abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

včera 23:55 | Pozvánky

Spolek OpenAlt zve příznivce otevřených technologií a otevřeného přístupu na 145. brněnský sraz, který proběhne v pátek 20. října od 18:00 hodin v restauraci Time Out na adrese Novoměstská 2 v Řečkovicích. Jedná se o poslední sraz před konferencí OpenAlt 2017, jež proběhne o víkendu 4. a 5. listopadu 2017 na FIT VUT v Brně. Běží registrace účastníků.

Ladislav Hagara | Komentářů: 0
včera 21:44 | Nová verze

Byla vydána verze 5.2.0 multiplatformního virtualizačního nástroje Oracle VM VirtualBox. Jedná se o první stabilní verzi z nové větve 5.2. Z novinek lze zmínit například možnost exportování VM do Oracle Cloudu, bezobslužnou instalaci hostovaného systému nebo vylepšené GUI. Podrobnosti v seznamu změn. Aktualizována byla také dokumentace.

Ladislav Hagara | Komentářů: 1
včera 14:00 | Zajímavý projekt

Byl spuštěn Humble Down Under Bundle. Za vlastní cenu lze koupit multiplatformní hry The Warlock of Firetop Mountain, Screencheat, Hand of Fate a Satellite Reign. Při nadprůměrné platbě (aktuálně 3,63 $) také Hacknet, Hacknet Labyrinths, Crawl a Hurtworld. Při platbě 12 $ a více lze získat navíc Armello.

Ladislav Hagara | Komentářů: 0
včera 13:00 | Nová verze

Google Chrome 62 byl prohlášen za stabilní (YouTube). Nejnovější stabilní verze 62.0.3202.62 tohoto webového prohlížeče přináší řadu oprav a vylepšení. Vylepšeny byly také nástroje pro vývojáře (YouTube). Opraveno bylo 35 bezpečnostních chyb.

Ladislav Hagara | Komentářů: 4
včera 11:00 | Zajímavý článek

Článek (en) na Mozilla.cz je věnován vykreslování stránek ve Firefoxu. V průběhu roku 2018 by se ve Firefoxu měl objevit WebRender, jenž by měl vykreslování stránek urychlit díky využití GPU.

Ladislav Hagara | Komentářů: 5
včera 08:22 | Bezpečnostní upozornění

NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost) informuje o zranitelnosti ROCA v procesu generování RSA klíčů, který se odehrává v softwarové knihovně implementované například v kryptografických čipových kartách, bezpečnostních tokenech a dalších hardwarových čipech vyrobených společností Infineon Technologies AG. Zranitelnost umožňuje praktický faktorizační útok, při kterém útočník dokáže vypočítat

… více »
Ladislav Hagara | Komentářů: 3
včera 01:23 | Zajímavý software

Příspěvek na blogu otevřené certifikační autority Let's Encrypt informuje o začlenění podpory protokolu ACME (Automatic Certificate Management Environment) přímo do webového serveru Apache. Klienty ACME lze nahradit novým modulem Apache mod_md. Na vývoj tohoto modulu bylo uvolněno 70 tisíc dolarů z programu Mozilla Open Source Support (MOSS). K rozchození HTTPS na Apache stačí nově přidat do konfiguračního souboru řádek s ManagedDomain. Minutový videonávod na YouTube [reddit].

Ladislav Hagara | Komentářů: 3
17.10. 14:15 | Komunita

Daniel Stenberg, autor nástroje curl, na svém blogu oznámil, že obdržel letošní Polhemovu cenu, kterou uděluje Švédská inženýrská asociace za „technologickou inovaci nebo důvtipné řešení technického problému“.

marbu | Komentářů: 11
17.10. 13:40 | Pozvánky

Cílem Social Good Hackathonu, který se uskuteční 21. a 22. října v Brně, je vymyslet a zrealizovat projekty, které pomůžou zlepšit svět kolem nás. Je to unikátní příležitost, jak představit nejrůznější sociální projekty a zrealizovat je, propojit aktivní lidi, zástupce a zástupkyně nevládních organizací a lidi z prostředí IT a designu. Hackathon pořádá brněnská neziskovka Nesehnutí.

… více »
Barbora | Komentářů: 1
17.10. 00:44 | Pozvánky

V sobotu 21. října 2017 se na půdě Elektrotechnické fakulty ČVUT v Praze uskuteční RT-Summit – setkání vývojářů linuxového jádra a uživatelů jeho real-time verze označované jako preempt-rt.

… více »
Pavel Píša | Komentářů: 8
Jak se vás potenciálně dotkne trend odstraňování analogového audio konektoru typu 3,5mm jack z „chytrých telefonů“?
 (11%)
 (1%)
 (0%)
 (1%)
 (72%)
 (14%)
Celkem 79 hlasů
 Komentářů: 5, poslední dnes 07:28
    Rozcestník

    Dotaz: nss_ldap lookup problem

    15.3.2007 20:15 timeos | skóre: 32
    nss_ldap lookup problem
    Přečteno: 436×
    Zdravim vospolok

    mam zaujimavy problem s resolvovanim loginov na id na linuxe v konzole. Jedna sa o jeden linuxovy system vo firme, ktory taha adresar so zoznamom uzivatelov, identifikatorov, atp z ldap servera, ktory je na inom stroji. Ked napr chcem resolvnut napr login mclainj cez utilitku id, pricom taky zaznam v ldape existuje, tak vysledok je id: mclainj: No such user

    Zaujimave je na tom to, ze pokial vytvorim zaznam pre daneho hladaneho uzivatela do lokalneho suboru /etc/passwd, tak okamzite ho id najde aj s tym, ze zobrazi zoznam skupin v ktorych sa uzivatel nachadza. Ale tieto skupiny maju od lokalnych daleko :). Vsetky vypisane su totiz tahane uz z LDAP-u.

    A teraz trocha faktov:

    system: Trustix Secure Linux release 3.0.5 (Mirch Masala) (nonstop aktualizovany) verzia resolvera: nss_ldap-250-3tr

    konfiguracia: /etc/nsswitch.conf
    ...
    passwd:     files ldap
    shadow:     files ldap
    group:      files ldap
    ...
    /etc/ldap.conf
    host 192.168.x.x
    base dc=foo,dc=sk
    uri ldap://192.168.x.x/
    ldap_version 3
    binddn cn=nssldap,ou=DSA,dc=foo,dc=sk
    bindpw foopass
    port 389
    timelimit 10
    bind_timelimit 10
    bind_policy soft
    nss_connect_policy persist
    pam_login_attribute uid
    nss_base_passwd ou=Users,dc=foo,dc=sk?one
    nss_base_shadow ou=Users,dc=foo,dc=sk?one
    nss_base_group  ou=Groups,dc=foo,dc=sk?one
    nss_initgroups_ignoreusers root,ldap,named,dbus,haldaemon,postfix
    ak Vas nieco napadne tak budem rad, lebo nejde ani tak o to aby som menil prava nad subormi ale skor o to, ze procmail nedorucuje potom postu lebo sa nedokaze setuidnut na usera (zatial to riesim priamo postfixom ale nieje to najstastnejsie riesenie)

    Řešení dotazu:


    Odpovědi

    15.3.2007 20:42 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: nss_ldap lookup problem
    Bez znalosti té LDAP databáze se dá jenom hádat, ale přeci jen – máte dobře přístupová práva? Zkusil jste dotaz na uživatele zadat přímo (přes nějaký nástroj na prohledávání LDAP, třeba konzolové nástroje)? Máte uživatele přímo pod ou=Users,dc=foo,dc=sk, tj. např. uid=mclainj,ou=Users,dc=foo,dc=sk a ne např. uid=mclainj,ou=Oddeleni1,ou=Users,dc=foo,dc=sk? Máte správně nastavené třídy objektů (objectClass) a správně vyplněné potřebné hodnoty (uid, uidNumber, gidNumber, cn, loginShell, homeDirectory, displayName, userPassword)? Nepoužíváte cache nscd a není v ní nakešována informace, že uživatel neexistuje?
    15.3.2007 20:55 timeos | skóre: 32
    Rozbalit Rozbalit vše Re: nss_ldap lookup problem
    uzivatelia su priamo v podstrome ou=Users,dc=foo,dc=sk (preto to ?one)
    Zkusil jste dotaz na uživatele zadat přímo (přes nějaký nástroj na prohledávání LDAP, třeba konzolové nástroje)?
    pravda, to som este neskusal
    Máte správně nastavené třídy objektů (objectClass) a správně vyplněné potřebné hodnoty (uid, uidNumber, gidNumber, cn, loginShell, homeDirectory, displayName, userPassword)?
    na stroji s ldapom vsetko funguje ako ma, su pouzivane standartne schemy. ucty boli generovane aj pomocou smbldap-tools

    pristupove prava su urcite dobre, ziadna vymena sprav medzi tymto ldap clientom a serverom neprehne.
    Nepoužíváte cache nscd a není v ní nakešována informace, že uživatel neexistuje?
    nscd nepouzivam
    15.3.2007 21:00 timeos | skóre: 32
    Rozbalit Rozbalit vše Re: nss_ldap lookup problem
    takze
    Zkusil jste dotaz na uživatele zadat přímo (přes nějaký nástroj na prohledávání LDAP, třeba konzolové nástroje)?
    cez ldapsearch s tym nieje jediny problem
    15.3.2007 20:50 timeos | skóre: 32
    Rozbalit Rozbalit vše Re: nss_ldap lookup problem
    Takze este doplnujuce informacie co ma hned nenapadli: na inom linuxackom serveri (fedora4) s tym niesu ziadne problemy, ide to ako hodinky.

    Pri pokuse resolvnut (z toho problemoveho kompa) nieje vyvolane ziadne spojenie medzi ldap clientom a serverom (log nic neukaze). Nieje mozne nejak debugovat proces resolvovania? resp zistit ci nieco nechyba, nejaka kniznica, resp ci nemaju zle umiestnenie a pod.

    este dodam, ze povodne bola instalovana beta verzia Trustix linuxu na ten server v tej istej verzii. Ale upgradmi sa aktualizovala az na terajsi stable stav. Reinstalacia by teraz nebola najvhodnejsia, kedze je to teraz kriticky server s dolezitymi sluzbami (ano viem, nemal som instalovat beta verziu na stroj, ktory ma plnit dolezitejsie ulohy ale inak s nim niesu ziadne problemy, staru dvojku som tam nechcel davat)
    15.3.2007 21:10 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: nss_ldap lookup problem
    Zjišťování údajů probíhá přímo z procesu, který spouštíte (tedy ve vašem případě id), nss se v něm používá jako dynamická knihovna. Ujistěte se, že se nepoužívá nscd cache, pak by spojení taky nejspíš vůbec nenastalo. Taky je potřeba počítat s tím, že změny v konfiguračních souborech se mohou projevit až později (myslím, že až při novém přihlášení do shellu). Zkusil bych taky sledovat přes tcpdump, zda se spojení vůbec nenavazuje, nebo ze strany vašeho PC pokus o spojení je, ale LDAP server je třeba odmítne.
    15.3.2007 21:36 timeos | skóre: 32
    Rozbalit Rozbalit vše Re: nss_ldap lookup problem
    Ujistěte se, že se nepoužívá nscd cache, pak by spojení taky nejspíš vůbec nenastalo.
    sluzba nscd nieje ani nainstalovana

    Taky je potřeba počítat s tím, že změny v konfiguračních souborech se mohou projevit až později (myslím, že až při novém přihlášení do shellu).
    ano napadlo ma to, preto som po nejakych zasahoch do tych konfigurakov po case aj uplne restartoval system :-)

    Zkusil bych taky sledovat přes tcpdump, zda se spojení vůbec nenavazuje, nebo ze strany vašeho PC pokus o spojení je, ale LDAP server je třeba odmítne.
    no ten tcpdump mozem este skusit. neriesil som to doteraz aj koly tomu, ze zvyseny verbose log z ldap servera (loglevel 1441) neobsahoval ziadnu query na resolvovaneho usera.
    15.3.2007 22:10 timeos | skóre: 32
    Rozbalit Rozbalit vše Re: nss_ldap lookup problem
    Zkusil bych taky sledovat přes tcpdump, zda se spojení vůbec nenavazuje, nebo ze strany vašeho PC pokus o spojení je, ale LDAP server je třeba odmítne.
    pri id query, bez jedineho presunuteho packetu
    16.3.2007 08:17 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: nss_ldap lookup problem
    Zkuste se podívat, zda máte v systému všechny knihovny, které nssldap potřebuje
    ldd /lib/libnss_ldap.so.3
    
    A máte opravdu v systému knihovny pro verzi LDAP 3?
    16.3.2007 10:39 timeos | skóre: 32
    Rozbalit Rozbalit vše Re: nss_ldap lookup problem
    A máte opravdu v systému knihovny pro verzi LDAP 3?
    tak to je dobra otazka :-)
    mam tam tuto:
    ls /lib/libnss_ldap* /lib/libnss_ldap-2.3.5.so /lib/libnss_ldap.so.2 -> libnss_ldap-2.3.5.so takze otazka: je to kniznica pre LDAPv3 ? (lebo Vy tam mate *.so.3)
    Zkuste se podívat, zda máte v systému všechny knihovny, které nssldap potřebuje
    Zda sa ze hej:
    ldd /lib/libnss_ldap.so.2     
            linux-gate.so.1 =>  (0xffffe000)
            libldap-2.2.so.7 => /usr/lib/libldap-2.2.so.7 (0xb7f3f000)
            liblber-2.2.so.7 => /usr/lib/liblber-2.2.so.7 (0xb7f33000)
            libgssapi_krb5.so.2 => /usr/lib/libgssapi_krb5.so.2 (0xb7f1c000)
            libdl.so.2 => /lib/libdl.so.2 (0xb7f19000)
            libnsl.so.1 => /lib/libnsl.so.1 (0xb7f00000)
            libresolv.so.2 => /lib/libresolv.so.2 (0xb7eea000)
            libc.so.6 => /lib/tls/libc.so.6 (0xb7db2000)
            libpthread.so.0 => /lib/tls/libpthread.so.0 (0xb7da1000)
            libgnutls.so.12 => /usr/lib/libgnutls.so.12 (0xb7d31000)
            libgnutls-extra.so.12 => /usr/lib/libgnutls-extra.so.12 (0xb7d0b000)
            libgcrypt.so.11 => /usr/lib/libgcrypt.so.11 (0xb7cbd000)
            libsasl2.so.2 => /usr/lib/libsasl2.so.2 (0xb7ca7000)
            libssl.so.0.9.7 => /usr/lib/libssl.so.0.9.7 (0xb7c78000)
            libcrypto.so.0.9.7 => /usr/lib/libcrypto.so.0.9.7 (0xb7b7d000)
            libkrb5.so.3 => /usr/lib/libkrb5.so.3 (0xb7b11000)
            libk5crypto.so.3 => /usr/lib/libk5crypto.so.3 (0xb7aeb000)
            libcom_err.so.2 => /lib/libcom_err.so.2 (0xb7ae8000)
            libkrb5support.so.0 => /usr/lib/libkrb5support.so.0 (0xb7ae5000)
            /lib/ld-linux.so.2 (0x80000000)
            libgpg-error.so.0 => /usr/lib/libgpg-error.so.0 (0xb7ae1000)
            libz.so.1 => /usr/lib/libz.so.1 (0xb7ace000)
            libcrypt.so.1 => /lib/libcrypt.so.1 (0xb7aa0000)
    16.3.2007 11:18 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: nss_ldap lookup problem
    Já tam mám *.so.3, protože se domnívám, že to by byla knihovna pro verzi 3. Jinak na svém systému mám taky pouze *.so.2 a v konfiguračním souboru je ldap_version zakomentované
    # The LDAP version to use (defaults to 3
    # if supported by client library)
    #ldap_version 3
    
    A podle komentáře bych hádal, že se pokusí použít verzi 3, a když jí knihovna nepodporuje, zkusí nižší verzi. Ale momentálně to mám v konfiguračních souborech spíš jen na ozdobu, protože LDAP teď zrovna nepoužívám.
    16.3.2007 13:50 timeos | skóre: 32
    Rozbalit Rozbalit vše Re: nss_ldap lookup problem
    Takze este doplnim. V otazke som spomenul, ze sa to resolvovanie chova cudne v tom, ze ked je login uzivatela v lokalnom subore passwd, tak id ho rozpozna dobre s tym, ze vypise aj jeho LDAP-ove skupiny, ktore nie su v lokalnych suboroch a ktorych je on clenom. Skusal som ten isty resolv s tym, ze som zapol tcpdump. Pri resolvovani daneho usera, ktory je clenom skupin uvedenych len v LDAP-e, bol zaznamenany traffic. V logoch LDAP-u bolo vidiet dotazy IP clienta, ale query sa tykali iba skupin (pri vsetkych dotazoch bola sucastou filtra tato formula: objectClass=posixGroup ), nie priamo na uzivatela, a search base bola pri operaciach hladania stanovena na SRCH base="dc=foo,dc=sk", z coho mi vychadza, ze direktiva nss_base_group ou=Groups,dc=foo,dc=sk?one v /etc/ldap.conf bola spokojne zignorovana :-(.
    16.3.2007 14:39 iwik
    Rozbalit Rozbalit vše Re: nss_ldap lookup problem
    ahoj, pozeram ako to mam u seba a ja u seba mam okrem /etc/nsswitch.conf este aj subor

    /etc/nsswitch.ldap
    #ident $Id: nsswitch.ldap,v 2.4 2003/10/02 02:36:25 lukeh Exp $
    #
    # An example file that could be copied over to /etc/nsswitch.conf; it
    # uses LDAP conjunction with files.
    #
    # "hosts:" and "services:" in this file are used only if the
    # /etc/netconfig file has a "-" for nametoaddr_libs of "inet" transports.
    
    # the following two lines obviate the "+" entry in /etc/passwd and /etc/group.
    passwd:         files ldap
    group:          files ldap
    
    # consult DNS first, we will need it to resolve the LDAP host. (If we
    # can't resolve it, we're in infinite recursion, because libldap calls
    # gethostbyname(). Careful!)
    hosts:          dns ldap
    
    # LDAP is nominally authoritative for the following maps.
    services:   ldap [NOTFOUND=return] files
    networks:   ldap [NOTFOUND=return] files
    protocols:  ldap [NOTFOUND=return] files
    rpc:        ldap [NOTFOUND=return] files
    ethers:     ldap [NOTFOUND=return] files
    
    # no support for netmasks, bootparams, publickey yet.
    netmasks:   files
    bootparams: files
    publickey:  files
    automount:  files
    
    # I'm pretty sure nsswitch.conf is consulted directly by sendmail,
    # here, so we can't do much here. Instead, use bbense's LDAP
    # rules ofr sendmail.
    aliases:    files
    sendmailvars:   files
    
    # Note: there is no support for netgroups on Solaris (yet)
    netgroup:   ldap [NOTFOUND=return] files
    
    
    16.3.2007 17:39 timeos | skóre: 32
    Rozbalit Rozbalit vše Re: nss_ldap lookup problem
    No podla vsetkeho je tento subor len ukazkou, ako vyuzit ldap ako backend pre Nameservice Switch.
    Z komentara so suboru aj vyplyva:
    # An example file that could be copied over to /etc/nsswitch.conf; it
    # uses LDAP conjunction with files.
    Aj ma napadlo, ze moze mat nejaky konfiguracny subor iny nazov, ako je bezny (napr libnss-ldap.conf v debiane miesto bezneho ldap.conf). Skusil som ale odobrat zdroj ldap z riadku group: files ldap zo suboru nsswitch.conf. Po odobrati uz nedokaze asociovat LDAP skupiny pre dotazovaneho uzivatela. Takze vyzera, ze tento subor ma spravny nazov.
    5.6.2007 16:43 timeos | skóre: 32
    Rozbalit Rozbalit vše Re: nss_ldap lookup problem
    Vyriesene!

    Cas: 14:35, 5.6.2007 SEC :) Prisiel som na to po skompilovani kniznice nss_ldap s --enable-debugging kde pri pouziti som videl co sa vlastne deje... Pri volani utility id s parametrom mena uzivatela ma kniznica obdarila tymto logom:
    nss_ldap: ==> _nss_ldap_enter
    nss_ldap: <== _nss_ldap_enter
    nss_ldap: ==> _nss_ldap_getbyname
    nss_ldap: ==> _nss_ldap_search_s
    nss_ldap: ==> do_init
    nss_ldap: ==> do_close
    nss_ldap: <== do_close
    nss_ldap: ==> do_close
    nss_ldap: <== do_close
    nss_ldap: ==> do_atfork_setup
    nss_ldap: <== do_atfork_setup
    nss_ldap: ==> _nss_ldap_add_uri
    nss_ldap: <== _nss_ldap_add_uri: added URI ldap://ldap.foo.sk/
    nss_ldap: <== do_init (failed to read config)
    nss_ldap: <== _nss_ldap_search_s
    nss_ldap: ==> _nss_ldap_leave
    nss_ldap: <== _nss_ldap_leave
    ...
    no a uz sa to zacalo krystalizovat. Sice som nechapal v com moze byt ten konfigurak ldap.conf na figu, tak som si vytvoril novy, do ktoreho som pregrepol vsetky odkomentovane prikazy z prveho suboru a ... voila!! ono sa to rozbehlo :)

    Takze asi musi byt v povodnom subore nejaky zakerny znak ktory sposoboval, ze subor neparsol cely a resolving bol v podstate nefunkcny. Stary subor som si este nechal a niekedy niecim prebehnem aby som zistil co ma oberalo o volne vecere a nedalo mi spat :)

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.