Vývojáři svobodného 3D softwaru Blender představili (𝕏, Mastodon, Bluesky) nejnovějšího firemního sponzora Blenderu. Je ním společnost Anthropic stojící za AI Claude a úroveň sponzoringu je Patron, tj. minimálně 240 tisíc eur ročně. Anthropic oznámil sponzorství v tiskové zprávě Claude for Creative Work.
VNC server wayvnc pro Wayland kompozitory postavené nad wlroots - ne GNOME, KDE nebo Weston - byl vydán ve verzi 0.10.0. Vydána byla také verze 1.0.0 související knihovny neatvnc.
Bylo oznámeno vydání Fedora Linuxu 44. Ve finální verzi vychází šest oficiálních edic: Fedora Workstation a Fedora KDE Plasma Desktop pro desktopové, Fedora Server pro serverové, Fedora IoT pro internet věcí, Fedora Cloud pro cloudové nasazení a Fedora CoreOS pro ty, kteří preferují neměnné systémy. Vedle nich jsou k dispozici také další atomické desktopy, spiny a laby. Podrobný přehled novinek v samostatných článcích na stránkách
… více »David Malcolm se na blogu vývojářů Red Hatu rozepsal o vybraných novinkách v GCC 16, jež by mělo vyjít v nejbližších dnech. Vypíchnuta jsou vylepšení čitelnosti chybových zpráv v C++, aktualizovaný SARIF (Static Analysis Results Interchange Format) výstup a nová volba experimental-html v HTML výstupu.
Byla vydána verze R14.1.6 desktopového prostředí Trinity Desktop Environment (TDE, fork KDE 3.5, Wikipedie). Přehled novinek v poznámkách k vydání, podrobnosti v seznamu změn.
Jon Seager z Canonicalu včera na Ubuntu Community Hubu popsal budoucnost AI v Ubuntu. Dnes upřesnil: AI nástroje budou k dispozici jako Snap balíčky, vždy je může uživatel odinstalovat. Ve výchozím nastavení budou všechny AI nástroje používat lokální AI modely.
Nový ovladač Steam Controller jde do prodeje 4. května. Cena je 99 eur.
Greg Kroah-Hartman začal používat AI asistenta pojmenovaného gkh_clanker_t1000. V commitech se objevuje "Assisted-by: gkh_clanker_t1000". Na social.kernel.org publikoval jeho fotografii. Jedná se o Framework Desktop s AMD Ryzen AI Max a lokální LLM.
Ubuntu 26.10 bude Stonking Stingray (úžasný rejnok).
Webový prohlížeč Dillo (Wikipedie) byl vydán ve verzi 3.3.0. S experimentální podporou FLTK 1.4. S příkazem dilloc pro ovládání prohlížeče z příkazové řádky. Vývoj prohlížeče se přesunul z GitHubu na vlastní doménu dillo-browser.org (Git).
Smrtelník, pardon uživatel, toužící využít systémů a služeb spravovaných tajemnými guruy, se musí nejprve představit – autentizovat, aby mohlo být ověřeno, jestli patří do skupiny vyvolených, kterým bylo administrátory milostivě přiznáno právo vstoupit.
Zapomeňme teď na všechny ty moderní nesmysly, jako jsou čipové karty, otisky prstů nebo obrazy oční sítnice či duhovky, a předpokládejme, že se uživatel autentizuje pomocí svého uživatelského jména a hesla.
Přestože se administrátoři a uživatelé od sebe v mnoha věcech zásadním způsobem liší, jednu věc mají společnou. Je to lenost. Lenost je hnací silou veškerého pokroku. U obou skupin se tato kladná povahová vlastnost projevuje odlišně. Uživatel nechce a možná ani není schopen pamatovat si víc než jedno heslo a nehodlá toto heslo psát znova a znova, když přistupuje k různým službám v síti. Administrátor, hodný tohoto jména, není ochoten obtěžovat se vytvářením účtu konkrétního uživatele více než jednou, přestože jeho síť obsahuje stovky systémů, ke kterým má mít daný uživatel přístup.
Že je dobré mít jednu centrální databázi uživatelských účtů a skupin, objevili již mistři, kteří v dávné historii stáli u zrodu tajemného umění administrace. Jejich nesmělé pokusy typu NIS se z pohledu dnešní doby zdají být poněkud staromódní. Byli tu i odvážlivci, kteří následovali nové učení Windows domén, aby následně zcela přetvořili svoji víru a začali vzývat božstvo Active Directory. Toto nové náboženství však není zcela původní. Převzalo zvyky a obyčeje zvané Kerberos a LDAP, které velmi dobře slouží výše popisovanému účelu v unixovém světe a i za jeho hranicemi.
Kerberos, jehož jméno nápadně připomíná bájného psa strážícího vstup do podsvětí, je služba pro centrální autentizaci. Na webu MIT, kde jej vytvořili, najdete definici, která říká, že Kerberos je protokol pro autentizaci po síti navržený tak, aby poskytoval silnou autentizaci pro klient/server aplikace založenou na šifrování pomocí tajného klíče (secret-key cryptography). Kerberos má jednu báječnou vlastnost, a tou je Single Sign-on ve zkratce SSO. SSO nám umožňuje zadat jméno a heslo pouze jednou např. při přihlášení k PC a pak již můžeme přistupovat ke kerberizovaným službám v síti bez nutnosti přihlašovací údaje zadávat znova. Jak pohodlné a přitom bezpečné.
O konfiguraci serverové i klientské části Kerbera si povíme v druhém díle tohoto seriálu a nakonec se pomocí Kerbera do PC přihlásíme. Jistě si říkáte, že takovou ďábelskou věc musí být určitě velmi složité rozchodit. Opak je pravdou. Je to jednodušší, než by se mohlo zdát. My se na Kerberos budeme dívat jako na centrální databázi a sadu klientského a serverového softwaru, který nám pomůže uživatele ověřit pomocí jména a hesla při přihlášení do PC, popř. pomocí SSO při přístupu k nějaké službě.
Uživatelský účet, to není jenom jméno a heslo. Každý uživatel, který chce spokojeně existovat v unixovém světě, potřebuje UID, GID, login shell a domácí adresář. Jedinci, kteří netrpí nějakou poruchou sociálního chování nebo přímo duševní chorobou, obvykle vyžadují, aby byli zařazeni do skupin. Tyto informace by také bylo dobré spravovat pomocí centralizované databáze, Kerberos to však neumí a myslím, že asi ani umět nechce. Budeme si muset vzít do party dalšího kamaráda. Jmenuje se LDAP. Adresářové služby nám umožní centrálně uložit a sdílet všechny informace, které bychom na samostatném systému našli v /etc/passwd a /etc/group. Avšak nejen to. LDAP nám umožní uložit i spoustu dalších informací o uživateli, jako je např. jeho e-mailová adresa. Tuto informaci může využít třeba doručovací poštovní server. Můžeme tak uživateli najednou spolu s uživatelským účtem založit i e-mailovou schránku. S LDAPem toho jde dělat mnohem, mnohem víc. Fantazii se meze nekladou.
Ve čtvrtém díle tohoto seriálu si konečně vyzkoušíme SSO. Pokusíme se přesvědčit SSH, aby po nás nechtělo heslo a ověřilo si naši identitu pomocí Kerbera. Když se nám to podaří, naše administrátorské sebevědomí rapidně vzroste.
Každá správná podniková síť musí mít také centrální souborový server. To je služba jako každá jiná. I tam je autentizace na místě. Jednotná UID a GID v celé síti se také hodí, máme-li serverů více. Co na to použijeme. NFS2/3? Ne, to žádnou bezpečnou autentizaci nepoužívá. To nechceme. CIFS? Ne, působí na Linuxu cize. AFS? Zajímavá volba. Používá Kerbera pro autentizaci. Údajně je dost složité. Necháme si ho raději na jindy. Tak co tedy? NFS4! Používá Kerbera a na Linuxu je jako doma. O konfiguraci serveru a klienta NFS4 si povíme v pátém díle seriálu.
Souborový server už máme, ale jde to i jinak. CIFS jsem v předchozím textu označil za cizorodý prvek. Teď se mu za to omlouvám a beru jej zpět do klubu. O konfiguraci Samby jako CIFS serveru s Kerberos autentizací vám něco prozradím v šestém díle seriálu.
Už jsem vám říkal, jak Apache a Firefox umějí Kerberos? Ne? Tak vám o tom povím v sedmém díle. Mohlo by se to jmenovat: „Přihlášení k firemnímu intranetu snadno a rychle“.
Občas je dobré, aby se uživatel mohl „přihlásit k LDAPu“ (LDAP bind operace). Lze to s výhodou použít jako metodu autentizace u služeb, které nepodporují Kerberos, ale zato podporují LDAP. Dále se to hodí, když chceme autentizovanému uživateli umožnit měnit některé informace v LDAPu. To by nebyl problém, kdybychom u každého uživatele měli v LDAPu uloženo heslo nebo jeho hash. Jenže to my nemáme. My se autentizujeme pomocí Kerbera. Co s tím budeme dělat? Prostě ten LDAP s Kerberem integrujeme v osmém díle seriálu.
Jak si tak vesele konfigurujeme podporu Kerbera a LDAPu u všeho možného v naší krásné vypiplané síti, pomalu v nás hlodá pochybnost, že kdyby nám náhodou ten Kerberos nebo LDAP „lehnul“, tak se můžeme jít klouzat. V devátém díle seriálu si povíme, jak nakonfigurovat záložní servery Kerbera a LDAPu a zajistit si tak vysokou dostupnost těchto kritických služeb.
Konfigurace klientské části Kerbera vyžaduje údaje, které se mohou v průběhu provozu měnit, jako jsou např. jména Kerberos serverů. Měnit konfigurační soubory na všech klientech, to není nic pro nás velké adminy. Naštěstí můžeme klienty komandovat centrálně. Pomůže nám v tom DNS v desátém díle seriálu.
Veškerá kouzla budu předvádět na distribuci Mandriva Linux 2007.1 (Spring). Pokud tato distribuce není zrovna vaše oblíbená, neděste se. Popisované postupy, snad kromě instalace balíčků, budou zcela univerzální a na distribuci nezávislé. Budeme používat Kerberos software z MIT, i když i s distribucí s Heimdal bychom dokázali dosáhnout zcela shodných výsledků.
Když jsem se poprvé vrhl na tuto problematiku, musel jsem se prokousat několika návody, které se snažily většinou o dokonalou konfiguraci. Což se jim stejně nepodařilo. Příklady konfiguračních souborů obsahovaly spousty nastavení, která pro pochopení základů konfigurace Kerbera a LDAPu nebyla vůbec nutná. V tomto seriálu se rozhodně nebudeme snažit o dokonalou, supervýkonnou a ultrabezpečnou konfiguraci. Pouze si ukážeme, jak to všechno základním způsobem rozchodit. Mojí snahou je, aby seriál podnítil zájem co možná nejvíce odvážných experimentátorů, kteří rychle rozjedou svůj první Kerberos a pěkně si s ním pohrají, jako jsem si pohrál já, protože to je to, oč tu běží.
Nástroje: Tisk bez diskuse
Tiskni
Sdílej:
23.4.2008 12:12
rudiik | skóre: 16
| blog: rudiikuv miniblog
23.4.2008 10:38
osladil | skóre: 12
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
slapcat > /backup/ldap/slapd-$(date +%Y%m%d-%H%M%S)
24.4.2008 13:35
andree | skóre: 39
| blog: andreeeeelog
23.4.2008 13:05
corwin78 | skóre: 10
| Ostrava
23.4.2008 17:19
danaketh | skóre: 6
| blog: Sick Mind
| Praha
AD pro autentizaci uživatelů úspěšně používám včetně SSO. Možností, jak to udělat je více. Dokonce by se o tom dal napsat samostatný seriál.
pam_exec) třeba rsync a lokální domovský adresář uživatele synchronizovat se serverem. V případě, že server není dostupný, je na lokálním harddisku k dispozici poslední verze domácího adresáře.