abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Forgejo 13.0
    včera 23:55 | Nová verze

    V programovacím jazyce Go naprogramovaná webová aplikace pro spolupráci na zdrojových kódech pomocí gitu Forgejo byla vydána ve verzi 13.0 (Mastodon). Forgejo je fork Gitei.

    Ladislav Hagara | Komentářů: 0
    Bezpečnostní problém počítačů Framework
    včera 14:22 | Bezpečnostní upozornění

    Společnost Eclypsium se na svém blogu rozepsala o bezpečnostním problému počítačů Framework. Jedná se o zranitelnost v UEFI umožňující útočníkům obejít Secure Boot.

    Ladislav Hagara | Komentářů: 0
    Zed už běží také ve Windows
    včera 02:33 | Nová verze

    Editor kódů Zed (Wikipedie) po macOS a Linuxu s verzí 0.208.4běží také ve Windows.

    Ladislav Hagara | Komentářů: 6
    14palcový MacBook Pro, iPad Pro a Apple Vision Pro s novým čipem M5
    15.10. 17:44 | IT novinky

    Apple dnes představil 14palcový MacBook Pro, iPad Pro a Apple Vision Pro s novým čipem M5.

    Ladislav Hagara | Komentářů: 20
    Mobian 13 Trixie
    15.10. 13:55 | Nová verze

    Debian pro mobilní zařízení Mobian (Wikipedie) byl vydán ve verzi 13 Trixie. Nová stabilní verze je k dispozici pro PINE64 PinePhone, PinePhone Pro a PineTab, Purism Librem 5, Google Pixel 3a a 3a XL, OnePlus 6 a 6T a Xiaomi Pocophone F1.

    Ladislav Hagara | Komentářů: 2
    O2 Datamanie 1200 GB
    15.10. 13:11 | IT novinky

    Operátor O2 představil tarif Datamanie 1200 GB . Nový tarif přináší 1200 GB dat s neomezenou 5G rychlostí, a také možnost neomezeného volání do všech sítí za 15 Kč na den. Při roční variantě předplatného zákazníci získají po provedení jednorázové platby celou porci dat najednou a mohou je bezstarostně čerpat kdykoli během roku. Do 13. listopadu jej O2 nabízí za zvýhodněných 2 988 Kč. Při průměrné spotřebě tak 100 GB dat vychází na 249 Kč měsíčně.

    Ladislav Hagara | Komentářů: 7
    Pixnapping Attack (CVE-2025-48561), útok na zařízení s Androidem
    15.10. 12:33 | Bezpečnostní upozornění

    Byly publikovány informace o útoku na zařízení s Androidem pojmenovaném Pixnapping Attack (CVE-2025-48561). Aplikace může číst citlivá data zobrazovaná jinou aplikací. V demonstračním videu aplikace čte 2FA kódy z Google Authenticatoru.

    Ladislav Hagara | Komentářů: 1
    FSF spustila projekt Librephone
    15.10. 07:11 | Zajímavý projekt

    Free Software Foundation (FSF) spustila projekt Librephone, jehož cílem je vytvoření svobodného operačního systému pro mobilní telefony. Bez binárních blobů.

    Ladislav Hagara | Komentářů: 11
    LMDE 7 Gigi
    14.10. 16:44 | Nová verze

    Byla vydána verze 7 s kódovým název Gigi linuxové distribuce LMDE (Linux Mint Debian Edition). Podrobnosti v poznámkách k vydání. Linux Mint vychází z Ubuntu. LMDE je postaveno na Debianu.

    Ladislav Hagara | Komentářů: 0
    Firefox 144.0
    14.10. 16:33 | Nová verze

    Byl vydán Mozilla Firefox 144.0. Přehled novinek v poznámkách k vydání a poznámkách k vydání pro vývojáře. Vypíchnout lze lepší správu profilů. Řešeny jsou rovněž bezpečnostní chyby. Nový Firefox 144 bude brzy k dispozici také na Flathubu a Snapcraftu.

    Ladislav Hagara | Komentářů: 0
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Jaké řešení používáte k vývoji / práci?
     (38%)
     (46%)
     (19%)
     (21%)
     (24%)
     (18%)
     (21%)
     (18%)
     (18%)
    Celkem 231 hlasů
     Komentářů: 14, poslední 14.10. 09:04
    Rozcestník
    AbcLinuxu
    HDmag.cz
    OndraZX - OndraZX
    Aktuální zápisy
    ?Přístup k archivovaným zápisům za jednotlivé měsíce. Archív

    ?Přístup na osobní hlavní stranu a na hlavní stranu všech blogů. Navigace
    Nej blogů na AbcLinuxu
    Nejčtenější za poslední měsíc Nejkomentovanější za poslední měsíc
    AbcLinuxu:/ Blogy / OndraZX / Síťová autentizace pomocí OpenLDAP + NFS
    Štítky: admin, adresář, autentizace, automount, Content Management System, databáze, Debian, desktop, distribuce, For, hesla, heslo, chyby, instalace, Internet, klient, konfigurace, LDAP, mc, NFS, PAM, passwd, password, PC, práva, přihlášení, server, souborové systémy, správci souborů, test, top, Ubuntu, wiki, Wikipedie

    Síťová autentizace pomocí OpenLDAP + NFS

    10.1.2011 20:19 | Přečteno: 3530× | Výběrový blog | poslední úprava: 11.1.2011 17:26

    Příklad nastavení OpenLDAP serveru a NFS serveru pro podporu přihlášení vzdálených uživatelů na desktopech.

    Úvod:

    Cílem je zajistit přihlašování uživatelů na linuxových desktopech, kdy udaje o uživatelích jsou uloženy na LDAP serveru a domovské adresáře uloženy na NFS serveru. Uživatel desktopu požádá o přihlášení - autorizuje se pomocí LDAP serveru a budou mu poskytnuty soubory pomocí NFS serveru. Postup neřeší podrobnější konfiguraci LDAP serveru, změny záznamů, atd., konfigurace NFS je jen základ. Slouží spíše k dalšímu studiu.


    Příprava:

    Pro příklad použijeme tyto servery a PC

    LDAP server
IP: 192.168.1.2
Minimální instalace Debian Squeeze
hostname -f
...
ldap.firma.cz
    NFS server
IP: 192.168.1.3
Minimální instalace Debian Squeeze
hostname -f
...
nfs.firma.cz
    Desktop
IP: 192.168.1.100
Desktop instalace
hostname -f
...
pc100.firma.cz

    Instalace OpenLDAP serveru:

    Provedeme instalaci OpenLDAP serveru na ldap.firma.cz

    apt-get install slapd ldap-utils
...
zadat heslo ldap admin
...
Starting OpenLDAP: slapd

    Instalace provede základní nastavení serveru. Nové verze openLDAP mají konfiguraci uloženu přímo v databázi separátně v cn=config - tzv. dynamická konfigurace - změny možné za běhu OpenLDAP serveru


    Kontrola běhu - výpis obsahu databáze:

    ldapsearch -xLLL -b "dc=firma,dc=cz"
...
dn: dc=firma,dc=cz
objectClass: top
objectClass: dcObject
objectClass: organization
o: firma.cz
dc: firma 
    dn: cn=admin,dc=firma,dc=cz
objectClass: simpleSecurityObject
objectClass: organizationalRole
cn: admin
description: LDAP administrator

    Instalace vytvořila organizaci a uživatele admin


    Výpis konfigurace (omezený na dn):

    ldapsearch -LLL -Y EXTERNAL -H ldapi:/// -b cn=config dn
...
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
dn: cn=config

dn: cn=module{0},cn=config

dn: cn=schema,cn=config

dn: cn={0}core,cn=schema,cn=config

dn: cn={1}cosine,cn=schema,cn=config

dn: cn={2}nis,cn=schema,cn=config

dn: cn={3}inetorgperson,cn=schema,cn=config

dn: olcBackend={0}hdb,cn=config

dn: olcDatabase={-1}frontend,cn=config

dn: olcDatabase={0}config,cn=config

dn: olcDatabase={1}hdb,cn=config

    Jsou defaultně naimportována schémata - core, cosine, nis, inetorgperson


    Naplnění databáze daty:

    Vytvoření organizačních jednotek

    soubor organizationalUnit.ldif
...
dn: ou=users,dc=firma,dc=cz
objectClass: organizationalUnit
ou: users

dn: ou=groups,dc=firma,dc=cz
objectClass: organizationalUnit
ou: groups

ldapadd -x -D cn=admin,dc=firma,dc=cz -W -f organizationalUnit.ldif
...
Enter LDAP Password: 
adding new entry "ou=users,dc=firma,dc=cz"

adding new entry "ou=groups,dc=firma,dc=cz"

    V příkladech se často používá ou=People, ou=Group


    Vytvoření skupiny

    soubor posixGroup.ldif
...
dn: cn=ldap_users,ou=groups,dc=firma,dc=cz
objectClass: posixGroup
cn: ldap_users
gidNumber: 10000
description: Group account

ldapadd -x -D cn=admin,dc=firma,dc=cz -W -f posixGroup.ldif

    Každý uživatel bude ve skupine ldap_users. (Dnes je zvykem, že každý uživatel má vytvořenou i svou skupinu??)


    Vytvoření uživatele

    soubor user.ldif
...
dn: uid=testldap,ou=users,dc=firma,dc=cz
objectClass: account
objectClass: posixAccount
objectClass: shadowAccount
cn: testldap
uid: testldap
uidNumber: 10000
gidNumber: 10000
homeDirectory: /home/testldap
loginShell: /bin/bash
gecos: Test LDAP
description: User account

ldapadd -x -D cn=admin,dc=firma,dc=cz -W -f user.ldif

    Bez objectClass: account to házelo chybu


    Výpis obsahu databáze

    ldapsearch -xLLL -b "dc=firma,dc=cz"
...

    Měly by se zobrazit přidané položky


    Začátečníci pro kontrolu použít grafického LDAP klienta

    na obrázku je jiná IP adresa než v příkladu


    Name Service a PAM:

    Zajistí nám propojení systému s daty o uživatelích uložených v LDAP - systém "uvidí" uživatele v LDAP. Toto musíme nastavit na NFS serveru (potřebujeme nastavovat práva souboru uživatelů) a na klientovi / desktopu (potřebuje se přihlásit). Naopak na LDAP serveru by z bezpečnostních důvodů nemělo být přihlašování uživatelů dovoleno - nenastavujeme. 

    apt-get install libnss-ldap libpam-ldap
Configuring libnss-ldap
LDAP server URI: 
ldap://192.168.1.2/
Distinguished name of the search base:
dc=firma,dc=cz
LDAP version to use:
3
LDAP account for root:
cn=admin,dc=firma,dc=cz
LDAP root account password:
heslo

Configuring libpam-ldap
Allow LDAP admin account to behave like local root?
Yes
Does the LDAP database require login?
No
LDAP administrative account:
cn=admin,dc=firma,dc=cz
LDAP administrative password:
heslo

    Instalační script upozorní, že je nutno ručně nastavit NSS


    Nastavení NSS

    edit /etc/nsswitch.conf
...
passwd:         compat ldap
group:          compat ldap
shadow:         compat ldap

    Raději reboot - (po restartu NSS systém viděl uživatele, ale nešly v MC nastavit práva k souborům)


    Nezapomenout vytvořit domovský adresář /home/testldap pro uživatele testldap na NFS serveru. Nastavení práv 40700 - uid=10000,gid=10000 - zkopírování profilu z /etc/skel (nastavit práva)


    Kontrola nastavení NSS a PAM - výpis uživatelů a skupin na NFS serveru a klientovi

    getent passwd
...
testldap:x:10000:Test LDAP:/home/testldap:/bin/bash
...

getent group
...
ldap_users:*:10000
...

    Ve výpisech by jsme měli vidět i uživatele a skupiny uložené v LDAP


    Přihlašení uživatele

    Uživatel by měl být schopen se lokálně přihlásit na NFS serveru


    Změna hesla uživatelů v LDAP databázi - oprava chyby

    passwd testldap
passwd: Authentication information cannot be recovered
passwd: password unchanged
...
heslo nejde změnit

edit /etc/pam.d/common-password
...
zmenit use_authok na try_authok
...

    bug?


    NFS server:

    Export domovských adresářů uživatelů

    apt-get install nfs-kernel-server

edit soubor /etc/exports

/home    *(rw,sync,no_root_squash,no_subtree_check)

/etc/init.d/nfs-kernel-server reload
nebo
exportfs -a

    Zápis neřeší optimalizaci NFS serveru


    NFS klient na desktopu:

    Před, nebo během přihlášení připojit domovský adresář uživatele z NFS serveru

    edit /etc/fstab
...
192.168.1.3:/home /home nfs rsize=8192,wsize=8192,timeo=14,intr
...

    Případně použít automount


    Závěr:

    Prosím o upozornění na případné nedostatky, chyby, doporučení, atd.


    Zdroje:

    Wikipedie

    Debian Wiki

    Ubuntu Server Guide

           

    Hodnocení: 100 %

            špatnédobré        

    Obrázky

    Síťová autentizace pomocí OpenLDAP + NFS, obrázek 1

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

    Vložit další komentář

    Saljack avatar 10.1.2011 22:24 Saljack | skóre: 28 | blog: Saljack | Praha
    Rozbalit Rozbalit vše Re: Síťová autentizace pomocí OpenLDAP + NFS
    Dalo by se LDAP použít i na routeru Asus, čistě jenom pro zkušební účely?
    Sex, Drugs & Rock´n Roll.
    11.1.2011 09:53 Martin Lojda | skóre: 4
    Rozbalit Rozbalit vše Re: Síťová autentizace pomocí OpenLDAP + NFS
    Pokud na nem bezi OpenWRT, tak nevidim duvod, proc by neslo - existuje primo balicek openldap-server. Popripade pokud je kompatibilni s DebWRT (momentalne asi akorat wl-500gP), tak tam pujde praticky cokoli ;-)
    11.1.2011 10:53 SPM | skóre: 28
    Rozbalit Rozbalit vše Re: Síťová autentizace pomocí OpenLDAP + NFS
    Otázka jak moc je to dobrý nápad - můj LDAP zabírá celkem místo v paměti (ne nijak velké, ale když se veme v úvahu, že ty routery mají nějak cca 64MB RAM, možná míň, tak to dost je)... a když ho chytí amok memory leaků, tak ani gigabajty nestačí :(
    Saljack avatar 11.1.2011 11:21 Saljack | skóre: 28 | blog: Saljack | Praha
    Rozbalit Rozbalit vše Re: Síťová autentizace pomocí OpenLDAP + NFS
    Přesně to jsem měl namysli. To, že to jde nainstalovat mě nezajímá, mě zajímá jestli to půjde provozovat. Zkoušel to někdo?
    Sex, Drugs & Rock´n Roll.
    11.1.2011 11:49 Martin Lojda | skóre: 4
    Rozbalit Rozbalit vše Re: Síťová autentizace pomocí OpenLDAP + NFS
    Tak to by nebylo od veci router blize specifikovat, protoze "pouzit na routeru Asus" je ponekud siroky pojem. Na modelu s 32MB ram by snad nemel byt problem - osobne jsem nezkousel, ale kdyz uz se nekdo delal s balickem, tak predpokladam, ze uplne teoreticke to neni... Napr. Postgre databaze mi na routeru s 32MB ram bezi bez vetsich problemu (= pouzivat se to da, na vetsi veci to samozrejme neni).
    11.1.2011 13:08 tuxmartin | skóre: 39 | blog: tuxmartin | Jicin
    Rozbalit Rozbalit vše Re: Síťová autentizace pomocí OpenLDAP + NFS
    Minimální instalace Debian Sarge

    To jste zverejnil stary navod, nebo stale pouzivate Debian Sarge? ;-)

    OndraZX avatar 11.1.2011 17:28 OndraZX | skóre: 27 | blog: OndraZX | Frydek-Mistek
    Rozbalit Rozbalit vše Re: Síťová autentizace pomocí OpenLDAP + NFS
    Samozřejmě Squeeze - opraveno - díky :-)
    11.1.2011 17:36 tuxmartin | skóre: 39 | blog: tuxmartin | Jicin
    Rozbalit Rozbalit vše Re: Síťová autentizace pomocí OpenLDAP + NFS
    Takze misto stareho Sarge tam mate testing ;-)

    Založit nové vláknoNahoru

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.