Главная > Сети > Локальные сети >
NetWare FAQ 2 [9/10]
>Сеpтификация NetWare 5.1<
--------------------------
From: Constantin Oshmyan		  2:5100/27	  Чет 30 Дек 99 14:40
From: Ilmar S. Habibulin		  2:5020/691.777  Пят 31 Дек 99 10:11
From: Alexey Lukatsky <luka@infosec.ru>   2:5020/224.2	  Пон 10 Янв 00 16:24
From: Dmitry Ostroushko <dmitry@oblbank.lipetsk.ru>	  Пон 24 Янв 00 09:18


> Коллеги, пpокомментиpуйте, пожалуйста, следующую инфоpмацию,
> а то я что-то ничего не понял.
> http://www.novell.ru/russian/press/991227.html
А что там коментировать, как всегда договорились. :(

> Что такое этот самый сеpтификат, о чём (хотя бы в общих чеpтах) говоpится
> в упомянутых там документах Гостехкомиссии и РД (кстати, а что такое РД?),
> почему вдpуг NetWare 5.1 стала выпускаться неким ООО "HТЦ БИТС"?

РД Гостехкомисии. ;-) РД - руководящие документы.
РД по недекларированным возможностям содержит в себе набор методик по проверке
отсутствия в сертифицируемом средстве недекларированных возможностей и прочих
закладных элементов. Эти набор составляют несколько классов. Каждый класс
связан с классом свт/ас (имхо).
ЗД по свт - это кривой перевод оранжевой книги. :( Hо почему у новеля 4 класс,
как и у многих других...

CO> Коллеги, пpокомментиpуйте, пожалуйста, следующую инфоpмацию,
CO> а то я что-то ничего не понял.

    Когда СЗИ (или нечто) невозможно сертифицировать под стандартные
    РД (АС и СВТ), что уже само по себе говорит о многом, то начинается
    сертификация по таким РД, как недекларированные возможности. Ведь
    мало кто будет интересоваться, что же это за РД. Есть сертификат
    ГТК и будь здоров. А то, что в сертификате написан бред - это уже
    мало кого волнует. Руководство уж точно не волнует.

    Hо сертификация такого продукта как операционная система на отсутствие
    недеклалируемых возможностей - это что-то. Если бы г-н Сенькин
    действительно смог бы проверить ОС Netware по этому документу, то
    я снял бы перед ним шляпу. Hо в это я не верю.

    Итак, что же такое 4-й класс по данному РД? Hапомню, что по 4-му классу
    сертифицировалось ядро NW 5.1.

    Во-первых, он применяется, когда сертифицировать систему по другому
    классу нельзя. Для секретой и выше информации он не применим.

    Во-вторых, содержание документации должно соответствовать 4-м ГОСТам.

    В-третьих, для каждого загрузочного модуля и исходного текста должны
    быть рассчитаны значения контрольных сумм. Которые должны быть приведены
    в документации.

    В-четвертых, должен быть проведен контроль полноты и избыточности
    исходных текстов на уровне файлов и контроль соответствия исходных
    текстов его объектному коду.

    По 3-му классу сертифицировался Trusted Netware Unit. Помимо всех
    требований 4-го класса, в 3-м добавляется:

    - контроль полноты и отсутствия избыточности на уровне процедур и
      объектов;
    - контроль связей процедур, объектов и функций по управлению;
    - контроль связей по информации;
    - контроль информации различных типов (переменных и т.п.);
    - формирование перечня маршрутов выполнения процедур, функций и объектов;
    - динамический контроль исполнения процедур, функций;
    - сопоставление фактических маршрутов, построенным в результате статисти-
      ческого анализа.

    Складывается впечатление, что авторы документа не знакомы с понятиями
    ООП, поскольку все что написано в РД ориентировано на процедурное
    программирование.

    В принципе ничего серьезного (!), за исключением того, что непонятно как
    осуществлялся контроль полноты и отсутствия избыточности.

AS> Категорически не понимаю, как можно провести контроль соответствия
AS> исходных текстов объектному коду, при сборке программы
AS> компилятором/линкером, для которых не доказана генерация верного кода.
AS> Причем именно генерация кода, а не отсутствие закладок: баг в
AS> компиляторе похоронит соответствие.

    "А для этого есть пятое правило Глеба Жеглова" (с) "Место встречи
    изменить нельзя".  Для второго и первого классов требуется применением
    именно верифицированных и сертифицированных компиляторов.

VA>  Кстати, не подскажешь ли инетовский адресочек, где можно было бы
VA> добыть ISO/IEC 13335 TR GMITS?
В принципе можно посмотреть по адресу:
http://www2.itic.org/ncits/tc_home/t4htm/DOCS/13335-3.HTM




>Certificate Server<
--------------------
From: Евгений Соколов  (esokolov@nrb.ru)	     10 Января, 2000 at 11:03

: Люди, а кто-нибудь использует эту вещь? И для каких надобностей?
: С большим удовольствием прочитал бы какие-либо комментарии про данный
: продукт.

--------------------
Собственно особо нечего комментировать. Продукт как продукт. Представляет
из себя доделанный PKI Service и плагины к Консоль 1, для управления
сертификатами. Позволяет выдавать сертификаты X.509 как веб-серверам
(подписывает стандартный Certificate Request) так и клиентам NDS. Сертификаты
клиентов хранятся в NDS. Получение клиентом своего сертификата возможно
только через специальную утилиту Novell. Это не очень удобно, зато надежно.
Впрочем, с помощью NDK можно сваять веб-интерфейс, если очень хочется.
Вообщем штука удобная. Мы полностью перешли на эту службу управления
ключами, отказавшись от ранее пробуемых Netscape Certificate Server и
Microsoft Certificate Server.

>Пpоблемы в BMEE 3.5 c поставляемыми фильтpами<
-----------------------------------------------
From: Евгений Соколов (esokolov@nrb.ru) 	    10 Января, 2000 at 10:44
From: Сергей Дубров (Dubrov@inp.nsk.su) 	    10 Января, 2000 at 10:55
From: Dmitry E. Rovkin (dima@tpsb.com.ru)	    26 Января, 2000 at 20:23
: Как я писал ранее, мы в конце января меняли сервер доступа. При этом мы
: меняли как сервер, так и программное обеспечение, установили Novell
: BorderManager 3.5. При этом я сделал одну "оплошность". При
: конфигурации фильтров файрвола, я воспользовался одним из "готовых"
: фильтров, а именно www-http, для разрешения пакетов, входящих на
: реверс-прокси (на самом деле речь идет о двух фильтрах для TCP и UDP
: соответственно). Как выяснилось этот фильтр, по неясной причине, работает
: от случая к случаю. Сегодня я заменил его аналогичным написанным
: собственными руками, и все стало работать нормально. Вот такие пироги.

: Мораль сей басни такова: когда имеешь дело с настройкой файрвола, ПИШИ
: ВСЕ САМ!

Здорово. И совершенно аналогичную проблему имели мои знакомые с BM3.5 с
одним из фильтров out-of-box (у них с ftp были сходные чудеса). И вылечилось
всё точно таким же способом - ручками повторили-переписали готовый фильтр - и
вуаля, всё заработало. Тенденция, однако. Помнится, Макс Овсянников что-то
подобное про свой BM тоже рассказывал здесь.


Да уж, но кто ж мог подумать - мои знакомцы тоже не один день бились,
tcpdump-ом всё изучали, а победили это буквально позавчера, в субботу, всё
никак поверить не могли, что ЭТО - и не работает. Ручное переписывание
фильтров они уже от полной безысходности затеяли, сами себе пальцем у виска
крутили ;-).

: -------------------
: Жопа с фильтрами, полная жопа господа! Сами по себе отказываются
: работать. Хорошо, что отказываются разрешать, было бы хуже, если бы
: отказывались запрещать. Главное мне непонятно, почему ломаются фильтры
: именно для этого реверс-прокси, остальные работают исправно.
: Хорошо, что официальный веб-сайт банка еще не открыт, вот бы нам навешали
: за такие фокусы.

: Ох, скандалить я начну с Новелом!
: -----------------------------------
: Ну, посмотрел я на дебаг по части tcp discard. Ох, и что я там увидел, ни в
: сказке сказать, ни словами описать. Привожу пример:

: **************************************************************************

: INBOUND packet to "Discard"
: Protocol Type=(TCP)		  Protocol Flag=(SYN)
: Source Address=(212.5.165.62)   Destination Address=(194.85.138.66)
: Source Port=(1121)		  Destination Port=(80)
: Source TOS=(Dynamic)		  Destination TOS=(HTTP)
: Source Interface=(1)		  Destination Interface=(1)
: Source Circuit=(30587)	  Destination Circuit=(0)
: Source GroupID=(0)		  Destination GroupID=(0)
:
: Discard filter rule from "Exceptions" list
: Filter Protocol Type=(TCP)
: Source Interface Type=(BOARD)   Destination Interface Type=(BOARD_NETWORK)
: Source Address=(212.193.1.23)   Destination Address=(194.85.138.66)
: Source Interface Number=(1)	  Destination Interface Number=(1)
: Source Port Range=(1121-1121)   Destination Port Range=(80-80)
: Source TOS=(Dynamic)		  Destination TOS=(HTTP)
: Source Group Name=(None)	  Destination Group Name=(None)
: Source Group ID=(0)		  Destination Group ID=(0)
: Source Remote System ID=(None)  Destination Remote System ID=(None)
: Source Circuit=(30587)	  Destination Circuit=(30587)
:
******************************************************************************

Первое, что бросается в глаза, это что пакет отменен на основании правила
взятого из списка исключений. Забавно, в списке исключений находятся только
правила, разрешающие прохождение пакетов, запрещающих правил там просто нет.
И уж тем более, там нет именно такого дебильного правила. Получается, что
файрвол сам генерирует некие запрещающие правила, да еще делает это
динамически.

На самом деле виной всему, похоже, являются мои любимые динамические
(Statefull) фильтры (см. мою статью о ВМ3.0). Судя по всему, есть ошибка в
реализации этого механизма в ВМ3.5. Переход на статические фильтры, кажется,
проблему решил. Я говорю об этом осторожно, поскольку ни в чем не уверен.

Кто-то тут писал о сертификации ВМ3.5 в Гостехкомиссии, наверно на
отсутствие недекларированных возможностей. Ну-ну....

:: На самом деле виной всему, похоже, являются мои любимые динамические
:: (Statefull) фильтры (см. мою статью о ВМ3.0). Судя по всему, есть ошибка в
:: реализации этого механизма в ВМ3.5. Переход на статические фильтры, кажется,
:: проблему решил. Я говорю об этом осторожно, поскольку ни в чем не уверен.

: У меня в тестовых целях стоит BM3.5EE - и почти сразу все stateful фильтры
: были убиты и прописаны статические на все типы сервисов. Их подглюкивание
: мне было заметно например на очень частом обрыве сеансов IRC (в статике все
: ок). Это самое первое впечатление.

Именно фильтры или PROXY глючит ?

: -----------------
: Глючат именно фильтры сетевого уровня, те самые которые разрешают входящие
: пакеты на порт 80 на публичный интерфейс. А насчет нагрузки сказать сложно,
: она постоянно высокая, но остальные фильтры работают нормально.




>Вход в сеть NetWare и NT не pаботает<
--------------------------------------
From: Egor Kravchenko				    11 Января, 2000 at 01:51

: Объясните чайнику пожалуйста:
: у нас в сети два сервера NW 3.12 и NT 4. Рабочая станция Win95 - Client32
: v.3.1 и клиент для сетей Microsoft. К серверу NW подключается нормально,
: а к NT не хочет - говорит что ресурс не обнаружен или что-то в этом роде.
: В чем тут дело?

Есть такая ерунда - Client32 v.3.1 косячит.

2 варианта:
1) Поставь на Client32 v.3.1 сервис-пак - сначала пробуй 1-ый, потом 2-ой.
2) Убери в клиенте для сетей Microsoft "Входить в домен NT" и
   смени рабочую группу данной машины на название домена.

С сервис-пак 2 для Client32 v.3.1 надо осторожнее - он что-то меняет в IPX,
некоторые программы бастуют

>BM 3.5 пожираются Packet Receive Buffers.<
-------------------------------------------
From: AlexP (alexp@macomnet.ru) 		     11 Января, 2000 at 12:31
From: Евгений Соколов  (esokolov@nrb.ru)	     11 Января, 2000 at 13:08

:: С новым сервером у меня новые проблемы. Переодически резко отжираются
:: Packet Recive Buffers этак 1000 штук сразу. Это сопровождается отвалом
:: одного из интерфейсов IP. Отжирает их якобы TCPIP.NLM. Не могу понять
:: почему он их жрет пачками? Почему при этом перестает работать интерфейс,
:: ведь свободных буферов еще дофига?

:: Support Puck for NetWare 5 v3.0a with TCPIP4E
:: BorderManager 3.5 Support Puck 1
:: BM35c 3.5.02 Border Manager 3.5 Proxy Cache and ACL Update
:: DS7a DS Update (DS v. 7.40)
:: ManageWise 2.6 Support Pack 2 (работает LanAnalyzer agent)

:: Кто-нибудь, что-нибудь слышал, видел, предполагает?

: Ага! Помните я об этом вопрошал в ноябре? Ну никто
: ничего тогда не сказал. Пришлось проводить эксперимент.
: Результаты таковы (правда у меня пока все стоит на 4.11)
: на 3 сетевые карты (на 2-х IP) стоит максимум 6000 буферов минимум 2000
: размер пакета 4к с копейками. Количество сервиспроцессов макс 200,
: директору кеш буферов 1500.
: Еще как показала практика ни на одном томе сервера
: не должно быть компресии и субалокации иначе идет
: сильное торможение и иногда отваливаются юзера.
: Все это держится устойчиво на двухмегабитном канале
: в инет.

: Кстати, про ECB сервер ругается?

У меня сейчас максимальное к-во буферов 50.000, максимально было захвачено
более 24.000, потом через некоторое время буфера освободились, сейчас
захвачено около 6000. У меня такое впечатление, что буфера не освобождаются
после того, как соединение ТСР закрывается. Если считать примерно по 6
буферов на одно соединение, то рост количества занятых буферов соответствует
росту общего количества соединений ТСР (именно общего к-ва, а не к-ва
открытых).

Вот, кстати, опять поперло в гору, уже до 20.000 добралось.

На ЕСВ сервер не ругается. Что касается размера пакета, то он с запасом
(2048) этого точно должно хватать.  А файловый кеш у меня помощнее будет и
используется очень интенсивно (сейчас около 7.000 открытых файлов).

: Кстати, насчет файлового кеша, я так понял этот сервер
: реально используется не только для BM? У меня складывается
: такое впечатление, что на сервере должен стоять только
: один BM и все, а иначе начинаются странные проблемы.
: У меня вообщем-то внутри все сидят на IPX поэтому
: суммарный IP трафик 2 мега и не более, еще у меня
: есть такая думка, что буфера аллокируются потому что
: сервис-процессы не справляются с другими задачами, кстати у Вас сколько
: макисимум сервиспроцессов? Новель рекомдует что можно
: поставить 10 000 и это якобы не будет отжирать много
: дополнительной памяти. Еще советуют изменть
: maximum interrupt events но я побоялся, параметр
: такой весьма скользкий.

: Я тут на курсах спрашивал препода про эффективность
: работы роутера у новеля(в БМ в частности) он сказал
: что проблем нет, однако есть другие проблемы
: например с лог файлами. Бред полнейший такого
: даже у мелкомягких нет.

