Squid, Kerberos и SquidGuard

После включения Centos в домен, (use_fully_qualified_names = True)
поставим Squid c авторизацией в AD и парсер блэклистов SquidGuard.

Запускаем Squid:

Проверяем ходит ли браузер в Инет через прокси.
Смотрим в tail -f /var/log/squid/access.log

Для аутентификации пользователей через AD создадим пользователя proxy и кейтаб для него proxy.keytab на контроллере домена:

Копируем proxy.keytab на proxy.domian.com, chown squid. proxy.keytab, и прописываем в /etc/sysconfig/squid

Проверка:

Добавляем в начало /etc/squid/squid.conf

И после INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS в /etc/squid/squid.conf добавляем:

Проверяем ходит ли браузер в Инет через прокси с аутентификацией.
Смотрим в tail -f /var/log/squid/cache.log

Редактируем /etc/squid/squidGuard.conf

В конец /etc/squid/squid.conf

И вот такой скрипт для обновления списков SquidGuard ./listupdate:

chmod +x и crontab -e обновляем каждый день:

Запускаем:

Или без обновления:

Смотрим в tail -f /var/log/squidGuard/squidGuard.log

Вот и все, теперь хотелось бы добавить фильтрацию для отдельных пользователей но при добавлении

squidGuard из epel падает с сегфолтом:
https://bugzilla.redhat.com/show_bug.cgi?id=1253662

Отключение built-in display Gnome

Установил я на старый компьютер Atom D510 Centos 6. При запуске Gnome пустое синее поле. Как оказалось Centos подключает не существующий встроеный дисплей а на подключенном мониторе отображает второй дисплей.
Решение добавить в /etc/gdm/Init/Default

Centos FreeRDP

После введения Centos в домен можно в /etc/skel положить:

xfreerdp -k 0x00000409 -a 15 -z --plugin cliprdr -u ${USER} -p $(zenity --entry --title="Удалённый рабочий стол" --text="Введите ваш пароль:" --hide-text) terminal.domain.local

И каждый зашедший сможет подключится к Windows RDS из под Linux введя лишь пароль в гуй окошке.

Centos в домене (sssd)

Для Centos 7 все тепрь совсем просто:
yum install epel-release
yum -y install realmd sssd oddjob oddjob-mkhomedir adcli samba-common
realm join EXAMPLE.COM
ну и use_fully_qualified_names = False в /etc/sssd/sssd.conf

В Centos 6 ставим:
yum install epel-release
yum install adcli authconfig sssd
DC в /etc/resolv.conf
Подключаем к AD:
adcli join example.com -U АДМИН
Проверяем:
klist -k
Правим /etc/krb5.conf

[libdefaults]
default_realm = EXAMPLE.COM
dns_lookup_realm = true
dns_lookup_kdc = true
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
[realms]
EXAMPLE.COM = {
kdc = dc.example.com
admin_server = dc.example.com
}
[domain_realm]
.example.com = EXAMPLE.COM
example.com = EXAMPLE.COM

Правим /etc/sssd/sssd.conf


[sssd]
services = nss, pam, ssh, autofs
config_file_version = 2
domains = EXAMPLE.COM
[domain/EXAMPLE.COM]
id_provider = ad
default_shell = /bin/bash
fallback_homedir = /home/%d/%u
#use_fully_qualified_names = True

chown root:root /etc/sssd/sssd.conf
chmod 0600 /etc/sssd/sssd.conf

authconfig –enablesssd –enablesssdauth –update
service sssd start
chkconfig sssd on

Правим /etc/pam.d/system-auth , первой строкой session:

session optional pam_mkhomedir.so skel=/etc/skel umask=077

Blind Call Center

В одной конторе, являющейся страховым брокером,  меня попросили сделать им такую систему, что бы сотрудники могли дозваниваться до клиентов, но в тоже время не знали бы их телефонные номера.
Я решил сделать небольшое приложение на PHP с использованием AMI (Asterisk Management Interface), которое могло бы по имени клиента находить его телефонный номер в базе MySQL и передавать его в Asterisk для звонка. Оформил с помощью Bootstrap и капли JQueryContinue reading Blind Call Center

Удалённый рабочий стол Linux CentOS 7

yum groupinstall "GNOME Desktop"
yum install vnc-server
cp /lib/systemd/system/vncserver@.service /etc/systemd/system/vncserver@:1.service
nano /etc/systemd/system/vncserver@:1.service
<user> = "username"
firewall-cmd --permanent --zone=public --add-port=5901/tcp
su "usename"
vncserver
exit
systemctl daemon-reload
systemctl enable vncserver@:1.service

Devcon

С помощью утилиты из WDK можно управлять подключёнными устройствами:
devcon.exe

devcon.exe -find =usb  или devcon.exe -find =smartcardreader
devcon.exe enable “@USBVID_0A89&PID_00205&31CFBC2F&0&2”
devcon.exe disable “@USBVID_0A89&PID_00205&31CFBC2F&0&2”

или даже
devcon.exe -find =smartcardreader USB*
devcon.exe -find =smartcardreader “@*8&8ADCA4&0&1*”

Сброс пароля Windows

1. Загружаемся с любого установочного диска Windows до первого экрана
2. Жмем SHIFT + F10
3. В косоли пишем copy /y c:\windows\system32\sethc.exe c:\windows\system32\sethc.old
4. Ещё раз пишем copy /y c:\windows\system32\cmd.exe c:\windows\system32\sethc.exe
5. Вынимаем установчный диск Windows
6. Перезагружаем компьютер
7. Жмём SHIFT пять раз
8. В консоле пишем net user имяпользователя пароль (/add; /active:{yes | no}
net group Администраторы имяпользователя /add
9. Заходим в систему
10. Меняем обратно copy /y c:\windows\system32\sethc.old c:\windows\system32\sethc.exe

Чёрный экран Windos RDS

При подключении к Wwindos RDS (Windows Terminal Services) пользователь видит лишь чёрный экран.

Решение – нажать Ctrl + Alt + End а затем кликнуть на Cancel

Hyper-V & wbadmin

Попытался бекапить один раздел Windos 2008 R2 на raid-5 размером 3.8 ТБ с помощью Windows Backup

но к сожелению это оказалось невозможным, так как Windows Backup поддерживает только разделы не более 2088958 МБ, но можно бекапить папки. Из того что раздел бепился на внешний USB диск, бекапить папки было не удобно ибо приходилось бы каждый раз переименовывать папку с бекапом. Пришлось сжимать раздел, но конечно он не сжимался до нужных 2088958 МБ из за ошибки Continue reading Hyper-V & wbadmin

D’link DSR

После очень успешного использования длинковских фаерволов из серии DFL решил попробовать девайсы из серии DSR и горько пожалел о бесполезно убитом времени потраченном на игры с этим железом.  Роутеры DSR-500n и DSR-1000n работали нестабильно и не поддерживали 3g модемы из за которых они и были нужны, a после обновления до прошивки 1,06b11, на которой сначала казалось всё работает нормально, стали отваливаться от Интернета и отказались прошиваться на другую версию прошивки. Continue reading D’link DSR