abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    18.7. 14:22 | Nová verze

    HollowByte je zranitelnost typu Denial of Service (DoS) v kryptografické knihovně OpenSSL. Útočník může odesíláním škodlivého payloadu o velikosti pouhých 11 bajtů zaplnit paměť serveru. OpenSSL před ověřením dat vyhradí nepřiměřený blok paměti (až 131 KB). Server pak čeká na data, která nepřišla. Zranitelnost je opravena ve verzích OpenSSL 4.0.1, 3.6.3, 3.5.7, 3.4.6 a 3.0.21.

    Ladislav Hagara | Komentářů: 0
    18.7. 13:44 | Komunita

    Ve španělské A Coruñě probíhá GUADEC 2026, tj. letošní konference vývojářů a uživatelů desktopového prostředí GNOME. Videozáznamy přednášek jsou k dispozici na YouTube.

    Ladislav Hagara | Komentářů: 0
    18.7. 13:22 | Komunita

    Společnost Collabora ve spolupráci s Valve vyvíjí Holo Core, tj. port Arch Linuxu pro ARM64 procesory (AArch64), který bude pohánět VR headset Steam Frame. Pro testování Arch Linuxu pro AArch64 jsou k dispozici binární balíčky, zdrojové kódy i kontejner pro Docker nebo Podman.

    Ladislav Hagara | Komentářů: 1
    18.7. 13:00 | IT novinky

    Mikroprocesor Zilog Z80 byl oficiálně uveden na trh před 50 lety, tj. v červenci 1976. Výroba mikroprocesoru skončila v roce 2024.

    Ladislav Hagara | Komentářů: 0
    18.7. 02:55 | Bezpečnostní upozornění

    Výzkumníci ze společnosti ESET objevili 11 zapomenutých UEFI shim zavaděčů, které byly podepsány společností Microsoft, a které umožňují útočníkům obejít ochranu UEFI Secure Boot na většině zařízení. Microsoft je zneplatnil (přidal jejich hash do databáze dbx) v rámci aktualizace Patch Tuesday dne 9. června 2026. Uživatelé Linuxu mohou databází aktualizovat pomocí LVFS. Ověřit zneplatnění zavaděčů lze pomocí skriptu uefi-dbx-audit. Jedná se o CVE-2026-8863 a CVE-2026-10797.

    Ladislav Hagara | Komentářů: 3
    17.7. 16:55 | Zajímavý software

    pico-usb-wifi je open source firmware pro Raspberry Pi Pico W, který jej promění v USB Wi-Fi adaptér. Po připojení k počítači se objeví jako zařízení USB CDC-NCM.

    Ladislav Hagara | Komentářů: 0
    17.7. 16:00 | IT novinky

    Americká společnost Google ze skupiny Alphabet bude muset podle nových požadavků Evropské unie umožnit společnosti OpenAI i dalším konkurentům v oblasti umělé inteligence (AI) a internetových vyhledávačů přístup ke svým službám. Ve svém rozhodnutí o tom včera informovala Evropská komise (EK). Opatření má zajistit dodržování pravidel, jejichž cílem je omezit v EU tržní sílu velkých technologických firem. Google s tím nesouhlasí.

    … více »
    Ladislav Hagara | Komentářů: 0
    17.7. 04:55 | Komunita

    Nové verze webových prohlížečů Chrome a Firefox jsou vydávány každé 4 týdny. Aktuální verze Chrome je 150. Aktuální verze Firefoxu je 152. V březnu bylo oznámeno, že od září přejde Chrome na dvoutýdenní cyklus vydávání verzí. To by znamenalo, že Chrome v číslování verzí Firefox brzy přeskočí. Vývojáři Firefoxu proto také od září přecházejí na dvoutýdenní cyklus vydávání verzí. :-)

    Ladislav Hagara | Komentářů: 7
    17.7. 00:22 | Zajímavý software

    Microsoft Comic Chat (Wikipedie), tj. grafický IRC klient z devadesátek, který převáděl konverzace na IRC do podoby komiksových panelů, a který zpopularizoval font Comic Sans, je dnešním dnem open source. Zdrojové kódy jsou k dispozici na GitHubu pod licencí MIT.

    Ladislav Hagara | Komentářů: 3
    16.7. 19:55 | Nová verze

    Byla vydána (𝕏) nová verze 26.7 open source firewallové a routovací platformy OPNsense (Wikipedie). Jedná se o fork pfSense postavený na FreeBSD. Kódový název OPNsense 26.7 je Xenial Xenops. Přehled novinek v příspěvku na fóru.

    Ladislav Hagara | Komentářů: 0
    Které desktopové prostředí na Linuxu používáte?
     (11%)
     (7%)
     (2%)
     (17%)
     (30%)
     (5%)
     (6%)
     (2%)
     (15%)
     (24%)
    Celkem 2178 hlasů
     Komentářů: 30, poslední 3.4. 20:20
    Rozcestník

    LDAP snadno a rychle

    31.12.2012 11:30 | Přečteno: 4270× | Debian | Výběrový blog

    I když vím, že na tomto severu je to nošení sov do Athén, nedá mi to a popíšu (hlavně pro sebe) jak je jednoduché nastavit LDAP v Debianu Wheezy.

    Filosofický úvod - doporučuji přeskočit

    Po té, co mne definitivně přestaly bavit experimenty pana Šutlevorta a ověřil jsem si, že upgrade Ubuntu Líná Lemra na Plesivé Přirození by přineslo úžasné Junity, o Adwaru zvaném Kvičící Křížala (12.10) nemluvě, rozhodl jsem se že bubuntu půjde z domu a nahradí ho next-stable Wheezy. Dobrou záminkou byla i koupě SSD disků ;-). Samotná instalace byla relativně bezbolestná (1x laborování s Xkama, 1x mašina odmítající bootovat z flešky a z CD-ROMky a tudíž USB spuštěné přes GRUB), takže po té co se doinstalovaly předchozí nestandardnosti vznikl prostor na filosofické vylepšování. A když už se chvilka času i záminka našly, rozhodl jsem se zkusit ldap. Nepříliš starý návod tady na ABC vypadal slibně a nakonec to šlo ještě lépe ...

    Ingredience tedy jsou: 5 kusů PC s 64-bitovým Wheezym, 1 kus s přetrvávající historickou verzí Bubuntu (asi kulhající kobyla která se vyhla ssd disku), 2 NASky. Nic velkého. Pro zpestření máme doménu 3. řádu, t.j. počítače mají hostname cosi.nase.uzasna-domena.cz

    Čistý LDAP

    Začátkem je klasická instalace sudo apt-get install slapd ldap-utils. Zadáme 2x adminovo heslo, jinak OK,OK. Hmm, ldap jede a co dál ? Měli bychom ho naplnit daty. Tady jsem se trošku zasekl a tak jsem se podle tohoto návodu pokusil to trochu ošvindlovat grafickými udělátky. Jenže - jak říká staré přísloví - používat Linux je jako žit v domě plném architektů, každý den se něco báječného a nového přistavuje. Bohužel pro mne, požární žebřík jménem luma i schodiště gq z repozitářů zmizelo, protože používaly staré cihly zvané QT3, které se už podle vyhlášky Evropské Unie nesmí používat, protože je nikdo nevyvíjí. Achjo. Takže Windosí klient. Ten se nepřipojil. Achjo. Takže jsem se musel zbaběle vydat hledat nějakou alternativu a nalezl jsem phpldapadmin. Vytvoří stejnojmennou adresu na http, kam je třeba se přihlásit. Jediná ruční úprava, kterou jsem potřeboval se týkala souboru /etc/phpldapadmin/config.php - zmínky o example.net jsem musel na dvou místech opravit na:

    $servers->setValue('server','base',array('dc=nase,dc=uzasna-domena,dc=cz'));
    $servers->setValue('login','bind_id','cn=admin,dc=nase,dc=uzasna-domena,dc=cz');
    

    Zadání skupin a uživatelů

    Podle jiného návodu založíme v phpadminovi Generic: Organisational Unit People pro lidi a Groups pro skupiny uživatelů. V Groups přidáme Generic: Posix Group ldap_users, které dávám GID 2000 (aby se to nepletlo s již existujícími lokálními uživateli a skupinami). Podobně v People vytvořím Generic: User Account ldaptest. Jediná drobná zrada je, že při vytváření systém sveřepě vybere UID, které se nedá změnit, nicméně po té, co se to uloží je možné hodnotu modifikovat. Podobně nenabízí v defaultu bash. Opruz, ale řešitelný. Další zrada je položka heslo. Je tam na výběr typ hesla a místo pro jeho zadání. Člověk by čekal, že zadá heslo a vybere algoritmus jeho zašifrování. Chyba lávky. Musí se v shellu spustit /usr/sbin/slappasswd, zadat heslo a vypadne něco jako {SSHA}2rMkIeDV4pKe9J1UDgUtvdrsttU8E479 (nebojte, hash jsem pozměnil ;-)). Jeden by čekal, že zadá 2rMkIeDV4pKe9J1UDgUtvdrsttU8E479 a vybere typ SSHA. Houby. Musí se zadat selý řetězec včetně {SSHA} a vybrat typ, jinak to nebude fungovat !

    Přihlašování k systému pomocí LDAPu

    Teď musíme systém přesvědčit, aby se PAM ptal ldapího serveru. K tomu slouží balíček libpam-ldapd. Ten se při instalaci celkem srozumitelně zeptá, kde že je ldap server a co že vlastně všechno má z něj brát (chceme-li uživatele a skupiny, tak přinejmenším passwd,group a shadow). Po nainstalování by už mělo vše fungovat, což ověříme příkazem getent passwd, který nám vypíše založeného ldapího uživatele ldaptest. Takže ještě ssh ldaptest@localhost s heslem, které projde a můžeme hrdě prohlásit, že nám LDAP zhruba chodí.

    Co provést s domácími adresáři ?

    Když už jsem zmínil, že máme NASku tak logickým pokračováním snahy bude přesun domácích adresářů tam. Než se do toho pustíme, je potřeba si odpovědět na několik otázek:

    1. Kdo všechno (pokud vůbec někdo) má mít možnost práce se systémem když umře NASka/spadne síť než se to spraví ?
    2. Opravdu uživatelé chtějí sdílené domácí adresáře ? Nepoužívají něco co by je rozbilo (současné přihlášení k FF na dvou strojích, dva Dropbox démoni nad stejným adresářem a podobné radosti) ?
    Pokud odpověď na první otázku je "nikdo", pak můžeme použít autofs na /home, jinak to chce jiný adresář, například /shome (jako shared home) - to je můj případ. Druhá otázka je složitější a zatím na ni nemám jasnou odpověď. Z hlediska záloh atp. jsem dosud měl více /home adresářů s duplikáty dropboxu, což ale samozřejmě má nevýhody - člověk nesmí zapomenout nahodit démona na všech strojích, bandwidth, disková kapacita a tak. Komproimsním řešení je síťový adresář ~/data a Dropbox mimo něj (a stejně tak systémový .bordel ...)

    V návodech popisují různá sofistikovaná řešení ldap-distribuovaného systému automountů. Osobně vystačím s autofs a změnou tří konfiguračních souborů:

    1. do /etc/nsswitch.conf připsat automount: files
    2. do /etc/auto.master na konec připsat /shome /etc/auto.home
    3. vytvořit /etc/auto.home s řádkem * nasserver:/homedir/&
    A pak čistě /etc/init.d/autofs restart a vše by mělo fungovat - pro čistě LDAP/NAS uživatele při založení vytvoříme příslušný adresář na NASce + do LDAPu napíšeme, že domácí adresář je /shome/whatever a je vymalováno.

    Ostatní stroje v síti

    Jen pro shrnutí, mimo server stačí instalovat apt-get install libpam-ldapd autofs, vyplnit ldap server (IP, ne hostname - kdyby shnilo DNSko) a synchronizované služby a pak zkopírovat tři úpravy z autofs souborů. V tento okamžik funguje přihlašovaní LDAP/NAS only uživatelů. Pokud je potřeba něco sofistikovanějšího, musí se to poladit ;-). Pokud tato potřeba nastane, budu se snažit to zase zdokumentovat. Nicméně pokud se s tímto nastavením přihlásí na dva stroje současně, mohou se velmi pravděpodobně poprat aplikace, které nepočítají, že je někdo může pustit víckrát ze stejného adresáře na více strojích (Dropbox ?).        

    Hodnocení: 100 %

            špatnédobré        

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    31.12.2012 12:22 alkoholik | skóre: 40 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: LDAP snadno a rychle
    LDAP bez SSL/TLS? Jak naivni.
    31.12.2012 13:50 Karel Benák | skóre: 8 | blog: benyho
    Rozbalit Rozbalit vše Re: LDAP snadno a rychle
    Na vnitřní síti bych se toho zase tolik nebál a jako výraznou chybu bych to neoznačil.
    Láska je jako prd, když hodně tlačiš tak z toho bude ...
    Max avatar 31.12.2012 13:57 Max | skóre: 73 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: LDAP snadno a rychle
    Pokud je to malá síť a člověk jí má celou pod palcem, lze to ještě částečně akceptovat, ale spíš bych se tomu stejně vyhnul. Rozjet ssl je to nejmenší.
    Zdar Max
    Měl jsem sen ... :(
    31.12.2012 14:21 Georgius | skóre: 24 | blog: jirka
    Rozbalit Rozbalit vše Re: LDAP snadno a rychle
    Díky za povzbuzení, zkusil jsem klasicky vytvořit certifikační autoritu, vygenerovat certifikáty a nacpat je do LDAPu, LDAPS jsem rozjel (ldapsearch -x funguje), narazil jsem ale při snaze přesvědčit nslcd aby komunikoval přes ldaps, V configu mám tohle:
    # /etc/nslcd.conf
    # nslcd configuration file. See nslcd.conf(5)
    # for details.
    
    # The user and group nslcd should run as.
    uid nslcd
    gid nslcd
    
    # The location at which the LDAP server(s) should be reachable.
    #edited
    uri ldaps://ldapserver:636/
    
    # The search base that will be used for all queries.
    base dc=XXXXX
    
    
    # SSL options
    #ssl off
    ssl on
    ssl start_tls
    tls_reqcert never
    #tls_reqcert never
    
    # The search scope.
    #scope sub
    
    .. a v logu toto. Co s tím ?
    Dec 31 14:16:55 client nslcd[23002]: [8b4567] <passwd(all)> ldap_start_tls_s() failed (uri=ldaps://ldapserver:636/): Operations error: TLS already started
    Dec 31 14:16:55 client nslcd[23002]: [8b4567] <passwd(all)> failed to bind to LDAP server ldaps://ldapserver:636/: Operations error: TLS already started
    Dec 31 14:16:55 client nslcd[23002]: [8b4567] <passwd(all)> no available LDAP server found, sleeping 1 seconds
    
    Bude to nejspíš nějaká kravina, prosím o radu !
    31.12.2012 23:25 alkoholik | skóre: 40 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: LDAP snadno a rychle
    Hadam, ze chyba je tady:
    ssl on
    ssl start_tls
    31.12.2012 23:26 alkoholik | skóre: 40 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: LDAP snadno a rychle
    A taky vestim, ze budes mit problem s cn certifikatu.
    31.12.2012 13:53 Karel Benák | skóre: 8 | blog: benyho
    Rozbalit Rozbalit vše Re: LDAP snadno a rychle
    Zkus http://directory.apache.org/studio/ - z toho co jsem zatím zkoušel mi to přijde nejpoužitelnější. Miloval jsem gq, se skřípěním jsem přijal Lumu. PHPLDAPAdmin jsem nepřekousnul. Ale Apache Directory Studio je docela fajn a pokud pracuješ s Eclipse, můžeš to mít jako formu pluginu.

    Co se správy hesel týče, s těmi byla vždycky sranda a docela to závisí na distribuci. Jo a jinak jde udělat to, že DNS a DHCP si tahá záznamy z LDAPu ;-)
    Láska je jako prd, když hodně tlačiš tak z toho bude ...
    Luk avatar 31.12.2012 18:52 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
    Rozbalit Rozbalit vše Re: LDAP snadno a rychle
    Jo, tahle dvojice od Apache je fakt dobrá. Používal jsem ji i při psaní článku o využití LDAP na poštovním serveru. Akorát jsou to děsné "mlátičky", nenažrané na paměť.
    Šifrování je absolutní nutnost a pomáhá chránit před nekalými živly
    2.1.2013 21:36 Karel Benák | skóre: 8 | blog: benyho
    Rozbalit Rozbalit vše Re: LDAP snadno a rychle
    Vždyť to jede na Javě :-D
    Láska je jako prd, když hodně tlačiš tak z toho bude ...
    Luk avatar 3.1.2013 12:27 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
    Rozbalit Rozbalit vše Re: LDAP snadno a rychle
    To je jeden z důvodů paměťové náročnosti, ale ne jediný.
    Šifrování je absolutní nutnost a pomáhá chránit před nekalými živly
    grubber avatar 1.1.2013 21:18 grubber | skóre: 6 | blog: grubber | Břeclav / Brno
    Rozbalit Rozbalit vše Re: LDAP snadno a rychle
    Trochu si přihřeju polívčičku: to, co popisuješ, podle mého názoru není LDAP snadno a rychle, LDAP snadno a rychle je FreeIPA. Pokud FreeIPA nevyhovuje, tak si aspoň ušetři nervy použitím SSSD místo komba nss-pam-ldapd + nscd + nslcd.

    Založit nové vláknoNahoru

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.