Byl vydán Debian 13.3, tj. třetí opravná verze Debianu 13 s kódovým názvem Trixie a Debian 12.13, tj. třináctá opravná verze Debianu 12 s kódovým názvem Bookworm. Řešeny jsou především bezpečnostní problémy, ale také několik vážných chyb. Instalační média Debianu 13 a Debianu 12 lze samozřejmě nadále k instalaci používat. Po instalaci stačí systém aktualizovat.
Na stránkách Evropské komise, na portálu Podělte se o svůj názor, se lze do 3. února podělit o názor k iniciativě Evropské otevřené digitální ekosystémy řešící přístup EU k otevřenému softwaru.
Společnost Kagi stojící za stejnojmenným placeným vyhledávačem vydala (𝕏) alfa verzi linuxové verze (flatpak) svého proprietárního webového prohlížeče Orion.
Firma Bose se po tlaku uživatelů rozhodla, že otevře API svých chytrých reproduktorů SoundTouch, což umožní pokračovat v jejich používání i po plánovaném ukončení podpory v letošním roce. Pro ovládání také bude stále možné využívat oficiální aplikaci, ale už pouze lokálně bez cloudových služeb. Dokumentace API dostupná zde (soubor PDF).
Jiří Eischmann se v příspěvku na svém blogu rozepsal o open source AdGuard Home jako domácí ochraně nejen před reklamou. Adguard Home není plnohodnotným DNS resolverem, funguje jako DNS forwarder s možností filtrování. To znamená, že když přijme DNS dotaz, sám na něj neodpoví, ale přepošle ho na vybraný DNS server a odpovědi zpracovává a filtruje dle nastavených pravidel a následně posílá zpět klientům. Dá se tedy používat k blokování reklamy a škodlivých stránek a k rodičovské kontrole na úrovni DNS.
AI Claude Code od Anthropicu lépe rozumí frameworku Nette, tj. open source frameworku pro tvorbu webových aplikací v PHP. David Grudl napsal plugin Nette pro Claude Code.
Byla vydána prosincová aktualizace aneb nová verze 1.108 editoru zdrojových kódů Visual Studio Code (Wikipedie). Přehled novinek i s náhledy a videi v poznámkách k vydání. Ve verzi 1.108 vyjde také VSCodium, tj. komunitní sestavení Visual Studia Code bez telemetrie a licenčních podmínek Microsoftu.
Na lasvegaském veletrhu elektroniky CES byl předveden prototyp notebooku chlazeného pomocí plazmových aktuátorů (DBD). Ačkoliv se nejedná o první nápad svého druhu, nepochybně to je první ukázka praktického použití tohoto způsobu chlazení v běžné elektronice. Co činí plazmové chladící akční členy technologickou výzvou je především vysoká produkce jedovatého ozonu, tu se prý podařilo firmě YPlasma zredukovat dielektrickou
… více »Patchouli je open source implementace EMR grafického tabletu (polohovací zařízení). Projekt je hostován na GitLabu.
Český Nejvyšší soud potvrdil, že česká právní úprava plošného uchování dat o elektronické komunikaci porušuje právo Evropské unie. Pravomocným rozsudkem zamítl dovolání ministerstva průmyslu a obchodu. To se teď musí omluvit novináři Českého rozhlasu Janu Cibulkovi za zásah do práv na ochranu soukromí a osobních údajů. Ve sporu jde o povinnost provozovatelů sítí uchovávat údaje, ze kterých lze odvodit, kdo, s kým a odkud komunikoval.
DenyUsers all AllowUsers ttestUživatel ttest je jen součástí LDAP serveru a není jako uživatel přidaný pomocí adduser.
cat /etc/nsswitch.conf # # nsswitch.conf(5) - name service switch configuration file # $FreeBSD: src/etc/nsswitch.conf,v 1.1.10.1.2.1 2009/10/25 01:10:29 kensmith Exp $ # #group: compat group: files ldap group_compat: nis hosts: files dns networks: files passwd: compat passwd: files ldap #passwd_compat: nis shells: files services: compat services_compat: nis protocols: files rpc: files
cat /etc/pam.d/sshd # auth auth sufficient pam_opie.so no_warn no_fake_prompts auth requisite pam_opieaccess.so no_warn allow_local #auth sufficient pam_krb5.so no_warn try_first_pass #auth sufficient pam_ssh.so no_warn try_first_pass auth required pam_ldap.so #auth required pam_unix.so no_warn try_first_pass # account account required pam_nologin.so #account required pam_krb5.so account required pam_login_access.so account required pam_ldap.so #account required pam_unix.so # session #session optional pam_ssh.so session sufficient pam_ldap.so session required pam_permit.so # password #password sufficient pam_krb5.so no_warn try_first_pass password required pam_ldap.so #password required pam_unix.so no_warn try_first_passMohl by mi prosím někdo pomoci? Tady je error log.
sshd[81597]: pam_ldap: error trying to bind as user "cn=Test Test,ou=Operations,ou=HQ,ou=People,dc=test,dc=com" (Invalid credentials) sshd[81595]: error: PAM: authentication error for illegal user ttest from 1.2.3.4
Řešení dotazu:
cat /usr/local/etc/ldap.conf uri ldap://192.168.1.1/ base ou=People,dc=test,dc=com ldap_version 3 binddn cn=admin,ou=SystemAccounts,dc=test,dc=com bindpw heslo bind_policy soft pam_password md5 nss_base_passwd ou=People,dc=test,dc=com?sub nss_base_shadow ou=People,dc=test,dc=com?sub nss_base_group ou=Groups,dc=test,dc=com?sub nss_initgroups_ignoreusers apt-mirror,avahi,avahi-autoipd,backup,bin,couchdb,daemon,dhcpd,games,gdm,gnats,haldaemon,hplip,irc,kernoops,libuuid,list,lp,mail,man,messagebus,news,proxy,pulse,root,saned,speech-dispatcher,sshd,statd,sync,sys,syslog,uucp,www-data scope one
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
/usr/local/etc/ldap.conf ten správný soubor? V předchozím výpisu je cn=Test Test,ou=Operations,ou=HQ,ou=People,dc=test,dc=com, což tomuhle výpisu neodpovídá.
nss_ldap: could not search LDAP server - Server is unavailablenevím zda mi to může ovlivňovat funkčnost.
sshd pokoušelo přihlásit jako uživatel „cn=Test Test,ou=Operations,ou=HQ,ou=People,dc=test,dc=com“, přičemž z žádného vámi předloženého konfiguráku neplyne, proč zvolil zrovna tyhle přihlašovací údaje. Jako logické mi tedy připadá to, že ve skutečnosti sshd použil jiný konfigurák. Což by nebylo zrovna u přihlašování přes LDAP nic divného, protože tam bývá několik souborů ldap.conf, a každý konfiguruje něco jiného (PAM, NSS, řádkového klienta OpenLDAP…).
pam_filter objectclass=posixAccount pam_login_attribute uid pam_member_attribute memberuidAle i tak to nefunguje a nepřihlásím se. uid je ttest tohoto účtu.
cat /usr/local/etc/ldap.conf uri ldap://192.168.1.1/ #base ou=People,dc=test,dc=com #base dc=test,dc=com ldap_version 3 binddn cn=admin,ou=SystemAccounts,dc=test,dc=com bindpw heslo bind_policy soft pam_password md5 pam_filter objectclass=posixAccount pam_login_attribute uid pam_member_attribute memberuid nss_base_passwd ou=People,dc=test,dc=com?sub nss_base_shadow ou=People,dc=test,dc=com?sub nss_base_group ou=Groups,dc=test,dc=com?sub nss_initgroups_ignoreusers apt-mirror,avahi,avahi-autoipd,backup,bin,couchdb,daemon,dhcpd,games,gdm,gnats,haldaemon,hplip,irc,kernoops,libuuid,list,lp,mail,man,messagebus,news,proxy,pulse,root,saned,speech-dispatcher,sshd,statd,sync,sys,syslog,uucp,www-data scope onenss_ldap.conf mám totožné s ldap.conf
cat /usr/local/etc/nss_ldap.conf uri ldap://192.168.1.1/ #base ou=People,dc=test,dc=com #base dc=test,dc=com ldap_version 3 binddn cn=admin,ou=SystemAccounts,dc=test,dc=com bindpw heslo bind_policy soft pam_password md5 pam_filter objectclass=posixAccount pam_login_attribute uid pam_member_attribute memberuid nss_base_passwd ou=People,dc=test,dc=com?sub nss_base_shadow ou=People,dc=test,dc=com?sub nss_base_group ou=Groups,dc=test,dc=com?sub nss_initgroups_ignoreusers apt-mirror,avahi,avahi-autoipd,backup,bin,couchdb,daemon,dhcpd,games,gdm,gnats,haldaemon,hplip,irc,kernoops,libuuid,list,lp,mail,man,messagebus,news,proxy,pulse,root,saned,speech-dispatcher,sshd,statd,sync,sys,syslog,uucp,www-data scope oneJak mohu vypsat jen jedno konkrétní uid abych ho mohl sem přidat. Pokoušel jsem se pomoci
ldapsearch -x -b 'uid=ttest,ou=People,dc=test,dc=com'ale to mi nic nevypsalo. Moc děkuji za pomoc.
ldapsearch nic nenalezlo, nebo to jen záznam nevypsalo? Připojení z Linuxu znamená, že tam máte SSH server, který se autorizuje proti stejnému LDAPu, nebo že se pokoušíte na to SSH na FreeBSD připojit z linuxového klienta, a funguje to, a když totéž zkusíte z FreeBSD klienta, přihlášení je odmítnuto?
# ldapsearch -x -b '**=Test Test,ou=Operations,ou=HQ,ou=People,dc=test,dc=com' # extended LDIF # # LDAPv3 # base <**=Test Test,ou=Operations,ou=HQ,ou=People,dc=test,dc=com> with scope subtree # filter: (objectclass=*) # requesting: ALL # # Test Test, Operations, HQ, People, test.com dn: **=Test Test,ou=Operations,ou=HQ,ou=People,dc=test,dc=com objectClass: posixAccount objectClass: inetOrgPerson objectClass: organizationalPerson objectClass: person loginShell: /bin/bash gidNumber: 5001 uid: ttest **: Test Test uidNumber: 10013 sn: Test givenName: Test homeDirectory: /home/ttest userPassword:: e1NIQX1hcVFHSnFtajRhbEx1NjZrakpKd0ppZlpsbkUcn jsem musel ve výpisu nahradit pomocí **. Pokud nastavím ldap.conf a nss_ldap.conf na linuxu, tak to bez problému funguje. To znamená že mě mašina na které je linux a nastavené ověřování proti LDAP(freebsd) funguje. Ale pokud chci proti stejnému LDAP(FreeBSD) ověřovat jiný FreeBSD stroj(na kterém shodou okolností jede LDAP server který mě ověřuje, tak to nefunguje. To je ten samej LDAP který mě ověřuje v pořádku na linuxové mašině.
ldapsearch -x -b 'ou=People,dc=test,dc=com' '(uid=ttest)' předpokládám toho uživatele také najde. Pokud můžete manipulovat s tím LDAP serverem, zkusil bych jej spustit s vyšší úrovní logování – od nějaké úrovně loguje i přihlášení a dotazy, takže uvidíte, jak se SSH přihlašuje a případně co se pokouší hledat.
ldapsearch -x -W -D 'cn=Test Test,ou=Operations,ou=HQ,ou=People,dc=test,dc=com' -b 'ou=People,dc=test,dc=com' '(uid=ttest)'
loglevel na -1, mělo by se logovat vše, v tom musí být i dotazy a hesla… Případně můžete zkusit i zvýšit úroveň logování sshd, ale tam podle mne moc informací nebude (i když dn by tam být mohlo).
ttest, ktery by melo provest to ssh. Opravdu se ssh pokousi autorizovat proti tomuhle serveru?
# password #password requisite pam_passwdqc.so enforce=users ###password required pam_unix.so no_warn try_first_pass nullok password required pam_ldap.soa su na:
# # System-wide defaults # # auth auth sufficient pam_opie.so no_warn no_fake_prompts auth requisite pam_opieaccess.so no_warn allow_local #auth sufficient pam_krb5.so no_warn try_first_pass #auth sufficient pam_ssh.so no_warn try_first_pass auth sufficient pam_ldap.so auth required pam_unix.so no_warn try_first_pass nullok # account #account required pam_krb5.so account required pam_login_access.so account sufficient pam_ldap.so account required pam_unix.so # session #session optional pam_ssh.so session required pam_ldap.so session required pam_lastlog.so no_fail # password #password sufficient pam_krb5.so no_warn try_first_pass password required pam_unix.so no_warn try_first_passa pokud se přihlásím běžným uživatelem na server a potom zadám su ttest tak to po mě chce heslo, pokud zadám špatné tak se nepřihlásím ale pokud zadám správné tak se bez problému přihlásím. Což mě utvrdilo že je špatně nastavený /etc/pam.d/ssh. Podotýkám že uživatel v systému neexistuje, je jen v LDAP.
root se v sshd ověřuje uživatel proti /etc/passwd (kde jsou informace o rootovi, smazat roota z /etc/passwd a dát jej do LDAPu bych hodnotil jako velmi odvážný pokus). Při následném su se pak použije konfigurační soubor PAMu pro su, nikoli pro sshd – a jak už jste pravděpodobně zjistil, máte mezi nimi nějaký rozdíl.
Tiskni
Sdílej:
