Hallo,

ich bin gerade dabei SWAT auf meinem Linux-Server zu intallieren und möchte dies gerne über eine sichere SSL Verbindung machen. Hierzu habe ich folgenden Link gefunden:

http://gertranssmb3.berlios.de/output/SWAT.html#id2997130

Ich habe die Schritte im Abschnitt "Absichern von SWAT mit SSL" genau befolgt. Zuerst habe ich OpenSSL installiert und danach stunnel. Dann habe ich zuerst den ersten Befehl eigegeben, welcher auch einwandfrei funktionierte. Beim zweiten Befehl kommt dann aber diese Fehlermeldung:
root:~ # stunnel -p /etc/stunnel/stunnel.pem -d 901 \
> -l /usr/sbin/swat swat
2003.08.04 09:28:31 LOG3[6113:16384]: -p: No such file or directory

Die Datei stunnel.pem ist aber an angegebener Stelle und die Datei swat genauso.

Was mach ich falsch?

Gruss odi

Der kennt die option -p nicht.. für ihn ist das ein File.. Wenn schon muss es

stunnel /etc/stunnel/stunnel.pem -l -d 901 /usr/sbin/swat swat

Aber dann scheitert der Start von Swat weil sich die xinetd auf die fresse packt.. bin noch am werkeln..

mus so gemacht werden.. Funzt bei mir

mkdir /etc/stunnel
chmod go-rwx /etc/stunnel/
openssl req -new -x509 -days 365 -nodes -out /etc/stunnel/swat.pem -keyout /etc/stunnel/swat.pem
chmod o-r /etc/stunnel/swat.pem
echo "swat : 10.0.0.0" >> /etc/hosts.allow

Eine Datei erstellen namens swat.conf. Dessen Inhalt:

cert = /etc/stunnel/swat.pem
pid = /var/run/stunnel.swat
service = swat

[swat]
accept = 901
exec = /usr/sbin/swat
execargs = swat
TIMEOUTclose = 0


Und zum Starten folgendes eingeben

# /usr/sbin/stunnel /etc/stunnel/swat.conf

PS: den swat aus der xinet.d oder inet.d rausnehmen, da sich sonst das stunnel auf die nase packt.. kannst ja mal die log sehen wenn du
tail -f /var/log/messages

Soweit hat jetzt eigentlich alles funktioniert bzw. zumindest sind jetzt die ganzen Befehle ohne Fehler durchgelaufen. Ich hab dann versucht von einem PC aus dem Netzwerk den SWAT zu kontakten (https://ServerName:901) aber leider vergeblich.



Eine Datei erstellen namens swat.conf. Dessen Inhalt:

cert = /etc/stunnel/swat.pem
pid = /var/run/stunnel.swat
service = swat

[swat]
accept = 901
exec = /usr/sbin/swat
execargs = swat
TIMEOUTclose = 0

Könnte das vielleicht daran liegen, das die Datei die bei pid angegeben ist nicht existiert?




PS: den swat aus der xinet.d oder inet.d rausnehmen, da sich sonst das stunnel auf die nase packt..

Weder in meiner inet.d noch in meiner xinetd.d (xinet.d gibts gar nicht) ist eine swat Datei vorhanden. Ist mein SWAT vielleicht gar nicht richtig installiert?

Swat hat man, wenn man samba installiert. Nimm dir putty.. mach ein ssh connect zum server und der per tail -f /var/log/messages die logs während des zugriff lesen.. Ist nähmlich die frage was darin steht.. Der hat nähmlich zwar die befehle ohne Probleme akzeptiert, aber wenn man sich die Systemlogs mit dem tail befehl realtime angesehen hat, sieht man, dass er doch noch probleme hat.. Kannst diese mal posten..

Hallo,

kann es sein, das SWAT überhaupt nicht läuft? Nachdem das angegebene PID-File nicht da ist, ist das doch wahrscheinlich!

Mach mal auf der Konsole einen ps -ef | grep swat

...Kannst diese mal posten.

Wenn ich mit Putty auf meinem Server mit dem SERVERNAMEN und dem Port 901 zugreifen will, bekomme ich von Putty die Fehlermeldung: Unable to open connection to SERVERNAME. Host does not exist.
Wenn ich es mit der TCP/IP und dem Port 901 versuche, bekomme ich die Fehlermeldung: Network error: Connection refused. (Das gleiche passiert übrigens auch im Browser nur in deutsch bei diesen beiden Fällen!)


per tail -f /var/log/messages

In diesen Fällen reagiert tail überhaupt nicht.

Wenn ich es mit dem SERVERNAMEN oder der TCP/IP und dem Port 22 versuche, bekomme ich von Putty eine Loginzeile und kann mich als root einloggen. Hier gibt tail diese Zeile aus:

Accepted keyboard-interactive/pam for root from::ffff:meineTCP/IP port 2273 ssh2



Mach mal auf der Konsole einen ps -ef | grep swat

Hier bekomme ich die Ausgabe:

root 2251 2088 0 15:50 pts/2 00:00:00 grep swat

Wenn ich mit Putty auf meinem Server mit dem SERVERNAMEN und dem Port 901 zugreifen will, bekomme ich von Putty die Fehlermeldung: Unable to open connection to SERVERNAME.

Du sollst mit Putty eine SSH-Verbindung aufbauen. Die läuft nicht über Port 901 sondern über Port 22. Außerdem scheint die Namensauflösung nicht zu funktionieren.


Wenn ich es mit dem SERVERNAMEN oder der TCP/IP und dem Port 22 versuche, bekomme ich von Putty eine Loginzeile und kann mich als root einloggen. Hier gibt tail diese Zeile aus:...

Versuch mal ein tail -F anstatt ein tail -f. Normalerweise sollte er dann die letzten 10 Zeilen der angegebenen Datei (/var/log/messages) anzeigen und anschließend neue Meldungen zeitnah ausgeben (Option -F steht für Follow)


Mach mal auf der Konsole einen ps -ef | grep swat
Hier bekomme ich die Ausgabe:

root 2251 2088 0 15:50 pts/2 00:00:00 grep swat
Das zeigt doch, dass Swat überhaupt nicht läuft.

Also wenn Putty sowieso nicht über Port 901 läuft, dann scheint das ja wenigstens in Ordnung zu sein! Und meine Namensauflösung sollte dann ja auch funktionieren, da diese über Port 22 wunderbar geht.

Was sagt mir denn das jetzt, wenn ich mit Putty einen Kontakt zum Server bekomme?

tail -F... gibt bei mir genau das gleiche Ergebnis aus wie mit kleinem f . Wenn ich über den Port 22 komme, kann ich mich als root einloggen und bekomme von tail folgende Meldung:
Accepted keyboard-interactive/pam for root from::ffff:meineTCP/IP port 2273 ssh2

Was sollte denn sonst noch so passieren, hier scheint doch alles in Ordnung zu sein, oder?



Nun zu:
ps -ef | grep swat
Hier bekomme ich die Ausgabe:

root 2251 2088 0 15:50 pts/2 00:00:00 grep swat

Wenn das bedeutet, dass SWAT gar nicht läuft, was muss ich denn dann machen um das Ding in die Gänge zu bekommen?

mit dem Server verbinden konntest, dann solltest du den Befehl tail -f /var/log/messages ausführen.. Durch diesen befehl kannst du verfolgen was passiert, wenn du versuchst auf dem Server zuzugreifen..! Hat es jetzt klick gemacht..!*smile* Du hast jetzt zwei fenster.. Einmal Putty mit den laufenden Logs und einmal deinen IE der versuchen soll sich mit Swat zu verbinden..

Kannst ja mal schauen per locate swat ob die Files auch unter anderem in /usr/share/samba/swat sind.. Wenn ja sind diese drin.. Mal was anderes was für ein os hast du denn...

Linux
und von wem.. Suse, debian, Redhat.....

Hat es jetzt klick gemacht..!*smile*

Jup, es sogar bumm gemacht! Ok soweit so gut jetzt versteh ich was die Geschichte mit Putty soll. Allerdings macht das jetzt leider keinen großen Unterschied, denn bisher habe ich den tail direkt auf dem Server gestartet und hab die Sache eben auf zwei Bildschirmen betrachtet. Egal wie ichs mache, wenn ich dann im Browser http://filemail:901/ (filemail ist der Linux Rechner) eingebe bekomme ich nur die Fehlermeldung "Beim Versuch, filemail:901 zu kontaktieren, wurde die Verbindung zurückgesetzt." Und Putty auf dem der tail läuft registriert überhaupt gar nichts!


Kannst ja mal schauen per locate swat ob die Files auch unter anderem in /usr/share/samba/swat sind.

locate funktioniert bei mir nicht aber whereis liefert mir folgende Zeile:
swat: /usr/sbin/swat usr/share/man/man8/swat.8.gz


Wenn ja sind diese drin.

Heißt das dann, sie sind nicht drin? Wo drin denn überhaupt? Ich denk bei diesem Punkt sollte es erst mal wieder klick machen bei mir!!!


Mal was anderes was für ein os hast du denn...

Linux
und von wem.. Suse, debian, Redhat.....

Suse 9.0 und Samba 3



Gruss odi

/etc/services heist die Datei.. Darin ist der Eintrag swat. Dummerweise sind aber auch zwei einträge namens smpnameres(oder so), die auch auf 901 hörchen wollen.. Diese mal mit # deaktivieren.. Dann sollte es funzen..

Hallo nochmal,

funktioniert denn ein http://<ip-des-servers>:901/
Nachdem in der /var/log/messages des Servers überhaupt nichts erscheint, ist es durchaus möglich, dass du gar nicht soweit kommst. Hast du auf dem Server eine Graphische Oberfläche installiert (mit einem Browser)? Wenn ja, versuch mal http://localhost:901/ direkt im Browserfenster auf dem Server. Du kannst auch mal auf der Windows Schüssel ein Dos-Fenster aufmachen und dort einen ping filemail machen. Achte dann darauf, ob der Name aufgelöst wird.

/etc/services heist die Datei.. Darin ist der Eintrag swat. Dummerweise sind aber auch zwei einträge namens smpnameres(oder so), die auch auf 901 hörchen wollen.. Diese mal mit # deaktivieren.. Dann sollte es funzen..

Hab ich gemacht, die Einträge waren genauso vorhanden, allerdings leider ohne Erfolg.


funktioniert denn ein http://<ip-des-servers>:901/

Nein, genauso wenig. Egal ob mit dem Rechner-Namen oder der IP ich bekomme jedes mal die Fehlermeldung:
Beim Versuch, filemail:901 zu kontaktieren, wurde dir Verbindung zurückgesetzt.


Nachdem in der /var/log/messages des Servers überhaupt nichts erscheint, ist es durchaus möglich, dass du gar nicht soweit kommst. Hast du auf dem Server eine Graphische Oberfläche installiert (mit einem Browser)? Wenn ja, versuch mal http://localhost:901/ direkt im Browserfenster auf dem Server.

Auch das funktioniert leider nicht. Hier bekomm ich folgende Fehlermeldung:
Keine Verbindung zu Rechner localhost (Port 901)


Du kannst auch mal auf der Windows Schüssel ein Dos-Fenster aufmachen und dort einen ping filemail machen. Achte dann darauf, ob der Name aufgelöst wird.

Der Ping funktioniert wunderbar und die IP wird auch richtig aufgelöst. Aber Putty findet meinen Rechner ja auch unter dem Rechnernamen.


Wie ist das denn jetzt mit der ssh Verbindung von Putty, läuft diese jetzt schon über den stunnel oder hat das damit nichts zu tun?

du nicht jedesmal zu linux server rennen musst oder wenn kein Monitor dran hängt... Es hat mit dem stunnel nicht direkt zu tun...

was passiert den, wenn du geht mal in deinem Yast rein und schau mal unter Netzwerkdienste/Netzwerkdienste nach, ob der swat mit dabei ist.. falls ja.. dann setz mal seinen Status auf AN und dann gehst du mal lokal ran. Falls du KDE oder X.11 installiert hast. kannst du ja mit dem Konquerer mal http://localhost:901 mal testen.. Falls dies dann funktioniert ist swat soweit ok und es funktioniert.

Erst dann kannst du dich mit dem stunnel beschäftigen..

was passiert den, wenn du geht mal in deinem Yast rein und schau mal unter Netzwerkdienste/Netzwerkdienste nach, ob der swat mit dabei ist.. falls ja.. dann setz mal seinen Status auf AN und dann gehst du mal lokal ran. Falls du KDE oder X.11 installiert hast. kannst du ja mit dem Konquerer mal http://localhost:901 mal testen.. Falls dies dann funktioniert ist swat soweit ok und es funktioniert.

Das hat diesesmal tatsächlich etwas geholfen. Die Einträge in Yast waren aus und nachdem ich sie aktiviert hatte funkltioniert jetzt der Zugriff vom Browser des Server direkt und kann mit SWAT arbeiten.

Nur leider funktioniert der Zugriff übers Netzwerk von einer Workstation aus immer noch nicht. Wenn ich http://ServerName:901/ eingebe kommt nur eine Meldung, dass er den Rechner nicht finden kann. Mit dem ping kann ich ihn aber unter dem ServerNamen erreichen. Und Putty findet ihn ja auch unter diesem Namen.