Регистрация клиента Новелл (ХР) в eDirectory

Обсуждение технических вопросов по продуктам Novell под Linux, а также *nix систем

Регистрация клиента Новелл (ХР) в eDirectory

Сообщение Alex_Saf » 11 сен 2006, 18:31

Доброго времени суток, коллеги!

Есть проблема с регистрацией с рабочей станции на WinXP в eDirectory. eDirectory развернута на FedoraCore 5. Согласно документу http://www.novell.com/coolsolutions/net ... w5_nw.html в файерволе на машине с eDirectory проделаны следующие дырки:
1) 389, 636, 524 (NCP - его никто не слушает), 20000 (слушает ndsd) по tcp
2) 123, 427 (SLP - его слушает slpuasa) по udp

Вообщем клиент не регистрируется с ошибкой "Невозможно найти дерево или сервер...". Хотя указан ип адрес сервера и дерево абсолютно точно. Сервер с eDirectory является еще и шлюзом по умолчанию. Я запустил на нем tcpdump и увидел что клиент пытается найти сервис мультикастингом:
17:55:14.323790 IP 192.168.54.10.blackjack > 239.255.255.253.svrloc: UDP, length 37
17:55:14.323952 IP 192.168.54.10.blackjack > 224.0.1.22.svrloc: UDP, length 44 (мультикастинг SRVLOCK)

192.168.54.10 - это клиент.
В свойствах клиента выставлено и предпочитаемый сервер и дерево, а также в настройки протоколов указано, что предпочитаемый сетевой протокол - IP с параметрами NDS, файл хостов, DNS, SLP

Что мне нужно сделать, чтобы клиент мог аутентифицироваться в eDirectory? Мож DNS нужно крутить как-то? Я добавил в DNS SRV-запись вида
ldap._tcp.novell_inc.provo.novell.com. SRV 0 0 389 server1.novell_inc.provo.novell.com

И еще вопрос: у меня сервер eDirectory запущен на порту 20000, а клиент упорно лезет на 524. Это можно как-нибудь разрулить? Или вервер должен только работать на 524?
Alex_Saf
 
Сообщения: 16
Зарегистрирован: 06 сен 2006, 16:11

Сообщение Иван Левшин aka Ivan L. » 11 сен 2006, 23:55

ИМХО мультикасты говорят о том, что не настроен SLP. Как настраивать - есть прекрасный TID, описывающий что такое, зачем надо, каким образом делать.
Иван Левшин aka Ivan L.
 
Сообщения: 2401
Зарегистрирован: 05 июн 2002, 18:36
Откуда: Новомосковск, Тул. обл.

Сообщение Андрей Фисенко » 12 сен 2006, 05:06

Иван Левшин aka Ivan L. писал(а):ИМХО мультикасты говорят о том, что не настроен SLP. Как настраивать - есть прекрасный TID, описывающий что такое, зачем надо, каким образом делать.

А еще, Иван, есть люди, которые знают, что делать или где искать, но говорят только о том, что все это где-то есть.

PS. Хотя-бы номер тида мог-бы и оставить. :shock:
Андрей Фисенко
 
Сообщения: 1308
Зарегистрирован: 05 июн 2002, 08:13
Откуда: Красноярск

Сообщение Андрей Тр. aka RH » 12 сен 2006, 07:15

И еще вопрос: у меня сервер eDirectory запущен на порту 20000, а клиент упорно лезет на 524. Это можно как-нибудь разрулить? Или вервер должен только работать на 524?
А это разве нормально ? Если не коннектится по указанному IP, то при чем здесь SLP ?
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Сообщение Иван Левшин aka Ivan L. » 12 сен 2006, 12:35

Андрей Фисенко писал(а):
Иван Левшин aka Ivan L. писал(а):ИМХО мультикасты говорят о том, что не настроен SLP. Как настраивать - есть прекрасный TID, описывающий что такое, зачем надо, каким образом делать.

А еще, Иван, есть люди, которые знают, что делать или где искать, но говорят только о том, что все это где-то есть.

