Přihlášení | Registrace

napište » Zprávičky

dnes 02:22 | Komunita

Přesně před 34 lety, 25. srpna 1991, oznámil Linus Benedict Torvalds v diskusní skupině comp.os.minix, že vyvíjí (svobodný) operační systém (jako koníček, nebude tak velký a profesionální jako GNU) pro klony 386 (486), že začal v dubnu a během několika měsíců by mohl mít něco použitelného.

Ladislav Hagara | Komentářů: 0

86Box 5.0

dnes 01:55 | Nová verze

86Box, tj. emulátor retro počítačů založených na x86, byl vydán ve verzi 5.0. S integrovaným správcem VM. Na GitHubu jsou vedle zdrojových kódů ke stažení také připravené balíčky ve formátu AppImage.

Ladislav Hagara | Komentářů: 0

Americká vláda získala 10% podíl v Intelu

23.8. 17:44 | IT novinky

Vláda Spojených států získala desetiprocentní podíl v americkém výrobci čipů Intel. Oznámili to podle agentur americký prezident Donald Trump a ministr obchodu Howard Lutnick. Společnost Intel uvedla, že výměnou za desetiprocentní podíl obdrží státní dotace v hodnotě 8,9 miliardy dolarů (zhruba 186 miliard Kč). Částka podle Intelu zahrnuje dříve přislíbené subvence 5,7 miliardy dolarů z programu CHIPS na podporu výroby čipů v USA,

… více »

Ladislav Hagara | Komentářů: 6

Apache NetBeans 27

23.8. 17:33 | Nová verze

Organizace Apache Software Foundation (ASF) vydala verzi 27 integrovaného vývojového prostředí a vývojové platformy napsané v Javě NetBeans (Wikipedie). Přehled novinek na GitHubu. Instalovat lze také ze Snapcraftu a Flathubu.

Ladislav Hagara | Komentářů: 0

FFmpeg 8.0 „Huffman“

23.8. 04:22 | Nová verze

Knihovna FFmpeg byla vydána ve verzi 8.0 „Huffman“. Přibyla mj. podpora hardwarově akcelerovaného kódování s využitím API Vulcan, viz seznam změn.

Fluttershy, yay! | Komentářů: 0

Zpráva o stavu kybernetické bezpečnosti České republiky za rok 2024

22.8. 17:44 | IT novinky

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal Zprávu o stavu kybernetické bezpečnosti ČR za rok 2024 (pdf). V loňském roce NÚKIB evidoval dosud nejvíce kybernetických bezpečnostních incidentů s celkovým počtem 268. Oproti roku 2023 se však jedná pouze o drobný nárůst a závažnost dopadů evidovaných incidentů klesá již třetím rokem v řadě. V minulém roce NÚKIB evidoval pouze jeden velmi významný incident a významných incidentů bylo zaznamenáno 18, což oproti roku 2023 představuje pokles o více než polovinu.

Ladislav Hagara | Komentářů: 1

Vývoj renderovacího jádra Servo (08/2025)

22.8. 13:55 | Komunita

Byl publikován aktuální přehled vývoje renderovacího jádra webového prohlížeče Servo (Wikipedie). Servo mimo jiné nově zvládne animované obrázky APNG a WebP.

Ladislav Hagara | Komentářů: 0

V Rusku bude povinné předinstalovávat na telefony komunikační aplikaci MAX

22.8. 13:11 | IT novinky

Na chytré telefony a počítačové tablety v Rusku bude od začátku příštího měsíce povinné předinstalovávat státem podporovanou komunikační aplikaci MAX, která konkuruje aplikaci WhatsApp americké společnosti Meta Platforms. Oznámila to dnes ruská vláda. Ta by podle kritiků mohla aplikaci MAX používat ke sledování uživatelů. Ruská státní média obvinění ze špehování pomocí aplikace MAX popírají. Tvrdí, že MAX má méně oprávnění k přístupu k údajům o uživatelích než konkurenční aplikace WhatsApp a Telegram.

Ladislav Hagara | Komentářů: 45

Novinky od PINE64 - 08/2025

22.8. 04:22 | IT novinky

Společnost PINE64 stojící za telefony PinePhone nebo notebooky Pinebook publikovala na svém blogu srpnový souhrn novinek. Kvůli nedostatečnému zájmu byla ukončena výroba telefonů PinePhone Pro.

Ladislav Hagara | Komentářů: 2

Zig 0.15.1

21.8. 22:22 | Nová verze

Po pěti měsících vývoje byla vydána nová verze 0.15.1 programovacího jazyka Zig (GitHub, Wikipedie). Verze 0.15.0 byla přeskočena. Přispělo 162 vývojářů. Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0

Centrum | Napsat | Starší

navrhněte » Anketa

Pro otevření více webových stránek ve webovém prohlížečí používám

Taby (77%)

Panely (8%)

Záložky (5%)

Listy (5%)

Něco jiného (6%)

Nic (0%)

Celkem 65 hlasů

Komentářů: 6, poslední 21.8. 13:35

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / Pomoc s Kerberosem

Štítky: ad, ahoj, Apache, engine, For, hash, heslo, Internet, Kerberos, LDAP, oVirt, password, pomoc, proxy, server, service, sítě, test

Dotaz: Pomoc s Kerberosem

12.1.2022 16:59 2012
Pomoc s Kerberosem

Přečteno: 577×

Odpovědět | Admin

Ahoj, snazim se zprovoznit RedHat virtualizaci (nebo Ovirt chcete-li) a napojeni na IDM.

Dostal jsem se celkem daleko, ze se zaloguji z Ovirt na IDM (FreeIpa), s LDAP uctem admina, heslo je v te LDAP DB jako hash.

Jenze ta FreeIPA je mimo jine take nastavena jako proxy na AD, takze tam jsou ucty z Kerbera. A tady je trochu potiz.

Aby to fungovalo, je v navodu toto:

On the KDC server, use the kadmin utility to create a service principal for the Apache service on the oVirt Engine. The service principal is a reference ID to the KDC for the Apache service.

# kadmin
kadmin> addprinc -randkey HTTP/fqdn-of-rhevm@REALM.COM
Generate a keytab file for the Apache service. The keytab file stores the shared secret key.

The engine-backup command includes the file /etc/httpd/http.keytab when backing up and restoring. If you use a different name for the keytab file, make sure you back up and restore it.

kadmin> ktadd -k /tmp/http.keytab HTTP/fqdn-of-rhevm@REALM.COM
kadmin> quit

Tady bych potreboval trochu pomoct, s Kerberem az tolik neumim. Pry se porusuje nejaky constraint.

[root@freeipa ~]# kadmin
Authenticating as principal kadmin/admin@TEST.LOCAL with password.
Password for kadmin/admin@TEST.LOCAL:
kadmin:
kadmin:  addprinc -randkey HTTP/rhvm.test.local@TEST.LOCAL
No policy specified for HTTP/rhvm.test.local@TEST.LOCAL; defaulting to no policy
add_principal: Kerberos database constraints violated while creating "HTTP/rhvm.test.local@TEST.LOCAL".
kadmin:

V "/var/kerberos/krb5kdc/kadm5.acl" mam:


*/admin@TEST.LOCAL     *

Řešení dotazu:

Komentář #11 (2012, 1 hlasů)

Nástroje: Začni sledovat (0) ?

Odpovědi

12.1.2022 17:23 j
Rozbalit Rozbalit vše Re: Pomoc s Kerberosem

Rek bych, ze se snazis vytvorit duplicitni SPNko, takze se to tomu brani.

Takze kdyz je tam add, tak tam zcela jiste bude list/print/... neco na to tema (neznam to) a vypis si co tam je.

A vazne neni dobry opisovat nejakej navod aniz bys tusil co delas.

---

Dete s tim guuglem dopice!

13.1.2022 13:11 2012
Rozbalit Rozbalit vše Re: Pomoc s Kerberosem

Jojo, dekuju. Co se tyce duplicit, principal, ktery se tam snazim zadat v te DB neni, snazim se tam dostat:

HTTP/rhvm.test.local@TEST.LOCAL

Aktualne v te Freeipe je:

kadmin:  listprincs
admin@TEST.LOCAL
K/M@TEST.LOCAL
krbtgt/TEST.LOCAL@TEST.LOCAL
kadmin/freeipa.TEST.local@TEST.LOCAL
kadmin/admin@TEST.LOCAL
kadmin/changepw@TEST.LOCAL
kiprop/freeipa.TEST.local@TEST.LOCAL
ldap/freeipa.TEST.local@TEST.LOCAL
host/freeipa.TEST.local@TEST.LOCAL
WELLKNOWN/ANONYMOUS@TEST.LOCAL
dogtag/freeipa.TEST.local@TEST.LOCAL
HTTP/freeipa.TEST.local@TEST.LOCAL
cifs/freeipa.TEST.local@TEST.LOCAL
aftersync@TEST.LOCAL
test5@TEST.LOCAL
krbtgt/TEST.LOCAL@NETTEST.LOCAL
krbtgt/TEST@NETTEST.LOCAL
kadmin:

Taky si tak trochu myslim, jestli se to vubec dela stejne. Ten navod je pro LDAP a Kerboros, ja mam FreeIPU. Nicmene nejake principy ciste z Kerberos by snad platit mohly. Jdu zatim hledat, co dela ten ktadd.

13.1.2022 14:31 X
Rozbalit Rozbalit vše Re: Pomoc s Kerberosem

Ta chyba je celkem bezna a problem je v tom, ze IPA spravuje Kerberos za tebe. => Je potreba pouzit nastroje ipa a ne kadmin. V tomto pripade to bude nejspis 'ipa service-add ..' Zkus si projit nejake navody..

13.1.2022 22:06 2012 | skóre: 16 | blog: co_me_dneska_napadlo
Rozbalit Rozbalit vše Re: Pomoc s Kerberosem

Aha ok, mrknu zitra.

Řešení 1× (2012)

14.1.2022 13:03 2012
Rozbalit Rozbalit vše Re: Pomoc s Kerberosem

Pro FreeIPu jsem keytab nutny pro ten kerberos modul Ovirtu vygeneroval takto:

[root@freeipa ~]# ipa host-add --force --ip-address=10.30.237.37 rhvh.test.local
-----------------------------
Added host "rhvh.test.local"
-----------------------------
  Host name: rhvh.test.local
  Principal name: host/rhvh.test.local@TEST.LOCAL
  Principal alias: host/rhvh.test.local@TEST.LOCAL
  Password: False
  Keytab: False
  Managed by: rhvh.test.local

[root@freeipa ~]# ipa service-add --force HTTP/rhvh.test.local@TEST.LOCAL
-------------------------------------------------
Added service "HTTP/rhvh.test.local@TEST.LOCAL"
-------------------------------------------------
  Principal name: HTTP/rhvh.test.local@TEST.LOCAL
  Principal alias: HTTP/rhvh.test.local@TEST.LOCAL
  Managed by: rhvh.test.local

[root@freeipa ~]# ipa-getkeytab -s freeipa.test.local -p HTTP/rhvh.test.local -k /etc/httpd/conf/ipa.keytab
Keytab successfully retrieved and stored in: /etc/httpd/conf/ipa.keytab

Dekuji.

13.1.2022 14:44 Ivan
Rozbalit Rozbalit vše Re: Pomoc s Kerberosem

kadmin je tool pro management MIT Kerberos serveru. AD kerberos od MS s nim managovat nemuzes, i kdyz hodne navodu na netu je zavadejicich. Pridat SPN muzes bud spustenim prikazu na AD serveru, anebo pouzij MS AD utils.

Microsoft vytvoril v go aplikaci, kterou muzes managovat jejich AD i z Linuxu. PS: tvoje problemy tim nekonci, protoze na vytvroeni SPN potrebuje celkem specificky prava.

13.1.2022 14:54 j
Rozbalit Rozbalit vše Re: Pomoc s Kerberosem

Jestli to je widli AD srv, tak setspn je ten spravnej widlo tool. Domenovej admin to pak jisti ten to muze.

A funguje to teda i z klienta, netreba to poustet na serveru.

Pocitam ze by to mohlo mit nejakou powershell alternaci, a tudiz by to mohlo jit (s tim powershellem) udelat i z tuxe.

https://stackoverflow.com/questions/21941047/powershell-replacement-for-setspn

Chmm

---

Dete s tim guuglem dopice!

13.1.2022 15:01 2012
Rozbalit Rozbalit vše Re: Pomoc s Kerberosem

Nene, je to FreeIPA nastavena jako proxy na AD.

13.1.2022 15:13 Ivan
Rozbalit Rozbalit vše Re: Pomoc s Kerberosem

Jako ze IPA se pripojuje k AD pres LDAP a kerberos server je na Linuxu? Tak to beru vse zpatky.

13.1.2022 21:54 2012 | skóre: 16 | blog: co_me_dneska_napadlo
Rozbalit Rozbalit vše Re: Pomoc s Kerberosem

Ano je nastaveny trust na AD cimz padem, Kerberos na FreeIPE leze s dotazy rovnou na AD.

13.1.2022 15:11 Ivan
Rozbalit Rozbalit vše Re: Pomoc s Kerberosem

Ten adutil je popsanej tady (puvodne to asi bylo vyvinuty pro MS SQL server na Linuxu) https://docs.microsoft.com/en-us/sql/linux/sql-server-linux-ad-auth-adutil-tutorial?view=sql-server-ver15

adutil spn addauto -n sqluser -s MSSQLSvc -H mymachine.contoso.com -p 1433

Dalsi moznost je leave a join AD. Na oboje operace jsou potreba celkem minimalni prava (full control nad nejakym kontejnerem v AD) a behem join AD si muzes rict jaky SPN ches pro svuj server. Pro pridani SPN k serveru potrebuje prava admina.

Napr:

adcli join --domain-ou='OU=Servers,DC=prod' -V 'ORACLE' --show-details --show-password -v -U dbadmin
...
 * Discovered which keytab salt to use
 * Added the entries to the keytab: RHEL7A-19-RESTA$@PROD: FILE:/etc/krb5.keytab
 * Added the entries to the keytab: ORACLE/RHEL7A-19-RESTA@PROD: FILE:/etc/krb5.keytab
 * Added the entries to the keytab: ORACLE/rhel7a-19-restart.prod@PROD: FILE:/etc/krb5.keytab
 * Added the entries to the keytab: host/RHEL7A-19-RESTA@PROD.VMWARE.HAF: FILE:/etc/krb5.keytab
 * Added the entries to the keytab: host/rhel7a-19-restart.prod@PROD: FILE:/etc/krb5.keytab
 * Added the entries to the keytab: RestrictedKrbHost/RHEL7A-19-RESTA@PROD: FILE:/etc/krb5.keytab
 * Added the entries to the keytab: RestrictedKrbHost/rhel7a-19-restart.prod@PROD: FILE:/etc/krb5.keytab

Tohle vytvori dalsi SPN "ORACLE" pro Linux server, ktery joinuje AD.

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje