小编Yan*_*rez的帖子

我需要了解与正在运行的系统的当前规则上的 selinux 类型相关的所有内容：

• 允许、allowaudit、dontaudit 规则。
• 使用类型标记有上下文的文件。
• 过渡。

...以及任何其他信息。

是否有任何命令我可以用来查询该信息，或者我应该下载所有与 selinux 相关的“src”包，过滤掉未使用的模块并grep每个文件以获得该信息？必须有一种更简单的方法来做到这一点。

我的互联网连接是这样的：

Internet <-128kbps 链接-> Cisco 路由器（公共 IP）<-LAN-> Linux 路由器/服务器（公共 IP）<-LAN-> 普通 PC（公共 IP）

思科路由器：

• 分配给我的机构的第一个公共 IP (/29)
• 被编程为通过 Linux 路由器发送所有数据包

Linux路由器

• 分配给我的机构的第二个公共 IP
• 被编程为在普通 PC 和 Cisco 路由器之间转发数据包
• 也充当服务器（邮件、网络等）

普通 PC（其中 4 台）：

• 其余公共 IP
• 使用 Linux 路由器作为网关

我在 Linux 路由器上启用了 iptables 数据包日志记录，有时我发现：

• 有些数据包很大，大于 20KB。这是正常的吗？（是的，这是正常的。这些不是数据包，这些是一些人友好解释的 IP 数据报）
• 太多次传输的数据（到互联网）大于 16KB。例如，在特定的秒内，有 10572 个字节进入（没问题），63521 个字节（到 Cisco 路由器）出去。通过 128kbps 链接发送 64KB 至少需要 4 秒。与此同时，Linux 路由器正在向 Cisco 路由器发送更多数据，从而堵塞其缓冲区。不好。

现在，我如何配置 Linux 路由器以通过以下方式调整流量：

1. 当这些普通 PC 和 Linux 服务器之间有流量时，将传输速度保持在最大。
2. 使用所有（或几乎所有）可用带宽 (128 kbps) 减慢到外部世界的流量以避免阻塞“输出”线路。跟踪中不再有“>16KB 输出秒”。
3. 保证 24kbps 到每台普通 PC，24kbps …

我有一个安装了 4GB 内存的华擎 G31M-GS 主板，但是当我在 CentOS 5.4 (x86_64) 下查询内存大小时

[root@localhost ~]# uname -a
Linux localhost.localdomain 2.6.18-164.el5 #1 SMP Thu Sep 3 03:28:30 EDT 2009 x86_64 x86_64 x86_64 GNU/Linux

这就是我得到的：

[root@localhost ~]# free -m
             total       used       free     shared    buffers     cached
Mem:          3261        565       2696          0         25        288
-/+ buffers/cache:        250       3010
Swap:         2047          0       2047

[root@localhost ~]# grep -i memory /var/log/dmesg
Memory for crash kernel (0x0 to 0x0) notwithin permissible range
Memory: 3336256k/3398336k available (2547k kernel code, 61628k reserved, 1289k data, …

当我在 CentOS 6.4 上的 bash 提示符下执行此操作时

ldapsearch -LLL -H ldap://adserver.example.com -x -D someuser@example.com -w somepass -b 'OU=Users,DC=example,DC=com' '(&(objectClass=person)(sAMAccountName=testuser))'

我得到

dn: CN=TestUser Surname,OU=Area,OU=Users,DC=example,DC=com
...
objectClass: person
...
cn: TestUser Surname
sn: Surname
...
distinguishedName: CN=TestUser Surname,OU=Area,OU=Users,DC=example,DC=com
...
memberOf: CN=Group1,OU=Area,OU=Users,DC=example,DC=com
memberOf: CN=Gropu2,OU=Users,DC=example,DC=com
...
sAMAccountName: testuser

我只想在 testuser 属于名为 X 的组时得到响应，而不管组 X 在 AD 层次结构中的位置。例如：我想要名为 testuser 的用户的数据，该用户是名为 Group1 的组的成员。

我尝试将过滤器更改为：

1. (&(objectClass=person)(sAMAccountName=testuser)(memberOf=CN=Group1*))
2. (&(objectClass=person)(sAMAccountName=testuser)(memberOf=*Group1*))

无济于事。

从上面的输出可以看出， testuser 属于组

1. CN=Group1,OU=Area,OU=Users,DC=example,DC=com
2. CN=Gropu2,OU=Users,DC=example,DC=com。

当我使用过滤器 '(&(objectClass=person)(sAMAccountName=testuser)(memberOf=CN=Group1,OU=Area,OU=Users,DC=example,DC=com))' 它可以工作，但我需要一个仅使用组名查询（不使用完整的“路径”）。

有什么办法吗？

我尝试这样做是因为我需要使用 Active Directory 定义的组作为 squid（linux 代理）ACL。为此，我需要定义一个外部 ACL 类型，例如

external_acl_type ADGroup %LOGIN …