Přihlášení | Registrace

napište » Zprávičky

dnes 04:00 | IT novinky

Java má dnes 30. narozeniny. Veřejnosti byla představena 23. května 1995.

1. července Mozilla vypne službu Fakespot

včera 21:55 | IT novinky

1. července Mozilla vypne službu Fakespot pro detekci podvodných recenzí v internetových obchodech. Mozilla koupila Fakespot v květnu 2023.

Ladislav Hagara | Komentářů: 1

8. července Mozilla vypne službu Pocket

včera 21:33 | IT novinky

8. července Mozilla vypne službu Pocket (Wikipedie) pro ukládání článků z webu na později. Do 8. října si uživatelé mohou vyexportovat data. Mozilla koupila Pocket v únoru 2017. Několik měsíců byl Pocket integrovanou součástí Firefoxu.

Ladislav Hagara | Komentářů: 2

Turris OS má aktuálně problém s aktualizací související s ukončením podpory OCSP u Let's Encrypt

včera 13:22 | Upozornění

Turris OS má aktuálně problém s aktualizací související s ukončením podpory protokolu OCSP u certifikační autority Let's Encrypt.

Ladislav Hagara | Komentářů: 4

Diskuze o přístupnosti na Linuxu v roce 2025

včera 04:00 | Zajímavý článek

Nevidomý uživatel Linuxu v blogu upozornil na tristní stav přístupnosti na linuxovém desktopu (část první, druhá, závěr), přičemž stížnosti jsou podobné jako v roce 2022. Vyvolal bouřlivou odezvu. Následně např. Georges Stavracas shrnul situaci v GNOME. Debata o jiném aspektu přístupnosti, emulaci vstupu pod Waylandem, také proběhla na Redditu.

Fluttershy, yay! | Komentářů: 8

DevConf.CZ 2025 / Program a registrace

včera 03:00 | Komunita

DevConf.CZ 2025, tj. open source komunitní konference sponzorovaná společností Red Hat, proběhne od 12. do 14. června v Brně na FIT VUT. Publikován byl program a spuštěna byla registrace.

Ladislav Hagara | Komentářů: 0

Erlang/OTP 28.0

21.5. 18:22 | Nová verze

Byla vydána nová major verze 28.0 programovacího jazyka Erlang (Wikipedie) a související platformy OTP (Open Telecom Platform, Wikipedie). Přehled novinek v příspěvku na blogu.

Ladislav Hagara | Komentářů: 0

ČTÚ zveřejnil Výroční zprávu za rok 2024

21.5. 13:11 | Zajímavý článek

Český telekomunikační úřad zveřejnil Výroční zprávu za rok 2024 (pdf), kde shrnuje své aktivity v loňském roce a přináší i základní popis situace na trhu. Celkový objem přenesených mobilních dat za rok 2024 dosáhl dle odhadu hodnoty přibližně 1,73 tis. PB a jeho meziroční nárůst činí zhruba 30 %. Průměrná měsíční spotřeba dat na datovou SIM kartu odhadem dosáhla 12,5 GB – v předchozím roce šlo o 9,8 GB.

Ladislav Hagara | Komentářů: 14

Google spouští v Česku Přehledy od AI

21.5. 12:33 | IT novinky

Z novinek představených na Google I/O 2025: Přehledy od AI (AI Overviews) se rozšiřují do dalších zemí. Užitečné, syntetizované přehledy od generativní AI jsou nově k dispozici i českým uživatelům Vyhledávače.

Ladislav Hagara | Komentářů: 0

Více než polovina světového internetového provozu patří šesti značkám

21.5. 11:44 | IT novinky

Šestice firem označovaných jako „MAMAAN“ – tedy Meta (Facebook, Instagram), Alphabet (Google), Microsoft, Apple, Amazon a Netflix – je zodpovědná za více než padesát procent světového internetového provozu. Dalšími velkými hráči jsou TikTok a Disney+. Společně tak zásadně určují podobu digitálního prostředí, spotřebitelského chování i budoucích trendů v oblasti technologií. I přesto, že se podíl těchto gigantů od roku 2023 o něco snížil, jejich dominantní postavení zvyšuje volání po regulaci.

Ladislav Hagara | Komentářů: 7

Centrum | Napsat | Starší

navrhněte » Anketa

Jaký je váš oblíbený skriptovací jazyk?

bash (56%)

python (28%)

perl (8%)

powershell (3%)

batch (0%)

vbscript (0%)

jiný, uvedu v diskusi (6%)

Celkem 80 hlasů

Komentářů: 6, poslední včera 14:43

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / Samba: přihlášení do domény s již existujícím machine accountem

Štítky: ad, CentOS, distribuce, domény, For, následující, net, password, problém, přihlášení, restart, Samba, server

Dotaz: Samba: přihlášení do domény s již existujícím machine accountem

2.8.2016 19:20 MadCatX | skóre: 28 | blog: dev_urandom
Samba: přihlášení do domény s již existujícím machine accountem

Přečteno: 332×

Odpovědět | Admin

Ahojte,

řeším následující problém. V síti je servřík, na kterém je Sambou nasdíleno několik adresářů, ke kterým mají přístup je vybraní uživatelé. Uživatelské účty jsou ověřovány proti Active Directory, na kterém je pro server zřízen machine account. Vše funguje až na následující nedostatek. Po restartu serveru je nutné ručně spustit

kinit mujUsername
$ Enter password for mujUsername%DOMAIN: (tajné heslo)
systemctl restart winbind

aby měla Samba k AD přístup. Všude na netu se doporučuje použít net ads join, který ale jak jsem pochopil zároveň vytvoří na ADčku potřebný machine account, k čemuž uživatel, skrze kterého přihlašuji Sambu do domény nemá oprávnění a nic se tudíž neprovede. Existuje způsob, jak říci Sambě „tady máš přihlašovací údaje, použij je a neřeš machine account, protože už existuje?“ Brr, snad to dává smysl. Díky.

CentOS 7, Samba 4, ADčko tuším na WinServ 2012.

Řešení dotazu:

Komentář #1 (Sten, 1 hlasů)

Nástroje: Začni sledovat (1) ?

Odpovědi

Řešení 1× (MadCatX (tazatel))

2.8.2016 19:46 Sten
Rozbalit Rozbalit vše Re: Samba: přihlášení do domény s již existujícím machine accountem

Ten winbind server potřebuje nějakou identitu, aby se mohl připojit. Standardně se používá klíč pro příslušný service principal, který je vázaný na host identity. Ve vašem případě spouštíte winbind s principalem vašeho uživatele, což je dost v rozporu s tím, jak má Kerberos fungovat. Ten winbind totiž může v doméně dělat cokoliv, co vy.

Pokud to ale přeci jen chcete udělat, doporučuji alespoň používat nepředávatelné lístky (kinit -FP). Pro winbind můžete vytvořit drop-in konfiguraci, kam lze přidat potřebný kinit, kterému lze předat keytab s přihlašovacími údaji, aby nepotřeboval heslo: /etc/systemd/system/winbind.service.d/kinit.conf

[Service]
ExecStartPre=/usr/bin/kinit -FPkt /home/$username/krb5.keytab $username

Potřebný keytab můžete vytvořit pomocí ktutil:

ktutil
> addent -password -p $username -k 1 -e RC4-HMAC
> wkt /home/$username/krb5.keytab

Pozor na to, že kdokoliv, kdo získá přístup k tomuto keytabu, se může kdekoliv v doméně vydávat za vás!

2.8.2016 21:38 MadCatX | skóre: 28 | blog: dev_urandom
Rozbalit Rozbalit vše Re: Samba: přihlášení do domény s již existujícím machine accountem

Ten winbind server potřebuje nějakou identitu, aby se mohl připojit. Standardně se používá klíč pro příslušný service principal, který je vázaný na host identity. Ve vašem případě spouštíte winbind s principalem vašeho uživatele, což je dost v rozporu s tím, jak má Kerberos fungovat. Ten winbind totiž může v doméně dělat cokoliv, co vy.

Jasné, bohužel musím vyžít v rámci politiky místní sítě, kde se to takto zřejmě řeší. User, kterým se identifikuji by měl mít v doméně minimální práva.

Pokud to ale přeci jen chcete udělat, doporučuji alespoň používat nepředávatelné lístky (kinit -FP). Pro winbind můžete vytvořit drop-in konfiguraci, kam lze přidat potřebný kinit, kterému lze předat keytab s přihlašovacími údaji, aby nepotřeboval heslo: /etc/systemd/system/winbind.service.d/kinit.conf
[Service]
ExecStartPre=/usr/bin/kinit -FPkt /home/$username/krb5.keytab $username
Potřebný keytab můžete vytvořit pomocí ktutil:
ktutil
> addent -password -p $username -k 1 -e RC4-HMAC
> wkt /home/$username/krb5.keytab
Pozor na to, že kdokoliv, kdo získá přístup k tomuto keytabu, se může kdekoliv v doméně vydávat za vás!

Super, tohle vypadá dobře, vyzkouším. Díky.