abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
eParkomat, startup z ČR, postoupil mezi finalisty evropského akcelerátoru ChallengeUp!
Robot na pivo mu otevřel dveře k opravdovému byznysu
Internet věcí: Propojený svět? Už se to blíží...
včera 17:02 | Pozvánky

Přijďte si popovídat o open source obecně a openSUSE konkrétně s dalšími uživateli a vývojáři. Oslava nového vydání openSUSE Leap se uskuteční 16. prosince od 17:00 v nových prostorách firmy SUSE v Praze. K dispozici bude nějaké občerstvení a DVD pro ty, kdo je sbírají nebo ještě mají mechaniku. Po párty v kanceláři se bude pokračovat v některé z hospod v okolí.

Miška | Komentářů: 7
včera 14:55 | Zajímavý software

Byla vydána verze Alpha 1.0 otevřeného operačního systému pro chytré hodinky AsteroidOS. Podporovány jsou hodinky LG G Watch, LG G Watch Urbane, Asus ZenWatch 2 a Sony Smartwatch 3. Ukázka ovládání hodinek na YouTube. Jaroslav Řezník přednášel o AsteroidOS na chytrých hodinkách (videozáznam) na letošní konferenci OpenAlt.

Ladislav Hagara | Komentářů: 0
včera 13:30 | Zajímavý software

Byly uvolněny zdrojové kódy známé rogue-like hry DoomRL. Počátky hry jsou v roce 2002. Je napsána ve FreePascalu a zdrojový kód je nyní k dispozici na GitHubu pod licencí GNU GPL 2.0. Autor pracuje na nové hře Jupiter Hell, která je moderním nástupcem DoomRL a na jejíž vývoj shání peníze prostřednictvím Kickstarteru.

Blaazen | Komentářů: 0
včera 13:15 | Pozvánky

Přijďte s námi oslavit vydání Fedory 25. Na programu budou přednášky o novinkách, diskuse, neřízený networking atd. Release Party se bude konat 16. prosince v prostorách společnosti Etnetera. Na party budou volně k dispozici také propagační materiály, nová DVD s Fedorou 25 a samozřejmě občerstvení. Přednášky budou probíhat v češtině. Pro více informací se můžete podívat na web MojeFedora.cz. Jen připomínám, že tentokrát jsme zavedli

… více »
frantisekz | Komentářů: 0
9.12. 16:38 | Komunita

Byly zveřejněny videozáznamy přednášek a workshopů z letošní konference OpenAlt konané 5. a 6. listopadu v Brně. K videozáznamům lze přistupovat ze stránky na SuperLectures nebo přes program konference, detaily o vybrané přednášce nebo workshopu a dále kliknutím na ikonku filmového pásu. Celkově bylo zpracováno 65 hodin z 89 přednášek a workshopů.

Ladislav Hagara | Komentářů: 0
9.12. 11:30 | Komunita

Bylo oznámeno, že bude proveden bezpečnostní audit zdrojových kódů open source softwaru pro implementaci virtuálních privátních sítí OpenVPN. Audit provede Matthew D. Green (blog), uznávaný kryptolog a profesor na Univerzitě Johnse Hopkinse. Auditována bude verze 2.4 (aktuálně RC 1, stabilní verze je 2.3.14). Audit bude financován společností Private Internet Access [reddit].

Ladislav Hagara | Komentářů: 4
9.12. 06:00 | Komunita

Na YouTube byl publikován Blender Institute Reel 2016, ani ne dvouminutový sestřih z filmů, které vznikly za posledních 10 let díky Blender Institutu. V institutu aktuálně pracují na novém filmu Agent 327. Dění kolem filmu lze sledovat na Blender Cloudu. Videoukázka Agenta 327 z června letošního roku na YouTube.

Ladislav Hagara | Komentářů: 0
9.12. 01:02 | Zajímavý článek

Minulý týden byly vydány verze 1.2.3 a 1.1.7 webového poštovního klienta Roundcube. V oznámení o vydání bylo zmíněno řešení bezpečnostního problému nalezeného společností RIPS a souvisejícího s voláním funkce mail() v PHP. Tento týden byly zveřejněny podrobnosti. Útočník mohl pomocí speciálně připraveného emailu spustit na serveru libovolný příkaz. Stejně, jak je popsáno v článku Exploit PHP’s mail() to get remote code execution z roku 2014.

Ladislav Hagara | Komentářů: 1
8.12. 16:00 | Nová verze

Byla vydána verze 0.98 svobodného nelineárního video editoru Pitivi. Z novinek lze zmínit například přizpůsobitelné klávesové zkratky. Videoukázka práce s nejnovější verzí Pitivi na YouTube.

Ladislav Hagara | Komentářů: 1
8.12. 15:00 | Zajímavý software

Stop motion je technika animace, při níž je reálný objekt mezi jednotlivými snímky ručně upravován a posouván o malé úseky, tak aby po spojení vyvolala animace dojem spojitosti. Jaký software lze pro stop motion použít na Linuxu? Článek na OMG! Ubuntu! představuje Heron Animation. Ten bohužel podporuje pouze webové kamery. Podpora digitálních zrcadlovek je začleněna například v programu qStopMotion.

Ladislav Hagara | Komentářů: 5
Kolik máte dat ve svém domovském adresáři na svém primárním osobním počítači?
 (32%)
 (23%)
 (29%)
 (7%)
 (5%)
 (3%)
Celkem 810 hlasů
 Komentářů: 50, poslední 29.11. 15:50
Rozcestník
Reklama

Dotaz: NX servr přes SSH s oboustraným RSA klíčem

23.11.2009 15:15 Dibur_X
NX servr přes SSH s oboustraným RSA klíčem
Přečteno: 1505×
Čeho chci docílit: Mám server. Je na něm debian lenny. A valí mi na něm SSH. Nyní přes SSH chci nastavit, tedy zkonfigurovat linux a nx server, pro možnost připojení "vzdálené plochy" přes NX server.

Můj další požadavek 1: Můj požadavek je, aby autentifikace SSH, byla přes veřejný a soukromý klíč majitele uživatele na servru. Tedy veřejný klíč je na servru v /home/"jmeno uživatele"/.ssh/authorized_keys2 a soukromý klíč ma uživatel na svém pc odkud přistupuje ve složce home/"jmeno uživatele"/.ssh/"nazev kliče" (popřípadě jinde dle nastavení a chutě uživatele). Tento požadavek mi již funguje.

Můj další požadavek 2: Aby stejně jako ssh, byla i komunikace NX servru šifrována a aby tám též, byla autentifikace pomocí klíčů pro každého uživatele zvlášť stejně jako u ssh. Šifrováno by to mělo být (pokud to vysloveně nevypnu) asi vždy. Co se týče druhé věci ověření uživatele pomocí klíče, toho jsem schopen se vzdát pokud bude existovat aspoň jeden klíč pro všechny uživatele přistupující přes NX servr (tak to má NX servr asi defaultně, jak jsem pochopil).

Po pravdě nevím přesně, jak ten nx servr nastavit, v tom si pravě chci nechat poradit.

Jak jsem postupoval:

1)Prvně jsem si spustil a ninstaloval NX servr, sekundárně dle návodu zde a primarně dle navodu zde po chvili boje, proč to nejede jsem si doinstaloval ssh na servr a rozjelo se. Tento problem popisuji zde, což je přispěvek k předtim zmíněnému článku. Takže nx servr i s přihlášením se mi rozjel a fungoval.

2)Pak jsem chtěl nastavit ssh, aby bylo chráněno RSA kličem a ne heslem. Tedy jsem si vygeneroval na svém pc, odkud servr konfiguruji, RSA klíč "ssh-keygen -t rsa -b 3072" veřejnou část klíče (/home/"jmeno uživatele"/.ssh/"nazev kliče".pub) jsem nakopiroval do servru na konec souboru /home/"jmeno uživatele na servru"/.ssh/authorized_keys2. Následně jsem zkonfiguroval configurační soubor ssh na cestě /etc/ssh/sshd_config:
# Package generated configuration file
# See the sshd(8) manpage for details

# What ports, IPs and protocols we listen for
Port 22
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 3
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes

# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 2048

# Logging
SyslogFacility AUTH
LogLevel INFO

# Authentication:
LoginGraceTime 120
PermitRootLogin yes
StrictModes yes

RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile      %h/.ssh/authorized_keys2

# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no

# Change to no to disable tunnelled clear text passwords
PasswordAuthentication no

# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no

#MaxStartups 10:30:60
#Banner /etc/issue.net

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

Subsystem sftp /usr/lib/openssh/sftp-server

UsePAM yes
PS: pokud v konfiguraku vidite něco nevhodně i když se to netýká problému, také mi to prosím napište.

3) Neboli, kde jsem se zasekl:

Provedl jsem restart servru atp. A chtěl jsem se přihlasit přes NX Clienta jako dřív... nejelo to (chyba v autentizaci).Nepřekvapilo mě to a tak jsem najel na ssh a na roota. SSH mi valilo a valí, tak jsem přes něj chtěl zkonfigurovat NX server, dokopirovat popřípadě klíče atp. Zkoušel jsem lecos (už si ani nepamatuji co všechno, něco i jen tak "kdby nahodou"). Dokonce jsem na servru reinstaloval již i NX servr kompletně a nyní je po reinstalaci a na mém přístupovém pc NX clienta (po reinstalaci se to nerozjelo {asi musim někde něco konfigurovat, ale nevím kde}). Klient při přihlašování vypisuje: "Authentication failed for user xxxx"

Zde je konfigurák nx servru (/usr/NX/etc/server.cfg):
#
# Set config file format version.
#
ConfigFileVersion = "2.0"

#
# Set the log level of NX Server. NX server logs to the syslog all
# the events that are <= to the level specified below, according to
# the following convention:
#
# KERN_ERR         3: Error condition.
# KERN_INFO        6: Informational.
# KERN_DEBUG       7: Debug-level messages.
#
# Note, anyway, that NX server uses level 6 in the syslog to log the
# event. This is intended to override any setting on the local syslog
# configuration that would prevent the event from being actually logged.
#
# The suggested values are:
#
# 6: This is the default value. Only the important events
#    are logged.
#
# 7: Sets logs to level debug.
#
#SessionLogLevel = "6"

#
# Specify hostname for the NX server.
#
#ServerName = "localhost.localdomain"

#
# Specify the TCP port where the NX server SSHD daemon is running.
#
#SSHDPort = "22"

#
# Set the base display number for NX sessions.
#
#DisplayBase = "1000"

#
# Set the maximum number of displays reserved for NX sessions.
#
#DisplayLimit = "200"

#
# Set the maximum number of concurrent NX sessions.
#
#SessionLimit = "20"

#
# Set the maximum number of concurrent NX sessions that can be run by
# a single user. By default a user can run as many sessions as they
# are allowed on the server. By setting this value to 1, the system
# administrator can force the user to terminate any suspended session
# before starting a new one.
#
#SessionUserLimit = "20"

#
# Set for how long NX server will retain data related to terminated
# sessions in its session history.
#
# <0: Never delete data from NX session history.
#
#  0: Disable NX sessions history.
#
# >0: Keep data in session history for this amount
#     of seconds.
#
# The default value, 2592000, lets NX server keep session data
# for 30 days.
#
#SessionHistory = "2592000"

#
# Allow the root user to run NX sessions.
#
# 1: Enabled. Allow an NX user to run sessions as user with
#    administrative rights.
#
# 0: Disabled. NX server forbids a NX user to log as user
#    having administrative privileges.
#
#EnableAdministratorLogin = "0"

#
# Allow the server to terminate oldest suspended sessions:
#
# 1: Enabled. Enable the automatic kill of the suspended
#    sessions.
#
# 0: Disabled. Suspended sessions are never terminated.
#
# When this option is set, and the server capacity has been reached,
# i.e. the maximum number of concurrent sessions could be exceeded,
# the server will kill the oldest suspended sessions to make room for
# the new user.
#
#EnableAutokillSessions = "0"

#
# Enable persistent sessions for users. If the option is followed by
# the keyword 'all', all users are allowed to run persistent sessions.
# Alternatively, it can be followed by a list of comma-separated user-
# names. The default value is 'all' which corresponds to enabling
# persistent sessions for all users. Values specified are overriden
# by the value set for the 'DisablePersistentSession' key.
#
#EnablePersistentSession = "all"

#
# Disable persistent sessions for users. If the option is followed by
# the keyword 'all', no user is allowed to run persistent sessions. Al-
# ternatively, the option can be followed by a list of comma-separated
# usernames. The default value is the empty string which corresponds
# to disabling persistent sessions for no user. The values specified
# override the values set for the 'EnablePersistentSession' key.
#
#DisablePersistentSession = ""

#
# Enable or disable SSL encryption of all traffic.
#
#
# 1: Enabled. Unencrypted connections between the proxies will
#    be allowed.                                      
#
# 0: Disabled. Forbid the use of unencrypted connections. The
#    server will force the client to tunnel the proxy
#    connections over the encrypted channel.
#
# Session negotiation always happens across an encrypted channel.
# Normally the user can specify if subsequent communication must
# take place through a direct connection between the proxies or by
# tunneling it through SSH. You may uncomment the following line
# and set the value to 0 to increase the security of the host
# server or if your NX server is behind a firewall preventing
# the access to the set of ports used by the NX server.
#
# Unencrypted sessions require that the firewall lets the proxies
# communicate over the TCP ports ranging from:
#
# DisplayBase + 4000
#
# to:
#
# DisplayBase + 4000 + DisplayLimit
#
# By default the user is allowed to specify if a session will run
# unencrypted, for example when running the session across the
# same LAN or when performance is an issue.
#
#EnableUnencryptedSession = "1"

#
# Enable or disable support for user profiles:
#
# 1: Enabled. The NX server allows the NX session to start
#    according to the set of rules specified for the system
#    or on a per-user basis.
#
# 0: Disabled. The NX server starts the session without apply-
#    ing any rules.
#
# The administrator can configure access to applications and nodes
# by creating a specific profile for the NX system, which will be
# applied to any user starting a session on this server, or by def-
# ining profiles on a per-user basis. Any profile consists of a set
# of rules specifying what the user can or can't do in the session.
#
#EnableUserProfile = "0"

#
# Enable or disable clipboard:
#
# client: The content copied on the client can be pasted inside the
#         NX session.
#
# server: The content copied inside the NX session can be pasted
#         on the client.
#
# both:   The copy&paste operations are allowed between both the
#         client and the NX session and viceversa.
#
# none:   The copy&paste operations between the client and the NX
#         session are never allowed.
#
#EnableClipboard = "both"

#
# Enable or disable NX users DB:
#
# 1: Enabled. Only users listed in NX users DB can login to the NX
#    server.
#
# 0: Disabled. All the authenticated users can login.
#
# If the NX user DB is disabled, any user providing a valid password
# from local DB or through SSHD authentication, can connect to the NX
# system. This is likely to be the default when SSHD authentication
# with PAM is enabled.
#
EnableUserDB = "1"

#
# Enable or disable NX password DB:
#
# 1: Enabled. Use NX password DB to authenticate users.
#
# 0: Disabled. Use SSHD + PAM authentication.
#
# System administrators can enable a restricted set of users to con-
# nect to the NX server by setting EnableUserDB to 1 and adding
# those users to the DB. If user is enabled to connect, his/her pass-
# word will be verified against the current PAM settings by the SSHD
# daemon.
#
# If both 'EnableUserDB' and 'EnablePasswordDB' are set to 0, any
# user being authenticated by SSHD account will be enabled to connect
# to the system.
#
EnablePasswordDB = "0"

#
# Specify hostname of the server used for NX SSH authentication.
#
#SSHDAuthServer = "127.0.0.1"

#
# Specify the TCP port where the SSHD daemon is running on the NX SSH
# authentication server.
#
#SSHDAuthPort = "22"

#
# Enable or disable statistics:
#
# 1: Enabled. Enable the production of NX statistics.
#
# 0: Disabled. Disable the production of NX statistics.
# 
# Run the nxstat daemon in background. This daemon can be used to
# produce statistics about the NX services and the node host machine
# either for localhost and any of the available nodes when the load
# balancing is enabled. This requires that the nxsensor daemon is
# started on each of the node machines.
#
#EnableStatistics = "0"

#
# Specify the port where the server will contact the nxsensor daemons
# to collect the statistics.
#
#ServerSensorPort = "19250"

#
# Enable or disable load balancing:
#
# 1: Enabled. Let  NX server decide the node host according to the
#    hosts available in the NX Node DB.
#
# 0: Disabled. Start NX session on localhost.
#
#EnableLoadBalancing = "0"

#
# Enable or disable monitoring the NX Node host machines when load-
# balancing is enabled in the NX Advanced Server configuration.
#
# 1: Enabled. Enable starting of the NX Server daemon.
#
# 0: Disabled. Disable starting of the NX Server daemon.
#
#EnableNodeMonitoring = "0"

#
# Set for how long the NX server daemon has to wait for a reply from
# the node machine before considering that this host is unreachable.
# The default value, 10, let NX server daemon to wait for 10 seconds.
#
#NodeResponseTimeout = "10"

#
# Specify a list of comma-separated 'hostname:port' values for XDM
# server.
#
#RoundRobinXdmList = "localhost:177"

#
# Enable or disable the XDM round robin query:
#
# 1: Enabled. Let NX server decide XDM host according to hostnames
#    that are defined in the RoundRobinXdmList key.
#
# 0: Disabled.
#
#EnableRoundRobinXdmQuery = "1"

#
# Enable or disable the XDM indirect query:
#
# 1: Enabled. Let the user obtain a list of available XDM hosts.
#
# 0: Disabled.
#
#EnableIndirectXdmQuery = "0"

#
# Enable or disable the XDM direct query:
#
# 1: Enabled. Let client specify XDM host.
#
# 0: Disabled.
#
#EnableDirectXdmQuery = "0"

#
# Enable or disable the XDM broadcast query:
#
# 1: Enabled. Let client connect to the first responding XDM host.
#
# 0: Disabled.
#
#EnableBroadcastXdmQuery = "0"

#
# Specify path and name of the command 'sessreg'.
#
#CommandSessreg = "/usr/X11R6/bin/sessreg"

#
# Specify the location and file name of the SSH authorized keys.
#
#SSHAuthorizedKeys = "authorized_keys2"

#
# Accept or refuse the NX client connection if SSHD does not export
# the 'SSH_CONNECTION' and 'SSH_CLIENT' variables in the environment
# passed to the NX server.
#
# 1: Refuse. Check the remote IP and don't accept the connection
#    if it can't be determined.
#
# 0: Accept. Check the remote IP and accept the connection even if
#    the remote IP is not provided.
#
#SSHDCheckIP = "0"

#
# Enable or disable support for automatic provision of NX guest users:
#
# 1: Enabled. The NX server creates system accounts for guest users.
#
# 0: Disabled.
#
#EnableGuestUser = "0"

#
# Specify the base username to be used by NX server to create guest
# users accounts. The server will add a progressive number to the
# name specified by GuestName, according to the range of values set
# in the BaseGuestUserId and GuestUserIdLimit keys.
#
#GuestName = "guest"

#
# Set the base User Identifier (UID) number for NX guest users.
#
#BaseGuestUserId = "10"

#
# Set the maximum User Identifier (UID) number reserved for NX guest
# users.
#
#GuestUserIdLimit = "200"

#
# Set the Group Identifier (GID) for NX guest users. The specified
# GID must already exist on the system.
#
#GuestUserGroup = "guest"

#
# Set the maximum number of concurrent NX guest users.
#
#GuestUserLimit = "10"

#
# Set the maximum number of NX sessions a NX guest user can run before
# his/her account is terminated.
#
#GuestUserConnectionLimit = "5"

#
# Set for how long the NX server has to retain NX guest users accounts.
#
#  0: NX guest users accounts are never removed.
#
# >0: Maintain NX guest users accounts for this amount
#     of seconds.
#
# The default value, 2592000, lets NX server keep guest users accounts
# for 30 days.
#
#GuestUserAccountExpiry = "2592000"

#
# Set for how long the NX server has to keep alive a NX guest user's
# session. When the time is expired, NX server will kill the session.
#
#  0: NX guest user's session is never terminated.
#
# >0: Keep alive NX guest user' session for this amount
#     of seconds.
#
#GuestConnectionExpiry = "0"

#
# Enable or disable possibility for NX guest users to suspend sessions:
#
# 1: Enabled. The NX server lets NX guest users suspend sessions.
#
# 0: Disabled.
#
#GuestUserAllowSuspend = "1"

#
# Set the home directory for NX guest users. If an empty value is
# specified, the NX server will create the guest user's home in the
# default directory set on the system. 
#
#GuestUserHome = "/home"

#
# Enable or disable removing the guest user from the system when the
# account is expired:
#
# 1: Enabled. When the guest account is expired, the NX server will
#    delete the account from both the system and the NX guests DB
#    and will remove the home directory.
#
# 0: Disabled. When the guest account is expired, the NX server will
#    keep the guest account on the system but will forbid this user
#    to start new sessions on the server.
#
#EnableGuestWipeout = "1"

#
# Allow the server to set disk quota for the guest accounts:
#
# 1: Enabled. When a new guest account is created on the system,
#    the server will set the disk quota for this user.
#
# 0: Disabled. No restrictions on the amount of disk space used
#    by each guest user are applied.
#
#EnableGuestQuota = "0"

#
# Specify the username of the account to be used as a protoype for
# propagating its disk quota settings to all the new guest accounts.
# If the softlimit or the hardlimit on either the inode or the disk
# block are set, they will override the settings applied to the user
# prototype.
#
#GuestQuotaProtoname = "protoguest"

#
# Specify the maximum amount of disk space available for each of the
# guest users, checked as number of inodes. This limit can be exceeded
# for the grace period.
#
#GuestQuotaInodeSoftlimit = "0"

#
# Specify the absolute maximum amount of disk space available for
# each of the guest users, checked as number of inodes. Once this
# limit is reached, no further disk space can be used.
#
#GuestQuotaInodeHardlimit = "0"

#
# Specify the maximum amount of disk space available for each of the
# guest users, checked as number of disk blocks consumed. This limit
# can be exceeded for the grace period.
#
#GuestQuotaBlockSoftlimit = "0"

#
# Specify the absolute maximum amount of disk space available for each
# of the guest users, checked as number of disk blocks consumed. Once
# this limit is reached, no further disk space can be used.
#
#GuestQuotaBlockHardlimit = "0"

#
# Specify the grace period, expressed in seconds, during which the
# soft limit, set in the GuestQuotaInodeSoftlimit key may be
# exceeded.
#
#GuestQuotaInodeGracePeriod = "0"

#
# Specify the grace period, expressed in seconds, during which the
# soft limit, set in the GuestQuotaBlockSoftlimit key may be
# exceeded.
#
#GuestQuotaBlockGracePeriod = "0"

#
# Specify a list of comma-separated filesystem names or devices to
# which the disk quota restrictions will be applied. The default
# value is 'all' which corresponds to applying the disk quota limits
# to all the filesystems having disk quota enabled.
#
#GuestQuotaFilesystems = "all"

#
# Set the User Identifier (UID) number for NX users. If an empty value
# is specified, the NX server will create the account with the default
# value set on the system.
#
#UserId = "10"

#
# Set the Group Identifier (GID) for NX users. If an empty value is
# specified, the NX server will create the account with the default
# value set on the system.
#
#UserGroup = "users"

#
# Set the home directory for NX users. If an empty value is specified,
# the NX server will create the user's home in the default directory
# set on the system.
#
#UserHome = "/home"

#
# Allow session shadowing on this server:
#
# 1: Enabled.  Each user can require to attach to an already running
#    session. The session owner has to accept connection.
#
# 0: Disabled. Session shadowing is forbidden.
#
#EnableSessionShadowing = "1"

#
# Allow session shadowing in interactive mode:
#
# 1: Enabled. User attaching to the session can interact with
#    the session.
#
# 0: Disabled. The session is shadowed in view-only mode. User
#    attaching to the session can't interact with the session.
#
#EnableInteractiveSessionShadowing = "1"

#
# Enable or disable NX server requiring authorization to the owner
# of the NX session before sharing the session.
#
# 1: Enabled. NX server asks for authorization to the owner
#    of the master session before trying to share the session.
#
# 0: Disabled. NX server tries to share the NX session without
#    the need of any authorization from the owner of the master
#    desktop.
#
#EnableSessionShadowingAuthorization = "1"

#
# Allow desktop sharing on this server:
#
# 1: Enabled. User can require to attach to the native display
#    of the nodes. The desktop's owner has to accept connection.
#
# 0: Disabled. Desktop sharing is forbidden.
#
#EnableDesktopSharing = "1"

#
# Allow desktop sharing in interactive mode:
#
# 1: Enabled. User attaching to the desktop can interact with
#    the session.
#
# 0: Disabled. The session is shadowed in view-only mode. User
#    attaching to the desktop can't interact with the session.
#
#EnableInteractiveDesktopSharing = "1"

#
# Allow the NX user to connect to a desktop owned by a user who is
# not an NX user:
#
# 1: Enabled. Allow an NX user to connect to a desktop owned
#    by a user who is not an NX user. This requires running a
#    privileged script as root and will work only if the node
#    is the same machine where NX server is running.
#
# 0: Disabled. An NX user can connect only to a desktop owned
#    by an NX user when EnableDesktopSharing is enabled.
#
#EnableFullDesktopSharing = "0"

#
# Allow the NX user to connect to a desktop owned by root:
#
# 1: Enabled. Allow an NX user to connect to a desktop owned by
#    root (or Administrator on a Windows machine). This requires
#    EnableFullDesktopSharing to be enabled.
#
# 0: Disabled. A NX user is forbidden to connect to a desktop
#    owned by root.
#
#EnableAdministratorDesktopSharing = "0"

#
# Enable or disable NX server requiring authorization to the owner
# of the desktop before sharing the session.
#
# 1: Enabled. NX server asks for authorization to the owner
#    of the desktop.
#
# 0: Disabled. NX server tries to share the native display
#    without the need of any authorization from the owner
#    of the desktop.
#
#EnableDesktopSharingAuthorization = "1"

#
# Enable or disable NX server requiring authorization before sharing
# the session either when the X server is running as root or gdm.
#
# 1: Enabled. NX server needs authorization to proceed with
#    sharing the session.
#
# 0: Disabled. NX server tries to share the native display
#    without the need for any authorization. Sharing the
#    session is also possible when a user is not logged
#    on to the local desktop.
#
#EnableSystemDesktopSharingAuthorization = "1"

#
# Specify absolute path of the custom script to be executed before
# the user logs in. The script can accept remote IP of the user's
# machine as its input.
#
# E.g. UserScriptBeforeLogin = "/tmp/nxscript/script.sh"
#
#UserScriptBeforeLogin = ""

#
# Specify absolute path of the custom script to be executed after
# the user logs in. The script can accept username as its input.
#
#UserScriptAfterLogin = ""

#
# Specify absolute path of the custom script to be executed before
# the session start-up. The script can accept session ID, username,
# node host and node port as its input.
#
#UserScriptBeforeSessionStart = ""

#
# Specify absolute path of the custom script to be executed after the
# session start-up. The script can accept session ID, username, node
# host and node port as its input.
#
#UserScriptAfterSessionStart = ""

#
# Specify absolute path of the custom script to be executed before
# the session is closed. The script can accept session ID, username,
# node host and node port as its input.
#
#UserScriptBeforeSessionClose = ""

#
# Specify absolute path of the custom script to be executed after the
# session is closed. The script can accept session ID, username, node
# host and node port as its input.
#
#UserScriptAfterSessionClose = ""

#
# Specify absolute path of the custom script to be executed before
# the session is reconnected. The script can accept session ID user-
# name, node host and node port as its input.
#
#UserScriptBeforeSessionReconnect = ""

#
# Specify absolute path of the custom script to be executed after the
# session is reconnected. The script can accept session ID username
# node host and node port as its input.
#
#UserScriptAfterSessionReconnect = ""

#
# Specify absolute path of the custom script to be executed before
# the session is suspended. The script can accept session ID, user-
# name, node host and node port as its input.
#
#UserScriptBeforeSessionSuspend = ""

#
# Specify absolute path of the custom script to be executed after
# the session is suspended. The script can accept session ID, user-
# name, node host and node port as its input.
#
#UserScriptAfterSessionSuspend = ""

#
# Specify absolute path of the custom script to be executed before
# session failure. The script can accept session ID username, node
# host and node port as its input.
#
#UserScriptBeforeSessionFailure = ""

#
# Specify absolute path of the custom script to be executed after
# session failure. The script can accept session ID username, node
# host and node port as its input.
#
#UserScriptAfterSessionFailure = ""

#
# Specify absolute path of the custom script to be executed before
# NX Server creates the new account. The script can accept username
# as its input.
#
#UserScriptBeforeCreateUser = ""

#
# Specify absolute path of the custom script to be executed after
# NX Server has created the new account. The script can accept user-
# name as its input.
#
#UserScriptAfterCreateUser = ""

#
# Specify absolute path of the custom script to be executed before
# NX Server removes the account. The script can accept username as
# its input.
#
#UserScriptBeforeDeleteUser = ""

#
# Specify absolute path of the custom script to be executed after
# NX Server has removed the account. The script can accept username
# as its input.
#
#UserScriptAfterDeleteUser = ""

#
# Specify absolute path of the custom script to be executed before
# NX Server disables the user. The script can accept username as its
# input.
#
#UserScriptBeforeDisableUser = ""

#
# Specify absolute path of the custom script to be executed after
# NX Server has disabled the user. The script can accept username
# as its input.
#
#UserScriptAfterDisableUser = ""

#
# Specify absolute path of the custom script to be executed before
# NX Server enables the user. The script can accept username as its
# input.
#
#UserScriptBeforeEnableUser = ""

#
# Specify absolute path of the custom script to be executed after
# NX Server has enabled the user. The script can accept username
# as its input.
#
#UserScriptAfterEnableUser = ""

Podrobnější popis co jsme zkoušel a kde jsem hledal řešení:

Tak hledal jsem řešení na následujících odkazech. Bohužél přesto, že anglicky trošku umím, tak jsem řešení nenašel. Byl bych rád kdyby se na to podíval někdo, kdo se víc orientuje než já a řekl mi zda jsem řešení přehlídl a jaké je.

Admin guide NX Server

Anglicke ubuntu forum

wiki arch linux

Moc jsem toho nevygooglil na toto téma, a obzvláště ne česky, takže pokud je někdo lepší googlař je vítán.

Zkoušel jsem například to, jestli se přihlašuji správným klíčem na NX servr, tzn zda muj klič nastaveny v NX clientovy odpovida tomu co je na servru, pro default platí, že /usr/NX/share/keys/default.id_dsa.key na servru by měl být stejný jako klíč kterým se přihlašuji tedy na mé stanici /usr/NX/share/keys/server.ide_dsa.key a také jsem to kontroloval v tom jejich klikátu v konfiguraci. Tento klíč mi sedí.

Pak jsem také zkoušel do složky /usr/NX/home/nx/.ssh/authorized_keys2 strkat na víc public klíč pro mého uživatele přes normalni ssh (napadlo mě že by se nx k tomu mohl přihlašovat)

Pak jsem zkoušel nastrkat public variantu od NX kliče k tomu uživateli na servru do /home/.ssh/authorized_keys2 (přidat ten klíč nakonec již k existujícím). Tu public variantu od toho nx kliče (/usr/NX/share/keys/server.ide_dsa.key) mám zato, že je v /usr/NX/home/nx/.ssh/default.id_dsa.pub... a pořád nic.

Stale přihlášení mého uživatele přes nx clienta končí na hlášce "Authentication failed for user xxxx".

Prostě už nevím co s tím, dokážete někdo poradit, nebo aspoň nápad nebo hint...

Odpovědi

23.11.2009 17:04 ZAH | skóre: 42 | blog: ZAH
Rozbalit Rozbalit vše Re: NX servr přes SSH s oboustraným RSA klíčem
NXclient se klasicky přihlásí jako na server pomocí klíče jako uživatel nx. Ten na servru spustí nxxserver, který umožní přihlášení konkrétního uživatele. Platí proto, že uživatel musí mít v nxclientovi privátní část přístupového klíče nxervru. Typicky /etc/nxserver/client.id_dsa.key.Z uvedeného vyplývá, že ve standartní konfiguraci se hlásí uživatel vždy heslem na servru.

Nové klíče jdou vygenerovat pomocí nxkeygen.

23.11.2009 17:36 Dibur_X
Rozbalit Rozbalit vše Re: NX servr přes SSH s oboustraným RSA klíčem
to jsem tušil, ale nechapu co z toho vypliva pro mě za řešení...
23.11.2009 18:24 Dibur_X
Rozbalit Rozbalit vše Re: NX servr přes SSH s oboustraným RSA klíčem
Dodatečná informace:

když v nastaveni /etc/ssh/sshd_config přepnu PasswordAuthentication yes na no tak NX přihlašovaní přestane jet (timto zpusobem), jenže když ho nechám zaplé tak se zase vubec neberou v uvahu kliče pro ssh.
23.11.2009 19:07 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: NX servr přes SSH s oboustraným RSA klíčem
Tak to je jednoduché. Autentizovat uživatele přes klíče v NX nejde.

Proč? Originální (placený) NX server je sračka, která tohle neumí a všechny free varianty to "z důvodu kompatibility" zachovávají.

Technicky NX funguje tak, že se na cílový server nejprve nasshujete na účet "nx" (tady paradoxně používá autentizaci přes klíč*), kde se teprv spustí vlastní nx server, kterej tuším nastaví DISPLAY pro odchytávání X oken a provede něco jako ssh localhost, kde se už musíte prokázat heslem (né klíčem ani né agentem ani jinak**). Proč se nedá pustit nx server přímo pod Vaším uživatelem a vše by fungovalo super, mi uniká. Jediný důvod který mě napadá je licenční kontrola a omezení "free" verze na 2 spojení.

Co s tím? Vykašlete se na NX, používejte normální vzdálené X. S tou rychlostí je klasické X přes ssh úplně v pohodě. Pro windows existuje xming, atd.

*dotaženo do dokonalosti tím, že všichni používají tentýž klíč dodávaný NX tvůrci, takže na Vašem serveru má každý zadarmo přístup k uživateli nx

**protože používá vlastní haxlou variantu ssh, která na ostatní metody autentizace sere a to i přes nastavení v configu
In Ada the typical infinite loop would normally be terminated by detonation.
23.11.2009 19:42 Dibur_X
Rozbalit Rozbalit vše Re: NX servr přes SSH s oboustraným RSA klíčem
To je veselé. No ja jsem chtěl NX server hlavně kuli rychlosti, že prý hodně komprimuje a lze se připojovat i z pomaleho připojení, kdežto klasická x-ka pry tolik nekomprimuji a vytěžují linku, že prý vzdálený přístup z pomaleho připojení je téměř nemožný. Ale nevím co je na tom pravdy. Musim vyzkoušet. Zde je navod jak pustit v x-kach jednotlivou aplikaci přes ssh. PS: pravě heldam, šikovny navod, jak se vzdaleně přihlašuje do X-ek. Pokud o něčem víte tak to sem prosím postněte.
23.11.2009 19:21 Dibur_X
Rozbalit Rozbalit vše Re: NX servr přes SSH s oboustraným RSA klíčem
Takže jsem vyzkoušel ještě zrušit u mého klíče heslo (jestli tomu nevadilo heslo u klíče). Odpověď je, že nevadilo. Tedy zavěr pro mě je ten, že pokud necham ověřovani přihlašení uživatele zapomoci kliče, tak zjevně NX clienta nedonutim, aby použil pro přihlášení ten klíč co se použiva pro ssh.

Asi proto, jak bylo psáno vyše, že klient je naprogramovan tak, aby se přihlasil nejdříve na uživatele nx, jenže pomoci hesla. Ja bych chtěl, aby se přihlasil pomoci kliče na uživatele nx, ale to mu prostě nemůžu vnutit. Dokonce jsem na servru udělal tohle cp /home/petr/.ssh/authorized_keys2 /usr/NX/home/nx/authorized_keys2 ( tedy jak jsme se přihlašoval na petra, přes ssh jen z kontrolou kliče, tak by to teď mělo fungovat se stejnym kličem na nx). Ovšem to taky nezabralo. Opět chyba autentifikace.

Takže zavěr je, že takhle to prostě nejde. Buď budu riskovat, že se mi někdo naboura brutalforceatakem na uživatele, ale poběží mi nx server a nebo, že budu mit bezpečí kličů, ale nepoběží mi nx server.

Napadají mě čtyři řešení této situace:

1) při autentifikaci pustit skript, ktery rychle nastavi použití hesel necha přihlasit klienta a pak ho zruší (což mě přijde jako velice nebezpečné řešení, protože se pouští skript co upravuje prava přihašovaní...). (avšak nevím jak to udělat)

2) zkusit nastavit ssh na dvou portech a každému nastavit jiný konfigurák, přes jeden nechat přihlašovat uživatele na příkazovou řádku a přes druhý je nechat přihlašovat na nx ... nx bude chraněn vlastnim kličem, takže mě heslo netrapi. (avšak nevím jak to udělat)

3) Nechat uživatele přihlašovat všechny přes nx (což se mi nelíbí, natahovat grafiku, když uživateli stačí jen přikazak je blbost)

4) najít někde v NX servru jestli se to nedá přenastavit (což fakt nevim kde)

Máte pro mě někdo radu?
23.11.2009 19:39 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: NX servr přes SSH s oboustraným RSA klíčem
1) je nesmysl

2) teoreticky je schůdné. nepoužívejte ale ten světoznámý nx klíč. udělejte si svůj klíč, a nastrčte ho na nx klienty, aspoň nebudete mít účet nx otevřen do světa. autentizaci na heslo pak povolíte jen z localhostu (pomocí direktivy Match v sshd_config). uživatelé pak do příkazové řádky polezou přes klíč a do nx přes heslo.

3) je dost těžkopádné

4) nejde

a za sebe doporučuji 5) viz výše na nx se vykašlat a použít normální přesměrování X-ek, co proti tomu máte?
In Ada the typical infinite loop would normally be terminated by detonation.
23.11.2009 19:51 Dibur_X
Rozbalit Rozbalit vše Re: NX servr přes SSH s oboustraným RSA klíčem
ad 2) světoznámý klíč nemám v umyslu použít. Určitě ho změním, pokud ot tak udělám.
autentizaci na heslo pak povolíte jen z localhostu (pomocí direktivy Match v sshd_config). uživatelé pak do příkazové řádky polezou přes klíč a do nx přes heslo.
uf, promiňte asi moc náchápu. Můžete mi to podrobněj vysvětlit (popřípadě i napsat co bych do sshd_config musel napsat).

Děkuji

ad 5) výše (už zkouším a pracuji na tom), ale klonil bych se přeci jen k NX z rychlostnich duvodu.
23.11.2009 20:04 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: NX servr přes SSH s oboustraným RSA klíčem
Můžete mi to podrobněj vysvětlit (popřípadě i napsat co bych do sshd_config musel napsat).

do sshd_config dáte normálně
PasswordAuthentication no
, a pak na konec souboru dáte blok
Match Address 127.0.0.1/32
PasswordAuthentication Yes
(snad jede to nx na 127.0.0.1, případně změňte na IP stroje)
NX z rychlostnich duvodu.

Na jaké lince budete pracovat? Normální ADSL připojení a běžné přesměrování X-ek přes NX zvládá s přehledem vzdálený firefox, práci ve vývojovém prostředí, a kdovíco ještě. A opravdu vám stačí jen zadat ssh -X host a tam spustit aplikaci (ta se zobrazí na vašem desktopu, nikoliv vzdálený desktop ve vlastním okně, což je ale spíše výhoda). Pro MS windows funguje spolehlivě putty a xming.
In Ada the typical infinite loop would normally be terminated by detonation.
23.11.2009 20:05 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: NX servr přes SSH s oboustraným RSA klíčem
přes NX
chtěl jsem napsat "bez NX"
In Ada the typical infinite loop would normally be terminated by detonation.
23.11.2009 20:18 Dibur_X
Rozbalit Rozbalit vše Re: NX servr přes SSH s oboustraným RSA klíčem
Jen bych se ještě zeptal (protože ssh mi neodpovida po resetu servru :), taky jsme to mohl zkusit), tímhle:
Match Address 127.0.0.1/32
PasswordAuthentication Yes
jste myslel třeba:
Match Address 127.0.0.1
PasswordAuthentication Yes
nebo
Match Address 127.0.0.2
PasswordAuthentication Yes
že? :) ja to tam napsal "doznakově". Takže tam musim vlézt :) Tak momentík.
23.11.2009 20:26 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: NX servr přes SSH s oboustraným RSA klíčem
Ty první dva by měly být ekvivalentní, a ten poslední funguje jen pokud máte (a používáte) na loopbacku danou adresu, což nebývá obvyklé. Samozřejmě, pokud jste nastavil předtím globálně "PasswordAuthentication No" tak musíte mít pro vzdálenou administraci již připravený a ozkoušený klíč, jinak si uřežete pod sebou větev.
In Ada the typical infinite loop would normally be terminated by detonation.
23.11.2009 21:01 Dibur_X
Rozbalit Rozbalit vše Re: NX servr přes SSH s oboustraným RSA klíčem
wow, jede to. Ještě to chvilku budu testovat, zda to vše jede tak jak chci, ale vypadá to, že se to pravě rozjelo přesně tak jak potřebuji. Už jsme si to i otestoval lehce. Na uživatele, ke kterym nemam klič se přes ssh nepřihlasim a zamitne mi to public klič, ale přes NX servr se přesto přihlásim na svého uživatele, když chci. Což mi předtim nejelo. A přes ssh se taky přihlasim na sveho uživatele pomoci kliče. Takže to funguje. Jen teď budu muset změnit ty klíče a doladit drobnosti.

A k tomu podřiznutí větve. Ja si ji podřizl protože jsem tam napsal velkým Yes. Ono to v konfiguraku muí být malým, při rebootu mi to diky teto chybičce nespustilo ssh, takže jsme musel jit fyzicky na servr.

Takže abych to shrnul nastavil jsem v /etc/ssh/sshd_config :
PasswordAuthentication no
a nakonec souboru jsme přidal:
Match Address 127.0.0.1
PasswordAuthentication yes
(tady pozor na to male yes...odřizl jsem si větev)

Cely konfigurak /etc/ssh/sshd_config tedy je:
# Package generated conyesguration file
# See the sshd(8) manpage for details

# What ports, IPs and protocols we listen for
Port 22
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes

# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 1800
ServerKeyBits 2048

# Logging
SyslogFacility AUTH
LogLevel INFO

# Authentication:
LoginGraceTime 120
PermitRootLogin yes
StrictModes yes

RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile      %h/.ssh/authorized_keys2

# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes

# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no

# Change to no to disable tunnelled clear text passwords
PasswordAuthentication no

# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no

#MaxStartups 10:30:60
#Banner /etc/issue.net

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

Subsystem sftp /usr/lib/openssh/sftp-server

UsePAM yes

Match Address 127.0.0.1
PasswordAuthentication yes

Takže, myslim si, že mám z většiny vyhrano. Teď jen změním klič, na NX servr a bude.

Jen by mě zajimalo podrobné vysvětlení proč ta volba.
Match Address 127.0.0.1
PasswordAuthentication yes
zbrala. Protože ja se přihlašuji přes toho jejich klienta. A ten se přihlasi nejdřiv jako normalni uživatel (použije muj veřejny klíč co mám /home/"jmeno uživatele/.ssh/jmeno kliče")? A pak až ten uživatel nx z toho servru se přihlašuje zpět na ten servr heslem? Nechapu přesný postup toho jak ten nx client se tam přihlašuje.
24.11.2009 06:17 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: NX servr přes SSH s oboustraným RSA klíčem
Protože ja se přihlašuji přes toho jejich klienta. A ten se přihlasi nejdřiv jako normalni uživatel (použije muj veřejny klíč co mám /home/"jmeno uživatele/.ssh/jmeno kliče")?
Ten se přihlásí klíčem, kterej má někde zabudovanej (/opt/nx/share/keys nebo /usr/nx/share/keys nebo ...) - to je ten globální ten doporučuju vyměnit za vlastní. Jakmile je přihlášen, provede (na serveru) ssh na localhost (tj. ten server) pod vaším skutečným jménem, kde se ověří vaše heslo. Proto je z adresy localhost povoleno ověření heslem.
In Ada the typical infinite loop would normally be terminated by detonation.
24.11.2009 09:07 Dibur_X
Rozbalit Rozbalit vše Re: NX servr přes SSH s oboustraným RSA klíčem
Aha, takže to nakonec není tak špatné, jak se na prvni pohled zdalo. Tohle nastavení je poměrně bezpečné, akorát nesmím dát přístup na grafické rozhraní (tedy ten můj nový klíč co jsem si vygeneroval pro NX server) někomu kdo by mohl brutal force atakem zkoušet hesla na jiné uživatele, al to se již jedná o zabezpečení vuči někomu, kdo se na servr může nalogovat, takže to už je vnitřní nepřítel. Děkuji za zodpovězení otázek.
24.11.2009 09:26 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: NX servr přes SSH s oboustraným RSA klíčem
Brutal force útok bych si někdy chtěl vyzkoušet :-D
In Ada the typical infinite loop would normally be terminated by detonation.
27.11.2009 01:32 Dibur_X
Rozbalit Rozbalit vše Re: NX servr přes SSH s oboustraným RSA klíčem
:) Njn. Nejsem zrovna správný pisálek, se omlouvám, jen pro nápravu:Brute force attack
23.11.2009 21:17 Dibur_X
Rozbalit Rozbalit vše Re: NX servr přes SSH s oboustraným RSA klíčem
Opravdu, funguje to téměř přesně tak jak bych si představoval. K idelau už je to velice blizko (dost na to abych více už nepotřegboval), takže Vám MOC DĚKUJI za radu a za pomoc s řešením problému.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.