abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Android 17
    včera 23:44 | Nová verze

    Minulý týden byl oficiálně vydán Android 17. Detaily na blogu a stránkách věnovaných vývojářům.

    Ladislav Hagara | Komentářů: 0
    Zařízení Steam Machine jde do prodeje
    včera 20:00 | IT novinky

    Dnes jde do prodeje zařízení Steam Machine. Steam Machine 512 GB za 1 039 EUR a Steam Machine 2 TB za 1 359 EUR. Do čtvrtka 25. června do 19:00 se lze zapsat na seznamy. Ty budou jednorázově náhodně slosovány, čímž bude určeno pořadí rezervací a čekacích listin.

    Ladislav Hagara | Komentářů: 2
    OpenMW 0.51.0
    včera 14:44 | Nová verze

    Vývojáři OpenMW (Wikipedie) oznámili vydání verze 0.51.0 této svobodné implementace enginu pro hru The Elder Scrolls III: Morrowind. Přehled novinek v oznámení o vydání a také na YouTube a PeerTube.

    Ladislav Hagara | Komentářů: 0
    ScummVM 2026.3.0 "Carousels & Killer Whales"
    včera 13:33 | Nová verze

    Byla vydána nová verze 2026.3.0 "Carousels & Killer Whales" svobodného softwaru ScummVM (Wikipedie) umožňujícího bezproblémový běh mnoha klasických adventur na zařízeních, pro které nebyly nikdy určeny. Přehled novinek v poznámkách k vydání a na GitHubu.

    Ladislav Hagara | Komentářů: 1
    Vypršení platnosti Microsoft certifikátu v UEFI
    včera 12:22 | IT novinky

    Tento týden (24. a 27. června) vyprší platnost Microsoft certifikátu v UEFI vydaných v roce 2011. Nové certifikáty byly vydány v roce 2023. Kdo na počítačích, i virtuálních, používá zabezpečené spouštění (Secure Boot), měl by si ověřit, že má certifikáty aktualizovány, viz např. články na Red Hat nebo Fedora. Pro stávající systémy se nic nemění. Nadále se budou normálně spouštět. Zavaděče podepsané pouze klíčem z 2023 se ale na počítačích s pouze certifikátem 2011 nespustí. Ve Fedoře je zavaděč shim ve verzi 16.1-6 podepsán klíči 2011 i 2023.

    Ladislav Hagara | Komentářů: 4
    Mobilní Datovka pro Linux
    21.6. 19:55 | Zajímavý software

    Uživatelé mobilních telefonů s Linuxem si nyní mohou nainstalovat aplikaci Mobilní Datovka. Díky tomu je přístup k datovým schránkám dostupný i na zařízeních s mobilními linuxovými distribucemi, jako jsou například Mobian, NixOS Mobile, pmOS atd. Aplikace je dostupná na Flathubu.

    David Heidelberg | Komentářů: 3
    Doporučení SFC pro používání generativní AI při přispívání do FOSS
    21.6. 13:33 | Komunita

    Software Freedom Conservancy v novém dokumentu shrnuje doporučení, jak přistupovat ke generativní AI založené na LLM při přispívání do svobodného a open-source softwaru. Mimo jiné vyzývá k obezřetnosti, transparentnosti a revizi generovaného kódu člověkem.

    |🇵🇸 | Komentářů: 9
    darktable 5.6.0
    21.6. 13:22 | Nová verze

    Byla vydána nová verze 5.6.0 programu na úpravu digitálních fotografií darktable (Wikipedie).

    Ladislav Hagara | Komentářů: 0
    Týden v GNOME a Týden v KDE Plasma (20. června 2026)
    20.6. 20:11 | Komunita

    Na čem aktuálně pracují vývojáři GNOME a KDE Plasma? Pravidelný přehled novinek v Týden v GNOME a Týden v KDE Plasma. V Týdnu v GNOME je zmíněn flatpak balíček pro GIMP 0.54.1 z roku 1996. Jedná se o poslední verzi GIMPu postavenou nad toolkitem Motif.

    Ladislav Hagara | Komentářů: 0
    Home Assistant Operating System 18.0
    20.6. 19:11 | Nová verze

    Home Assistant Operating System, tj. linuxová distribuce optimalizována pro hostování Home Assistanta a jeho aplikací, byl vydán v nové major verzi 18.0.

    Ladislav Hagara | Komentářů: 4
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Které desktopové prostředí na Linuxu používáte?
     (11%)
     (8%)
     (2%)
     (16%)
     (31%)
     (3%)
     (6%)
     (2%)
     (15%)
     (26%)
    Celkem 1965 hlasů
     Komentářů: 30, poslední 3.4. 20:20
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / Pomoc s Kerberosem
    Štítky: ad, ahoj, Apache, engine, For, hash, heslo, Internet, Kerberos, LDAP, oVirt, password, pomoc, proxy, server, service, sítě, test


    Dotaz: Pomoc s Kerberosem

    12.1.2022 16:59 2012
    Pomoc s Kerberosem
    Přečteno: 649×

    Ahoj, snazim se zprovoznit RedHat virtualizaci (nebo Ovirt chcete-li) a napojeni na IDM.

    Dostal jsem se celkem daleko, ze se zaloguji z Ovirt na IDM (FreeIpa), s LDAP uctem admina, heslo je v te LDAP DB jako hash.

    Jenze ta FreeIPA je mimo jine take nastavena jako proxy na AD, takze tam jsou ucty z Kerbera. A tady je trochu potiz.

    Aby to fungovalo, je v navodu toto:

    On the KDC server, use the kadmin utility to create a service principal for the Apache service on the oVirt Engine. The service principal is a reference ID to the KDC for the Apache service.

# kadmin
kadmin> addprinc -randkey HTTP/fqdn-of-rhevm@REALM.COM
Generate a keytab file for the Apache service. The keytab file stores the shared secret key.

The engine-backup command includes the file /etc/httpd/http.keytab when backing up and restoring. If you use a different name for the keytab file, make sure you back up and restore it.

kadmin> ktadd -k /tmp/http.keytab HTTP/fqdn-of-rhevm@REALM.COM
kadmin> quit

    Tady bych potreboval trochu pomoct, s Kerberem az tolik neumim. Pry se porusuje nejaky constraint.

    [root@freeipa ~]# kadmin
Authenticating as principal kadmin/admin@TEST.LOCAL with password.
Password for kadmin/admin@TEST.LOCAL:
kadmin:
kadmin:  addprinc -randkey HTTP/rhvm.test.local@TEST.LOCAL
No policy specified for HTTP/rhvm.test.local@TEST.LOCAL; defaulting to no policy
add_principal: Kerberos database constraints violated while creating "HTTP/rhvm.test.local@TEST.LOCAL".
kadmin:

    V "/var/kerberos/krb5kdc/kadm5.acl" mam:

    
*/admin@TEST.LOCAL     *

    Řešení dotazu:

    Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    12.1.2022 17:23 j
    Rozbalit Rozbalit vše Re: Pomoc s Kerberosem
    Rek bych, ze se snazis vytvorit duplicitni SPNko, takze se to tomu brani.

    Takze kdyz je tam add, tak tam zcela jiste bude list/print/... neco na to tema (neznam to) a vypis si co tam je.

    A vazne neni dobry opisovat nejakej navod aniz bys tusil co delas.

    ---

    Dete s tim guuglem dopice!
    13.1.2022 13:11 2012
    Rozbalit Rozbalit vše Re: Pomoc s Kerberosem
    Jojo, dekuju. Co se tyce duplicit, principal, ktery se tam snazim zadat v te DB neni, snazim se tam dostat: 
    HTTP/rhvm.test.local@TEST.LOCAL
    Aktualne v te Freeipe je: 
    kadmin:  listprincs
admin@TEST.LOCAL
K/M@TEST.LOCAL
krbtgt/TEST.LOCAL@TEST.LOCAL
kadmin/freeipa.TEST.local@TEST.LOCAL
kadmin/admin@TEST.LOCAL
kadmin/changepw@TEST.LOCAL
kiprop/freeipa.TEST.local@TEST.LOCAL
ldap/freeipa.TEST.local@TEST.LOCAL
host/freeipa.TEST.local@TEST.LOCAL
WELLKNOWN/ANONYMOUS@TEST.LOCAL
dogtag/freeipa.TEST.local@TEST.LOCAL
HTTP/freeipa.TEST.local@TEST.LOCAL
cifs/freeipa.TEST.local@TEST.LOCAL
aftersync@TEST.LOCAL
test5@TEST.LOCAL
krbtgt/TEST.LOCAL@NETTEST.LOCAL
krbtgt/TEST@NETTEST.LOCAL
kadmin:
    Taky si tak trochu myslim, jestli se to vubec dela stejne. Ten navod je pro LDAP a Kerboros, ja mam FreeIPU. Nicmene nejake principy ciste z Kerberos by snad platit mohly. Jdu zatim hledat, co dela ten ktadd.
    13.1.2022 14:31 X
    Rozbalit Rozbalit vše Re: Pomoc s Kerberosem
    Ta chyba je celkem bezna a problem je v tom, ze IPA spravuje Kerberos za tebe. => Je potreba pouzit nastroje ipa a ne kadmin. V tomto pripade to bude nejspis 'ipa service-add ..' Zkus si projit nejake navody..
    13.1.2022 22:06 2012 | skóre: 16 | blog: co_me_dneska_napadlo
    Rozbalit Rozbalit vše Re: Pomoc s Kerberosem
    Aha ok, mrknu zitra.
    Řešení 1× (2012)
    14.1.2022 13:03 2012
    Rozbalit Rozbalit vše Re: Pomoc s Kerberosem

    Pro FreeIPu jsem keytab nutny pro ten kerberos modul Ovirtu vygeneroval takto:

    [root@freeipa ~]# ipa host-add --force --ip-address=10.30.237.37 rhvh.test.local
-----------------------------
Added host "rhvh.test.local"
-----------------------------
  Host name: rhvh.test.local
  Principal name: host/rhvh.test.local@TEST.LOCAL
  Principal alias: host/rhvh.test.local@TEST.LOCAL
  Password: False
  Keytab: False
  Managed by: rhvh.test.local

[root@freeipa ~]# ipa service-add --force HTTP/rhvh.test.local@TEST.LOCAL
-------------------------------------------------
Added service "HTTP/rhvh.test.local@TEST.LOCAL"
-------------------------------------------------
  Principal name: HTTP/rhvh.test.local@TEST.LOCAL
  Principal alias: HTTP/rhvh.test.local@TEST.LOCAL
  Managed by: rhvh.test.local

[root@freeipa ~]# ipa-getkeytab -s freeipa.test.local -p HTTP/rhvh.test.local -k /etc/httpd/conf/ipa.keytab
Keytab successfully retrieved and stored in: /etc/httpd/conf/ipa.keytab

    Dekuji.

    13.1.2022 14:44 Ivan
    Rozbalit Rozbalit vše Re: Pomoc s Kerberosem
    kadmin je tool pro management MIT Kerberos serveru. AD kerberos od MS s nim managovat nemuzes, i kdyz hodne navodu na netu je zavadejicich. Pridat SPN muzes bud spustenim prikazu na AD serveru, anebo pouzij MS AD utils.

    Microsoft vytvoril v go aplikaci, kterou muzes managovat jejich AD i z Linuxu. PS: tvoje problemy tim nekonci, protoze na vytvroeni SPN potrebuje celkem specificky prava.
    13.1.2022 14:54 j
    Rozbalit Rozbalit vše Re: Pomoc s Kerberosem
    Jestli to je widli AD srv, tak setspn je ten spravnej widlo tool. Domenovej admin to pak jisti ten to muze.

    A funguje to teda i z klienta, netreba to poustet na serveru.

    Pocitam ze by to mohlo mit nejakou powershell alternaci, a tudiz by to mohlo jit (s tim powershellem) udelat i z tuxe.

    https://stackoverflow.com/questions/21941047/powershell-replacement-for-setspn

    Chmm

    ---

    Dete s tim guuglem dopice!
    13.1.2022 15:01 2012
    Rozbalit Rozbalit vše Re: Pomoc s Kerberosem
    Nene, je to FreeIPA nastavena jako proxy na AD.
    13.1.2022 15:13 Ivan
    Rozbalit Rozbalit vše Re: Pomoc s Kerberosem
    Jako ze IPA se pripojuje k AD pres LDAP a kerberos server je na Linuxu? Tak to beru vse zpatky.
    13.1.2022 21:54 2012 | skóre: 16 | blog: co_me_dneska_napadlo
    Rozbalit Rozbalit vše Re: Pomoc s Kerberosem
    Ano je nastaveny trust na AD cimz padem, Kerberos na FreeIPE leze s dotazy rovnou na AD.
    13.1.2022 15:11 Ivan
    Rozbalit Rozbalit vše Re: Pomoc s Kerberosem
    Ten adutil je popsanej tady (puvodne to asi bylo vyvinuty pro MS SQL server na Linuxu) https://docs.microsoft.com/en-us/sql/linux/sql-server-linux-ad-auth-adutil-tutorial?view=sql-server-ver15 
    adutil spn addauto -n sqluser -s MSSQLSvc -H mymachine.contoso.com -p 1433
    Dalsi moznost je leave a join AD. Na oboje operace jsou potreba celkem minimalni prava (full control nad nejakym kontejnerem v AD) a behem join AD si muzes rict jaky SPN ches pro svuj server. Pro pridani SPN k serveru potrebuje prava admina.

    Napr: 
    adcli join --domain-ou='OU=Servers,DC=prod' -V 'ORACLE' --show-details --show-password -v -U dbadmin
...
 * Discovered which keytab salt to use
 * Added the entries to the keytab: RHEL7A-19-RESTA$@PROD: FILE:/etc/krb5.keytab
 * Added the entries to the keytab: ORACLE/RHEL7A-19-RESTA@PROD: FILE:/etc/krb5.keytab
 * Added the entries to the keytab: ORACLE/rhel7a-19-restart.prod@PROD: FILE:/etc/krb5.keytab
 * Added the entries to the keytab: host/RHEL7A-19-RESTA@PROD.VMWARE.HAF: FILE:/etc/krb5.keytab
 * Added the entries to the keytab: host/rhel7a-19-restart.prod@PROD: FILE:/etc/krb5.keytab
 * Added the entries to the keytab: RestrictedKrbHost/RHEL7A-19-RESTA@PROD: FILE:/etc/krb5.keytab
 * Added the entries to the keytab: RestrictedKrbHost/rhel7a-19-restart.prod@PROD: FILE:/etc/krb5.keytab
    Tohle vytvori dalsi SPN "ORACLE" pro Linux server, ktery joinuje AD.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.