BlogJava-我爱佳娃-随笔分类-服务配置

CAS多点登陆之“非主流”配置方式

我爱佳娃 — Sat, 01 Dec 2012 02:43:00 GMT

摘要:

场景

想要用到的场景：用户访问WEB服务，WEB访问非WEB服务1，服务1又再访问2、3，合并计算后，把数据返回给WEB及前端用户。想让访问链上的所有服务都能得到认证和鉴权，认为本次请求确实是来自用户的。所以想到用CAS，让用户在一点登录，所有服务都到此处认证和鉴权。

阅读全文

我爱佳娃 2012-12-01 10:43 发表评论

4.8以上SSHD配置特定用户只能在特定目录SFTP,不能进行其它命令操作

我爱佳娃 — Sun, 02 Oct 2011 19:15:00 GMT

限制用户在自己目录下载文件:

建立nagiosdnld

指向软链接:/usr/local/nagios/dnld -> /Users/nagiosdnld/dnld

编辑/etc/sshd_config

Match User nagiosdnld

X11Forwarding no

AllowTcpForwarding no

ForceCommand internal-sftp

ChrootDirectory /Users/nagiosdnld

重启下服务:

launchctl stop org.openbsd.ssh-agent

launchctl start org.openbsd.ssh-agent

@import url(http://www.blogjava.net/CuteSoft_Client/CuteEditor/Load.ashx?type=style&file=SyntaxHighlighter.css);@import url(/css/cuteeditor.css);

我爱佳娃 2011-10-03 03:15 发表评论

DEBIAN下SSH乱码解决

我爱佳娃 — Sat, 08 May 2010 01:58:00 GMT

要SSH和系统两边都配置对才行，其实也很简单：
用命令：
dpkg-reconfigure locales

进去后只选择zh_CN.UTF-8，并设置成默认字符集。

再到/root/.bashrc里加上：
export LC_ALL=zh_CN.UTF-8

SSH客户端使用UTF-8字符集，如SECURECRT就在SESSION OPTIONS->APPERANCE->CHARACTER ENCODING里选择UTF-8

我爱佳娃 2010-05-08 09:58 发表评论

用YUM安装LAMP

我爱佳娃 — Tue, 20 Apr 2010 01:56:00 GMT

一、设置YUM源

cd /etc/yum.repos.d/

wget http://centos.ustc.edu.cn/CentOS-Base.repo.5

mv CentOS-Base.repo.5 CentOS-Base.repo

因为默认的配置文件中服务器地址用的版本号是变量$releasever，所以需要将其替换为实际的版本号，否则是无法连接到服务器的，当前CentOS 最新版是5.3，所以我们修改CentOS-Base.repo

vi CentOS-Base.repo

在vi编辑器中进行全文件替换

:%s/$releasever/5.3/

二、安装
1：安装apache

yum install httpd httpd-devel

2：安装mysql

yum install mysql mysql-server mysql-devel

3：安装php

yum install php php-mysql php-common php-gd php-mbstring php-mcrypt php-devel php-xml

4：启动apache

   测试php

   建立以下文件/var/www/html/test.php
   编辑其内容

// test.php
phpinfo();
?>

5：测试
   在浏览器中输入：http://IP/test.php
   看是否显示PHP的信息

6：设置开机启动

chkconfig httpd on

我爱佳娃 2010-04-20 09:56 发表评论

SAMBA配置后ROOT没有写权限

我爱佳娃 — Wed, 07 Apr 2010 06:36:00 GMT

安装SAMBA后，配置下面SHARE：
[popeye]
path = /
valid users = root
read only = no
public = yes
writable = yes

发现可以浏览目录，但不可写，查了下是SELINUX在作怪，把它禁用即可：
先实时停止它：
setenforce 0

改配置：
vi /etc/sysconfig/selinux
修改成：
SELINUX=disabled

我爱佳娃 2010-04-07 14:36 发表评论

(转) 设置LINUX共享库so的方法

我爱佳娃 — Thu, 11 Jun 2009 01:52:00 GMT

Linux 运行的时候，是如何管理共享库(*.so)的？在 Linux 下面，共享库的寻找和加载是由 /lib/ld.so 实现的。 ld.so 在标准路经(/lib, /usr/lib) 中寻找应用程序用到的共享库。

但是，如果需要用到的共享库在非标准路经，ld.so 怎么找到它呢？

目前，Linux 通用的做法是将非标准路经加入 /etc/ld.so.conf，然后运行 ldconfig 生成 /etc/ld.so.cache。 ld.so 加载共享库的时候，会从 ld.so.cache 查找。

传统上， Linux 的先辈 Unix 还有一个环境变量 - LD_LIBRARY_PATH 来处理非标准路经的共享库。ld.so 加载共享库的时候，也会查找这个变量所设置的路经。但是，有不少声音主张要避免使用 LD_LIBRARY_PATH 变量，尤其是作为全局变量。这些声音是：
* LD_LIBRARY_PATH is not the answer - http://prefetch.net/articles/linkers.badldlibrary.html
* Why LD_LIBRARY_PATH is bad - http://xahlee.org/UnixResource_dir/_/ldpath.html
* LD_LIBRARY_PATH - just say no - http://blogs.sun.com/rie/date/20040710
解决这一问题的另一方法是在编译的时候通过 -R 选项指定 run-time path。

我爱佳娃 2009-06-11 09:52 发表评论

动物机又添新功能：在公司用HTTPTUNNEL通过家里ADSL服务器上网

我爱佳娃 — Wed, 03 Dec 2008 09:55:00 GMT

继这篇动物机搭建起来后：
自己DIY了一个低功耗基于ADSL的JAVA J2EE服务器

又有新功能加入：

动物机又添新功能：在公司用HTTPTUNNEL通过家里ADSL服务器上网

摘要: 以前家里动物机长开着只是下载电影，公司封了淘宝和MSN，现在又可以用它从公司上网了。

可以使用如下模式上网：

APP <=> HTTP TUNNEL <=> SERVER

HTTP TUNNEL有一个客户端，它可以起一个SOCKS本地代理来接收APP数据，然后打包发送到运行在家里的HTTP TUNNEL服务端，由这个服务端程序通过ADSL出到公网即可。阅读全文

我爱佳娃 2008-12-03 17:55 发表评论

clearcase循环递归加入目录文件

我爱佳娃 — Mon, 26 May 2008 10:10:00 GMT

命令行：

C:\Program Files\Rational\ClearCase\bin>clearfsimport -recurse -nsetevent d:\temp\cli D:\prj\pcrf\PCFFACN\web\

SNAPVIEW时，要把需加入的文件放到一临时目录，不能直接在SNAPVIEW对应的目录加入。

另外，要把需要加入的目录先行加入到CC，如上面的cli目录

我爱佳娃 2008-05-26 18:10 发表评论

最近在用JPA+SPRING+HIBERNATE及MAVEN2中遇到的问题和解决方法做个笔记

我爱佳娃 — Mon, 28 Jan 2008 15:08:00 GMT

摘要: JPA标准＋HIBERNATE实现＋SPINRG揉和
搭建MAVEN2的内网服务器：设置一个目录在WEB服务上可以访问
MYSQL可以被外部机器连接
cannot connect to VM错误阅读全文

我爱佳娃 2008-01-28 23:08 发表评论

自己DIY了一个低功耗基于ADSL的JAVA J2EE服务器

我爱佳娃 — Mon, 19 Nov 2007 13:47:00 GMT

摘要: 目前网络上大多是PHP或者ASP的空间，如果自己想搭建一个基于JAVA的WEB服务器或者自己调试J2EE的服务都不方便。另一方面，大家现在基本上家里都是包月的ADSL，它的上行带宽有512K，足够搭建一个自己WEB服务器了。不妨参考下我最近DIY的一台功耗不足40W的动物机：BT，电驴，路由器，防火墙，WEB服务器，SUBVERSION代码服务器，APACHE，MYSQL一个都不少!全部配下来RMB1100。阅读全文

我爱佳娃 2007-11-19 21:47 发表评论

iptables 端口映射设置

我爱佳娃 — Sun, 18 Nov 2007 10:54:00 GMT

(转)　

设我们有一台计算机,有两块网卡,eth0连外网,ip为1.2.3.4;eth1连内网,ip为192.168.0.1.现在需要把发往地址1.2.3.4的81端口的ip包转发到ip地址192.168.0.2的8180端口,设置如下:

　　1. iptables -t nat -A PREROUTING -d 1.2.3.4 -p tcp -m tcp --dport 81 -j DNAT --to-destination192.168.0.2:8180

　　2. iptables -t nat -A POSTROUTING -s 192.168.0.0/255.255.0.0 -d 192.168.0.2 -p tcp -m tcp --dport 8180 -j SNAT --to-source 192.168.0.1

　　真实的传输过程如下所示:

　　假设某客户机的ip地址为6.7.8.9,它使用本机的1080端口连接1.2.3.4的81端口,发出的ip包源地址为6.7.8.9,源端口为1080,目的地址为1.2.3.4,目的端口为81.

　　主机1.2.3.4接收到这个包后,根据nat表的第一条规则,将该ip包的目的地址更该为192.168.0.2,目的端口更该为8180,同时在连接跟踪表中创建一个条目,(可从/proc/net/ip_conntrack文件中看到),然后发送到路由模块,通过查路由表,确定该ip包应发送到eth1接口.在向eth1接口发送该ip包之前,根据nat表的第二条规则,如果该ip包来自同一子网,则将该ip包的源地址更该为192.168.0.1,同时更新该连接跟踪表中的相应条目,然后送到eth1接口发出.

　　此时连接跟踪表中有一项:

　　连接进入: src=6.7.8.9 dst=1.2.3.4 sport=1080 dport=81

　　连接返回: src=192.168.0.2 dst=6.7.8.9 sport=8180 dport=1080

　　是否使用: use=1

　　而从192.168.0.2发回的ip包,源端口为8180,目的地址为6.7.8.9,目的端口为1080,主机1.2.3.4的TCP/IP栈接收到该ip包后,由核心查找连接跟踪表中的连接返回栏目中是否有同样源和目的地址和端口的匹配项,找到后,根据条目中的记录将ip包的源地址由192.168.0.2更该为1.2.3.4, 源端口由8180更该为81,保持目的端口号1080不变.这样服务器的返回包就可以正确的返回发起连接的客户机,通讯就这样开始.

　　还有一点, 在filter表中还应该允许从eth0连接192.168.0.2地址的8180端口:

　　iptables -A INPUT -d 192.168.0.2 -p tcp -m tcp --dport 8180 -i eth0 -j ACCEPT

我爱佳娃 2007-11-18 18:54 发表评论

在 Debian/GNU/Linux 上架 MediaWiki！

我爱佳娃 — Sun, 18 Nov 2007 04:20:00 GMT

摘要: 阅读全文

我爱佳娃 2007-11-18 12:20 发表评论

DEBIAN下的MYSQL的ROOT密码重设

我爱佳娃 — Sun, 18 Nov 2007 04:19:00 GMT

摘要: 阅读全文

我爱佳娃 2007-11-18 12:19 发表评论

解释debian下的udev是咋回事

我爱佳娃 — Wed, 14 Nov 2007 06:45:00 GMT

udev是devfs的替代品，可以动态管理/dev下的设备，主要作用是根据硬件的信息（match条件），将它建立到分配（assign语句）到/dev相应的名字下。

这篇文章相当不错，易懂：

http://www.reactivated.net/writing_udev_rules.html

我爱佳娃 2007-11-14 14:45 发表评论

SUBVERSION的SSL方式安装及最常用而简单的分支使用模式

我爱佳娃 — Tue, 13 Nov 2007 05:04:00 GMT

摘要: 网上材料大多比较复杂，本文是简洁明了的快餐式文章。分安装部分和使用部分。
安装部分对SUBVERSION做为SSL访问方式配置做了详细说明，使用部分对实际使用时最常用的模式做了说明。阅读全文

我爱佳娃 2007-11-13 13:04 发表评论

目前发现的最好最快的直接在ECLIPSE中JETTY调试方式

我爱佳娃 — Thu, 13 Sep 2007 13:04:00 GMT

摘要: 之前文章提到过用MAVEN2启动JETTY，这里介绍一种直接从ECLIPSE中启动的办法。适用于6.1.3以上，包括6.1.5的JETTY。它主要是利用了JDK的代码自动更换性能(code hot replace)，可以不用重启JETTY就调试、更换资源文件。注意：一定是DEBUG方式运行才有这项功能。所以应该说这篇文章的方法更好：在Run->Debug中，N... 阅读全文

我爱佳娃 2007-09-13 21:04 发表评论

LINUX配置文件

我爱佳娃 — Mon, 10 Sep 2007 10:24:00 GMT

摘要: 本文说明了 Linux 系统的配置文件，在多用户、多任务环境中，配置文件控制用户权限、系统应用程序、守护进程、服务和其它管理任务。这些任务包括管理用户帐号、分配磁盘配额、管理电子邮件和新闻组，以及配置内核参数。本文还根据配置文件的使用和其所影响的服务的情况对目前 Red Hat Linux 系统中的配置文件进行了分类。
阅读全文

我爱佳娃 2007-09-10 18:24 发表评论

windows下如何用bat文件一次运行多个程序？

我爱佳娃 — Sun, 29 Jul 2007 02:36:00 GMT

一般bat只能运行一个程序，有时需要在电脑启动或者自己有多个程序要启动时，编辑一个bat实现一组程序的启动。可以使用start语句。

它不支持带空格的目录名，可以先CD到程序目录，再start，举例如下：

cd "C:\Program Files\Tor\"
start tor.exe
cd "C:\Program Files\Privoxy\"
start privoxy.exe
cd "C:\Program Files\Mozilla Firefox\"
start firefox.exe

我爱佳娃 2007-07-29 10:36 发表评论

ie7中文版里英文字体问题

我爱佳娃 — Tue, 05 Jun 2007 09:27:00 GMT

被强制更新了ie7，英文字体非常不心惯，可以通过以下方法恢复：

关闭cleartype的效果：
工具－internat选项－高级－多媒体－总是将cleartype应用于html，把钩去掉。

我爱佳娃 2007-06-05 17:27 发表评论

subversion以及mysql安装成windows服务

我爱佳娃 — Wed, 16 May 2007 14:38:00 GMT

STEP 3:配置
打开/conf/目录，打开svnserve.conf找到一下两句：

# [general]
# password-db = passwd

去之每行开头的#，其中第二行是指定身份验证的文件名，即passwd文件
同样打开passwd文件，将

# [users]
# harry = harryssecret
# sally = sallyssecret

这几行的开头#字符去掉，这是设置用户，一行一个，存储格式为“用户名 = 密码”，如可插入一行：admin = admin888，即为系统添加一个用户名为admin，密码为admin888的用户

create it:
sc create svnservice binpath= "\"c:\program files\Subversion\bin\svnserve.exe\" --service -r D:\svn" displayname= "SVNService" depend= Tcpip

delete it:
sc delete svnservice

mysql:
C:\> mysqld-nt --install
C:\> NET START MySql

C:\> NET STOP MySql
C:\> mysqld-nt --remove

我爱佳娃 2007-05-16 22:38 发表评论

解决XP共享文件夹问题

我爱佳娃 — Sat, 07 Apr 2007 03:09:00 GMT

解决方案:针对windows xp

1. 运行gpedit.msc到组策略管理界面下,计算机配置--->Winsows设置----->安全设置--->本地策略--->用户权利指派,看看右边有一行:"拒绝从网络访问这台计算机 "看它的属性里有没有guest一项,若有,则删除.

2. 若还不行,在我的电脑窗口里工具--->文件夹选项---->查看----->高级选项里有"使用简单文件共享" 打勾去掉,确定下去,.然后再访问.

3. 启用 Guest、修改安全策略允许Guest从网络访问、禁用3里面的安全策略或者给Guest
加个密码。

http://hi.baidu.com/zhangqiguang123/blog/item/00882ff440c6d3ee7609d7f3.html

我爱佳娃 2007-04-07 11:09 发表评论

停止XP无用服务的BAT命令文件

我爱佳娃 — Sun, 01 Apr 2007 06:00:00 GMT

摘要: 为了大家能更好使用象ECLIPSE这种“巨无霸”（且不断在增长）。网上看的可以优化XP的文章，并自己写了一个脚本文件来停止服务，避免大家一个个去改麻烦。我试了可以，大概停了10多个服务。但有问题别找我呀！俺也不懂的说。停止不用的服务bat命令 Code highlighting produced by Actip... 阅读全文

我爱佳娃 2007-04-01 14:00 发表评论

LDAP+OpenSSL集中认证配置

我爱佳娃 — Tue, 28 Nov 2006 07:56:00 GMT

基本概念
LDAP是以树方式组织的数据库。每个节点可以有什么值是通过类来定义。
LINUX或者其它应用的认证就是来BIND LDAP树上的节点，如果能够BIND，就算认证成功。
要改变LINUX认证方式，需要让名字服务NSCD能够到LDAP查找用户，这需要nss_ldap.so。
得到用户后，再到LDAP去认证，这需要pam_ldap.so实现。

公私钥：公钥可以唯一解密私钥加密过的数据，反之亦然。
SSL过程：需要两对公私钥(P1,V1),(P2,V2)，假设通信双方是A和B，B是服务器，A要确认和它通信的是B：
A->B: hello
B->A: 用V2加密过的P1（即用户证书，A就用P2解密出P1）
A->B: ok
B->A: 用V1加密的一段信息
A->B: 用P1加密一个自动生成的K（用之前的P1解密成功这段信息则认为B是可信的了）
B->A: 用K加密的数据（之后两对密钥功能结束，由K来加解密数据）
这里，P2就是第3方的CA证书，由于非对称加密很慢，所以公私钥只是用来保证K的传送安全，之后通信是用K的对称加密算法来保证。

需要安装的组件
Berkeley DB 4.2.52 or later - http://www.sleepycat.com/（仅服务端）
NSS_LDAP 2.2.X or PAM_LDAP 1.6.X or later – http://www.padl.com/（仅客户端）
OpenSSL 0.9.7e or later – http://www.openssl.org/

OpenLDAP 2.3.XX or later - http://www.openldap.org/（仅服务端）

OpenSSH: http://www.openssh.org/

# cd /var/tmp
# tar xvf openssh- 3 .X.XpX.tar
# cd openssh- 3 .X.XpX
# ./configure --prefix = /usr --with-pam --sysconfdir = /etc/ssh --with-ssl-dir = /usr

需要修改的文件
服务器端：
/etc/openldap/slapd.conf

include   /etc/openldap/schema/core.schema
include   /etc/openldap/schema/cosine.schema
include   /etc/openldap/schema/inetorgperson.schema
include   /etc/openldap/schema/nis.schema

loglevel - 1

access to attrs = shadowLastChange , userPassword
      by self write
      by * auth

access to *
      by * read

TLSCipherSuite  HIGH:MEDIUM:+SSLv2
TLSCACertificateFile /etc/openldap/cacert.pem
TLSCertificateFile /etc/openldap/slapd-cert-ldap1.pem
TLSCertificateKeyFile /etc/openldap/slapd-key-ldap1.pem

TLSVerifyClient never

database    bdb
suffix         " dc=example,dc=com "
rootdn         " cn=Manager,dc=example,dc=com "
rootpw        secret
directory               /var/lib/ldap
index    objectClass    eq

客户端：
/etc/ldap.conf

host ldap1.example.com
base dc = example , dc = com
ssl start_tls
tls_cacertfile /tmp/cacert.pem

/etc/pam.d/system-auth

/etc/sysconfig/authconfig

USEDB = no
USEHESIOD = no
USELDAP = yes
USENIS = no
USEKERBEROS = no
USELDAPAUTH = yes
USEMD5 = yes
USESHADOW = yes
USESMBAUTH = no

/etc/nsswitch.conf

/etc/hosts

127.0.0.1 MD_Mother_HDA localhost
10.56.28.33 ldap1.example.com

/etc/ssh/sshd_config

PasswordAuthentication yes

ChallengeResponseAuthentication yes

UsePAM yes

Subsystem sftp /usr/libexec/sftp-server

需要重启的服务
service nscd restart
service sshd restart

另外，这个文件是LDAP命令使用的，不是系统认证所需：
/etc/openldap/ldap.conf

开始的时候可以不要SSL认证，只需要注释掉ldap.conf中start_tls一句即可。另外，SSL要求验证服务器，所以一定要在/etc/hosts文件里加入服务器完整名字，并与SSL证书中一致。

我爱佳娃 2006-11-28 15:56 发表评论