Inzerujte na AbcPráce.cz od 950 Kč

napište » Zprávičky

Calibre 9.0

dnes 16:00 | Nová verze

Byla vydána nová major verze 9.0 softwaru pro správu elektronických knih Calibre (Wikipedie). Přehled novinek v poznámkách k vydání. Vypíchnuta je podpora AI.

Ladislav Hagara | Komentářů: 0

Wasmer 7.0

dnes 14:22 | Nová verze

Wasmer byl vydán ve verzi 7.0. Jedná se o běhové prostředí pro programy ve WebAssembly. Zdrojové kódy jsou k dispozici na GitHubu pod licencí MIT.

Ladislav Hagara | Komentářů: 0

Opera GX bude i pro Linux

dnes 12:22 | Zajímavý software

V reakci na nepopulární plán Microsoftu ještě více ve Windows prohloubit integraci umělé inteligence Copilot, Opera na sociální síti 𝕏 oznámila, že připravuje nativní linuxovou verzi prohlížeče Opera GX. Jedná se o internetový prohlížeč zaměřený pro hráče, přičemž obsahuje všechny základní funkce běžného prohlížeče Opera. Kromě integrace sociálních sítí prohlížeč například disponuje 'omezovačem', který umožňuje uživatelům omezit využití sítě, procesoru a paměti prohlížečem, aby se tak šetřily systémové zdroje pro jinou aktivitu.

NUKE GAZA! 🎆 | Komentářů: 4

NVIDIA vydala klienta GeForce NOW pro Linux

dnes 06:22 | Zajímavý software

NVIDIA vydala nativního klienta své cloudové herní služby GeForce NOW pro Linux. Zatím v beta verzi.

Ladislav Hagara | Komentářů: 3

Open Gaming Collective (OGC)

dnes 04:33 | Zajímavý projekt

Open Gaming Collective (OGC) si klade za cíl sdružit všechny klíčové projekty v oblasti linuxového hraní počítačových her. Zakládajícími členy jsou Universal Blue a Bazzite, ASUS Linux, ShadowBlip, PikaOS a Fyra Labs. Strategickými partnery a klíčovými přispěvateli ChimeraOS, Nobara, Playtron a další. Cílem je centralizovat úsilí, takže namísto toho, aby každá distribuce udržovala samostatné opravy systému a podporu hardwaru na

… více »

NUKE GAZA! 🎆 | Komentářů: 0

12 zranitelností v OpenSSL

dnes 04:11 | Bezpečnostní upozornění

V kryptografické knihovně OpenSSL bylo nalezeno 12 zranitelností. Opraveny jsou v upstream verzích OpenSSL 3.6.1, 3.5.5, 3.4.4, 3.3.6 a 3.0.19. Zranitelnosti objevila společnost AISLE pomocí svého autonomního analyzátoru.

Ladislav Hagara | Komentářů: 0

Xfce bude mít vlastní kompozitor pro Wayland s názvem xfwl4

včera 20:11 | Zajímavý software

Desktopové prostředí Xfce bude mít vlastní kompozitor pro Wayland s názvem xfwl4. V programovacím jazyce Rust s využitím stavebních bloků z projektu Smithay jej napíše Brian Tarricone. Úprava stávajícího xfwm4 tak, aby paralelně podporoval X11 i Wayland, se ukázala jako špatná cesta.

Ladislav Hagara | Komentářů: 4

SonicDE (Sonic Desktop Environment)

včera 19:11 | Komunita

Desktopové prostředí KDE Plasma 6.8 poběží už pouze nad Waylandem. Vývojáři, kteří s rozhodnutím nesouhlasí, vytvořili fork KDE Plasma s názvem SonicDE (Sonic Desktop Environment) s cílem zachovat a vylepšovat podporu X11.

Ladislav Hagara | Komentářů: 6

Vivaldi 7.8

včera 12:22 | Nová verze

Byla vydána nová stabilní verze 7.8 dnes již jedenáctiletého webového prohlížeče Vivaldi (Wikipedie). Postavena je na Chromiu 144. Přehled novinek i s náhledy v příspěvku na blogu.

Ladislav Hagara | Komentářů: 12

GNU gettext 1.0

včera 10:33 | Nová verze

GNU gettext (Wikipedie), tj. sada nástrojů pro psaní vícejazyčných programů, dospěl do verze 1.0. Po více než 30 letech vývoje. Přehled novinek v souboru NEWS.

Ladislav Hagara | Komentářů: 1

Centrum | Napsat | Starší

navrhněte » Anketa

Komentářů: 22, poslední včera 23:06

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / Samba: přihlášení do domény s již existujícím machine accountem

Štítky: ad, CentOS, distribuce, domény, For, následující, net, password, problém, přihlášení, restart, Samba, server

Dotaz: Samba: přihlášení do domény s již existujícím machine accountem

2.8.2016 19:20 MadCatX | skóre: 28 | blog: dev_urandom
Samba: přihlášení do domény s již existujícím machine accountem

Přečteno: 351×

Odpovědět | Admin

Ahojte,

řeším následující problém. V síti je servřík, na kterém je Sambou nasdíleno několik adresářů, ke kterým mají přístup je vybraní uživatelé. Uživatelské účty jsou ověřovány proti Active Directory, na kterém je pro server zřízen machine account. Vše funguje až na následující nedostatek. Po restartu serveru je nutné ručně spustit

kinit mujUsername
$ Enter password for mujUsername%DOMAIN: (tajné heslo)
systemctl restart winbind

aby měla Samba k AD přístup. Všude na netu se doporučuje použít net ads join, který ale jak jsem pochopil zároveň vytvoří na ADčku potřebný machine account, k čemuž uživatel, skrze kterého přihlašuji Sambu do domény nemá oprávnění a nic se tudíž neprovede. Existuje způsob, jak říci Sambě „tady máš přihlašovací údaje, použij je a neřeš machine account, protože už existuje?“ Brr, snad to dává smysl. Díky.

CentOS 7, Samba 4, ADčko tuším na WinServ 2012.

Řešení dotazu:

Komentář #1 (Sten, 1 hlasů)

Nástroje: Začni sledovat (1) ?

Odpovědi

Řešení 1× (MadCatX (tazatel))

2.8.2016 19:46 Sten
Rozbalit Rozbalit vše Re: Samba: přihlášení do domény s již existujícím machine accountem

Ten winbind server potřebuje nějakou identitu, aby se mohl připojit. Standardně se používá klíč pro příslušný service principal, který je vázaný na host identity. Ve vašem případě spouštíte winbind s principalem vašeho uživatele, což je dost v rozporu s tím, jak má Kerberos fungovat. Ten winbind totiž může v doméně dělat cokoliv, co vy.

Pokud to ale přeci jen chcete udělat, doporučuji alespoň používat nepředávatelné lístky (kinit -FP). Pro winbind můžete vytvořit drop-in konfiguraci, kam lze přidat potřebný kinit, kterému lze předat keytab s přihlašovacími údaji, aby nepotřeboval heslo: /etc/systemd/system/winbind.service.d/kinit.conf

[Service]
ExecStartPre=/usr/bin/kinit -FPkt /home/$username/krb5.keytab $username

Potřebný keytab můžete vytvořit pomocí ktutil:

ktutil
> addent -password -p $username -k 1 -e RC4-HMAC
> wkt /home/$username/krb5.keytab

Pozor na to, že kdokoliv, kdo získá přístup k tomuto keytabu, se může kdekoliv v doméně vydávat za vás!

2.8.2016 21:38 MadCatX | skóre: 28 | blog: dev_urandom
Rozbalit Rozbalit vše Re: Samba: přihlášení do domény s již existujícím machine accountem

Ten winbind server potřebuje nějakou identitu, aby se mohl připojit. Standardně se používá klíč pro příslušný service principal, který je vázaný na host identity. Ve vašem případě spouštíte winbind s principalem vašeho uživatele, což je dost v rozporu s tím, jak má Kerberos fungovat. Ten winbind totiž může v doméně dělat cokoliv, co vy.

Jasné, bohužel musím vyžít v rámci politiky místní sítě, kde se to takto zřejmě řeší. User, kterým se identifikuji by měl mít v doméně minimální práva.

Pokud to ale přeci jen chcete udělat, doporučuji alespoň používat nepředávatelné lístky (kinit -FP). Pro winbind můžete vytvořit drop-in konfiguraci, kam lze přidat potřebný kinit, kterému lze předat keytab s přihlašovacími údaji, aby nepotřeboval heslo: /etc/systemd/system/winbind.service.d/kinit.conf
[Service]
ExecStartPre=/usr/bin/kinit -FPkt /home/$username/krb5.keytab $username
Potřebný keytab můžete vytvořit pomocí ktutil:
ktutil
> addent -password -p $username -k 1 -e RC4-HMAC
> wkt /home/$username/krb5.keytab
Pozor na to, že kdokoliv, kdo získá přístup k tomuto keytabu, se může kdekoliv v doméně vydávat za vás!

Super, tohle vypadá dobře, vyzkouším. Díky.

4.8.2016 20:36 MadCatX | skóre: 28 | blog: dev_urandom
Rozbalit Rozbalit vše Re: Samba: přihlášení do domény s již existujícím machine accountem

Skvěle, vyzkoušeno a zatím se zdá, že to funguje.

Založit nové vlákno • Nahoru

Tiskni Sdílej: