Přihlášení | Registrace

napište » Zprávičky

včera 17:33 | Pozvánky

Spolek OpenAlt zve příznivce otevřených řešení a přístupu na 211. sraz, který proběhne v pátek 19. září od 18:00 ve Studentském klubu U Kachničky na Fakultě informačních technologií Vysokého učení technického na adrese Božetěchova 2/1. Na srazu proběhne přednáška Jiřího Eischmanna o nové verzi prostředí GNOME 49. Nemáte-li možnost se zúčastnit osobně, přednáškový blok bude opět streamován živě na server VHSky.cz a následně i zpřístupněn záznam.

Ladislav Hagara | Komentářů: 0

Microsoft se vyhnul pokutě EU, slíbil oddělit Teams od programů Office

včera 01:33 | IT novinky

Microsoft se vyhnul pokutě od Evropské komise za zneužívání svého dominantního postavení na trhu v souvislosti s aplikací Teams. S komisí se dohodl na závazcích, které slíbil splnit. Unijní exekutivě se nelíbilo, že firma svazuje svůj nástroj pro chatování a videohovory Teams se sadou kancelářských programů Office. Microsoft nyní slíbil jasné oddělení aplikace od kancelářských nástrojů, jako jsou Word, Excel a Outlook. Na Microsoft si

… více »

Ladislav Hagara | Komentářů: 3

Samba 4.23.0

12.9. 14:00 | Nová verze

Samba (Wikipedie), svobodná implementace SMB a Active Directory, byla vydána ve verzi 4.23.0. Počínaje verzí Samba 4.23 jsou unixová rozšíření SMB3 ve výchozím nastavení povolena. Přidána byla podpora SMB3 přes QUIC. Nová utilita smb_prometheus_endpoint exportuje metriky ve formátu Prometheus.

Ladislav Hagara | Komentářů: 0

F-Droid: Jak FOSS projekty řeší žádosti o odstranění nelegálního obsahu

12.9. 12:00 | Zajímavý článek

Správcovský tým repozitáře F-Droid pro Android sdílí doporučení, jak řešit žádosti o odstranění nelegálního obsahu. Základem je mít nastavené formální procesy, vyhrazenou e-mailovou adresu a být transparentní. Zdůrazňují také důležitost volby jurisdikce (F-Droid je v Nizozemsku).

🇵🇸 | Komentářů: 20

Další zranitelnost v procesorech: VMScape (CVE-2025-40300)

12.9. 05:33 | Bezpečnostní upozornění

Byly publikovány informace o další zranitelnosti v procesorech. Nejnovější zranitelnost byla pojmenována VMScape (CVE-2025-40300, GitHub) a v upstream Linuxech je již opravena. Jedná se o variantu Spectre. KVM host může číst data z uživatelského prostoru hypervizoru, např. QEMU.

Ladislav Hagara | Komentářů: 0

Apache Software Foundation má nové logo

11.9. 22:00 | Komunita

V červenci loňského roku organizace Apache Software Foundation (ASF) oznámila, že se částečně přestane dopouštět kulturní apropriace a změní své logo. Dnes bylo nové logo představeno. "Indiánské pírko" bylo nahrazeno dubovým listem a text Apache Software Foundation zkratkou ASF. Slovo Apache se bude "zatím" dál používat. Oficiální název organizace zůstává Apache Software Foundation, stejně jako názvy projektů, například Apache HTTP Server.

Ladislav Hagara | Komentářů: 14

Visual Studio Code a VSCodium 1.104

11.9. 17:33 | Nová verze

Byla vydána (𝕏) srpnová aktualizace aneb nová verze 1.104 editoru zdrojových kódů Visual Studio Code (Wikipedie). Přehled novinek i s náhledy a videi v poznámkách k vydání. Ve verzi 1.104 vyjde také VSCodium, tj. komunitní sestavení Visual Studia Code bez telemetrie a licenčních podmínek Microsoftu.

Ladislav Hagara | Komentářů: 1

Spotify spustilo přehrávání v bezztrátové kvalitě

11.9. 15:33 | IT novinky

Spotify spustilo přehrávání v bezztrátové kvalitě. V předplatném Spotify Premium.

Ladislav Hagara | Komentářů: 0

Ellison vystřídal Muska na postu nejbohatšího člověka světa

11.9. 15:00 | IT novinky

Spoluzakladatel a předseda správní rady americké softwarové společnosti Oracle Larry Ellison vystřídal spoluzakladatele automobilky Tesla a dalších firem Elona Muska na postu nejbohatšího člověka světa. Hodnota Ellisonova majetku díky dnešnímu prudkému posílení ceny akcií Oraclu odpoledne vykazovala nárůst o více než 100 miliard dolarů a dosáhla 393 miliard USD (zhruba 8,2 bilionu Kč). Hodnota Muskova majetku činila zhruba 385 miliard dolarů.

Ladislav Hagara | Komentářů: 7

Eclipse IDE 2025-09 aneb Eclipse 4.37

10.9. 21:22 | Nová verze

Bylo vydáno Eclipse IDE 2025-09 aneb Eclipse 4.37. Představení novinek tohoto integrovaného vývojového prostředí také na YouTube.

Ladislav Hagara | Komentářů: 0

Centrum | Napsat | Starší

navrhněte » Anketa

Pro otevření více webových stránek ve webovém prohlížečí používám

Taby (82%)

Panely (6%)

Záložky (3%)

Listy (3%)

Něco jiného (4%)

Nic (2%)

Celkem 171 hlasů

Komentářů: 12, poslední 10.9. 13:00

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / Pomoc s Kerberosem

Štítky: ad, ahoj, Apache, engine, For, hash, heslo, Internet, Kerberos, LDAP, oVirt, password, pomoc, proxy, server, service, sítě, test

Dotaz: Pomoc s Kerberosem

12.1.2022 16:59 2012
Pomoc s Kerberosem

Přečteno: 579×

Odpovědět | Admin

Ahoj, snazim se zprovoznit RedHat virtualizaci (nebo Ovirt chcete-li) a napojeni na IDM.

Dostal jsem se celkem daleko, ze se zaloguji z Ovirt na IDM (FreeIpa), s LDAP uctem admina, heslo je v te LDAP DB jako hash.

Jenze ta FreeIPA je mimo jine take nastavena jako proxy na AD, takze tam jsou ucty z Kerbera. A tady je trochu potiz.

Aby to fungovalo, je v navodu toto:

On the KDC server, use the kadmin utility to create a service principal for the Apache service on the oVirt Engine. The service principal is a reference ID to the KDC for the Apache service.

# kadmin
kadmin> addprinc -randkey HTTP/fqdn-of-rhevm@REALM.COM
Generate a keytab file for the Apache service. The keytab file stores the shared secret key.

The engine-backup command includes the file /etc/httpd/http.keytab when backing up and restoring. If you use a different name for the keytab file, make sure you back up and restore it.

kadmin> ktadd -k /tmp/http.keytab HTTP/fqdn-of-rhevm@REALM.COM
kadmin> quit

Tady bych potreboval trochu pomoct, s Kerberem az tolik neumim. Pry se porusuje nejaky constraint.

[root@freeipa ~]# kadmin
Authenticating as principal kadmin/admin@TEST.LOCAL with password.
Password for kadmin/admin@TEST.LOCAL:
kadmin:
kadmin:  addprinc -randkey HTTP/rhvm.test.local@TEST.LOCAL
No policy specified for HTTP/rhvm.test.local@TEST.LOCAL; defaulting to no policy
add_principal: Kerberos database constraints violated while creating "HTTP/rhvm.test.local@TEST.LOCAL".
kadmin:

V "/var/kerberos/krb5kdc/kadm5.acl" mam:


*/admin@TEST.LOCAL     *

Řešení dotazu:

Komentář #11 (2012, 1 hlasů)

Nástroje: Začni sledovat (0) ?

Odpovědi

12.1.2022 17:23 j
Rozbalit Rozbalit vše Re: Pomoc s Kerberosem

Rek bych, ze se snazis vytvorit duplicitni SPNko, takze se to tomu brani.

Takze kdyz je tam add, tak tam zcela jiste bude list/print/... neco na to tema (neznam to) a vypis si co tam je.

A vazne neni dobry opisovat nejakej navod aniz bys tusil co delas.

---

Dete s tim guuglem dopice!

13.1.2022 13:11 2012
Rozbalit Rozbalit vše Re: Pomoc s Kerberosem

Jojo, dekuju. Co se tyce duplicit, principal, ktery se tam snazim zadat v te DB neni, snazim se tam dostat:

HTTP/rhvm.test.local@TEST.LOCAL

Aktualne v te Freeipe je:

kadmin:  listprincs
admin@TEST.LOCAL
K/M@TEST.LOCAL
krbtgt/TEST.LOCAL@TEST.LOCAL
kadmin/freeipa.TEST.local@TEST.LOCAL
kadmin/admin@TEST.LOCAL
kadmin/changepw@TEST.LOCAL
kiprop/freeipa.TEST.local@TEST.LOCAL
ldap/freeipa.TEST.local@TEST.LOCAL
host/freeipa.TEST.local@TEST.LOCAL
WELLKNOWN/ANONYMOUS@TEST.LOCAL
dogtag/freeipa.TEST.local@TEST.LOCAL
HTTP/freeipa.TEST.local@TEST.LOCAL
cifs/freeipa.TEST.local@TEST.LOCAL
aftersync@TEST.LOCAL
test5@TEST.LOCAL
krbtgt/TEST.LOCAL@NETTEST.LOCAL
krbtgt/TEST@NETTEST.LOCAL
kadmin:

Taky si tak trochu myslim, jestli se to vubec dela stejne. Ten navod je pro LDAP a Kerboros, ja mam FreeIPU. Nicmene nejake principy ciste z Kerberos by snad platit mohly. Jdu zatim hledat, co dela ten ktadd.

13.1.2022 14:31 X
Rozbalit Rozbalit vše Re: Pomoc s Kerberosem

Ta chyba je celkem bezna a problem je v tom, ze IPA spravuje Kerberos za tebe. => Je potreba pouzit nastroje ipa a ne kadmin. V tomto pripade to bude nejspis 'ipa service-add ..' Zkus si projit nejake navody..

13.1.2022 22:06 2012 | skóre: 16 | blog: co_me_dneska_napadlo
Rozbalit Rozbalit vše Re: Pomoc s Kerberosem

Aha ok, mrknu zitra.

Řešení 1× (2012)

14.1.2022 13:03 2012
Rozbalit Rozbalit vše Re: Pomoc s Kerberosem

Pro FreeIPu jsem keytab nutny pro ten kerberos modul Ovirtu vygeneroval takto:

[root@freeipa ~]# ipa host-add --force --ip-address=10.30.237.37 rhvh.test.local
-----------------------------
Added host "rhvh.test.local"
-----------------------------
  Host name: rhvh.test.local
  Principal name: host/rhvh.test.local@TEST.LOCAL
  Principal alias: host/rhvh.test.local@TEST.LOCAL
  Password: False
  Keytab: False
  Managed by: rhvh.test.local

[root@freeipa ~]# ipa service-add --force HTTP/rhvh.test.local@TEST.LOCAL
-------------------------------------------------
Added service "HTTP/rhvh.test.local@TEST.LOCAL"
-------------------------------------------------
  Principal name: HTTP/rhvh.test.local@TEST.LOCAL
  Principal alias: HTTP/rhvh.test.local@TEST.LOCAL
  Managed by: rhvh.test.local

[root@freeipa ~]# ipa-getkeytab -s freeipa.test.local -p HTTP/rhvh.test.local -k /etc/httpd/conf/ipa.keytab
Keytab successfully retrieved and stored in: /etc/httpd/conf/ipa.keytab

Dekuji.

13.1.2022 14:44 Ivan
Rozbalit Rozbalit vše Re: Pomoc s Kerberosem

kadmin je tool pro management MIT Kerberos serveru. AD kerberos od MS s nim managovat nemuzes, i kdyz hodne navodu na netu je zavadejicich. Pridat SPN muzes bud spustenim prikazu na AD serveru, anebo pouzij MS AD utils.

Microsoft vytvoril v go aplikaci, kterou muzes managovat jejich AD i z Linuxu. PS: tvoje problemy tim nekonci, protoze na vytvroeni SPN potrebuje celkem specificky prava.

13.1.2022 14:54 j
Rozbalit Rozbalit vše Re: Pomoc s Kerberosem

Jestli to je widli AD srv, tak setspn je ten spravnej widlo tool. Domenovej admin to pak jisti ten to muze.

A funguje to teda i z klienta, netreba to poustet na serveru.

Pocitam ze by to mohlo mit nejakou powershell alternaci, a tudiz by to mohlo jit (s tim powershellem) udelat i z tuxe.

https://stackoverflow.com/questions/21941047/powershell-replacement-for-setspn

Chmm

---

Dete s tim guuglem dopice!

13.1.2022 15:01 2012
Rozbalit Rozbalit vše Re: Pomoc s Kerberosem

Nene, je to FreeIPA nastavena jako proxy na AD.

13.1.2022 15:13 Ivan
Rozbalit Rozbalit vše Re: Pomoc s Kerberosem

Jako ze IPA se pripojuje k AD pres LDAP a kerberos server je na Linuxu? Tak to beru vse zpatky.

13.1.2022 21:54 2012 | skóre: 16 | blog: co_me_dneska_napadlo
Rozbalit Rozbalit vše Re: Pomoc s Kerberosem

Ano je nastaveny trust na AD cimz padem, Kerberos na FreeIPE leze s dotazy rovnou na AD.

13.1.2022 15:11 Ivan
Rozbalit Rozbalit vše Re: Pomoc s Kerberosem

Ten adutil je popsanej tady (puvodne to asi bylo vyvinuty pro MS SQL server na Linuxu) https://docs.microsoft.com/en-us/sql/linux/sql-server-linux-ad-auth-adutil-tutorial?view=sql-server-ver15

adutil spn addauto -n sqluser -s MSSQLSvc -H mymachine.contoso.com -p 1433

Dalsi moznost je leave a join AD. Na oboje operace jsou potreba celkem minimalni prava (full control nad nejakym kontejnerem v AD) a behem join AD si muzes rict jaky SPN ches pro svuj server. Pro pridani SPN k serveru potrebuje prava admina.

Napr:

adcli join --domain-ou='OU=Servers,DC=prod' -V 'ORACLE' --show-details --show-password -v -U dbadmin
...
 * Discovered which keytab salt to use
 * Added the entries to the keytab: RHEL7A-19-RESTA$@PROD: FILE:/etc/krb5.keytab
 * Added the entries to the keytab: ORACLE/RHEL7A-19-RESTA@PROD: FILE:/etc/krb5.keytab
 * Added the entries to the keytab: ORACLE/rhel7a-19-restart.prod@PROD: FILE:/etc/krb5.keytab
 * Added the entries to the keytab: host/RHEL7A-19-RESTA@PROD.VMWARE.HAF: FILE:/etc/krb5.keytab
 * Added the entries to the keytab: host/rhel7a-19-restart.prod@PROD: FILE:/etc/krb5.keytab
 * Added the entries to the keytab: RestrictedKrbHost/RHEL7A-19-RESTA@PROD: FILE:/etc/krb5.keytab
 * Added the entries to the keytab: RestrictedKrbHost/rhel7a-19-restart.prod@PROD: FILE:/etc/krb5.keytab

Tohle vytvori dalsi SPN "ORACLE" pro Linux server, ktery joinuje AD.

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje