Inzerujte na AbcPráce.cz od 950 Kč

napište » Zprávičky

včera 22:33 | Nová verze

Byl vydán Debian 13.5, tj. pátá opravná verze Debianu 13 s kódovým názvem Trixie a Debian 12.14, tj. čtrnáctá opravná verze Debianu 12 s kódovým názvem Bookworm. Řešeny jsou především bezpečnostní problémy, ale také několik vážných chyb. Instalační média Debianu 13 a Debianu 12 lze samozřejmě nadále k instalaci používat. Po instalaci stačí systém aktualizovat.

Ladislav Hagara | Komentářů: 0

CiviCRM 6.14.0

15.5. 12:55 | Nová verze

CiviCRM (Wikipedie) bylo vydáno v nové verzi 6.14.0. Podrobnosti o nových funkcích a opravách najdete na release stránce. CiviCRM je robustní open-source CRM systém navržený speciálně pro neziskové organizace, spolky a občanské iniciativy. Projekt je napsán v jazyce PHP a licencován pod GNU Affero General Public License (AGPLv3). Český překlad má nyní 45 % přeložených řetězců a přibližuje se milníku 50 %. Potřebujeme vaši pomoc, abychom se dostali dál. Pokud máte chuť přispět překladem nebo korekturou, přidejte se na platformu Transifex.

jardaIT | Komentářů: 2

Zranitelnost ssh-keysign-pwn

15.5. 12:22 | Bezpečnostní upozornění

Další lokální zranitelností Linuxu je ssh-keysign-pwn. Uživatel si může přečíst obsah souborů, ke kterým má právo ke čtení pouze root, například soubory s SSH klíči nebo /etc/shadow. V upstreamu již opraveno [oss-security mailing list].

Ladislav Hagara | Komentářů: 1

Singularity, nejnovější otevřený film od Blender Studia

14.5. 17:22 | Komunita

Singularity (YouTube) je nejnovější otevřený film od Blender Studia. Jedná se o jejich první 4K HDR film.

Ladislav Hagara | Komentářů: 6

Vyšla hra Život Není Krásný: Poslední Exekuce

14.5. 16:55 | Zajímavý software

Vyšla hra Život Není Krásný: Poslední Exekuce (Steam, ProtonDB). Kreslená point & click adventura ze staré školy plná černého humoru a nekorektního násilí. Vžijte se do role zpustlého exekutora Vladimíra Brehowského a projděte s ním jeho poslední pracovní den. Hra volně navazuje na sérii Život Není Krásný.

Ladislav Hagara | Komentářů: 27

Fedora Hummingbird Linux

14.5. 14:00 | Zajímavý projekt

Společnost Red Hat představila Fedora Hummingbird, tj. linuxovou distribuci s nativním kontejnerovým designem určenou pro vývojáře využívající AI agenty.

Pinhead | Komentářů: 6

Dusklight, hra The Legend of Zelda: Twilight Princess na počítačích a mobilních zařízeních

14.5. 02:22 | Zajímavý software

Hru The Legend of Zelda: Twilight Princess od společnosti Nintendo si lze nově díky projektu Dusklight (původně Dusk) a reverznímu inženýrství zahrát i na počítačích a mobilních zařízeních. Vyžadována je kopie původní hry (textury, modely, hudba, zvukové efekty, …). Ukázka na YouTube. Projekt byl zahájen v srpnu 2020.

Ladislav Hagara | Komentářů: 0

Erlang/OTP 29.0

14.5. 01:11 | Nová verze

Byla vydána nová major verze 29.0 programovacího jazyka Erlang (Wikipedie) a související platformy OTP (Open Telecom Platform, Wikipedie). Detailní přehled novinek na GitHubu.

Ladislav Hagara | Komentářů: 0

Zranitelnost Fragnesia

13.5. 21:22 | Bezpečnostní upozornění

Po zranitelnostech Copy Fail a Dirty Frag přichází zranitelnost Fragnesia. Další lokální eskalace práv na Linuxu. Zatím v upstreamu neopravena. Přiřazeno ji bylo CVE-2026-46300.

Ladislav Hagara | Komentářů: 1

Sovereign Tech Agency podpoří KDE částkou 1 285 200 eur

13.5. 14:00 | Komunita

Sovereign Tech Agency (Wikipedie) prostřednictvím svého fondu Sovereign Tech Fund podpoří KDE částkou 1 285 200 eur.

Ladislav Hagara | Komentářů: 13

Centrum | Napsat | Starší

navrhněte » Anketa

Komentářů: 30, poslední 3.4. 20:20

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / Samba4 share s AD autorizaci

Štítky: ad, bez, chyba, prav, share

Dotaz: Samba4 share s AD autorizaci

31.3.2016 15:04 MP
Samba4 share s AD autorizaci

Přečteno: 795×

Odpovědět | Admin

Zdravim,

ma nekdo zprovoznenou samba4 jako AD member s tim, ze poskytuje sitovy share s autorizaci vuci AD? Drzel jsem se postupu na netu (Debian Jessie), ale at uz s winbind, tak s sssd narazim porad na tyto problemy:

1] nekonzistentni uid/guid na AD member - fakt jako nebudu u kazdyho usera psat uid,guid pri vytvareni pres RSAT.

ale hlavne:

2] nefunguje nastavovani prav na slozkach - viz http://linuxtot.com/add-a-simple-samba-file-server-as-a-domain-member/ ale proste ne a ne to donutit. Na samotnem DC tvorenym taktez samba4 to funguje samozrejme ok. Klasicka chyba kterou dostanu je "Nepodarilo se zobrazit vycet objektu v kontejneru. Pristup byl odepren". Proste jako kdyby samba4 na tom share nemela propoj do AD.

S 1] se da jeste neco udelat, ale bez 2] je mi to cele k nicemu.

Diky, MP

Nástroje: Začni sledovat (0) ?

Odpovědi

31.3.2016 21:44 j
Rozbalit Rozbalit vše Re: Samba4 share s AD autorizaci

... AD neni nic jinyho nez LDAP ... popremejslej o tom.

1.4.2016 00:12 SAM: | skóre: 23 | blog: marsark_linux
Rozbalit Rozbalit vše Re: Samba4 share s AD autorizaci

Máme Sambu 4.2 jako member server integrovanou do AD domény spravované Windows 2012R2 serverem, navíc to máme komplikované tím, že máme navázaný krb5 cross-realm trust s hlavním Kerberos serverem. Funguje to OK. Uživatelé mají v AD UNIX atributy, které jsou jim do AD importovány z centrální databáze uživatelů při založení.

1.4.2016 09:22 MP
Rozbalit Rozbalit vše Re: Samba4 share s AD autorizaci

Presne tohle me zajima. Bylo by mozne ziskat konfiguraci samba.conf, krb5.conf? Predpokladam spravne, ze ten hlavni kerberos server bezi na 2012R2? Samba pouziva winbind(d) nebo jiny zpusob autorizace?

6.4.2016 09:12 SAM: | skóre: 23 | blog: marsark_linux
Rozbalit Rozbalit vše Re: Samba4 share s AD autorizaci

Ten Kerberos server nám běží na MIT Kerberosu. Zrovna připravujeme testovací prostředí pro vyzkoušení krb5 cross realm trustu mezi dvojicí AD serverů.

6.4.2016 09:20 SAM: | skóre: 23 | blog: marsark_linux
Rozbalit Rozbalit vše Re: Samba4 share s AD autorizaci

Žádný velký magic v tom našem smb.conf není - je to z toho Samba member serveru. Běží na Gentoo, ZFS a Samba 4.2.3. Hlavní záležitosti se řeší klikáním na tom Win AD serveru (usermapping: user@REALM.OU.CORP.TLD -> user@CORP.TLD). Konfiguraci k hlavnímu Krb5 serveru dodat nemohu, protože k ní nemám přístup, ale tam se asi vytvářel pouze trust principal pro naše Win AD.

Pokud vím, tak Samba zatím trusty implementované asi nemá.

[global]
        netbios name = hostname
        workgroup = REALM
        security = ADS
        realm = REALM.OU.CORP.TLD

        dedicated keytab file = /etc/krb5.keytab
        kerberos method = secrets and keytab

        idmap config *:backend = tdb
        idmap config *:range = 2000-9999
        idmap config AD:backend = ad
        idmap config AD:schema_mode = rfc2307
        idmap config AD:range = 10000-999999
        winbind nss info = rfc2307
        winbind trusted domains only = no
        winbind use default domain = yes
        winbind enum users  = yes
        winbind enum groups = yes
        winbind refresh tickets = Yes
        vfs objects = acl_xattr
        map acl inherit = Yes
        store dos attributes = Yes

        load printers = no
        printing = bsd
        printcap name = /dev/null
        disable spoolss = yes

[home-external]
        path = /srv/home/external/%U
        read only = no
        admin users = "@AD\Domain Admins"
        valid users = %U

[home-staff]
        path = /srv/home/staff/%U
        read only = no
        admin users = "@AD\Domain Admins"
        valid users = %U

[home-student]
        path = /srv/home/student/%U
        read only = no
        admin users = "@AD\Domain Admins"
        valid users = %U


[group1]
        path = /srv/group1
        read only = no
        admin users = "@AD\Domain Admins"
        valid users = "@AD\Domain Users"

[profiles]
        path = /srv/profiles
        read only = no
        admin users = "@AD\Domain Admins"
        create mask = 0600
        directory mask = 0700
        profile acls = yes
        csc policy = disable

2.4.2016 21:21 zipi | skóre: 21
Rozbalit Rozbalit vše Re: Samba4 share s AD autorizaci

Máš ten linux přiřazen do domény ..? Co ty vypíšou příkazy wbinfo -u (vypíše seznam uživatelů) a wbinfo -g (vypíše seznam skupin)

4.4.2016 09:31 MP
Rozbalit Rozbalit vše Re: Samba4 share s AD autorizaci

Do domeny to pripojene je. Momentalne pres sssd, winbind je kompletne purged, takze wbinfo prikaz neni:

#id prochazka
uid=1000(prochazka) gid=1000(prochazka) groups=1000(prochazka),24(cdrom),25(floppy),29(audio),30(dip),44(video),46(plugdev),108(netdev),395600513(domain users),395601220(admins)

root@vstor1:/home/prochazka# realm list
lan.site.cz
  type: kerberos
  realm-name: LAN.SITE.CZ
  domain-name: lan.site.cz
  configured: kerberos-member
  server-software: active-directory
  client-software: winbind
  required-package: winbind
  required-package: libpam-winbind
  required-package: samba-common-bin
  login-formats: SITE\%U
  login-policy: allow-any-login
lan.site.cz
  type: kerberos
  realm-name: LAN.SITE.CZ
  domain-name: lan.site.cz
  configured: kerberos-member
  server-software: active-directory
  client-software: sssd
  required-package: sssd-tools
  required-package: sssd
  required-package: libnss-sss
  required-package: libpam-sss
  required-package: adcli
  required-package: samba-common-bin
  login-formats: %U
  login-policy: allow-realm-logins

Založit nové vlákno • Nahoru

Tiskni Sdílej: