opensuse
[Arriba] [Todas las Listas]

Re: [opensuse] Qué 127.0.1.1 malo?

To: opensuse@xxxxxxxxxxxx
Subject: Re: [opensuse] Qué 127.0.1.1 malo?
From: Anton Aylward <opensuse@xxxxxxxxxxxxxxxx>
Date: Sun, 01 Apr 2012 09:21:44 -0400
Delivered-to: opensuse@xxxxxxxxxxxxxxxxxxx
Delivery-date: Sun, 01 Apr 2012 09:22:12 -0400
Dkim-signature: v=1; a=rsa-sha1; c=relaxed; d=antonaylward.com; h= message-id:date:from:mime-version:to:subject:references :in-reply-to:content-type:content-transfer-encoding; s= antonaylward.com; bh=6G05HDMb2bFQcyavJsqmvij+z/M=; b=lnZIIMguZbz URTcxEF6viiL04x3hgQZp9S+SPxfXs83TtXV+HEXFf2372ae7Au0qotBFXyZ0DjV z9hZBgS6Slym0pBO9VZlDKFaBqiYjUI58DhT0F2A/OfHG46xyKwmPNLnrKsbvDel F9NZtxFumT1Nuh+rDBHWC2lnvuMi5+b0=
Domainkey-signature: a=rsa-sha1; c=nofws; d=antonaylward.com; h=message-id :date:from:mime-version:to:subject:references:in-reply-to :content-type:content-transfer-encoding; q=dns; s= antonaylward.com; b=JuNzq+BC+h5cxvSmBH2sY38c6tvhck3x41IN7cYQ7BBO sWu8+1cbi6g9d+eqQMXIAKdRZ8zKXald7J6P2tPxVcD3nU8qVTStfx8GRgdz56wC 4u1dthA0J2lNTlLvmhRf3A7kVtIkr7F4+9zKkkPAYFI25SAxDuL8v22CD1mIUzs=
Envelope-to: traductor@xxxxxxxxxxx
In-reply-to: <4F77FE5C.90401@steve-ss.com>
List-archive: <http://lists.opensuse.org/opensuse/>
List-help: <mailto:opensuse+help@opensuse.org>
List-owner: <mailto:opensuse+owner@opensuse.org>
List-post: <mailto:opensuse@opensuse.org>
List-subscribe: <mailto:opensuse+subscribe@opensuse.org>
List-unsubscribe: <mailto:opensuse+unsubscribe@opensuse.org>
Mailing-list: contact opensuse+help@xxxxxxxxxxxx; run by mlmmj
Organization: SI
References: <4F749D25.7080107@steve-ss.com> <4F74AD37.4050304@antonaylward.com> <4F75950D.6020203@steve-ss.com> <4F75A8A8.9030102@antonaylward.com> <4F75CE13.6050706@telefonica.net> <4F75EA66.20304@antonaylward.com> <4F76095B.1080801@steve-ss.com> <4F7631DF.1000603@antonaylward.com> <4F76AF84.1050805@steve-ss.com> <4F76FA67.4090507@antonaylward.com> <4F772477.3080002@steve-ss.com> <4F7737F2.5000903@antonaylward.com> <4F7744CF.9030204@steve-ss.com> <4F775380.8040606@antonaylward.com> <4F77FE5C.90401@steve-ss.com>
User-agent: Mozilla/5.0 (X11; Linux i686; rv:10.0.1) Gecko/20120209 Firefox/10.0.1 Thunderbird/10.0.1
*lynn Dijo el siguiendo en 04/01/2012 03:06 AM:
> *El 31/03/12 20:57, Anton *Aylward *escribió:
>> *lynn dijo el siguiendo en 03/31/2012 01:54 PM:
>>> En 03/31/2012 06:59 PM, Anton *Aylward escribió:
>>>> *lynn dijo el siguiendo en 03/31/2012 11:36 AM:
>>>>
>>>>>  necesito un *PTR para cada ordenador en el *lan?
>>>> Si hubiste *ddns laborable entonces sería hecho 'coche-*magically'.
>>>
> 
> Sí. He *ddns laborable. La zona de delantero es actualizada por *Samba4 cuando las máquinas 
> nuevas son *allocated IP, unir el ámbito *etc. Justo no tuve un 
> inverso *lookup zona.

Entonces no tienes *ddns trabajando _completamente_.
*Sorry Si parezco *picky, pero somos sin duda en un *realm donde precisión
y *completeness asuntos.




> Supongo que la prueba
>>> sería para sacar el
>>>    127.0.1.1 *hostname.*fqdn *hostname
>>> Entrada en /*etc/anfitriones en el cliente y ver si podemos todavía *authenticate.
>>
>> No soy seguro que de hecho sería una prueba.
>> Ve más tarde ....
>>
>>>>>> hay dos maneras a la lata consigue sus direcciones inversas para trabajar.
>>>>>> El primero es para utilizar 'dinámico *dns' donde el *DHCP *server dice el DNS
>>>>>> *server que lo ha asignado una dirección y suministra los detalles que
>>>>>> el DNS *server puede ahora hubo fuera en respuesta a consultas.
> 
> Pienso que aquello es lo que está pasando porque puedes ver el *KDC recibir 
> peticiones de IP que ha sido *allocated *via *DHCP _y_ correctamente 
> *lookup su *Kerberos máquina$/*fqdn llave correctamente para *authentication.

*KDC = *Kerberos Controlador de ámbito ?

A correctamente mirada arriba de *FQDN de sólo una IP requiere trata el DNS correctamente
implementa inverso *lookup.  Nosotros'*ve estableció no tienes completo
y *accurate mesas inversas.

Te #poder complacer dilucidar.


>> Te es corriendo ANUNCIO?  Tienes un maestro de ámbito del Microsoft que corre ANUNCIO o te
>> es todo Linux en el núcleo y justo clientes de Ventanas?
>>
> 
> Sí estamos corriendo ANUNCIO. *Samba4 _es_ ANUNCIO. El *schema incluye *rfc2703. Nuestros 
> usuarios tienen el *posixAccount y *posixGroup objetos que son definidos en 
> el *m$ ANUNCIO *schema. (Hecho público *via el *Samba *vs *m$ el Tribunal europeo que gobierna 
> último año)

pienso que estamos hablando en cruz [los propósitos o yo necesitan un actualizar.
Pensé *SAMBA actuaba como Controlador de Ámbito y que el ANUNCIO era
el *database, posiblemente (pero no siempre) implementado por *LDAP.

ANUNCIO = Directorio Activo, un *dynamically mantuvo *database, un servicio
de directorio que carreras en el Controlador de Ámbito y DNS de necesidades, *Kerberos y *LDAP
para apoyarlo.

Pensé *SAMBA era más que justo ANUNCIO.



>
>> Sé el código he visto ha *kerberos llamando "*krb_*mk_*req()" para conseguir
>> un ticket y que necesita el *FQDN como parámetro.

... Y necesita otros parámetros pero yo olvidan, ....

> *Kerberos Necesita no sólo a *authenticate el usuario pero también las máquinas 
> en el *lan. Cuándo yo *logon, tanto yo y mi ordenador tenemos que *authenticate. 
> Si pido un archivo entonces ambos yo y el *fileserver tiene que *authenticate. 
> Esto es por qué el *dns es crucial con *Kerberos.

Aquello es por qué *DNS implementado* correctamente es crucial con *Kerberos.

Si el código puede no  un lleno *backward-para-*ward-*backward *verification de la
IP/*FQDN del **authoritative* (y presumiblemente asegurado) servicio
de DNS entonces el *fallback al /*etc/los anfitriones es un agujero de seguridad.  El
usuario en el control de la máquina de cliente puede poner cualquier cosa él (o ella) gusta
a /*etc/anfitriones y tan *spoof la identificación.



>> Ahora la cuestión soy dejado con es esto.  Es la máquina arriba de y corriendo,
>> lo tiene conseguido su dirección de IP del *DHCP *server?
> 
> Sí. En este punto el *dlz parte de DNS *grabs lo. Ahora, sólo mi delantero es 
> actualizado así que mi zona inversa está yendo para saber nada sobre el actualizar lo es?

No sé.  En todos los sistemas he trabajado con él *boils abajo al
*DHCP *server diciendo el DNS *server.  Desde su suministrando #ambos dirección de IP
y nombre, el DNS *server tendría que ser capaz a *slot *RRs dentro para #ambos delantero
y *backward zonas.

La dirección es entregada fuera de después de la máquina de Linux es chutada, mucho tiempo antes del
*SAMBA el cliente viene arriba, así que el *SAMBA el lado de cosas tendría que tener
nada para hacer con él.  Todo este *DDNS tendría que trabajar a toda costa de la
presencia de *SAMBA, *Kerberos, *YP/NIS, o NFS.  *SAMBA No es un requisito
para HP/de AIX/de Linux/de UNIX-*UX/DG-*UX/*Solaris-las redes únicas y yo lo han tenido
corriendo en aquella clase de poner.

>>>> Sí, pero a no ser que contiene el *crypto la llave compartida por *DHCP y DNS entonces
>>>> *DDNS no trabajará.  Esto tendría que haber sido generado por *YAST.  Su un de las
>>>> opciones, gusta eliminar *IPv6, que tendrías que haber puesto.
>>> En mi caso, el *ddns es manejado en otro lugar así que ningún problema.
>>
>> Sí, pero parece sólo para los clientes de Ventanas.
>> Con el *linux los clientes arriba de ti tendrían que ser capaces de hacer un inverso *lookup para
>> cada cual de ellos.
>>
> Cómo venido el trabajo de clientes de las ventanas *OK. Qué  tienen que nosotros  no?

No sé.  No soy muy Ventanas-*savvy.

De hecho estamos suponiendo* cosas aquí.
 Tú  el vertedero de las mesas de DNS?

Si vemos en aquel vertedero que los clientes de Ventanas tienen #ambos delantero y entradas
inversas sabemos están haciendo algo los clientes de Linux no
son.  Entonces y sólo entonces puede decimos que están trabajando *OK en este sentido de *OK.

-- 
   *Plunderers Del mundo, después de que ellos, posando todo malgasta, corrido
   fuera de tierra, ellos sonda incluso el mar: si su enemigo tiene riqueza,
   han *greed; si el enemigo ser pobre, son ambiciosos; tampoco
   Del este ni Al oeste ha *sated les; sólo de humanidad ellos *covet pobreza
   con la misma pasión como riqueza. *Robbery, *butchery, *rape ellos *misname
   Imperio: hacen un *wasteland y llamarlo paz.
          - *Tacitus, *Agricola 80
            El discurso de *Calgacus el *Caledonian en
            la batalla de *Mons *Graupius
--
A *unsubscribe, *e-correo: *opensuse+unsubscribe@xxxxxxxxxxxx
para contactar el dueño, *e-correo: *opensuse+owner@xxxxxxxxxxxx


lynn said the following on 04/01/2012 03:06 AM:
> El 31/03/12 20:57, Anton Aylward escribió:
>> lynn said the following on 03/31/2012 01:54 PM:
>>> On 03/31/2012 06:59 PM, Anton Aylward wrote:
>>>> lynn said the following on 03/31/2012 11:36 AM:
>>>>
>>>>> Do I need a PTR for each computer on the lan?
>>>> If you had ddns working then it would be done 'auto-magically'.
>>>
> 
> Yes. I have ddns working. The forward zone is updated by Samba4 when new 
> machines are allocated IP's, join the domain etc. I just didn't have a 
> reverse lookup zone.

Then you don't have ddns working _completely_.
Sorry if I seem picky, but we are definitely in a realm where accuracy
and completeness matters.




> I suppose the
>>> test would be to remove the
>>>    127.0.1.1 hostname.fqdn hostname
>>> entry in /etc/hosts on the client and see if we can still authenticate.
>>
>> I'm not sure that would actually be a test.
>> See later ....
>>
>>>>>> There are two ways to can get their reverse addresses to work.
>>>>>> The first is to use 'dynamic dns' where the DHCP server tells the DNS
>>>>>> server that it has assigned an address and supplies the details which
>>>>>> the DNS server can now had out in response to queries.
> 
> I think that is what is happening because you can see the KDC receive 
> requests from IP's which have been allocated via DHCP _and_ correctly 
> lookup their Kerberos machine$/fqdn key correctly for authentication.

KDC = Kerberos Domain Controller ?

To correctly look up FQDN from only a IP requires treat DNS properly
implements reverse lookup.  We've established you don't have complete
and accurate reverse tables.

Could you please elucidate.


>> Are you running AD?  You have a Microsoft domain master running AD or
>> are you all Linux at the core and just Windows clients?
>>
> 
> Yes we are running AD. Samba4 _is_ AD. The schema includes rfc2703. Our 
> users have the posixAccount and posixGroup objects which are defined in 
> the m$ AD schema. (made public via the Samba vs m$ European Court ruling 
> last year)

I think we are talking at cross [purposes or I need an update.
I thought SAMBA was acting as a Domain Controller and that the AD was
the database, possibly (but not always) implemented by LDAP.

AD = Active Directory, a dynamically maintained database, a directory
service that runs on the Domain Controller and needs DNS, Kerberos and
LDAP to support it.

I thought SAMBA was more than just AD.



>
>> I do know the code I've seen has kerberos calling "krb_mk_req()" to get
>> a ticket and that needs the FQDN as a parameter.

... and it needs other parameters but I forget, ....

> Kerberos needs not only to authenticate the user but also the machines 
> on the lan. When I logon, both I and my computer have to authenticate. 
> If I request a file then both I and the fileserver have to authenticate. 
> This is why the dns is crucial with Kerberos.

That is why *properly implemented* DNS is crucial with Kerberos.

If the code can't do a full backward-for-ward-backward verification of
the IP/FQDN from the *authoritative* (and presumably secured) DNS
service then the fallback to the /etc/hosts is a security hole.  The
user in control of the client machine can put whatever he (or she) likes
into /etc/hosts and so spoof the identification.



>> Now the question I'm left with is this.  Is the machine up and running,
>> has it got its IP address from the DHCP server?
> 
> Yes. At this point the dlz part of DNS grabs it. Now, only my forward is 
> updated so my reverse zone is going to know nothing about the update is it?

I don't know.  In all the systems I've worked with it boils down to the
DHCP server telling the DNS server.  Since its supplying both IP address
and name, the DNS server should be able to slot RRs in for both forward
and backward zones.

The address is handed out after the Linux machine is booted, long before
the SAMBA client comes up, so the SAMBA side of things should have
nothing to do with it.  All this DDNS should work regardless of the
presence of SAMBA, Kerberos, YP/NIS, or NFS.  SAMBA is not a requirement
for UNIX/Linux/AIX/HP-UX/DG-UX/Solaris-only networks and I've had it
running in that kind of setting.

>>>> Yes, but unless it contains the crypto key shared by DHCP and DNS then
>>>> DDNS won't work.  This should have been generated by YAST.  Its one of
>>>> the options, like deleting IPv6, that you should have set.
>>> In my case, the ddns is handled elsewhere so no problem.
>>
>> Yes, but it seems only for the Windows clients.
>> With the linux clients up you should be able to do a reverse lookup for
>> each of them.
>>
> How come the windows clients work OK. What do they have that we don't?

I don't know.  I'm not very Windows-savvy.

Actually we are *assuming* things here.
Did you do the dump of the DNS tables?

If we see in that dump that the Windows clients have both forward and
reverse entries we know they are doing something the Linux clients are
not.  Then and only then can we say they are working OK in this sense of OK.

-- 
   Plunderers of the world, after they, laying everything waste, run
   out of land, they probe even the sea: if their enemy has wealth,
   they have greed; if the enemy be poor, they are ambitious; neither
   East nor West has sated them; alone of mankind they covet poverty
   with the same passion as wealth. Robbery, butchery, rape they misname
   Empire: they make a wasteland and call it peace.
          - Tacitus, Agricola 80
            The speech of Calgacus the Caledonian at the
            battle of Mons Graupius
--
To unsubscribe, e-mail: opensuse+unsubscribe@xxxxxxxxxxxx
To contact the owner, e-mail: opensuse+owner@xxxxxxxxxxxx


<Anterior por Tema] Tema Actual [Siguiente por Tema>