Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.


Messages - bubnov-pi

Pages: 1 2 [3] 4 5 ... 29
31
Наиболее вероятно, что сервер Z имеет доступ к "закрытым" ресурсам, а если клиенты ходят через его прокси, то и ограничивать надо на прокси.
Путей решения два:
1. выключить прокси и запретить доступ к другим серверам DNS (плюсы - всё будет резаться режектором; минусы - не будет возможности следить за клиентским трафиком);
2. запретить и Z ходить на "закрытые" ресурсы перенацеливанием его на режэктора и запретив доступ к другим серверам DNS (плюсы - сохранится возможность контролировать клиентский трафик; минус - для исключения кого-то из клиентов из "ограниченного" списка потребуются нетривиальные действия).
Но против изобретательного пользователя ни что не поможет ;-)

32
Ну, UserCorner убрали когда переходили на единую базу авторизации (раньше в ветке 3.х учётки хранились и в OpenLDAP и в SAMBA, а с версии ~3.5 осталась только samba) - видимо, были какие-то проблемы с консистентностью. Многих это очень огорчило и они остались на 3.3/3.4.
4.0 является, по сути исправленной версией 3.5 (хотя логичнее сказать, что 3.5 является предварительным выпуском 4.0 - слишком уж она сильно отличается от своих предшественников).
Что же касается "замены Exchange", то здесь в первую очередь рассматривается сценарий "классического корпоративного использования" - все машины в домене, все под управлением одной операционки Enterprise-класса (RHEL/SLED/Win), все пользуются средством совместной работы (через Outlook или вэб-интерфейс), с SSO-авторизацией. Такой сценарий уже реализован вполне приемлемо, хоть и не без косяков.
Вопрос, - как он может изменить пароль из почтовой программы (веб страницы почты)? В OWA у  Exchange 2010 это есть...
К стати, на вскидку не помню такой функции, правда 2010 не использовал - только 2003 и 2007, но в них не было возможности сменить пароль.
Может быть, со временем, когда допилят функционал до "2010-совместимо", такую функцию и реализуют в Z.

33
Russian / Re: Настройка почтового сервера
« on: February 19, 2015, 07:42:52 am »
Напишите пожалуйста в личку вашу почту  :)
Всё бы здорово, но данный форум не поддерживает "личку" ;-)
А так - можно написать в почту на Яндексе - ник у меня там совпадает с местным форумным.

34
Там если дочитать до конца топик, то написано, что при включённой авторизации проблема не воспроизводится (если сеть-отправитель не указывать как доверенную). Если сеть-отправитель указана как доверенная, то отправлять можно "с любого" адреса - получается локальный Open relay (https://ru.wikipedia.org/wiki/%D0%9E%D1%82%D0%BA%D1%80%D1%8B%D1%82%D1%8B%D0%B9_%D1%80%D0%B5%D0%BB%D0%B5%D0%B9) что не есть правильно, хотя порой используется при организации автоматической отправки отчётов и прочей технологической корреспонденции.

35
Russian / Re: Настройка почтового сервера
« on: February 18, 2015, 11:57:49 am »
...
Кажется, все. Вроде бы должно работать
Почти так. Далее следует настроить массу вещей, чтобы обеспечить максимально комфортное функционирование почтового сервера - от указания в провайдерском DNS обратной записи (PTR) на IP почтового сервера до настройки SPF-записи в DNS своего домена.
И да, в общем случае п.4 выглядит иначе: - "В DNS-сервере, обслуживающем ваш домен пропишите MX..." ;-)

Спасибо, а можете подробнее?
Подробнее - это несколько страниц описания теории и практики технологии электронной почты. Если тезисами, то для настройки собственного почтового сервера обязательно потребуется:
1. Зарегистрированный домен, желательно второго уровня (с доменами третьего и ниже уровней проблем быть не должно, но некоторые параноидальные почтовые серверы могут отказаться принимать с них почту).
2. Делигирование домена (требуется корректно настроенный и указанный в служебных регистрационных записях домена сервер DNS, вернее как минимум два сервера DNS).
3. Статический внешний IP-адрес, по которому к почтовому серверу смогут обращаться внешние серверы (в общем случае этот адрес может быть и динамичным, но тогда катастрофически снижается доступность/надёжность работы сервера и очень сильно усложняется его обслуживание).
4. Указание записи типа MX на серверах п.2 для домена на адрес из предыдущего пункта (либо на каноническое имя, создав предварительно запись типа A).
5. Настройка транспортных компонентов почтового сервера.
На этом этапе почтовый сервер уже технически будет функционировать. Дополнительные действия, которые желательно предпринять для улучшения качества работы:
6. Указать в DNS провайдера, обслуживающем адрес п.3 имя сервера (делается обычно по письму или даже звонку в техподдержку провайдера, услуга может быть платной, но чаще - бесплатно) - это повысит степень доверия принимающих серверов почту от вашего сервера, в противном случае в приёме писем некоторые серверы откажут.
7. Указать в своём (п.2) DNS-сервере "жёсткую" запись SPF (https://ru.wikipedia.org/wiki/Sender_Policy_Framework) - это не позволит третьим лицам отправлять почту от имени вашего домена, что снизит вероятность попадания в "чёрные списки" антиспам.
8+. Настроить правила защиты от спама и т.д. и т.п...

36
Russian / Re: сложность пароля
« on: February 18, 2015, 08:26:10 am »
--min-pwd-age=30 --max-pwd-age=31
Спасибо, улыбнуло.
По-моему, нелогично запрещать смену пароля раньше какого-то срока - а если пароль скомпрометирован?

37
Russian / Re: Настройка почтового сервера
« on: February 18, 2015, 07:52:01 am »
...
Кажется, все. Вроде бы должно работать
Почти так. Далее следует настроить массу вещей, чтобы обеспечить максимально комфортное функционирование почтового сервера - от указания в провайдерском DNS обратной записи (PTR) на IP почтового сервера до настройки SPF-записи в DNS своего домена.
И да, в общем случае п.4 выглядит иначе: - "В DNS-сервере, обслуживающем ваш домен пропишите MX..." ;-)

38
Очень похожий вопрос обсуждался тут (англ.): https://forum.zentyal.org/index.php/topic,24129.0.html
Глубоко не вчитывался, но вроде рабочий вариант.

39
Если мне не изменяет логика, то после ликвидации User Corner, такая функция стала недоступной. Сам из-за этого страдаю.

40
Russian / Re: Странно работает балансер Zentyal 4
« on: February 16, 2015, 03:58:18 pm »
OMV/Debian - так как он нормально зацепил тома (по паре терабайт), сформированные в Zentyal/Ubuntu, а FreeNAS/FreeBSD их не хотел видеть =)

41
Russian / Re: Странно работает балансер Zentyal 4
« on: February 16, 2015, 01:25:15 pm »
Были - поиск по форуму предлагает его выключать.
У меня лично проблем не было, т.к. не использую балансировку - только файловер.
Вообще говоря, в Z, начиная примерно с 3.5, весь функционал кроме OpenChange работает всё хуже и хуже. Я уже разнёс на разные машины специфичные роли - файрвол - pfsense, файлошары - openmediavault, почта - zentyal.
Так проблем в разы меньше.

42
Russian / Re: Авторизация по MAC
« on: February 16, 2015, 01:24:12 pm »
Кроме пресловутого трафоинспектора, ни один вменяемый продукт так не умеет - ни KerioConnect, ни MS Forefront...

43
Russian / Re: Авторизация по MAC
« on: February 16, 2015, 10:51:46 am »
Мне на ум ничего толкового не приходит - ни разу даже в странных фантазиях подобной задачи не возникало...
Пожалуй, только если написать скрипт, слушающий (хоть по tcpdump) транзитный трафик, и отслеживающий соответствие разрешённых MAC-адресов разрешённым IP-адресам, и при несоответствии, помечающий IP как запрещённый.

44
Russian / Re: Открыть порт 444
« on: February 16, 2015, 10:46:42 am »
Если я ещё что-то помню, то squid не умеет проксировать ssl/https
Соответственно, если по 444 порту планируется шифрованный доступ, то открывать его надо в файрволе.
Могу заблуждаться, но вроде всё так.

45
Russian / Re: Авторизация по MAC
« on: February 13, 2015, 01:12:41 pm »
"Из коробки" это не реализовано. Если только что-то стороннее прикручивать.

Pages: 1 2 [3] 4 5 ... 29