Постала задача підключатися через 3G-модем. В даному випадку це Huawei e3372.
Скрипт підключення /opt/scripts/usb_modem.sh:
Постала задача підключатися через 3G-модем. В даному випадку це Huawei e3372.
Скрипт підключення /opt/scripts/usb_modem.sh:
На одному дуже старому сервері виникла проблема з curl
# curl https://domain.com curl: (60) SSL certificate problem: certificate has expired More details here: http://curl.haxx.se/docs/sslcerts.html curl performs SSL certificate verification by default, using a "bundle" of Certificate Authority (CA) public keys (CA certs). If the default bundle file isn't adequate, you can specify an alternate file using the --cacert option. If this HTTPS server uses a certificate signed by a CA represented in the bundle, the certificate verification probably failed due to a problem with the certificate (it might be expired, or the name might not match the domain name in the URL). If you'd like to turn off curl's verification of the certificate, use the -k (or --insecure) option.
Розглянемо лише ту частину яка стосується авторизації у LDAP. Отже в конфіг серверу додаємо таке
username-as-common-name
plugin /usr/lib/openvpn/openvpn-auth-ldap.so /etc/openvpn/auth/ldap.conf
Перший рядок каже, що login такий самий, як у LDAP’і, а другий – підключає відповідний модуль авторизації. А тепер налаштування для модулю авторизації /etc/openvpn/auth/ldap.conf:
Зараз все частіше доводиться генерувати саме ovpn файли, де все вже в середині (і конфіг і сертифікати). Нижче буде коротке how-to для випадку, коли треба зробити це для 10 чи 20 логінів.
Коротка замітка на тему, як бути, якщо так сталося якщо треба зробити revoke при тому, що 2 сертифіката мають однакове імʼя: так вийшло, що 24.pem, 67.pem мають один і той же CN=user123. Як же зробити revoke обом? Просто “штучно створюємо” новий сертифікат і одразу робимо revoke:
# cp 24.pem -> newname.crt && cd .. && ./revoke-full newname
Тут розкажу покроково як зробити з edge router повноцінний сервер на linux. Якщо по-суті, то прошивка edge router – це деяка оболонка, яка запускається після старту Linux.
Причому робимо все так, щоб можна було швидко увімкнути оболонку назад, якщо треба. Бо інакше можна було б просто поставити ARM Linux.
Інколи, виникає така помилка. Як не дивно, то методи вирішення прості: додаємо такі рядки в кінець файлу var і знову перечитуємо environment:
KEY_CN="$1" FN="$KEY_CN" KEY_NAME="$KEY_CN" KEY_OU="$KEY_CN" export CA_EXPIRE KEY_EXPIRE KEY_OU KEY_NAME KEY_CN PKCS11_MODULE_PATH PKCS11_PIN
# source ./vars
Дана помилка почала зʼявлятися в exim 4.96, причому в офіційному change log ніякої згадки немає. Зате є згадка в change log від debian:
exim4 (4.95~RC0-1)
New upstream default configuration does not abuse message_size_limit option to reject overlong lines, there is a new main configuration option – message_linelength_limit – which is set to 998 by default.
Mirror this change, now the IGNORE_SMTP_LINE_LENGTH_LIMIT only affects the data ACL
The running system has not been modified. Modifications were only made to a clone (be://rpool/11.4.61.151.2) of the running system. This clone is mounted at /tmp/tmp_8n959v2 should you wish to inspect it. pkg: The following mediated link targets do not exist, please reset the links via pkg set-mediator: MEDIATOR REMOVED PATH(S) openssl usr/openssl/1.1/lib/amd64/llib-lcrypto.ln, usr/openssl/1.1/pkgconfig/32/libcrypto.pc, usr/openssl/1.1/lib/llib-lcrypto.ln, usr/openssl/1.1/pkgconfig/32/libssl.pc, usr/openssl/1.1/lib/libssl.so.1.1, usr/openssl/1.1/lib/libcrypto.so.1.1, usr/openssl/1.1/lib/amd64/libcrypto.so.1.1, usr/openssl/1.1/bin/CA.pl, usr/openssl/1.1/lib/amd64/llib-lssl.ln, usr/openssl/1.1/bin/c_rehash, usr/openssl/1.1/pkgconfig/64/libssl.pc, usr/openssl/1.1/lib/amd64/libssl.so.1.1, usr/lib/proftpd/amd64/mod_tls-default.so, usr/openssl/1.1/pkgconfig/64/libcrypto.pc, usr/openssl/1.1/bin/openssl, usr/openssl/1.1/lib/llib-lssl.ln
Rdesktop не підійшов по причині неможливості підтвердити самопідписані сертифікати. Але і з FreeRDP теж є свої нюанси. Як от, запуск свого власного (реалізованого через GTK) вікна підключення замість стандартного гарного термінального вікна від windows.