Mel jsem doma jeden volny pocitac a uz dlouho jsem se na nej chystal zkusit linux. Pekne dlouho jsem si ze zadnym nehral (a po zkusenostech asi dlouho nebudu, ne delam si legraci).

Hlavni cile : zkusit compiz + aby to distro funguvalo tak jak ma.

1. instalace opensuse 10.3
Distro se mi ve virtualu libilo, tak jsem si rekl ze ho zkusim. Po rozchozeni wifi karty, samozrejme tahanim dat pres USB. Jsem nerozchodil compiz, skocilo to nakou chybou a nenabehnutim x-ek. Reseni podle googlu bylo na me moc krkolomne
2. instalace kubuntu 7.10
Instalace i wifi naprosto v pohode. Ale po rade zkusenejsiho soudruha mam zkusit Ubuntu na compiz, Kubuntu je jenom vedlejsi produkt Canonicalu :-)
3. instalace Ubuntu 7.10
a] nefunguje wifi karta
b] nefunguje compiz
4. rozhodnu se ze nebudu resit compiz a chci aby to jenom funguvalo tak jak ma
Instaluji kubuntu 7.10 (opet
Slape to do doby nez updatuji system. Prestane chodit sitova karta.
5. stahuji Mandrive (kteremu se celou dobu branim
Vse funguje je jak ma

Chvilku jsem si predstavil jake by to bylo mit u zakazniku linux na desktopech ……

Nechame se prekvapit, zatim mi tu zustava nainstalova Mandriva 2008 … uvidime po mesici uzivani

Modelová situace: máme sambu nastavenou jako PDC + login skripty pro každého uživatele. Proč to nezkusit jednodušeji. Přeci jenom starat se o řekněme 50 login skriptů a více je nesystémové a hlavně časově náročné…. Ukažeme si jak použít jeden skript pro všechny uživatele, kteří jsou rozdělení do skupin a dále login skript složený s více skriptů také podle skupin, pro složitejší úlohy.

 

Co potřebujeme:

1. nakonfigurovanou sambu jako PDC, rozdělení uživatelé do skupin, stanice s Win2000 a vyšší
2. ze stránek M$ si stáhneme program ifmember http://www.microsoft.com/downloads/details.aspx?FamilyID=07c2f6d7-815e-4fa0-9043-4e4635ccd417&displaylang=en
3. nakopírovat ifmember.exe do netlogon adresáře samby, nakonfigurovat sambu a upravit login skript

Předtím ještě než začneme něco dále podnikat, zkontrolujeme si mapovaní windowsovských a unixových skupin: 

net groupmap list | sort

Nám vypíše mapování win/lin skupin. Pokud máme všude něco jako "skupina -> -1" znamená to že není namapovaná žádna skupina a je nutné namapovat unixové skupiny na windowsové, které budeme používat v login skriptu, takto:

net groupmap add ntgrout="win_skupina" unixgroup=lin_skupina

Konkretné např.: 

net groupmap add ntgrout="Domain Users" unixgroup=users

net groupmap add ntgrout="Domain Admins" unixgroup=dmadmins

První nám namapuje unixovou skupinu users na win skupinu Domain Users, druhý případ je více než jasný.

 

Úprava samby: 

Zeditujeme "smb.conf" a nahradíme "login script = %U.bat" tímto: "login script = netlogon.bat".

 

Ukázka jednoduchého login skriptu (netlogon.bat):

———-

@echo off 

REM ** Synchronizace casu s PDC **

echo Setting Current Time
net time \\sambapdc /set /yes

REM ** Mapovani disku podle skupin **

\\athena\netlogon\ifmember "skupina_1"
if not errorlevel 1 goto A
net use G: \\sambapdc\skupina_1
goto QUIT 

:A
\\athena\netlogon\ifmember "skupina_2"
if not errorlevel 1 goto B
net use G: \\sambapdc\skupina_2
goto QUIT

:B
\\athena\netlogon\ifmember "skupina_3"
if not errorlevel 1 goto C
net use G: \\sambapdc\skupina_3
goto QUIT

:C
\\athena\netlogon\ifmember "skupina_4"
if not errorlevel 1 goto D
net use G: \\sambapdc\skupina_4
goto QUIT

\\athena\netlogon\ifmember "skupina_5"
if not errorlevel 1 goto QUIT
net use G: \\sambapdc\skupina_5

:QUIT

———-

 

Jednoduchý příklad jak jednotlivým skupinám uživatelů se namapují jejich sdílené disky. Login skript lze využít nejen na mapovaní disků, ale třeba i menším upravám na ploše uživatelů (kopírovaní zástupců na plochu sdílených programů), dále pak k instalací programů (silent mode), zde ale vzniká problém s právy aktuálně přihlášeného uživatele. Při vetším počtu příkazů ale začíná být login skript nepřehledný, ale to lze také vyřešit voláním dalších skriptů v hlavním skriptu což si ukážeme hned dále.

Skript můžeme otestovat prostým spuštěním na stanici v cmd než ho nakopírujeme na PDC a koukáme jestli je vše v pořádku.

 

Ukázka složitějšího login skriptu složeného s více skriptů (netlogon.bat):

———-

@echo off 

call %0\..\main.bat

\\athena\netlogon\ifmember "skupina_1"
if not errorlevel 1 goto A
call %0\..\skupina_1.bat
goto QUIT

A:
\\athena\netlogon\ifmember "skupina_2"
if not errorlevel 1 goto B
call %0\..\skupina_2.bat
goto QUIT

:B
\\athena\netlogon\ifmember "skupina_3"
if not errorlevel 1 goto C
call %0\..\skupina_3.bat
goto QUIT

:C
\\athena\netlogon\ifmember "skupina_4"
if not errorlevel 1 goto D
call %0\..\skupina_4.bat
goto QUIT

\\athena\netlogon\ifmember "skupina_5"
if not errorlevel 1 goto QUIT
call %0\..\skupina_5.bat

:QUIT

———-

Ukázka složitějšího login skriptu pokračování (main.bat):

———-

REM ** Synchronizace casu s PDC **

echo Setting Current Time
net time \\sambapdc /set /yes

REM ** Mapovani disku spolecneho pro vsechny uzivatele **

net use X: \\sambapdc\spolecne 

———-

Ukázka složitějšího login skriptu pokračování (skupina_1.bat):

———-

REM ** Skript pro skupinu skupina_1 **

net use G: \\sambapdc\skupina_1

REM ** nakopirujeme vsem uzivatelum ve skupine zastupce ** 

REM ** na plochu na sdileny program **

cd C:\Documents and Settings\%USERNAME%\Plocha\
C:

dir | find "program.lnk" /i
if not errorlevel 1 goto END
copy \\sambapdc\zastupci\program.lnk C:\DOCUME~1\%USERNAME%\Plocha\
:END
 

———-

  

A tak dále si vytvoříme pro každou skupinu baťák, kde bude zapsáno vše potřebné pro tuto skupinu a umístíme je všechny do složky netlogon na PDC. Samozřejmě pokud používáme login skript jen na mapovaní disků na stanicích stačí nám to první řešení, tzn. "vše v jednom souboru", pokud děláme více než jen mapujeme disky šáhneme po druhém řešení s vícero skripty.

Odkazy:

http://www.samba.org

http://www.oreilly.com/catalog/samba/chapter/book/ch06_06.html 

http://www.windowsnetworking.com/kbase/WindowsTips/WindowsNT/AdminTips/Logon/WindowsNTLoginScriptTricksandTips.html 

 

 

Po upgrade Debiana na verzi 4.0 Etch (Sarg 2.2.2) již není nutné psát skripty pro týdenní a měsíční statistiky. Toto nám zajišťuje skript "sarg-reports", který je standardně v Debianu nainstalován a při instalaci jsou vytvořeny patřičné záznamy v cronu (cron.daily, cron.weekly, cron.monthly)

Takže nám v Etchi stačí toto:

1. nainstalovat Sarg
2. nakonfigurovat (/etc/squid/sarg.conf) viz minulý díl
3. statistiky se automaticky vytvářejí ve "/var/www/squid-reports/", přístupné přes "http://jmeno_serveru/squid-reports"

 

Poměrně stará záležitost, ale v celku nezbytná pro chod v síti s více klienty. Transparentní proxy není vždy vhodná pro nasazení v rozsáhlejší síti a tak jedinou přijatelnou metodou je Web Proxy Autodiscovery Protocol (WPAD). Je to metoda, kterou využívá většina webových prohlížečů k automatickému zjištění umístění proxy serveru.

Princip je jednoduchý. Po startu prohlížeče se automaticky spustí dotaz na vyhledání serveru wpad.lokalni_domena, a poté se zkusí stáhnout soubor wpad.dat (popř. proxy.pac). Když takový soubor na serveru je, daný prohlížeč jej stáhne a spustí.

Pro zprovoznění bude potřeba DNS server, Webový server, DHCP a nějaký Proxy server.  V naší ukázce použijeme kombinaci Bind – Apache - Squid.

Příklad konfigurace:

serverová strana:

- v DNS záznamech příslušné domény se přidá záznam ve formátu:

wpad.domena.cz.   IN   A   192.108.167.55

- v kořeni vybraného www serveru 192.108.167.55 se umístí soubor wpad.dat s pravidly PROXY. Tento soubor může vypadat například takto:

function FindProxyForURL(url, host)
{
    if (isPlainHostName(host)||
         dnsDomainIs(host, ".domena.cz")&&
     !dnsDomainIs(host, "www.domena.cz")||    
     dnsDomainIs(host, "www.crack.com")||    
     isInNet(host, "192.108.167.0", "255.255.255.0")|| 
     isInNet(host, "127.0.0.1", "255.255.255.255"))
        return "DIRECT";

       //Centrála 1
       else if (isInNet(myIpAddress(), "192.108.167.0", "255.255.255.0"))
  return "PROXY proxy.domena.cz:3128";

}

- vytvoříme symbolické linky na tento soubor pro několik typů prohlížečů: proxy.pac a wpad.pac

ln -s /var/www/html/wpad.dat /var/www/html/proxy.pac
ln -s /var/www/html/wpad.dat /var/www/html/wpad.pac

- pokud využíváme DHCP server, musí být nastavena patřičná doména pro klienty. 

subnet 192.108.167.0 netmask 255.255.255.0 {      
option domain-name "firma.cz";    
…  
}

- v konfiguraci Webového serveru je třeba upravit VirtualHost záznam. (tj. přidat MIME typ)

ServerAlias wpad.odkolek.cz 
AddType application/x-ns-proxy-autoconfig .pac .dat

- nakonec provedeme restart konkrétních služeb 

named, httpd, dhcpd 

klientská strana:

DHCP server vrací příslušnou doménu (např. domena.cz). Pokud není DHCP klient povolen, je třeba na PC nastavit doménu ručně (tj. Přípona DNS daného připojení ve vlastnostech síťového připojení). V nastavení prohlížečů je pak nutno nakonec zaškrtnout volbu "Automaticky zjišťovat nastavení".

V předchozím díle jsme si zkonfigurovali Squida, dnes budeme pokračovat webovými statistikami pomocí programu Sarg (Squid Analysis Report Generator).

Nainstalujeme si Sarg a webový server Apache, jelikož Sarg generuje reporty ve formátu html:

 
"aptitude install sarg apache2"

 

V adresáři "/etc/squid/" se nám vytvořil konfigurační soubor sarg.conf + další konf. soubory. Nebudu rozepisovat podrobně všechna nastavení, ale jen to nejdůležitější.

Nejdůležitější volby ze sarg.conf:

———- 

output_dir /var/www/squid-reports/

resolve_ip yes

#output_email root@localhost 

———-

1. výsledný adresář který použijeme pro html reporty, pokud neexistuje, vytvoříme ho
2. překládáme ip adresy na jména, užitečné pokud používáme DynDNS
3. pokud odkomentujeme 3 volbu, nebude se generovat html report do námi zvoleného adresáře, ale výsledek bude zaslán na určenou emailovou adresu, bohužel se jedná o jednoduchý mail, takže z toho nic moc nevyčteme

Ostatní volby si projdeme, popř. nastavíme podle svého gusta.

Od přístího dne se nám automaticky začnou vytvářet každý den reporty na stránce http://jmeno_serveru/squid-reports a nebo budou zasílány mailem. Pokud bychom chtěli ručně vytvořit report za určité časové období, můžeme to udělat takto: 

"sarg -l /var/log/squid/access.log.X -n -d dd/mm/yyyy-dd/mm/yyyy". Více "man sarg".

 

Skripty pro týdenní a měsíční statistiky: 

Pokud Vám nestačí jen denní statistiky, můžeme si dopsat jednoduché skripty na týdenní a měsíční statistiku a nechat je spouštět v cronu. Dále je nutné upravit rotování logů Squida na měsíční ("/etc/logrotate.d/squid") na měsíční (monthly) a to dva měsíce pozpátku (rotate 2), ale pozor na místo na disku (respektive ve "/var/log/" a "/var/www/").  

Postup:

1. vytvoříme si v adresáři "/var/www/squid-reports" adresáře "daily", "weekly", "monthly"
2. vytvoříme si následující skripty v "/usr/local/sbin/" a nastavíme jim práva ("chmod 755")
3. upravíme si crontab, aby nám spouštěl námi vytvořené skripty

  

Skripty: 

sarg-daily.sh

———-

#!/bin/bash

#Get current date
TODAY=$(date +%d/%m/%Y)

sarg -l /var/log/squid/access.log -o /var/www/squid-reports/daily -n -d $TODAY-$TODAY

———-

 

sarg-weekly.sh

———- 

#!/bin/bash

#Get current date
TODAY=$(date +%d/%m/%Y)

#Get one week ago today
WEEKAGO=$(date –date "1 week ago" +%d/%m/%Y)

sarg -l /var/log/squid/access.log -o /var/www/squid-reports/weekly -n -d $WEEKAGO-$TODAY

———- 

 

sarg-monthly.sh

———-

#!/bin/bash

#Get current date
TODAY=$(date +%d/%m/%Y)

#Get one month ago today
MONTHAGO=$(date –date "1 month ago" +%d/%m/%Y)

sarg -l /var/log/squid/access.log.1 -o /var/www/squid-reports/monthly -n -d $MONTHAGO-$TODAY

———-

 

přídáme do "/etc/crontab":

———-

# Statistiky pristupu na web SARG (denni, tydenni, mesicni)
00 23 * * * root sarg-daily.sh
10 23 * * 7 root sarg-weekly.sh
30 02 1 * * root sarg-monthly.sh

———- 

 

Popsal jsem jen nejzákladnější nastavení, lze např. definovat uživatele, které nechceme zahrnout do statistiky, nastavovat jaká data se mají objevit ve statistice atd…

 

Odkazy:

http://www.squid-cache.org/ 

http://sarg.sourceforge.net/sarg.php 

Ukážeme si jak filtrovat provoz na proxy serveru Squid. Celé to je odzkoušeno na Debianu 3.1 stable a Squidu 2.5.9.

Co budeme potřebovat: 

1. nainstalovaný a funkční proxy server Squid
2. předpokládáme že uživatelé přistupují na internet přes proxy server, lze přesměrovat na serveru pomocí iptables

Konfigurace:

Jelikož je konfigurační soubor squida poměrně rozsáhlý, budeme postupovat po menších kouscích. Samozřejmě nemusím připomínat si nejdříve zazálohovat funkční konfigurák Squida. Pravidla budeme definovat pomocí tzv. ACL (access control list). Forma zápisu ACL pravidel je následující (je to pěkně popsáno přímo v konfig. souboru):

acl aclname acltype string1 …
acl aclname acltype "file" …

Otevřeme si "/etc/squid/squid.conf" v editoru a začneme s konfigurací. Najdeme si sekci "ACCESS CONTROLS", v ní podsekci "TAG: acl" zde řetezec "acl local_servers dst" a pod tento řeteze přidáme:

———-

acl admin src 10.2.147.113/255.255.255.255
acl zakazane url_regex -i "/etc/squid/zakazane"
acl pracovni_doba time M T W H F 8:00-15:00

———- 

Vysvětlení: 

1. pravidlo "admin" nám říká na jaké adresy se nebudou vztahovat žádná omezení, můžeme zadat více jednotlivých ip adres, nebo rozsah adres
2. pravidlo "zakazane" nám definuje výrazy které budeme filtrovat v souboru "/etc/squid/zakazane", který si vytvoříme později
3. pravidlo "pracovni doba" nám definuje pracovní dobu, tzn. Po – Pá od 8:00 – 15:00, toto pravidlo můžeme při aplikování pravidel vynechat

Dále v sekci "ACCESS CONTROLS" si najdeme "TAG: http_access", což je hned následující. Zde najdeme řetezec "always_direct allow" a před něj přidáme:

———-

http_access allow admin
http_access deny zakazane pracovni_doba

———-

Povolíme všem co jsou definováni pravidlem "admin" přístup přes proxy bez omezení. Dále všem ostatním zákážeme přístup na stránky obsahujíci námi zakázané výrazy (definujeme si jej za chvíli) v námi určenou pracovní dobu.

Vytvoření seznamu zakázaných výrazu (může vypadat např. takto):

———- 

amateurs
lesbian
porno
\.avi$
\.mpg$
\.mpeg$
\.asx$
\.asf$
\.ogg$
\.mp3$
\.wma$
\.wmv$
netshow4.play.cz

———-

Seznam zakázaných výrazů je myslím více než jasný. První 3 výrazy nám zakazují jaký řetezec nesmí být v URL, dále zakážeme stahování uvedených přípon a nakonec zakážeme celou doménu. Soubor si uložíme do adresáře "/etc/squid".

Poslední sekce co by nás mohla ještě zajímat je "MISCELLANEOUS", zde najdeme "TAG: deny_info", kde si můžeme nadefinovat jakou má vrátit squid chybovou stránku uživateli, který neprošel pravidlem "http_access". Standardně squid vrací stránku "ERR_ACCESS_DENIED" v jazykové mutaci dle volby v "TAG: error_directory". Pokud nám toto nevyhovuje můžeme si ji zde změnit na námi definovanou stránku. Všechny chybové stránky najdeme v "/usr/share/squid/errors/" rozdělené dle jazyka.

 

Příklad: 

———-

deny_info ERR_VLASTNI zakazane

———- 

Nadefinovali jsme si vlastni html stránku "ERR_VLASTNI", která samozřejmě musí existovat v příslušném adresáři a platí pro ACL "zakazane" (viz výše). Tato stránka se zobrazí uživatelům místo té defaultní.

 

Reloadujeme Squida ("/etc/init.d/squid reload") a koukneme do logů jestli je vše v pořádku. Odzkoušíme na nějaké non-admin stanici stažením nějakého "zakázaného" obsahu.

Pokračování příště …