abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

včera 11:00 | Zajímavý software
Na Good Old Games je v rámci aktuálních zimních slev zdarma k dispozici remasterovaná verze klasické point&click adventury Grim Fandango, a to bez DRM a pro mainstreamové OS včetně GNU/Linuxu. Akce trvá do 14. prosince, 15:00 SEČ.
Fluttershy, yay! | Komentářů: 6
včera 07:22 | Pozvánky

Konference InstallFest 2018 proběhne o víkendu 3. a 4. března 2018 v Praze na Karlově náměstí 13. Spuštěno bylo CFP. Přihlásit přednášku nebo workshop lze do 18. ledna 2018.

Ladislav Hagara | Komentářů: 0
12.12. 20:22 | Nová verze

Před měsícem byla vydána Fedora 27 ve dvou edicích: Workstation pro desktopové a Atomic pro cloudové nasazení. Fedora Server byl "vzhledem k náročnosti přechodu na modularitu" vydán pouze v betaverzi. Finální verze byla naplánována na leden 2018. Plán byl zrušen. Fedora 27 Server byl vydán již dnes. Jedná se ale o "klasický" server. Modularita se odkládá.

Ladislav Hagara | Komentářů: 6
12.12. 10:22 | Zajímavý článek

Lukáš Růžička v článku Kuchařka naší Růži aneb vaříme rychlou polévku z Beameru na MojeFedora.cz ukazuje "jak si rychle vytvořit prezentaci v LaTeXu, aniž bychom se přitom pouštěli do jeho bezedných hlubin".

Ladislav Hagara | Komentářů: 13
12.12. 07:22 | Komunita

Od 26. do 29. října proběhla v Bochumi European Coreboot Conference 2017 (ECC'17). Na programu této konference vývojářů a uživatelů corebootu, tj. svobodné náhrady proprietárních BIOSů, byla řada zajímavých přednášek. Jejich videozáznamy jsou postupně uvolňovány na YouTube.

Ladislav Hagara | Komentářů: 0
11.12. 19:22 | Nová verze

Ondřej Filip, výkonný ředitel sdružení CZ.NIC, oznámil vydání verze 2.0.0 open source routovacího démona BIRD (Wikipedie). Přehled novinek v diskusním listu a v aktualizované dokumentaci.

Ladislav Hagara | Komentářů: 0
11.12. 09:22 | Pozvánky

V Praze dnes probíhá Konference e-infrastruktury CESNET. Na programu je řada zajímavých přednášek. Sledovat je lze i online na stránce konference.

Ladislav Hagara | Komentářů: 2
9.12. 20:11 | Nová verze

Byl vydán Debian 9.3, tj. třetí opravná verze Debianu 9 s kódovým názvem Stretch a Debian 8.10, tj. desátá opravná verze Debianu 8 s kódovým názvem Jessie. Řešeny jsou především bezpečnostní problémy, ale také několik vážných chyb. Instalační média Debianu 9 a Debianu 8 lze samozřejmě nadále k instalaci používat. Po instalaci stačí systém aktualizovat.

Ladislav Hagara | Komentářů: 12
9.12. 00:44 | Nová verze

Po 6 měsících vývoje od vydání verze 0.13.0 byla vydána verze 0.14.0 správce balíčků GNU Guix a na něm postavené systémové distribuce GuixSD (Guix System Distribution). Na vývoji se podílelo 88 vývojářů. Přibylo 1 211 nových balíčků. Jejich aktuální počet je 6 668. Aktualizována byla také dokumentace.

Ladislav Hagara | Komentářů: 4
8.12. 21:33 | Nová verze

Po půl roce vývoje od vydání verze 5.9 byla vydána nová stabilní verze 5.10 toolkitu Qt. Přehled novinek na wiki stránce. Současně byla vydána nová verze 4.5.0 integrovaného vývojového prostředí (IDE) Qt Creator nebo verze 1.10 nástroje pro překlad a sestavení programů ze zdrojových kódů Qbs.

Ladislav Hagara | Komentářů: 0
Jak se vás potenciálně dotkne trend odstraňování analogového audio konektoru typu 3,5mm jack z „chytrých telefonů“?
 (8%)
 (1%)
 (1%)
 (1%)
 (75%)
 (14%)
Celkem 977 hlasů
 Komentářů: 45, poslední 1.12. 19:00
    Rozcestník

    Kerberos a SSO: Samba

    24. 7. 2008 | Jiří Mlíka | Bezpečnost | 12250×

    Dnešní díl je o tom, jak si s Kerberem rozumí Samba. Ukážu vám, že si s ním rozumí docela dobře. Nakonfigurujeme si jednoduchý Samba server a pokusíme se k němu přistoupit pomocí linuxového i windowsového klienta. To vše samozřejmě s podporou SSO. Konfigurace Samby, kterou se vám chystám ukázat, je poněkud netypická a myslím, že i dost neznámá.

    Obsah

    Úvod

    link

    Dnešní díl je o tom, jak si s Kerberem rozumí Samba. Ukážu vám, že si s ním rozumí docela dobře. Nakonfigurujeme si jednoduchý Samba server a pokusíme se k němu přistoupit pomocí linuxového i windowsového klienta. To vše samozřejmě s podporou SSO. Konfigurace Samby, kterou se vám chystám ukázat, je poněkud netypická a myslím, že i dost neznámá.

    Konfigurace serveru

    link

    Jako server použíjeme stroj srv-file1.firma.local, který již dobře posloužil v předchozím dílu jako souborový server NFS4. Kerbera máme na tomto stroji již nakonfigurovaného, takže si jeho "recyklováním" ušetříme práci.

    Instalace softwaru

    link

    Instalace Samby je opravdu banální záležitost na každé moderní linuxové distribuci. Jeden příkaz je obvykle víc než dost. Nainstalovala se mi verze 3.0.24.

    urpmi samba-server

    Principal služby

    link

    Stejně jako v předchozích případech bude serverová strana služby potřebovat svůj vlastní principal (SPN - Service Principal Name). Vytvoříme principal cifs/srv-file1.firma.local nám dobře známým nástrojem kadmin. Principal vytvoříme s náhodným klíčem...

    kadmin:  addprinc -randkey cifs/srv-file1.firma.local
    WARNING: no policy specified for cifs/srv-file1.firma.local@FIRMA.LOCAL; defaulting to no policy
    Principal "cifs/srv-file1.firma.local@FIRMA.LOCAL" created.
    kadmin:

    ...a vyexportujeme jej do "keytabu" na stroji:

    srv-file1.firma.local
    kadmin:  ktadd cifs/srv-file1.firma.local
    Entry for principal cifs/srv-file1.firma.local with kvno 3, encryption type Triple DES cbc mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5.keytab.
    Entry for principal cifs/srv-file1.firma.local with kvno 3, encryption type DES cbc mode with CRC-32 added to keytab WRFILE:/etc/krb5.keytab.
    

    Výsledný "keytab" vypadá následovně."

    [root@srv-file1 ~]# klist -ek /etc/krb5.keytab
    Keytab name: FILE:/etc/krb5.keytab
    KVNO Principal
    ---- --------------------------------------------------------------------------
       4 nfs/srv-file1.firma.local@FIRMA.LOCAL (Triple DES cbc mode with HMAC/sha1) 
       4 nfs/srv-file1.firma.local@FIRMA.LOCAL (DES cbc mode with CRC-32) 
       3 cifs/srv-file1.firma.local@FIRMA.LOCAL (Triple DES cbc mode with HMAC/sha1)
       3 cifs/srv-file1.firma.local@FIRMA.LOCAL (DES cbc mode with CRC-32) 
    

    Zde je třeba poznamenat, že Windows podporují šifrování RC4-HMAC se 128bitovým klíčem, DES-CBC-CRC a DES-CBC-MD5 s 56bitovým klíčem. Pro pokusy doporučuji používat DES-CBC-CRC.

    Konfigurace Samby

    link

    Stroj srv-file1.firma.local je konfigurován proti Kerberos realmu FIRMA.LOCAL, Samba má v tomto realmu svůj principal. Stroj "zná" UNIXové identity (UID, GID) svých uživatelů z LDAPu přes NSS. Samba není členem žádné domény. Jedná se v podstatě o samostatný (stand alone) server v režimu "security = server". "NT Password Hash", který bývá obvykle uložen v lokálním souboru nebo v LDAP adresáři, se v této konfiguraci vůbec nepoužívá. Možné metody autentizace jsou tudíž omezeny pouze na Kerberos. Jiné ověřovací mechanizmy (např. NTLM) fungovat nebudou.

    [global]
       security = user
       realm = FIRMA.LOCAL
       use kerberos keytab = yes
       use spnego = yes
       encrypt passwords = yes
    
       workgroup = FIRMA
    
       unix extensions = yes
       case sensitive = yes
       delete readonly = yes
       ea support = yes
    
       log file = /var/log/samba/%m.log
       max log size = 50
       log level = 1 auth:3
    
       map to guest = bad user
    
       printing = bsd
    
    [cifs_share]
       path = /nfs4exports/data
       read only = no
    

    Konfigurace linuxového klienta

    link

    Jako linuxového klienta použijeme opět stroj pc1.firma.loal, připravený v předchozích dílech seriálu. Stroj má již nakonfigurováno vše potřebné, co se týká podpory Kerbera a základních systémových nastavení.

    smbclient

    link

    Řádkový klient SMB/CIFS klient smbclient není zrovna uživatelsky nejpohodlnější, ale za to je poměrně užitečný pro testování. Klient používá stejný konfigurační soubor /etc/smb.conf jako démony Samby. V našem případě není prakticky žádná konfigurace potřeba. Obešli bychom se i bez uvedeného konfiguračního souboru.

    # Soubor /etc/samba/smb.conf na stroji pc1.firma.local
    
    [global]
       workgroup = FIRMA
    

    Abychom otestovali použití SSO, přihlásíme se nejprve jako uživatel frantisek_hnipirdo k počítači pc1.firma.local. Při procesu přihlášení ke klientskému počítači jsme získali TGT, tudíž se můžeme směle vrhnout na použití další kerberizované služby v naší pokusné síti. Parametr -k zajistí použití Kerberos autentizace, parametr -d 3 se postará o bohatší výstup pro případ, že bychom narazili na nějaký problém.

    [frantisek_hnipirdo@pc1 ~]$ smbclient -k -d 3 //srv-file1.firma.local/cifs_share
    lp_load: refreshing parameters
    Initialising global parameters
    params.c:pm_process() - Processing configuration file "/etc/samba/smb.conf"
    Processing section "[global]"
    added interface ip=172.16.51.130 bcast=172.16.51.255 nmask=255.255.255.0
    Client started (version 3.0.24).
    resolve_lmhosts: Attempting lmhosts lookup for name srv-file1.firma.local<0x20>
    resolve_wins: Attempting wins lookup for name srv-file1.firma.local<0x20>
    resolve_wins: WINS server resolution selected and no WINS servers listed.
    resolve_hosts: Attempting host lookup for name srv-file1.firma.local<0x20>
    Connecting to 172.16.51.12 at port 445
    Doing spnego session setup (blob length=114)
    got OID=1 2 840 113554 1 2 2
    got OID=1 2 840 48018 1 2 2
    got OID=1 3 6 1 4 1 311 2 2 10
    got principal=cifs/srv-file1.firma.local@FIRMA.LOCAL
    Doing kerberos session setup
    ads_cleanup_expired_creds: Ticket in ccache[FILE:/tmp/krb5cc_10001_hsWMH6] expiration Ne, 22 čen 2008 01:47:18 CEST
    OS=[Unix] Server=[Samba 3.0.24]
    dos_clean_name []
    smb: \> 
    

    Za povšimnutí stojí, že do "Kerberos credential cache" uživatele josef_hnipirdo přibyl ticket pro použití služby cifs na stroji srv-file1.firma.local. To odpovídá fungování Kerbera, jak bylo posáno v úvodu tohoto seriálu.

    [frantisek_hnipirdo@pc1 ~]$ klist
    Ticket cache: FILE:/tmp/krb5cc_10001_hsWMH6
    Default principal: frantisek_hnipirdo@FIRMA.LOCAL
    
    Valid starting     Expires            Service principal
    06/21/08 15:47:18  06/22/08 01:47:18  krbtgt/FIRMA.LOCAL@FIRMA.LOCAL
            renew until 06/22/08 15:47:18
    06/21/08 15:47:35  06/22/08 01:47:18  cifs/srv-file1.firma.local@FIRMA.LOCAL
            renew until 06/22/08 15:47:18
    

    Konqueror

    link

    Konqueror vám naservítruje vzdálená data ve formě uživatelsky výrazně příjemnější, než to dokáže smbclient. Žádnou zvlástní konfiguraci nevyžaduje. Jakmile máme TGT, stačí zadat použe URL ve tvaru smb://jméno_serveru/sdílení.

    sso 06 konqueror smb url

    Kerenelové VFS smbfs a cifs

    link

    Daleko zajímavější je možnost vzdálený souborový systém "přimountovat". Proti použití řádkového klienta získáme možnost otevírat a editovat sdílené soubory bez nutnosti otravného kopírování mezi klientem a serverem. K zahození není ani možnost udržovat domácí adresáře uživatelů na souborovém serveru a připojovat je na klientském PC při přihlášení uživatele. V jádře existuje podpora pro dva různé virtuální souborové systémy smbfs a cifs. Tj. v jádře je podpora klienta realizována dvakrát. Virtuální souborový systém smbfs obsahuje podporu Kerbera, ale s cifs, který má smbfs nahradit, je to horší. Podpora Kerbera v cifs byla plánována někde kolem verze 1.48. Na stroji pc1.firma.local (kernel 2.6.17, cifs v. 1.43) toho ohledně cifs mnoho nevyzkoušíme, ale smbfs s Kerberos autentizací chodit bude. Co se týká cifs a Kerbera, tak ani na Mandrivě 2008.1 (kernel 2.6.24, cifs v. 1.52) jsem nebyl úspěšný. Zřejmě si budeme muset ještě počkat.

    Příklad použití z řádky

    link

    Na následujícím příkladu ukážeme, jak uživatel josef_vosahlo připojí vzdálený souborový systém pomocí SSO. V domácím adresáři uživatele vytvoříme adresář pro připojení vzdáleného souborového systému. Nazvěme jej třeba "smbfs". Adresář musí být vlastněn uživatelem, který bude souborový systém připojovat.

    [josef_vosahlo@pc1 ~]$ mkdir smbfs

    Souborový systém připojíme příkazem smbmount. Parametr -o krb zajistí použití Kerberos autentizace.

    [josef_vosahlo@pc1 ~]$ smbmount //srv-file1/cifs_share ./smbfs/ -o krb,debug=3
    Warning: kerberos support will only work for samba servers
    mount.smbfs started (version 3.0.24)
    added interface ip=172.16.51.130 bcast=172.16.51.255 nmask=255.255.255.0
    resolve_lmhosts: Attempting lmhosts lookup for name srv-file1<0x20>
    resolve_wins: Attempting wins lookup for name srv-file1<0x20>
    resolve_wins: WINS server resolution selected and no WINS servers listed.
    resolve_hosts: Attempting host lookup for name srv-file1<0x20>
    Connecting to 172.16.51.12 at port 445
    Doing spnego session setup (blob length=114)
    got OID=1 2 840 113554 1 2 2
    got OID=1 2 840 48018 1 2 2
    got OID=1 3 6 1 4 1 311 2 2 10
    got principal=cifs/srv-file1.firma.local@FIRMA.LOCAL
    Doing kerberos session setup
    ads_cleanup_expired_creds: Ticket in ccache[FILE:/tmp/krb5cc_10002_CRxQxM] expiration Po, 23 ?en 2008 00:04:12 CEST
    

    Pomocí příkazů mount a ls ověříme, že naše počínání bylo úspěšné.

    [josef_vosahlo@pc1 ~]$ mount
    ...
    //srv-file1/cifs_share on /home/josef_vosahlo/smbfs type smbfs (0)
    
    [josef_vosahlo@pc1 ~]$ ls -l /home/josef_vosahlo/smbfs/
    celkem 8
    drwxr-xr-x 1 josef_vosahlo firma_users 4096 kv? 18 14:50 finance/
    drwxr-xr-x 1 josef_vosahlo firma_users 4096 kv? 19 22:05 vyroba/
    

    Příklad použití z GUI

    link

    To samé jako v předchozím příkladě lze provést pomocí šikovného programu Smb4K pohodlně z GUI. Nastavíme autentizaci pomocí Kerbera a použití smbfs (ne cifs).

    sso 06 smb4k opt samba general sso 06 smb4k opt samba mount sso 06 smb4k network browser

    ...a po pár mrštných kliknutích se můžeme kochat výsledkem v Konqueroru.

    sso 06 smb4k konqueror

    Konfigurace Windows klienta

    link

    Když si hrajeme se Sambou, nevyhnutelně musí přijít řeč i na Windows. Můžeme použít Windows jako klienta pro takto nakonfigurovanou Sambu? Můžeme! Vytvoříme si nový testovací stroj pc3.firma.local s nainstalovanými Windows XP.

    Základní systémová nastavení

    link

    V našem testovacím prostředí jsme dosud nezavedli DNS, musíme tedy i na Windows vyřešit překlad jmen na IP adresy pomocí lokálního souboru hosts.

    # Soubor C:\WINDOWS\system32\drivers\etc\hosts na stroji pc3.firma.local
    
    127.0.0.1		localhost
    172.16.51.10	srv-infra1.firma.local	srv-infra1
    172.16.51.12	srv-file1.firma.local 	srv-file1
    

    Windows jako člen Kerberos realmu

    link

    Každý ví, že Windows mouhou být členem domény, ale ne každý ví, že Windows mohou být také členem Kerberos realmu. Zřejmě proto, protože pro druhou možnost neexistuje žádné "klikátko". Budeme postupovat podle návodu přímo od Microsoftu.

    Krok 1 - vytvoření principalu
    link

    Vytvoříme pro náš Windows stroj principal host/pc3.firma.local opět pomocí nástroje kadmin. Principal vytvoříme s heslem, které si musíme pamatovat. Budeme jej potřebovat při konfiguraci Windows.

    kadmin:  addprinc -e des-cbc-crc:normal -pw P@ssw0rd host/pc3.firma.local@FIRMA.LOCAL
    WARNING: no policy specified for host/pc3.firma.local@FIRMA.LOCAL; defaulting to no policy
    Principal "host/pc3.firma.local@FIRMA.LOCAL" created.
    
    Krok 2 - nastavení realmu ve Windows
    link

    K nastavení Kerbera slouží ve Windows příkaz ksetup. Tento nástroj je součástí Windows Support Tools, jejichž instalační balík najdeme na instalačním CD Windows XP ve složce \Support\Tools. Support Tools jsem nainstaloval do složky C:\Program Files\Support Tools. Příkaz ksetup pochopitelně spouštíme pod účtem s administrátorským oprávněním. To, že jsou Windows členem realmu FIRNA.LOCAL, jim řekneme následujícím příkazem.

    C:\Program Files\Support Tools>ksetup /setdomain FIRMA.LOCAL
    Setting Dns Domain
    NOTE: /SetDomain requires a reboot to take effect
    
    Krok 3 - nastavení KDC ve Windows
    link

    Také musíme Windows sdělit, kde mají hledat KDC...

    C:\Program Files\Support Tools>ksetup /addkdc FIRMA.LOCAL srv-infra1.firma.local
    
    NOTE: /AddKdc requires a reboot to take effect on pre-SP1 Win2000 computers
    
    Krok 4 - nastavení hesla principalu stroje
    link

    ...a také heslo k principalu stroje zadané v kroku 1.

    C:\Program Files\Support Tools>ksetup /setmachpassword P@ssw0rd
    Setting computer password
    NOTE: /SetMachPassword requires a reboot to take effect.
    
    Krok 5 - restart
    link

    Restart samozřejmě nesmí chybět ;-).

    Přihlašování uživatelů do Windows pomocí Kerbera

    link

    Nyní máme Windows nastaveny tak, aby zvládly autentizaci uživatele pomocí Kerbera. Nicméně, uživatel se ještě přihlásit nemůže, neboť nemá žádný uživatelský účet. Windows si bohužel umějí vzít infomrace o uživatelských účtech pouze z řadiče domény, který nemáme, a naše Windows nejsou ani jako člen domény konfigurovány. Zbývají tedy pouze lokální účty. Následující konfigurace je v podstatě analogická ke konfiguraci klienta v 2. dílu seriálu. Windows umožňují vytvořit asociaci mezi principalem a lokálním uživatelským účtem. Můžeme buď vytvořit asociaci mezi konkrétním principalem a konkrétním lokálním účtem, nebo můžeme asociovat všechny principaly a lokální účty stejného jména. My si vybereme druhou variantu. Ke slovu přijde opět příkaz ksetup.

    C:\Program Files\Support Tools>ksetup /mapuser * *

    Příkazem ksetup bez parametrů lze prohlédnout aktuální konfiguraci Kerbera ve Windows.

    C:\Program Files\Support Tools>ksetup
    default realm = FIRMA.LOCAL (external)
    FIRMA.LOCAL:
            kdc = srv-infra1.firma.local
            Realm Flags = 0x0 none
    Mapping all users (*) to a local account by the same name (*).
    

    Nyní zbývá vytvořit zmíněné lokální účty pro jednotlivé uživatele. Lokální uživatelský účet má pochopitelně také své heslo, ale to my využívat nechceme, proto jej nastavíme na něco pekelného, co uživatel nikdy neuhodne. Tím máme Windows nakonfigurované a můžeme začít směle experimentovat.

    sso 06 win uzivatel

    Připojení vzdáleného souborového systému

    link

    Přihlásíme se do Windows jako uživatel josef_vosahlo. Uživatel se autentizuje proti Kerberos realmu FIRMA.LOCAL.

    sso 06 win login

    Připojíme vzdálený souborový systém s UNC cestou \\srv-file1.firma.local\cifs_share jako jednotku Z:. Pokud jsem někde neudělali chybu, můžeme procházet disk vzdáleného serveru.

    sso 06 win mount

    sso 06 win vypis

    Triky, které je dobré znát

    link

    Logování Kerberos operací ve Windows

    link

    Hrát si s Kerberem na Windows nemusí být vždy úplně bez problémů. Důležité je vědět, jak Windows donutit logovat Kerberos operace. To hravě zajistí několik odvážných kliků v ďábelském nástroji regedit.

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos]
    "LogLevel"=dword:00000001
    "KerbDebugLevel"=dword:c0000043
    "LogToFile"=dword:00000001
    

    Detailnější výpis můžeme mít, pokud nastavíme KerbDebugLevel na hodnotu ffffffff. Log najdeme v souboru C:\Windows\System32\lsass.log.

    Krátká versus dlouhá jména

    link

    Řekněme, že používáme nástroj Místa v síti. Proklikáme celou dlouhou cestu Místa v síti\Celá síť\Síť Microsoft Windows, klikneme na náš server srv-file1 a posledním mocným klikem se snažíme otevřít složku cifs_share. Místo obsahu složky nás Windows odmění autentizačním dialogem.

    sso 06 win mista v siti

    sso 06 win srv file1

    sso 06 win cifs share

    To jsme sice v našem SSO prostředí nečekali, nicméně pokorně vyplníme přihlašovací údaje uživatele josef_vosahlo v bláhové naději, že toto snažení nebude marné. Samozřejmě marné je. Proč? Odpověď najdeme v logu našeho KDC (/var/log/kerberos/krb5kdc.log).

    ...
    Jul 17 02:20:44 srv-infra1.firma.local krb5kdc[2977](info): AS_REQ (7 etypes {23 -133 -128 3 1 24 -135}) 172.16.51.133: ISSUE: authtime 1216254044, etypes {rep=3 tkt=16 ses=1}, josef_vosahlo@FIRMA.LOCAL for krbtgt/FIRMA.LOCAL@FIRMA.LOCAL
    Jul 17 02:20:44 srv-infra1.firma.local krb5kdc[2977](info): TGS_REQ (7 etypes {23 -133 -128 3 1 24 -135}) 172.16.51.133: UNKNOWN_SERVER: authtime 1216254044,  josef_vosahlo@FIRMA.LOCAL for cifs/srv-file1@FIRMA.LOCAL, Server not found in Kerberos database
    ...
    

    Zdá se, že při "klikání na ikony počítačů" Windows XP pracují s krátkým jménem počítače. Principaly v databázi Kerbera mají na pozici instance plné doménové jméno počítače, není tedy divu, že principal služby v zadaném tvaru nemůže být v databázi nalezen. Pokud v adresním řádku zadáme plné doménové jméno serveru, vše funguje správně.

    Závěr

    link

    V dnešním dílu jsem od Linuxu zabrousil poněkud k Windows. Doufám, že se na mě nebudou čtenáři zlobit. Činil jsem tak ve snaze po nalezení Svatého grálu naprosté a ničím nerušené interoperability a kompatibility mezi operačními systémy dneška. V příštím dílu seriálu si budeme povídat o webových službách. Ukážeme si, jak si s Kerberem rozumí Apache, Firefox, Konqueror a Internet Explorer ;-).

    Nejčtenější články posledního měsíce

    HW novinky: podzimní přehled #1
    Týden na ScienceMag.cz: Nanotechnologie pomocí laseru
    Jaderné noviny – 9. 11. 2017: Novinky v testování jádra sebou samým

    Nejkomentovanější články posledního měsíce

    HW novinky: podzimní přehled #1
    Týden na ScienceMag.cz: Kde se berou pozitrony
    Týden na ITBiz.cz – Na ČVUT detekují Parkinsonovu chorobu pomocí analýzy řeči
      všechny statistiky »

    Seriál Centrální správa účtů a Single Sign-On (dílů: 8)

    Centrální správa účtů a Single Sign-On v Linuxu (první díl)
    <—« Kerberos a SSO: sdílení souborů - NFS4
    »—> Kerberos, SSO a web
    Kerberos a LDAP (poslední díl)

    Související články

    Integrace linuxového serveru do domény Windows 2003
    NFS+NIS+LTSP - přihlašování na server
    OpenSSH - bezpečně a pohodlně
    OpenSSH - více než jen Secure Shell
    SSL - je vaše bezpečné připojení opravdu zabezpečené?
    SSL - 1 (certifikáty)
    SSL - 2 (elektronický podpis)
    IPTraf - sledování sítě v reálném čase
    Podepisování a šifrování s GnuPG
    Samba - Linux jako server v sítích s Windows
    PEAR - III (Autentizace)
    Čo keď nechodí sieť?
    Mailserver s odvirováním pošty

    Odkazy a zdroje

    CIFS VFS
    Step-by-Step Guide to Kerberos 5 (krb5 1.0) Interoperability
    Kerberos Authentication in Windows Server 2003
    Troubleshooting Kerberos Errors
    Kerberos interoperability
    Making WindowsXP authenticate login to a UNIX MIT KDC

    Další články z této rubriky

    V sobotu se uskuteční konference CryptoFest
    Pozor na androidové aplikace
    Silent Circle představil bezpečný smartphone Blackphone 2
    Android je bezpečnější, řada hrozeb však stále přetrvává
    Avast varuje před nebezpečnými aplikacemi v Google Play
           

    Hodnocení: 100 %

            špatnédobré        

    Nástroje: Tisk bez diskuse

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    24.7.2008 01:07 VSi | skóre: 28
    Rozbalit Rozbalit vše Re: Kerberos a SSO: Samba
    Díky za skvělé pokračování seriálu, takové shrnutí konfigurace všech služeb jsem nenalezl ani v angličtině.

    Pokud se Samba nastaví jako v článku, je možné používat současně i klasické ověřování pro klienty bez Kerbera?

    Měl bych jeden dotaz. Nezkoušel někdo, jestli ksetup /mapuser * * funguje i na uživatele z NT4 domény (Samba PDC). Mám Samba PDC, což funguje bezvadně a takhle by se to dalo "bezbolestně" rozšířit o Kerberos. (Samozřejmě vím o Active Directory.)
    24.7.2008 08:18 .
    Rozbalit Rozbalit vše Re: Kerberos a SSO: Samba
    Uf, už sem ani nedoufal, že se objeví pokračování. Po hodně dlouhé době konečně nějaký pořádný a užitečný seriál. Díky autore, máš můj obdiv. Hned to jdu zkoušet :)
    Drom avatar 24.7.2008 22:15 Drom | skóre: 24 | Kdyne
    Rozbalit Rozbalit vše Re: Kerberos a SSO: Samba
    +1 Ale vyzkousim to az za par dni :)
    Delej si co chces, ale hlavne me s tim neotravuj. Ja na SW patenty neverim!
    24.7.2008 09:24 Marek
    Rozbalit Rozbalit vše Re: Kerberos a SSO: Samba
    Ano, diky za vyborny clanek ... ale neco jednodussiho by nebylo?

    eM
    24.7.2008 09:46 gnome-hater
    Rozbalit Rozbalit vše Re: Kerberos a SSO: Samba
    co třeba AD od MS? :)
    24.7.2008 13:28 xindl | skóre: 2 | blog: SALAM_OLEJKUM
    Rozbalit Rozbalit vše Re: Kerberos a SSO: Samba
    skrytý komentář Náš administrátor shledal tento komentář závadným.

    vulgární

    Zobrazit komentář
    Voty avatar 24.7.2008 10:56 Voty | skóre: 12 | blog: gemini
    Rozbalit Rozbalit vše Re: Kerberos a SSO: Samba
    Ten ksetup.exe, znamena to, ze i Windows XP Home by se dalo zridit SSO? To by ale nebylo vubec marne. To budu muset jeste dneska vyzkouset, asi se opet nevyspim.
    Jednu rozbil a tu druhou ztratil.
    24.7.2008 14:06 Jirka | skóre: 36
    Rozbalit Rozbalit vše Re: Kerberos a SSO: Samba
    IMHO ne, protože Home nepřipojíš do domény.
    oryctolagus avatar 24.7.2008 11:23 oryctolagus | skóre: 29 | blog: Untitled
    Rozbalit Rozbalit vše Re: Kerberos a SSO: Samba
    v clanku by melo byt
    s/KDC ce Windows/KDC ve Windows, neni liz pravda?
    There are two hard things in computer science: cache invalidation, naming things, and off-by-one errors.
    24.7.2008 11:45 Robert Krátký | skóre: 94 | blog: Robertův bloček
    Rozbalit Rozbalit vše Re: Kerberos a SSO: Samba
    Dík, opraveno.
    25.7.2008 00:51 Kyosuke | skóre: 28 | blog: nalady_v_modre
    Rozbalit Rozbalit vše Re: Kerberos a SSO: Samba
    Author for president! Z toho by se měl napsat manuál. ;-)
    25.7.2008 10:18 .
    Rozbalit Rozbalit vše Re: Kerberos a SSO: Samba
    Ještě dotaz: jak je to s Vistamy? Máte nějaké zkušenosti, lze je přiohnout aby používaly kerberos?
    25.7.2008 20:28 Palo
    Rozbalit Rozbalit vše Re: Kerberos a SSO: Samba
    Este moje skusenosti s touto bestion (windows): Vzdy si ksetup stiahnite poslednu verziu. Na niektorych strojoch sa neinstaluju fixpaky (rozne dovody) a starsie ksetup maju problemy s lustenim klucov. Zadavate spravne heslo a on ho nevie rozlusknut.

    A snad uz iba jedna bezpecnostna, kluce neprenasajte po sieti. Radsej si ich kopnite na USB kluc a preneste do cieloveho pocitaca. To je vhodne pre hostile podmienky beznej pocitacovej firmy ;-) nikdy neviete kto kde nacuva.
    26.7.2008 08:21 maker007
    Rozbalit Rozbalit vše Re: Kerberos a SSO: Samba - pochybnosti o použitelnosti
    Nevím ale skutečnost, že musím vytvářet lokální účty stejného jména dělá tuto metodu nepoužitelnou ve firemním prostředí. Nedokážu si představit, že budu při každém přidání uživatele obíhat všechny počítače a vytvářet lokální účty. Jestli windows neumí vytvořit ten lokální účet automaticky tak to je na nic. Zrovna tak uživatele nepochopí proč se nemůžou doklikat ke serveru v okolních počítačích.
    29.7.2008 13:59 ZiGi
    Rozbalit Rozbalit vše Re: Kerberos a SSO: Samba - pochybnosti o použitelnosti
    lokany ucet sa moze vytvorit aj sam, pri prihlaseni. ak pouzivatelia nahodne pristupuju ku vsetkym pocitacom v realme, postrupne budu mat vsade lokalne ucty. skoda, ze nefunguju roaming profiles.
    Drom avatar 29.7.2008 16:36 Drom | skóre: 24 | Kdyne
    Rozbalit Rozbalit vše Re: Kerberos a SSO: Samba - pochybnosti o použitelnosti
    Cestovni profily jsou pro bezny uzivatele celkem nepouzitelny. Cekani na stazeni dat, kde nekolik giga delaji zabavny videa a tak, to se clovek taky prihlasi treba za dve minuty :) A ne, nepomuze, kdyz lidem reknete, ze si to maji ukladat na nejakej sitovej disk, aby se to netahalo s profilem.
    Delej si co chces, ale hlavne me s tim neotravuj. Ja na SW patenty neverim!
    29.7.2008 16:43 Kyosuke | skóre: 28 | blog: nalady_v_modre
    Rozbalit Rozbalit vše Re: Kerberos a SSO: Samba - pochybnosti o použitelnosti
    Tyhle věci nejdou zakázat? Já myslel, že i normální síťové domovské složky na SMB/CIFS se dají vytvářet.
    23.8.2008 19:57 Marv-CZ | skóre: 21
    Rozbalit Rozbalit vše Re: Kerberos a SSO: Samba - pochybnosti o použitelnosti
    To řeším jednoduše tak, že nastavím "Dokumenty" na síťový disk.
    spes avatar 10.8.2009 17:02 spes
    Rozbalit Rozbalit vše Re: Kerberos a SSO: Samba - pochybnosti o použitelnosti

    Zajimalo by me jak zajistit, aby se lokalni ucet vytvoril sam.

    27.7.2008 18:27 DNA
    Rozbalit Rozbalit vše Re: Kerberos a SSO: Samba
    super článek, jen ten lokalizovaný shell to kazí otazníky (i proto nepoužívám lokalizaci)...

    Založit nové vláknoNahoru

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.