PostgresSQL 11, пытаюсь настроить репликацию. на слейве выдает:
ERROR: could not connect to the publisher: fe_sendauth: no password supplied
вычитал, что возможно необходимо задавать пароль:
On the provider's create_node(...) call you need to supply the password. Even though create_node(...) succeeds, the connection string does not get used in until a the create_subscription call on the subscriber.
есть способ проще (использует, например, VMware для vSphere) — PowerBroker Identity Services (PBIS)
очень удобная утилита. GSSAPI — SMB все прикручивается практически нативно…
а как решаете вопрос с требованиями PCI DSS к ДДК? правильно ли я понимаю — разработчики в любой момент времени получают доступ к расшифрованным копиям всех таблиц, всей БД? не ловили случайных блокировок на боевой копии БД(у вас RAC?) при синхронизации\выгрузке из нее в Dev среду?
это у вас еще, наверное, баз данных нет, в которых cardholder data… аудит транзакций — анализаторы логов «пухнут» от нагрузки :(
аудит аудита…
3 раза PCI DSS — ну его к монахам
если какой либо из коммутаторов выходит из строя, теряем и одного из провайдеров…
а как быть с публикациями каких-либо сервисов (NAT)? публикуете на IP ISP1 & ISP2? или у вас PI есть?
у нас безопасник настроил OSSIM (парсит логи ASA, которые ему пересылаются syslog-ом) грамотно:
On 2017-01-23 05:18:10 (UTC time) user dmitriy.budylin connected to prd environment via AnyConnect VPN from 93.хх.20.х2 as a member of GroupPolicy_AnyConnect_ADMINS access group
User: dmitriy.хххlin
Src: 93.хх.20.х2 — #внешний IP клиента
Group: GroupPolicy_AnyConnect_ADMINS
хороший пример шейпера для ISR Вы привели, а есть у кого-нибудь для Cisco ASA? и желательно для туннеля IPSec (cryptomap based VPN)?
что-то типа такого:
По поводу ICMP появилась не плохая идея. Нет ли у вас ассиметричной маршрутизации? Может быть ICMP echo отправляются в сторону LAN через один интерфейс, а возвращаются через другой?
ну я тоже так думаю (для сети 10.xx.111.0\24 настроен PAT через интерфейс ISP1), для клиентов VPN AnyConnect шлюз не подменяется, а добавляется маршрут только к сети 10.xx.111.0\24 — то есть к туннель идет не весь трафик, а только выбранный (когда весь туда льешь таких проблем нет) — но может есть решение :(?
«Используется ли у вас выделенный Management-интерфейс на ASA?» — используется для модуля FirePower
было включено inspect icmp, включил inspect icmp error
на счет sysopt connection permit-vpn — стыдно признаться, — для чего это? без нее работал AnyConnect VPN как и IPSec Site-to-Site…
10.x.181.4 это виртуальный адрес HSRP, но такие же сообщения получаем и по виртуальным IP в кластерах VRRP (Keepalived) :(
по второму вот более показательный пример:
4 Jan 19 2017 10:20:58 Denied ICMP type=0, from laddr 10.xx.111.11 on interface prod-infra to 10.11.12.7: no matching session
в данном случае сеть 10.11.12.0\24 — клиенты AnyConnect VPN, у которых шлюз остается прежним и добавляется маршрут только к сети 10.xx.111.0\24 (соотв. для этой сети адреса из 10.11.12.0\24 стучаться с внешнего интерфейса)… не работает только ICMP :(
вычитал, что возможно необходимо задавать пароль:
Так ли это?
очень удобная утилита. GSSAPI — SMB все прикручивается практически нативно…
аудит аудита…
3 раза PCI DSS — ну его к монахам
а как быть с публикациями каких-либо сервисов (NAT)? публикуете на IP ISP1 & ISP2? или у вас PI есть?
P.S. postfix check выдает
— простите, если туплю, но дальше то что? подготовили мы файл с конфигурацией — куда его сохранять и как, собственно, сам тест запустить?! :(
что-то типа такого:
будет работать?! где 10.30.0.0 255.255.0.0 — сети доступные через VPN Site-to-Site
«Используется ли у вас выделенный Management-интерфейс на ASA?» — используется для модуля FirePower
на счет sysopt connection permit-vpn — стыдно признаться, — для чего это? без нее работал AnyConnect VPN как и IPSec Site-to-Site…
по второму вот более показательный пример:
в данном случае сеть 10.11.12.0\24 — клиенты AnyConnect VPN, у которых шлюз остается прежним и добавляется маршрут только к сети 10.xx.111.0\24 (соотв. для этой сети адреса из 10.11.12.0\24 стучаться с внешнего интерфейса)… не работает только ICMP :(