abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    včera 19:55 | IT novinky

    Americký výrobce čipů Intel propustí 15 procent zaměstnanců (en), do konce roku by jich v podniku mělo pracovat zhruba 75.000. Firma se potýká s výrobními problémy a opouští také miliardový plán na výstavbu továrny v Německu a Polsku.

    Ladislav Hagara | Komentářů: 8
    včera 17:33 | Komunita

    MDN (Wikipedie), dnes MDN Web Docs, původně Mozilla Developer Network, slaví 20 let. V říjnu 2004 byl ukončen provoz serveru Netscape DevEdge, který byl hlavním zdrojem dokumentace k webovým prohlížečům Netscape a k webovým technologiím obecně. Mozille se po jednáních s AOL povedlo dokumenty z Netscape DevEdge zachránit a 23. července 2005 byl spuštěn MDC (Mozilla Developer Center). Ten byl v roce 2010 přejmenován na MDN.

    Ladislav Hagara | Komentářů: 0
    včera 14:55 | Nová verze

    Wayback byl vydán ve verzi 0.1. Wayback je "tak akorát Waylandu, aby fungoval Xwayland". Jedná se o kompatibilní vrstvu umožňující běh plnohodnotných X11 desktopových prostředí s využitím komponent z Waylandu. Cílem je nakonec nahradit klasický server X.Org, a tím snížit zátěž údržby aplikací X11.

    Ladislav Hagara | Komentářů: 0
    včera 13:33 | Nová verze

    Byla vydána nová verze 6.18 živé linuxové distribuce Tails (The Amnesic Incognito Live System), jež klade důraz na ochranu soukromí uživatelů a anonymitu. Nově se lze k síti Tor připojit pomocí mostu WebTunnel. Tor Browser byl povýšen na verzi 14.5.5. Thunderbird na verzi 128.12.0. Další změny v příslušném seznamu.

    Ladislav Hagara | Komentářů: 0
    24.7. 14:33 | IT novinky

    Meta představila prototyp náramku, který snímá elektrickou aktivity svalů (povrchová elektromyografie, EMG) a umožňuje jemnými gesty ruky a prstů ovládat počítač nebo různá zařízení. Získané datové sady emg2qwerty a emg2pose jsou open source.

    Ladislav Hagara | Komentářů: 0
    24.7. 14:22 | Nová verze

    Byla vydána (𝕏) nová verze 25.7 open source firewallové a routovací platformy OPNsense (Wikipedie). Jedná se o fork pfSense postavený na FreeBSD. Kódový název OPNsense 25.7 je Visionary Viper. Přehled novinek v příspěvku na fóru.

    Ladislav Hagara | Komentářů: 0
    24.7. 13:33 | IT novinky

    Před 40 lety, 23. července 1985, společnost Commodore představila první počítač Amiga. Jednalo se o počítač "Amiga od Commodore", jenž byl později pojmenován Amiga 1000. Mělo se jednat o přímou konkurenci počítače Apple Macintosh uvedeného na trh v lednu 1984.

    Ladislav Hagara | Komentářů: 2
    24.7. 06:00 | IT novinky

    T‑Mobile USA ve spolupráci se Starlinkem spustil službu T-Satellite. Uživatelé služby mohou v odlehlých oblastech bez mobilního signálu aktuálně využívat satelitní síť s více než 650 satelity pro posílání a příjem zpráv, sdílení polohy, posílání zpráv na 911 a příjem upozornění, posílání obrázků a krátkých hlasových zpráv pomocí aplikace Zprávy Google. V plánu jsou také satelitní data.

    Ladislav Hagara | Komentářů: 9
    23.7. 21:55 | Komunita

    Společnost Proxmox Server Solutions stojící za virtualizační platformou Proxmox Virtual Environment věnovala 10 000 eur nadaci The Perl and Raku Foundation (TPRF).

    Ladislav Hagara | Komentářů: 2
    23.7. 21:22 | Bezpečnostní upozornění

    Byla vydána nová verze 2.4.65 svobodného multiplatformního webového serveru Apache (httpd). Řešena je bezpečnostní chyba CVE-2025-54090.

    Ladislav Hagara | Komentářů: 0
    Kolik tabů máte standardně otevřeno ve web prohlížeči?
     (29%)
     (26%)
     (5%)
     (5%)
     (5%)
     (2%)
     (2%)
     (27%)
    Celkem 132 hlasů
     Komentářů: 16, poslední včera 15:31
    Rozcestník

    LDAP snadno a rychle

    31.12.2012 11:30 | Přečteno: 4158× | Debian | Výběrový blog

    I když vím, že na tomto severu je to nošení sov do Athén, nedá mi to a popíšu (hlavně pro sebe) jak je jednoduché nastavit LDAP v Debianu Wheezy.

    Filosofický úvod - doporučuji přeskočit

    Po té, co mne definitivně přestaly bavit experimenty pana Šutlevorta a ověřil jsem si, že upgrade Ubuntu Líná Lemra na Plesivé Přirození by přineslo úžasné Junity, o Adwaru zvaném Kvičící Křížala (12.10) nemluvě, rozhodl jsem se že bubuntu půjde z domu a nahradí ho next-stable Wheezy. Dobrou záminkou byla i koupě SSD disků ;-). Samotná instalace byla relativně bezbolestná (1x laborování s Xkama, 1x mašina odmítající bootovat z flešky a z CD-ROMky a tudíž USB spuštěné přes GRUB), takže po té co se doinstalovaly předchozí nestandardnosti vznikl prostor na filosofické vylepšování. A když už se chvilka času i záminka našly, rozhodl jsem se zkusit ldap. Nepříliš starý návod tady na ABC vypadal slibně a nakonec to šlo ještě lépe ...

    Ingredience tedy jsou: 5 kusů PC s 64-bitovým Wheezym, 1 kus s přetrvávající historickou verzí Bubuntu (asi kulhající kobyla která se vyhla ssd disku), 2 NASky. Nic velkého. Pro zpestření máme doménu 3. řádu, t.j. počítače mají hostname cosi.nase.uzasna-domena.cz

    Čistý LDAP

    Začátkem je klasická instalace sudo apt-get install slapd ldap-utils. Zadáme 2x adminovo heslo, jinak OK,OK. Hmm, ldap jede a co dál ? Měli bychom ho naplnit daty. Tady jsem se trošku zasekl a tak jsem se podle tohoto návodu pokusil to trochu ošvindlovat grafickými udělátky. Jenže - jak říká staré přísloví - používat Linux je jako žit v domě plném architektů, každý den se něco báječného a nového přistavuje. Bohužel pro mne, požární žebřík jménem luma i schodiště gq z repozitářů zmizelo, protože používaly staré cihly zvané QT3, které se už podle vyhlášky Evropské Unie nesmí používat, protože je nikdo nevyvíjí. Achjo. Takže Windosí klient. Ten se nepřipojil. Achjo. Takže jsem se musel zbaběle vydat hledat nějakou alternativu a nalezl jsem phpldapadmin. Vytvoří stejnojmennou adresu na http, kam je třeba se přihlásit. Jediná ruční úprava, kterou jsem potřeboval se týkala souboru /etc/phpldapadmin/config.php - zmínky o example.net jsem musel na dvou místech opravit na:

    $servers->setValue('server','base',array('dc=nase,dc=uzasna-domena,dc=cz'));
    $servers->setValue('login','bind_id','cn=admin,dc=nase,dc=uzasna-domena,dc=cz');
    

    Zadání skupin a uživatelů

    Podle jiného návodu založíme v phpadminovi Generic: Organisational Unit People pro lidi a Groups pro skupiny uživatelů. V Groups přidáme Generic: Posix Group ldap_users, které dávám GID 2000 (aby se to nepletlo s již existujícími lokálními uživateli a skupinami). Podobně v People vytvořím Generic: User Account ldaptest. Jediná drobná zrada je, že při vytváření systém sveřepě vybere UID, které se nedá změnit, nicméně po té, co se to uloží je možné hodnotu modifikovat. Podobně nenabízí v defaultu bash. Opruz, ale řešitelný. Další zrada je položka heslo. Je tam na výběr typ hesla a místo pro jeho zadání. Člověk by čekal, že zadá heslo a vybere algoritmus jeho zašifrování. Chyba lávky. Musí se v shellu spustit /usr/sbin/slappasswd, zadat heslo a vypadne něco jako {SSHA}2rMkIeDV4pKe9J1UDgUtvdrsttU8E479 (nebojte, hash jsem pozměnil ;-)). Jeden by čekal, že zadá 2rMkIeDV4pKe9J1UDgUtvdrsttU8E479 a vybere typ SSHA. Houby. Musí se zadat selý řetězec včetně {SSHA} a vybrat typ, jinak to nebude fungovat !

    Přihlašování k systému pomocí LDAPu

    Teď musíme systém přesvědčit, aby se PAM ptal ldapího serveru. K tomu slouží balíček libpam-ldapd. Ten se při instalaci celkem srozumitelně zeptá, kde že je ldap server a co že vlastně všechno má z něj brát (chceme-li uživatele a skupiny, tak přinejmenším passwd,group a shadow). Po nainstalování by už mělo vše fungovat, což ověříme příkazem getent passwd, který nám vypíše založeného ldapího uživatele ldaptest. Takže ještě ssh ldaptest@localhost s heslem, které projde a můžeme hrdě prohlásit, že nám LDAP zhruba chodí.

    Co provést s domácími adresáři ?

    Když už jsem zmínil, že máme NASku tak logickým pokračováním snahy bude přesun domácích adresářů tam. Než se do toho pustíme, je potřeba si odpovědět na několik otázek:

    1. Kdo všechno (pokud vůbec někdo) má mít možnost práce se systémem když umře NASka/spadne síť než se to spraví ?
    2. Opravdu uživatelé chtějí sdílené domácí adresáře ? Nepoužívají něco co by je rozbilo (současné přihlášení k FF na dvou strojích, dva Dropbox démoni nad stejným adresářem a podobné radosti) ?
    Pokud odpověď na první otázku je "nikdo", pak můžeme použít autofs na /home, jinak to chce jiný adresář, například /shome (jako shared home) - to je můj případ. Druhá otázka je složitější a zatím na ni nemám jasnou odpověď. Z hlediska záloh atp. jsem dosud měl více /home adresářů s duplikáty dropboxu, což ale samozřejmě má nevýhody - člověk nesmí zapomenout nahodit démona na všech strojích, bandwidth, disková kapacita a tak. Komproimsním řešení je síťový adresář ~/data a Dropbox mimo něj (a stejně tak systémový .bordel ...)

    V návodech popisují různá sofistikovaná řešení ldap-distribuovaného systému automountů. Osobně vystačím s autofs a změnou tří konfiguračních souborů:

    1. do /etc/nsswitch.conf připsat automount: files
    2. do /etc/auto.master na konec připsat /shome /etc/auto.home
    3. vytvořit /etc/auto.home s řádkem * nasserver:/homedir/&
    A pak čistě /etc/init.d/autofs restart a vše by mělo fungovat - pro čistě LDAP/NAS uživatele při založení vytvoříme příslušný adresář na NASce + do LDAPu napíšeme, že domácí adresář je /shome/whatever a je vymalováno.

    Ostatní stroje v síti

    Jen pro shrnutí, mimo server stačí instalovat apt-get install libpam-ldapd autofs, vyplnit ldap server (IP, ne hostname - kdyby shnilo DNSko) a synchronizované služby a pak zkopírovat tři úpravy z autofs souborů. V tento okamžik funguje přihlašovaní LDAP/NAS only uživatelů. Pokud je potřeba něco sofistikovanějšího, musí se to poladit ;-). Pokud tato potřeba nastane, budu se snažit to zase zdokumentovat. Nicméně pokud se s tímto nastavením přihlásí na dva stroje současně, mohou se velmi pravděpodobně poprat aplikace, které nepočítají, že je někdo může pustit víckrát ze stejného adresáře na více strojích (Dropbox ?).        

    Hodnocení: 100 %

            špatnédobré        

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    31.12.2012 12:22 alkoholik | skóre: 40 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: LDAP snadno a rychle
    LDAP bez SSL/TLS? Jak naivni.
    31.12.2012 13:50 Karel Benák | skóre: 8 | blog: benyho
    Rozbalit Rozbalit vše Re: LDAP snadno a rychle
    Na vnitřní síti bych se toho zase tolik nebál a jako výraznou chybu bych to neoznačil.
    Láska je jako prd, když hodně tlačiš tak z toho bude ...
    Max avatar 31.12.2012 13:57 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: LDAP snadno a rychle
    Pokud je to malá síť a člověk jí má celou pod palcem, lze to ještě částečně akceptovat, ale spíš bych se tomu stejně vyhnul. Rozjet ssl je to nejmenší.
    Zdar Max
    Měl jsem sen ... :(
    31.12.2012 14:21 Georgius | skóre: 24 | blog: jirka
    Rozbalit Rozbalit vše Re: LDAP snadno a rychle
    Díky za povzbuzení, zkusil jsem klasicky vytvořit certifikační autoritu, vygenerovat certifikáty a nacpat je do LDAPu, LDAPS jsem rozjel (ldapsearch -x funguje), narazil jsem ale při snaze přesvědčit nslcd aby komunikoval přes ldaps, V configu mám tohle:
    # /etc/nslcd.conf
    # nslcd configuration file. See nslcd.conf(5)
    # for details.
    
    # The user and group nslcd should run as.
    uid nslcd
    gid nslcd
    
    # The location at which the LDAP server(s) should be reachable.
    #edited
    uri ldaps://ldapserver:636/
    
    # The search base that will be used for all queries.
    base dc=XXXXX
    
    
    # SSL options
    #ssl off
    ssl on
    ssl start_tls
    tls_reqcert never
    #tls_reqcert never
    
    # The search scope.
    #scope sub
    
    .. a v logu toto. Co s tím ?
    Dec 31 14:16:55 client nslcd[23002]: [8b4567] <passwd(all)> ldap_start_tls_s() failed (uri=ldaps://ldapserver:636/): Operations error: TLS already started
    Dec 31 14:16:55 client nslcd[23002]: [8b4567] <passwd(all)> failed to bind to LDAP server ldaps://ldapserver:636/: Operations error: TLS already started
    Dec 31 14:16:55 client nslcd[23002]: [8b4567] <passwd(all)> no available LDAP server found, sleeping 1 seconds
    
    Bude to nejspíš nějaká kravina, prosím o radu !
    31.12.2012 23:25 alkoholik | skóre: 40 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: LDAP snadno a rychle
    Hadam, ze chyba je tady:
    ssl on
    ssl start_tls
    31.12.2012 23:26 alkoholik | skóre: 40 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: LDAP snadno a rychle
    A taky vestim, ze budes mit problem s cn certifikatu.
    31.12.2012 13:53 Karel Benák | skóre: 8 | blog: benyho
    Rozbalit Rozbalit vše Re: LDAP snadno a rychle
    Zkus http://directory.apache.org/studio/ - z toho co jsem zatím zkoušel mi to přijde nejpoužitelnější. Miloval jsem gq, se skřípěním jsem přijal Lumu. PHPLDAPAdmin jsem nepřekousnul. Ale Apache Directory Studio je docela fajn a pokud pracuješ s Eclipse, můžeš to mít jako formu pluginu.

    Co se správy hesel týče, s těmi byla vždycky sranda a docela to závisí na distribuci. Jo a jinak jde udělat to, že DNS a DHCP si tahá záznamy z LDAPu ;-)
    Láska je jako prd, když hodně tlačiš tak z toho bude ...
    Luk avatar 31.12.2012 18:52 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
    Rozbalit Rozbalit vše Re: LDAP snadno a rychle
    Jo, tahle dvojice od Apache je fakt dobrá. Používal jsem ji i při psaní článku o využití LDAP na poštovním serveru. Akorát jsou to děsné "mlátičky", nenažrané na paměť.
    Šifrování je absolutní nutnost a pomáhá chránit před nekalými živly
    2.1.2013 21:36 Karel Benák | skóre: 8 | blog: benyho
    Rozbalit Rozbalit vše Re: LDAP snadno a rychle
    Vždyť to jede na Javě :-D
    Láska je jako prd, když hodně tlačiš tak z toho bude ...
    Luk avatar 3.1.2013 12:27 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
    Rozbalit Rozbalit vše Re: LDAP snadno a rychle
    To je jeden z důvodů paměťové náročnosti, ale ne jediný.
    Šifrování je absolutní nutnost a pomáhá chránit před nekalými živly
    grubber avatar 1.1.2013 21:18 grubber | skóre: 6 | blog: grubber | Břeclav / Brno
    Rozbalit Rozbalit vše Re: LDAP snadno a rychle
    Trochu si přihřeju polívčičku: to, co popisuješ, podle mého názoru není LDAP snadno a rychle, LDAP snadno a rychle je FreeIPA. Pokud FreeIPA nevyhovuje, tak si aspoň ušetři nervy použitím SSSD místo komba nss-pam-ldapd + nscd + nslcd.

    Založit nové vláknoNahoru

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.