abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
včera 16:22 | Nová verze

Po pěti měsících od vydání Waylandu a Westonu 1.12.0 oznámil Bryce Harrington (Samsung) vydání Waylandu 1.13.0 a Westonu 2.0.0.

Ladislav Hagara | Komentářů: 0
24.2. 13:37 | Bezpečnostní upozornění

Společnost Cloudflare (Wikipedie) na svém blogu potvrdila bezpečnostní problém s její službou. V požadovaných odpovědích od reverzní proxy byla odesílána také data z neinicializované paměti. Útočník tak mohl získat cookies, autentizační tokeny, data posílaná přes HTTP POST a další citlivé informace. Jednalo se o chybu v parsování HTML. Zneužitelná byla od 22. září 2016 do 18. února 2017. Seznam webů, kterých se bezpečnostní problém potenciálně týká na GitHubu.

Ladislav Hagara | Komentářů: 1
24.2. 08:22 | Nová verze

Byla vydána první beta verze Ubuntu 17.04 s kódovým názvem Zesty Zapus. Ke stažení jsou obrazy Kubuntu, Lubuntu, Ubuntu Budgie, Ubuntu GNOME, Ubuntu Kylin, Ubuntu Studio a Xubuntu. Dle plánu by Ubuntu 17.04 mělo vyjít 13. dubna 2017.

Ladislav Hagara | Komentářů: 28
23.2. 17:53 | Bezpečnostní upozornění

Google na svém blogu věnovaném počítačové bezpečnost informuje o nalezení "reálného" způsobu generování kolizí hašovací funkce SHA-1. Podrobnosti a zdrojové kódy budou zveřejněny do 90 dnů. Již dnes lze ale na stránce SHAttered nalézt 2 pdf soubory, jejichž obsah se liší a SHA-1 otisk je stejný (infografika).

Ladislav Hagara | Komentářů: 33
23.2. 17:51 | Nová verze

Vyšla nová verzia open source software na správu a automatizáciu cloudových datacentier Danube Cloud 2.4. Danube Cloud je riešenie postavené na SmartOS, ZFS, KVM a zónach. Obsahuje vlastnosti ako integrovaný monitoring, DNS manažment, zálohy, a samozrejme rozsiahlu dokumentáciu.

dano | Komentářů: 8
23.2. 17:46 | Pozvánky

V Plzni se 3. až 5. března 2017 uskuteční AIMTEChackathon. Je to akce pro vývojáře, grafiky, webdesignéry i veřejnost. Akci provází zajímavé přednášky IT odborníků. Více o programu a možnosti přihlášení na stránkách akce.

cuba | Komentářů: 0
23.2. 01:00 | Nová verze

Známý šifrovaný komunikátor Signal od verze 3.30.0 již nevyžaduje Google Play Services. Autoři tak po letech vyslyšeli volání komunity, která dala vzniknout Google-free forku LibreSignal (dnes již neudržovaný). Oficiální binárky jsou stále distribuované pouze přes Google Play, ale lze použít neoficiální F-Droid repozitář fdroid.eutopia.cz s nezávislými buildy Signalu nebo oficiální binárku stáhnout z Google Play i bez Google účtu

… více »
xm | Komentářů: 8
22.2. 23:14 | Nová verze

Po třech týdnech od vydání první RC verze byla vydána první stabilní verze 17.01.0 linuxové distribuce pro routery a vestavěné systémy LEDE (Linux Embedded Development Environment), forku linuxové distribuce OpenWrt. Přehled novinek v poznámkách k vydání. Dotazy v diskusním fóru.

Ladislav Hagara | Komentářů: 8
22.2. 17:28 | Bezpečnostní upozornění

Byly zveřejněny informace o bezpečnostní chybě CVE-2017-6074 v Linuxu zneužitelné k lokální eskalaci práv. Jde o chybu v podpoře DCCP (Datagram Congestion Control Protocol). Do linuxového jádra se dostala v říjnu 2005. V upstreamu byla opravena 17. února (commit). Bezpečnostní chyba byla nalezena pomocí nástroje syzkaller [Hacker News].

Ladislav Hagara | Komentářů: 16
22.2. 15:00 | Zajímavý software

Společnost Valve vydala novou beta verzi SteamVR. Z novinek lze zdůraznit oficiální podporu Linuxu. Další informace o podpoře této platformy pro vývoj virtuální reality v Linuxu v diskusním fóru. Hlášení chyb na GitHubu.

Ladislav Hagara | Komentářů: 0
Jak se stavíte k trendu ztenčování přenosných zařízení (smartphony, notebooky)?
 (13%)
 (2%)
 (72%)
 (3%)
 (10%)
Celkem 709 hlasů
 Komentářů: 66, poslední 22.2. 18:57
    Rozcestník

    Dotaz: Propojení Samba - Active Directory

    21.11.2012 11:29 radek hulak
    Propojení Samba - Active Directory
    Přečteno: 1381×
    Ahoj, toto zkousim poprve, takze zacnu tim, ze mam AD Win 2008 R2(local.mojedomena) a Sambu ubuntu 12.04 server, jedu podle navodu https://wiki.samba.org/index.php/Samba_&_Active_Directory, a zaseknu se u nastaveni kerberosu. Ten jedu podle https://help.ubuntu.com/community/Kerberos.
    kdc.conf
    [kdcdefaults]
        kdc_ports = 750,88
        default_realm = local.mojedomena
    [realms]
        local.mojedomena = {
            database_name = /var/lib/krb5kdc/principal
            admin_keytab = FILE:/etc/krb5kdc/kadm5.keytab
            acl_file = /etc/krb5kdc/kadm5.acl
            key_stash_file = /etc/krb5kdc/stash
            kdc_ports = 750,88
            max_life = 10h 0m 0s
            max_renewable_life = 7d 0h 0m 0s
            master_key_type = des3-hmac-sha1
            supported_enctypes = aes256-cts:normal arcfour-hmac:normal des3-hmac-sh$
            default_principal_flags = +preauth
        }
    a podle clanku na wiki.samba :
    krb5.conf
    [logging]
    default = FILE:/var/log/krb5libs.log
    kdc = FILE:/var/log/krb5kdc.log
    admin_server = FILE:/var/log/kadmind.log
    
    [libdefaults]
    dns_lookup_realm = true
    dns_lookup_kdc = true
    ticket_lifetime = 24h
    forwardable = yes
    default_realm = local.mojedomea ============== to jsem pridal
    
    [appdefaults]
    pam = {
       debug = false
       ticket_lifetime = 36000
       renew_lifetime = 36000
       forwardable = true
       krb4_convert = false
    }
    
    vytvorim db krb5_newrealm, upravim kadm5.acl, kde vlozim */admin@local.mojedomena *, a ted kdyz chci spustit kadmin -p admin/admin, tak to zahlasi: kadmin: Missing parameters in krb5.conf required for kadmin client while initializing kadmin interface. Ano, rozuim tomu, ze mi tam neco chybi,ale co?

    1.) Az po jaky bod se musim dostat tak, abych mohl pokracovat v integrovani samby v druhem navodu? Tam pisou, ze kerberos musi byt nakonfigurovan, tak kdy poznam, ze je nakonfigurovan? Az pridam uzivatele?

    2.) Nejdrive musim vytvorit uzivatele na linux pc, potom v AD, a heslo uz si bude overovat pres AD?

    3.) Kdyz chci propojit infrastrukturu linux-windows, udelal bych LDAP synchronizaci s AD, a u ldapu by musel bezet jeste kerberos?

    4.) Nikdy nedocilim toho, ze AD mi bude ridit i vytvaret ucty i na linuxech?

    Cetl jsem toho dost, a ted se to snazim vstrebat, diky za pomoc

    Odpovědi

    21.11.2012 14:23 radek hulak
    Rozbalit Rozbalit vše Re: Propojení Samba - Active Directory
    co ma byt tedy v kdc.conf a co v krb5.conf ? Díky
    22.11.2012 09:31 radek hulak
    Rozbalit Rozbalit vše Re: Propojení Samba - Active Directory
    Takže jestli to chápu dobře, tak pouze stačí nastavit /etc/krb5.conf,

    [logging]
    default = FILE:/var/log/krb5libs.log
    kdc = FILE:/var/log/krb5kdc.log
    admin_server = FILE:/var/log/kadmind.log
    
    
    [libdefaults]
    dns_lookup_realm = true
    dns_lookup_kdc = true
    ticket_lifetime = 24h
    forwardable = yes
    default_realm = 10.0.0.5
    
    [realms]
    10.0.0.5 = {
       default_domain = LOCAL.MOJEDOMENA
       kdc = 10.0.0.5:
       admin_server = :
    }
    
    [domain_realm]
    LOCAL.MOJEDOMENA = 10.0.0.5
    
    [appdefaults]
    pam = {
       debug = false
       ticket_lifetime = 36000
       renew_lifetime = 36000
       forwardable = true
       krb4_convert = false
    }
    Kde LOCAL.MOJEDOMENA je název domény v AD a 10.0.0.5 IP adresa AD serveru, ano?Díky
    22.11.2012 09:36 radek hulak
    Rozbalit Rozbalit vše Re: Propojení Samba - Active Directory
    Teď bych měl vyzkoušet: kinit Administrator@LOCAL.MOJEDOMENA, ale vypíše to chybu: kinit: Cannot resolve servers for KDC in realm "LOCAL.MOJEDOMENA" while getting initial credentials.

    Ještě jsem si přidal do hosts, 10.0.0.5 dc.domena.cz dc a do /etc/krb5.conf, kdc = dc.domena.cz: a admin_server = dc.domena.cz: ,ale nefunguje... Poradíte prosím někdoo?
    22.11.2012 10:02 radek hulak
    Rozbalit Rozbalit vše Re: Propojení Samba - Active Directory
    Další pokus DNS záznam: _kerberos._tcp.kerberos.local.mojedomena. IN SRV 1 1 88 10.0.0.5

    krb5.conf
    [logging]
    default = FILE:/var/log/krb5libs.log
    kdc = FILE:/var/log/krb5kdc.log
    admin_server = FILE:/var/log/kadmind.log
    
    [libdefaults]
    dns_lookup_realm = true
    dns_lookup_kdc = true
    ticket_lifetime = 24h
    forwardable = yes
    
    [appdefaults]
    pam = {
       debug = false
       ticket_lifetime = 36000
       renew_lifetime = 36000
       forwardable = true
       krb4_convert = false
    }
    root@kerberos:/home/lofas# host -t srv _kerberos._tcp.kerberos.local.mojedomena
    
    _kerberos._tcp.kerberos.local.mojedomena has SRV record 1 1 88 10.0.0.5.local.mojedomena.
    root@kerberos:/home/lofas# kinit
    kinit: Configuration file does not specify default realm when parsing name root
    22.11.2012 15:02 majales | skóre: 20 | blog: Majales
    Rozbalit Rozbalit vše Re: Propojení Samba - Active Directory
    Zdravím Dle mého soudu Ti chybí definice realmu. Já tam mám ještě toto:
    ..
    [libdefaults]
     default_realm = MOJEDOMENA.CZ
    
    [realms]
     MOJEDOMENA.CZ = {
      kdc = adc.domena.cz
      kdc = bdc.domena.cz
      master_kdc = adc.domena.cz
      admin_server = adc.domena.cz
      default_domain = MOJEDOMENA.CZ
     }
    
    [domain_realm]
     .pfcr.cz = MOJEDOMENA.CZ
     pfcr.cz = MOJEDOMENA.CZ
    
    A ještě bacha na synchronizaci času.

    S.
    23.11.2012 12:07 radek hulak
    Rozbalit Rozbalit vše Re: Propojení Samba - Active Directory
    Takže jestli to chápu dobře, tak se mám vykašlat na instalaci krb5-kdc krb5-admin-server, protože tímto bych zakládal realm. V mém případě realm bude doména na AD, a mě bude stačit pouze krb5-user, plus nastavit konfigurák a zkusit ověřit přes kinit. Ok?
    26.11.2012 09:50 majales | skóre: 20 | blog: Majales
    Rozbalit Rozbalit vše Re: Propojení Samba - Active Directory
    Přesně tak. Ono by to šlo taky, ale to už by si musel řešit mezidoménový trust, což jsem ještě nikdy neřešil. Takhle to je nejjednodušší. U Samby se dej bacha na různé pojetí výměny auth informací v různých verzích windows při přístupu samba share. Musel jsme do keytab umístit všechny myslitelné formy jména stroje s velkými i malými písmeny kde běží samba. Tj. nestačilo mít tam pouze "host/stroj.domena.cz" muselo tam být i "HOST/stroj.DOMENA.CZ" a taky "host/stroj" či "HOST/STROJ" nebo "host/Stroj".
    27.11.2012 15:03 radek hulak
    Rozbalit Rozbalit vše Re: Propojení Samba - Active Directory
    Díky mnohokrát, už jsem se připojil.

    Tady tohle znamená prosím co? Asociace internetové domény s doménou AD? :D
    [domain_realm]
     .pfcr.cz = MOJEDOMENA.CZ
     pfcr.cz = MOJEDOMENA.CZ
    
    nakonec teda kdy by to někoho zajímalo, tak ten cfg vypadá takto:
    [libdefaults]
     default_realm = LOCAL.MOJEDOMENA
     dns_lookup_realm = true
     dns_lookup_kdc = true
     ticket_lifetime = 24h
     forwardable = yes
    
    [realms]
     LOCAL.MOJEDOMENA = {
      kdc = 10.0.0.5
      master_kdc = 10.0.0.5
      admin_server = 10.0.0.5
      default_domain = LOCAL.MOJEDOMENA
     }
    
    [domain_realm]
     .web.cz = LOCAL.MOJEDOMENA
     web.cz = LOCAL.MOJEDOMENA
    
    [logging]
    default = FILE:/var/log/krb5libs.log
    kdc = FILE:/var/log/krb5kdc.log
    admin_server = FILE:/var/log/kadmind.log
    
    [appdefaults]
    pam = {
       debug = false
       ticket_lifetime = 36000
       renew_lifetime = 36000
       forwardable = true
       krb4_convert = false
    }
    
    
    
    28.11.2012 12:58 radek hulak
    Rozbalit Rozbalit vše Re: Propojení Samba - Active Directory
    smb.conf
    #GLOBAL PARAMETERS
    [global]
       workgroup = WORKGROUP
       realm = LOCAL.MOJEDOMENA
       preferred master = no
       server string = Linux Test Machine
       security = ADS
       encrypt passwords = yes
       log level = 3
       log file = /var/log/samba/%m
       max log size = 50
       printcap name = cups
       printing = cups
       winbind enum users = Yes
       winbind enum groups = Yes
       winbind use default domain = Yes
       winbind nested groups = Yes
       winbind separator = +
       idmap uid = 600-20000
       idmap gid = 600-20000
       ;template primary group = "Domain Users"
       template shell = /bin/bash
    
    [homes]
       comment = Home Direcotries
       valid users = %S
       read only = No
       browseable = No
    
    [printers]
       comment = All Printers
       path = /var/spool/cups
       browseable = no
       printable = yes
       guest ok = yes
    Teď zkouším
    net ads testjoin -U Administrator
    Enter KERBEROS2$@LOCAL.MOJEDOMENA's password:
    ads_connect: No logon servers
    Join to domain is not valid: No logon servers
    Já už nevím, co stím? Díval jsem se na Centrify Express, pomůže mi alespoň to? Díky

    28.11.2012 13:34 Zdenek 'Mst. Spider' Sedlak | skóre: 37 | blog: xMstSpider
    Rozbalit Rozbalit vše Re: Propojení Samba - Active Directory
    password server = ad_server_1.local.mojedomena _ad_server_2.local.mojedomena
    nebo
    password server = *
    pokud mas SRV zaznamy
    28.11.2012 13:48 radek hulak
    Rozbalit Rozbalit vše Re: Propojení Samba - Active Directory
    asi vím, kde byla chyba, špatně nastavené DNS. Akorát nevím, proč jsem se nemohl připojit s configem samby, kde byla natavena workgroup = SKUPINA. Chtělo to, ať to změním na workgroup = LOCAL, přitom realm mám LOCAL.MOJEDOMENA

    v krb5.conf jsem nakonec nechal
    [domain_realm]
     local.mojedomena = LOCAL.MOJEDOMENA
    To jsem pochopil asi že je to jen asociace.
    30.11.2012 07:56 radek hulak
    Rozbalit Rozbalit vše Re: Propojení Samba - Active Directory
    Chtěl jsem se ještě zeptat na 2 věci, v postupu se píše, že mají být správně uvedené simlinky
    libnss_winbind.so
    libnss_winbind.so.2 -> libnss_winbind.so
    libnss_wins.so
    libnss_wins.so.2 -> libnss_wins.so
    Ale co když jsem nekompiloval, ale instalovat z balíčku?

    a další věc je PAM, kam stím?

    #%PAM-1.0
    # This file is auto-generated.
    # User changes will be destroyed the next time authconfig is run.
    auth required /lib/security/$ISA/pam_env.so
    auth sufficient /lib/security/$ISA/pam_unix.so likeauth nullok
    auth sufficient /lib/security/$ISA/pam_winbind.so use_first_pass
    auth required /lib/security/$ISA/pam_deny.so
    
    account required /lib/security/$ISA/pam_unix.so
    account sufficient /lib/security/$ISA/pam_succeed_if.so uid < 100 quiet
    account sufficient /lib/security/$ISA/pam_winbind.so use_first_pass
    account required /lib/security/$ISA/pam_permit.so
    
    password requisite /lib/security/$ISA/pam_cracklib.so retry=3 type=
    password sufficient /lib/security/$ISA/pam_unix.so nullok use_authtok md5 shadow
    password sufficient /lib/security/$ISA/pam_winbind.so use_first_pass
    password required /lib/security/$ISA/pam_deny.so
    
    session required /lib/security/$ISA/pam_limits.so
    session required /lib/security/$ISA/pam_unix.so
    session required /lib/security/$ISA/pam_winbind.so use_first_pass
    Co jsem udělal, tak jsem dal sudo pam-auth-update, ale to asi nefungovalo, protože mi to rozdrbalo přihlašování. Takže jsem vrátil z5 zálohu a nevím co stím...
    3.12.2012 13:13 radek hulak
    Rozbalit Rozbalit vše Re: Propojení Samba - Active Directory
    Nikdo nic? :(
    2.3.2013 20:10 jakub
    Rozbalit Rozbalit vše Re: Propojení Samba - Active Directory
    Ahoj prosím tě mám stejný problém, napsal by jsi mi email? mám prolém vazby samba-active Dir. a nevím jak s tím.. kdyžtak mi napiš na jakub.krystof1@gmail.com je to nutné díky moc

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.