решил поиграться с суперлюимином

Обсуждение технических вопросов по продуктам Novell под Linux, а также *nix систем

решил поиграться с суперлюимином

Сообщение Dimerson » 11 янв 2012, 12:41

решил поиграться с суперлюмином

читая вдумчиво кногу крейга о миграции с БМ на SL (PDF 50$)
Аватара пользователя
Dimerson
 
Сообщения: 2749
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: решил поиграться с суперлюимином

Сообщение skoltogyan » 11 янв 2012, 17:27

И каков в этом SL VPN-сервер и каким к нему VPN-клиентом коннектится ?
skoltogyan
 
Сообщения: 1897
Зарегистрирован: 12 июл 2002, 19:39
Откуда: Украина, Донецк

Re: решил поиграться с суперлюимином

Сообщение Dimerson » 12 янв 2012, 09:19

S2S там IPSEC
C2S там SSL (как я понял OpenVPN)

cat CHANGELOG

Version 2.2 - Aug 2011
-------------------------------------------------------

- Added support for Interface Masters Niagara bypass NICs (n22xxed series).
- Added support for NTLM authentication.
- Added support for RADIUS authentication.
- Added site to site VPN (IPSEC based).
- Added remote access VPN (SSL based).
- Improvements to access control (time, single system image, bypass cache,
header suppression, selective logging).
- Added support for role based administration.
- Added support for SNMP.
- Added support for e-mail alerts.
- Added support for cache pre-population.
- Activia integration.
- Added support for NIC bonding and bridging.
Аватара пользователя
Dimerson
 
Сообщения: 2749
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: решил поиграться с суперлюимином

Сообщение Ковалев Артем » 12 янв 2012, 11:29

clntrust работает как схема авторизации?
берем картину мироздания и тупо смотрим - что к чему...
Аватара пользователя
Ковалев Артем
 
Сообщения: 909
Зарегистрирован: 29 мар 2004, 11:44
Откуда: Москва

Re: решил поиграться с суперлюимином

Сообщение Dimerson » 12 янв 2012, 11:53

работает

свой clntrust
Аватара пользователя
Dimerson
 
Сообщения: 2749
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: решил поиграться с суперлюимином

Сообщение skoltogyan » 12 янв 2012, 12:21

как VPN оттуда соотносится с эккаунтами из eDir ?
skoltogyan
 
Сообщения: 1897
Зарегистрирован: 12 июл 2002, 19:39
Откуда: Украина, Донецк

Re: решил поиграться с суперлюимином

Сообщение Dimerson » 12 янв 2012, 12:35

фиг знает. пока с помошью крейга и такой-то матери хочу сделать эмулятор бордюра.

то есть имеется BM в виде - 2 эзернета : Private и Public. на нем форвад прокси + статик нат + генерик тцп + маленько сокса (как-то без динамик ната обходился).

то же и тут:
eth0 внутрь eth1 наружу на нем прокси с SSO в Edir (нет SSO - from login) + нат (бай дефолт все закрыто в DROP для ната)

и потихоньку по 1 сервису в день снимаем с бордюра Secondary IP, поднимаем static нат на Люмине (+ добавляем эксепшены на выход и вход) и правим на нужном компе дефолт. Так же потихоньку развертываем SSO в параллель с clntrust.exe на 3025 порту чтоб не дрались они.

И кода все созреет все в тч и рулы накиданые через гуй его с едира можно сменить в DHCP прокси опцию и пепец .... бордюр может сиротливо стоять весело думая своими 4 ГБ рамбуса :o)
Аватара пользователя
Dimerson
 
Сообщения: 2749
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: решил поиграться с суперлюимином

Сообщение Dimerson » 13 янв 2012, 05:39

в общем пока VPN не трогал.

а что есть такое суперлюминь немезис ?

это такое модное чукалово созданное на основе SLES11.SP1

то есть исошник 500+ мб - там инсталлер SLES (сразу на все отвечает Y и соглашается со всеми лицензионными соглашениями и сама размечает диск и все такое). в моем случае я сперва пробовал на 1 раздел RAID1 ставить все ок - 10 партишенов нарезано и все живет (EXT3 btw юзается а не рейзер !!! это гуд).

Disk /dev/sda: 299.0 GB, 298999349248 bytes
255 heads, 63 sectors/track, 36351 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes
Disk identifier: 0x0003cc62

Device Boot Start End Blocks Id System
/dev/sda1 * 1 9 72261 83 Linux
/dev/sda2 10 271 2104515 82 Linux swap / Solaris
/dev/sda3 272 36351 289812600 f W95 Ext'd (LBA)
/dev/sda5 272 402 1052226 83 Linux
/dev/sda6 403 1708 10490413+ 83 Linux
/dev/sda7 1709 3014 10490413+ 83 Linux
/dev/sda8 3015 4059 8393931 83 Linux
/dev/sda9 4060 6670 20972826 83 Linux
/dev/sda10 6671 36351 238412601 83 Linux

/dev/sda8 on / type ext3 (rw,acl,user_xattr)
proc on /proc type proc (rw)
sysfs on /sys type sysfs (rw)
debugfs on /sys/kernel/debug type debugfs (rw)
devtmpfs on /dev type devtmpfs (rw,mode=0755)
tmpfs on /dev/shm type tmpfs (rw,mode=1777)
devpts on /dev/pts type devpts (rw,mode=0620,gid=5)
/dev/sda1 on /boot type ext3 (rw,acl,user_xattr)
/dev/sda5 on /tmp type ext3 (rw,acl,user_xattr)
/dev/sda10 on /var type ext3 (rw,acl,user_xattr)
/dev/sda9 on /var/opt/sln/iproxy/filterdata type ext3 (rw,acl,user_xattr)
/dev/sda6 on /var/opt/sln/iproxy/oc/ingest type ext3 (rw,acl,user_xattr)
/dev/sda7 on /var/opt/sln/iproxy/oc/receive type ext3 (rw,acl,user_xattr)
/proc on /var/lib/ntp/proc type none (ro,bind)

но имхо не здраво держать тут же кеш. подоткнул еще 2 сас харда - сделал jbod'ы и кеш настроил на sdb и sdc. кеш разделы создаются люминовыми утилями и форматятся им же со своим типом ФС. То есть работает с кеш разделами мимо FS и не кешируется OS что тож есть гуд.

Disk /dev/sdb: 146.0 GB, 145999527936 bytes
255 heads, 63 sectors/track, 17750 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes
Disk identifier: 0x0007e6ab

Device Boot Start End Blocks Id System
/dev/sdb1 1 17750 142576843+ 68 Unknown

Disk /dev/sdc: 146.0 GB, 145999527936 bytes
255 heads, 63 sectors/track, 17750 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes
Disk identifier: 0x00067fe3

Device Boot Start End Blocks Id System
/dev/sdc1 1 17750 142576843+ 68 Unknown

лицензия привязывается к MAC адресу. триал через веб морду безпроблемно на 45 дней дают.

после инсталла с ком строки из-под рута пускаем quickstart

и настраивается IP/NETMASK etc

далее админим через его вебморду.

самое интересное:

аутентификация через LDAP :

Изображение

если все ок с LDAP есть браузер ЛДАП например для создания АЦЛ по юзерам едир итд:
Изображение


настройка SSO в ACL:
Изображение

в общем как-то так. то есть если есть на чем можно спокойно играться.

Про VPN: в доке видно что там так же LDAP Auth profile посему очень надеюсь что оно сможет делать то что надо - vpn+edir auth

картинко с доки Изображение
Аватара пользователя
Dimerson
 
Сообщения: 2749
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: решил поиграться с суперлюимином

Сообщение Dimerson » 16 янв 2012, 06:36

в общем пока все ок. фича - прокси контролирует метод коннект и пускает только SSL - всякий нестандарт идет лесом (отключаемо но в доке всячески указывают что надо в целях безопасности). для нестандарта думаю собрать danted посвежее с авторизацией в LDAP.
Аватара пользователя
Dimerson
 
Сообщения: 2749
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: решил поиграться с суперлюимином

Сообщение Dimerson » 17 янв 2012, 11:30

в общем и целом с проксей/SSO вопросов нет.

по socks5 с авторизацией в LDAP дело обстоит так - полная поддержка LDAP в SOCKS5 сервере Dante стоит денег. 1000 евро.

посему юзаем вариант с BSD-Like лицензией с подержкой PAM. в SLES11 dante-server отсутствует.
берем ftp://ftp.inet.no/pub/socks/dante-1.3.2.tar.gz. доустановим pam-devel и далее ./configure --with-pam и make

в конфиге sockd используем метод pam

так как SuperLumin создат дефолтовый профиль лдап уже правильный то используем его в виде конфига :

/etc/pam.d/sockd примерно такой:

#%PAM-1.0
auth required pam_listfile.so onerr=fail item=user sense=allow file=/etc/sockd/users.allow
auth required pam_ldap.so config=/etc/pam.d/profiles/0001.ldap.conf
account required pam_ldap.so config=/etc/pam.d/profiles/0001.ldap.conf
password required pam_ldap.so config=/etc/pam.d/profiles/0001.ldap.conf


/etc/pam.d/profiles/0001.ldap это конфг лдап профлия #1 СуперЛюмина

/etc/sockd/users.allow список юзеров кто может юзать сокс по 1 юзеру в каждой строке


то есть соксифицируемая программа авторизуется по логину/паролю. если юзер не в списке - до свидания а если там то проверяется пароль через LDAP и юзер идет наружу через сокс.

к сожалению бесплатный вариант Dante/sockd не дает создать развесистые ACL по доступу к конкретным ресурсам через сокс-прокси.
но возможность заюзать жестко ограниченно socks5 с обязательной авторизацией есть.

И по файрволу в SuperLumin. Он для меня слегка простоват - нет например возможности какие-нибудь хитрые протоколы описать правилами для NAT итд в гуях но там есть поддерждка внешнего скрипта - активизируется 1 крыжик Enable External Script Support ,
и при старте/останове выполнаются /etc/opt/sln/iproxy/iptables-create.sh и /etc/opt/sln/iproxy/iptables-cleanup.sh.

смотрим /etc/opt/sln/iproxy/iptables-create.sh

Код: Выделить всё
#!/bin/bash
#
# Iptable creation script for iproxy
#
# You may add your own iptables rules into the script.
# However, you must make sure to add the appropriate
# cleanup rules to the iptables-cleanup.sh script.
#
# We recommend that you use a specific -j <your-chain>
# to make the management and cleanup of your rules
# simpler.
#
# Look at the man-page for iptables for more information.
#
# Example:
#
# /usr/sbin/iptables -N my-chain
# /usr/sbin/iptables -A INPUT -p ALL -j my-chain
# /usr/sbin/iptables -A my-chain -p tcp -s 10.1.1.1 -j DROP
# /usr/sbin/iptables -A my-chain -p tcp -s 10.1.1.2 -j LOG
#
# The first statement creates a new chain 'my-chain'.
# The second rule adds a rule to the INPUT chain so that
# all packets for all protocols are sent (-j=jump) to our
# new chain 'my-chain.
# The third rule adds a rule to our new chain 'my-chain' that
# drops all tcp packets coming from source ip 10.1.1.1.
# The fourth rule adds a rule to chain 'my-chain' that
# will log all tcp traffic from source ip 10.1.1.2. The log
# is found in /var/log/filter.
#
# If you use your own chain, the cleanup required in the
# iptables-cleanup.sh file remains very simple. See the
# iptables-cleanup.sh file.
#


В общем все ясно с Firewall'ом.

Пока непонятно как обновлять SLES11SP1 который есть основа SLN. Руками доставлял timezone rpm сами понимаете почему - там срез операционки на 1 августа.

И еще - запрещал Martian Sources в логи с внутреннего интерфейса - у меня куосер много и они похоже частично с марса ...
Аватара пользователя
Dimerson
 
Сообщения: 2749
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: решил поиграться с суперлюимином

Сообщение Андрей Добров » 18 янв 2012, 18:54

Dimerson писал(а):решил поиграться с суперлюмином

читая вдумчиво кногу крейга о миграции с БМ на SL (PDF 50$)


Да, была задача. Ещё чуть ли не пару лет после объявления компании STRATACACHE по замене Бордюра пробовал СуперБлюмен или СуперБубен. Не то. А тут ещё и подоспел 152 Федеральный Закон и не пошло. Но искал. Задача поставлена, и времени жизни моего Бордюра заканчивается, не смогу запустить на новом железе.
И нашёл и предлагаю посмотреть в другую сторону особенно кого волнует 152 ФЗ. Это железяка FortiGate-60C. Сертифицирована по ФСТЭК. Делает почти и ещё чуть чуть что и бордюр. Не лицензирует пользователей по описанию именно эта коробка тянет до 500 пользователей. Стоит с сертификацией 42 тыс.рублей. Без, дешевле процентов на 20. Имеется интеграции с eDirectory по SSO.

Чем больше её тестирую тем больше понимаю что надо брать. Имеется вариант и под VMWare? Но стоит уже не хило.
Андрей Добров
 
Сообщения: 218
Зарегистрирован: 03 авг 2003, 21:27
Откуда: Железнодорожный,Регион 50

Re: решил поиграться с суперлюимином

Сообщение Dimerson » 19 янв 2012, 06:40

Про ту железку я писал тут уже давно - см http://novell.org.ru/forum/viewtopic.ph ... =FortiGate - почти 2 года назад но блин почему-то ее не назначили success'ором :(

Опять же с железкой довольно проблематично ее потрогать .... кто даст мне ее на тестирование ?

Посему раз ВЫ ее юзаете - как у нее с производительностью HTTP прокси (SAS HDD под кеш ?) и отсутствием багов в нем ? И по фичам в построении firewall как в сравнении с BM ?

имеется в виду Static (честный IP->IP+фильтр)/Dynamic NAT,генерик прокси, Socks5 (блин тут столько нагорожено хотелось бы лограничиться одним устройством) возможность прокидывать через NAT IPSEC, GRE (ради чего в параллель с BM стоит Linux с iptables) и прочее и прочее ...

опять же я смутно припоминаю что когда я глядел описалово на данную железку авторизация была в едир не с опросом клиента а типа по полиингу eDir ....
тем не менее хотелось бы послушать мнение о данном чудо девайсе.
Аватара пользователя
Dimerson
 
Сообщения: 2749
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: решил поиграться с суперлюимином

Сообщение Андрей Добров » 23 янв 2012, 18:25

Dimerson писал(а):Про ту железку я писал тут уже давно - см viewtopic.php?f=6&t=10887&hilit=FortiGate - почти 2 года назад но блин почему-то ее не назначили success'ором :(

Опять же с железкой довольно проблематично ее потрогать .... кто даст мне ее на тестирование ?

Посему раз ВЫ ее юзаете - как у нее с производительностью HTTP прокси (SAS HDD под кеш ?) и отсутствием багов в нем ? И по фичам в построении firewall как в сравнении с BM ?

имеется в виду Static (честный IP->IP+фильтр)/Dynamic NAT,генерик прокси, Socks5 (блин тут столько нагорожено хотелось бы лограничиться одним устройством) возможность прокидывать через NAT IPSEC, GRE (ради чего в параллель с BM стоит Linux с iptables) и прочее и прочее ...

опять же я смутно припоминаю что когда я глядел описалово на данную железку авторизация была в едир не с опросом клиента а типа по полиингу eDir ....
тем не менее хотелось бы послушать мнение о данном чудо девайсе.


Странности имеются в любом продукты. Не исключение и этот.
Посмотреть можно здесь - https://fortigate.com/login (demo/fortigate)
В Москве можно получить на тестирование.
Есть мощные модели а есть и не очень. Если говорить про FortiGate 60C - это вариант для SOHO и внутри очень маленький диск на 8Гб SSD. Но имеется возможность перенаправлять трафик, в зависимости от политк, так и направил его через SQUID. Вот вам кешь любого объема.
При запуске в политиках антивирусника, чувствуется замедление в реакции при отображении сайтов.
SSO регистрация может быть через фирменный SSO-агента и как правильно заметили с контролем по регистрации в eDirectory.
Можно организовать SSO и через LDAP.
Логи также можно перенаправить или у них же имеется специализированная хреновина за хорошие деньги - отчёты на любой вкус.

Про производительность пока ничего не скажу не так много народу тестирует у меня.
Андрей Добров
 
Сообщения: 218
Зарегистрирован: 03 авг 2003, 21:27
Откуда: Железнодорожный,Регион 50

Re: решил поиграться с суперлюимином

Сообщение Dimerson » 24 янв 2012, 09:46

а пошто мегабубен забраковали ?
Аватара пользователя
Dimerson
 
Сообщения: 2749
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: решил поиграться с суперлюимином

Сообщение Андрей Добров » 24 янв 2012, 15:42

Dimerson писал(а):а пошто мегабубен забраковали ?

Эпопея началась ещё пару лет назад. Пробовал связаться с компанией - а мне в ответку рекламные листы. После ссылка и не рабочая. После утрясал версию под какую ось. А после подоспел 152 ФЗ. Если учесть что я работаю под BorderManager 3.7 и бесплатный переход мне не светит то ....
Были варианты с Astaro. В Московском представительстве Novell сами используют Astaro и на мои вопросы по SuperБубен как-то уклончиво отвечали, что пока лучше не связываться и использовать Astaro но мнение сугубо личное. Astaro в 2011 году прошло сертификацию по ФСТЭК, а бубен пока нет, да и не будет. И пока даже не знаю сколько стоит этот Бубен и как лицензируется. И кто в России его предлагает

Если имеется дока по новее чтоб освежить в памяти.... буду признателен. Посмотрим ещё раз что это за замена.
Андрей Добров
 
Сообщения: 218
Зарегистрирован: 03 авг 2003, 21:27
Откуда: Железнодорожный,Регион 50

След.

Вернуться в *nix

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2

cron