Nové číslo časopisu Raspberry Pi zdarma ke čtení: Raspberry Pi Official Magazine 160 (pdf).
Izrael od února zakáže dětem používat v prostorách základních škol mobilní telefony. Podle agentury AFP to uvedlo izraelské ministerstvo školství, které zdůraznilo negativní dopady, které na žactvo používání telefonů má. Izrael se tímto krokem přidává k rostoucímu počtu zemí, které dětem ve vzdělávacích zařízeních přístup k telefonům omezují.
Internetová společnost Google ze skupiny Alphabet pravděpodobně dostane příští rok pokutu od Evropské komise za nedostatečné dodržování pravidel proti upřednostňování vlastních služeb a produktů ve výsledcích vyhledávání. V březnu EK obvinila Google, že ve výsledcích vyhledávání upřednostňuje na úkor konkurence vlastní služby, například Google Shopping, Google Hotels a Google Flights. Případ staví Google proti specializovaným
… více »Byl oznámen program a spuštěna registrace na konferenci Prague PostgreSQL Developer Day 2026. Konference se koná 27. a 28. ledna a bude mít tři tracky s 18 přednáškami a jeden den workshopů.
Na webu československého síťařského setkání CSNOG 2026 je vyvěšený program, registrace a další informace k akci. CSNOG 2026 se uskuteční 21. a 22. ledna příštího roku a bude se i tentokrát konat ve Zlíně. Přednášky, kterých bude více než 30, budou opět rozdělené do tří bloků - správa sítí, legislativa a regulace a akademické projekty. Počet míst je omezený, proto kdo má zájem, měl by se registrovat co nejdříve.
Máirín Duffy a Brian Smith v článku pro Fedora Magazine ukazují použití LLM pro diagnostiku systému (Fedora Linuxu) přes Model Context Protocol od firmy Anthropic. I ukázkové výstupy v samotném článku obsahují AI vygenerované nesmysly, např. doporučení přeinstalovat balíček pomocí správce balíčků APT z Debianu místo DNF nativního na Fedoře.
Projekt D7VK dospěl do verze 1.0. Jedná se o fork DXVK implementující překlad volání Direct3D 7 na Vulkan. DXVK zvládá Direct3D 8, 9, 10 a 11.
Byla vydána nová verze 2025.4 linuxové distribuce navržené pro digitální forenzní analýzu a penetrační testování Kali Linux (Wikipedie). Přehled novinek se seznamem nových nástrojů v oficiálním oznámení na blogu.
Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) zveřejnil Národní politiku koordinovaného zveřejňování zranitelností (pdf), jejímž cílem je nejen zvyšování bezpečnosti produktů informačních a komunikačních technologií (ICT), ale také ochrana objevitelů zranitelností před negativními právními dopady. Součástí je rovněž vytvoření „koordinátora pro účely CVD“, jímž je podle nového zákona o kybernetické … více »
Vývojáři KDE oznámili vydání balíku aplikací KDE Gear 25.12. Přehled novinek i s náhledy a videi v oficiálním oznámení.
18.3.2009 15:55
| Přečteno: 5260×
| Linuxové báchorky
| 
| poslední úprava: 18.3.2009 15:56
Zdravim
Máme ve škole Windows server 2003 a na něj se připojujou Windows XP. Prostě windowsí doména. Server sice přímo nespravuju, ale co by bylo potřeba tam můžu provést, heslo mám. Tento server obsahuje žákovská data, jejich domovské adresáře. Chci na to navázat linuxové stanice.
Vedle toho je linuxový server pro tlusté klienty (NFS boot). Cílem je mít k dispozici několik distribucí, které budou sdílet stejná uživatelská data a uživatele. Oba servery mají rychlé diskové pole s dostatečnou kapacitou. Dřív jsem oveřoval proti NIS, který běžel na stejném stroji jako Samba PDC, ten byl nahrazen woknama.
Řeším co s tím. Rád bych aby se uživatelé mohli hlásit do linuxu i windows pod stejným heslem a aby měli k dispozici svoje data.
Možná řešení:
1) Na společné uživatele i home se vykašlat. Každá distribuce na linux serveru by měla svoje homy a svoje uživatele. Do uživatelského profilo bych dal skriptík, který přes CIFS připojí profil z WIN serveru do ~/windows_data. Otázka je co s heslem, kde ho na tom linuxu seženu? A pořešit sudo aby to šlo připojit pod uživatelem.
Nějak takhle:
mount -t cifs -o user=stepanek,password=nereknu,iocharset=utf8 //srv/zamestnanci/stepanek /mnt/cifs/
2) Na WIN server nainstalovat "Services for unix", to by mělo rozjet NIS a NFS server na woknech a celé to ověřovat proti tomu. LDAP databáze na woknech se rozšíří o Linuxové UID, GID, Shell atd. Teoreticky by to mělo fungovat podobně jako dřív, ale je to už poněkud zastaralé řešení vyžadující výrazný zásah na windowsím serveru.
3) Připojovat linux přímo do domény windows. To znamená nastavit PAM, Kerberos atd na přihlašování proti AD. A sambu, winbind atd. pro připojení domovského adresáře. Našel jsem na to několik náviodu: první druhý třetí. Ale šla mi z toho hlava kolem, něco tak příšerně složitého a ošklivého jsem už dlouho neviděl (zejména v porovnání jak jednoduše se to nakliká ve windows XP). Tohle řešení by ještě mohlo mít problém v tom, že z jednoho serveru (identický smb.conf) startuje třeba celá učebna. Návody očekávají v smb.conf jméno počítače, musí být pokaždé jiné.
Preferuju řešení které má společná hesla. Už teď mají uživatelé několik hesel na několika serverech a udržet v tom pořádek je problematické. Je nepřijatelné aby se ve výchozím nastavení na windows přihlásili a na linux ne. To je pak celá snaha s Linuxem do školy zbytečná.
Nějaké nápady, návrhy, řešení?
Díky všem.
Zdeněk
Tiskni
Sdílej:
18.3.2009 16:11
Luk | skóre: 47
| blog: Kacířské myšlenky
| Kutná Hora
Mam ale dojem, ze jsem nekde cetl, ze samba se neda nastavit jako windows, ze pokud pristoupis na nejakej server na share, tak se posle tvoje uzivatelsky jmeno. Samba tohle nedokaze delat, protoze samba nedokaze ze systemu prevzit heslo, kterym se uzivatel prihlasil. Takze leda tam udela skriptik na manualni pripojeni disku s tim, ze se uzivatele zepta na heslo jeste jednou. A nebo ten NFS.
Mount.cifs sice neumí vzít heslo za běhu systému, ale umí ho převzít v rámci přihlášení pomocí PAM - modul pam_mount. Nastavení není triviální, ale fungovalo mi to.
zkusil jsem namountovat sambu a na heslo se to zeptalo:
vodik:~ # mount //10.10.10.1/MYSHARE1 /aoe1
Password:
Možná jsem se nevyjádřil úplně přesně. Prostě jde připojit přesně definované "síťové disky" v rámci přihlášení bez zadání hesla. Později, při ručním připojení, si to heslo už nepamatuje. Ale naznačený problém takhle lze řešit.
Pokud je stroj s Linuxem pomocí Samby zařazen v AD, pak by mělo ověření proběhnout přes Kerberos bez hesla (to ale nemám vyzkoušené).
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.czpam_smb. Natavení je celkem triviální - úprava PAM konfigurace + 1 soubor v /etc kde se nastaví jen název domény a IP adresa doménového řadiče, na straně Windows serveru není třeba nastavovat nic. Mohou být nastavena i lokální hesla, která se použijí, když selže pam_smb - podle konkrétního nastavení PAM. Pak nebude problém s tím, když si uživatel změní heslo.
1) Pokud jde o připojování adresářů z Windows serveru, tak to lze relativně jednoduše a pro uživatele příjemně řešit pomocí pam_mount - zařadí se do konfigurace PAM pro login, kdy má k dispozici plaintext heslo, které uživatel zadal. Pak se v nějakém konfiguračním souboru v /etc nastaví, co chci připojovat - použije se mount.cifs, zadá se adresa serveru + share, kde lze opužít některé proměnné - jsou tam příklady.
Kdysi mi to fungovalo na LTSP celkem bez problémů. Uživatelům se Windows disk připojil do ~/H/ a o nic se nemuseli starat.
2) Ověřování lze udělat čistě a složitě přes Winbind (část Samby, zajístí NSS - seznam uživatelů + skupin) + Kerberos který zajístí ověřování na Windows KDC. Ale konfigurovat to pro tlusté klienty bude hodně těžké. Každý stroj s linuxem se musí pod svým jménem zařadit do Windows domény přes net ads join...
Pokud jde do Windows LDAPu nějak "snadno" dostat UID a GID, tak bych na něj nasměroval přímo libnssl-ldap - to by mělo jít nastavit snadno.
Pro ověřování hesla (sice z Linuxu oproti Samba serveru, ale to by mělo být stejné) jsem používal pam_smb ( http://www.csn.ul.ie/~airlied/pam_smb/ ) - ten fungoval velmi jednoduše a spolehlivě. Vůbec se nestaral o doménu, ale jednoduše vzaj jméno+heslo a zkusil se připojit na daný Samba/Windows server. Ovšem už v době, kdy byl stable Debian Sarge, jsem musel používat používat balíček z Debianu Woody protože v novějším Debianu nebyl, nevím jak teď.
3) Napadá mě ještě jedna možnost, pro danou situaci by to mohlo být vyhovující a spolehlivé, ale není to moc čisté...
Každou noc bych pomocí skriptu třeba v Perlu vytáhl seznam uživatelů z Active Directory (přes LDAP protokol, příklady lze najít). Nové uživatele v AD bych vytvořil v /etc/passwd na boot serveru, odstraněné z AD zde smazal (vkládal bych je do nějaké spec. skupiny, aby se odlišili od ostatních). Tím by byl na klientech zajištěn seznam uživatelů (NSS) - místo toho lde samozřejmě přímo použít LDAP, otázka je co bude jednodušší. Ověření hesla by šlo přes pam_smb. Adresář z Windows serveru by se připojil pomocí pam_mount. Hodně podobně mi to fungovalo před pár lety s LTPS a Samba serverem, když jsem neznal LDAP.
skuste link na zmienovany preklad z AD do LDAP. Pred casom som nieco take hladal a neuspesne. Vdaka.
Active Directory doménový řadič funguje jako LDAP server, ke kterému se lze připojit ("bind" v terminologii LDAPu), pokud tam máte účet. V případě LDAPu obecně nestačí login + heslo, ale je třeba vědět DN (Distinguished Name) ve tvaru jako: CN=ucet,OU=orgunit,DC=domena,DC=com. V případě AD možná bude fungovat i "login@DOMAIN" (třeba první odkazovaný článek to tvrdí).
Možná je třeba něco povolit na Windows Serveru, to nevím. Zkusil bych i připojení na LDAPs port, možná nebude nešifrované spojení povoleno.
Pro začátek bych zkusil se na Windows server připojit nějakým LDAP prohlížečem - LDAPAdmin pro Windows nebo Luma pro Linux. Pochopíte tak strukturu a atributy, jak jsou data uložená. Pak lze s LDAP serverem pracovat třeba v Perlu / PHP / Pythonu - nějaké odkazy:
http://www.samuraj-cz.com/clanek/autentizace-uzivatele-vuci-ad-v-php/
http://www.developer.com/open/article.php/10930_3106601_2
Asi sme sa celkom nepochopili. Ja som myslel ze su vytvoreny xxx.schema pre LDAP, tak aby sa dali naimportovat ldif exporty z AD. Takpovediac "online" pristup do AD mi je jasny.
pokud do konfu nehodis netbios name tak to vezme automaticky hostname pocitace ...
ad 3) kerberos neres - samba si ho nakonfiguruje sama. staci byt na nej nachystany (nainstalovane baliky, synchronizovany cas) win uzivatele v linuxu - winbind nainstalovany a pridany do /etc/nsswitch.conf, pocitac pridany do ads (net join ads ...). afaik by melo stacit