Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste Überarbeitung Beide Seiten der Revision | ||
|
tipps_und_tricks [2009/08/29 12:08] flacco |
tipps_und_tricks [2011/12/30 08:02] flacco |
||
|---|---|---|---|
| Zeile 7: | Zeile 7: | ||
| [[:tipps_und_tricks:virtualbox| Tipps und Tricks zu VirtualBox]] | [[:tipps_und_tricks:virtualbox| Tipps und Tricks zu VirtualBox]] | ||
| - | ===== Group-e Samba Dateimanager auch unter openSUSE ===== | + | ===== Windows 7 ===== |
| - | Out of the Box lässt sich der Samba Dateimanager von Group-e unter openSUSE nicht nutzen. | + | |
| - | Das hat zwei Gründe: | + | Windows 7 stellt an invis Administratoren neue Aufgaben. Eine davon ist ein sauberer Domänenbeitritt. |
| - | - Die smbclient-Methode funktioniert nicht, weil der PTY-Support in PHP seit einiger Zeit nicht mehr aktiviert ist. Dies zu lösen würde bedeuten PHP selbst neu zu übersetzen. Das wurde im Group-e Forum schon mehrfach diskutiert und stellt definitiv keine Lösung dar!!!! | + | [[:tipps_und_tricks:win7dom|Domänenbeitritt mit Windows 7]] |
| - | - Die smbmount-Methode funktioniert nicht, da //**smbmount**// schlicht in openSUSE nicht mehr enthalten ist. (Dürfte bei anderen Distris möglicherweise auch schon so sein) //**smbmount**// bzw. smbfs wird nicht mehr wirklich gepflegt. Als Ersatz ist das Paket cifs-mount mit den Kommandos //**mount.cifs**// und //**umount.cifs**// enthalten. | + | |
| - | Im Gegensatz zu den alten Kommandos //**smbmount**// und //**smbumount**// ist bei den neuen aus Sicherheitsgründen das SUID-Bit nicht gesetzt. | + | ===== Linux-Clients und NFS-Fileserver ===== |
| + | Die Gruppen-basierte Zusammenarbeit auf einem Linux-Fileserver gestaltet sich schwierig, wenn diese per NFS auf den Fileserver zugreifen. Zwar lassen sich mit gesetztem SGID-Bit auf den Freigabe-Verzeichnissen Gruppen-Besitzrechte auf alle Objekte im Ordner vererben, nicht aber die Zugriffsrechte. Letztere sind von der "umask" abhängig. | ||
| - | Um diese Kommandos für group-e nutzbar zu machen muss zunächst allen Sicherheitsbedenken zum Trotz das SUID-Bit für beide Kommandos gesetzt werden: | + | Auf openSUSE-Systemen ist die vorgegebene umask "022", was bedeutet, das neu angelegte Dateien und Verzeichnisse für die besitzende Gruppe kein Schreibrecht gewähren: |
| - | <code>chmod u+s /sbin/mount.cifs | + | <code> |
| - | chmod u+s /sbin/umount.cifs</code> | + | Verzeichnis |
| + | | u | g | o | | ||
| + | ---------------------- | ||
| + | Default | 7 | 7 | 7 | | ||
| + | umask | 0 | 2 | 2 | | ||
| + | ---------------------- | ||
| + | Ergebnis | 7 | 5 | 5 | = rwx,r-x,r-x | ||
| - | Da Group-e leider immer noch die alten Kommandos voraussetzt und vermutlich niemand bei jeder neuen Version den Quellcode anfassen möchte, müssen noch zwei symbolische Links angelegt werden: | + | Datei |
| + | Default | 6 | 6 | 6 | | ||
| + | umask | 0 | 2 | 2 | | ||
| + | ---------------------- | ||
| + | Ergebnis | 6 | 4 | 4 | = rw-,r--,r-- | ||
| + | </code> | ||
| - | <code>ln -s /sbin/mount.cifs /usr/bin/smbmount | + | Um pauschal auch für die besitzende Gruppe Schreibrecht zu gewähren muss die umask auf den Wert "002" geändert werden: |
| - | ln -s /sbin/umount.cifs /usr/bin/smbumount</code> | + | |
| - | Das wars, danach funktioniert der Samba-Dateimanager auch unter openSUSE, wenn auch mit ein paar Abstrichen in Sachen Sicherheit. | + | <code> |
| + | Verzeichnis | ||
| + | | u | g | o | | ||
| + | ---------------------- | ||
| + | Default | 7 | 7 | 7 | | ||
| + | umask | 0 | 0 | 2 | | ||
| + | ---------------------- | ||
| + | Ergebnis | 7 | 7 | 5 | = rwx,rwx,r-x | ||
| - | **Ergänzung:** | + | Datei |
| + | Default | 6 | 6 | 6 | | ||
| + | umask | 0 | 0 | 2 | | ||
| + | ---------------------- | ||
| + | Ergebnis | 6 | 6 | 4 | = rw-,rw-,r-- | ||
| + | </code> | ||
| - | Wenn es nicht funktioniert bitte die /etc/hosts kontrollieren. Wenn dort eine wie im folgenden Beispiel gezeigte Zeile zu finden ist, ist diese entweder zu löschen oder die 127.0.0.2 gegen die tatsächliche IP-Adresse zu tauschen. | + | Die umask ist prinzipiell Benutzer-bezogen. Sie kann an mehreren Stellen im System geändert werden. Wichtig dabei ist, dass die Änderung auf dem Fileserver-Client wirksam ist. Eine Änderung auf dem Server selbst, etwa in /etc/profile o.ä. bleibt wirkungslos. |
| - | <code>127.0.0.2 invis65.invis-net.loc invis65</code> | + | Da openSUSE mit dem "pam_umask" Modul arbeitet, kann die umask auch in den Einstellungen der einzelnen Benutzerkonten vorgenommen werden. Eingetragen wird eine persönliche umask in das "Gecos-Feld". Hier ein Auszug aus einer entsprechend angepassten passwd-Datei: |
| - | (Bitte nicht mit der 127.0.0.1 verwechseln.). | + | <code> |
| + | ... | ||
| + | stefan:x:10000:100:Stefan Schäfer,umask=002:/local/home/stefan:/bin/bash | ||
| + | ... | ||
| + | </code> | ||
| - | Es sollte ein korrekter Eintrag direkt unter "127.0.0.1 localhost" stehen: | + | Da invis Server eine LDAP-basierte zentrale Benutzerverwaltung anbieten, **muss** die gezeigte Anpassung selbstverständlich im LDAP-Verzeichniseintrag der einzelnen Benutzer vorgenommen werden. |
| - | <code>127.0.0.1 localhost | + | Melden Sie sich dazu über den Link "Verzeichnisdienst" auf der Administrationsseite des Portals am LDAP-Verzeichnis an und ändern Sie das Feld "gecos" betroffenen Benutzereinträge wie folgt ab: |
| - | 192.168.200.10 invis65.invis-net.loc invis65</code> | + | |
| - | **Erläuterung:** | + | DN: uid=**username**,ou=Users,ou=Benutzerverwaltung,dc=**invis-net**,dc=loc |
| - | **//smbmount//** fragt die /etc/hosts nach der IP des Servers ab und gibt sich mit der ersten zutreffenden Antwort zufrieden. Wenn dies mit 127.0.0.2 beantwortet wird und Samba mit der Option "bind interfaces only" an bestimmte IPs gebunden ist, verweigert es einfach den Mount-Versuch. | + | Von: "System User" zu "System User,umask=002" |
| - | Gibt man in der Freigaben-Konfiguration von Group-e statt des Hostnamens die IP-des Samba-Servers ein, funktioniert es immer. | + | Ab invis Version 6.7-R3 entspricht dies der Vorgabe, wenn Benutzer über das invis-Portal angelegt werden. Die Vorgabe kann in der Datei "/srv/www/htdocs/portal/config.php" an die eigenen Wünsche angepasst werden. |
| + | |||
| + | ===== Speicherüberlauf Cyrus Index-DB ===== | ||
| + | |||
| + | Cyrus IMAP speichert die den Mailboxen zugehörigen Index-Datenbanken unter /var/lib/imap im Berkeley-DB (sleepycat) Format ab. Die für dieses Format übliche Konfigurationsdatei "DB_CONFIG" fehlt im Verzeichnis /var/lib/imap/db. Das bedeutet, dass die Datenbank mit Standardwerten betrieben wird. Es kann vorkommen, das der per Default vorgegebene für die Datenbanken zur Verfügung stehende maximale Speicherplatz überschritten wird. Die Folge ist, dass Cyrus die weitere Annahme in die von ihm verwalteten Postfächer verweigert. | ||
| + | |||
| + | Dieser Fehler äußert sich in /var/log/messages mit folgenden Zeilen: | ||
| + | |||
| + | <code> | ||
| + | Feb 21 11:01:47 invis5bio lmtpunix[1802]: DBERROR db4: Logging region out of memory; you may need to increase its size | ||
| + | Feb 21 11:01:47 invis5bio lmtpunix[1802]: DBERROR: opening /var/lib/imap/deliver.db: Cannot allocate memory | ||
| + | Feb 21 11:01:47 invis5bio lmtpunix[1802]: DBERROR: opening /var/lib/imap/deliver.db: cyrusdb error | ||
| + | Feb 21 11:01:47 invis5bio lmtpunix[1802]: FATAL: lmtpd: unable to init duplicate delivery database | ||
| + | Feb 21 11:01:47 invis5bio master[17315]: service lmtpunix pid 1802 in READY state: terminated abnormally | ||
| + | </code> | ||
| + | |||
| + | Behoben werden kann dieser Fehler durch erzeugen einer Konfigurationsdatei für die Berkeley-DB unter dem Namen "DB_CONFIG" in /var/lib/imap/db: | ||
| + | |||
| + | <code> | ||
| + | set_cachesize 0 2097152 1 | ||
| + | |||
| + | # Data Directory | ||
| + | #set_data_dir db | ||
| + | |||
| + | # Transaction Log settings | ||
| + | set_lg_regionmax 2097152 | ||
| + | set_lg_bsize 2097152 | ||
| + | set_lg_max 4194304 | ||
| + | set_tx_max 200 | ||
| + | set_tas_spins 1 | ||
| + | #set_lg_dir logs | ||
| + | </code> | ||
| + | |||
| + | Daran anschließend ist Cyrus neuzustarten: | ||
| + | |||
| + | <code> | ||
| + | linux:~ #/etc/init.d/cyrus restart | ||
| + | </code> | ||
| + | |||
| + | ===== Group-e -- Passwwort des Benutzers "config" zurück setzen ===== | ||
| + | |||
| + | Das Passwort des Benutzers "config" wird unabhängig von der generellen Benutzerverwaltung in Group-e immer in der MySQL-Datenbank verwaltet. Um es zurückzusetzen muss eine SQL-Anweisung über das MySQL-Komandozeilen Frontend abgesetzt werden: | ||
| + | |||
| + | <code> | ||
| + | linux:~ # mysql -u root -p | ||
| + | |||
| + | ... | ||
| + | |||
| + | mysql> use groupe; | ||
| + | Database changed | ||
| + | mysql> UPDATE `ModulCfg` SET `CfgVal`=MD5( 'config' ) WHERE `ModulCfg`.`FKModul`='global' AND `ModulCfg`.`FKCfgKey`='cfg/pwd' AND `ModulCfg`.`FKObjID`=0; | ||
| + | Query OK, 1 row affected (0.01 sec) | ||
| + | Rows matched: 1 Changed: 1 Warnings: 0 | ||
| + | |||
| + | mysql> quit | ||
| + | Bye | ||
| + | linux:~ # | ||
| + | </code> | ||
| + | |||
| + | Danach kann man sich wieder als Benutzer "config" mit dem Passwort "config" anmelden. | ||
| ===== Nein Danke Zensursula ===== | ===== Nein Danke Zensursula ===== | ||
| Zeile 99: | Zeile 182: | ||
| Das Beispiel zeigt den Deeplink-Schutz für das Verzeichnis von phpMyAdmin. Sie müssen lediglich die Domain-Namen an Ihre Gegebenheiten anpassen und den Apache neustarten. Danach sind die geschützten Applikationen nur noch über das invis-Portal erreichbar. | Das Beispiel zeigt den Deeplink-Schutz für das Verzeichnis von phpMyAdmin. Sie müssen lediglich die Domain-Namen an Ihre Gegebenheiten anpassen und den Apache neustarten. Danach sind die geschützten Applikationen nur noch über das invis-Portal erreichbar. | ||
| - | Die gezeigten Einträge werden ab invis Release 6.6-R4 generell für alle Applikationen Standard sein. | + | |
| + | Die gezeigten Einträge sind ab invis Release 6.6-R4 generell für alle Applikationen Standard. | ||
| + | |||
| + | ===== Faxgate-Client unter Linux nutzen ===== | ||
| + | |||
| + | Um den Faxgate-Client unter Linux nutzen zu können sind ein paar Kleinigkeiten zu beachen: | ||
| + | |||
| + | - Die Firewall des Linux-Clients muss Port 50000/TCP geöffnet haben. | ||
| + | - Die ".jar" Datei ist mittels der Befehlszeile "java -jar FaxgateClient.jar" zu starten. Das lässt sich ja unter KDE oder Gnome als fertiges Icon auf den Desktop legen. | ||
| + | - In der hosts-Datei von Client und Server sollten trotz funktionierendem DNS in Einträgen mit der IP "127.0.0.2" stattdessen die realen IP-Adressen verwendet werden. | ||
| + | - Da unter Linux nicht unter fremder Benutzerkennung gedruckt werden kann, muss für jeden Fax-Benutzer Serverseitig eine Fax-Konfiguration via YaST erzeugt werden. Wird dort die MSN für eingehende Faxe nicht eingetragen, kann dieser Eintrag nur für den Faxversand genutzt werden. Der Faxempfang kann so weiterhin über die Benutzerkennung "fax" erfolgen. D.h. alle Faxe landen im speziellen Faxpostfach und sind für alle Nutzer lesbar. | ||
| + | |||