abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Týden v GNOME a Týden v KDE Plasma (13. a 14. června 2025)
    dnes 15:00 | Zajímavý článek

    Na čem aktuálně pracují vývojáři GNOME a KDE Plasma? Pravidelný přehled novinek v Týden v GNOME a Týden v KDE Plasma.

    Ladislav Hagara | Komentářů: 0
    Kali Linux 2025.2
    13.6. 17:33 | Nová verze

    Byla vydána (𝕏) nová verze 2025.2 linuxové distribuce navržené pro digitální forenzní analýzu a penetrační testování Kali Linux (Wikipedie). Přehled novinek se seznamem nových nástrojů v oficiálním oznámení na blogu.

    Ladislav Hagara | Komentářů: 0
    Dánské ministerstvo pro digitální záležitosti má v plánu přejít na Linux a LibreOffice
    13.6. 10:33 | Komunita

    Dánské ministerstvo pro digitální záležitosti má v plánu přejít na Linux a LibreOffice [It's FOSS News].

    Ladislav Hagara | Komentářů: 20
    AOSP (Android Open Source Project) bez zdrojových kódů specifických pro telefony Pixel od Googlu
    13.6. 09:22 | Komunita

    V úterý Google vydal Android 16. Zdrojové kódy jsou k dispozici na AOSP (Android Open Source Project). Chybí (zatím?) ale zdrojové kódy specifické pro telefony Pixel od Googlu. Projekty jako CalyxOS a GrapheneOS řeší, jak tyto telefony nadále podporovat. Nejistá je podpora budoucích Pixelů. Souvisí to s hrozícím rozdělením Googlu (Google, Chrome, Android)?

    Ladislav Hagara | Komentářů: 3
    Visual Studio Code a VSCodium 1.101
    12.6. 20:22 | Nová verze

    Byla vydána (𝕏) květnová aktualizace aneb nová verze 1.101 editoru zdrojových kódů Visual Studio Code (Wikipedie). Přehled novinek i s náhledy a videi v poznámkách k vydání. Ve verzi 1.101 vyjde také VSCodium, tj. komunitní sestavení Visual Studia Code bez telemetrie a licenčních podmínek Microsoftu.

    Ladislav Hagara | Komentářů: 0
    DevConf.CZ 2025
    12.6. 10:00 | Komunita

    V Brně na FIT VUT probíhá třídenní open source komunitní konference DevConf.CZ 2025. Vstup je zdarma, nutná je ale registrace. Na programu je celá řada zajímavých přednášek, lightning talků, meetupů a workshopů. Přednášky lze sledovat i online na YouTube kanálu konference. Aktuální dění lze sledovat na Matrixu, 𝕏 nebo Mastodonu.

    Ladislav Hagara | Komentářů: 0
    Senát schválil nová pravidla pro kybernetickou bezpečnost
    12.6. 09:44 | IT novinky

    Vyloučení technologií, které by mohly představovat bezpečnostní riziko pro stát, má umožnit zákon o kybernetické bezpečnosti, který včera Senát schválil spolu s novelami navazujících právních předpisů. Norma, kterou nyní dostane k podpisu prezident, počítá rovněž s prověřováním dodavatelů technologií pro stát. Normy mají nabýt účinnosti od třetího měsíce po jejich vyhlášení ve Sbírce zákonů.

    Ladislav Hagara | Komentářů: 4
    Home Assistant 2025.6
    12.6. 01:11 | Nová verze

    Open source platforma Home Assistant (Demo, GitHub, Wikipedie) pro monitorování a řízení inteligentní domácnosti byla vydána v nové verzi 2025.6.

    Ladislav Hagara | Komentářů: 0
    Rocky Linux 10.0
    12.6. 00:55 | Nová verze

    Po Red Hat Enterprise Linuxu a AlmaLinuxu byl v nové stabilní verzi 10.0 vydán také Rocky Linux. Přehled novinek v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 0
    Eclipse IDE 2025-06 aneb Eclipse 4.36
    11.6. 22:55 | Nová verze

    Bylo vydáno Eclipse IDE 2025-06 aneb Eclipse 4.36. Představení novinek tohoto integrovaného vývojového prostředí také na YouTube.

    Ladislav Hagara | Komentářů: 0
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Jaký je váš oblíbený skriptovací jazyk?
     (56%)
     (31%)
     (7%)
     (2%)
     (0%)
     (1%)
     (3%)
    Celkem 267 hlasů
     Komentářů: 16, poslední 8.6. 21:05
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / Pomoc s Kerberosem
    Štítky: ad, ahoj, Apache, engine, For, hash, heslo, Internet, Kerberos, LDAP, oVirt, password, pomoc, proxy, server, service, sítě, test

    Dotaz: Pomoc s Kerberosem

    12.1.2022 16:59 2012
    Pomoc s Kerberosem
    Přečteno: 569×

    Ahoj, snazim se zprovoznit RedHat virtualizaci (nebo Ovirt chcete-li) a napojeni na IDM.

    Dostal jsem se celkem daleko, ze se zaloguji z Ovirt na IDM (FreeIpa), s LDAP uctem admina, heslo je v te LDAP DB jako hash.

    Jenze ta FreeIPA je mimo jine take nastavena jako proxy na AD, takze tam jsou ucty z Kerbera. A tady je trochu potiz.

    Aby to fungovalo, je v navodu toto:

    On the KDC server, use the kadmin utility to create a service principal for the Apache service on the oVirt Engine. The service principal is a reference ID to the KDC for the Apache service.

# kadmin
kadmin> addprinc -randkey HTTP/fqdn-of-rhevm@REALM.COM
Generate a keytab file for the Apache service. The keytab file stores the shared secret key.

The engine-backup command includes the file /etc/httpd/http.keytab when backing up and restoring. If you use a different name for the keytab file, make sure you back up and restore it.

kadmin> ktadd -k /tmp/http.keytab HTTP/fqdn-of-rhevm@REALM.COM
kadmin> quit

    Tady bych potreboval trochu pomoct, s Kerberem az tolik neumim. Pry se porusuje nejaky constraint.

    [root@freeipa ~]# kadmin
Authenticating as principal kadmin/admin@TEST.LOCAL with password.
Password for kadmin/admin@TEST.LOCAL:
kadmin:
kadmin:  addprinc -randkey HTTP/rhvm.test.local@TEST.LOCAL
No policy specified for HTTP/rhvm.test.local@TEST.LOCAL; defaulting to no policy
add_principal: Kerberos database constraints violated while creating "HTTP/rhvm.test.local@TEST.LOCAL".
kadmin:

    V "/var/kerberos/krb5kdc/kadm5.acl" mam:

    
*/admin@TEST.LOCAL     *

    Řešení dotazu:

    Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    12.1.2022 17:23 j
    Rozbalit Rozbalit vše Re: Pomoc s Kerberosem
    Rek bych, ze se snazis vytvorit duplicitni SPNko, takze se to tomu brani.

    Takze kdyz je tam add, tak tam zcela jiste bude list/print/... neco na to tema (neznam to) a vypis si co tam je.

    A vazne neni dobry opisovat nejakej navod aniz bys tusil co delas.

    ---

    Dete s tim guuglem dopice!
    13.1.2022 13:11 2012
    Rozbalit Rozbalit vše Re: Pomoc s Kerberosem
    Jojo, dekuju. Co se tyce duplicit, principal, ktery se tam snazim zadat v te DB neni, snazim se tam dostat: 
    HTTP/rhvm.test.local@TEST.LOCAL
    Aktualne v te Freeipe je: 
    kadmin:  listprincs
admin@TEST.LOCAL
K/M@TEST.LOCAL
krbtgt/TEST.LOCAL@TEST.LOCAL
kadmin/freeipa.TEST.local@TEST.LOCAL
kadmin/admin@TEST.LOCAL
kadmin/changepw@TEST.LOCAL
kiprop/freeipa.TEST.local@TEST.LOCAL
ldap/freeipa.TEST.local@TEST.LOCAL
host/freeipa.TEST.local@TEST.LOCAL
WELLKNOWN/ANONYMOUS@TEST.LOCAL
dogtag/freeipa.TEST.local@TEST.LOCAL
HTTP/freeipa.TEST.local@TEST.LOCAL
cifs/freeipa.TEST.local@TEST.LOCAL
aftersync@TEST.LOCAL
test5@TEST.LOCAL
krbtgt/TEST.LOCAL@NETTEST.LOCAL
krbtgt/TEST@NETTEST.LOCAL
kadmin:
    Taky si tak trochu myslim, jestli se to vubec dela stejne. Ten navod je pro LDAP a Kerboros, ja mam FreeIPU. Nicmene nejake principy ciste z Kerberos by snad platit mohly. Jdu zatim hledat, co dela ten ktadd.
    13.1.2022 14:31 X
    Rozbalit Rozbalit vše Re: Pomoc s Kerberosem
    Ta chyba je celkem bezna a problem je v tom, ze IPA spravuje Kerberos za tebe. => Je potreba pouzit nastroje ipa a ne kadmin. V tomto pripade to bude nejspis 'ipa service-add ..' Zkus si projit nejake navody..
    13.1.2022 22:06 2012 | skóre: 16 | blog: co_me_dneska_napadlo
    Rozbalit Rozbalit vše Re: Pomoc s Kerberosem
    Aha ok, mrknu zitra.
    Řešení 1× (2012)
    14.1.2022 13:03 2012
    Rozbalit Rozbalit vše Re: Pomoc s Kerberosem

    Pro FreeIPu jsem keytab nutny pro ten kerberos modul Ovirtu vygeneroval takto:

    [root@freeipa ~]# ipa host-add --force --ip-address=10.30.237.37 rhvh.test.local
-----------------------------
Added host "rhvh.test.local"
-----------------------------
  Host name: rhvh.test.local
  Principal name: host/rhvh.test.local@TEST.LOCAL
  Principal alias: host/rhvh.test.local@TEST.LOCAL
  Password: False
  Keytab: False
  Managed by: rhvh.test.local

[root@freeipa ~]# ipa service-add --force HTTP/rhvh.test.local@TEST.LOCAL
-------------------------------------------------
Added service "HTTP/rhvh.test.local@TEST.LOCAL"
-------------------------------------------------
  Principal name: HTTP/rhvh.test.local@TEST.LOCAL
  Principal alias: HTTP/rhvh.test.local@TEST.LOCAL
  Managed by: rhvh.test.local

[root@freeipa ~]# ipa-getkeytab -s freeipa.test.local -p HTTP/rhvh.test.local -k /etc/httpd/conf/ipa.keytab
Keytab successfully retrieved and stored in: /etc/httpd/conf/ipa.keytab

    Dekuji.

    13.1.2022 14:44 Ivan
    Rozbalit Rozbalit vše Re: Pomoc s Kerberosem
    kadmin je tool pro management MIT Kerberos serveru. AD kerberos od MS s nim managovat nemuzes, i kdyz hodne navodu na netu je zavadejicich. Pridat SPN muzes bud spustenim prikazu na AD serveru, anebo pouzij MS AD utils.

    Microsoft vytvoril v go aplikaci, kterou muzes managovat jejich AD i z Linuxu. PS: tvoje problemy tim nekonci, protoze na vytvroeni SPN potrebuje celkem specificky prava.
    13.1.2022 14:54 j
    Rozbalit Rozbalit vše Re: Pomoc s Kerberosem
    Jestli to je widli AD srv, tak setspn je ten spravnej widlo tool. Domenovej admin to pak jisti ten to muze.

    A funguje to teda i z klienta, netreba to poustet na serveru.

    Pocitam ze by to mohlo mit nejakou powershell alternaci, a tudiz by to mohlo jit (s tim powershellem) udelat i z tuxe.

    https://stackoverflow.com/questions/21941047/powershell-replacement-for-setspn

    Chmm

    ---

    Dete s tim guuglem dopice!
    13.1.2022 15:01 2012
    Rozbalit Rozbalit vše Re: Pomoc s Kerberosem
    Nene, je to FreeIPA nastavena jako proxy na AD.
    13.1.2022 15:13 Ivan
    Rozbalit Rozbalit vše Re: Pomoc s Kerberosem
    Jako ze IPA se pripojuje k AD pres LDAP a kerberos server je na Linuxu? Tak to beru vse zpatky.
    13.1.2022 21:54 2012 | skóre: 16 | blog: co_me_dneska_napadlo
    Rozbalit Rozbalit vše Re: Pomoc s Kerberosem
    Ano je nastaveny trust na AD cimz padem, Kerberos na FreeIPE leze s dotazy rovnou na AD.
    13.1.2022 15:11 Ivan
    Rozbalit Rozbalit vše Re: Pomoc s Kerberosem
    Ten adutil je popsanej tady (puvodne to asi bylo vyvinuty pro MS SQL server na Linuxu) https://docs.microsoft.com/en-us/sql/linux/sql-server-linux-ad-auth-adutil-tutorial?view=sql-server-ver15 
    adutil spn addauto -n sqluser -s MSSQLSvc -H mymachine.contoso.com -p 1433
    Dalsi moznost je leave a join AD. Na oboje operace jsou potreba celkem minimalni prava (full control nad nejakym kontejnerem v AD) a behem join AD si muzes rict jaky SPN ches pro svuj server. Pro pridani SPN k serveru potrebuje prava admina.

    Napr: 
    adcli join --domain-ou='OU=Servers,DC=prod' -V 'ORACLE' --show-details --show-password -v -U dbadmin
...
 * Discovered which keytab salt to use
 * Added the entries to the keytab: RHEL7A-19-RESTA$@PROD: FILE:/etc/krb5.keytab
 * Added the entries to the keytab: ORACLE/RHEL7A-19-RESTA@PROD: FILE:/etc/krb5.keytab
 * Added the entries to the keytab: ORACLE/rhel7a-19-restart.prod@PROD: FILE:/etc/krb5.keytab
 * Added the entries to the keytab: host/RHEL7A-19-RESTA@PROD.VMWARE.HAF: FILE:/etc/krb5.keytab
 * Added the entries to the keytab: host/rhel7a-19-restart.prod@PROD: FILE:/etc/krb5.keytab
 * Added the entries to the keytab: RestrictedKrbHost/RHEL7A-19-RESTA@PROD: FILE:/etc/krb5.keytab
 * Added the entries to the keytab: RestrictedKrbHost/rhel7a-19-restart.prod@PROD: FILE:/etc/krb5.keytab
    Tohle vytvori dalsi SPN "ORACLE" pro Linux server, ktery joinuje AD.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.