Теперь следующий вопрос. Перемещаемые профили сработали только для виндовой тачки. Для linux это должно работать?

[alex1_D]

Народ опишите как в Ebox окрыть порт 4443 для банк клиента срочно нужно

[vovannovig]

Извините что повторяюсь ( https://forum.ubuntu.ru/index.php?topic=84448.0 ) но так и не получил ответа.

не получается маршрутизировать между подсетями.
есть
ipЛан1 - 192.168.200.1 Лан1net - 192.168.200.* \24   т.е.  255.255.255.0
ipЛан2 - 192.168.201.1 Лан2net - 192.168.201.* \24   т.е.  255.255.255.0

Так Вот мне надо чтоб с ЛАН1 я мог пользоваться ресурсами ЛАН2 ,а не пинги ничего не проходит.
В фаерволе уже пробовал ставить - с любого-в любой-любое....- и без результативно.

Хотел реализовать на нем схему

ИНЕТ ---   eBOX - Прокси,фаервол и маршрутизатор в одном лице --------- eBOX OpeVPN
                           одна машина 3 сетевые карточки                           одна машина 2 карты
                             lan1-inet                                                                      lan1-inet (для VPN)   
                             lan2-DMZ                                                                     lan2-DMZ
                             lan3=LAN
                           авторизация на прокси по IP

Так вот у меня совсем не получается:
-Настроить маршрутизацию
-Шейпер не работает (завожу объект - в инет пускает но шейпер не режет канал)

[NetFox]

Народ опишите как в Ebox окрыть порт 4443 для банк клиента срочно нужно

1. В службах нужно создать новую, например bank/
2. Потом надо сконфигурировать новую службу, назначив ей порты для приема и передачи (для банков они обычно одинаковые). Протокол должен быть внешним.
3. Здесь ты должен разрешить ssh - Filtering rules for internal networks
4. Сюда же добавить новое правило.
5. То же правило вместе с ssh нужно будет поместить и в Filtering rules from external networks to internal networks

Если не получится, поставь для проверки в эти два места правила all - это должно пролезть на все 100%, но в результате получишь дырявую сеть. А там экспериментируй, закрывая дыры и не забывая глянуть журнал в случаях обломов.

[alex1_D]

https://ibs.spurtbank.ru:4443 Доступ так и не смог настроить на этот порт пишет Доступ Закрыт. Делал все any не помогло.
В логах пишет:
2010-02-19 11:24:48    192.168.0.18    -    ibs.spurtbank.ru:4443    1409    text/html    Отклонено

Где ошибки в какую сторону копать?

[gfyz]

всем привет!
подскажите пожалуйста по нескольким вопросам
1. с помощью Ebox можно соединить именно сети (openVPN) а не только подключение одного компьютера!? как описано в видео руководстве!?
2. на интел атоме потянет http://www.ulmart.ru/goods/167277/  (из задач: раздача интернета openVPN samba)
3. чисто теоретически возможно копировать самбашару на локальном сервере ebox на удалённый? с условием что выполняется пункт 1?

Заранее благодарен хоть за какие то ответы!?

c 1. и 2. пунктом вроде разобрался
подскажите плз,
можно ли с помощью EBOX блокировать сайты
и считать кто сколько где насидел?
или это возможно только в "Центр Управления eBox " который я так понимаю платный!???

и ещё один вопросик,
а гном отрубить можно? шобо пошустрее работала машинка?

[Neksi]

А зачем на сервере Гном?

[nemo1966]

Подскажите кто использует два шлюза как в этом случае работает ebox в штатном режиме и в случае пропадания одного из каналов? т.е. как реализован режим отказоустойчивости? И как у версии 1.4 обстоит дело со сменой имени домена?