Canonical vydal (email, blog, YouTube) Ubuntu 24.04 LTS Noble Numbat. Přehled novinek v poznámkách k vydání a také příspěvcích na blogu: novinky v desktopu a novinky v bezpečnosti. Vydány byly také oficiální deriváty Edubuntu, Kubuntu, Lubuntu, Ubuntu Budgie, Ubuntu Cinnamon, Ubuntu Kylin, Ubuntu MATE, Ubuntu Studio, Ubuntu Unity a Xubuntu. Jedná se o 10. LTS verzi.
Na YouTube je k dispozici videozáznam z včerejšího Czech Open Source Policy Forum 2024.
Fossil (Wikipedie) byl vydán ve verzi 2.24. Jedná se o distribuovaný systém správy verzí propojený se správou chyb, wiki stránek a blogů s integrovaným webovým rozhraním. Vše běží z jednoho jediného spustitelného souboru a uloženo je v SQLite databázi.
Byla vydána nová stabilní verze 6.7 webového prohlížeče Vivaldi (Wikipedie). Postavena je na Chromiu 124. Přehled novinek i s náhledy v příspěvku na blogu. Vypíchnout lze Spořič paměti (Memory Saver) automaticky hibernující karty, které nebyly nějakou dobu používány nebo vylepšené Odběry (Feed Reader).
OpenJS Foundation, oficiální projekt konsorcia Linux Foundation, oznámila vydání verze 22 otevřeného multiplatformního prostředí pro vývoj a běh síťových aplikací napsaných v JavaScriptu Node.js (Wikipedie). V říjnu se verze 22 stane novou aktivní LTS verzí. Podpora je plánována do dubna 2027.
Byla vydána verze 8.2 open source virtualizační platformy Proxmox VE (Proxmox Virtual Environment, Wikipedie) založené na Debianu. Přehled novinek v poznámkách k vydání a v informačním videu. Zdůrazněn je průvodce migrací hostů z VMware ESXi do Proxmoxu.
R (Wikipedie), programovací jazyk a prostředí určené pro statistickou analýzu dat a jejich grafické zobrazení, bylo vydáno ve verzi 4.4.0. Její kódové jméno je Puppy Cup.
IBM kupuje společnost HashiCorp (Terraform, Packer, Vault, Boundary, Consul, Nomad, Waypoint, Vagrant, …) za 6,4 miliardy dolarů, tj. 35 dolarů za akcii.
Byl vydán TrueNAS SCALE 24.04 “Dragonfish”. Přehled novinek této open source storage platformy postavené na Debianu v poznámkách k vydání.
Oznámeny byly nové Raspberry Pi Compute Module 4S. Vedle původní 1 GB varianty jsou nově k dispozici také varianty s 2 GB, 4 GB a 8 GB paměti. Compute Modules 4S mají na rozdíl od Compute Module 4 tvar a velikost Compute Module 3+ a předchozích. Lze tak provést snadný upgrade.
ldapsearch -x -W -h 10.8.8.1 -b "cn=users,dc=windom,dc=diiradu,dc=cz" -D "cn=Kucera Jaromir,cn=users,dc=windom,dc=diiradu,dc=cz" "sAMAccountName=*" sAMAccountNameMyslel jsem si, ze pokud vezmu a zmenim to co je v uvozovkach za "-D" od konce: CZ zustane, diiradu-zmenim na domenu druheho radu, windom-domena windows, users-skupina ve ktere jsem clenem, Kucera Jaromir-zmenim na sve jmeno uvedene na domenovem radici. Prepsal jsem tohle i tu cast uvedenou v uvozovkach za "-b" a ono nic porad pise chybu "Invalid credentials". Tak jsem se jal hledat neco o LDAP a na rootu jsem nasel toto a tam je format uveden uplne jiny, ale ani s nim mi to nefunguje.
Z konce: CZ zustane, diiradu-zmenim na domenu druheho radu, windom-domena windows, users-skupina ve ktere jsem clenem, Kucera Jaromir-zmenim na sve jmeno uvedene na domenovem radiciNe, to
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
24.4.2006 15:45
Users se za nic nenahrazuje, to tam patří. Jako příklad vezmu část dumpu LDAP domény na jednom Windows 2003 serveru:
dn: CN=Administrator,CN=Users,DC=server,DC=firma,DC=cz description: Built-in account for administering the computer/domainJediné co jsem nahradil jsou části označené italikou (je tam název serveru a název firmy zákazníka).
security = domain a žádný LDAP nepotřebuješ.
Pokud fakt chceš používat AD jako LDAP server pro Sambu, ale aby Samba nebyla součástí domény, pak asi musíš dobře vědět, co děláš, a bez hlubší znalosti LDAP to asi nepůjde 
smb.conf:
[global] security=domain password server = jmeno_domenoveho_radice #(DNS jmeno nebo IP adresa)Problém je s tím, jakého typu je to doména - zda stará NT4 (mohou se k ní připojovat i Windows NT), nebo čistá AD (síť s pouze W2K a vyšší) [omlouvám se za termíny, ale už si nepamatuji, jak tomu MS říká]. Dříve Samba uměla jen ten starší typ, já to tak také používám, takže s AD nemám zkušenosti. Ale teoreticky podle letmého prohlédnutí dokumentace by se Samba měla umět připojit i do čisté AD domény (ale neumí sama vystupovat jako řadič AD domény, to umí jen pro staré domény). Pak by místo
security=domainbylo
security=ADSAle to už opravdu jen teoretizuju po zběžném prolétnutí dokumentace. V obou případech nepotřebujete LDAP, Samba provádí autorizaci přes doménový řadič.
adduser nebo něco takového, prostě přímo v /etc/passwd), který bude mít stejné přihlašovací jméno, jako nějaký cvičný uživatel z Windows. Pak rozchodit autorizaci Samby proti té doméně. Až tohle bude fungovat, řešil bych dál jak udělat, aby uživatelé z Windows měli "účet" i na Linuxu (tj. winbind).
[global]
workgroup = office
server string = Gamma
dns proxy = no
log file = /var/log/samba/log.%m
max log size = 1000
syslog = 0
security = domain
encrypt passwords = yes
# passdb backend = tdbsam guest
# obey pam restrictions = yes
invalid users = root
# socket options = TCP_NODELAY
domain master = no
password server = *
template shell = /bin/false
realm = alpha.blabla.cz
winbind uid = 10000-11000
winbind gid = 10000-11000
wins support = no
wins server = ip.ad.re.sa
#======================= Share Definitions =======================
[share]
browseable = yes
writeable = yes
path = /mnt/raid/share/
public = yes
Pocitac jsem pridal do domeny (na radici vidim jeho ucet.
Kdyz dam wbinfo -g mi vrati par builtin skupin, ale wbinfo -u mi vrati "Error looking up domain users." No a v /etc/group a /etc/passwd po uzivatelich z domeny ani vidu ani slechu.Jenom poznámka - to tak bude vždy, winbind samozřejmě používá nss a do /etc/{passwd,group} samozřejmě nic nezapisuje. Je nutné ho přidat do
/etc/nsswitch.conf, ale to je v dokumentaci.
[global] security = ads password server = alpha encrypt passwords = yes workgroup = OFFICE realm = OFFICE.bla.CZ netbios name = gamma domain master = no wins server = ip.ad.re.sa idmap uid = 10000-15000 idmap gid = 10000-15000 winbind enum users = yes winbind enum groups = yes winbind use default domain = Yes winbind cache time = 5 winbind use default domain = Yes winbind trusted domains only = Yes winbind separator = '\' [public] path = /mnt/raid writeable = Yes create mode = 0666 valid users = @"Domain Users"wbinfo -g mi vrati skupiny na DC ale wbinfo -u mi vrati uziv. jm, ale bez domeny: tzn misto "OFFICE\chroustal" mi vrati jen "chroustal" z windows se neprihlasim
getent passwd jmeno_uživatele (bez domény) vrátí informace o uživateli? Nevím, co přesně má vypisovat wbinfo, ale na Linuxu by uživatelé měli být bez domény (tj. pokud se chci ve Windows hlásit jako chroustal do domény OFFICE, uživatel v Linuxu musí být chroustal).
Pokud přihlášení stále nejde, je potřeba si v Sambě zapnout logování (třeba úroveň 10) a pak se podívat do logu, v čem je problém.
/etc/passwd jména uživatelů neobsahuje, ale Linux musí ty uživatele znát. Což se (mimo možnosti ručního přidávání do /etc/passwd) zařídí právě tím winbindem. No a getent passwd pak používá stejnou funkci jádra, jako Samba, pro získání informací o uživateli (především převod na uid, dál třeba primární skupina). Takže getent passwd právě musí vracet info o uživateli.
Aby se údaje nečetli (jen) z /etc/passwd, používá se NSS - tam musíte mít nasatveno, že pro passwd, asi shadow a groups se má používat i winbind. V /etc/nsswicth.conf tedy bude třeba:
passwd: files winbind group: files winbindKdyž to budete zkoušet, pozor na to, ve kterém okamžiku se tento soubor zpracovává – nejjednoduší je zkoušet to vždy v úplně novém shellu, pozor taky na
nscd (služba kešující NSS). Kolikrát jsem se divil, že se nic nezměnilo, ale data byla nakešovaná…
gamma:~#cat /etc/nsswitch.conf # /etc/nsswitch.conf passwd: compat winbind group: compat winbind shadow: compat hosts: files dns networks: files protocols: db files services: db files ethers: db files rpc: db files netgroup: nis.. ja uz vazne nevim :(
nmbd a winbindd na tom počítači předpokládám běží a ani po přihlášení do nového shellu getent passwd username nevypíše nic.
Tak jedině zkusit zvýšit winbindu debugovací úroveň, jestli něco vypíše do logu. Taky může pomoci tcpdumpem zjistit, zda vůbec winbind komunikuje s řadičem domény…
19:51:51.791168 arp who-has ip.adresa.dc.radice tell 192.168.2.72 19:51:51.791415 arp reply ip.adresa.dc.radice is-at 00:02:b3:51:89:9b 19:51:54.208947 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], length: 78) 192.168.2.72.32781 > ip.adresa.dc.radice.netbios-ns: [bad udp cksum b5a7!] 19:51:54.224250 IP (tos 0x0, ttl 64, id 39789, offset 0, flags [DF], length: 218) 192.168.2.72.32781 > ip.adresa.dc.radice.kerberos: v5 19:51:54.225697 IP (tos 0x0, ttl 128, id 54704, offset 0, flags [none], length: 276) ip.adresa.dc.radice.kerberos > 192.168.2.72.32781: 19:51:54.230104 IP (tos 0x0, ttl 64, id 39791, offset 0, flags [DF], length: 298) 192.168.2.72.32781 > ip.adresa.dc.radice.kerberos: v5 19:51:54.232571 IP (tos 0x0, ttl 128, id 54716, offset 0, flags [none], length: 1293) ip.adresa.dc.radice.kerberos > 192.168.2.72.32781: v5 19:51:54.237981 IP (tos 0x0, ttl 64, id 39793, offset 0, flags [DF], length: 1254) 192.168.2.72.32781 > ip.adresa.dc.radice.kerberos: 19:51:54.240820 IP (tos 0x0, ttl 128, id 54728, offset 0, flags [none], length: 1226) ip.adresa.dc.radice.kerberos > 192.168.2.72.32781: 19:51:54.264972 IP (tos 0x0, ttl 64, id 39800, offset 0, flags [DF], length: 223) 192.168.2.72.32781 > ip.adresa.dc.radice.kerberos: v5 19:51:54.266687 IP (tos 0x0, ttl 128, id 54758, offset 0, flags [none], length: 276) ip.adresa.dc.radice.kerberos > 192.168.2.72.32781: 19:51:54.271719 IP (tos 0x0, ttl 64, id 39801, offset 0, flags [DF], length: 302) 192.168.2.72.32781 > ip.adresa.dc.radice.kerberos: v5 19:51:54.274311 IP (tos 0x0, ttl 128, id 54771, offset 0, flags [none], length: 1271) ip.adresa.dc.radice.kerberos > 192.168.2.72.32781: v5 19:51:54.279967 IP (tos 0x0, ttl 64, id 39803, offset 0, flags [DF], length: 1251) 192.168.2.72.32781 > ip.adresa.dc.radice.kerberos: 19:51:54.282808 IP (tos 0x0, ttl 128, id 54783, offset 0, flags [none], length: 1206) ip.adresa.dc.radice.kerberos > 192.168.2.72.32781: 19:51:54.596017 IP (tos 0x0, ttl 64, id 39882, offset 0, flags [DF], length: 218) 192.168.2.72.32781 > ip.adresa.dc.radice.kerberos: v5 19:51:54.597607 IP (tos 0x0, ttl 128, id 54800, offset 0, flags [none], length: 276) ip.adresa.dc.radice.kerberos > 192.168.2.72.32781:takze se zda ze si povidaji, zitra zkusim zvysit to logovani, nekde jste psal nastavit na 10, v te knizce doporucujou maximalne na 3 pak uz to pise az moc podrobne
getent se dotazuje winbindu, takže NSS je zřejmě nastavené OK – pak bude problém zřejmě v komunikaci winbind s doménou, buď se nedohodnou na nějakém protokolu, nebo bude spíš problém s účtem počítače. Nevím, jak je to v AD, ale u staré domény má každý počítač v doméně svůj účet (končí na $) a heslo k tomuto účtu - to si pak sám pravidelně mění. Účet v doméně jste psal, že počítač má - byl vytvořen příkazem net?
net ads join -S server -U AdministratorKoukám teď do dokumentace winbindu, že v Linuxu by měl uživatel z winbindu být jako
DOMAIN<winbind separator>user_name. To by znamenalo to zkoušet jako getent passwd OFFICE\\username. Každopádně getent passwd by mělo vypsat všechny uživatele. Možná bych nejdřív zkusil nastavit winbind separator na "+", ať nejsou problémy ještě se zpětným lomítkem…
Podle dokumentace by měl být winbind i v PAMu, ale to je IMHO jen kvůli autorizaci, kvůli zjišťování informací o uživateli to snad není nutné.
To logování na úrovni 10 je asi nejvíc, co jde – vypisuje se toho opravdu hodně, je důležité mít dost velký logovací soubor a vždy udělat jenom jeden pokus, jinak se ty důležité info z logu odrolují…
Info o Sambě v ADS je v dokumentaci, je tam i jak otestovat Kerberos ověřování.
gamma:~# net ads join -Ujanr janr's password: [2006/04/26 08:26:19, 0] libads/ldap.c:ads_add_machine_acct(1405) ads_add_machine_acct: Host account for gamma already exists - modifying old account Using short domain name -- OFFICE Joined 'GAMMA' to realm 'OFFICE.BLABLA.CZ' gamma:~#winbind separator jsme zmenil, samozrejme se nic nezmenilo.
gamma:~# klist -e
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: janr@OFFICE.NETCENTRUM.CZ
Valid starting Expires Service principal
04/26/06 08:38:45 04/26/06 18:38:26 krbtgt/OFFICE.NETCENTRUM.CZ@OFFICE.BLABLA.CZ
renew until 04/26/06 18:38:45, Etype (skey, tkt): ArcFour with HMAC/md5, ArcFour with HMAC/md5
04/26/06 08:59:20 04/26/06 18:38:26 alpha$@OFFICE.BLABLA.CZ
renew until 04/26/06 18:38:45, Etype (skey, tkt): ArcFour with HMAC/md5, ArcFour with HMAC/md5
Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached
Takze jdu hledat jak zmenit to kryptovani.
default_tgs_enctypes = aes256-cts arcfour-hmac-md5 des3-hmac-sha1 des-cbc-crc des-cbc-md5 default_tkt_enctypes = aes256-cts arcfour-hmac-md5 des3-hmac-sha1 des-cbc-crc des-cbc-md5...asi pujdu prodavat banany, uz vazne nevim :(
Jedině co se týče Samby, je možné dočasně si vytvořit příslušného uživatele v /etc/passswd a s tím otestovat zbytek.
zkuste se na ten Kerberos zeptat v novém příspěvku, tady už to asi nikdo nesleduje… A Kerberos ověřování proti AD doméně snad už někdo musí mít rozchozené…
Možná by teď pomohlo si "odskočit" a zkusit rozchodit připojení nějakého sdílení z W2K serveru přes smbmount právě s ověřováním přes Kerberos. Tam se snad líp odchytí, v čem je problém…
[global] security = ads password server = alpha encrypt passwords = yes workgroup = OFFICE realm = OFFICE.bla.CZ netbios name = gamma domain master = no wins server = ip.ad.re.sa idmap uid = 10000-15000 idmap gid = 10000-15000 winbind enum users = yes winbind enum groups = yes winbind use default domain = Yes winbind cache time = 5 winbind use default domain = Yes winbind trusted domains only = Yes winbind separator = '\' [public] path = /mnt/raid writeable = Yes create mode = 0666 valid users = @"Domain Users"wbinfo -g mi vrati skupiny na DC ale wbinfo -u mi vrati uziv. jm, ale bez domeny: tzn misto "OFFICE\chroustal" mi vrati jen "chroustal" z windows se neprihlasim
ldapsearch -x -W -h 10.8.8.1 -b "cn=users,dc=windom,dc=diiradu,dc=cz" -D "cn=Administrator,cn=users,dc=windom,dc=diiradu,dc=cz" "sAMAccountName=*" sAMAccountNames tim, ze zmenite jen to, co nasleduje za
dc. users tady nepredstavuje skupinu souvisejici s pristupovymi pravy, nybrz objekt v LDAP. Samozrejme predpokladam, ze ucet administratora na Win2k byl ponechan v puvodnim tvaru. Jmeno napsane za cn je jmeno z titulku okna ve zminenem clanku (Kucera Jaromir Properties). Integrovat jediny linux server s ADS na Win2k, jak je to popsano v clanku, neni asi efektivni. Velmi dobry smysl to ma vsak tehdy, kdyz je Linuxu se Sambou v siti vic a a je podstatne, aby na kazdem Linuxu bylo temuz uzivateli vzdy prirazeno totez uid - to je dulezite pro interoperabilitu mezi Linuxy (napr. NFS). Zkuste se podivat na Samba-Guide. Snad vam zvlaste kapitola 7 pomuze ve volbe pro vas nejvhodnejsi konfigurace. Pokud nechcete vyuzivat LDAP muzete pouzit pouze vlastnosti Win2k spolecne s NT4 (NT4/Samba).
Tiskni
Sdílej:
