abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    CiviCRM 6.14.0
    včera 12:55 | Nová verze

    CiviCRM (Wikipedie) bylo vydáno v nové verzi 6.14.0. Podrobnosti o nových funkcích a opravách najdete na release stránce. CiviCRM je robustní open-source CRM systém navržený speciálně pro neziskové organizace, spolky a občanské iniciativy. Projekt je napsán v jazyce PHP a licencován pod GNU Affero General Public License (AGPLv3). Český překlad má nyní 45 % přeložených řetězců a přibližuje se milníku 50 %. Potřebujeme vaši pomoc, abychom se dostali dál. Pokud máte chuť přispět překladem nebo korekturou, přidejte se na platformu Transifex.

    jardaIT | Komentářů: 2
    Zranitelnost ssh-keysign-pwn
    včera 12:22 | Bezpečnostní upozornění

    Další lokální zranitelností Linuxu je ssh-keysign-pwn. Uživatel si může přečíst obsah souborů, ke kterým má právo ke čtení pouze root, například soubory s SSH klíči nebo /etc/shadow. V upstreamu již opraveno [oss-security mailing list].

    Ladislav Hagara | Komentářů: 1
    Singularity, nejnovější otevřený film od Blender Studia
    14.5. 17:22 | Komunita

    Singularity (YouTube) je nejnovější otevřený film od Blender Studia. Jedná se o jejich první 4K HDR film.

    Ladislav Hagara | Komentářů: 1
    Vyšla hra Život Není Krásný: Poslední Exekuce
    14.5. 16:55 | Zajímavý software

    Vyšla hra Život Není Krásný: Poslední Exekuce (Steam, ProtonDB). Kreslená point & click adventura ze staré školy plná černého humoru a nekorektního násilí. Vžijte se do role zpustlého exekutora Vladimíra Brehowského a projděte s ním jeho poslední pracovní den. Hra volně navazuje na sérii Život Není Krásný.

    Ladislav Hagara | Komentářů: 23
    Fedora Hummingbird Linux
    14.5. 14:00 | Zajímavý projekt

    Společnost Red Hat představila Fedora Hummingbird, tj. linuxovou distribuci s nativním kontejnerovým designem určenou pro vývojáře využívající AI agenty.

    Pinhead | Komentářů: 6
    Dusklight, hra The Legend of Zelda: Twilight Princess na počítačích a mobilních zařízeních
    14.5. 02:22 | Zajímavý software

    Hru The Legend of Zelda: Twilight Princess od společnosti Nintendo si lze nově díky projektu Dusklight (původně Dusk) a reverznímu inženýrství zahrát i na počítačích a mobilních zařízeních. Vyžadována je kopie původní hry (textury, modely, hudba, zvukové efekty, …). Ukázka na YouTube. Projekt byl zahájen v srpnu 2020.

    Ladislav Hagara | Komentářů: 0
    Erlang/OTP 29.0
    14.5. 01:11 | Nová verze

    Byla vydána nová major verze 29.0 programovacího jazyka Erlang (Wikipedie) a související platformy OTP (Open Telecom Platform, Wikipedie). Detailní přehled novinek na GitHubu.

    Ladislav Hagara | Komentářů: 0
    Zranitelnost Fragnesia
    13.5. 21:22 | Bezpečnostní upozornění

    Po zranitelnostech Copy Fail a Dirty Frag přichází zranitelnost Fragnesia. Další lokální eskalace práv na Linuxu. Zatím v upstreamu neopravena. Přiřazeno ji bylo CVE-2026-46300.

    Ladislav Hagara | Komentářů: 1
    Sovereign Tech Agency podpoří KDE částkou 1 285 200 eur
    13.5. 14:00 | Komunita

    Sovereign Tech Agency (Wikipedie) prostřednictvím svého fondu Sovereign Tech Fund podpoří KDE částkou 1 285 200 eur.

    Ladislav Hagara | Komentářů: 12
    The Android Show | I/O Edition 2026
    13.5. 12:55 | IT novinky

    Google na včerejší akci The Android Show | I/O Edition 2026 (YouTube) představil celou řadu novinek: Gemini Intelligence, notebooky Googlebook, novou generaci Android Auto, …

    Ladislav Hagara | Komentářů: 0
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Které desktopové prostředí na Linuxu používáte?
     (13%)
     (8%)
     (2%)
     (14%)
     (31%)
     (4%)
     (6%)
     (3%)
     (16%)
     (26%)
    Celkem 1634 hlasů
     Komentářů: 30, poslední 3.4. 20:20
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / Samba PDC + druha jako fileserver
    Štítky: ACL, domény, práva, Samba, server

    Dotaz: Samba PDC + druha jako fileserver

    7.8.2008 16:53 kamm
    Samba PDC + druha jako fileserver
    Přečteno: 926×

    Ahoj.

    Zapasim se Sambou. Mam rozchozenou sambu jako PDC (security=user). Mam druhou, na jinem stroji - chci ji jako souborovy server (s raidem, ale o tom pozdeji). Jak donutit druhou sambu, overovat uzivatele v domene a implementovat podporu acl - chtel bych klikat prava z Wokem (jako standard win server).

    Druha samba je v rezimu security=domain a je clenem domeny v PDC.

    Potreboval bych nakopnout. Uz s tim zapasim dlouho a nemuzu to vymyslet. Mate nekdo napad? Diky.

    Nástroje: Začni sledovat (2) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    7.8.2008 17:37 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Samba PDC + druha jako fileserver
    Pro podporu ACL musíte mít zkompilované jádro (souborový systém) s podporou ACL a Sambu s podporou ACL. ACL pod linuxem stále přiděluje jen práva rwx, takže jemné nastavování práv z Windows stejně nebude fungovat. Existuje možná nějaká možnost, jak ta detailní práva ukládat do rozšířených atributů, ale to by pak stejně byla jenom věc Samby a ostatní programy v linuxu by tato práva nerespektovaly.

    Nevidím v dotazu žádný problém ani otázku, takže k tomu těžko napsat něco víc…
    7.8.2008 17:47 kamm | skóre: 2
    Rozbalit Rozbalit vše Re: Samba PDC + druha jako fileserver
    Diky za reakci

    moyna jsem to napsal spatne. Pouzivam open suse 10.2 a 11. oSuse 10.2 je PDC a na nem vse frci dle predstav. Kazedmu uzivateli hodim co jeho jest. Prava z woken se ulozi a aplikuji. Kdezto z oS 11 jako podruzneho serveriku v domene, se po vybrani a aplikovani naklikana prava "ztrati" a misto nich se objevi pouze 5 identyt s nastavenymi pravy na 'jine opravneni'. Tyto identyty jsou EVERYONE, CREATOR OWNER, CREATOR GROUP, root(Unix users\root) a S-1-22-2.

    Jakoukoliv pridam identitu z domeny, tuknu aplikovat a opet se nastavi vyse zminene.

    -- kdezto na PDC toto pridelovani funguje..

    Kde delam chybu?
    7.8.2008 17:48 kamm | skóre: 2
    Rozbalit Rozbalit vše Re: Samba PDC + druha jako fileserver
    btw - podpora acl je a pouzivam - nastaveno ve fstab
    7.8.2008 17:57 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Samba PDC + druha jako fileserver
    Používáte nějakou synchronizaci linuxových účtů? Tj. že by třeba obě Samby i oba linuxové systémy pod nimi ověřovaly uživatele proti jednomu LDAPu. Také bych přes getfacl zkontroloval, jak vypadají ta nastavené práva z pohledu linuxu – tj. zda je problém při zápisu práv nebo při čtení.
    7.8.2008 18:02 kamm | skóre: 2
    Rozbalit Rozbalit vše Re: Samba PDC + druha jako fileserver
    Pro overovani pouzivam smbpasswd na PDC. Zde synchronizuji samba hesla na PDC lokalni uzivatele. Souborovy server pak overuje pres domenu pres sambu. Pouziti setfacl neni mozne, protoze na souborovem serveru ucty neexistuji - tedy alespon nevim jak to pouzit, pokud to lze..
    7.8.2008 18:13 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Samba PDC + druha jako fileserver
    Ony účty v pravém slova smyslu na linuxu neexistují – používá se pouze UID uživatele, a „účet“ znamená jenom to, že je někde tomuto UID přiřazeno jméno. Takže getfacl normálně můžete použít, pouze místo jmen uvidíte UID. Ale možná právě v té „neexistenci účtů“ na souborovém serveru je ten problém – Samba práva uloží s patřičným UID, ale když se pak Windows na práva zeptají, nedokáže UID převést zpět na jméno. Zkuste si pro otestování pro UID uživatele, na kterém to zkoušíte, vytvořit záznam v /etc/passwd, aby se převedl na jméno. Pokud to bude fungovat, musel byste zařídit, aby oba dva počítače používaly stejný seznam účtů i pro linux.
    7.8.2008 18:18 kamm | skóre: 2
    Rozbalit Rozbalit vše Re: Samba PDC + druha jako fileserver
    aha a mam vytvorit uzivatele pomoci passwd nebo jen vlozit zaznam rucne?
    (diky za trpelivost)
    7.8.2008 18:44 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Samba PDC + druha jako fileserver
    Asi je to jedno, ale vytvořil bych ten záznam ručně, ať se zbytečně nevytváří domovský adresář nebo něco podobného.
    7.8.2008 19:00 kamm | skóre: 2
    Rozbalit Rozbalit vše Re: Samba PDC + druha jako fileserver
    Vyzkouseno, nepomohlo.. :/
    7.8.2008 19:07 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Samba PDC + druha jako fileserver
    getent passwd UID vrátí správně jméno toho uživatele? Informace o uživatelích se můžou kešovat, a může je kešovat i samotná Samba, zkusil bych jí restartovat (a pokud používáte nscd, restartujte nejprve ten). Taky bych zkusil zvýšit úroveň logování Samby a podívat se do logů, jestli něco o převodu jmen nepíše tam.
    7.8.2008 19:33 kamm | skóre: 2
    Rozbalit Rozbalit vše Re: Samba PDC + druha jako fileserver
    getent mi vyhodi celej ten radek z passwd - spravne

    nasli jsme ted ale chybku v tom logu samby:

    samba file serveru pise:

    nb-honza-servis (::ffff:192.168.0.64) closed connection to service tmp-data
    [2008/08/07 19:16:54, 0] auth/auth_domain.c:domain_client_validate(259)
    domain_client_validate: unable to validate password for user karel in domain TUX-NET to Domain controller TUX.
    Error was NT_STATUS_WRONG_PASSWORD.
    7.8.2008 20:09 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Samba PDC + druha jako fileserver
    Je ten souborový server správně zařazen v doméně? Předpokládám tedy, že heslo zadáváte správné…
    7.8.2008 20:16 kamm | skóre: 2
    Rozbalit Rozbalit vše Re: Samba PDC + druha jako fileserver
    ted to resim take.. popravde mel jsem s tim problem nez se tam pripojil
    --
    snad to delam dobre, pripojim ho znovu

    na PDC smazu smbpasswd -x server$
    mam vytvoreneho sys uzivatele server (na PDC)
    pridam server do samby na PDC
    smbpasswd -a -m server


    na fileserveru spustim:
    net joint member -U root -S 192.168.0.100 -W TUX-NET


    takhle to jde.. ale chova se to, jak rikam.. delam to dobre?
    7.8.2008 20:42 kamm | skóre: 2
    Rozbalit Rozbalit vše Re: Samba PDC + druha jako fileserver
    fileserver navic pise po prikazu:

    wbinfo --domain=TUX-NET --user-info=karel
    could not get info for user karel
    wbinfo --own-domain
    could not obtain winbind interface details!
    could not obtain winbind domain name!
    TUX-NET
    7.8.2008 21:22 VSi | skóre: 28
    Rozbalit Rozbalit vše Re: Samba PDC + druha jako fileserver
    Je v smb.conf nastaveno inherit acls = yes ? Třeba v Debianu je to po instalaci vypnuté a bez toho mi ACL z windows zrovna moc nefungují.

    Co se týče ACL, tak samozřejmě ve Windows vůči Sambě fungují trochu specificky, ale dá se na to zvyknout a pak je na to spoleh. Nesetkal jsem se zatím s nějakým nevysvětlitelným chováním. V rámci Windows ACL editoru se práva omezují na analogii rwx - tedy Nic / Čtení / Úplné řízení. Pak má smysl ještě nastavení Jen tato složka / Tato složka, podsložky a soubory - ta druhá možnost je mapována na default unix ACL.

    Pak asi nefunguje vynucené dědění práv, ale to podle mě není tak moc na škodu. Tohle omezení šlo snad obejít pomocí extended atributů, ale to asi funguje skutečně jen pro Sambu, jak tady někdo zmínil.

    Ohledně dvou (a více) serverů, které jsou oba na Sambě, bych doporučil vykašlat se na winbind a podobné obezličky a použít LDAP. Tím je úplně "přirozeně" všechno vyřešeno - unix účty přes nssswitch, všechny Samba servery berou údaje o uživatelích z LDAPu. Mám takhle několik serverů, z toho jeden se snapshot zálohami, kde je read-only replika LDAPu a uživatelé tedy při výpadku hlavního server mají přístup alespoň k záloze (zároveň je to BDC).
    7.8.2008 21:36 kamm | skóre: 2
    Rozbalit Rozbalit vše Re: Samba PDC + druha jako fileserver
    dobry den, zni to hezky, ale ejsem natolik kovany abych system na LDAP z fleku zprovoznil.
    mate nejake demo ci navod, ze ktereho by se dala okouknout myslenka?
    7.8.2008 22:15 VSi | skóre: 28
    Rozbalit Rozbalit vše Re: Samba PDC + druha jako fileserver
    Nejdříve doporučuji zprovoznit samotný LDAP a nsswitch. Velmi pěkný článek tady na abclinuxu (do Kerbera bych se v tomto případě nepouštěl, tu část článku lze přeskočit):

    http://www.abclinuxu.cz/clanky/bezpecnost/kerberos-a-sso-jednotne-ucty-v-ldap

    Pozor na to, že se mezi distribucemi dost liší umístění konf. souborů nss-ldap - v článku /etc/ldap.conf a např. v Debianu /etc/libnss-ldap.conf

    Bude potřeba naimportovat stávající uživatele včetně Samba hesel ze smbpasswd do LDAPu. Na to se dají použít skripty z balíku smbldaptools. Já jsem to řešil vlastními skripty v bashi, které generují LDIF a posílají ho do ldapadd.

    Nevím kolik tam je uživatelů, podle toho bych řešil jak moc tu migraci automatizovat.

    Propojení Samby s LDAP je jednoduché - smb.conf: 
    passdb backend = ldapsam:ldap://localhost

ldap suffix = dc=domena,dc=cz
ldap admin dn = cn=admin,dc=domena,dc=cz
ldap delete dn = yes
ldap machine suffix = ou=machines
ldap group suffix = ou=groups
ldap user suffix = ou=users
ldap idmap suffix = ou=idmap # snad neni ani treba (nevyuziva se)
ldap passwd sync = yes

add machine script = /etc/scripts/ldap-machineadd %u
    Ten 
    add machine script
    slouží pro automatické vytvoření účtu PC při přidání do domény (lze použít i /usr/sbin/smbldap-useradd -w "%u" ze smbldap tools).

    Je třeba nastavit ještě heslo pro LDAP admin účet, aby Samba mohla do LDAPu zapisovat: 
    smbpasswd -w LdapAdminHeslo
    U nových uživatelů stačí v LDAPu založit unix účet (nedávám mu ani heslo) a Samba parametry přidat klasicky: 
    smbpasswd -a login
    kdy se nastaví Samba heslo a zároveň i unix heslo přes synchronizaci Samby.

    Dobrý popis LDAPu (česky) je taky tady:

    http://ldap.zdenda.com/

    Základní je zprovoznit LDAP server a podrobnosti okolo Samby už jsou pak přehledně vysvětleny v Samba HOWTO Collection.
    7.8.2008 22:35 kamm | skóre: 2
    Rozbalit Rozbalit vše Re: Samba PDC + druha jako fileserver
    zatim dekuji - uz zacinam byt v koncich - jdu do toho..
    8.8.2008 03:48 kamm | skóre: 2
    Rozbalit Rozbalit vše Re: Samba PDC + druha jako fileserver
    tak fajn, jsem rad, ze jsem poslechl :) nebyla to sranda (jsem v linuxovych vodach lama), ale skoro hotovo. Externimu overovani jsem se celou dobu branil a nakonec to bude parada.
    Dekuji vsem za prispevky!! Moc jste mi pomohli. Ocenuji!
    ted uz k t PDC s LDAP pripojimtu druhou a hotovo, doufam, ze se jeste neco neukaze :D
    8.8.2008 12:48 VSi | skóre: 28
    Rozbalit Rozbalit vše Re: Samba PDC + druha jako fileserver
    To jsem rád. Ještě upozorním na jednu věc, která se mi stala (na Debianu).

    Při napojení druhé Samby, která nebyla nastavena jako Domain Controller, tj. domain logons = no, na LDAP se v LDAPu vytvořil druhý záznam: 

      SambaDomainName = NETBIOS_JMENO_DRUHEHO_SERVERU

    (oba servery mají security = user)

    Toto bylo třeba ponechat a nastavit novému SambaDomainName stejný SID jako má PDC. To jsem udělal editací LDAPu, teoreticky by asi šlo použít i net setlocalsid.

    Uživatele je teoreticky možné do Samby přidávat na obou serverech, ale doporučil bych to dělat jen na tom, který je PDC.
    8.8.2008 13:00 kamm | skóre: 2
    Rozbalit Rozbalit vše Re: Samba PDC + druha jako fileserver
    ok

    jak mam ale tu druhou donutit aby prohledavala TUX-NET?

    ymenil jsem to SID, ale ve v dialgu widli pro prochazeni prav vidim stale jen SERVER
    8.8.2008 14:32 VSi | skóre: 28
    Rozbalit Rozbalit vše Re: Samba PDC + druha jako fileserver
    To je v pořádku. Teď jsem to testoval - na serveru, který není PDC jsem zkoušel nastavit ACL z Windows a bez problémů. Skutečně se neukazuje název domény, ale DRUHY_SERVER\Uzivatel což funkci nijak nevadí. Důležitá je shoda SID.

    Máš na tom druhém serveru povolené inherit acls = yes a nt acl support = yes? Co když nastavíš něco přes setfacl - je to vidět ve Windows?

    Důležité také je, že ACL smí měnít jen vlastník souboru / složky. Zkus ve Windows vytvořit novou složku a na té pak nastavit ACL.
    8.8.2008 14:42 kamm | skóre: 2
    Rozbalit Rozbalit vše Re: Samba PDC + druha jako fileserver
    nefunguje

    vztvorim adr. ve widlich
    kouknu = getfacl mi vyhodi ze je roota
    mrknu ve widlich na prava a nejdou menit - ani u roota si nizmenim nic, nikoho nepridam, nesmazu :(

    8.8.2008 15:08 VSi | skóre: 28
    Rozbalit Rozbalit vše Re: Samba PDC + druha jako fileserver
    Ve Windows jsi přihlášený jako root? Zkusil bych to nejdřív pod nějakým obyčejným uživatelem. Když přes setfacl v Linuxu přidáš nějaká práva dalšímu uživateli, je to ve Windows vidět?
    8.8.2008 13:17 kamm | skóre: 2
    Rozbalit Rozbalit vše Re: Samba PDC + druha jako fileserver
    aaa - uz!
    chtelo chvili vydrzet

    furt ale nejdou prava priradit. Po kliknuti ve widlich na pouzit (u upraveneho rights listu) zmeny utecou..

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.