Показать только ip-адрес в командной строке Linux

Однажды потребовалось вывести только ip-адрес, для того чтобы это сделать, достаточно выполнить в командной строке(спасибо стековерфлоу):

ip addr | grep -Po '(?!(inet 127.\d.\d.1))(inet \K(\d{1,3}\.){3}\d{1,3})' 

ubuntu 14.04.04 (16.04) join active directory domain + vnc + bash AD users

Ввести в домен рабочую станцию ubuntu 14.04.04 не так уж сложно, в Сети достаточно много материалов на этот счет. Множество инфы было взято с https://help.ubuntu.com/lts/serverguide/sssd-ad.html но здесь самая малость настроек, и кое-чего не хватает до полного счастья.
Предположим, что уже имеется предустановленная система, и она работает. Для начала обновиться:

# apt-get update
# apt-get upgrade
# apt-get dist-upgared

После апдейта желательно ребутнуться, чтобы применить весь свежак. Далее надо доставить
необходимые пакеты для интеграции с доменом. (можно поставить только пакеты указанные в официальном мане, но не проверял работоспособность)

# apt-get -y install realmd sssd sssd-tools samba-common krb5-user packagekit samba-common-bin samba-libs adcli ntp

При установке новых пакетов нужно будет ввести имя домена, что-то вроде: MYUBUNTU.EXAMPLE.COM

Можно просто скопировать файлик из статьи, и внести свои данные. А еще можно добавить такие строки в конфиг:

default_shell = /bin/bash

cache_credentials = true

Первая строчка дает нам возможность под доменным пользователем иметь нормальный bash, вторая строчка дает возможность логиниться оффлайн, что порой очень важно.

Также необходимо учесть один момент, в официальной инструкции Убунты в файл  /etc/pam.d/common-session нужно внести одну строку, но с небольшими изменениями (в оригинальном виде не заработало, не стал разбираться). Выглядеть строка должна следующим образом:

session    optional    pam_mkhomedir.so skel=/etc/skel/ umask=0022

И перед тем как вводить в домен, нужно в /etc/hosts написать FQDN и ip самой машины в Сети, иначе будет ошибка. Т.е. в /etc/hosts должна быть примерно такая строка:

10.99.0.5      M1.myubuntu.example.com   M1

(Спасибо большое товарищам из Samba, иначе бы ничего не вышло.)

Теперь можно торжественно вводить в домен и проверять доступность доменных имен.



Хотелось бы добавить удаленную поддержку пользователей, и лучше это делать через x11vnc


Устанавливаем:

# apt-get install x11vnc

Создаем конфиг в /etc/init/x11vnc.conf

содержание:

start on login-session-start

script

/usr/bin/x11vnc -xkb -forever -auth /var/run/lightdm/root/:0 -display :0 -rfbauth /etc/x11vnc.pass -rfbport 5900 -bg -o /var/log/x11vnc.log

end script


(очень важно, чтобы строчка после слова script - была цельной, иначе могут быть ошибки при запуске) Теперь надо сгенерировать пароль, делается это:

# x11vnc -storepasswd /etc/x11vnc.pass

После ребута должно все работать, т.е. можно подключаться к Убунте без авторизации пользователя, заодно проверить возможность входа в домен. Возможно в дальнейшем перепишу статью подробнее




Стоит также отметить, что пользователи домена и локальны, могут просматривать домашние каталоги друг друга, что не есть хорошо. В настоящее время за данной машиной один пользователь, и ему вручную закрыл доступ от других пользователей, пока в поисках решений.

UPD 05.07.16
Прикладываю рабочий конфиг, он может следующее: 
1. оффлайн авторизация
2. нормальный bash в командной строке
3. возможность устанавливать приложения пользователям AD в группе sudo (баг) 
4. не нужно нажимать смену пользователя при блокировке экрана (баг)

[sssd]
services = nss, pam
config_file_version = 2
domains = MYUBUNTU.EXAMPLE.COM

[nss]

default_shell = /bin/bash

[domain/MYUBUNTU.EXAMPLE.COM]
ad_gpo_map_interactive = +unity
id_provider = ad
access_provider = ad

ad_gpo_access_control=permissive
# Use this if users are being logged in at /.
# This example specifies /home/DOMAIN-FQDN/user as $HOME.  Use with pam_mkhomedir.so
override_homedir = /home/%d/%u

# Uncomment if the client machine hostname doesn't match the computer object on the DC.
# ad_hostname = mymachine.myubuntu.example.com

# Uncomment if DNS SRV resolution is not working
# ad_server = dc.mydomain.example.com

# Uncomment if the AD domain is named differently than the Samba domain
# ad_domain = MYUBUNTU.EXAMPLE.COM

# Enumeration is discouraged for performance reasons.
# enumerate = true

cache_credentials = true


По мере тестирования будут появляться дополнения


UPD 26.08.16

После апдейта sssd до версии 1.13.4 доменные пользователи не могут авторизоваться!
 В системном журнале будет pam_sss(su:account): Access denied for user u.domian

А починить это можно добавить в конфиг /etc/sssd/sssd.conf строчку 

ad_gpo_access_control=permissive

После чего перезапустить сервис sssd, и все заработает.

Samba AD DC 4.3.8

После очередного апдейта, контроллер домена отвелился. Причем это выглядело так

# samba --version
Version 4.3.8-Ubuntu

Керберос и лдап работают, а шары не видятся. А при попытке через smbclient к localhost подрубиться, пишет:

Error NT_STATUS_UNSUCCESSFUL

Т.е. все работает, кроме самой самбы. Оказывается, выход есть! надо лишь доставить пакет winbind

# apt-get install winbind

И всё, после священного ребута всё должно работать как прежде.

Active Directory список пользователей из контейнера

Для того, чтобы получить из AD список пользователей из определенного контейнера, да еще и сохранить в отдельном файле, достаточно выполнить такую компанду:


dsquery user ou=Test1,dc=microsoft,dc=com -limit 100000 | dsget user -samid >users1.txt

Если же название контейнера на русском - не беда, но оно из двух или более слов, название надо брать в двойные кавычки, будет что-то вроде ou="tes cont"

Можно еще прикрутить приятные плюшки через добавление опций, выглядеть будет так:

dsquery user ou=Test1,dc=microsoft,dc=com -limit 100000 | dsget user -fn -ln -samid >users1.txt

Synology NAS Active Directory личная папка

После включение на NAS личной папки пользователей домена, они не генерируются автоматом, только лишь при обращении к дисковому хранилищу.NAS (нужно просто на него зайти от всех пользователей по сети) Не знаю, баг ли это, или фича. 

HP ProLiant DL360 G8 RAM правильная расстановка

Иногда встает вопрос о добавлении память в сервер. Допустим, имеется сервер HP ProLiant DL360 G8 и у него 40ГБ (две планки по 4ГБ, и две планки по 16ГБ) оперативной памяти, нужно расширить до 80ГБ. Для расширения объема было куплено две планки по 16ГБ. Данный сервер имеет двухпроцессорную материнскую плату, и для каждого процессора своя оперативная память. Т.е. схематично будет выглядеть так

Сразу хотелось бы отметить два момента: 1-й, на материнской плате разъемы под оперативную память также помечены латинскими буквами (A,D,B,E,C,F)

2-й момент, ПЕРЕД ПОКУПКОЙ ОПЕРАТИВНОЙ ПАМЯТИ, ОБЯЗАТЕЛЬНО ОЗНАКОМИТЬСЯ С ХАРАКТЕРИСТИКАМИ, СТОИТ АКЦЕНТИРОВАТЬ ВНИМАНИЕ НА:
2.1 вольтаж
2.3 рабочую частоту
2.4 тайминги
2.5 наличия регистров
2.6 наличие smart memory

В конечном итоге схема размещения памяти должна выглядеть следующим образом:

На первом процессоре так:

Слот А – 16ГБ

Слот B – 16ГБ

Слот C – 4ГБ

Слот D – 4ГБ



На втором процессоре:

Слот А – 16ГБ

Слот B – 16ГБ

Слот C – 4ГБ

Слот D – 4ГБ

OpenFire Active Dirictory Ubuntu Server 14.04 MySQL

Давеча понадобилось скрафтить связку OpenFire+Active Dirictory+MySQL+архивирование логов. Как обычно я всё делаю на бубунте 14.04, штабильно, и всё  просто.

Так вот, выбор на openfire не зря пал, пушо он активно пилится, куча манов и все такое. Представим, что есть базовые навыки в сосольке, и мы имеем голую систему. Для начала нужно поставить Java, т.к. openfire без нее никак.

# apt-get install openjdk-7-jre-headless

потом проверочку
# java -version
и там все должно быть окей. И да, Java только 7-я, пушо с другими версиями нет дружбы.

Далее накатываем mysql

# apt-get install mysql-server

Во время установки будет реквестовать пас для рута, лучше вбить и записать/запомнить/етц

После установки, нужно создать БД, юзака в мускуле, и дать правушки (это надо все потом для openfire)

ну шо, понеслась!

# mysql -u root -p

Password: 

> CREATE DATABASE openfire CHARACTER SET='utf8';

> CREATE USER 'openfire'@'localhost' IDENTIFIED BY 'samepassword';

> GRANT ALL PRIVILEGES ON `openfire`.* TO 'openfire'@'localhost' WITH GRANT OPTION;

> FLUSH PRIVILEGES;

> quit

Так-с, система относительно готова для инсталяции самого openfire, теперь можно его скачать с сайта (к сожалению в официальных реапах его нет, так что ручками качаем, ручками ставим)

# wget -O openfire_4.0.1.deb http://www.igniterealtime.org/downloadServlet?filename=openfire/openfire_4.0.1_all.deb

После скачивания, ставим его 

# dpkg -i openfire_4.0.1.deb

В целом установка на этом этапе завершена. Теперь самое интересное - конфигурация самого openfire. Заходим на (предполагается, что создана dns-запись в соотвествующей зоне, с соотвествующим именем) http://myjbr.domain.com:9090

И тут всё в классике, Хэллоу, итс ми, го конфижиться, выбирай язык, создавай локального юзка. 

1. Выбираем язык (даже есть русский, но ломаный, и стремный, но есть)

2. Добавляем локального админа 

user: admin

pass: admin

3. Теперь подключение базы данных (мускул = внешняя БД)

3.1 База данных драйвера (чет-там): 

MySQL

3.2 Драйвер клас:

Тут чет стандартное, так что пофиг

3.3 База данных URL:  

jdbc:mysql://localhost:3306/openfire?characterEncoding=UTF-8

Т.е. само слово openfire в данной строчке обозначает имя базы данных. А вот то, что идет после вопросительного знака - дает нам возможность складировать логи, а потом читать их! Иначе одни ????? вместо нормальных исконно русских слов. 

3.4 Имя пользователя:

openfire

      Пароль:

**********

Жмем "ДАЛЬШЕ".

4. Подключение к Active Dirictory

Можно упороться, и подключиться через аккаунт Администратора, а можно создать отдельного юзака в AD, и получать учетки так. Отдельная учетка с точки зрения политики безопасности лучше, чем под админом работать. Я создал отдельного

Тип сервера:

Active Dirictory

Хост (можно ip, можно имя):

dc1.example.com

База DN:

DC=example,DC=com

Администратор DN:

CN=j-user,CN=Users,DC=example,DC=com

Пароль:

*******

На следующей странице настроек, нужно вместо uid вписать sAMAccountName в строчку с Profile settings

и жмакать ДАЛЕЕ (там тест, выхлоп, все дела)

Теперь надо в AD создать группу, допустим j-users, и эта группа будет 

5.  Настройка фильтров

Group field            cn

member field         member

Description field   description

и тут не всё! А жмем волшебную пимпу, 

Дополнительные настройки:

в поле  Filter 

вбиваем:

(&(objectClass=group)(cn=j-users))

И таким образом мы добавим только тех, кто в данной группе. 

6. Настройка закончена, если войти на данный джаббер-сервер, в списке доступных пользователей мы увидим.. никого! Потому что надо его создать.

Заходим в раздел Пользователи/группы, далее переходим в Группы, кликаем на единственную группу J-users

7. Ага, теперь перетягиваем ползунок
* Включить совместный список контактной группы

и в поле вбиваем имя этого списка roster к примеру. 

Далее жмем "Схоронить сия поделия", и у подключенных юзаков должен появиться список. 

8. Рекомендуется использовать клиент Psi+ или Pidgin, учетка добавляется следующим образом 

username@jbr.example.com

9. Архивация логов делается через плагин

Monitoring Service
Который доступен в списке доступных плагинов. После установки он не будет сразу писать логи! Надо это дело включить:


жмем
Archive one-to-one chats    *
Archive group chats            *
Логи не "налету" пишутся, а с небольшой задержкой. На этом пожалуй всё.

UPD 14.06.16

Можно меня поздравить с подключением. В общем, если кто-то юзает SAMBA AD DC, и openfire не коннектится, надо доставить два пакета, и сменить порт подключения к контроллеру домена. Т.е. устновить 636 порт, поставить Enable SSL

sudo apt-get install slapd ldap-utils

После этого должно работать.

UBUNTU KVM QUME libvirt add HDD (RAID1)

Сия заметка будет про добавление блочного устройства (проще говоря физического диска) в гостевую систему. В прошлой статье я описывал создание RAID1. Теперь я этот RAID1 хочу подключить в гостевую систему. Данный диск известен в системе как /dev/md3

Ага, на гипервизоре имеет гостевая машина test-guest и в нее над добавить /dev/md3

теперь собственно добавление

# virsh attach-disk test-guest /dev/md3 --target sdc --config --live

таким образом у нас в систему "налету" подключается диск /dev/md3

Проверяем в самой гостевой машине.

(на самом деле хз почему он не sdc, но уже не важно)

# fdisk -l
Устр-во Загр     Начало       Конец       Блоки   Id  Система
/dev/vda1   *        
/dev/vda2     
/dev/vda5     


Устр-во Загр     Начало       Конец       Блоки   Id  Система
/dev/sda          

Что-то вроде такого (лишнее стер). Теперь нужно на диске /dev/sda создать таблицу раздело, и отформатировать данный раздел. Процесс создания и форматирования описать не буду, тут все предельно просто. Стоит отметить один момент, после создания и форматирования, на гипервизоре диск /dev/md3 теперь будет выглядеть как /dev/md128 c разделом /dev/md128p1
т.е. надо отредактировать xml-файл гостевой системы, и изменить название диска с /dev/md3 на /dev/md128

# virsh edit test-guest

находим строчку

<source dev='/dev/md3'/>

меняем на

<source dev='/dev/md128p1'/>

И всё. Таким образом был добавлен физический диск в гостевую систему без создания виртуальных жестких дисков.

Ubuntu RAID1

"Как ни патчи много лет
Как ни фиксил баги
Все равно велосипед
На костыльной тяге"

Ага, лирики подкинул, а теперь по делу. Иногда бывает так, что в рабочую систему нужно добавить еще один RAID, и он как раз должен быть 1-й. (первый)
Есть два чистых диска, и нужно с ними что-то сделать такое, чтобы рейд работал как надо.
Первым делом надо создать таблицу разделов, указать тип раздела, и желательно отступить по 1 мегабайту спереди и сзади. У меня оказалось два голубых веника по 1ТБ (western digital blue), и вот эти полудохлые веники надо заставить работать в RAID1

После подключения их в систему, начнем-с

(просмотрим список доступных дисков, и есть ли наши диски в системе)

# fdisk -l

Диск /dev/sde: 1000.2 Гб, 1000204886016 байт
255 головок, 63 секторов/треков, 121601 цилиндров, всего 1953525168 секторов
Units = секторы of 1 * 512 = 512 bytes
Размер сектора (логического/физического): 512 байт / 4096 байт
I/O size (minimum/optimal): 4096 bytes / 4096 bytes
Идентификатор диска: 0xe392128f

Диск /dev/sdf: 1000.2 Гб, 1000204886016 байт

255 головок, 63 секторов/треков, 121601 цилиндров, всего 1953525168 секторов

Units = секторы of 1 * 512 = 512 bytes

Размер сектора (логического/физического): 512 байт / 4096 байт

I/O size (minimum/optimal): 4096 bytes / 4096 bytes

Идентификатор диска: 0xe422f58f

Ага, вот эти ребята. Теперь используя fdisk создадим раздел с отступом.

~# fdisk /dev/sde

The device presents a logical sector size that is smaller than
the physical sector size. Aligning to a physical sector (or optimal
I/O) size boundary is recommended, or performance may be impacted.

Команда (m для справки): n
Partition type:
   p   primary (0 primary, 0 extended, 4 free)
   e   расширенный
Select (default p): p
Номер раздела (1-4, по умолчанию 1): 1
Первый сектор (2048-1953525167, по умолчанию 2048):
Используется значение по умолчанию 2048
Last сектор, +секторы or +size{K,M,G} (2048-1953525167, по умолчанию 1953525167): 1953523119

Команда (m для справки): t
Выбранный раздел 1
 
Шестнадцатеричный код (введите L для получения списка кодов): fd
Системный тип раздела 1 изменен на fd (Автоопределение Linux raid)

Команда (m для справки): w
Таблица разделов была изменена!

Вызывается ioctl() для перечитывания таблицы разделов.
Синхронизируются диски.

#

Тоже самое проделываем с другим диском, потом переходим к следующему шагу.

Теперь пришло время создавать массивы, массивы сами себя не создаду asd

# mdadm --create /dev/md0 --level=1 --raid-devices=2 /dev/sde1 /dev/sdf1

А теперь он создался. И всё, ок, ага. Можно форматировать его в какую-нибудь ФС, и монтировать

Active Dirictory несколько контроллеров домена

Иногда бывает так, что два или более офисов связаны между собой VPN, и связь имеет свойство обрываться. Не будем о том, что можно настраивать резервные каналы, подключать ИБП. Так вот, в первом офисе сеть 10.10.10.0/24 а во втором 10.10.20.0/24

В первом офисе установлен на сервер свеженький Windows Server 2012R2 с ролью Active Dirictory и DNS-server (одно без другого никак не может полноценно функционировать)

Все системные администраторы рано или поздно начинают понимать, что один контроллер домена хорошо, а два еще лучше. Так вот, во второй офис закупили сервер, и надо настроить там контроллер домена с репликацией.

Для начала нужно на настроенном контроллее домена открыть "Сайты и службы", создать подсети 10.10.10.0/24  и 10.10.20.0/24 а также создать два сайта. Например, office1 и office2, после чего привязать подсети к сайтам. После привязки, нужно перетащить текущий контроллер из сайта Default-First-Site-Name в office1.

Теперь когда сайты созданы, проблем с репликациями не должно быть.

После сайтов переходим на наш второй сервер, который должен стать еще одним контроллером домена.

Для начала было бы неплохо его ввести в домен. После ребут, а потом добавлять роли  Добавить контроллер домена в существующий домен настройка после установки ролей, и перезагрузка. Все интуитивно понятно, и настраивается быстро.

После перезагрузки будет синхронизация контроллера домена

Инфа взята с http://serveradmin.ru/nastroyka-kontrollerov-domena-v-raznyih-podsetyah/

MikroTik Guest WiFi

В этой чудной статейке я хочу описать как же настраивать на Микротиках гостевую точку доступа WiFi.

Что мы имеем? В наличии маршрутизатор MikroTik RoutBoard RB951Ui, и надо сделать гостевую точку, в которой будет только доступ в Интернет, и никуда более.

Казалось бы, достаточно создать еще один виртуальный тырфейс wifi, на нем поднять dhcp-сервак, добавить запрещающие правила, и все. Но тут затаилось одно большое волосатое НО! Но не работает dhcp-server на тырфейсах, которые в slave-режиме, а свежеиспеченный виртуальный тырфейс гостевого wifi как раз именно такой.

А чтобы решить эту проблему, нужно создать еще один мост, и добавить в него вирутальный тырфейс гостевой точки доступа.

в консоле создаем новый мост

/interface bridge
add name=bridge-guest

Новенький мост создан, теперь переходим к созданию виртуального интерфейса для гостевой точки

/interface wireless security-profiles
add authentication-types=wpa2-psk mode=dynamic-keys name=guest wpa2-pre-shared-key=somepassphrase

/interface wireless
add disabled=no mac-address=D6:CA:6D:8E:43:18 master-interface=wlan1 name=wlan2 security-profile=guest ssid="My Guest SSID" wds-default-bridge=bridge-guest

/interface bridge port
add bridge=bridge-guest interface=wlan2

Стоит для справочки отметить, что у гостевой точки будут такие параметры:
Имя сети: My Guest SSID
Пароль: somepasshrase
Виртуальная точка находится в мосте bridge-guest
Интерфейс виртуальной точки называется wlan2, и он в slave с интерфейсом wlan1, за счет добавления в мост wlan2, мы можем поднимать dhcp-сервер, и раздавать отдельные адреса

Для начала зададим адрес для bridge-guest, и обозначим к какой сети он принадлежит

/ip address
add address=172.16.0.1/24 interface=bridge-guest network=172.16.0.0
/ip pool
add name=guest ranges=172.16.0.100-172.16.0.254
/ip dhcp-server
add address-pool=guest disabled=no interface=bridge-guest name=guest
/ip dhcp-server network
add address=172.16.0.0/24 dns-server=172.16.0.1 gateway=172.16.0.1

Данные команды также создают еще один dhcp на роутере, который выдает адреса в диапазоне от 172.16.0.100 до 172.16.0.254

Теперь же надо создать правило маскардинга, чтобы мы имели доступ в Сеть

/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1-gateway src-address=172.16.0.0/24

Также было бы неплохо запретить хождения трафик из гостевого тырфейса, в другие

/ip firewall filter
add action=drop chain=forward in-interface=bridge-guest out-interface=!ether1

А еще можно запретить хождения в другие подсети, если к ним есть доступ (на всякий случай)



/ip firewall filter add action=drop chain=forward comment="Guest AP" dst-address=192.168.1.0/24 src-address=172.16.0.0/24

и еще разок efault/hotspot-default target=Guest-bridge \

    total-limit-at=1M total-max-limit=1M

/ip firewall filter add action=drop chain=forward comment="Guest AP" dst-address=172.16.0.0/24 src-address=192.168.1.0/24

Ограничиваем скорость для Guest_WiFi

/queue simple

add name=HotSpot queue=hotspot-default/hotspot-default target=bridge-guest \

    total-limit-at=1M total-max-limit=1M

Инфу брал тут и там 

http://zaraev.blogspot.ru/2015/08/mikrotik-auto-12-wifi-work-wifi-free.html
https://www.geleijn.nl/2014/guest-network-mikrotik-router/
http://serverfault.com/questions/738402/mikrotik-configuration-add-a-public-wireless-router-internet-only-to-office

1С PostgreSQL Ubunntu

Когда речь идет про 1С, то лучше опустить многие моменты, о ней можно бесконечно долго спорить. Ладно, не будем и холивать на темы негрософта. В общем, фанатам Linux в частности Ubuntu данная статья может быть когда-то поможет.

Допустим, надо поднять сервер базы данных для нашей 1С. К сожалению или к счастью 1С работает только с MS SQL и PostgreSQL.  Нам нужен второй вариант, и не просто второй а с патчами для работы с библиотекой mvarchar которая нужна для работы с кодировками.  Если все нормально пропатчено, в кластере серверов 1С можно указать сервер с БД, лог/пас, и коннектится. При успешном коннекте можно пытаться создавать базу непосредственно с самой 1С, проще говоря, база почти сама создается. Так вот, если все проходит гладко, не надо переживать, и успешно работать. Если же патченный PostgreSQL выдает ошибку при создании БД

ERROR: type "mvarchar" does not exist at character 3

Тогда нужно проверить наличие библотек

ls /usr/lib/postgresql/9.4/lib/*libicu*

У меня же было целое ничего, когда я впервые пытался создать базу данных.
Но я же качал патченную прямо с сайта 1С! Как же так? И тут я решил посмотреть, есть ли вообще в системе такие либы

$ find / -name "libicudata*"

И о чудо, они лежат в /usr/lib/x86_64-linux-gnu/

Что можно сделать? Скопировать? не, можно симлинк, и все будет хорошо

 $    ln -s /usr/lib/x86_64-linux-gnu/libicudata.so.52.1 /usr/lib/postgresql/9.4/lib/libicudata.so.52
 $    ln -s /usr/lib/x86_64-linux-gnu/libicui18n.so.52.1 /usr/lib/postgresql/9.4/lib/libicui18n.so.52
 $    ln -s /usr/lib/x86_64-linux-gnu/libicuuc.so.52.1 /usr/lib/postgresql/9.4/lib/libicuuc.so.52


Перезагружаем наши сервисы с бд, и можем снова пробовать подключиться к БД через кластер серверов 1С. И теперь должна база создаться. Можно еще накатить phppgadmin, чтобы смотреть через web-тырфейс за postgresql. Но это уже дело вкусов.