abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 13:22 | IT novinky

    Steve Jobs a superpočítač Cray-1 budou vyobrazeny na pamětních jednodolarových mincích vyražených v příštím roce v rámci série Americká inovace. Série má 57 mincí, tj. 57 inovací. Poslední 4 mince budou vyraženy v roce 2032.

    Ladislav Hagara | Komentářů: 1
    dnes 12:22 | Pozvánky

    Byl zveřejněn průběžně aktualizovaný program konference OpenAlt 2025 o otevřeném softwaru a datech, IT bezpečnosti, DIY a IoT. Konference proběhne o víkendu 1. a 2. listopadu v prostorách FIT VUT v Brně. Vstup je zdarma.

    Ladislav Hagara | Komentářů: 0
    dnes 12:00 | IT novinky

    Senát včera opětovně nepřijal návrh ústavního zákona, který měl do Listiny základních práv a svobod zakotvit právo občanů platit v hotovosti nebo být off-line. Návrh předložila skupina senátorů již v roce 2023. Senát dnes návrh neschválil, ale ani nezamítl. Pokud by ho přijal, dostala by ho k projednání Sněmovna a vyjádřila by se k němu vláda.

    Ladislav Hagara | Komentářů: 8
    včera 23:55 | Nová verze

    V programovacím jazyce Go naprogramovaná webová aplikace pro spolupráci na zdrojových kódech pomocí gitu Forgejo byla vydána ve verzi 13.0 (Mastodon). Forgejo je fork Gitei.

    Ladislav Hagara | Komentářů: 0
    včera 14:22 | Bezpečnostní upozornění

    Společnost Eclypsium se na svém blogu rozepsala o bezpečnostním problému počítačů Framework. Jedná se o zranitelnost v UEFI umožňující útočníkům obejít Secure Boot.

    Ladislav Hagara | Komentářů: 1
    včera 02:33 | Nová verze

    Editor kódů Zed (Wikipedie) po macOS a Linuxu s verzí 0.208.4běží také ve Windows.

    Ladislav Hagara | Komentářů: 7
    15.10. 17:44 | IT novinky

    Apple dnes představil 14palcový MacBook Pro, iPad Pro a Apple Vision Pro s novým čipem M5.

    Ladislav Hagara | Komentářů: 32
    15.10. 13:55 | Nová verze

    Debian pro mobilní zařízení Mobian (Wikipedie) byl vydán ve verzi 13 Trixie. Nová stabilní verze je k dispozici pro PINE64 PinePhone, PinePhone Pro a PineTab, Purism Librem 5, Google Pixel 3a a 3a XL, OnePlus 6 a 6T a Xiaomi Pocophone F1.

    Ladislav Hagara | Komentářů: 2
    15.10. 13:11 | IT novinky

    Operátor O2 představil tarif Datamanie 1200 GB . Nový tarif přináší 1200 GB dat s neomezenou 5G rychlostí, a také možnost neomezeného volání do všech sítí za 15 Kč na den. Při roční variantě předplatného zákazníci získají po provedení jednorázové platby celou porci dat najednou a mohou je bezstarostně čerpat kdykoli během roku. Do 13. listopadu jej O2 nabízí za zvýhodněných 2 988 Kč. Při průměrné spotřebě tak 100 GB dat vychází na 249 Kč měsíčně.

    Ladislav Hagara | Komentářů: 15
    15.10. 12:33 | Bezpečnostní upozornění

    Byly publikovány informace o útoku na zařízení s Androidem pojmenovaném Pixnapping Attack (CVE-2025-48561). Aplikace může číst citlivá data zobrazovaná jinou aplikací. V demonstračním videu aplikace čte 2FA kódy z Google Authenticatoru.

    Ladislav Hagara | Komentářů: 1
    Jaké řešení používáte k vývoji / práci?
     (38%)
     (46%)
     (19%)
     (21%)
     (24%)
     (18%)
     (21%)
     (18%)
     (18%)
    Celkem 231 hlasů
     Komentářů: 14, poslední 14.10. 09:04
    Rozcestník

    Aby PAM automaticky vytvářel uživatele.

    12.5.2009 15:34 | Přečteno: 1110× | Linuxové báchorky

    Zdravim
    Navazuju na můj předchozí blogpost o tlustých klientech do školy, aneb proti čemu ověřovat uživatele. Viz zde.

    Pořešil jsem ověřování hesel, pořešil jsem automatické připojování disku H, včetně té opičárny kterou jsem končil předchozí blogpost.

    Zbývá poslední věc a to jsou oživatele. Vyhnul jsem se uživatelům v LDAPu (ActiveDirectory), protože by to vyžadovalo zbytečně složité provázání s wokenním serverem.

    V tuhle chvíli stačí založit uživatele příkazem "useradd uzivatel" a pokud tenhle uzivatel je zalozen na wokennim serveru a uzivatel zada spravne heslo, tak se mu pomoci pam_mkhomedir vytvori domovsky adresar a prihlasi se. K dokonalosti jeste chybi ty uzivatele dat do skupin audio, optical atd, to uz je spis jen detail.

    Hledal jsem jestli PAM umi overit dvojici jmeno:heslo a pokud sedi tak zalozit lokalniho uzivatele. Narazil jsem jen na jednu starsi diskuzi, kde se resi vpodstate to same, ale bez vysledku. Viz zde.

    Nevíte někdo jak to pořešit?

    Díky.

    Zdeněk

           

    Hodnocení: 100 %

            špatnédobré        

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    12.5.2009 16:28 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: Aby PAM automaticky vytvářel uživatele.
    Pokud máte PAM modul, který umí autentizovat lokálně neexistujícího uživatele, tak můžete přes řídicí podmínku [success=N] daného autentizačního modulu odskočit na N. modul pam_exec, kterým si zavoláte useradd, nebo jaký skript potřebujete.
    12.5.2009 18:05 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: Aby PAM automaticky vytvářel uživatele.
    Nebylo by praktičtější řešit to NSS modulem, který o ty windowsové uživatele rozšíří tabulku uživatelů?
    Josef Kufner avatar 12.5.2009 22:44 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: Aby PAM automaticky vytvářel uživatele.
    Budeš mít bordel v ID uživatelů...
    Hello world ! Segmentation fault (core dumped)
    13.5.2009 00:21 Abraxis
    Rozbalit Rozbalit vše Re: Aby PAM automaticky vytvářel uživatele.

    Chapu, ze mas urcite pro zvoleny postup sve duvody, ale doporucil bych ti znovu se zamyslet a zkusit pouzit standardni postup pro zacleni Linuxove masiny do Windows domeny (viz dokumentace Samby). Tim ti odpadne spousta problemu - at uz tento nebo i dalsi, na ktere v budoucnu narazis.

    13.5.2009 08:09 Zdeněk Štěpánek | skóre: 57 | blog: uz_mam_taky_blog | varnsdorf
    Rozbalit Rozbalit vše Re: Aby PAM automaticky vytvářel uživatele.
    Jednopu jsem se snazil aby Linux s LDAP a sambou delal PDC pro wokna. Neco tak obludne oskliveho a sloziteho jsem jakteziv nevidel. Stejne na tom jsou i navody ktere jsem nasel, s LDAPem proste nechci mit nic spolecneho.

    Kdybych ty uzivatele mel mit v tom ldapu, musel bych tam pridat sadu unixovych parametru, coz je moje nocni mura.

    Libi se mi to s tim pam_exec, tak snad se to nejak podari.

    Zdenek
    www.pirati.cz - s piráty do parlamentu i jinam www.gavanet.org - czfree varnsdorf
    13.5.2009 10:47 VSi | skóre: 28
    Rozbalit Rozbalit vše Re: Aby PAM automaticky vytvářel uživatele.

    Jak jsem pochopil, chcete to pro "tlusté klienty". Předpokládám, že data uživatelů (domovské adresáře) budou na nějakém NFS serveru. Jak už tu někdo napsal, je třeba dát pozor na UID uživatelů.

    To znamená, že vaše řešení je použitelné, ale /etc/passwd a /etc/shadow musíte mít na všech klientech připojené pro zápis ze serveru - už jen proto, aby UID zůstávala v čase konstantní.
     
    Řešení s pam_exec určitě vypadá hodně elegantně a jednoduše, ale čekal bych s tím problémy. Jak budete řešit zrušené uživatele? Budou se postupně hromadit v systému a kontrolovat to a mazat je ručně je docela otravné. Pokud máte uživatele v AD, tak skutečně jako nejelegantnější vidím ten skript popsaný v minulé diskusi. Nemusíte řešit zápis do /etc/passwd z klientů (nevím ale, jak máte ty tlusté klienty řešené), a čekal bych s tím nejméně problémů. Žádná modifikace AD přitom není potřeba, stačí mít v AD vytvořen 1 účet, který bude mít práva dostatečná k vypsání seznamu všech uživatelů (to myslím může každý obyčejný uživatel).
     
    OT: Samba + LDAP jako PCD pro Windows není složitá věc. Jako velký problém ale vidím to, že Samba se rychle vyvíjela (teď už to podle mě není tolik znát) - hlavně od verzí 2.2.x k 3.0.x a 3.3.x - a hodně návodů, které jde najít, obsahuje v současnosti zavádějící informace nebo úplně zbytečné věci. Pokud se použije výchozí konfigurace OpenLDAP třeba z Debianu a nějaký vyzkoušený smb.conf pro použitou verzi Samby, tak všecho funguje tak nějak "samo". Asi nejlepší zdroj informací je oficiální Samba-HOWTO-Collection, jiné staré navody vám můžou celkem spolehlivě zamotat hlavu. Pomocí LDAP pak je elegantně vyřené ověřování na ostatní servery s Linuxem / Sambou i na pracovní stanice s Linuxem.
    13.5.2009 13:21 Abraxis
    Rozbalit Rozbalit vše Re: Aby PAM automaticky vytvářel uživatele.

    Nicmene toto je neco jineho - tady nechces delat PDC, ale normalne join do domeny, ne? A proc ti vadi v LDAPu UNIXove parametry? (nikdy jsem s tim nedelal, takze vazne nevim!)

    13.5.2009 12:30 Zdeněk Štěpánek | skóre: 57 | blog: uz_mam_taky_blog | varnsdorf
    Rozbalit Rozbalit vše Re: Aby PAM automaticky vytvářel uživatele.
    Trochu to dovysvetlim.

    Je to opravdu pro tluste klienty, data se ale netahaji primo pres NFS (/home pres NFS) ale jsou pripojene pres hlavni NFS pripojeni /, takze passwd, /home atd je pro vsechny klienty stejne. UID uzivatelu se budou vytvaret sice vcelku nahodile ale nevidim v tom problem, nikde jinde je nepotrebuju.

    Mazani starych uzivatelu muj postup neresi, ale nemame to resene na zadnem z nasich systemu. Uzivatelska jmena se jednoduse prohledavaji, takze vzdycky v zari smazu ty co uz tam nemaji byt. Neni to problem.

    S tim LDAPem jsem to proste asi nepochopil. Jeste bych chapal, ze nejak z LDAPu vytahnu seznam uzivatelskych jmen, ale jak z toho mam udelat unixovy uzivatele, prece museji mit minimalne UID, GID a shell. Nekde to prece musi byt ulozene. Bud v tom LDAPu (je to AD, takze balickem Services for Unix) coz nechci nebo v lokalnim /etc/passwd.

    V drivejsich diskuzich jeste padl navrh kazdy den tahat tenhle seznam uzivatelu (to by nebyl problem, mam ho i v mysql) a skriptem ty uzivatele zakladat hromadne, cimz mi zase vzniknou desitky uzivatelu, kteri to nikdy nevyuziji.

    Hraju si ted s tim pam_exec. Idealni by bylo kdyby to nejdriv overilo heslo a pokud heslo sedi tak pak spustit skript. Zatim se zda ze bud se skript spusti hned po zadani uziv. jmena a nebo az po prihlaseni.

    Zdenek
    www.pirati.cz - s piráty do parlamentu i jinam www.gavanet.org - czfree varnsdorf
    13.5.2009 12:47 VSi | skóre: 28
    Rozbalit Rozbalit vše Re: Aby PAM automaticky vytvářel uživatele.

    S tím využitím LDAPu jsem to asi navrhoval já, jsou v zásadě 2 možnosti:

    1) Instalace Services for Unix na Windows Server - tím se do AD LDAP schematu doplní položky jako UID a GID - vygeneruje je Windows Server při založení uživatele. Linux se pak napojí přes nss_ldap, čte seznam uživatelů přímo z AD pomocí LDAP protokolu. Ani se moc nedivím, že to takhle nechcete řešit, je to dost velký zásah do AD.

    2) Třeba každý den si pomocí skriptu na Linux serveru načíst seznam uživatelů z AD (můžete to omezit na některé skupiny / org. unit) a srovnat ho s /etc/passwd. Dostanete seznam uživatelů, kteří jsou v AD a nejsou v passwd - jim vytvoříte konta normálně pomocí useradd, zařadíte je do skupin, vygenerujete třeba nějaké výchozí nastavení desktopu - cokoliv je potřeba. V rámci toho zároveň zjistíte, že máte v passwd některé uživatele, kteří nejsou v AD - bud je rovnou smažete, nebo si ten seznam jen necháte poslat e-mailem.

    Že se vytvoří i uživatelé, kteří to nikdy nevyužijí, až tak nevadí. Budou existovat jen jako záznam v passwd (pokud tedy budete zakládat home adresáře přes PAM).

    Jinak chápu, že nechcete řešit plnou integraci AD přes sambu/winbind, takhle je to funkční a dostačující. Třeba někdo navrhne nějaké lepší řešení, ale tohle mi přijde jako potenciálně méně problémové, než "neprůhledný" pam_exec.

     

    Založit nové vláknoNahoru

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.