abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Tetris slaví 40 let
    dnes 16:44 | IT novinky

    Počítačová hra Tetris slaví 40 let. Alexej Pažitnov dokončil první hratelnou verzi 6. června 1984. Mezitím vznikla celá řada variant. Například Peklo nebo Nebe. Loni měl premiéru film Tetris.

    Ladislav Hagara | Komentářů: 7
    MicroPython 1.23.0
    dnes 10:44 | Nová verze

    MicroPython (Wikipedie), tj. implementace Pythonu 3 optimalizovaná pro jednočipové počítače, byl vydán ve verzi 1.23.0. V přehledu novinek je vypíchnuta podpora dynamických USB zařízení nebo nové moduly openamp, tls a vfs.

    Ladislav Hagara | Komentářů: 0
    Ubuntu Core 24
    dnes 10:22 | Nová verze

    Canonical vydal Ubuntu Core 24. Představení na YouTube. Nová verze Ubuntu Core vychází z Ubuntu 24.04 LTS a podporována bude 12 let. Ubuntu Core je určeno pro IoT (internet věcí) a vestavěné systémy.

    Ladislav Hagara | Komentářů: 1
    DuckDB 1.0.0
    dnes 01:00 | Nová verze

    Databáze DuckDB (Wikipedie) dospěla po 6 letech do verze 1.0.0.

    Ladislav Hagara | Komentářů: 0
    Intel na veletrhu Computex 2024
    včera 19:55 | IT novinky

    Intel na veletrhu Computex 2024 představil (YouTube) mimo jiné procesory Lunar Lake a Xeon 6.

    Ladislav Hagara | Komentářů: 0
    Raspberry Pi AI Kit
    včera 13:44 | IT novinky

    Na blogu Raspberry Pi byl představen Raspberry Pi AI Kit určený vlastníkům Raspberry Pi 5, kteří na něm chtějí experimentovat se světem neuronových sítí, umělé inteligence a strojového učení. Jedná se o spolupráci se společností Hailo. Cena AI Kitu je 70 dolarů.

    Ladislav Hagara | Komentářů: 0
    FreeBSD 14.1
    včera 13:22 | Nová verze

    Byla vydána nová verze 14.1 svobodného unixového operačního systému FreeBSD. Podrobný přehled novinek v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 0
    Kaspersky Virus Removal Tool (KVRT) také pro Linux
    včera 12:55 | Zajímavý software

    Společnost Kaspersky vydala svůj bezplatný Virus Removal Tool (KVRT) také pro Linux.

    Ladislav Hagara | Komentářů: 11
    LyX 2.4.0
    včera 12:33 | Nová verze

    Grafický editor dokumentů LyX, založený na TeXu, byl vydán ve verzi 2.4.0 shrnující změny za šest let vývoje. Novinky zahrnují podporu Unicode jako výchozí, export do ePub či DocBook 5 a velké množství vylepšení uživatelského rozhraní a prvků editoru samotného (např. rovnic, tabulek, citací).

    Fluttershy, yay! | Komentářů: 1
    Zabbix 7.0 LTS
    včera 12:00 | Nová verze

    Byla vydána (𝕏) nová verze 7.0 LTS open source monitorovacího systému Zabbix (Wikipedie). Přehled novinek v oznámení na webu, v poznámkách k vydání a v aktualizované dokumentaci.

    Ladislav Hagara | Komentářů: 0
    Centrum | Napsat | Starší
    Rozcestník
    AbcLinuxu
    HDmag.cz
    Georgius - jirka
    Aktuální zápisy
    ?Přístup k archivovaným zápisům za jednotlivé měsíce. Archív

    ?Seznam mých oblíbených stránek, které pravidelně navštěvuji. Oblíbené stránky
    ?Poslední screenshot mého desktopu. Současný desktop
    Ladovská zima
    ?Přístup na osobní hlavní stranu a na hlavní stranu všech blogů. Navigace
    Nej blogů na AbcLinuxu
    Nejčtenější za poslední měsíc Nejkomentovanější za poslední měsíc
    AbcLinuxu:/ Blogy / jirka / Debian / LDAP + SSL TLS aneb jak se zbavit naivity
    Štítky: base, bez, certifikat, démon, DNS, For, chmod, Internet, klient, LDAP, menu, nastavení, názor, opravit, PAM, práva, problém, sítě, SSL, sudo, TLS

    LDAP + SSL TLS aneb jak se zbavit naivity

    1.1.2013 19:46 | Přečteno: 1575× | Debian | Výběrový blog

    První komentář pod mým včerejěím zápiskem zněl: LDAP bez SSL/TLS? Jak naivni.. I když byl tento názor relativizován, rozhodl jsem se po Maxově pošťouchnutí SSL trochu poškádlit, což se ukázalo jako ne až tak triviální jak by se mohlo Maxovi zdát ;-)

    SSL/TLS na straně serveru ...

    Celkem jednoduchý postup se dá v jazyce anglickém vygůglit. V principu potřebujeme vytvořit certifikační autoritu, vygenerovat a podepsat klíč a nacpat to do LDAPu. Ty návody jsou fakt dobré, jediný problém na který jsem narazil byl "drobný detail", že certifikát je vázaný na konkrétní hostname/FQDN/IP. Pokud jsme si tedy chytře všude nastavili (z rozumných důvodů) natvrdo IP adresy místo DNS, překvapivě nebude fungovat certifikát, který je vystaven na FQDN. Ale jak říkám, když člověk není blbej, tak dojít do fáze, kdy funguje sudo ldapsearch -x není problém ;-). Jo a není špatné nezapomenout zkopírovat všechny tři soubory ;-).

    ... a na straně klienta

    Konfifurace LDAPu znamená do /etc/ldap/ldap.conf opravit ldap:// na ldaps:// a přidat: 
    TLS_CACERT /etc/ssl/certs/cacert.pem
TLS_REQCERT demand
    Mimochodem, není špatné ze serveru rozdistribuovat cacert.pem ;-) V tomto okamžiku nám funguje ldapsearch, ale nepropagují se ale uživatelské účty (passwd atd). Stálo mne docela dost úsilí to rozchodit, takže předkládám výsledek své snahy: o výše uvedené se stará démon nslcd, jehož konfiguraci naleznete v /etc/nslcd.conf. Rad jak tento soubor upravit je plný internet, většina nápadů ale nefunguje. Nakonec jsem dospěl k této funkční konfiguraci (nemusím řešit problémy s nepodepsaným klíčem, protože máme přeci naši úžasnou autoritu, že ...): 
    # /etc/nslcd.conf

# The user and group nslcd should run as.
uid nslcd
gid nslcd

# The search base that will be used for all queries.
base dc=nase,dc=uzasna-domena,dc=cz

uri                             ldaps://ldapserver/
# SSL options
tls_reqcert                     allow
timelimit                       120
idle_timelimit                  3600
bind_timelimit                  120
ssl                             on
tls_cacert /etc/ssl/certs/cacert.pem
    ... jo a nezapomeňte správně nastavit práva (-rw-r----- 1 root nslcd čili chmod 640, chown i chgrp), /etc/ssl/certs/cacert.pem musí mít práva 644 (-rw-r--r--). Po restartu démona (/etc/init.d/nslcd restart) stěrače stírají.

    Příště uvidíte ...

    Nový Rok i dovolená končí, takže nevím, kdy přesně bude "příště", nicméně když už to všechno celkem chodí, tak ještě PAM zaslouží trochu doladit. ldots ukazuje nastavení PAM pro gdm, čehož výsledkem by byli (snad) LDAPí uživatelé dostupní i v GDM menu. Dále je v mém úkoláčku zjistit jak je možno učinit LDAP uživatele neaktivním aniž bych ho vymazal, jestli je možné řídit přístup na jednotlivé stroje podle skupin a vyzkoušet doporučený LDAP klient.        

    Hodnocení: 100 %

            špatnédobré        

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

    Vložit další komentář

    1.1.2013 23:14 Miriam
    Rozbalit Rozbalit vše Re: LDAP + SSL TLS aneb jak se zbavit naivity
    Líbí se mi, že o tom co děláš píšeš pěkné blogové zápisky. Doufám, že v tom budeš pokračovat a i když nebude dovolená, nějaký čas se najde.
    2.1.2013 21:36 Karel Benák | skóre: 8 | blog: benyho
    Rozbalit Rozbalit vše Re: LDAP + SSL TLS aneb jak se zbavit naivity
    Ty jsi se tedy rozjel, všechna čest. S LDAP + TLS jsem svého času taky hodně zápasil, na rozkopírování CA certifikátu jsem Tě zapomněl upozornit. Je to taková blbost, která mnohé zablokuje. Několikrát jsem na podobnou pitominu už dojel.

    S tím disablováním uživatelů .... většinou vyhledáváš v nějaké větvi uživatelů, takže řešením je buď disablovaného uživatele přesunout do jiné větve, anebo můžeš nastavit pro pravidla vyhledávání, že musí mít vyplněn atribut member. Samozřejmě si můžeš nadefinovat nějaké vlastní schema s doplněním požadovaných informací a provádět vyhledávání uživatele podle něj.
    Láska je jako prd, když hodně tlačiš tak z toho bude ...
    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.