Vojenské zpravodajství (VZ) se v březnu zapojilo do mezinárodní operace proti aktivitám hackerské skupiny APT28, která je spojovaná s ruskou vojenskou zpravodajskou službou GRU a která přes slabě zabezpečené routery prováděla kybernetické útoky na státní a další organizace v ČR i zahraničí. Operaci vedl americký Federální úřad pro vyšetřování (FBI) a jejím cílem bylo odebrat útočníkům přístup k napadeným zařízením a ty následně … více »
Tvůrcem nejpopulárnější kryptoměny bitcoin, který se skrývá za pseudonymem Satoši Nakamoto (Satoshi Nakamoto), je britský kryptograf Adam Back. Na základě vlastní investigativní práce to tvrdí americký deník The New York Times (NYT). Několik indicií podle autorů jasně ukazuje na to, že Back a Nakamoto jsou stejný člověk. Jde mimo jiné o podobný odborný a osobnostní profil či totožné chyby a manýry v psaném projevu.
Google Chrome 147 byl prohlášen za stabilní. Nejnovější stabilní verze 147.0.7727.55 přináší řadu novinek z hlediska uživatelů i vývojářů. Podrobný přehled v poznámkách k vydání. Vylepšeny byly také nástroje pro vývojáře. Přehled novinek v Chrome DevTools 145 až 147 také na YouTube.
Vývojáři z Laboratoří CZ.NIC vydali nové verze aplikací Datovka (Datovka 4.29.0, Mobilní Datovka 2.6.2). V případě desktopové verze přibyly možnosti projít všechny uložené zprávy, zkontrolovat časy expirací časových razítek a přerazítkovat datové zprávy, které lze v ISDS přerazítkovat. Novinkou je také možnost vytahovat myší ze seznamu ZFO soubory datových zpráv, tento úkon jde udělat i pomocí tlačítek Ctrl+C. Nová verze Mobilní Datovky přináší jen drobné úpravy.
MicroPython (Wikipedie), tj. implementace Pythonu 3 optimalizovaná pro jednočipové počítače, byl vydán ve verzi 1.28.0. Z novinek lze vypíchnout novou třídu machine.CAN.
Michael Meeks, CEO společnosti Collabora, na apríla oznámil, nebyl to ale apríl, že nadace The Document Foundation zastřešující vývoj kancelářského balíku LibreOffice vyloučila ze svých řad všechny zaměstnance a partnery společnosti Collabora, tj. více než třicet lidí, kteří po mnoho let přispívali do LibreOffice. Nadace The Document Foundation po několika dnech publikovala oficiální vyjádření. Přiznává pochybení při zakládání
… více »Protože je už po aprílu, můžou strahováci opět zveřejnit program další Virtuální Bastlírny, aniž by připravená témata působila dojmem, že jde o žert. Vězte tedy, že v úterý 14. dubna (změna!!!) od 20:00 proběhne VB, kde se setkají bastlíři, technici, učitelé i nadšenci do techniky a kde i vy se můžete zapojit do družného hovoru, jako by všichni seděli u pomyslného piva. Co mají bastlíři tento měsíc na srdci? Pravděpodobně by nás musel zasáhnout
… více »Byla vydána verze 26.1 aneb čtvrtletní aktualizace open source počítačového planetária Stellarium (Wikipedie, GitHub). Vyzkoušet lze webovou verzi Stellaria na Stellarium Web.
VOID (Video Object and Interaction Deletion) je nový open-source VLM model pro editaci videa, který dokáže z videí odstraňovat objekty včetně všech jejich fyzikálních interakcí v rámci scény (pády, kolize, stíny...) pomocí quadmaskingu (čtyřhodnotová maska, která člení pixely scény do čtyř kategorií: objekt určený k odstranění, překrývající se oblasti, objektem ovlivněné oblasti a pozadí scény) a dvoufázového inpaintingu. Za projektem stojí výzkumníci ze společnosti Netflix.
Design (GitHub) je 2D CAD pro GNOME. Instalovat lze i z Flathubu. Běží také ve webovém prohlížeči.
Smrtelník, pardon uživatel, toužící využít systémů a služeb spravovaných tajemnými guruy, se musí nejprve představit – autentizovat, aby mohlo být ověřeno, jestli patří do skupiny vyvolených, kterým bylo administrátory milostivě přiznáno právo vstoupit.
Zapomeňme teď na všechny ty moderní nesmysly, jako jsou čipové karty, otisky prstů nebo obrazy oční sítnice či duhovky, a předpokládejme, že se uživatel autentizuje pomocí svého uživatelského jména a hesla.
Přestože se administrátoři a uživatelé od sebe v mnoha věcech zásadním způsobem liší, jednu věc mají společnou. Je to lenost. Lenost je hnací silou veškerého pokroku. U obou skupin se tato kladná povahová vlastnost projevuje odlišně. Uživatel nechce a možná ani není schopen pamatovat si víc než jedno heslo a nehodlá toto heslo psát znova a znova, když přistupuje k různým službám v síti. Administrátor, hodný tohoto jména, není ochoten obtěžovat se vytvářením účtu konkrétního uživatele více než jednou, přestože jeho síť obsahuje stovky systémů, ke kterým má mít daný uživatel přístup.
Že je dobré mít jednu centrální databázi uživatelských účtů a skupin, objevili již mistři, kteří v dávné historii stáli u zrodu tajemného umění administrace. Jejich nesmělé pokusy typu NIS se z pohledu dnešní doby zdají být poněkud staromódní. Byli tu i odvážlivci, kteří následovali nové učení Windows domén, aby následně zcela přetvořili svoji víru a začali vzývat božstvo Active Directory. Toto nové náboženství však není zcela původní. Převzalo zvyky a obyčeje zvané Kerberos a LDAP, které velmi dobře slouží výše popisovanému účelu v unixovém světe a i za jeho hranicemi.
Kerberos, jehož jméno nápadně připomíná bájného psa strážícího vstup do podsvětí, je služba pro centrální autentizaci. Na webu MIT, kde jej vytvořili, najdete definici, která říká, že Kerberos je protokol pro autentizaci po síti navržený tak, aby poskytoval silnou autentizaci pro klient/server aplikace založenou na šifrování pomocí tajného klíče (secret-key cryptography). Kerberos má jednu báječnou vlastnost, a tou je Single Sign-on ve zkratce SSO. SSO nám umožňuje zadat jméno a heslo pouze jednou např. při přihlášení k PC a pak již můžeme přistupovat ke kerberizovaným službám v síti bez nutnosti přihlašovací údaje zadávat znova. Jak pohodlné a přitom bezpečné.
O konfiguraci serverové i klientské části Kerbera si povíme v druhém díle tohoto seriálu a nakonec se pomocí Kerbera do PC přihlásíme. Jistě si říkáte, že takovou ďábelskou věc musí být určitě velmi složité rozchodit. Opak je pravdou. Je to jednodušší, než by se mohlo zdát. My se na Kerberos budeme dívat jako na centrální databázi a sadu klientského a serverového softwaru, který nám pomůže uživatele ověřit pomocí jména a hesla při přihlášení do PC, popř. pomocí SSO při přístupu k nějaké službě.
Uživatelský účet, to není jenom jméno a heslo. Každý uživatel, který chce spokojeně existovat v unixovém světě, potřebuje UID, GID, login shell a domácí adresář. Jedinci, kteří netrpí nějakou poruchou sociálního chování nebo přímo duševní chorobou, obvykle vyžadují, aby byli zařazeni do skupin. Tyto informace by také bylo dobré spravovat pomocí centralizované databáze, Kerberos to však neumí a myslím, že asi ani umět nechce. Budeme si muset vzít do party dalšího kamaráda. Jmenuje se LDAP. Adresářové služby nám umožní centrálně uložit a sdílet všechny informace, které bychom na samostatném systému našli v /etc/passwd a /etc/group. Avšak nejen to. LDAP nám umožní uložit i spoustu dalších informací o uživateli, jako je např. jeho e-mailová adresa. Tuto informaci může využít třeba doručovací poštovní server. Můžeme tak uživateli najednou spolu s uživatelským účtem založit i e-mailovou schránku. S LDAPem toho jde dělat mnohem, mnohem víc. Fantazii se meze nekladou.
Ve čtvrtém díle tohoto seriálu si konečně vyzkoušíme SSO. Pokusíme se přesvědčit SSH, aby po nás nechtělo heslo a ověřilo si naši identitu pomocí Kerbera. Když se nám to podaří, naše administrátorské sebevědomí rapidně vzroste.
Každá správná podniková síť musí mít také centrální souborový server. To je služba jako každá jiná. I tam je autentizace na místě. Jednotná UID a GID v celé síti se také hodí, máme-li serverů více. Co na to použijeme. NFS2/3? Ne, to žádnou bezpečnou autentizaci nepoužívá. To nechceme. CIFS? Ne, působí na Linuxu cize. AFS? Zajímavá volba. Používá Kerbera pro autentizaci. Údajně je dost složité. Necháme si ho raději na jindy. Tak co tedy? NFS4! Používá Kerbera a na Linuxu je jako doma. O konfiguraci serveru a klienta NFS4 si povíme v pátém díle seriálu.
Souborový server už máme, ale jde to i jinak. CIFS jsem v předchozím textu označil za cizorodý prvek. Teď se mu za to omlouvám a beru jej zpět do klubu. O konfiguraci Samby jako CIFS serveru s Kerberos autentizací vám něco prozradím v šestém díle seriálu.
Už jsem vám říkal, jak Apache a Firefox umějí Kerberos? Ne? Tak vám o tom povím v sedmém díle. Mohlo by se to jmenovat: „Přihlášení k firemnímu intranetu snadno a rychle“.
Občas je dobré, aby se uživatel mohl „přihlásit k LDAPu“ (LDAP bind operace). Lze to s výhodou použít jako metodu autentizace u služeb, které nepodporují Kerberos, ale zato podporují LDAP. Dále se to hodí, když chceme autentizovanému uživateli umožnit měnit některé informace v LDAPu. To by nebyl problém, kdybychom u každého uživatele měli v LDAPu uloženo heslo nebo jeho hash. Jenže to my nemáme. My se autentizujeme pomocí Kerbera. Co s tím budeme dělat? Prostě ten LDAP s Kerberem integrujeme v osmém díle seriálu.
Jak si tak vesele konfigurujeme podporu Kerbera a LDAPu u všeho možného v naší krásné vypiplané síti, pomalu v nás hlodá pochybnost, že kdyby nám náhodou ten Kerberos nebo LDAP „lehnul“, tak se můžeme jít klouzat. V devátém díle seriálu si povíme, jak nakonfigurovat záložní servery Kerbera a LDAPu a zajistit si tak vysokou dostupnost těchto kritických služeb.
Konfigurace klientské části Kerbera vyžaduje údaje, které se mohou v průběhu provozu měnit, jako jsou např. jména Kerberos serverů. Měnit konfigurační soubory na všech klientech, to není nic pro nás velké adminy. Naštěstí můžeme klienty komandovat centrálně. Pomůže nám v tom DNS v desátém díle seriálu.
Veškerá kouzla budu předvádět na distribuci Mandriva Linux 2007.1 (Spring). Pokud tato distribuce není zrovna vaše oblíbená, neděste se. Popisované postupy, snad kromě instalace balíčků, budou zcela univerzální a na distribuci nezávislé. Budeme používat Kerberos software z MIT, i když i s distribucí s Heimdal bychom dokázali dosáhnout zcela shodných výsledků.
Když jsem se poprvé vrhl na tuto problematiku, musel jsem se prokousat několika návody, které se snažily většinou o dokonalou konfiguraci. Což se jim stejně nepodařilo. Příklady konfiguračních souborů obsahovaly spousty nastavení, která pro pochopení základů konfigurace Kerbera a LDAPu nebyla vůbec nutná. V tomto seriálu se rozhodně nebudeme snažit o dokonalou, supervýkonnou a ultrabezpečnou konfiguraci. Pouze si ukážeme, jak to všechno základním způsobem rozchodit. Mojí snahou je, aby seriál podnítil zájem co možná nejvíce odvážných experimentátorů, kteří rychle rozjedou svůj první Kerberos a pěkně si s ním pohrají, jako jsem si pohrál já, protože to je to, oč tu běží.
Nástroje: Tisk bez diskuse
Tiskni
Sdílej:
23.4.2008 12:12
rudiik | skóre: 16
| blog: rudiikuv miniblog
23.4.2008 10:38
osladil | skóre: 12
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
slapcat > /backup/ldap/slapd-$(date +%Y%m%d-%H%M%S)
24.4.2008 13:35
andree | skóre: 39
| blog: andreeeeelog
23.4.2008 13:05
corwin78 | skóre: 10
| Ostrava
23.4.2008 17:19
danaketh | skóre: 6
| blog: Sick Mind
| Praha
AD pro autentizaci uživatelů úspěšně používám včetně SSO. Možností, jak to udělat je více. Dokonce by se o tom dal napsat samostatný seriál.
pam_exec) třeba rsync a lokální domovský adresář uživatele synchronizovat se serverem. V případě, že server není dostupný, je na lokálním harddisku k dispozici poslední verze domácího adresáře.