abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
eParkomat, startup z ČR, postoupil mezi finalisty evropského akcelerátoru ChallengeUp!
Robot na pivo mu otevřel dveře k opravdovému byznysu
Internet věcí: Propojený svět? Už se to blíží...
včera 21:21 | Nová verze Ladislav Hagara | Komentářů: 0
včera 11:44 | Zajímavý projekt

Na Indiegogo byla spuštěna kampaň na podporu herní mini konzole a multimediálního centra RetroEngine Sigma od Doyodo. Předobjednat ji lze již od 49 dolarů. Požadovaná částka 20 000 dolarů byla překonána již 6 krát. Majitelé mini konzole si budou moci zahrát hry pro Atari VCS 2600, Sega Genesis nebo NES. Předinstalováno bude multimediální centrum Kodi.

Ladislav Hagara | Komentářů: 0
včera 00:10 | Nová verze

Byla vydána verze 4.7 redakčního systému WordPress. Kódové označením Vaughan bylo vybráno na počest americké jazzové zpěvačky Sarah "Sassy" Vaughan. Z novinek lze zmínit například novou výchozí šablonu Twenty Seventeen, náhledy pdf souborů nebo WordPress REST API.

Ladislav Hagara | Komentářů: 1
6.12. 12:00 | Zajímavý projekt

Projekt Termbox umožňuje vyzkoušet si linuxové distribuce Ubuntu, Debian, Fedora, CentOS a Arch Linux ve webovém prohlížeči. Řešení je postaveno na projektu HyperContainer. Podrobnosti v často kladených dotazech (FAQ). Zdrojové kódy jsou k dispozici na GitHubu [reddit].

Ladislav Hagara | Komentářů: 24
6.12. 11:00 | Bezpečnostní upozornění

Byly zveřejněny informace o bezpečnostní chybě CVE-2016-8655 v Linuxu zneužitelné k lokální eskalaci práv. Chyba se dostala do linuxového jádra v srpnu 2011. V upstreamu byla opravena minulý týden [Hacker News].

Ladislav Hagara | Komentářů: 2
5.12. 22:00 | Komunita

Přibližně před měsícem bylo oznámeno, že linuxová distribuce SUSE Linux Enterprise Server (SLES) běží nově také Raspberry Pi 3 (dokumentace). Obraz verze 12 SP2 pro Raspberry Pi 3 je ke stažení zdarma. Pro registrované jsou po dobu jednoho roku zdarma také aktualizace. Dnes bylo oznámeno, že pro Raspberry Pi 3 je k dispozici také nové openSUSE Leap 42.2 (zprávička). K dispozici je hned několik obrazů.

Ladislav Hagara | Komentářů: 6
5.12. 06:00 | Zajímavý software

OMG! Ubuntu! představuje emulátor terminálu Hyper (GitHub) postavený na webových technologiích (HTML, CSS a JavaScript). V diskusi k článku je zmíněn podobný emulátor terminálu Black Screen. Hyper i Black Screen používají framework Electron, stejně jako editor Atom nebo vývojové prostředí Visual Studio Code.

Ladislav Hagara | Komentářů: 50
5.12. 06:00 | Zajímavý článek

I letos vychází řada ajťáckých adventních kalendářů. QEMU Advent Calendar 2016 přináší každý den nový obraz disku pro QEMU. Programátoři se mohou potrápit při řešení úloh z kalendáře Advent of Code 2016. Kalendáře Perl Advent Calendar 2016 a Perl 6 Advent Calendar přinášejí každý den zajímavé informace o programovacím jazyce Perl. Stranou nezůstává ani programovací jazyk Go.

Ladislav Hagara | Komentářů: 10
3.12. 16:24 | Nová verze

Byla vydána Mageia 5.1. Jedná se o první opravné vydání verze 5, jež vyšla v červnu loňského roku (zprávička). Uživatelům verze 5 nepřináší opravné vydání nic nového, samozřejmě pokud pravidelně aktualizují. Vydání obsahuje všechny aktualizace za posledního téměř půldruhého roku. Mageia 5.1 obsahuje LibreOffice 4.4.7, Linux 4.4.32, KDE4 4.14.5 nebo GNOME 3.14.3.

Ladislav Hagara | Komentářů: 17
3.12. 13:42 | Pozvánky

V Praze probíhá konference Internet a Technologie 16.2, volné pokračování jarní konference sdružení CZ.NIC. Konferenci lze sledovat online na YouTube. K dispozici je také archiv předchozích konferencí.

Ladislav Hagara | Komentářů: 0
Kolik máte dat ve svém domovském adresáři na svém primárním osobním počítači?
 (32%)
 (24%)
 (29%)
 (8%)
 (5%)
 (3%)
Celkem 785 hlasů
 Komentářů: 50, poslední 29.11. 15:50
Rozcestník
Reklama

Dotaz: Propojení Samba - Active Directory

21.11.2012 11:29 radek hulak
Propojení Samba - Active Directory
Přečteno: 1354×
Ahoj, toto zkousim poprve, takze zacnu tim, ze mam AD Win 2008 R2(local.mojedomena) a Sambu ubuntu 12.04 server, jedu podle navodu https://wiki.samba.org/index.php/Samba_&_Active_Directory, a zaseknu se u nastaveni kerberosu. Ten jedu podle https://help.ubuntu.com/community/Kerberos.
kdc.conf
[kdcdefaults]
    kdc_ports = 750,88
    default_realm = local.mojedomena
[realms]
    local.mojedomena = {
        database_name = /var/lib/krb5kdc/principal
        admin_keytab = FILE:/etc/krb5kdc/kadm5.keytab
        acl_file = /etc/krb5kdc/kadm5.acl
        key_stash_file = /etc/krb5kdc/stash
        kdc_ports = 750,88
        max_life = 10h 0m 0s
        max_renewable_life = 7d 0h 0m 0s
        master_key_type = des3-hmac-sha1
        supported_enctypes = aes256-cts:normal arcfour-hmac:normal des3-hmac-sh$
        default_principal_flags = +preauth
    }
a podle clanku na wiki.samba :
krb5.conf
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
dns_lookup_realm = true
dns_lookup_kdc = true
ticket_lifetime = 24h
forwardable = yes
default_realm = local.mojedomea ============== to jsem pridal

[appdefaults]
pam = {
   debug = false
   ticket_lifetime = 36000
   renew_lifetime = 36000
   forwardable = true
   krb4_convert = false
}
vytvorim db krb5_newrealm, upravim kadm5.acl, kde vlozim */admin@local.mojedomena *, a ted kdyz chci spustit kadmin -p admin/admin, tak to zahlasi: kadmin: Missing parameters in krb5.conf required for kadmin client while initializing kadmin interface. Ano, rozuim tomu, ze mi tam neco chybi,ale co?

1.) Az po jaky bod se musim dostat tak, abych mohl pokracovat v integrovani samby v druhem navodu? Tam pisou, ze kerberos musi byt nakonfigurovan, tak kdy poznam, ze je nakonfigurovan? Az pridam uzivatele?

2.) Nejdrive musim vytvorit uzivatele na linux pc, potom v AD, a heslo uz si bude overovat pres AD?

3.) Kdyz chci propojit infrastrukturu linux-windows, udelal bych LDAP synchronizaci s AD, a u ldapu by musel bezet jeste kerberos?

4.) Nikdy nedocilim toho, ze AD mi bude ridit i vytvaret ucty i na linuxech?

Cetl jsem toho dost, a ted se to snazim vstrebat, diky za pomoc

Odpovědi

21.11.2012 14:23 radek hulak
Rozbalit Rozbalit vše Re: Propojení Samba - Active Directory
co ma byt tedy v kdc.conf a co v krb5.conf ? Díky
22.11.2012 09:31 radek hulak
Rozbalit Rozbalit vše Re: Propojení Samba - Active Directory
Takže jestli to chápu dobře, tak pouze stačí nastavit /etc/krb5.conf,

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log


[libdefaults]
dns_lookup_realm = true
dns_lookup_kdc = true
ticket_lifetime = 24h
forwardable = yes
default_realm = 10.0.0.5

[realms]
10.0.0.5 = {
   default_domain = LOCAL.MOJEDOMENA
   kdc = 10.0.0.5:
   admin_server = :
}

[domain_realm]
LOCAL.MOJEDOMENA = 10.0.0.5

[appdefaults]
pam = {
   debug = false
   ticket_lifetime = 36000
   renew_lifetime = 36000
   forwardable = true
   krb4_convert = false
}
Kde LOCAL.MOJEDOMENA je název domény v AD a 10.0.0.5 IP adresa AD serveru, ano?Díky
22.11.2012 09:36 radek hulak
Rozbalit Rozbalit vše Re: Propojení Samba - Active Directory
Teď bych měl vyzkoušet: kinit Administrator@LOCAL.MOJEDOMENA, ale vypíše to chybu: kinit: Cannot resolve servers for KDC in realm "LOCAL.MOJEDOMENA" while getting initial credentials.

Ještě jsem si přidal do hosts, 10.0.0.5 dc.domena.cz dc a do /etc/krb5.conf, kdc = dc.domena.cz: a admin_server = dc.domena.cz: ,ale nefunguje... Poradíte prosím někdoo?
22.11.2012 10:02 radek hulak
Rozbalit Rozbalit vše Re: Propojení Samba - Active Directory
Další pokus DNS záznam: _kerberos._tcp.kerberos.local.mojedomena. IN SRV 1 1 88 10.0.0.5

krb5.conf
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
dns_lookup_realm = true
dns_lookup_kdc = true
ticket_lifetime = 24h
forwardable = yes

[appdefaults]
pam = {
   debug = false
   ticket_lifetime = 36000
   renew_lifetime = 36000
   forwardable = true
   krb4_convert = false
}
root@kerberos:/home/lofas# host -t srv _kerberos._tcp.kerberos.local.mojedomena

_kerberos._tcp.kerberos.local.mojedomena has SRV record 1 1 88 10.0.0.5.local.mojedomena.
root@kerberos:/home/lofas# kinit
kinit: Configuration file does not specify default realm when parsing name root
22.11.2012 15:02 majales | skóre: 20 | blog: Majales
Rozbalit Rozbalit vše Re: Propojení Samba - Active Directory
Zdravím Dle mého soudu Ti chybí definice realmu. Já tam mám ještě toto:
..
[libdefaults]
 default_realm = MOJEDOMENA.CZ

[realms]
 MOJEDOMENA.CZ = {
  kdc = adc.domena.cz
  kdc = bdc.domena.cz
  master_kdc = adc.domena.cz
  admin_server = adc.domena.cz
  default_domain = MOJEDOMENA.CZ
 }

[domain_realm]
 .pfcr.cz = MOJEDOMENA.CZ
 pfcr.cz = MOJEDOMENA.CZ
A ještě bacha na synchronizaci času.

S.
23.11.2012 12:07 radek hulak
Rozbalit Rozbalit vše Re: Propojení Samba - Active Directory
Takže jestli to chápu dobře, tak se mám vykašlat na instalaci krb5-kdc krb5-admin-server, protože tímto bych zakládal realm. V mém případě realm bude doména na AD, a mě bude stačit pouze krb5-user, plus nastavit konfigurák a zkusit ověřit přes kinit. Ok?
26.11.2012 09:50 majales | skóre: 20 | blog: Majales
Rozbalit Rozbalit vše Re: Propojení Samba - Active Directory
Přesně tak. Ono by to šlo taky, ale to už by si musel řešit mezidoménový trust, což jsem ještě nikdy neřešil. Takhle to je nejjednodušší. U Samby se dej bacha na různé pojetí výměny auth informací v různých verzích windows při přístupu samba share. Musel jsme do keytab umístit všechny myslitelné formy jména stroje s velkými i malými písmeny kde běží samba. Tj. nestačilo mít tam pouze "host/stroj.domena.cz" muselo tam být i "HOST/stroj.DOMENA.CZ" a taky "host/stroj" či "HOST/STROJ" nebo "host/Stroj".
27.11.2012 15:03 radek hulak
Rozbalit Rozbalit vše Re: Propojení Samba - Active Directory
Díky mnohokrát, už jsem se připojil.

Tady tohle znamená prosím co? Asociace internetové domény s doménou AD? :D
[domain_realm]
 .pfcr.cz = MOJEDOMENA.CZ
 pfcr.cz = MOJEDOMENA.CZ
nakonec teda kdy by to někoho zajímalo, tak ten cfg vypadá takto:
[libdefaults]
 default_realm = LOCAL.MOJEDOMENA
 dns_lookup_realm = true
 dns_lookup_kdc = true
 ticket_lifetime = 24h
 forwardable = yes

[realms]
 LOCAL.MOJEDOMENA = {
  kdc = 10.0.0.5
  master_kdc = 10.0.0.5
  admin_server = 10.0.0.5
  default_domain = LOCAL.MOJEDOMENA
 }

[domain_realm]
 .web.cz = LOCAL.MOJEDOMENA
 web.cz = LOCAL.MOJEDOMENA

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[appdefaults]
pam = {
   debug = false
   ticket_lifetime = 36000
   renew_lifetime = 36000
   forwardable = true
   krb4_convert = false
}


28.11.2012 12:58 radek hulak
Rozbalit Rozbalit vše Re: Propojení Samba - Active Directory
smb.conf
#GLOBAL PARAMETERS
[global]
   workgroup = WORKGROUP
   realm = LOCAL.MOJEDOMENA
   preferred master = no
   server string = Linux Test Machine
   security = ADS
   encrypt passwords = yes
   log level = 3
   log file = /var/log/samba/%m
   max log size = 50
   printcap name = cups
   printing = cups
   winbind enum users = Yes
   winbind enum groups = Yes
   winbind use default domain = Yes
   winbind nested groups = Yes
   winbind separator = +
   idmap uid = 600-20000
   idmap gid = 600-20000
   ;template primary group = "Domain Users"
   template shell = /bin/bash

[homes]
   comment = Home Direcotries
   valid users = %S
   read only = No
   browseable = No

[printers]
   comment = All Printers
   path = /var/spool/cups
   browseable = no
   printable = yes
   guest ok = yes
Teď zkouším
net ads testjoin -U Administrator
Enter KERBEROS2$@LOCAL.MOJEDOMENA's password:
ads_connect: No logon servers
Join to domain is not valid: No logon servers
Já už nevím, co stím? Díval jsem se na Centrify Express, pomůže mi alespoň to? Díky

28.11.2012 13:34 Zdenek 'Mst. Spider' Sedlak | skóre: 37 | blog: xMstSpider
Rozbalit Rozbalit vše Re: Propojení Samba - Active Directory
password server = ad_server_1.local.mojedomena _ad_server_2.local.mojedomena
nebo
password server = *
pokud mas SRV zaznamy
28.11.2012 13:48 radek hulak
Rozbalit Rozbalit vše Re: Propojení Samba - Active Directory
asi vím, kde byla chyba, špatně nastavené DNS. Akorát nevím, proč jsem se nemohl připojit s configem samby, kde byla natavena workgroup = SKUPINA. Chtělo to, ať to změním na workgroup = LOCAL, přitom realm mám LOCAL.MOJEDOMENA

v krb5.conf jsem nakonec nechal
[domain_realm]
 local.mojedomena = LOCAL.MOJEDOMENA
To jsem pochopil asi že je to jen asociace.
30.11.2012 07:56 radek hulak
Rozbalit Rozbalit vše Re: Propojení Samba - Active Directory
Chtěl jsem se ještě zeptat na 2 věci, v postupu se píše, že mají být správně uvedené simlinky
libnss_winbind.so
libnss_winbind.so.2 -> libnss_winbind.so
libnss_wins.so
libnss_wins.so.2 -> libnss_wins.so
Ale co když jsem nekompiloval, ale instalovat z balíčku?

a další věc je PAM, kam stím?

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth required /lib/security/$ISA/pam_env.so
auth sufficient /lib/security/$ISA/pam_unix.so likeauth nullok
auth sufficient /lib/security/$ISA/pam_winbind.so use_first_pass
auth required /lib/security/$ISA/pam_deny.so

account required /lib/security/$ISA/pam_unix.so
account sufficient /lib/security/$ISA/pam_succeed_if.so uid < 100 quiet
account sufficient /lib/security/$ISA/pam_winbind.so use_first_pass
account required /lib/security/$ISA/pam_permit.so

password requisite /lib/security/$ISA/pam_cracklib.so retry=3 type=
password sufficient /lib/security/$ISA/pam_unix.so nullok use_authtok md5 shadow
password sufficient /lib/security/$ISA/pam_winbind.so use_first_pass
password required /lib/security/$ISA/pam_deny.so

session required /lib/security/$ISA/pam_limits.so
session required /lib/security/$ISA/pam_unix.so
session required /lib/security/$ISA/pam_winbind.so use_first_pass
Co jsem udělal, tak jsem dal sudo pam-auth-update, ale to asi nefungovalo, protože mi to rozdrbalo přihlašování. Takže jsem vrátil z5 zálohu a nevím co stím...
3.12.2012 13:13 radek hulak
Rozbalit Rozbalit vše Re: Propojení Samba - Active Directory
Nikdo nic? :(
2.3.2013 20:10 jakub
Rozbalit Rozbalit vše Re: Propojení Samba - Active Directory
Ahoj prosím tě mám stejný problém, napsal by jsi mi email? mám prolém vazby samba-active Dir. a nevím jak s tím.. kdyžtak mi napiš na jakub.krystof1@gmail.com je to nutné díky moc

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.