Byl vydán Debian 13.6, tj. šestá opravná verze Debianu 13 s kódovým názvem Trixie a Debian 12.15, tj. poslední patnáctá opravná verze Debianu 12 s kódovým názvem Bookworm, k dispozici je LTS. Řešeny jsou především bezpečnostní problémy, ale také několik vážných chyb. Instalační média Debianu 13 a Debianu 12 lze samozřejmě nadále k instalaci používat. Po instalaci stačí systém aktualizovat.
V jádře Linux byla nalezena a v upstreamu již byla opravena kritická zranitelnost GhostLock aneb CVE-2026-43499. Lokálnímu uživateli umožňuje získat práva roota a také obejít kontejnerovou izolaci. Zranitelnost existovala v Linuxu 15 let, tj. od roku 2011, od Linuxu verze 2.6.39.
Evropská komise předběžně shledala, že návykový design aplikací Instagram a Facebook od americké společnosti Meta porušuje unijní nařízení o digitálních službách (DSA). Návykový design zahrnuje například takzvané nekonečné posouvání, automatické přehrávání videí, tzv. push notifikace, kdy aplikace uživatele vybízí k návratu do jejího prostředí, či vysoce personalizovaný algoritmus, který rychle pozná, co uživatele baví a snaží
… více »Byla vydána verze 1.97.0 programovacího jazyka Rust (Wikipedie). Podrobnosti v poznámkách k vydání. Vyzkoušet Rust lze například na stránce Rust by Example.
Švýcarská společnost Punkt. má nově v nabídce telefon Punkt. MC03. Telefon byl navržen ve Švýcarsku s důrazem na soukromí a digitální suverenitu a vyroben v Německu. V telefonu běží operační systém AphyOS (Apostrophy OS) založený na AOSP (Android Open Source Project) 15. Cena telefonu je 745 eur.
TypeScript (Wikipedie), tj. JavaScript rozšířený o statické typování a další atributy, byl vydán v nové verzi 7.0. Kompilátor byl kvůli výkonu přepsán z TypeScriptu do Go.
Europarlament podpořil pozměněnou verzi výjimky známé jako „chat control 1.0“ umožňující firmám skenovat soukromou komunikaci na internetu kvůli ochraně dětí před zneužitím. Pozměňovací návrhy přijaté europoslanci však počítají s tím, že z výjimky bude vyřazena šifrovaná komunikace. Výjimka přestala platit začátkem dubna poté, co se Evropský parlament a Rada EU nedokázaly shodnout na jejím prodloužení. Rada následně přijala
… více »Nejnovější X.Org X server 21.1.24 a Xwayland 24.1.13 řeší 2 bezpečnostní chyby.
Clement "Clem" Lefebvre publikoval souhrn dění v Linux Mintu za červen 2026. Vypíchnuta je vylepšená podpora Waylandu. Už není považována za experimentální. V příští verzi Linux Mintu, plánována je na Vánoce, bude běh Cinnamonu plně podporován na X11 i Waylandu. V květnu na vývoj Linux Mintu přispělo 611 dárců celkovou částkou 19 612 dolarů. Dalších 2 326 patronů přispělo na Patreonu celkovou částkou 5 334 dolarů.
V Linuxu v KVM byla nalezena a v upstreamu již byla opravena kritická zranitelnost Januscape aneb CVE-2026-53359. Root na hostovaném počítači (virtuální stroj) může obejít izolaci a získat plnou kontrolu nad hostitelským systémem (DoS útok nebo vzdálené spuštění kódu s právy roota). Na obou hlavních architekturách – Intel i AMD. Zranitelnost v Linuxu existovala téměř 16 let (od srpna 2010 do června 2026).
Ahoj, snazim se zprovoznit RedHat virtualizaci (nebo Ovirt chcete-li) a napojeni na IDM.
Dostal jsem se celkem daleko, ze se zaloguji z Ovirt na IDM (FreeIpa), s LDAP uctem admina, heslo je v te LDAP DB jako hash.
Jenze ta FreeIPA je mimo jine take nastavena jako proxy na AD, takze tam jsou ucty z Kerbera. A tady je trochu potiz.
Aby to fungovalo, je v navodu toto:
On the KDC server, use the kadmin utility to create a service principal for the Apache service on the oVirt Engine. The service principal is a reference ID to the KDC for the Apache service.
# kadmin
kadmin> addprinc -randkey HTTP/fqdn-of-rhevm@REALM.COM
Generate a keytab file for the Apache service. The keytab file stores the shared secret key.
The engine-backup command includes the file /etc/httpd/http.keytab when backing up and restoring. If you use a different name for the keytab file, make sure you back up and restore it.
kadmin> ktadd -k /tmp/http.keytab HTTP/fqdn-of-rhevm@REALM.COM
kadmin> quit
Tady bych potreboval trochu pomoct, s Kerberem az tolik neumim. Pry se porusuje nejaky constraint.
[root@freeipa ~]# kadmin
Authenticating as principal kadmin/admin@TEST.LOCAL with password.
Password for kadmin/admin@TEST.LOCAL:
kadmin:
kadmin: addprinc -randkey HTTP/rhvm.test.local@TEST.LOCAL
No policy specified for HTTP/rhvm.test.local@TEST.LOCAL; defaulting to no policy
add_principal: Kerberos database constraints violated while creating "HTTP/rhvm.test.local@TEST.LOCAL".
kadmin:
V "/var/kerberos/krb5kdc/kadm5.acl" mam:
*/admin@TEST.LOCAL *
Řešení dotazu:
HTTP/rhvm.test.local@TEST.LOCAL
Aktualne v te Freeipe je:
kadmin: listprincs
admin@TEST.LOCAL
K/M@TEST.LOCAL
krbtgt/TEST.LOCAL@TEST.LOCAL
kadmin/freeipa.TEST.local@TEST.LOCAL
kadmin/admin@TEST.LOCAL
kadmin/changepw@TEST.LOCAL
kiprop/freeipa.TEST.local@TEST.LOCAL
ldap/freeipa.TEST.local@TEST.LOCAL
host/freeipa.TEST.local@TEST.LOCAL
WELLKNOWN/ANONYMOUS@TEST.LOCAL
dogtag/freeipa.TEST.local@TEST.LOCAL
HTTP/freeipa.TEST.local@TEST.LOCAL
cifs/freeipa.TEST.local@TEST.LOCAL
aftersync@TEST.LOCAL
test5@TEST.LOCAL
krbtgt/TEST.LOCAL@NETTEST.LOCAL
krbtgt/TEST@NETTEST.LOCAL
kadmin:
Taky si tak trochu myslim, jestli se to vubec dela stejne. Ten navod je pro LDAP a Kerboros, ja mam FreeIPU. Nicmene nejake principy ciste z Kerberos by snad platit mohly. Jdu zatim hledat, co dela ten ktadd.
Pro FreeIPu jsem keytab nutny pro ten kerberos modul Ovirtu vygeneroval takto:
[root@freeipa ~]# ipa host-add --force --ip-address=10.30.237.37 rhvh.test.local
-----------------------------
Added host "rhvh.test.local"
-----------------------------
Host name: rhvh.test.local
Principal name: host/rhvh.test.local@TEST.LOCAL
Principal alias: host/rhvh.test.local@TEST.LOCAL
Password: False
Keytab: False
Managed by: rhvh.test.local
[root@freeipa ~]# ipa service-add --force HTTP/rhvh.test.local@TEST.LOCAL
-------------------------------------------------
Added service "HTTP/rhvh.test.local@TEST.LOCAL"
-------------------------------------------------
Principal name: HTTP/rhvh.test.local@TEST.LOCAL
Principal alias: HTTP/rhvh.test.local@TEST.LOCAL
Managed by: rhvh.test.local
[root@freeipa ~]# ipa-getkeytab -s freeipa.test.local -p HTTP/rhvh.test.local -k /etc/httpd/conf/ipa.keytab
Keytab successfully retrieved and stored in: /etc/httpd/conf/ipa.keytab
Dekuji.
adutil spn addauto -n sqluser -s MSSQLSvc -H mymachine.contoso.com -p 1433Dalsi moznost je leave a join AD. Na oboje operace jsou potreba celkem minimalni prava (full control nad nejakym kontejnerem v AD) a behem join AD si muzes rict jaky SPN ches pro svuj server. Pro pridani SPN k serveru potrebuje prava admina. Napr:
adcli join --domain-ou='OU=Servers,DC=prod' -V 'ORACLE' --show-details --show-password -v -U dbadmin ... * Discovered which keytab salt to use * Added the entries to the keytab: RHEL7A-19-RESTA$@PROD: FILE:/etc/krb5.keytab * Added the entries to the keytab: ORACLE/RHEL7A-19-RESTA@PROD: FILE:/etc/krb5.keytab * Added the entries to the keytab: ORACLE/rhel7a-19-restart.prod@PROD: FILE:/etc/krb5.keytab * Added the entries to the keytab: host/RHEL7A-19-RESTA@PROD.VMWARE.HAF: FILE:/etc/krb5.keytab * Added the entries to the keytab: host/rhel7a-19-restart.prod@PROD: FILE:/etc/krb5.keytab * Added the entries to the keytab: RestrictedKrbHost/RHEL7A-19-RESTA@PROD: FILE:/etc/krb5.keytab * Added the entries to the keytab: RestrictedKrbHost/rhel7a-19-restart.prod@PROD: FILE:/etc/krb5.keytabTohle vytvori dalsi SPN "ORACLE" pro Linux server, ktery joinuje AD.
Tiskni
Sdílej: