V jádře Linux byla nalezena a v upstreamu již byla opravena kritická zranitelnost GhostLock aneb CVE-2026-43499. Lokálnímu uživateli umožňuje získat práva roota a také obejít kontejnerovou izolaci. Zranitelnost existovala v Linuxu 15 let, tj. od roku 2011, od Linuxu verze 2.6.39.
Evropská komise předběžně shledala, že návykový design aplikací Instagram a Facebook od americké společnosti Meta porušuje unijní nařízení o digitálních službách (DSA). Návykový design zahrnuje například takzvané nekonečné posouvání, automatické přehrávání videí, tzv. push notifikace, kdy aplikace uživatele vybízí k návratu do jejího prostředí, či vysoce personalizovaný algoritmus, který rychle pozná, co uživatele baví a snaží
… více »Byla vydána verze 1.97.0 programovacího jazyka Rust (Wikipedie). Podrobnosti v poznámkách k vydání. Vyzkoušet Rust lze například na stránce Rust by Example.
Švýcarská společnost Punkt. má nově v nabídce telefon Punkt. MC03. Telefon byl navržen ve Švýcarsku s důrazem na soukromí a digitální suverenitu a vyroben v Německu. V telefonu běží operační systém AphyOS (Apostrophy OS) založený na AOSP (Android Open Source Project) 15. Cena telefonu je 745 eur.
TypeScript (Wikipedie), tj. JavaScript rozšířený o statické typování a další atributy, byl vydán v nové verzi 7.0. Kompilátor byl kvůli výkonu přepsán z TypeScriptu do Go.
Europarlament podpořil pozměněnou verzi výjimky známé jako „chat control 1.0“ umožňující firmám skenovat soukromou komunikaci na internetu kvůli ochraně dětí před zneužitím. Pozměňovací návrhy přijaté europoslanci však počítají s tím, že z výjimky bude vyřazena šifrovaná komunikace. Výjimka přestala platit začátkem dubna poté, co se Evropský parlament a Rada EU nedokázaly shodnout na jejím prodloužení. Rada následně přijala
… více »Nejnovější X.Org X server 21.1.24 a Xwayland 24.1.13 řeší 2 bezpečnostní chyby.
Clement "Clem" Lefebvre publikoval souhrn dění v Linux Mintu za červen 2026. Vypíchnuta je vylepšená podpora Waylandu. Už není považována za experimentální. V příští verzi Linux Mintu, plánována je na Vánoce, bude běh Cinnamonu plně podporován na X11 i Waylandu. V květnu na vývoj Linux Mintu přispělo 611 dárců celkovou částkou 19 612 dolarů. Dalších 2 326 patronů přispělo na Patreonu celkovou částkou 5 334 dolarů.
V Linuxu v KVM byla nalezena a v upstreamu již byla opravena kritická zranitelnost Januscape aneb CVE-2026-53359. Root na hostovaném počítači (virtuální stroj) může obejít izolaci a získat plnou kontrolu nad hostitelským systémem (DoS útok nebo vzdálené spuštění kódu s právy roota). Na obou hlavních architekturách – Intel i AMD. Zranitelnost v Linuxu existovala téměř 16 let (od srpna 2010 do června 2026).
Tribunál Soudního dvora Evropské unie dnes zamítl několik žalob, v nichž se americká společnost Apple ohrazovala proti pravidlům fungování velkých technologických společností na unijním trhu. Applu se nelíbilo, že jeho obchod s aplikacemi a operační systém iOS mají podléhat přísnějším povinnostem jen proto, že Brusel firmu považuje za takzvaného gatekeepera, tedy strážce přístupu.
- Samba je členem domény: wbinfo -u a wbinfo -g vypisuje uživatele a skupiny. - v logu Could not get unix ID for SID ... moje SID z Windows AD - nsswitch nastaven podle návodu - krb5 nastaven podle návodu - smb.conf nastaven podle návodu - všechny návody z Wiki Samby. - DNS nastaveny podle Samba wikigetent passwd vrací jen lokální uživatele (rady na různých webech neppomáhají). getent passd domena\user nevrací nic Všechny další rady se už jen opakují a nevedou k cíli. Nemá někdo tušení, kde by mohla být chyba? Případně nějaký odzkoušený smb.conf?
Řešení dotazu:
# /etc/nsswitch.conf passwd: compat winbind shadow: compat group: compat winbind hosts: files dns wins networks: files services: files protocols: files rpc: files ethers: files netmasks: files netgroup: files publickey: files bootparams: files automount: files nis aliases: files
Ano winbindd běží: wbinfo -u vypíše všechny uživatele z AD
Když dám do smb.conf: winbind use default domain = yes, tak vypíše jen uživatele (someuser). Když dám no, vypíše uživatele i s doménou INDOM\someuser
/etc/krb5.conf
[libdefaults]
default_realm = INDOM.DOMAIN.CZ
dns_lookup_realm = false
dns_lookup_kdc = true
ticket_lifetime = 600
renew_lifetime = 7d
forwardable = true
[realms]
BRNO.DOMAIN.CZ = {
kdc = pdc.indom.domain.cz
kdc = bdc.indom.domain.cz
default_domain = indom.domain.cz
}
[domain_realm]
.indom.domain.cz = INDOM.DOMAIN.CZ
indom.domain.cz = INDOM.DOMAIN.CZ
.INDOM.DOMAIN.CZ = INDOM.DOMAIN.CZ
INDOM.DOMAIN.CZ = INDOM.DOMAIN.CZ
[logging]
kdc = FILE:/var/log/krb5/krb5kdc.log
admin_server = FILE:/var/log/krb5/kadmind.log
default = SYSLOG:NOTICE:DAEMON
Pokud by bylo možné dodat funkční smb.conf, moc by to pomohlo ... ještě snad proměnné winbind v smb.conf
#--- For the BUILTIN accounts --- idmap config *:range = 10000-3001000 idmap config *:backend = tdb #--- For the AD Domain --- idmap config INDOM:backend = ad idmap config INDOM:range = 2000-9999 #idmap config INDOM:range = 500-4000 idmap config INDOM:schema_mode = rfc2307 #--- Settings for winbind winbind nss info = rfc2307 winbind trusted domains only = no winbind use default domain = yes winbind enum users = yes winbind enum groups = yes winbind nested groups = yes winbind cache time = 10A co je v LOGu (a co mi nejde opravit, ať googluju, jak googluju):
[2017/08/08 14:13:00.007874, 3] ../auth/kerberos/kerberos_pac.c:453(kerberos_decode_pac) Found account name from PAC: someuser [Some User] [2017/08/08 14:13:00.007907, 3] ../source3/auth/user_krb5.c:51(get_user_from_kerberos_info) Kerberos ticket principal name is [someuser@INDOM.DOMAIN.CZ] [2017/08/08 14:13:00.007940, 4] ../source3/auth/user_util.c:362(map_username) Scanning username map /etc/samba/user.map [2017/08/08 14:13:00.009710, 3] ../source3/auth/user_krb5.c:164(get_user_from_kerberos_info) get_user_from_kerberos_info: Username INDOM\someuser is invalid on this system [2017/08/08 14:13:00.009763, 3] ../source3/auth/auth_generic.c:145(auth3_generate_session_info_pac) auth3_generate_session_info_pac: Failed to map kerberos principal to system user (NT_STATUS_LOGON_FAILURE) [2017/08/08 14:13:00.009840, 3] ../source3/smbd/smb2_server.c:3098(smbd_smb2_request_error_ex) smbd_smb2_request_error_ex: smbd_smb2_request_error_ex: idx[1] status[NT_STATUS_ACCESS_DENIED] || at ../source3/smbd/smb2_sesssetup.c:134 [2017/08/08 14:13:00.010770, 4] ../source3/smbd/sec_ctx.c:321(set_sec_ctx_internal) setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0 [2017/08/08 14:13:00.010809, 4] ../source3/smbd/sec_ctx.c:321(set_sec_ctx_internal) setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0 [2017/08/08 14:13:00.010825, 4] ../source3/smbd/sec_ctx.c:321(set_sec_ctx_internal) setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0 [2017/08/08 14:13:00.010840, 4] ../source3/smbd/sec_ctx.c:321(set_sec_ctx_internal) setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0 [2017/08/08 14:13:00.011024, 3] ../source3/smbd/server_exit.c:246(exit_server_common) Server exit (NT_STATUS_CONNECTION_RESET)
To tučně zvýrazněné jsem hledal v google naposledy a žádná rada nepomohla. Stále stejný stav.
PS: doména a uživatel je samozřejmě v reálu jiný. Tady jsem nahradil jsem doménu a uživatele jiným názvem./etc/nsswitch.conf
passwd: files winbind shadow: files winbind group: files winbind hosts: files dns wins myhostname bootparams: nisplus [NOTFOUND=return] files ethers: files netmasks: files networks: files protocols: files rpc: files services: files netgroup: files publickey: nisplus automount: files aliases: files nisplus
/etc/krb5.conf
includedir /var/lib/sss/pubconf/krb5.include.d/
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
dns_lookup_realm = true
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
default_ccache_name = KEYRING:persistent:%{uid}
default_realm = FAKE.BLONDE.CZ
dns_lookup_kdc = true
[realms]
FAKE.BLONDE.CZ = {
}
[domain_realm]
fake.blonde.cz = FAKE.BLONDE.CZ
.fake.blonde.cz = FAKE.BLONDE.CZ
/etc/samba/smb.conf
[global]
vfs objects = acl_xattr
map acl inherit = yes
store dos attributes = yes
inherit acls = yes
acl group control = yes
workgroup = UNKW
netbios name = ECT228-SRV
log file = /var/log/samba/log.%m
max log size = 5000
security = ads
realm = UNKW.FAKE.BLONDE.CZ
preferred master = no
idmap config * : backend = rid
idmap config * : range = 50000-150000
winbind enum groups = yes
winbind enum users = yes
winbind use default domain = yes
winbind refresh tickets = yes
winbind offline logon = no
winbind cache time = 300
winbind separator = +
wins proxy = no
dns proxy = no
template shell = /bin/bash
template homedir = /mnt/storage/home/%U
smb encrypt = auto
client signing = mandatory
server signing = mandatory
load printers = no
cups options = raw
Do not add the winbind entry to the NSS shadow database. This can cause the wbinfo utility fail.https://wiki.samba.org/index.php/Setting_up_Samba_as_a_Domain_Member jen pro info
winbind enum users
Mj, když se podívám na uživatele ve Windows serveru přes Editor atributů, žádné UID není nastaveno
V LOGulog.winbindd-idmap je: Could not get unix ID for SID S-1-5- ....-1121, což je SID mého loginu.
Když zadám getent groups "Domain Users", tak v LOGU je Could not get unix ID for SID S-1-5- ....-513, což je SID pro Domain Users.
Snažím se hledat, co způsobuje tuto chybu a zatím nic nepomáhá.
Pro úplnost: openSuSE Leap 42.2, Samba 4.4.2-11.9.1.3764 a Windows server 2008 R2
Disadvantages:pak jeste poznamka s win 10: https://wiki.samba.org/index.php/Installing_RSAT
- If the Windows Active Directory Users and Computers (ADUC) program is not used, you have to manual track ID values to avoid duplicates.
- The values for the RFC2307 attributes must be set manually.
Missing Unix Attributes tab in ADUC on Windows 10 and Windows Server 2016Nevim, jestli jsem to pochopil spravne, jestli je opravdu u "ad" potreba rucne udrzovat cislovani uid guid... ale me to odradilo a pouzivam backend=rid...
Tiskni
Sdílej: