abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 02:22 | Komunita

    Přesně před 34 lety, 25. srpna 1991, oznámil Linus Benedict Torvalds v diskusní skupině comp.os.minix, že vyvíjí (svobodný) operační systém (jako koníček, nebude tak velký a profesionální jako GNU) pro klony 386 (486), že začal v dubnu a během několika měsíců by mohl mít něco použitelného.

    Ladislav Hagara | Komentářů: 0
    dnes 01:55 | Nová verze

    86Box, tj. emulátor retro počítačů založených na x86, byl vydán ve verzi 5.0. S integrovaným správcem VM. Na GitHubu jsou vedle zdrojových kódů ke stažení také připravené balíčky ve formátu AppImage.

    Ladislav Hagara | Komentářů: 0
    23.8. 17:44 | IT novinky

    Vláda Spojených států získala desetiprocentní podíl v americkém výrobci čipů Intel. Oznámili to podle agentur americký prezident Donald Trump a ministr obchodu Howard Lutnick. Společnost Intel uvedla, že výměnou za desetiprocentní podíl obdrží státní dotace v hodnotě 8,9 miliardy dolarů (zhruba 186 miliard Kč). Částka podle Intelu zahrnuje dříve přislíbené subvence 5,7 miliardy dolarů z programu CHIPS na podporu výroby čipů v USA,

    … více »
    Ladislav Hagara | Komentářů: 6
    23.8. 17:33 | Nová verze

    Organizace Apache Software Foundation (ASF) vydala verzi 27 integrovaného vývojového prostředí a vývojové platformy napsané v Javě NetBeans (Wikipedie). Přehled novinek na GitHubu. Instalovat lze také ze Snapcraftu a Flathubu.

    Ladislav Hagara | Komentářů: 0
    23.8. 04:22 | Nová verze

    Knihovna FFmpeg byla vydána ve verzi 8.0 „Huffman“. Přibyla mj. podpora hardwarově akcelerovaného kódování s využitím API Vulcan, viz seznam změn.

    Fluttershy, yay! | Komentářů: 0
    22.8. 17:44 | IT novinky

    Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal Zprávu o stavu kybernetické bezpečnosti ČR za rok 2024 (pdf). V loňském roce NÚKIB evidoval dosud nejvíce kybernetických bezpečnostních incidentů s celkovým počtem 268. Oproti roku 2023 se však jedná pouze o drobný nárůst a závažnost dopadů evidovaných incidentů klesá již třetím rokem v řadě. V minulém roce NÚKIB evidoval pouze jeden velmi významný incident a významných incidentů bylo zaznamenáno 18, což oproti roku 2023 představuje pokles o více než polovinu.

    Ladislav Hagara | Komentářů: 1
    22.8. 13:55 | Komunita

    Byl publikován aktuální přehled vývoje renderovacího jádra webového prohlížeče Servo (Wikipedie). Servo mimo jiné nově zvládne animované obrázky APNG a WebP.

    Ladislav Hagara | Komentářů: 0
    22.8. 13:11 | IT novinky

    Na chytré telefony a počítačové tablety v Rusku bude od začátku příštího měsíce povinné předinstalovávat státem podporovanou komunikační aplikaci MAX, která konkuruje aplikaci WhatsApp americké společnosti Meta Platforms. Oznámila to dnes ruská vláda. Ta by podle kritiků mohla aplikaci MAX používat ke sledování uživatelů. Ruská státní média obvinění ze špehování pomocí aplikace MAX popírají. Tvrdí, že MAX má méně oprávnění k přístupu k údajům o uživatelích než konkurenční aplikace WhatsApp a Telegram.

    Ladislav Hagara | Komentářů: 45
    22.8. 04:22 | IT novinky

    Společnost PINE64 stojící za telefony PinePhone nebo notebooky Pinebook publikovala na svém blogu srpnový souhrn novinek. Kvůli nedostatečnému zájmu byla ukončena výroba telefonů PinePhone Pro.

    Ladislav Hagara | Komentářů: 2
    21.8. 22:22 | Nová verze

    Po pěti měsících vývoje byla vydána nová verze 0.15.1 programovacího jazyka Zig (GitHub, Wikipedie). Verze 0.15.0 byla přeskočena. Přispělo 162 vývojářů. Přehled novinek v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 0
    Pro otevření více webových stránek ve webovém prohlížečí používám
     (77%)
     (8%)
     (5%)
     (5%)
     (6%)
     (0%)
    Celkem 65 hlasů
     Komentářů: 6, poslední 21.8. 13:35
    Rozcestník

    Dotaz: Pomoc s Kerberosem

    12.1.2022 16:59 2012
    Pomoc s Kerberosem
    Přečteno: 577×

    Ahoj, snazim se zprovoznit RedHat virtualizaci (nebo Ovirt chcete-li) a napojeni na IDM.

    Dostal jsem se celkem daleko, ze se zaloguji z Ovirt na IDM (FreeIpa), s LDAP uctem admina, heslo je v te LDAP DB jako hash.

    Jenze ta FreeIPA je mimo jine take nastavena jako proxy na AD, takze tam jsou ucty z Kerbera. A tady je trochu potiz.

    Aby to fungovalo, je v navodu toto:

    On the KDC server, use the kadmin utility to create a service principal for the Apache service on the oVirt Engine. The service principal is a reference ID to the KDC for the Apache service.
    
    # kadmin
    kadmin> addprinc -randkey HTTP/fqdn-of-rhevm@REALM.COM
    Generate a keytab file for the Apache service. The keytab file stores the shared secret key.
    
    The engine-backup command includes the file /etc/httpd/http.keytab when backing up and restoring. If you use a different name for the keytab file, make sure you back up and restore it.
    
    kadmin> ktadd -k /tmp/http.keytab HTTP/fqdn-of-rhevm@REALM.COM
    kadmin> quit

    Tady bych potreboval trochu pomoct, s Kerberem az tolik neumim. Pry se porusuje nejaky constraint.

    [root@freeipa ~]# kadmin
    Authenticating as principal kadmin/admin@TEST.LOCAL with password.
    Password for kadmin/admin@TEST.LOCAL:
    kadmin:
    kadmin:  addprinc -randkey HTTP/rhvm.test.local@TEST.LOCAL
    No policy specified for HTTP/rhvm.test.local@TEST.LOCAL; defaulting to no policy
    add_principal: Kerberos database constraints violated while creating "HTTP/rhvm.test.local@TEST.LOCAL".
    kadmin:

    V "/var/kerberos/krb5kdc/kadm5.acl" mam:

    
    */admin@TEST.LOCAL     *
    

    Řešení dotazu:


    Odpovědi

    12.1.2022 17:23 j
    Rozbalit Rozbalit vše Re: Pomoc s Kerberosem
    Rek bych, ze se snazis vytvorit duplicitni SPNko, takze se to tomu brani.

    Takze kdyz je tam add, tak tam zcela jiste bude list/print/... neco na to tema (neznam to) a vypis si co tam je.

    A vazne neni dobry opisovat nejakej navod aniz bys tusil co delas.

    ---

    Dete s tim guuglem dopice!
    13.1.2022 13:11 2012
    Rozbalit Rozbalit vše Re: Pomoc s Kerberosem
    Jojo, dekuju. Co se tyce duplicit, principal, ktery se tam snazim zadat v te DB neni, snazim se tam dostat:
    HTTP/rhvm.test.local@TEST.LOCAL
    Aktualne v te Freeipe je:
    kadmin:  listprincs
    admin@TEST.LOCAL
    K/M@TEST.LOCAL
    krbtgt/TEST.LOCAL@TEST.LOCAL
    kadmin/freeipa.TEST.local@TEST.LOCAL
    kadmin/admin@TEST.LOCAL
    kadmin/changepw@TEST.LOCAL
    kiprop/freeipa.TEST.local@TEST.LOCAL
    ldap/freeipa.TEST.local@TEST.LOCAL
    host/freeipa.TEST.local@TEST.LOCAL
    WELLKNOWN/ANONYMOUS@TEST.LOCAL
    dogtag/freeipa.TEST.local@TEST.LOCAL
    HTTP/freeipa.TEST.local@TEST.LOCAL
    cifs/freeipa.TEST.local@TEST.LOCAL
    aftersync@TEST.LOCAL
    test5@TEST.LOCAL
    krbtgt/TEST.LOCAL@NETTEST.LOCAL
    krbtgt/TEST@NETTEST.LOCAL
    kadmin:
    Taky si tak trochu myslim, jestli se to vubec dela stejne. Ten navod je pro LDAP a Kerboros, ja mam FreeIPU. Nicmene nejake principy ciste z Kerberos by snad platit mohly. Jdu zatim hledat, co dela ten ktadd.
    13.1.2022 14:31 X
    Rozbalit Rozbalit vše Re: Pomoc s Kerberosem
    Ta chyba je celkem bezna a problem je v tom, ze IPA spravuje Kerberos za tebe. => Je potreba pouzit nastroje ipa a ne kadmin. V tomto pripade to bude nejspis 'ipa service-add ..' Zkus si projit nejake navody..
    13.1.2022 22:06 2012 | skóre: 16 | blog: co_me_dneska_napadlo
    Rozbalit Rozbalit vše Re: Pomoc s Kerberosem
    Aha ok, mrknu zitra.
    Řešení 1× (2012)
    14.1.2022 13:03 2012
    Rozbalit Rozbalit vše Re: Pomoc s Kerberosem

    Pro FreeIPu jsem keytab nutny pro ten kerberos modul Ovirtu vygeneroval takto:

    [root@freeipa ~]# ipa host-add --force --ip-address=10.30.237.37 rhvh.test.local
    -----------------------------
    Added host "rhvh.test.local"
    -----------------------------
      Host name: rhvh.test.local
      Principal name: host/rhvh.test.local@TEST.LOCAL
      Principal alias: host/rhvh.test.local@TEST.LOCAL
      Password: False
      Keytab: False
      Managed by: rhvh.test.local
    
    [root@freeipa ~]# ipa service-add --force HTTP/rhvh.test.local@TEST.LOCAL
    -------------------------------------------------
    Added service "HTTP/rhvh.test.local@TEST.LOCAL"
    -------------------------------------------------
      Principal name: HTTP/rhvh.test.local@TEST.LOCAL
      Principal alias: HTTP/rhvh.test.local@TEST.LOCAL
      Managed by: rhvh.test.local
    
    [root@freeipa ~]# ipa-getkeytab -s freeipa.test.local -p HTTP/rhvh.test.local -k /etc/httpd/conf/ipa.keytab
    Keytab successfully retrieved and stored in: /etc/httpd/conf/ipa.keytab

    Dekuji.

    13.1.2022 14:44 Ivan
    Rozbalit Rozbalit vše Re: Pomoc s Kerberosem
    kadmin je tool pro management MIT Kerberos serveru. AD kerberos od MS s nim managovat nemuzes, i kdyz hodne navodu na netu je zavadejicich. Pridat SPN muzes bud spustenim prikazu na AD serveru, anebo pouzij MS AD utils.

    Microsoft vytvoril v go aplikaci, kterou muzes managovat jejich AD i z Linuxu. PS: tvoje problemy tim nekonci, protoze na vytvroeni SPN potrebuje celkem specificky prava.
    13.1.2022 14:54 j
    Rozbalit Rozbalit vše Re: Pomoc s Kerberosem
    Jestli to je widli AD srv, tak setspn je ten spravnej widlo tool. Domenovej admin to pak jisti ten to muze.

    A funguje to teda i z klienta, netreba to poustet na serveru.

    Pocitam ze by to mohlo mit nejakou powershell alternaci, a tudiz by to mohlo jit (s tim powershellem) udelat i z tuxe.

    https://stackoverflow.com/questions/21941047/powershell-replacement-for-setspn

    Chmm

    ---

    Dete s tim guuglem dopice!
    13.1.2022 15:01 2012
    Rozbalit Rozbalit vše Re: Pomoc s Kerberosem
    Nene, je to FreeIPA nastavena jako proxy na AD.
    13.1.2022 15:13 Ivan
    Rozbalit Rozbalit vše Re: Pomoc s Kerberosem
    Jako ze IPA se pripojuje k AD pres LDAP a kerberos server je na Linuxu? Tak to beru vse zpatky.
    13.1.2022 21:54 2012 | skóre: 16 | blog: co_me_dneska_napadlo
    Rozbalit Rozbalit vše Re: Pomoc s Kerberosem
    Ano je nastaveny trust na AD cimz padem, Kerberos na FreeIPE leze s dotazy rovnou na AD.
    13.1.2022 15:11 Ivan
    Rozbalit Rozbalit vše Re: Pomoc s Kerberosem
    Ten adutil je popsanej tady (puvodne to asi bylo vyvinuty pro MS SQL server na Linuxu) https://docs.microsoft.com/en-us/sql/linux/sql-server-linux-ad-auth-adutil-tutorial?view=sql-server-ver15
    adutil spn addauto -n sqluser -s MSSQLSvc -H mymachine.contoso.com -p 1433 
    
    Dalsi moznost je leave a join AD. Na oboje operace jsou potreba celkem minimalni prava (full control nad nejakym kontejnerem v AD) a behem join AD si muzes rict jaky SPN ches pro svuj server. Pro pridani SPN k serveru potrebuje prava admina.

    Napr:
    adcli join --domain-ou='OU=Servers,DC=prod' -V 'ORACLE' --show-details --show-password -v -U dbadmin
    ...
     * Discovered which keytab salt to use
     * Added the entries to the keytab: RHEL7A-19-RESTA$@PROD: FILE:/etc/krb5.keytab
     * Added the entries to the keytab: ORACLE/RHEL7A-19-RESTA@PROD: FILE:/etc/krb5.keytab
     * Added the entries to the keytab: ORACLE/rhel7a-19-restart.prod@PROD: FILE:/etc/krb5.keytab
     * Added the entries to the keytab: host/RHEL7A-19-RESTA@PROD.VMWARE.HAF: FILE:/etc/krb5.keytab
     * Added the entries to the keytab: host/rhel7a-19-restart.prod@PROD: FILE:/etc/krb5.keytab
     * Added the entries to the keytab: RestrictedKrbHost/RHEL7A-19-RESTA@PROD: FILE:/etc/krb5.keytab
     * Added the entries to the keytab: RestrictedKrbHost/rhel7a-19-restart.prod@PROD: FILE:/etc/krb5.keytab
    
    Tohle vytvori dalsi SPN "ORACLE" pro Linux server, ktery joinuje AD.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.