abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 16:11 | Nová verze

    Bylo vydáno openSUSE Leap 16 (cs). Ve výchozím nastavení přichází s vypnutou 32bitovou (ia32) podporou. Uživatelům však poskytuje možnost ji ručně povolit a užívat si tak hraní her ve Steamu, který stále závisí na 32bitových knihovnách. Změnily se požadavky na hardware. Leap 16 nyní vyžaduje jako minimální úroveň architektury procesoru x86-64-v2, což obecně znamená procesory zakoupené v roce 2008 nebo později. Uživatelé se starším hardwarem mohou migrovat na Slowroll nebo Tumbleweed.

    Ladislav Hagara | Komentářů: 0
    dnes 16:00 | IT novinky

    Ministerstvo průmyslu a obchodu (MPO) ve spolupráci s Národní rozvojovou investiční (NRI) připravuje nový investiční nástroj zaměřený na podporu špičkových technologií – DeepTech fond. Jeho cílem je posílit inovační ekosystém české ekonomiky, rozvíjet projekty s vysokou přidanou hodnotou, podpořit vznik nových technologických lídrů a postupně zařadit Českou republiku mezi země s nejvyspělejší technologickou základnou.

    … více »
    Ladislav Hagara | Komentářů: 0
    dnes 12:55 | Nová verze

    Radicle byl vydán ve verzi 1.5.0 s kódovým jménem Hibiscus. Jedná se o distribuovanou alternativu k softwarům pro spolupráci jako např. GitLab.

    Ladislav Hagara | Komentářů: 3
    dnes 03:22 | IT novinky

    Společnost OpenAI představila text-to-video AI model Sora 2 pro generování realistických videí z textového popisu. Přesnější, realističtější a lépe ovladatelný než předchozí modely. Nabízí také synchronizované dialogy a zvukové efekty.

    Ladislav Hagara | Komentářů: 4
    včera 23:11 | Nová verze

    UBports, nadace a komunita kolem Ubuntu pro telefony a tablety Ubuntu Touch, vydala Ubuntu Touch 24.04-1.0, tj. první stabilní vydání založené na Ubuntu 24.04 LTS.

    Ladislav Hagara | Komentářů: 0
    včera 21:00 | Komunita

    Rakouská armáda přechází na LibreOffice. Ne kvůli licencím (16 000 počítačů). Hlavním důvodem je digitální suverenita. Prezentace v pdf z LibreOffice Conference 2025.

    Ladislav Hagara | Komentářů: 23
    včera 12:44 | Bezpečnostní upozornění

    Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) upozorňuje na sérii kritických zranitelností v Cisco Adaptive Security Appliance (ASA) a Firepower Threat Defense (FTD) a Cisco IOS, CVE-2025-20333, CVE-2025-20363 a CVE-2025-20362. Zneužití těchto zranitelností může umožnit vzdálenému neautentizovanému útočníkovi spustit libovolný kód (RCE). Společnost Cisco uvedla, že si je vědoma aktivního zneužívání těchto zranitelností.

    Ladislav Hagara | Komentářů: 16
    včera 12:11 | IT novinky

    Ochrana uživatelů a zároveň příznivé podmínky pro rozvoj umělé inteligence (AI). Ministerstvo průmyslu a obchodu (MPO) připravilo minimalistický návrh implementace evropského nařízení o umělé inteligenci, tzv. AI aktu. Český zákon zajišťuje ochranu občanům a bezpečné používání AI, ale zároveň vytváří pro-inovační prostředí, ve kterém se může AI naplno rozvíjet, firmy mohou využít jeho potenciál a nebudou zatíženy zbytečnou administrativou. Návrh je nyní v meziresortním připomínkovém řízení.

    Ladislav Hagara | Komentářů: 8
    včera 05:11 | Komunita

    Dle plánu Linus Torvalds odstranil souborový systém bcachefs z mainline Linuxu. Tvůrce bcachefs Kent Overstreet na Patreonu informuje, že bcachefs je nově distribuován jako DKMS modul.

    Ladislav Hagara | Komentářů: 2
    29.9. 17:44 | IT novinky

    PIF, Silver Lake a Affinity Partners kupují videoherní společnost Electronic Arts (EA) za 55 miliard dolarů (1,14 bilionu korun).

    Ladislav Hagara | Komentářů: 2
    Jaké řešení používáte k vývoji / práci?
     (39%)
     (48%)
     (12%)
     (14%)
     (17%)
     (14%)
     (18%)
     (14%)
     (14%)
    Celkem 146 hlasů
     Komentářů: 9, poslední 24.9. 17:28
    Rozcestník

    LDAP snadno a rychle

    31.12.2012 11:30 | Přečteno: 4169× | Debian | Výběrový blog

    I když vím, že na tomto severu je to nošení sov do Athén, nedá mi to a popíšu (hlavně pro sebe) jak je jednoduché nastavit LDAP v Debianu Wheezy.

    Filosofický úvod - doporučuji přeskočit

    Po té, co mne definitivně přestaly bavit experimenty pana Šutlevorta a ověřil jsem si, že upgrade Ubuntu Líná Lemra na Plesivé Přirození by přineslo úžasné Junity, o Adwaru zvaném Kvičící Křížala (12.10) nemluvě, rozhodl jsem se že bubuntu půjde z domu a nahradí ho next-stable Wheezy. Dobrou záminkou byla i koupě SSD disků ;-). Samotná instalace byla relativně bezbolestná (1x laborování s Xkama, 1x mašina odmítající bootovat z flešky a z CD-ROMky a tudíž USB spuštěné přes GRUB), takže po té co se doinstalovaly předchozí nestandardnosti vznikl prostor na filosofické vylepšování. A když už se chvilka času i záminka našly, rozhodl jsem se zkusit ldap. Nepříliš starý návod tady na ABC vypadal slibně a nakonec to šlo ještě lépe ...

    Ingredience tedy jsou: 5 kusů PC s 64-bitovým Wheezym, 1 kus s přetrvávající historickou verzí Bubuntu (asi kulhající kobyla která se vyhla ssd disku), 2 NASky. Nic velkého. Pro zpestření máme doménu 3. řádu, t.j. počítače mají hostname cosi.nase.uzasna-domena.cz

    Čistý LDAP

    Začátkem je klasická instalace sudo apt-get install slapd ldap-utils. Zadáme 2x adminovo heslo, jinak OK,OK. Hmm, ldap jede a co dál ? Měli bychom ho naplnit daty. Tady jsem se trošku zasekl a tak jsem se podle tohoto návodu pokusil to trochu ošvindlovat grafickými udělátky. Jenže - jak říká staré přísloví - používat Linux je jako žit v domě plném architektů, každý den se něco báječného a nového přistavuje. Bohužel pro mne, požární žebřík jménem luma i schodiště gq z repozitářů zmizelo, protože používaly staré cihly zvané QT3, které se už podle vyhlášky Evropské Unie nesmí používat, protože je nikdo nevyvíjí. Achjo. Takže Windosí klient. Ten se nepřipojil. Achjo. Takže jsem se musel zbaběle vydat hledat nějakou alternativu a nalezl jsem phpldapadmin. Vytvoří stejnojmennou adresu na http, kam je třeba se přihlásit. Jediná ruční úprava, kterou jsem potřeboval se týkala souboru /etc/phpldapadmin/config.php - zmínky o example.net jsem musel na dvou místech opravit na:

    $servers->setValue('server','base',array('dc=nase,dc=uzasna-domena,dc=cz'));
    $servers->setValue('login','bind_id','cn=admin,dc=nase,dc=uzasna-domena,dc=cz');
    

    Zadání skupin a uživatelů

    Podle jiného návodu založíme v phpadminovi Generic: Organisational Unit People pro lidi a Groups pro skupiny uživatelů. V Groups přidáme Generic: Posix Group ldap_users, které dávám GID 2000 (aby se to nepletlo s již existujícími lokálními uživateli a skupinami). Podobně v People vytvořím Generic: User Account ldaptest. Jediná drobná zrada je, že při vytváření systém sveřepě vybere UID, které se nedá změnit, nicméně po té, co se to uloží je možné hodnotu modifikovat. Podobně nenabízí v defaultu bash. Opruz, ale řešitelný. Další zrada je položka heslo. Je tam na výběr typ hesla a místo pro jeho zadání. Člověk by čekal, že zadá heslo a vybere algoritmus jeho zašifrování. Chyba lávky. Musí se v shellu spustit /usr/sbin/slappasswd, zadat heslo a vypadne něco jako {SSHA}2rMkIeDV4pKe9J1UDgUtvdrsttU8E479 (nebojte, hash jsem pozměnil ;-)). Jeden by čekal, že zadá 2rMkIeDV4pKe9J1UDgUtvdrsttU8E479 a vybere typ SSHA. Houby. Musí se zadat selý řetězec včetně {SSHA} a vybrat typ, jinak to nebude fungovat !

    Přihlašování k systému pomocí LDAPu

    Teď musíme systém přesvědčit, aby se PAM ptal ldapího serveru. K tomu slouží balíček libpam-ldapd. Ten se při instalaci celkem srozumitelně zeptá, kde že je ldap server a co že vlastně všechno má z něj brát (chceme-li uživatele a skupiny, tak přinejmenším passwd,group a shadow). Po nainstalování by už mělo vše fungovat, což ověříme příkazem getent passwd, který nám vypíše založeného ldapího uživatele ldaptest. Takže ještě ssh ldaptest@localhost s heslem, které projde a můžeme hrdě prohlásit, že nám LDAP zhruba chodí.

    Co provést s domácími adresáři ?

    Když už jsem zmínil, že máme NASku tak logickým pokračováním snahy bude přesun domácích adresářů tam. Než se do toho pustíme, je potřeba si odpovědět na několik otázek:

    1. Kdo všechno (pokud vůbec někdo) má mít možnost práce se systémem když umře NASka/spadne síť než se to spraví ?
    2. Opravdu uživatelé chtějí sdílené domácí adresáře ? Nepoužívají něco co by je rozbilo (současné přihlášení k FF na dvou strojích, dva Dropbox démoni nad stejným adresářem a podobné radosti) ?
    Pokud odpověď na první otázku je "nikdo", pak můžeme použít autofs na /home, jinak to chce jiný adresář, například /shome (jako shared home) - to je můj případ. Druhá otázka je složitější a zatím na ni nemám jasnou odpověď. Z hlediska záloh atp. jsem dosud měl více /home adresářů s duplikáty dropboxu, což ale samozřejmě má nevýhody - člověk nesmí zapomenout nahodit démona na všech strojích, bandwidth, disková kapacita a tak. Komproimsním řešení je síťový adresář ~/data a Dropbox mimo něj (a stejně tak systémový .bordel ...)

    V návodech popisují různá sofistikovaná řešení ldap-distribuovaného systému automountů. Osobně vystačím s autofs a změnou tří konfiguračních souborů:

    1. do /etc/nsswitch.conf připsat automount: files
    2. do /etc/auto.master na konec připsat /shome /etc/auto.home
    3. vytvořit /etc/auto.home s řádkem * nasserver:/homedir/&
    A pak čistě /etc/init.d/autofs restart a vše by mělo fungovat - pro čistě LDAP/NAS uživatele při založení vytvoříme příslušný adresář na NASce + do LDAPu napíšeme, že domácí adresář je /shome/whatever a je vymalováno.

    Ostatní stroje v síti

    Jen pro shrnutí, mimo server stačí instalovat apt-get install libpam-ldapd autofs, vyplnit ldap server (IP, ne hostname - kdyby shnilo DNSko) a synchronizované služby a pak zkopírovat tři úpravy z autofs souborů. V tento okamžik funguje přihlašovaní LDAP/NAS only uživatelů. Pokud je potřeba něco sofistikovanějšího, musí se to poladit ;-). Pokud tato potřeba nastane, budu se snažit to zase zdokumentovat. Nicméně pokud se s tímto nastavením přihlásí na dva stroje současně, mohou se velmi pravděpodobně poprat aplikace, které nepočítají, že je někdo může pustit víckrát ze stejného adresáře na více strojích (Dropbox ?).        

    Hodnocení: 100 %

            špatnédobré        

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    31.12.2012 12:22 alkoholik | skóre: 40 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: LDAP snadno a rychle
    LDAP bez SSL/TLS? Jak naivni.
    31.12.2012 13:50 Karel Benák | skóre: 8 | blog: benyho
    Rozbalit Rozbalit vše Re: LDAP snadno a rychle
    Na vnitřní síti bych se toho zase tolik nebál a jako výraznou chybu bych to neoznačil.
    Láska je jako prd, když hodně tlačiš tak z toho bude ...
    Max avatar 31.12.2012 13:57 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: LDAP snadno a rychle
    Pokud je to malá síť a člověk jí má celou pod palcem, lze to ještě částečně akceptovat, ale spíš bych se tomu stejně vyhnul. Rozjet ssl je to nejmenší.
    Zdar Max
    Měl jsem sen ... :(
    31.12.2012 14:21 Georgius | skóre: 24 | blog: jirka
    Rozbalit Rozbalit vše Re: LDAP snadno a rychle
    Díky za povzbuzení, zkusil jsem klasicky vytvořit certifikační autoritu, vygenerovat certifikáty a nacpat je do LDAPu, LDAPS jsem rozjel (ldapsearch -x funguje), narazil jsem ale při snaze přesvědčit nslcd aby komunikoval přes ldaps, V configu mám tohle:
    # /etc/nslcd.conf
    # nslcd configuration file. See nslcd.conf(5)
    # for details.
    
    # The user and group nslcd should run as.
    uid nslcd
    gid nslcd
    
    # The location at which the LDAP server(s) should be reachable.
    #edited
    uri ldaps://ldapserver:636/
    
    # The search base that will be used for all queries.
    base dc=XXXXX
    
    
    # SSL options
    #ssl off
    ssl on
    ssl start_tls
    tls_reqcert never
    #tls_reqcert never
    
    # The search scope.
    #scope sub
    
    .. a v logu toto. Co s tím ?
    Dec 31 14:16:55 client nslcd[23002]: [8b4567] <passwd(all)> ldap_start_tls_s() failed (uri=ldaps://ldapserver:636/): Operations error: TLS already started
    Dec 31 14:16:55 client nslcd[23002]: [8b4567] <passwd(all)> failed to bind to LDAP server ldaps://ldapserver:636/: Operations error: TLS already started
    Dec 31 14:16:55 client nslcd[23002]: [8b4567] <passwd(all)> no available LDAP server found, sleeping 1 seconds
    
    Bude to nejspíš nějaká kravina, prosím o radu !
    31.12.2012 23:25 alkoholik | skóre: 40 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: LDAP snadno a rychle
    Hadam, ze chyba je tady:
    ssl on
    ssl start_tls
    31.12.2012 23:26 alkoholik | skóre: 40 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: LDAP snadno a rychle
    A taky vestim, ze budes mit problem s cn certifikatu.
    31.12.2012 13:53 Karel Benák | skóre: 8 | blog: benyho
    Rozbalit Rozbalit vše Re: LDAP snadno a rychle
    Zkus http://directory.apache.org/studio/ - z toho co jsem zatím zkoušel mi to přijde nejpoužitelnější. Miloval jsem gq, se skřípěním jsem přijal Lumu. PHPLDAPAdmin jsem nepřekousnul. Ale Apache Directory Studio je docela fajn a pokud pracuješ s Eclipse, můžeš to mít jako formu pluginu.

    Co se správy hesel týče, s těmi byla vždycky sranda a docela to závisí na distribuci. Jo a jinak jde udělat to, že DNS a DHCP si tahá záznamy z LDAPu ;-)
    Láska je jako prd, když hodně tlačiš tak z toho bude ...
    Luk avatar 31.12.2012 18:52 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
    Rozbalit Rozbalit vše Re: LDAP snadno a rychle
    Jo, tahle dvojice od Apache je fakt dobrá. Používal jsem ji i při psaní článku o využití LDAP na poštovním serveru. Akorát jsou to děsné "mlátičky", nenažrané na paměť.
    Šifrování je absolutní nutnost a pomáhá chránit před nekalými živly
    2.1.2013 21:36 Karel Benák | skóre: 8 | blog: benyho
    Rozbalit Rozbalit vše Re: LDAP snadno a rychle
    Vždyť to jede na Javě :-D
    Láska je jako prd, když hodně tlačiš tak z toho bude ...
    Luk avatar 3.1.2013 12:27 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
    Rozbalit Rozbalit vše Re: LDAP snadno a rychle
    To je jeden z důvodů paměťové náročnosti, ale ne jediný.
    Šifrování je absolutní nutnost a pomáhá chránit před nekalými živly
    grubber avatar 1.1.2013 21:18 grubber | skóre: 6 | blog: grubber | Břeclav / Brno
    Rozbalit Rozbalit vše Re: LDAP snadno a rychle
    Trochu si přihřeju polívčičku: to, co popisuješ, podle mého názoru není LDAP snadno a rychle, LDAP snadno a rychle je FreeIPA. Pokud FreeIPA nevyhovuje, tak si aspoň ušetři nervy použitím SSSD místo komba nss-pam-ldapd + nscd + nslcd.

    Založit nové vláknoNahoru

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.