дальнейшая миграция Nw -> OES. вопрос к бывалым. DDNS-DHCP.

Обсуждение технических вопросов по продуктам Novell под Linux, а также *nix систем

дальнейшая миграция Nw -> OES. вопрос к бывалым. DDNS-DHCP.

Сообщение Dimerson » 17 окт 2012, 07:48

Джентльмены, имеет ли смысл переносить зоны и прочее (либо мишрейшен тулом либо через импорт-экспорт например) ? Или проще убить все в тч и в дереве и пересоздать по новой на OES ? В выходной например, когда никто не работает .
Аватара пользователя
Dimerson
 
Сообщения: 2951
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: дальнейшая миграция Nw -> OES. вопрос к бывалым. DDNS-DH

Сообщение Dimerson » 31 окт 2012, 15:03

upd: DDNS вроде даже работает.
DHCP обновляет в обе зоны. и даже с ключами.

в принципе DNS тот же практически а вот DHCP тут ничего общего с тем что в виде NLM.

У кого-нибудь оно живет долго и счастливо ? В смысле 24/7 и так до конца света ....

Опять же, есть ли путь вручную сделать LEASE адреса DHCP ?
Аватара пользователя
Dimerson
 
Сообщения: 2951
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: дальнейшая миграция Nw -> OES. вопрос к бывалым. DDNS-DH

Сообщение sovchik » 22 ноя 2012, 09:30

у меня живёт месяцев 5 уже, проблем пока не наблюдаю.
делал переносом зоны.
проблема чисто эстетическая - в дереве конфигурации DHCP под NetWare клиенты, получающие адреса динамически, заносились в подгруппу dhcp_users. Под Linux никак не могу найти как это сделать - они общей кучей в корне валяются.
sovchik
 
Сообщения: 323
Зарегистрирован: 31 июл 2012, 23:06
Откуда: Ярославль

Re: дальнейшая миграция Nw -> OES. вопрос к бывалым. DDNS-DH

Сообщение Dimerson » 22 ноя 2012, 11:01

на 6.0 не заносились. там у адреса был аттрибут - статический или динамический.
Аватара пользователя
Dimerson
 
Сообщения: 2951
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: дальнейшая миграция Nw -> OES. вопрос к бывалым. DDNS-DH

Сообщение sovchik » 22 ноя 2012, 15:58

в 6.5 заносилось.
а под Linux только цветом отличаются
sovchik
 
Сообщения: 323
Зарегистрирован: 31 июл 2012, 23:06
Откуда: Ярославль

Re: дальнейшая миграция Nw -> OES. вопрос к бывалым. DDNS-DH

Сообщение Dimerson » 07 янв 2013, 09:06

сам себе отвечаю про вынос dynamic leases - никак через гуй
см http://www.novell.com/support/kb/doc.php?id=7009572
P.S. Всех с рождеством и прошедшим новым годом !!!
(приходится воркать в праздники - надо допиливать оес ....)
Аватара пользователя
Dimerson
 
Сообщения: 2951
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: дальнейшая миграция Nw -> OES. вопрос к бывалым. DDNS-DH

Сообщение sovchik » 07 янв 2013, 10:37

Dimerson писал(а):сам себе отвечаю про вынос dynamic leases - никак через гуй....)

полезная инфа,спасибо. несколько раз уже на невозможность этого натыкался и был грустен.
жаль,что способ только такой извращеный.
sovchik
 
Сообщения: 323
Зарегистрирован: 31 июл 2012, 23:06
Откуда: Ярославль

Re: дальнейшая миграция Nw -> OES. вопрос к бывалым. DDNS-DH

Сообщение Dimerson » 07 янв 2013, 11:51

хоть так - документированно - я тут же из leases файла вынес забытый HP 19xx свидч которому кто настраивал забыл сказать Save configuration .... ;o)
Аватара пользователя
Dimerson
 
Сообщения: 2951
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: дальнейшая миграция Nw -> OES. вопрос к бывалым. DDNS-DH

Сообщение Dimerson » 15 янв 2013, 05:42

Наконец-то свершилось. На сервере с бордюром сделано stopbrd и оно закомменчено в autoexec.ncf (перед этим unload named & unload dhcpsrvr а еще до этого с него вынесен сервер сертификатов - был первым NW60 в дереве 4.11 в свое время).

Скоро ожидается снос реплики и вынос сервера из дерева ;o)
Аватара пользователя
Dimerson
 
Сообщения: 2951
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: дальнейшая миграция Nw -> OES. вопрос к бывалым. DDNS-DH

Сообщение sovchik » 15 янв 2013, 10:31

на что совершён переезд по итогу?
sovchik
 
Сообщения: 323
Зарегистрирован: 31 июл 2012, 23:06
Откуда: Ярославль

Re: дальнейшая миграция Nw -> OES. вопрос к бывалым. DDNS-DH

Сообщение Dimerson » 15 янв 2013, 10:34

Sles11 sp2 x86-64 (на Intel S3420GP).
VPN: OpenVPN - сертификаты в токенах.
Firewall: fwbuilder (chkconfig suse_firewall2 off)
Proxy: Squid + Squidtrust (допиленный)

по статистике SquidTrust:

External ACL Statistics: IPUser1
Cache size: 185
program: /opt/SquidTrust/bin/SquidTrustNoRSA.pl
number active: 10 of 10 (0 shutting down)
requests sent: 15154
replies received: 15154
queue length: 0
avg service time: 1 msec

Пробовался и SuperLumin. Он конечно шустрый. Но файрволл там явно туповат.

В sles11 sp2 сейчас squid 3.1.12 собран с icap. Пробовал проверять траффик drweb (который icap). Пользователей было меньше (сейчас 100-150) но сильно все тормозило. Вывод - для проверки на вирусы надо намного более мощный процессор а drweb демона держать тут же где squid.

p.s. Дата ввода бордюра в эксплуатацию (установка nw6+bm37) 02.09.2002 ....
Аватара пользователя
Dimerson
 
Сообщения: 2951
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: дальнейшая миграция Nw -> OES. вопрос к бывалым. DDNS-DH

Сообщение sovchik » 16 янв 2013, 10:29

Dimerson писал(а):...
Firewall: fwbuilder (chkconfig suse_firewall2 off)
Proxy: Squid + Squidtrust (допиленный)
...

а можно по подробнее на этих двух пунктах:
1. почему не родной firewall ?
2. что именно допиливалось в squidtrust ?

просто у меня тот же вопрос стоит - переезд на linux
sovchik
 
Сообщения: 323
Зарегистрирован: 31 июл 2012, 23:06
Откуда: Ярославль

Re: дальнейшая миграция Nw -> OES. вопрос к бывалым. DDNS-DH

Сообщение Dimerson » 16 янв 2013, 11:13

мне надо было чтобы:
1. отдавался fdn (с контекстом)
2. не открытым текстом
3. ну и на стороне сервера проверялось у пользователя - fdn принадлежность к группе задавемой в ком строке хелпера

посему переписывался скрипт на перле (в тч делал и с RSA шифрованием потом почему-то положил в запасник :) - на стороне перла стандартная перловая либа на стороне винды делал и openssl и win32 crypto ip ) +
чтоб он не валился при указании невалидного IP адреса итд итп - там в исходном никаких проверок вообще

переписывался clntrust.exe не на AHK а на C (делал на голом win32 API безо всякого VCL).

стало возможно более гибко создать несколько групп пользователей. (правда первую ACL все равно дергают чаще)

P.S. Тут забавный момент - у OES2 все еще было ок а у SLES11 по другому - BINDERY service рапортовал о себе в SLP DA (пока он на NW65) каждые 9 минут и не пропадает сервер из списка биндерных серверов.

У OES11 по дефолту он раз в 1 час почему он не часто отсвечивает как биндери-сервер.
лечится ndsconfig set n4u.nds.advertise-life-time=600
Есть TID на эту тему 7001449.
Аватара пользователя
Dimerson
 
Сообщения: 2951
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: дальнейшая миграция Nw -> OES. вопрос к бывалым. DDNS-DH

Сообщение sovchik » 25 янв 2013, 10:33

я попробовал чуть другой вариант, чем Dimerson :
беру с сайта проекта SquidTrustIII.exe и обращаюсь к нему из скрипта за параметром 7, а не 1. Далее в полученой строке смотрю наличие нужной группы и отвечаю серверу.
Но! У меня возник странный глюк - на машинах с ZenWorks 11 всё работает. На машинах с ZenWorks 7 получаем на выходе просто ",". Зато при обращении к параметру 1 вместо NDS имени пользователя получаем NDS имя машины из ZenWorks 7. У меня оно настроено на IP+имя_машины+MAC и соответственноя получаю вместо строки user строку вида 192_168_0_1NDIS_ИМЯ_МАШИНЫ00:11:22:33:44:55 . Сталкивался ли кто с такой странностью? Как такое вообще лечить?
sovchik
 
Сообщения: 323
Зарегистрирован: 31 июл 2012, 23:06
Откуда: Ярославль


Вернуться в *nix

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 17

cron