: Пока могу лишь посоветовать почитать тиды
: (читали уж наверно?) 2943356,10018669
: Надо подумать и понаблюдать.
(From FAQ Creator: Tid#2943356 - можно пpочитать в Add_On\Tune.Txt)

Увы! Все это не приблизило меня к ответу

Нет сервер используется только для ВМ, просто нагрузка большая. С
параметрами все вроде хорошо. А захват буферов меня беспокоит из-за нехватки
оперативной памяти. К тому же неясно, до какого предела может расти число
занятых буферов. Пока остановилось на 26 000, то ли потому, что больше не
нужно, то ли потому, что память кончилась (а она таки кончилась). Тиды я
читал, но ответа на вопрос не нашел. Главное, я совершенно убежден, что это
ненормальная ситуация, и не могу понять почему она возникает.

: Что значит кончилась?

: Насколько я адекватно понимаю ТИД там написано,
: что количество буферов ставится в стартапе,
: и эта пямять (размер пакета * макс. кол-во буферов)
: отводится только под буфера и не может быть использована
: для других целей! Отсюда вывод: либо у Вас действительно
: нехватает оперативки (гляньте LRU sitting time и %соотношение кеш
: буферов для определения хватает ли у Вас оперативки этого вполне
: достаточно) и если
: все ок, то надо смотреть и наблюдать, если буфера
: все растут и растут надо пинать новель.
: Кстати, что говорят иностранцы на forums.novell по этому поводу?

Буржуи обсуждали такую проблему перед рождеством. Ну и никакого результата.
И новель уже пинали.

Esokolov> Локализован баг с "пожиранием" Packet Receive Buffers

Ранее я писал, что имею проблемы с сервером ВМ3.5. Проблема состояла в том,
что на сервере, по неясной причине и непостоянно по времени начинали быстро
расходоваться Packet Reseive Buffers для нужд TCPIP.NLM. Результатом было
существенное ухудшение работы интерфейсов. Дело в том, что когда зарание
зарезервированные буферы (Minimum Packet Reseive Buffers) исчерпываются, то
выделяется небольшая пачка новых (до Maximum Packet Reseive Buffers), однако
это занимает какое-то время, все пакеты приходящие в это неудачное время
отвергаются интерфейсами, по причине отсутствия свободных буферов. Это
выделение пачек буферов происходит циклично, пока не упремся в значение
Maximum Packet Reseive Buffers, после чего сервер перестает выделять
оперативную память для буферов, и коммуникации прекращаются. Я работал со
зачениями Minimum=10.000, Maximum=50.000, размер буфера от 2.048 до 5.000
байт (благо к-во оперативной памяти на сервере позволяет)

Я исследовал эту проблему в трех направлениях:

1. Ошибка в самом TCPIP.NLM. Я проверил работу с разными версиями TCPIP.NLM
   5.21а, 5.31а (родная) и 5.31l. Результат одинаково плачевный.

2. Ошибка ниже уровня TCP. Я проверил работу с разными драйверами
   интерфейсов, в разных режимах. Результат одинаково плачевный.

3. Ошибка выше уровня ТСР. Я стал искать сервис прикладного уровня, при
   работе которого появляется проблема. Я обнаружил, что "пожирание"
   начинается тогда, когда mail-proxy передает из своего спула очень большое
   сообщение (15Мбат) на внешний почтовый сервер, конкретно на hotmail.com. Я
   проверил подозрение попытками передачи на hotmail.com сообщения объемом
   10Мбайт. Подозрения подтвердились.

Сейчас я не могу с уверенностью сказать, что является основной причиной:
собственно hotmail.com, очень большой размер сообщения, или скорость его
передачи. Я не пробовал инициировать ошибку передачей на другие узлы.
Нормального размера почта на hotmail идет нормально. У меня есть серьезные
подозрения, что сервис mail-proxy в ВМ3.5 неверно реализует Extention SMTP
в той части, которая касается передачи больших сообщений.
При использовании ВМ3.0 такая проблема не наблюдалась.
Пока мы ввели временное ограничение на размер почтовых сообщений (до 2Мбайт).

: Ваши подозрения вполне оправданы, на forums.novell
: много говорили, что mail proxy не работает и советовали
: делать по-возможности generic proxy на почту,
: только вот как, увы и ах, никто конкретно не сказал.


>Гостья из будущего или "Гуру - дайте идеи!"<
---------------------------------------------
From: Yar (yar@trecom.tomsk.su) 		     11 Января, 2000 at 19:27

: Здравствуйте!
: У меня в дереве 3 сервера 4.1
: Пропатчил их по поводу 2000 минимальным патчем.
: После этого на первом временном сервере установился 2036 год.
: Установил 2000-й. Но мастер-реплика синхронизирована 2036-м. Все
: остальные реплики 2000-м.
: И временной сервер постоянно ругается на synthetic time в партиции.
: DSREPAIR на всех серверах - не помогло.
: Ставить припарки или само пройдет?

Похожая странная ситуация! Только у меня 2 5-ки.
В 1999 было 4.10+4.11, во время модернизации возникла
следующая конфигурация: На Single Time Server - R/W реплика,
на Secondary - Master реплика. Данная конфигурация проработала
без вопросов 2 недели. Перед НГ (28.12) решил перенести Master реплику
на Single. Прошло все ОК.
Далее интересная ситуация - приблезительно через сутки
на мою машину с админом приходит сообщение, что не может записать
обновления в root. Быстро осматриваюсь - восстановилась конфигурация:
На Single Time Server -  R/W реплика, на Secondary - Master реплика.
Ну я решаю не испытывать судьбу  бэкап и ничего не предпринимаю, в y2k
все проходит без проблем, 4.01.2000 моих 200 юзеров работают нормально,
а 05.01.2000 в 6.35 Secondary сервер с Master репликой переводит время
(сообщение на консоли) в 05.01.2037.
Я его переставил обратно в y2k, по-дсрепэарил, неделю ничего подобного не
происходит.

Мои соображения по моей ситуации - в 5-ке (встречал TID)
сложно переносится мастер-реплика, я делал из NDSmgr32 (v. 1.31?),
а в TID говорилось, что надо с консоли.

>Внимание! Дыpы в безопасности Web сеpвеpов<
--------------------------------------------
From: Андрей Фисенко (fis@cba.ru)		     10 Января, 2000 at 18:49
From: Евгений Соколов  (esokolov@nrb.ru)	     11 Января, 2000 at 10:40
From: Сергей Дубров (Dubrov@inp.nsk.su) 	     11 Января, 2000 at 05:42

Лазил я тут давеча по инету и на одной из своих ссылок наткнулся на вот это:

GWWEB.EXE
Местонахождение:/cgi-bin/GW5/GWWEB.EXE

Уязвимость:
Данный скрипт входит в состав многих веб-серверов Novell Netware, и при
вызове с параметром help позволяет состаться на имя файла. Уязвимости
заключаются в том, что при отсутствии нужного файла скрипт откроет
абсолютнеый путь до каталога с файлами, обслуживаемыми web-сервером, а
так же в том, что в пути к файлу можно указывать ../..,
что привело к возможности чтения файлов.

Использование:

GET /cgi-bin/GW5/GWWEB.EXE?help=blahblah
приведёт к тому, что скрипт в сообщении об ошибке укажет абсолютный
путь, а запрос:

GET /cgi-bin/GW5/GWWEB.EXE?help=../../../file
приведёт к тому, что мы "выползем" за папку, обслуживаемую web-сервером.
Так же большой запрос (GET /cgi-bin/GW5/GWWEB.EXE?...[512 символов]... )
приведёт к переполнению буффера и сервер перестанет отвечать на запросы.


======================
FILES.PL
Местонахождение:/perl/files.pl
Уязвимость:
Этот скрипт идёт как пример с вебсервером Netware 4.11. Этот скрипт
предназначен для просмотра какого-либо некстового файла или директории,
отформатированных в html - формате. Но скрипт не производит проверки входных
данных и позволяет атакующему посмотреть любой файл на диске жертвы.

Использование:
http://victim/perl/files.pl?file=sys:system/autoexec.ncf
http://victim/perl/files.pl?file=sys:etc/ldremote.ncf

позволят вам посмотреть некоторые "чувствительные" файлы на диске
жертвы. После анализа подобных файлов атакующий в принципе может получить
доступ к жертве даже через интернет, если, к примеру, на сервере запущен
модуль XCONSOLE.NLM.

Итак, очередное подтверждение тому, что примеры, по умолчанию идущие с
вебсервером, необходимо стирать как можно скорее ;)

Дело в том, что не все так просто, как кажется!!!
Если files.pl есть не на каждом сервере под Нетварью, то GWWEB на каждом,
имеющем WebAccess...

Я по наивности думал, что все это выдумки и проделки хакеров, но, на
поверку оказалось, что это правда. Пробегая подряд по списку серверов с
NetWare Web Server в Инете, нашел порядка 20 и тех и других.

Список не привожу, т.к. каждый может сам проверить.
Хозяевам "дырявых" сайтов я уже отписал, но это буржуи, хочется,
чтоб свои тоже прикрыты были...

: Забавно, я тоже об этом слышал, но пока не разобрался в проблеме. Дело в
: том, что у меня gwweb.exe так не безобразничает. WebAccess из GW5.5 EE Beta
: 3, сервер Microsoft IIS 4.0, файловая система NTFS NT 4.0 SP 5. При таких
: запросах он просто выдает пустую страницу (совсем пустую), даже если вы
: пытаетесь подсунуть реально существующий файл. Подвесить сервер с помощью
: переполнения буфера, также не получается. Вообщем, проблема меня все еще
: интересует, не понятно каков механизм этой ошибки, следует ли искать
: "уязвимость" в файловой системе (права пользователя guest,
: использование FAT), или дело в самом gwweb.exe, или и то и другое.

: Что касается перл-скриптов, то и ежу понятно, что с ними следует обращаться
: осторожно. Я могу сказать, что при использовании Netscape Entherpise Server в
: конфигурации "Native NDS" для разграничения доступа, открыть можно
: только тот файл, на который у вас есть права чтения. Даже для запуска
: скрипта требуются права в NetWare и аутентификация в NDS.


А вот с каталогом SYS:ETC есть ещё одна неприятность - все ли знают, что
при установленном UXP или полном NFS-е на каталог SYS:ETC даются права
(trustee rights) [RF] контексту, в котором установлен сервер? Убрать или
поменять, скажем, на [F] это назначение невозможно - в три часа ночи (или
четыре? Не помню) оно безусловно реанимируется в те же [RF]. Делает это, если
я правильно помню, модуль netdb.nlm.

Это, кстати, одна из причин, почему я не держу обычных пользователей в
одном контексте с серверами или в контексте ниже по дереву - из-за security
equivalence они получат лишние права на SYS:ETC, которые по определению не
обрезаются маской IRF.

>Что лучше *.HAM или *.DSK ?<
-----------------------------
From: AlexeyS (alexey@geocities.com)		     12 Января, 2000 at 12:03

: Имеется сервер НР LHII, и загружены aic7880.dsk, имеет ли смысл менять на
: *???*.ham, почему? Зачем? :)
: Просто продолжаю париться :) с МО Fujitsu 2513A, которая все никак не
: заработает... В BIOS видна, в списке устройств видна, могу создать том,
: но он не монтируется: много ошибок при тесте, размеры и тип устройства
: видны правильно...

Тот самый случай, когда ХАМ лучше... При использование HAMa (модуля для
хост-адаптера) имеешь возможность работать со свежим CDM-драйвером для
конкретного SCSI-устройства...

>3.12rus и Y2K - А вот кому зайца ? Свежепойманный !<
-----------------------------------------------------
From: Sergey Korolew (ds@balakovo.ru)		     22 Ноября, 1999 at 17:24

Имеется сильно уменьшенный в размерах 3.2 Enhancement pack - полный набор
патчей для 3.12
Убраны - все драйвера; config reader; бесполезная документация.
Добавлено: содержимое патча LIB312D и русский rloader.
Соотвественно исправлена процедура инсталляции.
Плюс имеется краткая инструкция по установке (я ее привел ниже).
Размер всего этого дела - 4978720 байт. Размер исходный - 12823828.

Есть предложение - выложить это хозяйство на доступное место и добавить
ссылку в "технические решения"
По крайней мере до 31.12 это будет актуально :)

=====
Архив содержит все необходимое для установки Netware 3.2 Enhancement Pack
на русскую версию Netware 3.12. Для установки на английскую версию
необходимо файл 32ENH\BOOT\LOADER.EXE заменить на файл 32ENH\BOOT\ENGLISH\
\LOADER.EXE. В противном случае будет получено сообщение об ошибке:
"ERROR: Loader Type Strings do not match!".

Из оригинального 3.2 Enhancement pack было выброшено: совершенно
бесполезная
документация; набор драйверов и программа чтения конфигурации.
Добавлено: содержимое патча LIB312C.EXE. Скрипт установки скорректирован.

ВНИМАНИЕ ! АРХИВ РАСПАКОВЫВАТЬ В КОРЕНЬ ДИСКА, С ПОДДИРЕКТОРИЯМИ ! КРИТИЧНО !

Командная строка архиватора: "pkunzip -d 32lrus.zip \"
Для установки сделать следующее:

1.  load install.nlm
2.  Опции продуктов -> Ins
3.  Указать путь к каталогу 32ENH, например SYS:32ENH. Каталог должен быть
     в корне диска.
4.  После инсталляции перезапустить сервер.

Как проинсталлировать руками:
1.  Содержимое каталога 32ENH\LOGIN скопировать в SYS:LOGIN
2.  Содержимое каталога 32ENH\PUBLIC скопировать в SYS:PUBLIC
3.  Содержимое каталога 32ENH\SYSTEM скопировать в SYS:SYSTEM
4.  Содержимое каталога 32ENH\BOOT скопировать в каталог с SERVER.EXE
     (обычно C:\NWSERVER)
5.  Удалить из STARTUP.NCF (если есть) команды загрузки предыдущих патчей:
     LOAD PM312, PMLOAD, etc
6.  Добавить в начало файла STARTUP.NCF следующие команды:
     LOAD .\CPUCHECK
     LOAD .\START\PM312
     PMLOAD START
7.  Добавить в начало AUTOEXEC.NCF команду LOAD AFTER311
8.  Выйти в DOS и выполнить в каталоге с SERVER.EXE следующую команду:
     LSWAP LOADER.EXE SERVER.EXE.
9.  Перезагрузить сервер, убедиться в отсутствии сообщений об ошибках и
     идти пить пиво.
10. Проглядеть каталоги MISC\CLIENT\* и заменить соответствующие файлы на
     клиентских машинках.


К вопросу о Y2K. Не стоит забывать, что для того чтобы сервер был полностью
Y2K ready, необходимо чтобы этому соответствовало его железо. То есть
имеется смысл обновить (если возможно) прошивку BIOS на более свежую.
Если же такой возможности нет - остается молиться :)

>А закачать можно?

http://dssoft.newmail.ru/32lrus.zip

>Принял. Спасибо. Это апдейт до 3.2?

Да, именно оно, но не полностью. Смотри инструкцию.

>А полная... Она большая? А стоит ли...

Решай сам. Я специально укорачивал для тех кому критичен лишний мег

>BMEE3.5 vs. NW4.11<
--------------------
From: Constantin Oshmyan		  2:5100/27	  Чет 06 Янв 00 10:22

> For more information about this limitation, refer to Novell Support
> Connection Knowledgebase TID 2952108.
>     Что бы это значило?

Читаем этот TID:

======== начало цитаты ========

Issue
You cannot install BMEE 3.5 Eval on a Netware 4.x server, because BMEE 3.5
requires  NICI Foundation Keys (*.NFK) which are not included in the eval
software.

These are available on production BMEE 3.5 license diskettes.
======== кнец цитаты ========

> Hу надо мне его на четверку поставить. Таки что,
> даже нельзя убедиться, что он работает?

А почему его надо ставить именно на четвёpку? Всё pавно ведь - если будешь
покупать, то с ним сpазу идёт пятёpка runtime. Какой смысл на четвёpку-то?

> А на 5.х почему можно?

Видимо, потому что NICI Foundation Keys идут вместе с лицензией на пятёpку,
а отдельно их давать по каким-то пpичинам они не хотят.
А упомянутая "production BMEE 3.5 license diskettes" содеpжит не только
лицензии на Border Manager services, но и также лицензию на NetWare5
runtime - вместе с NICI Foundation Keys.

>Уведомление NW пользователя по пpишествии к нему почты.<
---------------------------------------------------------
From: Олег Горюнов (ipse@bigfoot.com)

Readme.txt
============

1.УСТАНОВКА
Скопировать mailscan.nlm в sys:system, а mailscan.exe и mailscan.hlp
в sys:public.

2.ЗАПУСК
На консоли сервера - load mailscan. Программа создает служебные файлы
accounts.ams и users.ams содержащие информацию о пользователях в каталоге
sys:etc. При необходимости можно задать другой каталог. Для этого надо указать
его в командной строке. Например - load mailscan sys:system.
Клиент - mailscan.exe. Работает на любой WIN32 платформе (Windows 95/98/NT).
При первом запуске надо будет указать IP адрес или DNS имя сервера, а также
его порт. Эти данные сохраняются в реестре Windows и в следующий раз их
задавать не потребуется. Для работы программы необходимо что-бы на машине
был установлен новелловский клиент. Пользователь должен быть зарегистрирован
на сервере где запущен mailscan.

3.НАСТРОЙКИ СЕРВЕРА
После первой загрузки серверной части программы надо зайти в меню SETUP и
установить параметры сервера (хотя можно и не делать этого если все параметры
заданные по умолчанию устраивают).

MESSAGE TEMPLATE - сообщение которое будут получать пользователи. По умолчанию
задана фраза "У вас есть %d сообщ. на сервере %s.". Если надо что-бы сообщение
было на русском то необходимо набирать его в CP 866. Это можно сделать с
помощью rconsole или с самого сервера если он русифицирован. В любом месте
и любое количество раз можно вставлять %d (будет заменяться на кол-во сообщений)
и %s (будет заменяться на имя учетной записи). Длина сообщения может быть
до 200 символов.

ALLOWED GROUP - доступ к серверу может получить пользователь который входит
в группу заданную здесь (хотя можно и добавлять пользователей по одному через
меню MANAGE USERS).

MAXIMUM ACCOUNTS ALLOWED - количество учетных записей которые может задать
один пользователь. Надо иметь в виду что если это число уменьшить, то велика
вероятность того что часть учетных записей ранее заданных пользователями станет
им недоступна для изменения и удаления. Поэтому администратору самому придется
о них заботиться.

SERVER IP ADDRESS - по умолчанию 0 - означает что сервер будет обслуживать
запросы клиентов со всех IP сетей на нем установленных. Что-бы ограничить
конкретной сетью - надо задать IP адрес сервера в этой сети (имеет смысл если
сервер например смотрит наружу).
После изменения этого параметра надо перегрузить программу.

SERVER PORT - порт сервера. По умолчанию 2000.
После изменения этого параметра надо перегрузить программу.

LOG FILE SIZE - размер лог-файла в KB. Если 0 - лог-файл отключен.

LOG FILE - каталог и имя лог-файла. Если пусто или неправильно задан -
лог-файл отключен.

LOG SCREEN - лог в отдельном screen для ленивых :). Один раз было замечено
падение сервера когда этот параметр был включен, хотя теоретически проблем
быть не должно.

4. УПРАВЛЕНИЕ ПОЛЬЗОВАТЕЛЯМИ.
Через меню MANAGE USERS можно:
- добавлять пользователей которым разрешен доступ к mailscan серверу.
- добавлять, изменять, удалять учетные записи пользователей.

5. ЗАМЕЧАНИЯ
Пароли указываемые пользователями при создании учетных записей хранятся в
файле accounts.ams в "зашифрованном" виде. Однако не стоит помещать этот
файл в общедоступный каталог, т.к. алгоритм шифрования абсолютно примитивный.

При проверке почты по протоколу POP3 сервер сначала пытается выполнить
аутентификацию пользователя с помощью MD5 шифрования. Если это не удается
пароль передается в незашифрованном виде. По IMAP4 аутентификация производится
всегда без шифрования пароля.

Если имя пользователя который уже имеет учетные записи в mailscan будет
изменено (например с помощью NWADMIN), то mailscan этого не узнает.
Следовательно придется этому пользователю в mailscan заводить новые
учетные записи, а администратору удалять старого пользователя. Это связано
с тем что в bindery каждый пользователь имел уникальный ID. В NDS мне такого
ID найти не удалось, а разрешать вручную менять имена пользователей не
хотелось во избежание ошибок. Если кто-нибудь может посоветовать что можно
использовать в качестве ID - буду рад.

Замечания и пожелания по работе программы приветствуются.
Пишите: mailscan@ipse.8m.com


>Help!!!! Compression включился!<
----------------------------------
From: "Nikolay V. Norin" <norin@altern.org> 2:5020/400    Чет 13 Янв 00 23:09
From: Pavel Erschov			  2:5034/1	  Пят 14 Янв 00 22:41

>>  OK> При установке компресия была отключена (при инсталяции)
>>  OK> Hо сейчас почемуто она включена и никакие set в autoexec.ncf
>>  OK> не помогают. Почему она включилась ?
>>  OK> Как отключить компресию???

>>
>> Пересоздать том (данные будут уничтожены).

NVN> Кстати, на новелловских форумах проскочило и было подтверждено там же
NVN> сообщение о том, что vrepair на томе молча включает компрессию.


TID 10020327 (13JAN2000)

Fact
Novell NetWare 5.0

Traditional File System

Symptom
Volume created without compression during initial install now has
compression enabled.

Cause
Once a vrepair is run on traditional volume the compression attribute
gets turned on thus enabling
compression on the volume.  This is a bug in VREPAIR.NLM dated
September 4, 1998.

Fix:
A newer VREPAIR.NLM dated September 2, 1999 is available and fixes the
issue.	This patch should be in NW5SP4.EXE.
If compression is enabled on a volume, the only way to disable it is
to recreate the volume and restore data from backup.

(From FAQ Creator:  Смысл таков, что после пpохода Vreapir'ом на NW 5 на
		    томе включается компpессия, это наблюдается на Vrepair'e
		    от 4 сент. 98 года, сpочно надо искать vrepair от
		    2 сент. 99 года, или поставить NW5SP4.EXE в ктоpом он,
		    очевидно есть. )

>Nw на Raid'е pазмониpовывает тома<
-----------------------------------
From: Mike Ipatow			  2:5080/12	  Пят 14 Янв 00 13:38

AL> Пpи попытке всунуть втоpой диск (Quantum FB, 2Gb, модель навскидку не
AL> помню) оно некотоpое вpемя (от ~5 до 30 минут) pаботает, потом с
AL> дикими воплями о том, что устpойство не отвечает pесетит SCSI шину,
AL> убеждается что пеpестал отвечать и пеpвый диск, после чего
AL> благополучно pазмонтиpует все тома. Ваpианты с железом, будем
AL> считать, отметаются (теpминатоp стоит там где надо, номеpа SCSI
AL> устpойств пpописаны, AHA 1740 сконфигуpиpован) - есть подозpение что
AL> все это пpогpамное. Более того, подозpеваю что все может быть
AL> устpанено ключами aha1740 max_tags max_nontags...

У меня подобное лечилось ключиком tag_disable=ff - возможно, чересчур
радикально, но два сервера стояли в такой позе годами притом, что в отсутствие
этого ключа диски деактивировались в считанные минуты с момента загрузки. Давно
это было и адаптеки были какие-то из 154?, но вот тебе мои две копейки.

VG> А что означает этот ключ ?

Хмм.. Запрет на цепочечные операции.. Как эти цепочки устроены - я точно и не
знал никогда... Если правильно помню, как работает SCSI-шина, речь о
синхронизации команд с данными (типа две команды на чтение паровозиком, а не
вторую только после того, как данные по первой уже переехали с места на место).
Должно несколько негативно влиять на производительность - что как будто неважно
постольку, поскольку винты шустрее, чем сеть.

>Client32 v4.7 for NT с ArcserveIT 6.6<
---------------------------------------
From: Сергей Дубров (Dubrov@inp.nsk.su) 	     15 Января, 2000 at 12:18
From: Vitaly Gorohov (GSLab@email.com)		     Fri  25-02-00 15:50:12

Ну вот, попробовал я новую версию Client32 v4.70 под NT 4.0. Проверял на
двух машинах с практически одинаковой конфигурацией, но на одной установлена
английская версия NTWS 4.0, на другой - русская. И там и там - Service Pack 5.

Наткнулся на один очень конкретный глюк, а именно с ArcserveIT 6.6 - если
запустить Device Manager (неважно - отдельным процессом или из-под ArcserveIT
Manager), то Arceserve manager зависает, причём не сразу, а секунд 5-10 после
запуска Device Manager-а. Убивать зависшие задачи (обе) приходится через Task
Manager. Повторяемость - стопроцентная. В результате я откатился обратно на
v4.6 + SP2 - с ней таких проблем нет (и не было, я бы давно заметил).

Вот такие вот "радостные" известия - понапихали в этого Клиента
4.7 огромную прорву различных настроек, всякие там Single Sign-on, а вот
работу с одним из самых распространённых бэкапных пакетов оттестировать
забыли(?). Я, конечно понимаю, что продукт от CAI - тоже не подарок, тем
более, что он ещё и 16-ти разрядный (sic!), но ведь не самая малоизвестная
программа-то, неужели трудно было потестировать потщательнее.

> Была пpоблема, она как-то pазpешена ? А то в FAQ'е она висит неpешенной.
> Пожалуйста, если не затpуднит, опишите, в чем было дело.

А так ничего и не решилось. В новеловском форуме буржуи на эту тему
посетовали, мол, плохая это программа - ArcserveIT - и предложили
админить его из-под 95-го, там, дескать, все в порядке. А вот с NT у
многих проблемы действительно есть, и именно с клиентом 4.7.
Так что, пока нет выхода.

Страница 1 2 3 4 5 6 7 8 9 10 | Предыдущая | Следующая

Украинская Баннерная Сеть

Главная  Алфавитный индекс  Справка  Добавить FAQ  E-mail
Новости  Поиск по сайту

© УкрFAQ 2009
Сайт создан в системе uCoz