dubis a écrit 222 commentaires

Oui,

La connexion SHH passe en LDAP et échoue en LDAPS.

Dans le fichier libnss-ldap.conf, j'ai mit :
pam_password MD5


le fichier sshd qui est dans le répertoire /etc/pam.d est d'origine:

auth required pam_env.so envfile=/etc/default/locale
@include common-auth
account required pam_nologin.so
@include common-account
@include common-session
session required pam_limits.so
@include common-password


TLS_REQCERT n'est pas configurer il prend donc la valeur par défaut qui est ????
Par contre tls_checkpeer prend la valeur yes ....

Le LDAPS est en SSL. la commande ldapsearch fonctionne. Il n'y a pas d'erreur dans la log du LDAP. Comme noté dans mon poste, je pense que c'est un problème c'est un problème de compatibilité d'encryption entre LDAPS et SHH :


ssh -vvv coco@ldapclient

.../...
debug3: Wrote 64 bytes for a total of 1127
debug1: Authentications that can continue: publickey,password
debug3: start over, passed a different list publickey,password
debug3: preferred gssapi-keyex,gssapi-with-mic,gssapi,publickey,keyboard-interactive,password
debug3: authmethod_lookup publickey
debug3: remaining preferred: keyboard-interactive,password
debug3: authmethod_is_enabled publickey
debug1: Next authentication method: publickey
debug1: Trying private key: /home/xxx/.ssh/identity
debug3: no such identity: /home/xxx/.ssh/identity
debug1: Trying private key: /home/xxx/.ssh/id_rsa
debug3: no such identity: /home/xxx/.ssh/id_rsa
debug1: Trying private key: /home/xxx/.ssh/id_dsa
debug3: no such identity: /home/xxx/.ssh/id_dsa
debug2: we did not send a packet, disable method
debug3: authmethod_lookup password
debug3: remaining preferred: ,password
debug3: authmethod_is_enabled password
debug1: Next authentication method: password
coco@ldapclient's password:
debug3: packet_send2: adding 64 (len 53 padlen 11 extra_pad 64)
debug2: we sent a password packet, wait for reply
debug3: Wrote 144 bytes for a total of 1271
debug1: Authentications that can continue: publickey,password
Permission denied, please try again.
coco@ldapclient's password:



Mais a ce niveau je ne vois pas ou je pourrais investiguer

Un problème de configuration du fichier nsswitch.conf du client.

Je pense le fait d'avoir mis «ldap» avant «compat» ou «files». Mais si je met «files» avec «ldap» , je ne pourrait peut être pas me connecter sur le client avec un utilisateur spécial pour faire une maintenance si le LDAP ne fonctionne pas .... Faut-il perdre du temps sur ce type d'essai????

J'ai trouvé en modifiant le fichier nsswitch.conf de mon client.
avant
#
passwd: files ldap
group: files ldap
shadow: files ldap
#
après
#
passwd: ldap compat
group: ldap compat
shadow: ldap compat
#

Merci de votre aide

J'ai résolu comme ceci :
resynchronisation des pacquages avec la commande :
rhn-profile-sync

Ensuite :

~]# yum clean all
Loaded plugins: rhnplugin, security
Cleaning up Everything
~]# yum update
Loaded plugins: rhnplugin, security .....


Cela à remis les pacquages à jour, et après un reboot car j'ai vu une mise à jour kernel, j'ai pu enfin installé openmotif22.


Merci de votre aide

salut,

Oui mais index ne te donnera pas la ligne mais la position du mot :

#!/usr/bin/perl -w
$a="Trois, Deux, Un, Départ";
$b=index ($a, "roi");
print "La reponse est : $b \n";


Ce script va afficher 1 dans la variable $b. La lettre T étant en position zéro. Si index n'avait pas trouvé, $b aurait pris la valeur -1.
En espérant aider.........

Merci Christophe,

Ce n'est pas un exercice mais une vraie interrogation ;-)

C'est marrant NBaH,

D'après certains sites, il n'était pas conseillé d'utiliser la boucle for mais la boucle while ....

En tout cas merci pour vos réponses....

C'est moi l'admin sytème et j'essaie d'être le plus léger possible ;-)
En fait, la cle RSA a changé pour No machine mais pas pour le ssh en ligne de commande.... J'ai récemment mis à jour un système ce qui a changé sa clé RSA. Du coup, je demande si cet utilitaire n'a pas effacé tout son trousseau de clé.....

C'est moi l'admin sytème et j'essaie d'être le plus léger possible ;-)
En fait, la cle RSA a changé pour No machine mais pas pour le ssh en ligne de commande.... J'ai récemment mis à jour un système ce qui a changé sa clé RSA. Du coup, je demande si cet utilitaire n'a pas effacé tout son trousseau de clé.....

Je corrige pour ceux qui pourraient tomber sur ce post :
sshd :ALL

Sinon ça ne fonctionne pas surtout si vous mettez
ALL : ALL
dans hosts.deny.

Merci sebek,

mais cela ne me dis pas ce qui cloche dans le fichier. Après lecture du man j'ai modifié le fichier comme ceci :

ALL :ALL


Est ce que c'est bon ?

Merci JJD,

Justement je n'ai pas compressé, donc simple fichier tar ...Apparemment c'est un dossier qui pose problème. Peut-on l'exclure de la restauration ?

En fait ce qui suit est le fichier de log :

13:57:13 (cdslmd) OUT: "300" toto@serveur
14:02:01 (cdslmd) REMOVING toto@serveur:localhost:23.0 from 300
14:02:01 (cdslmd) IN: "300" toto@serveur (USER_REMOVED)

Donc le script doit faire la différence et calculer le temps écouler entre le OUT et le IN. C'est apparemment ce qui se passe pour certain couple de ligne et pas pour d'autre car elle sont ignorées.

Ce que je vous ai donné n'est pas le résultat final du script mais le flag debug.

Il y a un peut prés 350 lignes, et je n'ai pas les droits de ce script, à part pour le modifier.

Comment pourrais-je partager le code sur site du même style que : http://pix.toile-libre.org/


Merci


13:57:13 (cdslmd) OUT: "300" toto@serveur
14:02:01 (cdslmd) REMOVING toto@serveur:localhost:23.0 from 300
14:02:01 (cdslmd) IN: "300" toto@serveur (USER_REMOVED)

Ce sont les lignes de la log


toto@serveur 21-Oct-2008 13:57:13 2008 10 21 13 57 13
toto@serveur 21-Oct-2008 14:02:01 2008 10 21 14 02 01
toto@serveur 0 0 4 48

Ce sont les lignes traitées, dans la troisième il y a la différence de temps entre le OUT et IN

J'ai modifié le split comme ceci :

@Fld = split( /\s+/ , $_, 9999 );


Aucun changement..... .

En fait j'ai 2 fichiers de log dont j'ai comparés les résultats qui ne sont pas les mêmes alors qu'il devrait être égaux. Le premier fichier est original, donc l'activité de toto est mélangée avec les autres utilisateur, le deuxième fichier est la log original traitée pour n'avoir que l'activité de toto

J'ai donc ajouté une ligne print après le chomp cela m'a montré que les lignes étaient bien lues mais pas traitées.
Dans ce premier traitement toutes les log sont mélangées :
Sorties 1 :

13:57:13 (cdslmd) OUT: "300" toto@serveur
14:02:01 (cdslmd) REMOVING toto@serveur:localhost:23.0 from 300
14:02:01 (cdslmd) IN: "300" toto@serveur (USER_REMOVED)
14:07:32 (cdslmd) OUT: "300" toto@serveur
14:12:00 (cdslmd) REMOVING toto@serveur:localhost:23.0 from 300
14:12:00 (cdslmd) IN: "300" toto@serveur (USER_REMOVED)
toto@serveur 21-Oct-2008 14:07:32 2008 10 21 14 07 32
toto@serveur 21-Oct-2008 14:12:00 2008 10 21 14 12 00
toto@serveur 0 0 4 28
14:18:49 (cdslmd) OUT: "300" toto@serveur
14:22:01 (cdslmd) REMOVING toto@serveur:localhost:23.0 from 300
14:22:01 (cdslmd) IN: "300" toto@serveur (USER_REMOVED)
14:30:07 (cdslmd) OUT: "300" toto@serveur
toto@serveur 21-Oct-2008 14:21:56 2008 10 21 14 21 56
toto@serveur 21-Oct-2008 14:32:01 2008 10 21 14 32 01
toto@serveur 0 0 10 5
14:42:01 (cdslmd) REMOVING toto@serveur:localhost:23.0 from 300
14:42:01 (cdslmd) IN: "300" toto@serveur (USER_REMOVED)
15:13:55 (cdslmd) OUT: "300" toto@serveur
15:22:01 (cdslmd) REMOVING toto@serveur:localhost:23.0 from 300
15:22:01 (cdslmd) IN: "300" toto@serveur (USER_REMOVED)


Sortie 2 :
Ici j'ai modifié la log en triant préalablement l'activité de l'utlisateur toto :

13:57:13 (cdslmd) OUT: "300" toto@serveur
14:02:01 (cdslmd) REMOVING toto@serveur:localhost:23.0 from 300
14:02:01 (cdslmd) IN: "300" toto@serveur (USER_REMOVED)
toto@serveur 21-Oct-2008 13:57:13 2008 10 21 13 57 13
toto@serveur 21-Oct-2008 14:02:01 2008 10 21 14 02 01
toto@serveur 0 0 4 48
14:07:32 (cdslmd) OUT: "300" toto@serveur
14:12:00 (cdslmd) REMOVING toto@serveur:localhost:23.0 from 300
14:12:00 (cdslmd) IN: "300" toto@serveur (USER_REMOVED)
toto@serveur 21-Oct-2008 14:07:32 2008 10 21 14 07 32
toto@serveur 21-Oct-2008 14:12:00 2008 10 21 14 12 00
toto@serveur 0 0 4 28
14:18:49 (cdslmd) OUT: "300" toto@serveur
14:22:01 (cdslmd) REMOVING toto@serveur:localhost:23.0 from 300
14:22:01 (cdslmd) IN: "300" toto@serveur (USER_REMOVED)
toto@serveur 21-Oct-2008 14:18:49 2008 10 21 14 18 49
toto@serveur 21-Oct-2008 14:22:01 2008 10 21 14 22 01
toto@serveur 0 0 3 12
14:30:07 (cdslmd) OUT: "300" toto@serveur
14:42:01 (cdslmd) REMOVING toto@serveur:localhost:23.0 from 300
14:42:01 (cdslmd) IN: "300" toto@serveur (USER_REMOVED)
toto@serveur 21-Oct-2008 14:30:07 2008 10 21 14 30 07
toto@serveur 21-Oct-2008 14:42:01 2008 10 21 14 42 01
toto@serveur 0 0 11 54
15:13:55 (cdslmd) OUT: "300" toto@serveur
15:22:01 (cdslmd) REMOVING toto@serveur:localhost:23.0 from 300
15:22:01 (cdslmd) IN: "300" toto@serveur (USER_REMOVED)


On voit clairement que certaine log sont traitées et d'autre pas, dans ce cas c'est plus profond dans le script.....

Merci Fearan,

J'ai commenté les lignes et c'est toujours la même chose ....
Note, qu'il saute toujours les mêmes lignes.

En ce qui concerne le use strict;
Cela génère des bugs, car j'ai donné un extrait du code que je pensais pertinent. Notamment sur la ligne suivante :
if $running_under_some_shell;
avec l'erreur suivante :
Global symbol "$running_under_some_shell" requires explicit package name at flexCount.pl line 45.
BEGIN not safe after errors--compilation aborted at flexCount.pl line 55.

Je n'ai pas voulu en mettre tout le script, il faut quand même que je bosse dessus.... J'ai repris ce code afin de l'améliorer. Il compte le lapse de temps entre la sortie et le retour d'une licence de programme sur chaque utilisateur d'après la log du serveur. Il est constitué d'un batch shell qui met en forme (c'est un todo pour avoir qu'un seul fichier) ce dernier appel flexcount.pl. Je pense que l'erreur Global Symbol est liée à cela met je ne la comprend pas.
J'espère ne pas vous avoir trop effrayé ....

Merci pour tous ces commentaires cela me fais progresser....

Je l'avoue je me suis un peut mal exprimer .... C'est une mauvaise habitude de modifier mes posts après coup, ce n'est pas possible ici ...
Sur Google j'ai cherché arrondir division perl sans succès ...

Mais grace à ton Doc j'ai pu toruvé :

$userCheckOutaverage[$u] = int($userCheckOutElapsed[$u] / $maxFeat) ;


Encore Merci

Oui c'est bon ... je ne résiste plus

En effet, il est très important de garder les TIMESTAMP mélangés au IN et OUT sinon je n'ai pas les dates seulement les heures.

Oui cela ne passe plus avec des paquets supérieure à 500 bytes.

Maintenant, j'aimerai savoir comment régler ce MTU.

Merci

Merci Noddens,

Mais quel est l'utilitaire pour sniffer le trafique ?
Merci