Samba DC
A Unix/Linux szerverek üzemeltetése wikiből
(Változatok közti eltérés)
(Új oldal, tartalma: „A [http://hu.samba.org/samba/ Samba] egy az [http://samba.org/cifs/docs/what-is-smb.html SMB\CIFS protokollt] megvalósító kiszolgáló illetve kliens szoftver Unix plat...”) |
|||
5. sor: | 5. sor: | ||
==Miért jó a tartományi rendszer?== |
==Miért jó a tartományi rendszer?== |
||
− | *Központi adminisztráció - központi adatbázisban tárolódnak a felhasználók és a csoportok |
+ | *Központi adminisztráció - központi adatbázisban tárolódnak a felhasználók és a csoportok - ebből Unix kliensek esetén is profitálunk |
*Windows tartományi tagok számára ezen felül: |
*Windows tartományi tagok számára ezen felül: |
||
**Egyszeri bejelentkezés (Single Sign-On) - A munkamenet időtartama alatt a felhasználó újbóli authentikáció nélkül fér hozzá az erőforrásokhoz |
**Egyszeri bejelentkezés (Single Sign-On) - A munkamenet időtartama alatt a felhasználó újbóli authentikáció nélkül fér hozzá az erőforrásokhoz |
||
20. sor: | 20. sor: | ||
*Samba >= 3.0 |
*Samba >= 3.0 |
||
**Támogatja a Kerberos hitelesítést és az [[LDAP]] címtárprotokollt, ezért már részt vehet natív AD domainben |
**Támogatja a Kerberos hitelesítést és az [[LDAP]] címtárprotokollt, ezért már részt vehet natív AD domainben |
||
− | **Az LDAP támogatásnak köszönhetően tartalék tartományvezérlő ([http://en.wikipedia.org/wiki/Backup_Domain_Controller Backup Domain Controller] - BDC) lehet egy Samba PDC mellet, Windows PDC mellett azonban nem! Az LDAP azért kell a BDC szerephez mert ez az egyetlen Samba felhasználói adatbázis backend, amely konkurens elérést és replikációt támogat. |
+ | **Az LDAP támogatásnak köszönhetően tartalék tartományvezérlő ([http://en.wikipedia.org/wiki/Backup_Domain_Controller Backup Domain Controller] - BDC) lehet egy Samba PDC mellet, Windows PDC mellett azonban nem! Az LDAP azért ajánlott a BDC szerephez mert ez az egyetlen Samba felhasználói adatbázis háttér, amely konkurens elérést és replikációt támogat. |
*Samba >= 4.0 alpha |
*Samba >= 4.0 alpha |
||
− | **AD DC, beépített LDAP és Kerberos szerverrel. Az Active Directory esetében már nincs megkülönböztetve PDC és BDC, az egyes speciális funkciók szerepekhez ([http://en.wikipedia.org/wiki/FSMO FSMO] Role) kötődnek. |
+ | **AD DC, beépített LDAP és Kerberos szerverrel. Az Active Directory esetében már nincs megkülönböztetve PDC és BDC, a tartományvezérlők között [http://en.wikipedia.org/wiki/Multi-master_replication Multi-Master replikáció] van, s az egyes speciális funkciók szerepekhez ([http://en.wikipedia.org/wiki/FSMO FSMO] Role) kötődnek. |
*A Samba stabil verzióit elterjedten alkalmazzák DC szerepben, a témáról részletes dokumentáció áll rendelkezésre: |
*A Samba stabil verzióit elterjedten alkalmazzák DC szerepben, a témáról részletes dokumentáció áll rendelkezésre: |
||
30. sor: | 30. sor: | ||
**[http://vod.niif.hu/ipszilon8/ Különböző hálózatok összekapcsolása, Samba], az előadáson vetített [http://www.ipszilon.iif.hu/samba/ipszilon_samba.pdf fóliák] |
**[http://vod.niif.hu/ipszilon8/ Különböző hálózatok összekapcsolása, Samba], az előadáson vetített [http://www.ipszilon.iif.hu/samba/ipszilon_samba.pdf fóliák] |
||
**[http://sambadchowto.uw.hu Samba alapú tartományvezérlők] |
**[http://sambadchowto.uw.hu Samba alapú tartományvezérlők] |
||
+ | |||
+ | ==DC szempontból lényeges konfigurációs paraméterek== |
||
+ | |||
+ | ===passdb backend (felhasználói adatbázis hátterek)=== |
||
+ | |||
+ | Ebben tárolódnak a jelszavak, illetve további attribútumok. 3 típus közül választhatunk: |
||
+ | |||
+ | ''smbpasswd'' |
||
+ | *Előnyök: |
||
+ | **nem igényel külön konfigurációt, automatikusan kezeli a rendszer |
||
+ | |||
+ | *Hátrányok: |
||
+ | **egyszerű szöveges fájl alapú, nagy méret esetén lassú |
||
+ | **a tárolható paramétrek száma szűkös |
||
+ | **nem támogat replikációt |
||
+ | |||
+ | ''tdbsam'' |
||
+ | *Előnyök: |
||
+ | **nem igényel külön konfigurációt, automatikusan kezeli a rendszer |
||
+ | **bináris adatbázis, nagy méret esetén jobb teljesítményt nyújt, mint az smbpasswd |
||
+ | |||
+ | *Hátrányok: |
||
+ | **a tárolható paramétrek száma több, mint az smbpasswd esetén, de még mindig szűkös |
||
+ | **nem támogat replikációt |
||
+ | |||
+ | ''ldapsam - LDAP címtár'' |
||
+ | *Előnyök: |
||
+ | **jó teljesítmény |
||
+ | **replikáció támogatása |
||
+ | **szerkezete sémák segítségével tetszőlegesen bővíthető |
||
+ | |||
+ | *Hátrányok: |
||
+ | **konfigurálni kell |
||
+ | |||
+ | ===security=== |
||
+ | |||
+ | ===További paraméterek=== |
||
+ | *local master |
||
+ | *os level |
||
+ | *domain master |
||
+ | *preferred master |
||
+ | *domain logons |
||
+ | *logon drive |
||
+ | *logon home |
||
+ | *logon script |
||
+ | |||
+ | ==Jogosultságkezelés== |
||
+ | |||
+ | Hogyan rendeli egymáshoz a Samba a Windows SID-eket és a POSIX azonosítókat? |
||
+ | *Amennyiben a kiszolgálón csak helyi fiókok vannak akkor minden felhasználó esetén szükség van Unix fiókra és a hozzárendelt Windows accountra is (utóbbi tárolódik a Security Accounts Manager - SAM adatbázisban), s az ezek közötti összerendelés segítségével jutnak érvényre a jogosultságok. |
||
+ | *Nagy számú felhasználó esetén ez körülményes, ezért ajánlott a Unix fiókokat is LDAP címtárban tárolni, így nincs szükség két adatbázis szinkronban tartására. Ehhez természetesn a Unix névfeloldást és authentikációt is illeszteni kell ([http://www.padl.com/OSS/nss_ldap.html nss_ldap], [http://www.padl.com/OSS/pam_ldap.html pam_ldap]). |
||
+ | *A rendszer felépítése, illetve a felhasználók kezelésének módja szükségessé teheti a Winbind szerver használatát, amely minden esetben biztosítja a Samba számára a POSIX azonosítók és Windows SID-ek kölcsönös megfeleltetését. |
||
+ | |||
==Mire van szükség ahhoz, hogy tartományvezérlőt készítsünk a Samba-val?== |
==Mire van szükség ahhoz, hogy tartományvezérlőt készítsünk a Samba-val?== |
||
38. sor: | 91. sor: | ||
**LDAP címtár megfelelő sémával |
**LDAP címtár megfelelő sémával |
||
**[http://sourceforge.net/projects/smbldap-tools/ IDX-smbldap-tools] |
**[http://sourceforge.net/projects/smbldap-tools/ IDX-smbldap-tools] |
||
− | **[http://www.padl.com/OSS/nss_ldap.html nss_ldap] és [http://www.padl.com/OSS/pam_ldap.html pam_ldap] |
+ | **nss_ldap és pam_ldap |
− | **Szükség lehet a Winbind használatára (pl: tartományon kívüli Windows kliensek esetén) |
+ | **Szükség lehet a [http://hu.samba.org/samba/docs/man/Samba3-HOWTO/winbind.html Winbind] használatára (pl: tartományon kívüli Windows kliensek esetén) |
+ | |||
+ | ==Samba 4 alpha1 teszt== |
||
+ | |||
+ | ===Telepítés=== |
||
+ | |||
+ | A Samba Wiki-n található [http://wiki.samba.org/index.php/Samba4/HOWTO leírás] alapján egyszerűen és gyorsan összeállítható egy teszt Samba 4 AD Domain Controller: |
||
+ | |||
+ | *A Samba 4 fordítása és telepítése után a mellékelt "provision" szkript segítségével egy teljesen működő Samba 4 Active Directory Servert kapunk, ezen felül csak egy DNS szerverre van szükség mivel maga a Samba a Kerberos és az LDAP kiszolgáló is. (Sőt a korábban az NMBD által végzett WINS és NetBIOS névkiszolgáló funkciókat is az SMBD démon látja már el) |
||
+ | |||
+ | *A "provision" szkript használata: |
||
+ | |||
+ | <pre> |
||
+ | ./setup/provision --realm=SMB4TEST.ORG --domain=SMB4TEST --adminpass=egyjelszo |
||
+ | </pre> |
||
+ | |||
+ | *A kapott alap smb.conf fájl: |
||
+ | |||
+ | <pre> |
||
+ | [globals] |
||
+ | netbios name = samserv |
||
+ | workgroup = SMB4TEST |
||
+ | realm = SMB4TEST.ORG |
||
+ | server role = domain controller |
||
+ | log level = 4 |
||
+ | |||
+ | [netlogon] |
||
+ | path = /usr/local/samba/var/locks/sysvol/smb4test.org/scripts |
||
+ | read only = no |
||
+ | |||
+ | [sysvol] |
||
+ | path = /usr/local/samba/var/locks/sysvol |
||
+ | read only = no |
||
+ | </pre> |
||
+ | |||
+ | *A szkript ezen felül elkészíti nekünk a létrehozott domain zónafájlját, s a BIND konfigurációs állományaiban elvégzendő változtatásokhoz is ad mintát. Mindkét fájl a private könyvtárban található, a zónafájl ez esetben: smb4test.org.zone, a DNS módosítási sablon pedig named.conf néven. |
||
+ | |||
+ | *Az alábbiakban látható a nem éppen triviális felépítésű zónafájl: |
||
+ | |||
+ | <pre> |
||
+ | ; -*- zone -*- |
||
+ | ; generated by provision.pl |
||
+ | $ORIGIN smb4test.org. |
||
+ | $TTL 1W |
||
+ | @ IN SOA @ hostmaster ( |
||
+ | 2007120210 ; serial |
||
+ | 2D ; refresh |
||
+ | 4H ; retry |
||
+ | 6W ; expiry |
||
+ | 1W ) ; minimum |
||
+ | IN NS samserv |
||
+ | IN A 192.168.1.9 |
||
+ | ; |
||
+ | samserv IN A 192.168.1.9 |
||
+ | eac6ba95-9801-4fdb-a489-420ba6078e76._msdcs IN CNAME samserv |
||
+ | ; |
||
+ | ; global catalog servers |
||
+ | _gc._tcp IN SRV 0 100 3268 samserv |
||
+ | _ldap._tcp.gc._msdcs IN SRV 0 100 389 samserv |
||
+ | _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs IN SRV 0 100 389 samserv |
||
+ | ; |
||
+ | ; ldap servers |
||
+ | _ldap._tcp IN SRV 0 100 389 samserv |
||
+ | _ldap._tcp.dc._msdcs IN SRV 0 100 389 samserv |
||
+ | _ldap._tcp.pdc._msdcs IN SRV 0 100 389 samserv |
||
+ | _ldap._tcp.c9638a22-98d8-4f71-80d5-4b65481892a9.domains._msdcs IN SRV 0 100 389 samserv |
||
+ | _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs IN SRV 0 100 389 samserv |
||
+ | ; |
||
+ | ; krb5 servers |
||
+ | _kerberos._tcp IN SRV 0 100 88 samserv |
||
+ | _kerberos._tcp.dc._msdcs IN SRV 0 100 88 samserv |
||
+ | _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs IN SRV 0 100 88 samserv |
||
+ | _kerberos._udp IN SRV 0 100 88 samserv |
||
+ | ; MIT kpasswd likes to lookup this name on password change |
||
+ | _kerberos-master._tcp IN SRV 0 100 88 samserv |
||
+ | _kerberos-master._udp IN SRV 0 100 88 samserv |
||
+ | ; |
||
+ | ; kpasswd |
||
+ | _kpasswd._tcp IN SRV 0 100 464 samserv |
||
+ | _kpasswd._udp IN SRV 0 100 464 samserv |
||
+ | ; |
||
+ | ; heimdal 'find realm for host' hack |
||
+ | _kerberos IN TXT SMB4TEST.ORG |
||
+ | </pre> |
||
+ | |||
+ | *A szerverünkön és a tartományba léptetni kívánt többi hoston állítsuk be, hogy ezt a DNS szervert használják, a Kerberos miatt ezen felül fontos, hogy az időzónáik is megegyezzenek. |
||
+ | *Ezután már indíthatjuk a Sambát, először célszerű interktív, debug módban megtenni: |
||
+ | <pre> |
||
+ | /usr/local/sbin/smbd -i -d 5 |
||
+ | </pre> |
||
+ | *Első induláskor a Samba kulcspárt generál a SWAT számára, amihez természetesen szüksége van entrópiára, így ha a Samba már fut, de a SWAT még nem elérhető, azonban hibaüzenetet nem kaptunk akkor vélehetően ezzel a problémával szembesültünk. (Úgy tűnik sikerült találni példát arra, amikor hasznos lett volna, ha egy felügyelő rendszer riaszt, hogy a random pool kifogyott :) ) |
||
+ | |||
+ | *A SWAT továbbra is a 901-es porton hallgat alapértelmezetten, de a kapcsolat már HTTPS, s nyújt néhány teljesen új funkciót nyújt pl. a címtár kezeléséhez. A Samba-val ellentétben a SWAT-on érződik, hogy jelenleg még alpha státuszban van: számos funkció hibásan, vagy egyáltalán nem működik - pl. nincs még webes szerver konfiguráció. |
||
+ | |||
+ | ===A Csoportházirend használata=== |
||
+ | |||
+ | Az AD és a Csoportházirend ([http://en.wikipedia.org/wiki/Group_policy Group policy]) kezelésére a [http://www.microsoft.com/downloads/details.aspx?familyid=E487F885-F0C7-436A-A392-25793A25BAD7&displaylang=en Windows Server 2003 SP1 Administration Tools Pack] és a [http://www.microsoft.com/downloads/details.aspx?FamilyID=0A6D4C24-8CBD-4B35-9272-DD3CBFC81887&displaylang=en Group Policy Management Console] használható. |
A lap 2007. december 21., 00:46-kori változata
A Samba egy az SMB\CIFS protokollt megvalósító kiszolgáló illetve kliens szoftver Unix platformokra.
Az alábbiakban a Samba tartományvezérlő (Domain Controller - DC) képességeiről lesz szó.
Tartalomjegyzék |
1 Miért jó a tartományi rendszer?
- Központi adminisztráció - központi adatbázisban tárolódnak a felhasználók és a csoportok - ebből Unix kliensek esetén is profitálunk
- Windows tartományi tagok számára ezen felül:
- Egyszeri bejelentkezés (Single Sign-On) - A munkamenet időtartama alatt a felhasználó újbóli authentikáció nélkül fér hozzá az erőforrásokhoz
- Mozgó profilok - A felhasználó a tartomány bármely számítógépén a saját munkakörnyezetét használhatja
- Házirendek - Beállítások központi kezelésére
- Bejelentkezési parancsfájlok - Az alkalmazások számára egységes környezet (pl. elérési út) biztosítható vele, de ezen felül természetesen szinte bármire használható, ami szkriptelhető
2 A Samba e téren mire képes?
- Samba >= 2.2
- NT4 típusú elsődleges tartományvezérlő (Primary Domain Controller - PDC)
- NT4 típusú tagszerver, vagy kliens - akár Active Directory (AD) domainben is, ha NT4 típusú tag engedélyezett (mixed mode)
- Samba >= 3.0
- Támogatja a Kerberos hitelesítést és az LDAP címtárprotokollt, ezért már részt vehet natív AD domainben
- Az LDAP támogatásnak köszönhetően tartalék tartományvezérlő (Backup Domain Controller - BDC) lehet egy Samba PDC mellet, Windows PDC mellett azonban nem! Az LDAP azért ajánlott a BDC szerephez mert ez az egyetlen Samba felhasználói adatbázis háttér, amely konkurens elérést és replikációt támogat.
- Samba >= 4.0 alpha
- AD DC, beépített LDAP és Kerberos szerverrel. Az Active Directory esetében már nincs megkülönböztetve PDC és BDC, a tartományvezérlők között Multi-Master replikáció van, s az egyes speciális funkciók szerepekhez (FSMO Role) kötődnek.
- A Samba stabil verzióit elterjedten alkalmazzák DC szerepben, a témáról részletes dokumentáció áll rendelkezésre:
3 DC szempontból lényeges konfigurációs paraméterek
3.1 passdb backend (felhasználói adatbázis hátterek)
Ebben tárolódnak a jelszavak, illetve további attribútumok. 3 típus közül választhatunk:
smbpasswd
- Előnyök:
- nem igényel külön konfigurációt, automatikusan kezeli a rendszer
- Hátrányok:
- egyszerű szöveges fájl alapú, nagy méret esetén lassú
- a tárolható paramétrek száma szűkös
- nem támogat replikációt
tdbsam
- Előnyök:
- nem igényel külön konfigurációt, automatikusan kezeli a rendszer
- bináris adatbázis, nagy méret esetén jobb teljesítményt nyújt, mint az smbpasswd
- Hátrányok:
- a tárolható paramétrek száma több, mint az smbpasswd esetén, de még mindig szűkös
- nem támogat replikációt
ldapsam - LDAP címtár
- Előnyök:
- jó teljesítmény
- replikáció támogatása
- szerkezete sémák segítségével tetszőlegesen bővíthető
- Hátrányok:
- konfigurálni kell
3.2 security
3.3 További paraméterek
- local master
- os level
- domain master
- preferred master
- domain logons
- logon drive
- logon home
- logon script
4 Jogosultságkezelés
Hogyan rendeli egymáshoz a Samba a Windows SID-eket és a POSIX azonosítókat?
- Amennyiben a kiszolgálón csak helyi fiókok vannak akkor minden felhasználó esetén szükség van Unix fiókra és a hozzárendelt Windows accountra is (utóbbi tárolódik a Security Accounts Manager - SAM adatbázisban), s az ezek közötti összerendelés segítségével jutnak érvényre a jogosultságok.
- Nagy számú felhasználó esetén ez körülményes, ezért ajánlott a Unix fiókokat is LDAP címtárban tárolni, így nincs szükség két adatbázis szinkronban tartására. Ehhez természetesn a Unix névfeloldást és authentikációt is illeszteni kell (nss_ldap, pam_ldap).
- A rendszer felépítése, illetve a felhasználók kezelésének módja szükségessé teheti a Winbind szerver használatát, amely minden esetben biztosítja a Samba számára a POSIX azonosítók és Windows SID-ek kölcsönös megfeleltetését.
5 Mire van szükség ahhoz, hogy tartományvezérlőt készítsünk a Samba-val?
- Önálló PDC-hez elégséges egyetlen Samba (>=2.2) szerver, smbpasswd, vagy tdbsam adatbázis háttérrel.
- Amennyiben BDC-t is szeretnénk alkalmazni:
- Kell egy Samba PDC :)
- LDAP címtár megfelelő sémával
- IDX-smbldap-tools
- nss_ldap és pam_ldap
- Szükség lehet a Winbind használatára (pl: tartományon kívüli Windows kliensek esetén)
6 Samba 4 alpha1 teszt
6.1 Telepítés
A Samba Wiki-n található leírás alapján egyszerűen és gyorsan összeállítható egy teszt Samba 4 AD Domain Controller:
- A Samba 4 fordítása és telepítése után a mellékelt "provision" szkript segítségével egy teljesen működő Samba 4 Active Directory Servert kapunk, ezen felül csak egy DNS szerverre van szükség mivel maga a Samba a Kerberos és az LDAP kiszolgáló is. (Sőt a korábban az NMBD által végzett WINS és NetBIOS névkiszolgáló funkciókat is az SMBD démon látja már el)
- A "provision" szkript használata:
./setup/provision --realm=SMB4TEST.ORG --domain=SMB4TEST --adminpass=egyjelszo
- A kapott alap smb.conf fájl:
[globals] netbios name = samserv workgroup = SMB4TEST realm = SMB4TEST.ORG server role = domain controller log level = 4 [netlogon] path = /usr/local/samba/var/locks/sysvol/smb4test.org/scripts read only = no [sysvol] path = /usr/local/samba/var/locks/sysvol read only = no
- A szkript ezen felül elkészíti nekünk a létrehozott domain zónafájlját, s a BIND konfigurációs állományaiban elvégzendő változtatásokhoz is ad mintát. Mindkét fájl a private könyvtárban található, a zónafájl ez esetben: smb4test.org.zone, a DNS módosítási sablon pedig named.conf néven.
- Az alábbiakban látható a nem éppen triviális felépítésű zónafájl:
; -*- zone -*- ; generated by provision.pl $ORIGIN smb4test.org. $TTL 1W @ IN SOA @ hostmaster ( 2007120210 ; serial 2D ; refresh 4H ; retry 6W ; expiry 1W ) ; minimum IN NS samserv IN A 192.168.1.9 ; samserv IN A 192.168.1.9 eac6ba95-9801-4fdb-a489-420ba6078e76._msdcs IN CNAME samserv ; ; global catalog servers _gc._tcp IN SRV 0 100 3268 samserv _ldap._tcp.gc._msdcs IN SRV 0 100 389 samserv _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs IN SRV 0 100 389 samserv ; ; ldap servers _ldap._tcp IN SRV 0 100 389 samserv _ldap._tcp.dc._msdcs IN SRV 0 100 389 samserv _ldap._tcp.pdc._msdcs IN SRV 0 100 389 samserv _ldap._tcp.c9638a22-98d8-4f71-80d5-4b65481892a9.domains._msdcs IN SRV 0 100 389 samserv _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs IN SRV 0 100 389 samserv ; ; krb5 servers _kerberos._tcp IN SRV 0 100 88 samserv _kerberos._tcp.dc._msdcs IN SRV 0 100 88 samserv _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs IN SRV 0 100 88 samserv _kerberos._udp IN SRV 0 100 88 samserv ; MIT kpasswd likes to lookup this name on password change _kerberos-master._tcp IN SRV 0 100 88 samserv _kerberos-master._udp IN SRV 0 100 88 samserv ; ; kpasswd _kpasswd._tcp IN SRV 0 100 464 samserv _kpasswd._udp IN SRV 0 100 464 samserv ; ; heimdal 'find realm for host' hack _kerberos IN TXT SMB4TEST.ORG
- A szerverünkön és a tartományba léptetni kívánt többi hoston állítsuk be, hogy ezt a DNS szervert használják, a Kerberos miatt ezen felül fontos, hogy az időzónáik is megegyezzenek.
- Ezután már indíthatjuk a Sambát, először célszerű interktív, debug módban megtenni:
/usr/local/sbin/smbd -i -d 5
- Első induláskor a Samba kulcspárt generál a SWAT számára, amihez természetesen szüksége van entrópiára, így ha a Samba már fut, de a SWAT még nem elérhető, azonban hibaüzenetet nem kaptunk akkor vélehetően ezzel a problémával szembesültünk. (Úgy tűnik sikerült találni példát arra, amikor hasznos lett volna, ha egy felügyelő rendszer riaszt, hogy a random pool kifogyott :) )
- A SWAT továbbra is a 901-es porton hallgat alapértelmezetten, de a kapcsolat már HTTPS, s nyújt néhány teljesen új funkciót nyújt pl. a címtár kezeléséhez. A Samba-val ellentétben a SWAT-on érződik, hogy jelenleg még alpha státuszban van: számos funkció hibásan, vagy egyáltalán nem működik - pl. nincs még webes szerver konfiguráció.
6.2 A Csoportházirend használata
Az AD és a Csoportházirend (Group policy) kezelésére a Windows Server 2003 SP1 Administration Tools Pack és a Group Policy Management Console használható.