Linux-haladó

Előrebocsátom, olvastam, hogy AD szerveren ne legyen fájlmegosztás, de most erre lenne szükségem. Kicsit hosszú lesz, de megpróbálom részletesen leírni, hogy miket csináltam.

A samba telepítése után leállítottam az smbd, nmbd és winbind szolgáltatásokat, majd az
smbd -b | egrep "LOCKDIR|STATEDIR|CACHEDIR|PRIVATE_DIR"
kimenetében lévő könyvtárakból töröltem a fájlokat és a socket-eket. Átneveztem a /etc/samba/smb.conf fájlt. Ezután kezdtem a konfigurálást:
# samba-tool domain provision --use-rfc2307 --interactive
Realm [VALAMI.HOME.ARPA]:
Domain [VALAMI]:
Server Role (dc, member, standalone) [dc]:
DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]:
DNS forwarder IP address (write 'none' to disable forwarding) [192.168.3.254]:
Administrator password:

A samba indítása előtt a /etc/resolv.conf fájlban beállítottam a samba domain-jét és a gép IP címét:
search valami.home.arpa
nameserver 192.168.1.2

A Kerberos konfigfájlt bemásoltam a /etc könyvtárba:
# cp /var/lib/samba/private/krb5.conf /etc/

A chrony miatt ezeket csináltam:
# mkdir /var/lib/samba/ntp_signd
# chgrp _chrony /var/lib/samba/ntp_signd
# chmod 750 /var/lib/samba/ntp_signd

A /etc chrony/chrony.conf fájlba beírtam az alábbiakat, utána elindítottam:
hwclockfile /etc/adjtime
bindcmdaddress 192.168.1.2
allow 192.168.1.0/24
ntpsigndsocket  /var/lib/samba/ntp_signd

Aztán elindítottam a sambát:
# systemctl start samba-ad-dc

Megcsináltam a dns zónát és hozzáadtam a rekordot:
# samba-tool dns zonecreate dc2 1.168.192.in-addr.arpa -U Administrator
Password for [VALAMI\Administrator]:
Zone 1.168.192.in-addr.arpa created successfully
# samba-tool dns add dc2 1.168.192.in-addr.arpa 2 PTR dc2.valamii.home.arpa -U Administrator
Password for [VALAMI\Administrator]:
Record added successfully

Láthatóak az alap megosztások:
# smbclient -L localhost -N
Anonymous login successful

        Sharename       Type      Comment
        ---------       ----      -------
        sysvol          Disk
        netlogon        Disk
        IPC$            IPC       IPC Service (Samba 4.17.12-Debian)
SMB1 disabled -- no workgroup available
# smbclient //localhost/netlogon -UAdministrator -c 'ls'
Password for [VALAMI\Administrator]:
  .                                   D        0  Thu May  8 12:11:35 2025
  ..                                  D        0  Thu May  8 12:11:40 2025

                15373256 blocks of size 1024. 13149468 blocks available

A dns rendben van:
# host -t SRV _ldap._tcp.valami.home.arpa.
_ldap._tcp.valami.home.arpa has SRV record 0 100 389 dc1.valami.home.arpa.
# host -t A dc1.valami.home.arpa.
dc1.valami.home.arpa has address 192.168.1.2
# host -t PTR 192.168.1.2
2.1.168.192.in-addr.arpa domain name pointer dc1.valami.home.arpa.
# nslookup 192.168.1.2
2.1.168.192.in-addr.arpa        name = dc1.valami.home.arpa.
# nslookup dc1.valami.home.arpa
Server:         192.168.1.2
Address:        192.168.1.2#53

Name:   dc1.valami.home.arpa
Address: 192.168.1.2

A Kerberos működik:
# kinit administrator
Password for administrator@VALAMI.HOME.ARPA:
Warning: Your password will expire in 41 days on Thu 19 Jun 2025 12:11:40 PM CEST
# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: administrator@VALAMI.HOME.ARPA

Valid starting       Expires              Service principal
05/08/2025 12:33:29  05/08/2025 22:33:29  krbtgt/VALAMI.HOME.ARPA@VALAMI.HOME.ARPA
        renew until 05/09/2025 12:33:28

A wbinfo is jó választ ad vissza:
# wbinfo --ping-dc
checking the NETLOGON for domain[VALAMI] dc connection to "dc1.valami.home.arpa" succeeded

Látszanak az alap userek és csoportok:
# getent group "VALAMI\\Domain Users"
VALAMI\domain users:x:100:
# getent group "VALAMI\\Domain Admins"
VALAMI\domain admins:x:3000004:
# getent passwd "VALAMI\\Administrator"
VALAMI\administrator:*:0:100::/home/VALAMI/administrator:/bin/false
# getent passwd "VALAMI\\Domain Admins"
VALAMI\domain admins:*:3000004:3000004::/home/VALAMI/domain admins:/bin/false

A group policy miatt hozzáadtam az smb.conf fájl Global részéhez ezt a sort:
apply group policies = yes

Az extended acl-ek miatt pedig ezt:
map acl inherit = yes

Telepítettem a group policy-hez szükséges dolgokat:
# samba-tool gpo admxload -U Administrator
Password for [VALAMI\Administrator]:
Installing ADMX templates to the Central Store prevents Windows from displaying its own templates in the Group Policy Management Console. You will need to install these templates from https://www.microsoft.com/en-us/download/102157 to continue using Windows Administrative Templates.

Letöltöttem a Windows 10-hez tartozó group policy-t:
# wget "https://download.microsoft.com/download/c/3/c/c3cd85c0-0785-4cf7-a48e-c…"

Kicsomagoltam:
# msiextract Administrative\ Templates\ \(.admx\)\ for\ Windows\ 10\ October\ 2022\ Update.msi

Majd azt is telepítettem:
# samba-tool gpo admxload -U Administrator --admx-dir=Program\ Files/Microsoft\ Group\ Policy/Windows\ 10\ October\ 2022\ Update\ \(22H2\)/PolicyDefinitions/
Password for [VALAMI\Administrator]:
Installing ADMX templates to the Central Store prevents Windows from displaying its own templates in the Group Policy Management Console. You will need to install these templates from https://www.microsoft.com/en-us/download/102157 to continue using Windows Administrative Templates.

Látja is őket a samba:
# samba-tool gpo listall
GPO          : {31B2F340-016D-11D2-945F-00C04FB984F9}
display name : Default Domain Policy
path         : \\valami.home.arpa\sysvol\valami.home.arpa\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}
dn           : CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=valami,DC=home,DC=arpa
version      : 0
flags        : NONE

GPO          : {6AC1786C-016F-11D2-945F-00C04FB984F9}
display name : Default Domain Controllers Policy
path         : \\valami.home.arpa\sysvol\valami.home.arpa\Policies\{6AC1786C-016F-11D2-945F-00C04FB984F9}
dn           : CN={6AC1786C-016F-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=valami,DC=home,DC=arpa
version      : 0
flags        : NONE

Hozzáadtam egy "Unix Admins" csoportot:
# samba-tool group add "Unix Admins"
Added group Unix Admins
# samba-tool group addunixattrs "Unix Admins" 20000
Modified Group 'Unix Admins' successfully
# samba-tool group show "Unix Admins"
dn: CN=Unix Admins,CN=Users,DC=valami,DC=home,DC=arpa
objectClass: top
objectClass: group
cn: Unix Admins
instanceType: 4
whenCreated: 20250508151458.0Z
uSNCreated: 4098
name: Unix Admins
objectGUID: 41ae1dcd-be4d-45e4-bb39-d42cf7614ade
objectSid: S-1-5-21-1237163036-1819395442-2334969554-1104
sAMAccountName: Unix Admins
sAMAccountType: 268435456
groupType: -2147483646
objectCategory: CN=Group,CN=Schema,CN=Configuration,DC=valami,DC=home,DC=arpa
gidNumber: 20000
whenChanged: 20250508151521.0Z
uSNChanged: 4099
distinguishedName: CN=Unix Admins,CN=Users,DC=valami,DC=home,DC=arpa

A "Unix Admins" csoportnak megadtam a SeDiskOperatorPrivilege jogot (lehet, hogy fölöslegesen):
# net rpc rights grant "VALAMI\Unix Admins" SeDiskOperatorPrivilege -U "VALAMI\Administrator"
Password for [VALAMI\Administrator]:
Successfully granted rights.
# net rpc rights list privileges SeDiskOperatorPrivilege -U "VALAMI\Administrator"
Password for [VALAMI\Administrator]:
SeDiskOperatorPrivilege:
  VALAMI\Unix Admins

Egy Windows 10 gépet beléptettem a domain-be, majd beléptem rá a (domain) Administrator userrel, telepítettem az RSAT programokat. Aztán a "Unix Admins" csoportot beletettem a BUILTIN\Administrators csoportba az AD-ben.

Ext4 fájlrendszer van a gépen. Ezeket csináltam a megosztás létrehozásához:
# mkdir -p /srv/samba/teszt
# chown root:"Unix Admins" /srv/samba/teszt
# chmod 0755 /srv/samba
# chmod 0770 /srv/samba/teszt

Gyakorlatilag ennyi van az smb.conf fájlban:
[global]
        dns forwarder = 192.168.3.254
        netbios name = DC1
        realm = VALAMI.HOME.ARPA
        server role = active directory domain controller
        workgroup = VALAMI
        idmap_ldb:use rfc2307 = yes
# a group policy es a winbindd miatt
        apply group policies = yes
# az extended acl-ek miatt
        map acl inherit = yes
# logolasi szint felemelese 1-rol
        log level = 5

[sysvol]
        path = /var/lib/samba/sysvol
        read only = No

[netlogon]
        path = /var/lib/samba/sysvol/valami.home.arpa/scripts
        read only = No

[teszt]
        path = /srv/samba/teszt
        read only = No

Windows 10-ből az AD-ben létrehoztam egy usert, akit beletettem a "Unix Admins" csoportba. Létrehoztam még két csoportot teszt_rw és teszt_ro néven, valamint egy rwuser és egy rouser nevű usert (értelemszerűen beletettem a csoportba rw-t az rw-be, ro-t a ro-ba).

Windows 10-ből a "Számítógép-kezelés" (bocs, magyar Windows) programból csatlakoztam az AD-hoz, hogy a megosztás jogosultságait beállítsam. Tehát jobb katt a megosztás nevére, Tulajdonságok. A "Megosztási engedélyek" fülön a "Mindenki" szerepel, mind a három opció be van pipálva (Teljes hozzáférés, Módosítás, Olvasás) - ezt nem módosítottam. A Biztonság fülön a Speciális gombot megnyomva a "Unix Admins" csoportnak teljes hozzáférést adtam "Ez a mappa, illetve almappái és fájljai" beállítással, a teszt_ro csoportnak "Olvasás és végrehajtás" jogot adtam, "Csak ez a mappa" beállítással, a teszt_rw csoportnak pedig Módosítás jogot "Ez a mappa, illetve almappái és fájljai" beállítással, mindenki mást kitöröltem. A samba ezt a jogosultságot "lefordította" linuxos acl-ekre, a getfacl paranccsal látszik is:
# getfacl teszt
# file: teszt
# owner: root
# group: VALAMI\\unix\040admins
user::rwx
user:root:rwx
user:VALAMI\\teszt_ro:r-x
user:VALAMI\\teszt_rw:rwx
group::rwx
group:VALAMI\\unix\040admins:rwx
group:VALAMI\\teszt_ro:r-x
group:VALAMI\\teszt_rw:rwx
mask::rwx
other::---
default:user::rwx
default:user:root:rwx
default:user:VALAMI\\teszt_rw:rwx
default:group::---
default:group:VALAMI\\unix\040admins:rwx
default:group:VALAMI\\teszt_rw:rwx
default:mask::rwx
default:other::---

Ezután beleírtam az smb.conf fájlba a teszt megosztáshoz az alábbi sorokat:
vfs objects = acl_xattr
acl_xattr:ignore system acls = yes

A fentiek hatására a teszt_rw csoport be tud lépni a teszt nevű megosztásba, tud létrehozni fájlokat és könyvtárakat.
A teszt_ro csoport szintén be tud lépni a teszt nevű megosztásba, látja az ott lévő fájlokat és könyvtárakat, de nem tud belépni a könyvtárakba, és nem tudja megnyitni (olvasni) a fájlokat.
Ez eddig jónak tűnik :)

Létrehoztam az AD-ben egy adminisztracio_rw nevű csoportot (beletettem egy shareelek nevű usert).
Az adminisztracio_rw csoportot beletettem a teszt_ro csoportba.

A teszt_rw csoporttal létrehoztam egy könyvtárat Adminisztráció néven a teszt megosztásban, majd beállítottam, hogy az adminisztracio_rw csoport erre a könyvtárra teljes jogosultsággal rendelkezzen. Ezután létrehoztam egy fájlt a könyvtárban, amelyre öröklődött az adminisztracio_rw csoport teljes jogosultsága.

Az adminisztracio_rw csoport be tud lépni a teszt nevű megosztásba, látja a fájlokat és a könyvtárakat, de nem tudja olvasni a fájlokat, és semelyik könyvtárba sem tud belépni, az Adminisztráció nevűbe sem.
Azt gondoltam, hogy ennek nem így kellene működnie :)

Arra számítottam, hogy az adminisztracio_rw be fog tudni lépni a megosztásba, mert a teszt_ro csoportnak a tagja, amely csoportnak van joga oda belépni - ez végülis működik.
De arra is számítottam, hogy az Adminisztráció nevű könyvtárat már a saját csoportjogán fogja tudni kezelni (be tud lépni, létre tud hozni fájlokat és könyvtárakat stb.).

Hosszas kísérletezés után azt gondolom, hogy a linuxos acl-ek akadályozzák meg az adminisztracio_rw csoportot már a könyvtárba belépésben is. Csak nem értem, hogy miért :) Az acl_xattr:ignore system acls = yes opciónak nem pont az lenne a lényege, hogy ne vegye figyelembe a linuxos acl-eket?

Köszi, hogy végigolvastad! Remélem, hogy ötleted is lesz a megoldásra :)

Sziasztok,

Szuksegunk lenne egy DLNA serverre, amivel TV-kre tudunk kikuldeni videot, streameket etc...

Amit talaltunk elsore es tetszik az a Serviio  https://serviio.org Tudja azt, ami nekunk kell:

- Jogosultsag kezeles (adott megjelenito adott tartalomhoz fer hozza)

- Stream et is tamogat (m3u8 linket beszurva streamet is kirakhatunk DLNA-n keresztul)

- Megjelenito whitelist , engedelyezes utan latja egyaltalan a servert a TV

Ezek a legfontosabbak ami kell nekunk. A Serviio tudja ezeket mint irtam, de kellene meg legalabb 2 alternativa h legyen "valasztasi lehetoseg"

Persze security dolgokat felvet, de ez most nem erdekel. Van valainek tapasztalata, hogyan lehet mondjuk egy Linux "kulso" parancsot futtani a VLC barmelyik LUA vezerlesi cuccain keresztul? (akar CLI, akar TCP packet, akar telnet akar HTTP)

Olvasom a doksikat, de mintha ezt nem tamogatna az alap verzio..de talan valami fork?

Sziasztok,

felvetnek par erdekes kerdest:

- Mennyire jok a legujabb Apple gepek M4 x procival?

- Vannak ennel jobb - nem Apple hw-rel rendelkezok?

- Milyen linux disztro tamogatott ezeken a gepeken es mennyire "sima" a teljes ujrainstallalas?

Megjegyzes: nincs ilyen Apple hardverem - csak kerdezgetek .... :-))

Koszi elore a hozzaszolasokat.

Ardi

Sziasztok!

Aliexpressen és más helyeken rengeteg olcsó wifi-s kamerát (pl. YsxLite, YCC365) lehet venni, amelyik a saját, kétes minőségű alkalmazásával működik csak. Az alkalmazásaikat szeretném kiváltani, hogy az itthoni wifi hálózatra kapcsolódva, internet-hozzáférés nélkül tudjuk őket használni, esetleg valamilyen, programokhoz használható videóstreamet kinyerni belőlük.

Távolléti macska-megfigyelés és távirányítós, belsőnézetes autó készítése lenne a cél.

Köszi!

A DoomPDF után itt a LinuxPDF:
https://github.com/ading2210/linuxpdf

Videó

Kedves Fórumozók!

CKA vizsgára készülök és ha esetleg valaki már a közelmúltban túlesett már ezen, szívesen venném ha megosztaná a tapasztalatait.
Különösen érdekes lenne számomra, hogy az illető miből készült, illetve miből érdemes készülni és milyen típusfeladatok vannak.
Előre is köszönöm!

János

Adott a címben szereplő laptop. Már rengeteg oldalt elolvastam, ezeket is pl. https://gist.github.com/eNV25/c8001491dc0440656ff7b0ae18993ba1, https://valentijn.sessink.nl/?p=1025

de még keresem az egyszerű megoldást. Nem is értem hogy miért nincs a BIOS-ban frissítési lehetőség. Azt sem értem hogy a letöltött linuxtools csomagok között  az egyik miért forrás? Nem raknám teli a gépet mindenféle dev-vel. Leforgathatom másik gépen is amin van dev? Még nem néztem meg a forrást, esetleg direkt úgy van kitalálva hogy összeszedi a gép hardver jellemzőit amikor lefordul? Milyen dolog ez már?

7z-vel ki tudom csomagolni az exe fájlt, megvannak a bin fájlok is igaz fd kiterjesztéssel, - csak simán átnevezem - viszont hiányzik az aláírás. Az ugyanolyan nevű sig kiterjesztésű fájlok.
Meg mintha kellene neki egy HP-TOOLS partíció? Bár ezt egy pendrive-ról is elfogadja. Azt is észrevettem ha az EFi partícióra másolom a dolgokat onnan is betudom tallózni az efi-t amivel bebootol a bios update program, csak nem találja az aláírást. Az miért nincs a letöltött exe fájlban? Ezek szerint a 7z még sem elég a kicsomagoláshoz?
Windowsban lehetne készíteni egy indítható pendrivot és akkor minden sz@r rajta van. De honnan legyen windows?

Van valakinek bevált gyakorlata?
 

Sziasztok!

Van-e arra mod hogy egy dtb-ben tiltott (status = "disabled") node-ot a linux boot processz utan engedelyezzunk valahogy? Sima embedded, busybox alapu minimal linux, semmi extra. A teljes dtb ujraforditast meg lehet uszni valahogy vagy csak uj dtb-vel megy ilyenkor a dolog?

Koszi, A.

Hello,

Extend mod a monitoroknal...

lenne egy olyan kerdesem, hogy ha van 2 egymas mellett levo monitorom es futtatok egy progi ablakot mindketton (azaz kozepre huzom  -  fele az egyik monitoron van, fele  a masikon) , ezesetben a ket monitor kozotti keretet nem veszi figyelembe. (mintha 0 pixel lenne kozottuk). EN pont azt akarom, hogy aranyosan lassam az ablakot, azaz az ablak kozepso reszet kitakarja a "keret".

Van erre mod sima Linuxnal? A kerdes a Windowsra is igaz. Ha lehetseges es elrendezem az ablakokat, hogyan mondjam meg nekik a keret szelesseget?

kosz