PS. Хотя-бы номер тида мог-бы и оставить. :shock:


Андрюх... Я бы с удовольствием - но я его не помню. Товарищ будет также, как и я, рыть Knowledgebase. Дело не в снобизме, поверь на слово ;)

А клиент и будет ломиться по 524 порту :) Он в работе 427 и 524 порты пользует.ndsd на 20000 порту - это кабы не клиентский порт для репликации (предположение, в линухе не силен). Грабля у него в том, что файрволл (либо что-то еще на пути до сервера) режет мультикасты. Надо настроить SLP на использование юникастов. Как - указано в тех самых пресловутых ТИДах.

Дабы исправиться в глазах Фиса - [http="SLP Terms and Configuration Reference"]http://www.novell.com/support/search.do?cmd=displayKC&docType=kc&externalId=10014396&sliceId=&dialogID=13240308&stateId=0%200%2013244855[/http]
Иван Левшин aka Ivan L.
 
Сообщения: 2401
Зарегистрирован: 05 июн 2002, 18:36
Откуда: Новомосковск, Тул. обл.

Сообщение Alex_Saf » 12 сен 2006, 15:00

Иван Левшин aka Ivan L. писал(а):А клиент и будет ломиться по 524 порту :) Он в работе 427 и 524 порты пользует.ndsd на 20000 порту - это кабы не клиентский порт для репликации (предположение, в линухе не силен).


У меня 524 порт никто не пользует -100%. 20000 порт я сам выбрал при установке eDirectory. Видимо нужно переставить перенеся службу на 524 порт или редирект сделать. Но ежели клиент может ломится только на 524 то нах вообще давать возможность этот порт менять? Секурность? Думаю основное предназначение eDirectory - аутентифицировать клиентов (ну и службы конечно).
Alex_Saf
 
Сообщения: 16
Зарегистрирован: 06 сен 2006, 16:11

Сообщение Иван Левшин aka Ivan L. » 12 сен 2006, 15:09

Подозреваю, что основное назначение едира все же не только в том, чтобы авторизовать, а в том, чтобы обеспечить надежное централизованное хранилище информации :) Авторизация - хорошо, но это далеко не главное.

Порт раз поменял - тогда уж и на клиенте меняй :) К чему такая мегасекурность-то? Я что-то не видел уязвимостей, которые пользовали бы 524 порт. Ситуация, ИМХО, четко вписывается в "мы сами творцы своего геморроя" :D
Иван Левшин aka Ivan L.
 
Сообщения: 2401
Зарегистрирован: 05 июн 2002, 18:36
Откуда: Новомосковск, Тул. обл.

Сообщение Alex_Saf » 12 сен 2006, 15:37

to Иван Левшин aka Ivan L.

Я понял особо к чему вы это все говорите? Чем занимается служба каталога я понимаю. Геморой? Какой геморой? Я объяснил - при установке запросили порт, я установил напр. 20000. То что клиент не может коннектится по tcp/ip ни на какой кроме 524 порта - это разве моя проблема? Если это проблема и масса всего завязано на цифру 524, то зачем давать админу возможность менять порт?
Alex_Saf
 
Сообщения: 16
Зарегистрирован: 06 сен 2006, 16:11

Сообщение Иван Левшин aka Ivan L. » 12 сен 2006, 16:26

Я говорю это к тому, что админ обязано понимать, что он делает :) Если он серверный порт поменял - наверное, должна сама собой возникнуть мысль поменять порт для подключения и на клиенте :) Просто troubleshooting подобных случаев, мягко говоря, затруднен. Мы то подозреваем, что настройки - дефолтные. А оно вона как оказывается ;)

А насчет проблем - раз клиент не может войти в сеть - разве это не ТВОЯ проблема? ;)
Иван Левшин aka Ivan L.
 
Сообщения: 2401
Зарегистрирован: 05 июн 2002, 18:36
Откуда: Новомосковск, Тул. обл.

Попробуйте так

Сообщение skoltogyan » 12 сен 2006, 16:54

1. В момент логина, вместо имени дерева ВЛОБ вписать IP Вашего сервера
+
2. в фаерволе откройте так
from WS ---to --> Server еще и для udp те-жее порты
типа так:
FORWARD src 192.168.5.0/24 -p udp dst 192.1681.1 --dport 524 -j ACCEPT
+
3. От Сервера в сторону WS откройте все, типа так
FORWARD src 192.168.1.1 dst 192.168.5.0/24
skoltogyan
 
Сообщения: 1928
Зарегистрирован: 12 июл 2002, 19:39
Откуда: Украина, Донецк

Сообщение Alex_Saf » 12 сен 2006, 17:03

to Иван Левшин aka Ivan L.

Этот разговор бесперспективный. Глупо предполагать, что поменяв серверный порт я не пытался сделать это на клиенте. Не нашел явных настроек на клиенте по порту, поэтому использовал IP_ADDR_SRV:PORT. Тем не менее клиент все равно лезет на 524.
Alex_Saf
 
Сообщения: 16
Зарегистрирован: 06 сен 2006, 16:11

Что-то мне подсказывает, что вы поменяли порт для доступа

Сообщение Boris Morozov » 12 сен 2006, 19:06

через LDAP. Какое число стояло там по умолчанию? Вспомните, это важно. А обычные клиенты работают не через LDAP, а через NCP и я как-то не слышал, чтобы можно было менять этот порт.
Boris Morozov
 
Сообщения: 1333
Зарегистрирован: 05 июн 2002, 22:24
Откуда: Минск

Сообщение Alex_Saf » 12 сен 2006, 19:45

to Boris Morozov

я про LDAP не слово не говорил. Как бы беседа кружится вокруг порта 524 - собственно порта NCP по дефолту.
Не понимаю какое число вы призываете меня вспомнить. Если касательно места где можно указать порт NCP, то это не проблема. После установки eDirectory запускаете, скажем, ndsmanage. Говорите, что страстно желаете создать новое дерево и устанавливате параметры instance. В том числе будет следующая строка:
NCP Port number to listen on:
Пожалста, вводите любое значение.
Alex_Saf
 
Сообщения: 16
Зарегистрирован: 06 сен 2006, 16:11

Сообщение Alex_Saf » 12 сен 2006, 20:08

В итоге все идентификация прошла успешно, при применении дефолтного 524 порта. Причем на файрволе открыты только те порты, которые я указал в первом посте, а полностью открыт интерфейс, смотрящий во внутреннюю сеть, как советовал уважаемый skoltogyan.
После успешной идентификации пользователя (он был ранее заведен в eDirectory) на WinXP - система потребовала еще быть зарегиным на локальной машине (или в домене виндовс). Это так и есть? Выходит необходимо завести одного или нескольких псевдо-пользователей на каждой машине? Какой-то грязный хак.
Alex_Saf
 
Сообщения: 16
Зарегистрирован: 06 сен 2006, 16:11

Сообщение Иван Левшин aka Ivan L. » 12 сен 2006, 21:22

Ну вот, видишь :) Дефолт надо пользовать, дефолт. Опасности - никакой. Сколько помню (а НДС существует с нетвари 4.11) никаких проблем с безопасностью дефолтного порта не было.

По поводу двух логинов - вспоминаем принцип организации WinNT :) Покуда ты не войдешь с учеткой, имеющейся в SAM, щастья не будет. Ни оболочки, ни шар - ничего. Второй логин - это и есть учетка из SAM. Проблема борется двумя путями:
1. Нормальный. ЗЕН - там есть политика Dynamic Local User. Она просто создает пользователя в SAM с нужными правами и авторизация в NT/2000/XP проходит прозрачно.
2. Сначала создаем учетки в SAM ручками - причем и имя пользователя, и логин должны точно соответствовать оным в едире. Результат - вторая учетка не спрашивается. Либо каким-то скриптом (предположение, не уверен в его жизнеспособности) входим в локальную NT-машину под одним и тем же пользователем.

Извини, если тон показался резким - ты, в общем, терпимостью тоже не отличаешься :)
Иван Левшин aka Ivan L.
 
Сообщения: 2401
Зарегистрирован: 05 июн 2002, 18:36
Откуда: Новомосковск, Тул. обл.

След.

Вернуться в *nix

Кто сейчас на конференции

Сейчас этот форум просматривают: Bing [Bot] и гости: 1