abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
eParkomat, startup z ČR, postoupil mezi finalisty evropského akcelerátoru ChallengeUp!
Robot na pivo mu otevřel dveře k opravdovému byznysu
Internet věcí: Propojený svět? Už se to blíží...
včera 17:02 | Pozvánky

Přijďte si popovídat o open source obecně a openSUSE konkrétně s dalšími uživateli a vývojáři. Oslava nového vydání openSUSE Leap se uskuteční 16. prosince od 17:00 v nových prostorách firmy SUSE v Praze. K dispozici bude nějaké občerstvení a DVD pro ty, kdo je sbírají nebo ještě mají mechaniku. Po párty v kanceláři se bude pokračovat v některé z hospod v okolí.

Miška | Komentářů: 7
včera 14:55 | Zajímavý software

Byla vydána verze Alpha 1.0 otevřeného operačního systému pro chytré hodinky AsteroidOS. Podporovány jsou hodinky LG G Watch, LG G Watch Urbane, Asus ZenWatch 2 a Sony Smartwatch 3. Ukázka ovládání hodinek na YouTube. Jaroslav Řezník přednášel o AsteroidOS na chytrých hodinkách (videozáznam) na letošní konferenci OpenAlt.

Ladislav Hagara | Komentářů: 0
včera 13:30 | Zajímavý software

Byly uvolněny zdrojové kódy známé rogue-like hry DoomRL. Počátky hry jsou v roce 2002. Je napsána ve FreePascalu a zdrojový kód je nyní k dispozici na GitHubu pod licencí GNU GPL 2.0. Autor pracuje na nové hře Jupiter Hell, která je moderním nástupcem DoomRL a na jejíž vývoj shání peníze prostřednictvím Kickstarteru.

Blaazen | Komentářů: 0
včera 13:15 | Pozvánky

Přijďte s námi oslavit vydání Fedory 25. Na programu budou přednášky o novinkách, diskuse, neřízený networking atd. Release Party se bude konat 16. prosince v prostorách společnosti Etnetera. Na party budou volně k dispozici také propagační materiály, nová DVD s Fedorou 25 a samozřejmě občerstvení. Přednášky budou probíhat v češtině. Pro více informací se můžete podívat na web MojeFedora.cz. Jen připomínám, že tentokrát jsme zavedli

… více »
frantisekz | Komentářů: 0
9.12. 16:38 | Komunita

Byly zveřejněny videozáznamy přednášek a workshopů z letošní konference OpenAlt konané 5. a 6. listopadu v Brně. K videozáznamům lze přistupovat ze stránky na SuperLectures nebo přes program konference, detaily o vybrané přednášce nebo workshopu a dále kliknutím na ikonku filmového pásu. Celkově bylo zpracováno 65 hodin z 89 přednášek a workshopů.

Ladislav Hagara | Komentářů: 0
9.12. 11:30 | Komunita

Bylo oznámeno, že bude proveden bezpečnostní audit zdrojových kódů open source softwaru pro implementaci virtuálních privátních sítí OpenVPN. Audit provede Matthew D. Green (blog), uznávaný kryptolog a profesor na Univerzitě Johnse Hopkinse. Auditována bude verze 2.4 (aktuálně RC 1, stabilní verze je 2.3.14). Audit bude financován společností Private Internet Access [reddit].

Ladislav Hagara | Komentářů: 4
9.12. 06:00 | Komunita

Na YouTube byl publikován Blender Institute Reel 2016, ani ne dvouminutový sestřih z filmů, které vznikly za posledních 10 let díky Blender Institutu. V institutu aktuálně pracují na novém filmu Agent 327. Dění kolem filmu lze sledovat na Blender Cloudu. Videoukázka Agenta 327 z června letošního roku na YouTube.

Ladislav Hagara | Komentářů: 0
9.12. 01:02 | Zajímavý článek

Minulý týden byly vydány verze 1.2.3 a 1.1.7 webového poštovního klienta Roundcube. V oznámení o vydání bylo zmíněno řešení bezpečnostního problému nalezeného společností RIPS a souvisejícího s voláním funkce mail() v PHP. Tento týden byly zveřejněny podrobnosti. Útočník mohl pomocí speciálně připraveného emailu spustit na serveru libovolný příkaz. Stejně, jak je popsáno v článku Exploit PHP’s mail() to get remote code execution z roku 2014.

Ladislav Hagara | Komentářů: 1
8.12. 16:00 | Nová verze

Byla vydána verze 0.98 svobodného nelineárního video editoru Pitivi. Z novinek lze zmínit například přizpůsobitelné klávesové zkratky. Videoukázka práce s nejnovější verzí Pitivi na YouTube.

Ladislav Hagara | Komentářů: 1
8.12. 15:00 | Zajímavý software

Stop motion je technika animace, při níž je reálný objekt mezi jednotlivými snímky ručně upravován a posouván o malé úseky, tak aby po spojení vyvolala animace dojem spojitosti. Jaký software lze pro stop motion použít na Linuxu? Článek na OMG! Ubuntu! představuje Heron Animation. Ten bohužel podporuje pouze webové kamery. Podpora digitálních zrcadlovek je začleněna například v programu qStopMotion.

Ladislav Hagara | Komentářů: 5
Kolik máte dat ve svém domovském adresáři na svém primárním osobním počítači?
 (32%)
 (23%)
 (29%)
 (7%)
 (5%)
 (3%)
Celkem 810 hlasů
 Komentářů: 50, poslední 29.11. 15:50
Rozcestník
Reklama

Dotaz: Kde ziskat LDAP adresu?

houska avatar 24.4.2006 15:45 houska | skóre: 41 | blog: HW
Kde ziskat LDAP adresu?
Přečteno: 292×
Zdravim,
stavim fileserver s pomoci samby podle tohoto navodu. Docel jsem az k otestovani pristupu pomoci prikazu ldapsearch.
Konkretne je to:
ldapsearch -x -W -h 10.8.8.1 -b "cn=users,dc=windom,dc=diiradu,dc=cz" -D "cn=Kucera Jaromir,cn=users,dc=windom,dc=diiradu,dc=cz" "sAMAccountName=*" sAMAccountName
Myslel jsem si, ze pokud vezmu a zmenim to co je v uvozovkach za "-D" od konce: CZ zustane, diiradu-zmenim na domenu druheho radu, windom-domena windows, users-skupina ve ktere jsem clenem, Kucera Jaromir-zmenim na sve jmeno uvedene na domenovem radici. Prepsal jsem tohle i tu cast uvedenou v uvozovkach za "-b" a ono nic porad pise chybu "Invalid credentials". Tak jsem se jal hledat neco o LDAP a na rootu jsem nasel toto a tam je format uveden uplne jiny, ale ani s nim mi to nefunguje.
Najde se tu nekdo kdo vi jaky to jmeno ma mit tvar?
Kde ho najdu ve Windows 2K server?
Dik

Odpovědi

24.4.2006 16:34 podlesh | skóre: 37 | Praha
Rozbalit Rozbalit vše Re: Kde ziskat LDAP adresu?
Z konce: CZ zustane, diiradu-zmenim na domenu druheho radu, windom-domena windows, users-skupina ve ktere jsem clenem, Kucera Jaromir-zmenim na sve jmeno uvedene na domenovem radici
Ne, to Users se za nic nenahrazuje, to tam patří. Jako příklad vezmu část dumpu LDAP domény na jednom Windows 2003 serveru:
dn: CN=Administrator,CN=Users,DC=server,DC=firma,DC=cz
description: Built-in account for administering the computer/domain
Jediné co jsem nahradil jsou části označené italikou (je tam název serveru a název firmy zákazníka).
24.4.2006 18:15 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Kde ziskat LDAP adresu?
Pokud stavíš Samba server, který bude uživatele ověřovat proti LDAP serveru (nejspíš OpenLDAP), musíš zprovoznit vlastní LDAP server, a tam si můžeš dát adresu jakou chceš – v tomhle případě Windows vůbec nejsou potřeba.

Pokud chceš, aby Samba byla součástí Windows domény, použij security = domain a žádný LDAP nepotřebuješ.

Pokud fakt chceš používat AD jako LDAP server pro Sambu, ale aby Samba nebyla součástí domény, pak asi musíš dobře vědět, co děláš, a bez hlubší znalosti LDAP to asi nepůjde :-)
houska avatar 24.4.2006 19:31 houska | skóre: 41 | blog: HW
Rozbalit Rozbalit vše Re: Kde ziskat LDAP adresu?
No v tom je prave ten problem, ja vlastne ani nevim co potrebuju a co je mi k nicemu.
Cil ma byt asi tento: mam domenovy radic-win2K a chci souborovy server, ktery bude overovat uzivatele oproti domenovemu radici. Cetl jsem knizku "Samba-linux server v sitich windows" a tam to delaj jen s pomoci samby a winbindu, v clanku tady na abicku "integrace do domeny windows" (nebo tak nejak), tam to delaji s kerberosem, PAM, a LDAP.
24.4.2006 20:12 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Kde ziskat LDAP adresu?
Na ověřování proti doméně by mělo stačit v smb.conf:
[global]
  security=domain
  password server = jmeno_domenoveho_radice #(DNS jmeno nebo IP adresa)
Problém je s tím, jakého typu je to doména - zda stará NT4 (mohou se k ní připojovat i Windows NT), nebo čistá AD (síť s pouze W2K a vyšší) [omlouvám se za termíny, ale už si nepamatuji, jak tomu MS říká].

Dříve Samba uměla jen ten starší typ, já to tak také používám, takže s AD nemám zkušenosti. Ale teoreticky podle letmého prohlédnutí dokumentace by se Samba měla umět připojit i do čisté AD domény (ale neumí sama vystupovat jako řadič AD domény, to umí jen pro staré domény). Pak by místo
  security=domain
bylo
  security=ADS
Ale to už opravdu jen teoretizuju po zběžném prolétnutí dokumentace.

V obou případech nepotřebujete LDAP, Samba provádí autorizaci přes doménový řadič.
24.4.2006 20:17 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Kde ziskat LDAP adresu?
Jo, pravda, ještě je potřeba nějak dostat do Linuxu ty uživatele z Windows. To umí IMHO právě winbind - autorizace z Linuxu se převede přes winbind na autorizaci oproti Sambě. S tím také neporadím…

Každopádně bych doporučil nejdřív si vytvořit cvičného uživatele přímo v Linuxu (adduser nebo něco takového, prostě přímo v /etc/passwd), který bude mít stejné přihlašovací jméno, jako nějaký cvičný uživatel z Windows. Pak rozchodit autorizaci Samby proti té doméně. Až tohle bude fungovat, řešil bych dál jak udělat, aby uživatelé z Windows měli "účet" i na Linuxu (tj. winbind).
houska avatar 24.4.2006 20:33 houska | skóre: 41 | blog: HW
Rozbalit Rozbalit vše Re: Kde ziskat LDAP adresu?
tohle je muj smb.conf
[global]
   workgroup = office
   server string = Gamma
   dns proxy = no
   log file = /var/log/samba/log.%m
   max log size = 1000
   syslog = 0
   security = domain
   encrypt passwords = yes
#  passdb backend = tdbsam guest
#  obey pam restrictions = yes
   invalid users = root
#  socket options = TCP_NODELAY
   domain master = no
   password server = *
   template shell = /bin/false
    realm = alpha.blabla.cz
    winbind uid = 10000-11000
    winbind gid = 10000-11000
    wins support = no
    wins server = ip.ad.re.sa
#======================= Share Definitions =======================

[share]
    browseable = yes
    writeable = yes
    path = /mnt/raid/share/
    public = yes
Pocitac jsem pridal do domeny (na radici vidim jeho ucet. Kdyz dam wbinfo -g mi vrati par builtin skupin, ale wbinfo -u mi vrati "Error looking up domain users."
No a v /etc/group a /etc/passwd po uzivatelich z domeny ani vidu ani slechu.
25.4.2006 11:40 podlesh | skóre: 37 | Praha
Rozbalit Rozbalit vše Re: Kde ziskat LDAP adresu?
No a v /etc/group a /etc/passwd po uzivatelich z domeny ani vidu ani slechu.
Jenom poznámka - to tak bude vždy, winbind samozřejmě používá nss a do /etc/{passwd,group} samozřejmě nic nezapisuje. Je nutné ho přidat do /etc/nsswitch.conf, ale to je v dokumentaci.
houska avatar 25.4.2006 08:42 houska | skóre: 41 | blog: HW
Rozbalit Rozbalit vše Re: Kde ziskat LDAP adresu?
Je to domena ve ktere jsou jen 2K a XP.
Mamm v tom fakt hroznej hokej, zkusim dneska zacit uplne odznova protoze jsem tam nainstaloval i to co jsem nemel a zkusim tehnle navod: http://www.debian-administration.org/articles/340, snad budu uspesnejsi.
25.4.2006 10:51 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Kde ziskat LDAP adresu?
Tenhle postup by měl odpovídat vašim požadavkům, tak to snad půjde :-)
houska avatar 25.4.2006 15:46 houska | skóre: 41 | blog: HW
Rozbalit Rozbalit vše Re: Kde ziskat LDAP adresu?
Tak jsem jel podle toho naodu a vypada to o neco lepe nez pred tim. smb.conf:
[global]
security = ads
password server = alpha
encrypt passwords = yes
workgroup = OFFICE
realm = OFFICE.bla.CZ
netbios name = gamma
domain master = no
wins server = ip.ad.re.sa
idmap uid = 10000-15000
idmap gid = 10000-15000
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = Yes
winbind cache time = 5 
winbind use default domain = Yes
winbind trusted domains only = Yes
winbind separator = '\'

[public]
path = /mnt/raid
writeable = Yes
create mode = 0666
valid users = @"Domain Users"

wbinfo -g mi vrati skupiny na DC ale wbinfo -u mi vrati uziv. jm, ale bez domeny: tzn misto "OFFICE\chroustal" mi vrati jen "chroustal"

z windows se neprihlasim
25.4.2006 16:13 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Kde ziskat LDAP adresu?
A getent passwd jmeno_uživatele (bez domény) vrátí informace o uživateli? Nevím, co přesně má vypisovat wbinfo, ale na Linuxu by uživatelé měli být bez domény (tj. pokud se chci ve Windows hlásit jako chroustal do domény OFFICE, uživatel v Linuxu musí být chroustal).

Pokud přihlášení stále nejde, je potřeba si v Sambě zapnout logování (třeba úroveň 10) a pak se podívat do logu, v čem je problém.
houska avatar 25.4.2006 16:32 houska | skóre: 41 | blog: HW
Rozbalit Rozbalit vše Re: Kde ziskat LDAP adresu?
getent passwd jmeno_uziv nevrati vubec nic, protoze jak uz jsem tady psal passwd jmena uzivatelu z domeny neobsahuje.

To logovani zkusim, ale dneska uz na to nemam silu :(
25.4.2006 16:52 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Kde ziskat LDAP adresu?
To je jinak :-) /etc/passwd jména uživatelů neobsahuje, ale Linux musí ty uživatele znát. Což se (mimo možnosti ručního přidávání do /etc/passwd) zařídí právě tím winbindem. No a getent passwd pak používá stejnou funkci jádra, jako Samba, pro získání informací o uživateli (především převod na uid, dál třeba primární skupina). Takže getent passwd právě musí vracet info o uživateli.

Aby se údaje nečetli (jen) z /etc/passwd, používá se NSS - tam musíte mít nasatveno, že pro passwd, asi shadow a groups se má používat i winbind. V /etc/nsswicth.conf tedy bude třeba:
passwd:      files winbind
group:       files winbind
Když to budete zkoušet, pozor na to, ve kterém okamžiku se tento soubor zpracovává – nejjednoduší je zkoušet to vždy v úplně novém shellu, pozor taky na nscd (služba kešující NSS). Kolikrát jsem se divil, že se nic nezměnilo, ale data byla nakešovaná…
houska avatar 25.4.2006 18:56 houska | skóre: 41 | blog: HW
Rozbalit Rozbalit vše Re: Kde ziskat LDAP adresu?
gamma:~#cat /etc/nsswitch.conf
# /etc/nsswitch.conf
passwd:         compat winbind
group:          compat winbind
shadow:         compat

hosts:          files dns
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files
netgroup:       nis
.. ja uz vazne nevim :(
houska avatar 25.4.2006 19:13 houska | skóre: 41 | blog: HW
Rozbalit Rozbalit vše Re: Kde ziskat LDAP adresu?
tohle nastaveni jsem od instalace nemenil, takze nakesovany to snad nebude, nekolikrat jsem mezitim restartoval
nemuze byt problem v spis v tom nastaveni smb.conf nebo ze jsem na neco zapomel?
25.4.2006 19:19 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Kde ziskat LDAP adresu?
nmbd a winbindd na tom počítači předpokládám běží a ani po přihlášení do nového shellu getent passwd username nevypíše nic.

Tak jedině zkusit zvýšit winbindu debugovací úroveň, jestli něco vypíše do logu. Taky může pomoci tcpdumpem zjistit, zda vůbec winbind komunikuje s řadičem domény…
houska avatar 25.4.2006 20:19 houska | skóre: 41 | blog: HW
Rozbalit Rozbalit vše Re: Kde ziskat LDAP adresu?
Ano oboje bezi a ani po prihlaseni do noveho shellu tento prikaz nic nevypise.
Zkusil jsem ten tcpdump: vypnul jsem winbindd, pak jsem spustil tcpdump a kdyz bezel tak jsem winbind znovu nahodil a zkusil "getent passwd", pak jsem stopnul ten tcpdump. Vysledek jsem vybral jen to co obsahovalo ip adresu radice domeny (oznaceno ve vypisu "ip.adresa.dc.radice") a neobsahovalo slovo "domain" (bylo tam spousta DNS dotazu). Vysledek:
19:51:51.791168 arp who-has ip.adresa.dc.radice tell 192.168.2.72
19:51:51.791415 arp reply ip.adresa.dc.radice is-at 00:02:b3:51:89:9b
19:51:54.208947 IP (tos 0x0, ttl  64, id 0, offset 0, flags [DF], length: 78) 192.168.2.72.32781 > ip.adresa.dc.radice.netbios-ns: [bad udp cksum b5a7!]
19:51:54.224250 IP (tos 0x0, ttl  64, id 39789, offset 0, flags [DF], length: 218) 192.168.2.72.32781 > ip.adresa.dc.radice.kerberos:  v5
19:51:54.225697 IP (tos 0x0, ttl 128, id 54704, offset 0, flags [none], length: 276) ip.adresa.dc.radice.kerberos > 192.168.2.72.32781:
19:51:54.230104 IP (tos 0x0, ttl  64, id 39791, offset 0, flags [DF], length: 298) 192.168.2.72.32781 > ip.adresa.dc.radice.kerberos:  v5
19:51:54.232571 IP (tos 0x0, ttl 128, id 54716, offset 0, flags [none], length: 1293) ip.adresa.dc.radice.kerberos > 192.168.2.72.32781:  v5
19:51:54.237981 IP (tos 0x0, ttl  64, id 39793, offset 0, flags [DF], length: 1254) 192.168.2.72.32781 > ip.adresa.dc.radice.kerberos:
19:51:54.240820 IP (tos 0x0, ttl 128, id 54728, offset 0, flags [none], length: 1226) ip.adresa.dc.radice.kerberos > 192.168.2.72.32781:
19:51:54.264972 IP (tos 0x0, ttl  64, id 39800, offset 0, flags [DF], length: 223) 192.168.2.72.32781 > ip.adresa.dc.radice.kerberos:  v5
19:51:54.266687 IP (tos 0x0, ttl 128, id 54758, offset 0, flags [none], length: 276) ip.adresa.dc.radice.kerberos > 192.168.2.72.32781:
19:51:54.271719 IP (tos 0x0, ttl  64, id 39801, offset 0, flags [DF], length: 302) 192.168.2.72.32781 > ip.adresa.dc.radice.kerberos:  v5
19:51:54.274311 IP (tos 0x0, ttl 128, id 54771, offset 0, flags [none], length: 1271) ip.adresa.dc.radice.kerberos > 192.168.2.72.32781:  v5
19:51:54.279967 IP (tos 0x0, ttl  64, id 39803, offset 0, flags [DF], length: 1251) 192.168.2.72.32781 > ip.adresa.dc.radice.kerberos:
19:51:54.282808 IP (tos 0x0, ttl 128, id 54783, offset 0, flags [none], length: 1206) ip.adresa.dc.radice.kerberos > 192.168.2.72.32781:
19:51:54.596017 IP (tos 0x0, ttl  64, id 39882, offset 0, flags [DF], length: 218) 192.168.2.72.32781 > ip.adresa.dc.radice.kerberos:  v5
19:51:54.597607 IP (tos 0x0, ttl 128, id 54800, offset 0, flags [none], length: 276) ip.adresa.dc.radice.kerberos > 192.168.2.72.32781:
takze se zda ze si povidaji, zitra zkusim zvysit to logovani, nekde jste psal nastavit na 10, v te knizce doporucujou maximalne na 3 pak uz to pise az moc podrobne
omlouvam se za to formatovani
25.4.2006 21:47 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Kde ziskat LDAP adresu?
Vypadá to, že spolu komunikují (Kerberos neznám, atkže nedokážu posoudit, zda ta komunikace vypadá normálně). Zároveň to znamená, že getent se dotazuje winbindu, takže NSS je zřejmě nastavené OK – pak bude problém zřejmě v komunikaci winbind s doménou, buď se nedohodnou na nějakém protokolu, nebo bude spíš problém s účtem počítače. Nevím, jak je to v AD, ale u staré domény má každý počítač v doméně svůj účet (končí na $) a heslo k tomuto účtu - to si pak sám pravidelně mění. Účet v doméně jste psal, že počítač má - byl vytvořen příkazem net?
net ads join -S server -U Administrator
Koukám teď do dokumentace winbindu, že v Linuxu by měl uživatel z winbindu být jako DOMAIN<winbind separator>user_name. To by znamenalo to zkoušet jako getent passwd OFFICE\\username. Každopádně getent passwd by mělo vypsat všechny uživatele. Možná bych nejdřív zkusil nastavit winbind separator na "+", ať nejsou problémy ještě se zpětným lomítkem…

Podle dokumentace by měl být winbind i v PAMu, ale to je IMHO jen kvůli autorizaci, kvůli zjišťování informací o uživateli to snad není nutné.

To logování na úrovni 10 je asi nejvíc, co jde – vypisuje se toho opravdu hodně, je důležité mít dost velký logovací soubor a vždy udělat jenom jeden pokus, jinak se ty důležité info z logu odrolují…

Info o Sambě v ADS je v dokumentaci, je tam i jak otestovat Kerberos ověřování.
houska avatar 26.4.2006 09:59 houska | skóre: 41 | blog: HW
Rozbalit Rozbalit vše Re: Kde ziskat LDAP adresu?
gamma:~# net ads join -Ujanr
janr's password:
[2006/04/26 08:26:19, 0] libads/ldap.c:ads_add_machine_acct(1405)
  ads_add_machine_acct: Host account for gamma already exists - modifying old account
Using short domain name -- OFFICE
Joined 'GAMMA' to realm 'OFFICE.BLABLA.CZ'
gamma:~#
winbind separator jsme zmenil, samozrejme se nic nezmenilo.
Koukal jsme na tu dokumentaci. Co jste mi poslal a zasekl jsem se tady.
Pisou: Does it have an encryption type of DES-CBC-MD5?
gamma:~# klist -e
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: janr@OFFICE.NETCENTRUM.CZ

Valid starting     Expires            Service principal
04/26/06 08:38:45  04/26/06 18:38:26  krbtgt/OFFICE.NETCENTRUM.CZ@OFFICE.BLABLA.CZ
        renew until 04/26/06 18:38:45, Etype (skey, tkt): ArcFour with HMAC/md5, ArcFour with HMAC/md5
04/26/06 08:59:20  04/26/06 18:38:26  alpha$@OFFICE.BLABLA.CZ
        renew until 04/26/06 18:38:45, Etype (skey, tkt): ArcFour with HMAC/md5, ArcFour with HMAC/md5


Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached
Takze jdu hledat jak zmenit to kryptovani.
houska avatar 26.4.2006 15:36 houska | skóre: 41 | blog: HW
Rozbalit Rozbalit vše Re: Kde ziskat LDAP adresu?
tak v krb.conf jsem nasel tohle ale kdyz to zmenim stejne je to k nicemu
default_tgs_enctypes = aes256-cts arcfour-hmac-md5 des3-hmac-sha1 des-cbc-crc des-cbc-md5
default_tkt_enctypes = aes256-cts arcfour-hmac-md5 des3-hmac-sha1 des-cbc-crc des-cbc-md5
...asi pujdu prodavat banany, uz vazne nevim :(
26.4.2006 18:18 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Kde ziskat LDAP adresu?
S Kerberosem tedy neporadím :-( Jedině co se týče Samby, je možné dočasně si vytvořit příslušného uživatele v /etc/passswd a s tím otestovat zbytek.
27.4.2006 18:54 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Kde ziskat LDAP adresu?
Jestli ještě neprodáváte banány :-) zkuste se na ten Kerberos zeptat v novém příspěvku, tady už to asi nikdo nesleduje… A Kerberos ověřování proti AD doméně snad už někdo musí mít rozchozené…

Možná by teď pomohlo si "odskočit" a zkusit rozchodit připojení nějakého sdílení z W2K serveru přes smbmount právě s ověřováním přes Kerberos. Tam se snad líp odchytí, v čem je problém…
houska avatar 25.4.2006 15:47 houska | skóre: 41 | blog: HW
Rozbalit Rozbalit vše Re: Kde ziskat LDAP adresu?
Tak jsem jel podle toho naodu a vypada to o neco lepe nez pred tim. smb.conf:
[global]
security = ads
password server = alpha
encrypt passwords = yes
workgroup = OFFICE
realm = OFFICE.bla.CZ
netbios name = gamma
domain master = no
wins server = ip.ad.re.sa
idmap uid = 10000-15000
idmap gid = 10000-15000
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = Yes
winbind cache time = 5 
winbind use default domain = Yes
winbind trusted domains only = Yes
winbind separator = '\'

[public]
path = /mnt/raid
writeable = Yes
create mode = 0666
valid users = @"Domain Users"

wbinfo -g mi vrati skupiny na DC ale wbinfo -u mi vrati uziv. jm, ale bez domeny: tzn misto "OFFICE\chroustal" mi vrati jen "chroustal"

z windows se neprihlasim
25.4.2006 22:50 Arno3t | skóre: 23 | Uherské Hradiště
Rozbalit Rozbalit vše Re: Kde ziskat LDAP adresu?
Ahoj, kdyz jsem psal clanek o integraci Linuxu s Win, zkousel jsem si nekolikrat vzorove instalace modelove site ve VMware a temer si nedokazu predstavit, ze by zmineny prikaz nefungoval. Minimalne ve tvaru
ldapsearch -x -W -h 10.8.8.1 -b "cn=users,dc=windom,dc=diiradu,dc=cz" -D "cn=Administrator,cn=users,dc=windom,dc=diiradu,dc=cz"  "sAMAccountName=*" sAMAccountName
s tim, ze zmenite jen to, co nasleduje za dc. users tady nepredstavuje skupinu souvisejici s pristupovymi pravy, nybrz objekt v LDAP. Samozrejme predpokladam, ze ucet administratora na Win2k byl ponechan v puvodnim tvaru. Jmeno napsane za cn je jmeno z titulku okna ve zminenem clanku (Kucera Jaromir Properties). Integrovat jediny linux server s ADS na Win2k, jak je to popsano v clanku, neni asi efektivni. Velmi dobry smysl to ma vsak tehdy, kdyz je Linuxu se Sambou v siti vic a a je podstatne, aby na kazdem Linuxu bylo temuz uzivateli vzdy prirazeno totez uid - to je dulezite pro interoperabilitu mezi Linuxy (napr. NFS). Zkuste se podivat na Samba-Guide. Snad vam zvlaste kapitola 7 pomuze ve volbe pro vas nejvhodnejsi konfigurace. Pokud nechcete vyuzivat LDAP muzete pouzit pouze vlastnosti Win2k spolecne s NT4 (NT4/Samba).
houska avatar 26.4.2006 10:06 houska | skóre: 41 | blog: HW
Rozbalit Rozbalit vše Re: Kde ziskat LDAP adresu?
Ahoj,
dik moc za reakci, ale uz jsem postoupil k tomu ze LDAP vlastne nepotrebuju. Mam v tom ale porad peknej bordel a ta dokumentace k tomu moc neprida, neni zrovna z nejprehlednejsich :(
samba je ale zvlastni kus software ...

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.