http://download.macromedia.com/pub/flashplayer/current/install_flash_player_ax_64bit.exe
http://download.macromedia.com/pub/flashplayer/current/install_flash_player_64bit.exe
http://download.macromedia.com/pub/flashplayer/current/install_flash_player_ax_32bit.exe
http://download.macromedia.com/pub/flashplayer/current/install_flash_player_32bit.exe

Oder man nimmt diese Seite: http://www.adobe.com/products/flashplayer/distribution3.html

Und auch einen aktuellen Link für den Reader gibt es hier:

ftp://ftp.adobe.com/pub/adobe/reader/win/10.x/10.1.2/de_DE/AdbeRdr1012_de_DE.exe

Um unsere MP3-Datei in die Anlage zu bekommen, machen wir also erstmal mit Audacity eine WAV-Datei draus, dann dem KDA Manager vorwerfen, und schon sind wir fertig. Schön wär’s!

Egal welches WAV-Exportformat man in Audacity wählt – der KDA Manager beschwert sich: er akzeptiere nur “CCITT, A-Law, 8000 Hz, 8 Bit, mono” oder “PCM, linear, 8000 Hz, 16 Bit, mono”. Auch wenn die Exportformate in Audacity so ähnlich heißen und man die Samplerate usw. wie gewünscht eingestellt hat, kommt man nicht zum Erfolg.

Dank dieses Postings bin ich aber auf einen gangbaren Weg gestoßen. Man benötigt zusätzlich zu Audacity und dem KDA Manager noch SoX.

1. MP3-Datei in Audacity laden
2. Datei zurechtschneiden – das Endergebnis darf maximal 250 kb groß sein, viel mehr als 35 Sekunden sind wohl nicht möglich
3. Die Spuren zu einer Monospur zusammenfassen
4. Die Samplefrequenz der Spur auf 8000 herabsetzen
5. Datei exportieren als *.wav mit den Einstellungen Header = “WAV (Microsoft)” und Codec = “A-Law”
6. Auf der Kommandozeile: “sox datei.wav -A datei2.wav”. Damit ist die Datei in einem Format, das der KDA Manager versteht
7. KDA Manager mit Admin-Rechten starten, datei2.wav auswählen, konvertieren, in die Anlage spielen, aktivieren, fertig!

1. Erstmal die unbeschränkten Java Cryptography Extension Policy Files herunterladen.
2. jce_policy.zip nach /usr/lib/jvm/java-6-sun/jre/lib/security entpacken, vorhandene Files ersetzen. Das muss auch nach jedem JRE-Update erneut gemacht werden!
3. Neuen Keystore mit einem privaten Schlüssel erzeugen, Keystore-Passwort merken:

   keytool -genkey -alias tomcat -keysize 2048 -keyalg RSA \
           -keystore /usr/share/tomcat6/.keystore

   Wichtig: Der Alias muss “tomcat” lauten, damit Tomcat das Zertifkat auch findet! Und: Bei der ersten Frage nach Vor- und Nachnamen muss der Servername in der Form www.example.com eingetragen werden!

4. Certificate Signing Request (CSR) erzeugen:

   keytool -certreq -alias tomcat -file tomcat.csr -keyalg RSA \
           -keystore /usr/share/tomcat6/.keystore

5. CSR-Datei bei der CA des Vertrauens einreichen, Zertifikat in Form einer CRT-Datei zurückerhalten. Ich nehme eigentlich immer www.rapidssl.com – zum Glück merkt man noch nicht, dass sie von Symantec aufgekauft wurden
6. Zertifikat importieren:

   keytool -import -alias tomcat -file tomcat.crt -trustcacerts \
           -keystore /usr/share/tomcat6/.keystore

7. Überprüfen, ob alles richtig drin ist:

   keytool -list -v \
           -keystore /usr/share/tomcat6/.keystore

8. In der Tomcat-Konfiguration den Eintrag für den SSL-Connector aktivieren und das gewählte Keystore-Passwort als weiteres Attribut einfügen:

   <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
    maxThreads="150" scheme="https" secure="true"
    clientAuth="false" sslProtocol="TLS" keystorePass="mypassword" />

Nachtrag: Ein automatischer Redirect von HTTP zu HTTPS funktioniert mit Bordmitteln, jedoch etwas anders als vielleicht erwartet:

• In die web.xml muss ein Eintrag innerhalb von <web-app> eingefügt werden, z.B. nach der Sektion <servlet-mapping>:

  <security-constraint>
      <web-resource-collection>
          <web-resource-name>Entire Application</web-resource-name>
          <url-pattern>/*</url-pattern>
      </web-resource-collection>
      <user-data-constraint>
          <transport-guarantee>CONFIDENTIAL</transport-guarantee>
      </user-data-constraint>
  </security-constraint>
  

• Der Redirect wird dann an den Port gemacht, der in der server.xml im HTTP-Connector als “redirectPort” angegeben ist. Steht dort “8443″, wird der Browser an “http://www.example.com:8443” weitergeleitet, was natürlich unschön aussieht. Hier hilft eine Firwall-Regel auf dem Server, die 443 an 8443 weiterleitet. Dann muss natürlich der Wert in der server.xml auch auf 443 geändert werden.

ftp://ftp.adobe.com/pub/adobe/reader/win/9.x/

http://fpdownload.adobe.com/get/flashplayer/current/install_flash_player.exe
(Mozilla usw.)

http://fpdownload.adobe.com/get/flashplayer/current/install_flash_player_ax.exe
(IE)

Das Acer Aspire 3000 eines Bekannten funktionierte auch nach mehrfacher Neueinrichtung von den Recovery-CDs nur mit USB-Maus und -Tastatur. Außerdem beschäftigte der System-Prozess die CPU dauerhaft mit ca. 50%, und die anderen Tasten (WLAN-Schalter, Power-Switch) funktionierten ebenfalls nicht.

Also mal eine andere XP-CD genommen und frisch installiert. Alles lief wunderbar, also die Acer-CDs verflucht und das c’t Offline-Update angeschmissen. Rödel, rödel, rödel… Und nach einem der diversen Neustarts: das gleiche Phänomen! Kaum zu fassen!

Nun gut – vor weiteren Versuchen mit Systemwiederherstellungspunkten (welches der zig Updates mag schuldig sein?) und neuen Chipsatztreibern nochmal einen Blick in die Suchmaschine werfen. Vielleicht finden die Jungs von Goggel ja in der Bibliothek was…

Und siehe da: die erste Fundstelle zum Suchbegriff “aspire 3000 keyboard xp” brachte diese Seite zum Vorschein. Zitat:

I can see the processor working at 90% when the battery is connected. The solution is, of course, to detach the battery, or better to disable the Battery ACPI control. Bad Acer electronics!

Nachfolgend gibt es Seitenweise Dankesbekundungen. Konnte es so einfach sein? Also Akku raus – und schwupps ging der Lüfter auf Normalbetrieb zurück und alles beruhigte sich! UNGLAUBLICH!

Dann im Gerätemanager die “Microsoft ACPI-konforme Kontrollmethodenbatterie” deaktiviert, Akku wieder rein, Verhalten bleibt normal.

Nun weiß Windows zwar nichts mehr von dem Akku, aber was soll’s. Die Mühle läuft wieder und der Erfahrungsschatz ist um eine Anekdote reicher

Sinn und Zweck der Aktion ist es, mit einem Samba-Server einer Windows-Domain beizutreten. Die Benutzer können dann ohne erneute Anmeldung für sie freigegebene Verzeichnisse nutzen und sich auch per SSH anmelden.

Umgebung: Ubuntu Hardy und eine Windows Server 2003-Domain namens “NAME.LOCAL” mit einem Domain Controller “server.name.local” an der Adresse 192.168.0.1.

1. Benötigte Pakete
   • samba
   • winbind
   • krb5-user
   • libpam-krb5
   • krb5-config
   • libkadm55
2. Wichtige Einstellungen der /etc/samba/smb.conf

   workgroup = NAME
   realm = NAME.LOCAL
   wins server = 192.168.0.1
   password server = 192.168.0.1
   client use spnego = yes
   client ntlmv2 auth = yes
   security = ADS
   encrypt passwords = true
   idmap backend = rid:NAME.LOCAL=70000-1000000
   idmap uid = 70000-1000000
   idmap gid = 70000-1000000
   template shell = /bin/bash
   template homedir = /home/%D/%U
   winbind use default domain = yes
   winbind enum groups = yes
   winbind enum users = yes

3. Eine Beispiel-Freigabe mit Berechtigung für eine Windows-Gruppe

   [webroot]
   comment = Verzeichnis des Webservers
   path = /var/www
   browseable = yes
   read only = no
   create mask = 0664
   directory mask = 0775
   valid users = @NAME\Webentwickler

4. /etc/nsswitch.conf

   passwd:   compat winbind
   group:    compat winbind

5. /etc/pam.d/common-password

   password   requisite  pam_unix.so nullok obscure md5
   password   optional   pam_smbpass.so nullok use_authtok
                         use_first_pass missingok

6. /etc/pam.d/common-account

   account sufficient      pam_winbind.so
   account required        pam_unix.so

7. /etc/pam.d/common-session

   session required pam_unix.so
   session required pam_mkhomedir.so umask=0022 skel=/etc/skel
   session optional pam_foreground.so

8. /etc/pam.d/common-auth

   auth required   pam_group.so use_first_pass
   auth sufficient pam_winbind.so
   auth sufficient pam_unix.so nullok_secure use_first_pass
   auth required   pam_deny.so

9. /etc/pam.d/sudo

   #%PAM-1.0
   auth sufficient pam_winbind.so
   auth sufficient pam_unix.so use_first_pass
   auth required   pam_deny.so
   @include common-account

10. /etc/krb5.conf

    [libdefaults]
      default_realm = NAME.LOCAL
      NAME.LOCAL = {
        kdc = server.name.local
        admin_server = server.name.local
      }
    
    [domain_realm]
      .name.local = NAME.LOCAL

Ob die Kerberos-Verbindung zum Windows-Server klappt, kann dann mit dem Kommando “kinit Administrator@NAME.LOCAL” und einem nachfolgenden “klist” überprüft werden.

Nach dem Neustart der Samba- und Winbind-Dienste muss der Server dann noch in die Domain eingefügt werden. Das geht über das Kommando “net rpc join -S server -U Administrator”. Ob die Windows-Benutzerdatenbank richtig angezapft wird, lässt sich mit “wbinfo -u” und “wbinfo -g” überprüfen.

Nachtrag:

• Das Dateisystem, das die Freigaben beinhaltet, muss mit acl- und user_xattr-Unterstützung eingebunden sein, damit NT-Dateiberechtigungen auch richtig abgebildet werden können. Also in der /etc/fstab “defaults,acl,user_xattr” in die vor-vorletzte Spalte
• Eine Freigabendefinition sieht mit ACL-Unterstützung so aus, ob das optimal ist muss sich noch zeigen:

  [share]
  path = /srv/share
  browseable = yes
  read only = no
  valid users = @NAME\domänen-benutzer
  admin users = @NAME\domänen-admins
  nt acl support = yes
  acl group control = yes
  inherit permissions = yes
  map acl inherit = yes

Problemstellung: Ein Mailuser soll sein Passwort im Webmail ändern können.

Schwierigkeiten:

• Es gibt noch kein richtiges Plugin-System für RoundCube, da es noch lange nicht so etabliert wie z.B. SquirrelMail ist
• ispCP hat seit dem RC7 symmetrisch verschlüsselte Passwörter in der Datenbank gespeichert
• Als IMAP/POP3-Daemon kommt Courier zum Einsatz, der die Passwörter aber nicht aus der Datenbank holt, sondern für den der ispCP-Daemon eine Datei exportiert. Diese Datei muss also bei einer Passwortänderung ebenfalls aktualisiert werden

Es gibt zwei Lösungsansätze, die ich erfolgreich kombinieren konnte:

• Ein Patch für RoundCube zum Ändern von MySQL-basierten Passwörtern. Er bildet das Grundgerüst und musste nur geringfügig um die ispCP-Spezialitäten erweitert werden.
• Eine Anleitung, um eine etwas simplere Passwortänderungsmethode in RoundCube einzubauen. Mir gefällt aber der Lösungsansatz mit der neuen Registerkarte, wie im obigen Patch gemacht, deutlich besser.

Der Trick besteht lediglich darin, die passenden Dateien aus dem ispCP include-Verzeichnis zu importieren, um die Funktionen encrypt_db_password() (Verschlüsselt ein Passwort mit dem für die Installation gültigen Key) und send_request() (benachrichtigt den ispCP-Daemon, damit er die Datei für Courier aktualisiert) ausführen zu können.

Der interessierte Leser kann alles in dem kompletten Patch nachlesen.

• Warum unterstützt die aktuelle Version 8.10 (Intrepid Ibex) mit der Server-Installations-CD kein Intel SATA-RAID (ICH10R)? Kann doch nicht sein, dass man dafür extra die Alternate-CD herunterladen muss!
• Warum fragt diese Alternate-CD in der Standardeinstellung nicht nach der gewünschten Software, sondern installiert ein komplettes Desktop-System?
• Warum kann man Intrepid nicht als Xen-Dom0 einrichten? Tatsächlich mal ein Fall für Debian 5.0! Lenny bekommt das ganz hervorragend hin!

Demnächst evtl. mehr zu einer Cluster-Installation mit Debian Lenny, DRBD 8.3, LVM, Xen und Heartbeat. Die ersten Tests (inkl. Live-Migration!) waren sehr vielversprechend.