Databáze DuckDB (Wikipedie) dospěla po 6 letech do verze 1.0.0.
Intel na veletrhu Computex 2024 představil (YouTube) mimo jiné procesory Lunar Lake a Xeon 6.
Na blogu Raspberry Pi byl představen Raspberry Pi AI Kit určený vlastníkům Raspberry Pi 5, kteří na něm chtějí experimentovat se světem neuronových sítí, umělé inteligence a strojového učení. Jedná se o spolupráci se společností Hailo. Cena AI Kitu je 70 dolarů.
Byla vydána nová verze 14.1 svobodného unixového operačního systému FreeBSD. Podrobný přehled novinek v poznámkách k vydání.
Společnost Kaspersky vydala svůj bezplatný Virus Removal Tool (KVRT) také pro Linux.
Grafický editor dokumentů LyX, založený na TeXu, byl vydán ve verzi 2.4.0 shrnující změny za šest let vývoje. Novinky zahrnují podporu Unicode jako výchozí, export do ePub či DocBook 5 a velké množství vylepšení uživatelského rozhraní a prvků editoru samotného (např. rovnic, tabulek, citací).
Byla vydána (𝕏) nová verze 7.0 LTS open source monitorovacího systému Zabbix (Wikipedie). Přehled novinek v oznámení na webu, v poznámkách k vydání a v aktualizované dokumentaci.
Organizace Apache Software Foundation (ASF) vydala verzi 22 integrovaného vývojového prostředí a vývojové platformy napsané v Javě NetBeans (Wikipedie). Přehled novinek na GitHubu. Instalovat lze také ze Snapcraftu a Flathubu.
Společnost AMD na veletrhu Computex 2024 představila (YouTube) mimo jiné nové série procesorů pro desktopy AMD Ryzen 9000 a notebooky AMD Ryzen AI 300.
OpenCV (Open Source Computer Vision, Wikipedie), tj. open source multiplatformní knihovna pro zpracování obrazu a počítačové vidění, byla vydána ve verzi 4.10.0 . Přehled novinek v ChangeLogu. Vypíchnout lze Wayland backend pro Linux.
DenyUsers all AllowUsers ttestUživatel ttest je jen součástí LDAP serveru a není jako uživatel přidaný pomocí adduser.
cat /etc/nsswitch.conf # # nsswitch.conf(5) - name service switch configuration file # $FreeBSD: src/etc/nsswitch.conf,v 1.1.10.1.2.1 2009/10/25 01:10:29 kensmith Exp $ # #group: compat group: files ldap group_compat: nis hosts: files dns networks: files passwd: compat passwd: files ldap #passwd_compat: nis shells: files services: compat services_compat: nis protocols: files rpc: files
cat /etc/pam.d/sshd # auth auth sufficient pam_opie.so no_warn no_fake_prompts auth requisite pam_opieaccess.so no_warn allow_local #auth sufficient pam_krb5.so no_warn try_first_pass #auth sufficient pam_ssh.so no_warn try_first_pass auth required pam_ldap.so #auth required pam_unix.so no_warn try_first_pass # account account required pam_nologin.so #account required pam_krb5.so account required pam_login_access.so account required pam_ldap.so #account required pam_unix.so # session #session optional pam_ssh.so session sufficient pam_ldap.so session required pam_permit.so # password #password sufficient pam_krb5.so no_warn try_first_pass password required pam_ldap.so #password required pam_unix.so no_warn try_first_passMohl by mi prosím někdo pomoci? Tady je error log.
sshd[81597]: pam_ldap: error trying to bind as user "cn=Test Test,ou=Operations,ou=HQ,ou=People,dc=test,dc=com" (Invalid credentials) sshd[81595]: error: PAM: authentication error for illegal user ttest from 1.2.3.4
Řešení dotazu:
cat /usr/local/etc/ldap.conf uri ldap://192.168.1.1/ base ou=People,dc=test,dc=com ldap_version 3 binddn cn=admin,ou=SystemAccounts,dc=test,dc=com bindpw heslo bind_policy soft pam_password md5 nss_base_passwd ou=People,dc=test,dc=com?sub nss_base_shadow ou=People,dc=test,dc=com?sub nss_base_group ou=Groups,dc=test,dc=com?sub nss_initgroups_ignoreusers apt-mirror,avahi,avahi-autoipd,backup,bin,couchdb,daemon,dhcpd,games,gdm,gnats,haldaemon,hplip,irc,kernoops,libuuid,list,lp,mail,man,messagebus,news,proxy,pulse,root,saned,speech-dispatcher,sshd,statd,sync,sys,syslog,uucp,www-data scope one
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
/usr/local/etc/ldap.conf ten správný soubor? V předchozím výpisu je cn=Test Test,ou=Operations,ou=HQ,ou=People,dc=test,dc=com, což tomuhle výpisu neodpovídá.
nss_ldap: could not search LDAP server - Server is unavailablenevím zda mi to může ovlivňovat funkčnost.
sshd pokoušelo přihlásit jako uživatel „cn=Test Test,ou=Operations,ou=HQ,ou=People,dc=test,dc=com“, přičemž z žádného vámi předloženého konfiguráku neplyne, proč zvolil zrovna tyhle přihlašovací údaje. Jako logické mi tedy připadá to, že ve skutečnosti sshd použil jiný konfigurák. Což by nebylo zrovna u přihlašování přes LDAP nic divného, protože tam bývá několik souborů ldap.conf, a každý konfiguruje něco jiného (PAM, NSS, řádkového klienta OpenLDAP…).
pam_filter objectclass=posixAccount pam_login_attribute uid pam_member_attribute memberuidAle i tak to nefunguje a nepřihlásím se. uid je ttest tohoto účtu.
cat /usr/local/etc/ldap.conf uri ldap://192.168.1.1/ #base ou=People,dc=test,dc=com #base dc=test,dc=com ldap_version 3 binddn cn=admin,ou=SystemAccounts,dc=test,dc=com bindpw heslo bind_policy soft pam_password md5 pam_filter objectclass=posixAccount pam_login_attribute uid pam_member_attribute memberuid nss_base_passwd ou=People,dc=test,dc=com?sub nss_base_shadow ou=People,dc=test,dc=com?sub nss_base_group ou=Groups,dc=test,dc=com?sub nss_initgroups_ignoreusers apt-mirror,avahi,avahi-autoipd,backup,bin,couchdb,daemon,dhcpd,games,gdm,gnats,haldaemon,hplip,irc,kernoops,libuuid,list,lp,mail,man,messagebus,news,proxy,pulse,root,saned,speech-dispatcher,sshd,statd,sync,sys,syslog,uucp,www-data scope onenss_ldap.conf mám totožné s ldap.conf
cat /usr/local/etc/nss_ldap.conf uri ldap://192.168.1.1/ #base ou=People,dc=test,dc=com #base dc=test,dc=com ldap_version 3 binddn cn=admin,ou=SystemAccounts,dc=test,dc=com bindpw heslo bind_policy soft pam_password md5 pam_filter objectclass=posixAccount pam_login_attribute uid pam_member_attribute memberuid nss_base_passwd ou=People,dc=test,dc=com?sub nss_base_shadow ou=People,dc=test,dc=com?sub nss_base_group ou=Groups,dc=test,dc=com?sub nss_initgroups_ignoreusers apt-mirror,avahi,avahi-autoipd,backup,bin,couchdb,daemon,dhcpd,games,gdm,gnats,haldaemon,hplip,irc,kernoops,libuuid,list,lp,mail,man,messagebus,news,proxy,pulse,root,saned,speech-dispatcher,sshd,statd,sync,sys,syslog,uucp,www-data scope oneJak mohu vypsat jen jedno konkrétní uid abych ho mohl sem přidat. Pokoušel jsem se pomoci
ldapsearch -x -b 'uid=ttest,ou=People,dc=test,dc=com'ale to mi nic nevypsalo. Moc děkuji za pomoc.
ldapsearch nic nenalezlo, nebo to jen záznam nevypsalo? Připojení z Linuxu znamená, že tam máte SSH server, který se autorizuje proti stejnému LDAPu, nebo že se pokoušíte na to SSH na FreeBSD připojit z linuxového klienta, a funguje to, a když totéž zkusíte z FreeBSD klienta, přihlášení je odmítnuto?
# ldapsearch -x -b '**=Test Test,ou=Operations,ou=HQ,ou=People,dc=test,dc=com' # extended LDIF # # LDAPv3 # base <**=Test Test,ou=Operations,ou=HQ,ou=People,dc=test,dc=com> with scope subtree # filter: (objectclass=*) # requesting: ALL # # Test Test, Operations, HQ, People, test.com dn: **=Test Test,ou=Operations,ou=HQ,ou=People,dc=test,dc=com objectClass: posixAccount objectClass: inetOrgPerson objectClass: organizationalPerson objectClass: person loginShell: /bin/bash gidNumber: 5001 uid: ttest **: Test Test uidNumber: 10013 sn: Test givenName: Test homeDirectory: /home/ttest userPassword:: e1NIQX1hcVFHSnFtajRhbEx1NjZrakpKd0ppZlpsbkUcn jsem musel ve výpisu nahradit pomocí **. Pokud nastavím ldap.conf a nss_ldap.conf na linuxu, tak to bez problému funguje. To znamená že mě mašina na které je linux a nastavené ověřování proti LDAP(freebsd) funguje. Ale pokud chci proti stejnému LDAP(FreeBSD) ověřovat jiný FreeBSD stroj(na kterém shodou okolností jede LDAP server který mě ověřuje, tak to nefunguje. To je ten samej LDAP který mě ověřuje v pořádku na linuxové mašině.
ldapsearch -x -b 'ou=People,dc=test,dc=com' '(uid=ttest)' předpokládám toho uživatele také najde. Pokud můžete manipulovat s tím LDAP serverem, zkusil bych jej spustit s vyšší úrovní logování – od nějaké úrovně loguje i přihlášení a dotazy, takže uvidíte, jak se SSH přihlašuje a případně co se pokouší hledat.
ldapsearch -x -W -D 'cn=Test Test,ou=Operations,ou=HQ,ou=People,dc=test,dc=com' -b 'ou=People,dc=test,dc=com' '(uid=ttest)'
loglevel na -1, mělo by se logovat vše, v tom musí být i dotazy a hesla… Případně můžete zkusit i zvýšit úroveň logování sshd, ale tam podle mne moc informací nebude (i když dn by tam být mohlo).
ttest, ktery by melo provest to ssh. Opravdu se ssh pokousi autorizovat proti tomuhle serveru?
# password #password requisite pam_passwdqc.so enforce=users ###password required pam_unix.so no_warn try_first_pass nullok password required pam_ldap.soa su na:
# # System-wide defaults # # auth auth sufficient pam_opie.so no_warn no_fake_prompts auth requisite pam_opieaccess.so no_warn allow_local #auth sufficient pam_krb5.so no_warn try_first_pass #auth sufficient pam_ssh.so no_warn try_first_pass auth sufficient pam_ldap.so auth required pam_unix.so no_warn try_first_pass nullok # account #account required pam_krb5.so account required pam_login_access.so account sufficient pam_ldap.so account required pam_unix.so # session #session optional pam_ssh.so session required pam_ldap.so session required pam_lastlog.so no_fail # password #password sufficient pam_krb5.so no_warn try_first_pass password required pam_unix.so no_warn try_first_passa pokud se přihlásím běžným uživatelem na server a potom zadám su ttest tak to po mě chce heslo, pokud zadám špatné tak se nepřihlásím ale pokud zadám správné tak se bez problému přihlásím. Což mě utvrdilo že je špatně nastavený /etc/pam.d/ssh. Podotýkám že uživatel v systému neexistuje, je jen v LDAP.
root se v sshd ověřuje uživatel proti /etc/passwd (kde jsou informace o rootovi, smazat roota z /etc/passwd a dát jej do LDAPu bych hodnotil jako velmi odvážný pokus). Při následném su se pak použije konfigurační soubor PAMu pro su, nikoli pro sshd – a jak už jste pravděpodobně zjistil, máte mezi nimi nějaký rozdíl.
Tiskni
Sdílej:
