Vláda Spojených států získala desetiprocentní podíl v americkém výrobci čipů Intel. Oznámili to podle agentur americký prezident Donald Trump a ministr obchodu Howard Lutnick. Společnost Intel uvedla, že výměnou za desetiprocentní podíl obdrží státní dotace v hodnotě 8,9 miliardy dolarů (zhruba 186 miliard Kč). Částka podle Intelu zahrnuje dříve přislíbené subvence 5,7 miliardy dolarů z programu CHIPS na podporu výroby čipů v USA,
… více »Organizace Apache Software Foundation (ASF) vydala verzi 27 integrovaného vývojového prostředí a vývojové platformy napsané v Javě NetBeans (Wikipedie). Přehled novinek na GitHubu. Instalovat lze také ze Snapcraftu a Flathubu.
Knihovna FFmpeg byla vydána ve verzi 8.0 „Huffman“. Přibyla mj. podpora hardwarově akcelerovaného kódování s využitím API Vulcan, viz seznam změn.
Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal Zprávu o stavu kybernetické bezpečnosti ČR za rok 2024 (pdf). V loňském roce NÚKIB evidoval dosud nejvíce kybernetických bezpečnostních incidentů s celkovým počtem 268. Oproti roku 2023 se však jedná pouze o drobný nárůst a závažnost dopadů evidovaných incidentů klesá již třetím rokem v řadě. V minulém roce NÚKIB evidoval pouze jeden velmi významný incident a významných incidentů bylo zaznamenáno 18, což oproti roku 2023 představuje pokles o více než polovinu.
Byl publikován aktuální přehled vývoje renderovacího jádra webového prohlížeče Servo (Wikipedie). Servo mimo jiné nově zvládne animované obrázky APNG a WebP.
Na chytré telefony a počítačové tablety v Rusku bude od začátku příštího měsíce povinné předinstalovávat státem podporovanou komunikační aplikaci MAX, která konkuruje aplikaci WhatsApp americké společnosti Meta Platforms. Oznámila to dnes ruská vláda. Ta by podle kritiků mohla aplikaci MAX používat ke sledování uživatelů. Ruská státní média obvinění ze špehování pomocí aplikace MAX popírají. Tvrdí, že MAX má méně oprávnění k přístupu k údajům o uživatelích než konkurenční aplikace WhatsApp a Telegram.
Společnost PINE64 stojící za telefony PinePhone nebo notebooky Pinebook publikovala na svém blogu srpnový souhrn novinek. Kvůli nedostatečnému zájmu byla ukončena výroba telefonů PinePhone Pro.
Po pěti měsících vývoje byla vydána nová verze 0.15.1 programovacího jazyka Zig (GitHub, Wikipedie). Verze 0.15.0 byla přeskočena. Přispělo 162 vývojářů. Přehled novinek v poznámkách k vydání.
Před sedmi lety společnost Valve představila fork projektu Wine s názvem Proton umožňující v Linuxu přímo ze Steamu hrát počítačové hry do té doby běžící pouze ve Windows. Aktuální přehled podporovaných her na stránkách ProtonDB
Společnost DuckDuckGo rozšířila svůj AI chat Duck.ai o GPT-5 mini (𝕏). Duck.ai umožňuje anonymní přístup bez vytváření účtů k několika modelům umělé inteligence. Aktuálně k GPT-4o mini, GPT-5 mini, Llama 4 Scout, Claude Haiku 3.5 a Mistral Small 3.
Smrtelník, pardon uživatel, toužící využít systémů a služeb spravovaných tajemnými guruy, se musí nejprve představit – autentizovat, aby mohlo být ověřeno, jestli patří do skupiny vyvolených, kterým bylo administrátory milostivě přiznáno právo vstoupit.
Zapomeňme teď na všechny ty moderní nesmysly, jako jsou čipové karty, otisky prstů nebo obrazy oční sítnice či duhovky, a předpokládejme, že se uživatel autentizuje pomocí svého uživatelského jména a hesla.
Přestože se administrátoři a uživatelé od sebe v mnoha věcech zásadním způsobem liší, jednu věc mají společnou. Je to lenost. Lenost je hnací silou veškerého pokroku. U obou skupin se tato kladná povahová vlastnost projevuje odlišně. Uživatel nechce a možná ani není schopen pamatovat si víc než jedno heslo a nehodlá toto heslo psát znova a znova, když přistupuje k různým službám v síti. Administrátor, hodný tohoto jména, není ochoten obtěžovat se vytvářením účtu konkrétního uživatele více než jednou, přestože jeho síť obsahuje stovky systémů, ke kterým má mít daný uživatel přístup.
Že je dobré mít jednu centrální databázi uživatelských účtů a skupin, objevili již mistři, kteří v dávné historii stáli u zrodu tajemného umění administrace. Jejich nesmělé pokusy typu NIS se z pohledu dnešní doby zdají být poněkud staromódní. Byli tu i odvážlivci, kteří následovali nové učení Windows domén, aby následně zcela přetvořili svoji víru a začali vzývat božstvo Active Directory. Toto nové náboženství však není zcela původní. Převzalo zvyky a obyčeje zvané Kerberos a LDAP, které velmi dobře slouží výše popisovanému účelu v unixovém světe a i za jeho hranicemi.
Kerberos, jehož jméno nápadně připomíná bájného psa strážícího vstup do podsvětí, je služba pro centrální autentizaci. Na webu MIT, kde jej vytvořili, najdete definici, která říká, že Kerberos je protokol pro autentizaci po síti navržený tak, aby poskytoval silnou autentizaci pro klient/server aplikace založenou na šifrování pomocí tajného klíče (secret-key cryptography). Kerberos má jednu báječnou vlastnost, a tou je Single Sign-on ve zkratce SSO. SSO nám umožňuje zadat jméno a heslo pouze jednou např. při přihlášení k PC a pak již můžeme přistupovat ke kerberizovaným službám v síti bez nutnosti přihlašovací údaje zadávat znova. Jak pohodlné a přitom bezpečné.
O konfiguraci serverové i klientské části Kerbera si povíme v druhém díle tohoto seriálu a nakonec se pomocí Kerbera do PC přihlásíme. Jistě si říkáte, že takovou ďábelskou věc musí být určitě velmi složité rozchodit. Opak je pravdou. Je to jednodušší, než by se mohlo zdát. My se na Kerberos budeme dívat jako na centrální databázi a sadu klientského a serverového softwaru, který nám pomůže uživatele ověřit pomocí jména a hesla při přihlášení do PC, popř. pomocí SSO při přístupu k nějaké službě.
Uživatelský účet, to není jenom jméno a heslo. Každý uživatel, který chce spokojeně existovat v unixovém světě, potřebuje UID, GID, login shell a domácí adresář. Jedinci, kteří netrpí nějakou poruchou sociálního chování nebo přímo duševní chorobou, obvykle vyžadují, aby byli zařazeni do skupin. Tyto informace by také bylo dobré spravovat pomocí centralizované databáze, Kerberos to však neumí a myslím, že asi ani umět nechce. Budeme si muset vzít do party dalšího kamaráda. Jmenuje se LDAP. Adresářové služby nám umožní centrálně uložit a sdílet všechny informace, které bychom na samostatném systému našli v /etc/passwd a /etc/group. Avšak nejen to. LDAP nám umožní uložit i spoustu dalších informací o uživateli, jako je např. jeho e-mailová adresa. Tuto informaci může využít třeba doručovací poštovní server. Můžeme tak uživateli najednou spolu s uživatelským účtem založit i e-mailovou schránku. S LDAPem toho jde dělat mnohem, mnohem víc. Fantazii se meze nekladou.
Ve čtvrtém díle tohoto seriálu si konečně vyzkoušíme SSO. Pokusíme se přesvědčit SSH, aby po nás nechtělo heslo a ověřilo si naši identitu pomocí Kerbera. Když se nám to podaří, naše administrátorské sebevědomí rapidně vzroste.
Každá správná podniková síť musí mít také centrální souborový server. To je služba jako každá jiná. I tam je autentizace na místě. Jednotná UID a GID v celé síti se také hodí, máme-li serverů více. Co na to použijeme. NFS2/3? Ne, to žádnou bezpečnou autentizaci nepoužívá. To nechceme. CIFS? Ne, působí na Linuxu cize. AFS? Zajímavá volba. Používá Kerbera pro autentizaci. Údajně je dost složité. Necháme si ho raději na jindy. Tak co tedy? NFS4! Používá Kerbera a na Linuxu je jako doma. O konfiguraci serveru a klienta NFS4 si povíme v pátém díle seriálu.
Souborový server už máme, ale jde to i jinak. CIFS jsem v předchozím textu označil za cizorodý prvek. Teď se mu za to omlouvám a beru jej zpět do klubu. O konfiguraci Samby jako CIFS serveru s Kerberos autentizací vám něco prozradím v šestém díle seriálu.
Už jsem vám říkal, jak Apache a Firefox umějí Kerberos? Ne? Tak vám o tom povím v sedmém díle. Mohlo by se to jmenovat: „Přihlášení k firemnímu intranetu snadno a rychle“.
Občas je dobré, aby se uživatel mohl „přihlásit k LDAPu“ (LDAP bind operace). Lze to s výhodou použít jako metodu autentizace u služeb, které nepodporují Kerberos, ale zato podporují LDAP. Dále se to hodí, když chceme autentizovanému uživateli umožnit měnit některé informace v LDAPu. To by nebyl problém, kdybychom u každého uživatele měli v LDAPu uloženo heslo nebo jeho hash. Jenže to my nemáme. My se autentizujeme pomocí Kerbera. Co s tím budeme dělat? Prostě ten LDAP s Kerberem integrujeme v osmém díle seriálu.
Jak si tak vesele konfigurujeme podporu Kerbera a LDAPu u všeho možného v naší krásné vypiplané síti, pomalu v nás hlodá pochybnost, že kdyby nám náhodou ten Kerberos nebo LDAP „lehnul“, tak se můžeme jít klouzat. V devátém díle seriálu si povíme, jak nakonfigurovat záložní servery Kerbera a LDAPu a zajistit si tak vysokou dostupnost těchto kritických služeb.
Konfigurace klientské části Kerbera vyžaduje údaje, které se mohou v průběhu provozu měnit, jako jsou např. jména Kerberos serverů. Měnit konfigurační soubory na všech klientech, to není nic pro nás velké adminy. Naštěstí můžeme klienty komandovat centrálně. Pomůže nám v tom DNS v desátém díle seriálu.
Veškerá kouzla budu předvádět na distribuci Mandriva Linux 2007.1 (Spring). Pokud tato distribuce není zrovna vaše oblíbená, neděste se. Popisované postupy, snad kromě instalace balíčků, budou zcela univerzální a na distribuci nezávislé. Budeme používat Kerberos software z MIT, i když i s distribucí s Heimdal bychom dokázali dosáhnout zcela shodných výsledků.
Když jsem se poprvé vrhl na tuto problematiku, musel jsem se prokousat několika návody, které se snažily většinou o dokonalou konfiguraci. Což se jim stejně nepodařilo. Příklady konfiguračních souborů obsahovaly spousty nastavení, která pro pochopení základů konfigurace Kerbera a LDAPu nebyla vůbec nutná. V tomto seriálu se rozhodně nebudeme snažit o dokonalou, supervýkonnou a ultrabezpečnou konfiguraci. Pouze si ukážeme, jak to všechno základním způsobem rozchodit. Mojí snahou je, aby seriál podnítil zájem co možná nejvíce odvážných experimentátorů, kteří rychle rozjedou svůj první Kerberos a pěkně si s ním pohrají, jako jsem si pohrál já, protože to je to, oč tu běží.
Nástroje: Tisk bez diskuse
Tiskni
Sdílej:
slapcat > /backup/ldap/slapd-$(date +%Y%m%d-%H%M%S)
pam_exec
) třeba rsync a lokální domovský adresář uživatele synchronizovat se serverem. V případě, že server není dostupný, je na lokálním harddisku k dispozici poslední verze domácího adresáře.