ubuntu nfs server 小記

哎呀，最近某老骨頭server葛屁了，還好資料都在，那就來重裝一下吧！

裝好後要起nfs server，就照網路上的裝好啦！老骨頭nfs client也可以mount，但................
好慢啊！阿婆走路都比你快啊！終於log丟出error了：No locks available，趁勢google一下找到解決方法。

sudo systemctl enable rpc-statd  # Enable statd on boot
sudo systemctl start rpc-statd   # Start statd for the current session

sqlite group_concat

記錄一下group_concat.

sqlite> select group_concat(printf('%s@cloud.xxx.edu.tw',name),';') as userList from tel;
userList
--------------------------------------------------------------------
user1@cloud.xxx.edu.tw;user2@cloud.xxx.edu.tw;user3@cloud.xxx.edu.tw

ubuntu join ad

嗯，最近心中浮現一個想法，就是你儂我儂世界大同！何不將LINUX加到AD裡玩玩？

      OS：ubuntu 18.04

1. 1. apt-get -y install realmd sssd sssd-tools samba-common krb5-user packagekit samba-common-bin samba-libs adcli ntp 

  

2. 2. realm join -U Administrator cloud.xxx.edu.tw -V ，有看到成功加入就OK。

  

3. 3. realm list for test，看有沒有咚咚跑出來。

4. 4. realm permit --all，可能需要的一個指令，Not so sure.

  

5. 5. /etc/sssd/sssd.conf file automatically produced from the realm join: 

  

6. If a pam_acct_mgmt error is observed, edit /etc/pam.d/common-account by commenting out this line: 

#account [default=bad success=ok user_unknown=ignore] pam_sss.so 

Note. It’s important if  dovecot server is running.  若dovecot認證失敗，把debug開起來，如果看到pam_acct_mgmt() permission deny之類錯誤，就是這個啦！

  

7. 6. Login to server to test using the username@domain.example format.  If you wish to have your users login with username, instead of username@domain  you can adjust this line in the sssd.conf like so: 

use_fully_qualified_names = False 

             Then restart the sssd service. 

fortigate pppoe

如何啟動pppoe？只能用CLI去啟動


1. config vdom
2. edit VDOM
3. config system interface
4. edit Port1
5. set mode pppoe

好了，收工，登入GUI，看一下Port 1有沒有PPPoE的選項出現。

slow ssh login, ubuntu 18.04

甚麼鬼？

登入ssh居然要等~等~等~....


改

/etc/pam.d/common-session
/etc/pam.d/runuser-l
/etc/pam.d/systemd-user
刪(註解掉)

#session    optional    pam_systemd.so

收工

mac os logon to wiondows ad doamin

最近自己發神經來搞mac os 來 join windows ad domain這檔事....

先說啦，這篇與mac有關的沒圖，因為怎麼從mac 抓圖還不會，對，我是mac 白癡不行嗎？

1. mac join ad

齒輪 -> user account -> 登入選項 -> 加入網域 -> 該打的帳密打一打  -> 亮綠燈顯示已加入完畢 -> 點選編輯 -> 打開目錄工具程式 -> 選擇 Active Directory -> 點開顯示選項 -> 把【將本機個人專屬目錄強制於啟動碟上】取消，關門放狗！喔！不！是存檔上鎖啦！

登入時建立移動帳號，別打勾唷！勾了會當機...唬你的！但確實別勾。

2. mac 登出後，用ad user看看能不能登入

3. 運氣好就登入啦，運氣不好，就丟離職單，找JOBS啦！

4. 運氣真的不好的話，到AD編輯使用者，看一下這裡的設定，主資料夾有沒有給。

5. 最後user 登入 mac 後，開個終端機，df看一下，有沒有掛上，有的話，開個資料夾在桌面上，名稱記得必須為WTF_MAC，不然這個實驗會失效！！！！！！！很重要！

6. 你照步驟五，就代表你心智還不太成熟，社會老練度不太夠，易受騙！

7. 找另外一臺已經加入doamin的mac，用剛剛的user logon，看看WTF_MAC目錄在不在桌面上，有的話，好像roaming也搞定了，對吧！

祝你設定出包不斷一切順利！

Windows DNS TTL for individual record

見鬼了！

最近要設定Windows Server DNS，要設定個TXT Record，TTL為1秒，我的媽媽的，竟然沒地方設定？

還好google了一下，竟然好像不是太多人有這樣的問題，還是我關鍵字下得太爛？

最後終於找到啦！

然後針對同一個record再看內容

還真是浪費我的時間啊！

Fortigate SSLVPN Authentication with Windows AD NPS

今天要來介紹的是Fortigate的SSLVPN怎麼勾搭上NPS伺服器。

首先先看看Fortigate是如何的詭異：

用一個不存在的user f，跟白爛隨便打的密碼。

居然可以驗證成功？？

還是command mode比較可靠。

所以GUI上的測試，大概就是簡單的連線測試(都說是 Test Connectivity了，對吧！)，也可能是我FORTIGATE OS版本的關係吧！反正記得到Command確認一下比較靠譜啊！

再來看看NPS的部分，如果設好NPS後，發現FortiClient怎麼見鬼的連不上，中文版的網路教學大概就是教你到AD上，把使用者的「撥入」設定為「允許存取」，如下圖：

不知怎麼的，我試一開始不行，後來不知怎麼的居然可以了，就當作可以吧！

另一個方法是設定NPS。

1. 新增連線原則 (這是根據既有設定，跟設定精靈的不一樣)

2. 設定網路原則 (這是根據既有設定，跟設定精靈的不一樣)

再來就用FortiClient連連看囉！

RDP Wrapper on win10

windows rdp 有個蛋疼的點，就是大部分的狀況都是只能有一個連線啦！

這個登入了，那個就被踢掉，很囧對吧！

RDP WRAPPER可以解決這個問題。

1. 去RDP WRAPPER載新版。
2. https://github.com/stascorp/rdpwrap/issues/795 到這裡載修正設定的程式，因為微軟會更新OS，所以有時會出包不能用。

基本步驟如下

(uninstall) -> install -> rdpwrap_ini_updater

以上都要用administrator。

OK後跑一下RDPConf.exe，若出現fully supported就可以啦！

user a login ok.
user b login ok.

收工。

vmware converter 加速

之前要幫隔壁的把某些機器P2V上vmware vsphere....

啊，簡單，用converter來，一下就好了！

嘿啊！那就來吧！沒想到，一跑發現速度真是龜啊！

1.xMB，要跑個一天多，媽媽我的天，是哪根筋不對？

上網跪求谷哥大神....終於發現解決發法...

1. 到%ALLUSERSPROFILE%\VMware\VMware vCenter Converter Standalone

2. 找到converter-worker.xml

3. 改內容存檔，重新啟動service或重開機，內容如下：

<nfc> 

          <readTimeoutMs>120000</readTimeoutMs>

          <useSsl>false</useSsl>

把useSsl為True改為False。

再測試就上天堂啦！

Moodle 2.6 LDAP Login 報錯 user_create_user()

環境：Moodle 2.6

認證：Windows AD


主要的錯誤：AD User login，USER帳戶是中文，比方說王小魚之類，會出現 無效的字元 的錯誤。 blah...blah...blah...


為什是中文就別問了！


開啟debug mode會看到以下錯誤，這是擷取部分而已，重點在user_create_user

* line 48 of /user/lib.php: moodle_exception thrown

* line 949 of /auth/ldap/auth.php: call to user_create_user()


進到管理介面，看一下LDAP設定，就是下圖的這個欄位，CN，調整過的AD的CN是中文名字，唉唷，早說嘛，那就用中文給他LOGIN一下有這麼難嗎？

哎呀！露餡了，誰叫你白癡要去動AD呢？？


反正現在一登入就出現標題的報錯囉！那麼怎麼辦呢？今天周五，下周請再來看，喂！！！！！！！！！


好啦！


解決方法：


看起來moodle在user_create_user()有做某些過濾或檢查，好吧！問問Google大神，彷彿給了一個可能的解法，把moodle安裝目錄下面的 user/lib.php給這麼一下：



找到 throw new moodle_exception('invalidusername');  把它註解掉。


Moodle就毀了！！！！！！！！！！！


沒啦！就可以用中文名字登入了！



請參考：https://moodle.org/mod/forum/discuss.php?d=244011

windows 10 ad user RDP (Remote Desktop)

嗯，今天要解決的問題是如何讓AD User用RDP登入某個已經加入AD的Win10電腦。

還不簡單....

1. Win10 加入 AD
2. User login

不就收工？

代誌若有這麼簡單，那怎麼會叫搞死你的微軟呢？

Google了半天，解答在GPO裡面。

GPO - 電腦設定 - 修改 Default Domain Policy (或是你Apply的其他GPO) - 安全性設定 - 受限群組 - 加入「Remote Desktop Users」，確認裡面的Group成員是對的。

然後 gpupdate /force一下，Win10如果不鳥你，還是報錯，也把他重開一下，應該就可以了！

dsadd 新增 ad user 與 memberof 參數

dsadd，其實這蠻簡單的...

dsadd user CN=劉大媽, OU=UserPool, OU=BigUserPool, DC=cloud ,DC=xxx, DC=edu, DC=tw -desc 劉大媽 -fn 大媽 -ln 劉 -email Bigmama@cloud.xxx.edu.tw -upn Bigmama@cloud.xxx.edu.tw -samid Bigmama -pwd iamyourmother -canchpwd yes -pwdneverexpires yes -memberof CN=Group, CN=Users,DC=cloud, DC=xxx, DC=edu, DC=tw

本篇的重點在於memberof參數

先看看指令說明 dsadd user /?

-memberof <Group ...>   讓使用者成為一個或多個群組 <Group ...> 的成員。

答案已經出來了，要Group成員啊！而Group就是Group，OU就是OU，搞混了，就GG了。

GG是不會怎樣，就是會報錯，但User還是可以Created喔！你看，多白癡可愛的微軟！

紀錄一下。