Canonical vydal (email, blog, YouTube) Ubuntu 24.04 LTS Noble Numbat. Přehled novinek v poznámkách k vydání a také příspěvcích na blogu: novinky v desktopu a novinky v bezpečnosti. Vydány byly také oficiální deriváty Edubuntu, Kubuntu, Lubuntu, Ubuntu Budgie, Ubuntu Cinnamon, Ubuntu Kylin, Ubuntu MATE, Ubuntu Studio, Ubuntu Unity a Xubuntu. Jedná se o 10. LTS verzi.
Na YouTube je k dispozici videozáznam z včerejšího Czech Open Source Policy Forum 2024.
Fossil (Wikipedie) byl vydán ve verzi 2.24. Jedná se o distribuovaný systém správy verzí propojený se správou chyb, wiki stránek a blogů s integrovaným webovým rozhraním. Vše běží z jednoho jediného spustitelného souboru a uloženo je v SQLite databázi.
Byla vydána nová stabilní verze 6.7 webového prohlížeče Vivaldi (Wikipedie). Postavena je na Chromiu 124. Přehled novinek i s náhledy v příspěvku na blogu. Vypíchnout lze Spořič paměti (Memory Saver) automaticky hibernující karty, které nebyly nějakou dobu používány nebo vylepšené Odběry (Feed Reader).
OpenJS Foundation, oficiální projekt konsorcia Linux Foundation, oznámila vydání verze 22 otevřeného multiplatformního prostředí pro vývoj a běh síťových aplikací napsaných v JavaScriptu Node.js (Wikipedie). V říjnu se verze 22 stane novou aktivní LTS verzí. Podpora je plánována do dubna 2027.
Byla vydána verze 8.2 open source virtualizační platformy Proxmox VE (Proxmox Virtual Environment, Wikipedie) založené na Debianu. Přehled novinek v poznámkách k vydání a v informačním videu. Zdůrazněn je průvodce migrací hostů z VMware ESXi do Proxmoxu.
R (Wikipedie), programovací jazyk a prostředí určené pro statistickou analýzu dat a jejich grafické zobrazení, bylo vydáno ve verzi 4.4.0. Její kódové jméno je Puppy Cup.
IBM kupuje společnost HashiCorp (Terraform, Packer, Vault, Boundary, Consul, Nomad, Waypoint, Vagrant, …) za 6,4 miliardy dolarů, tj. 35 dolarů za akcii.
Byl vydán TrueNAS SCALE 24.04 “Dragonfish”. Přehled novinek této open source storage platformy postavené na Debianu v poznámkách k vydání.
Oznámeny byly nové Raspberry Pi Compute Module 4S. Vedle původní 1 GB varianty jsou nově k dispozici také varianty s 2 GB, 4 GB a 8 GB paměti. Compute Modules 4S mají na rozdíl od Compute Module 4 tvar a velikost Compute Module 3+ a předchozích. Lze tak provést snadný upgrade.
26.9.2006 15:59
| Přečteno: 4247×
| Různé
| 
Správa uživatelských účtů ve větších sítích není jednoduchou záležitostí. Postupně v několika článcích zkusím ukázat jednu z možností jak správu uživatelů řešit.
Pod pojmem správa uživatelských účtů si nesmíme představit jen založení účtu a jeho zrušení, ale i přejmenování (nejčastěji vzniká tak, že se nějaká slečna vdá), případně změna pracovní pozice a z toho plynoucí změna v přístupových právech.
Každý z úkolů při správě uživatelů také většinou nemusí být pouze jeden useradd nebo userdel, ale může se jednat o docela velké schvalovací kolečko s hromadou lejster případně spoluprací několika lidí najednou.
Často bývá také vhodné delegovat některé činnosti na různé lidi ať už lidi z personálního oddělení, administrátory jednotlivých systémů nebo vedoucí oddělení. Proč by měl chodit uživatel kvůli zapomenutému heslu za administrátorem, když si může dojít například za svým vedoucím oddělení?
Pro představu proč vůbec řešit správu uživatelů si můžeme vzít například nějakou fiktivní firmu. Nový zaměstnanec je zaveden do nějakého systému pro vedení záznamů o lidech. Je vyplněn papír a poslán administrátorům aby mu založili účet v Active Directory a na mailserveru. Uživatel pak jde na recepci kde ho slečna zapíše do docházkového systému a přidělí mu kartu.
Teď už se uživatel sice dostane do Windows a k poště, ale protože potřebuje pracovat ještě s dalšími nástroji, tak bude řešit koho požádat a co vše vlastně potřebuje pro založení účtů. Vyplní lejstra, nechá schválit šéfem a jde za adminem. Admin nemá čas, takže se to bude řešit až zítra...
Uživatel se tak dostane ke všem pracovním nástrojům po několika dnech.
Věřím, že si hned řeknete "tak prostě uděláme centrální úložiště uživatelů někde v LDAPu a uživatel se bude zakládat jen jednou". Centrální úložiště je možná na první pohled jednoduché řešení, ale počáteční nadšení vyprchá když se to má skutečně používat.
Některé systémy nemají možnost připojení k nějakému centrálnímu adresářovému serveru nebo databázi. Jiné systémy tu možnost sice mají, ale zase vyžadují nějaký formát loginů, který není použitelný ve zbytku sítě. No a někdy máte prostě tolik uživatelů a systémů, že převod do jiného systému je prakticky nerealizovatelný bez měsíční odstávky.
Snad každá větší firma vám nabídne řešení tohoto problému. Zkuste se poptat u IBM, Oracle, SUNu nebo třeba Novellu a každá z těchto firem se na vás vytasí se svým Identity Managerem.
Těm kteří mě znají musí být jasné, že budu psát o Identity Manageru od SUNu (dále jen IdM). Nechci zde dělat nějakou marketingouvou akci, spíš bych to viděl na několik (zatím 3) technicky zaměřených článků, které vás s tímto produktem seznámí po a umožní si ho nainstalovat a vyzkoušet.
Rád bych to nechal zveřejnit jako klasický článek, ale tohle jsem zatím dal do blogu, protože je to potřeba "učesat" a trochu předělat/aktualizovat.
Dnes to bude jen pár odkazů k SUNu a seznam programů, které je možné spravovat, příště zkusím popsat trochu víc o co přesně jde.
Následující seznam obsahuje soupis standardně podporovaných systémů, ke kterým se IdM může připojit a spravovat v nich uživatelské účty
Pokud tu nějaký systém nenajdete, tak to vůbec nic neznamená, je totiž možné buď připojit systém pomocí skriptovacích konektorů nebo napsat vlastní konektor na míru.
Všechny systémy až na Active Directory se připojují bez nutnosti instalace nějakého agenta nebo modifikace programu, IdM s nimi komunikuje napřímo. U Active Directory je třeba na jeden počítač v doméně nainstalovat tzv. Gateway, která zpřístupní AD do IdM.
Následující text je jednoduchý návod na instalaci Sun Java Identity Manageru verze 5. Dnes je aktuální verze 6 (service pack 1) s tím, že byla ohlášena verze 7. V dnešní verzi už nemusíte žádat u SUNu o licenci, takže instalace IdM je snadnější.
Sun Java System Identity Manager (dále jen IDM) slouží pro centralizovanou správu identit. Umožňuje plně kontrolovat a přidělovat práva pro přístup k jednotlivým službám na síti. Automatizuje spoustu úkonů potřebných pro kvalitní správu identit. Pomocí IDM lze delegovat pravomoce na jiná než IT oddělení. Uživatelé si své požadavky vyřeší sami, nemusejí kvůli tomu volat IT.
Sun Identity Manager 5.0 je produkt koupený od společnosti Waveset. Dřív se jmenoval Waveset Ligthouse v 4.1.
Pro běh IDM je třeba Java (použijeme JRE 1.4.2 od SUNu) a aplikační server. Dále potřebujeme nějaké úložiště dat. Sice lze ukládat do souborů v režii IDM, ale to není moc vhodné. Pro snadnou dostupnost použijeme třeba MySQL databázi. Protože je IDM kompletně v javě, může běžet na různých operačních systémech.
Oficiálně podporované operační systémy
AIX 4.3.3, 5.2
HP-UX 11i v1
Microsoft Windows 2000 SP3 a novější
Microsoft Windows 2003
Solaris™ 7 Operating System (OS), Solaris 8 OS, Solaris 9 OS
Red Hat Linux Advanced Server 2.1, 3.0
Red Hat je jediná oficiálně podporovaná distribuce Linuxu, ale aplikace samozřejmě běhá i na ostatních. Vyzkoušené mám Slackware 9.1-10.1 a Debian Sarge. Ve Slackware i v Debianu jsem použil tu samou verzi Tomcatu a Javy. Instalaci máme vyzkoušenou také na Microsoft Windows 2003 a Microsoft Windows 2000.
Instalační balíček Javy pro váš operační systém lze
stáhnout na stránce java.sun.com, doporučuji verzi J2EE 1.4 SDK.
Javu na Linuxu instaluji vždy do adresáře /opt/java/. Je dobré nastavit si v
~/.bashrc proměnou
JAVA_HOME=/opt/java/ a PATH=/opt/java/bin:$PATH. Pokud nyní spustíte
java -version
měli byste dostat podobný výstup:
Příklad 1.1. java -version
[tsunami@vodik]$java -versionjava version "1.4.2" Java(TM) 2 Runtime Environment, Standard Edition (build 1.4.2-b28) Java HotSpot(TM) Client VM (build 1.4.2-b28, mixed mode)
Nepokoušejte se rozebíhat na Debianu Tomcat s distribuční Javou (není to ta od SUNu), pokud se vám Tomcat rozeběhne, tak stejně nebude IDM fungovat.
Podporované aplikační servery
Jako aplikační server použijeme Tomcat. Instaloval jsem Tomcat na OS Linux a na každé zkoušené distribuci to bylo trochu jiné. Pokud chcete využít balíčkovacího systému své distribuce, najděte si k tomu manuál.
Postupně jsem si odladil jednu instalaci, kterou používám všude. Protože je Tomcat aplikace napsané v Javě, můžu si ji zabalit do archívu a přenést na jiný počítač s jinou distribucí Linuxu aniž by to mělo větší vliv na funkčnost.
Návod na instalaci a správu tomcatu tu psát nebudu, ale pokud bude zájem tak to mohu udělat.
Pro ukládání dat lze použít následující úložiště:
Úložiště dat
Lokální soubory
MySQL 4.0.x, 4.1.x
Oracle 8i and Oracle 9i
IBM DB2 Universal Database pro Linux, UNIX® a Microsoft Windows (verze 7.0, 7.2)
Microsoft SQL Server 2000
JDBC 2.0 Data Source
Sun Java System Directory Server 5.2
Základní instalaci jsem prováděl s databází MySQL.
Instalaci MySQL databáze proveďte podle postupů obvyklých
ve vaší distribuci Linuxu. Založení databáze a nastavení
práv pro uživatele waveset pro přístup k ní
se provede pomocí SQL skriptu dodávaném s IDM.
Instalace IDM je celkem jednoduchá. Spouští se pomocí
skriptu ./install a předpokládá, že máte
správně nastavenou proměnou JAVA_HOME. Nainstalujte IDM do adresáře
/opt/tomcat/webapps/idm.
Utilitu pro nastavení (Setup) přeskočte a ukončete
instalaci.
Pro počáteční nastavení IDM potřebujeme podporu pro
MySQL do Javy (JDBC). Knihovnu si najděte na Internetu a umístěte ji do /opt/tomcat/webapps/idm/WEB-INF/lib/.
Nastavte si proměnou prostředí WSHOME (export WSHOME=/opt/tomcat/webapps/idm
a spusťte $WSHOME/bin/lh setup.
Mělo by na vás vyskočit okno podobné tomu na obrázku
1.1 – „Sun Setup
Wizard“.
Dialog odklikneme a nastavíme připojení k databázi
(Obrázek 1.2 – „Locate IDM
Repository“). Předvolený uživatel je waveset s heslem
waveset.
Samozřejmě je možné mít MySQL na jiném stroji než
localhost, záleží jak si vše nastavíte. Pokud je někde v
nastavení chyba nebo jste nenakopírovali do $WSHOME/WEB-INF/libmysqljdbc.jar, nástroj vás na
to upozorní, zkouší se totiž na MySQL databázi
připojit.
Naimportujte licenční xml soubor, mělo by se ukázat zda je licence v pořádku (1.3 – „License Key“).
Poslední dialog (1.4 – „Import XML
Files“) umožňuje naimportovat výchozí konfiguraci,
udělejte to kliknutím na tlačítko . Soubor /opt/tomcat/webapps/idm/sample/idm.xml by
měl být automaticky předvolený. Po ukončení programu
restartujte aplikační server aby se načetly všechny
změny.
Instalaci IDM spustíme a provedeme do adresáře
/opt/idm. IDM si s sebou nese
šifrovací knihovny, standardní instalace aplikačního
serveru od SUNu má ale svoje, takže ty z IDM smažeme. Z
adresáře /opt/idm/WEB-INF/lib/ smažeme soubory
cryptix-jce*. Dále je třeba
do adresáře /opt/idm/WEB-INF/lib/ nakopírovat
knihovnu providerutil.jar.
Nastavíme WSHOME na
/opt/idm a provdeme
konfiguraci pomocí $WSHOME/bin/lh setup. Data
jsem ládoval do Directory serveru dodávaného spolu s
aplikačním serverem v rámci balíku Sun Java Enterprise System.
Instalace IDM do aplikačního serveru se skládá ze dvou kroků. Nejdříve pomocí programu jar (cd /opt/idm; jar cvf ../idm.war *) vyrobíme /opt/idm.war, který potom vnutíme aplikačnímu serveru. Příkaz pro deploy aplikace do aplikačního serveru (vše na jednom řádku): /opt/SUNWappserver7/bin/asadmin deploy --user admin --name idm --password HesloAdmina /opt/idm.war.
V případě, že máte v aplikačním serveru instalován
program Access
Manager, je třeba v souboru /etc/opt/SUNWam/config/AMConfig.properties
upravit jeden řádek (com.sun.identity.jss.donotInstallAtHighestPriority=true).
Po této úpravě se může stát, že budete mít problémy s
ověřením do AM pomocí klientského certifikátu. Vše je
způsobeno tím, že takzvaný security provider se sdílí
napříč celou JVM a není izolován pouze v dané aplikaci.
Bohužel chyba vypisované při konfliktu s AM nic nanpoví:
java.lang.IllegalStateException: Error initializing Encryptor: null
Lepší způsob je udělat si druhou instanci aplikačního serveru a do něj nainstalovat pouze IDM. Neváhodou je, že to spotřebuje víc paměti, protože je to další běžící aplikační server. Také potřebujete další TCP port, na kterém bude druhý aplikační server poslouchat.
Následující věty platí, pokud jste pro instalaci použili mnou udělaný archív s aplikačním serverem Tomcat a postupovali jste dle mého návodu. V případě, že jste prováděli jinou instalaci se můžou některé údaje lišit a budete se muset přizpůsobit.
Po nastartování databáze a aplikačního serveru pomocí
příkazů /etc/init.d/mysql start a
/etc/init.d/tomcat start
byste měli na TCP portu 8080 najít výchozí stránku
aplikačního serveru. Login a heslo pro aplikační server
jsou nastaveny v souboru /opt/tomcat/conf/tomcat-users.xml.
Soubor obsahuje nezašifrované hesla! Největší práva pro
aplikační server a má uživatel "admin" s výchozím heslem
"athttp".
Základní adresy pro správu Tomcatu
http://localhost:8080/ - "domácí" stránka Tomcatu
http://localhost:8080/manager/status - Server Status
http://localhost:8080/admin/ - Tomcat Web Server Administration Tool
http://localhost:8080/manager/html - Tomcat Web Application Manager
http://localhost:8080/idm - Identity Manager
Pro někoho je zajímavá možnost zadat jako další resource XML soubor, do kterého se budou zapisovat vytváření uživatelé. Postup pro vytvoření takového souboru:
Definice nového zdroje
Pro připojení IDM k Microsoft Windows řady NT je třeba zvláštní gateway. Gateway beží na Windows jako služba a umožňuje práci s uživatelskými účty.
Rozbalte archív gateway.zip umístěný v adresáři IDM5.0
na CD-ROM. Osobně jsem pro umístění do adresáře
c:\idmgw\. Spusťte si
příkazový řádek (, cmd) a v něm proveďte instalaci
brány (gateway -i) a její prní
spuštění (gateway -s). Gateway se
pak ve výpisu služeb objeví pod názvem Sun Identity Manager
Gateway.
Konektor pro RedHat Linux je dodáván standardně s IDM. Připojení je možné přes protokol SSH nebo Telnet. Konektor je napsán trochu nešikovně a neumožňuje spolupráci například s distribucí Debian. Je to způsobeno využíváním parametru pro program useradd, který je v Debianu trochu jiný než v RedHatu.
Resource adaptér pro Sun ONE Identity Server (Access
Manager) je dostupný jako com.waveset.adapter.SunISResourceAdapter
Pokud provozujete Sun ONE Identity Server na jiném systému než IDM, tak je třeba provést pár kroků pro jeho integraci do IDM.
Vytvoříme adresář /opt/SUNWam do kterého
nakopírujeme potřebné knihovny Identity
Serveru.
Do adresáře /opt/SUNWam nakopírujte soubory
lib/*.*, locale/*.properties, config/serverconfig.xml a
configu/ums/ums.xml.
Soubory skutečně jen nakopírujte, nevytvářejte pro
ně odpovídající adresářové struktury. Je vhodné
povolit přístup k soubrům (chmod a+r
/opt/SUNWam/*).
Do proměnné CLASSPATH
je třeba přidat /opt/SUNWam:/opt/SUNWam/am_sdk.jar:/opt/SUNWam/am_services.jar:/opt/SUNWam/am_logging.jar
(CLASSPATH=CLASSPATH:/opt/SUNWam:/opt/SUNWam/am_sdk.jar:/opt/SUNWam/am_services.jar:/opt/SUNWam/am_logging.jar).
Pro Identity Server verze 6.0 je potřeba předat javě parametr -Dcom.iplanet.coreservices.configpath=/opt/SUNWam.
Pokud požíváte verzi 6.1, tak upravte v
souboru/opt/SUNWam/AMConfig.properties
com.iplanet.services.configpath=/opt/SUNWam com.iplanet.security.SecureRandomFactoryImpl=com.iplanet.am.util.SecureRandomFactoryImpl com.iplanet.security.SSLSocketFactoryImpl=netscape.ldap.factory.JSSESocketFactory com.iplanet.security.encryptor=com.iplanet.services.util.JCEEncryption
Nakopírujte soubory /opt/SUNWam/am_*.jar do adresáře
$WSHOME/WEB-INF/libjss311.jar.
Lokalizace do češtiny je v ČR jedním z důležitých úkolů při implementaci téměř kteréhokoliv programu, se kterým se mají setkávat běžní netechnicky vzdělaní uživatelé.
Pro správné zacházení s diakritikou v ukládaných datech o uživatelích je třeba nastavit parametry připojení pomocí jdbc (Obrázek 1.2 – „Locate IDM Repository“). Parametr se zadává na konec URL. Výsledné URL vypadá takto:
jdbc:mysql://localhost/waveset?useUnicode=true&characterEncoding=utf-8
Další díly budou asi trochu učesanější. Nejdřív představím IdM, nastíním co vše umí, ukážu administrátorské a uživatelské rozhraní. Zkusím také vymyslet nějakou firmu a pár základních procesů na kterých si ukážeme možnosti IdM. Nainstalujeme si poslední verzi Identity Manageru, připravíme testovací prostředí a procesy pro správu lidí do IdM zapracujeme.
Tiskni
Sdílej:
26.9.2006 17:59
freshmouse | skóre: 42
| blog: Bruno Banány
Rád bych to nechal zveřejnit jako klasický článek, ale tohle jsem zatím dal do blogu, protože je to potřeba "učesat" a trochu předělat/aktualizovat.A to mi právě přijde dost nefér vůči lidem, co čtou blogy i články. No nic. Tohle mi prostě vadí a nerad bych, aby se to stalo zvykem. Takže se musím ozvat, když to dělá dosti respektovaný člen zdejšího osazenstva.
To téma je dost obsáhlé a tohle je spíš jen taková upoutávka...
26.9.2006 23:29
Luk | skóre: 47
| blog: Kacířské myšlenky
| Kutná Hora
Co kdyby to takhle dělal každý?No, já už jsem to asi dvakrát udělal. Ale vždycky to bylo tak, že jsem to původně psal jen pro blog, článek jsem z toho udělal až na Robertovu žádost, a snažil jsem se do článku nacpat co nejvíc dalších informací.
26.9.2006 17:02
freshmouse | skóre: 42
| blog: Bruno Banány
27.9.2006 16:09
Luk | skóre: 47
| blog: Kacířské myšlenky
| Kutná Hora
27.9.2006 21:08
Luk | skóre: 47
| blog: Kacířské myšlenky
| Kutná Hora
Neco jako Solaris. Muzu si ho stahnout a nainstalovat, ale kdyz chci aktualizace tak musim platit.Ano, je to tak. Podpora včetně aktualizací je až po zaplacení. Podobně jako třeba u Red Hat Enterprise Linuxu.
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
26.9.2006 17:53