Archivio della categoria ‘Guide Geek’

GnuPg come creare una chiave GPG

17 aprile 2011 di admin | Categorie: Guide Geek, Sicurezza, Ubuntu | Commenta!

Introduzione

In questa pagina viene presentato GnuPg, il sistema di crittografia predefinito di Ubuntu. Oltre al comando gpg verrà illustrato l’uso delle più comuni interfacce grafiche.

GnuPG utilizza la crittografia a chiave pubblica per permettere a coloro che lo utilizzano di comunicare in sicurezza. In un sistema a chiave pubblica ogni utente ha una coppia di chiavi consistenti in una chiave privata e una chiave pubblica. La chiave privata di una persona viene tenuta segreta; non deve mai essere rivelata. La chiave pubblica può essere data a tutti coloro con i quali l’utente vuole comunicare.

Interfacce grafiche

Esistono diversi programmi che forniscono un’interfaccia grafica al sottosistema gpg. Di seguito ne vengono descritte alcuni di essi.

I programmi seguenti, possono essere utilizzati per generare le chiavi GPG.

Seahorse

Seahorse è lo strumento di gestione delle chiavi predefinito di Ubuntu.

Il programma, nelle ultime versioni di Ubuntu, è installato automaticamente. Nel caso in cui non sia presente, installare il pacchetto seahorse.

Kgpg

L’applicazione kgpg è un’interfaccia per KDE, utile agli utenti di Kubuntu.

Per installare il programma è sufficiente installare il pacchetto kgpg.

Generare una chiave

Dalla riga di comando

Aprire un terminale e digitare:
```
gpg --gen-key
```
Apparirà una schermata di selezione con le seguenti opzioni:
```
Please select what kind of key you want:
   (1) DSA and Elgamal (default)
   (2) DSA (sign only)
   (5) RSA (sign only)
```
La scelta predefinita, «(1)», è la migliore, in quanto le altre non possono essere utilizzate per cifrare.
Verrà chiesto di scegliere una dimensione per la chiave:
```
What keysize do you want? (2048)
```
È consigliato lasciare l’impostazione predefinita.
Verrà chiesto di impostare una data di scadenza:
```
Key is valid for? (0)
```
Molte persone creano le proprie chiavi senza scadenza. Se si effettua tale scelta bisogna ricordarsi di revocare la chiave quando non la si usa più. Premere «Y» per continuare con il processo di configurazione.

Il passaggio successivo riguarda la creazione dell’identificativo:

You need a user ID to identify your key; the software constructs the user ID
from the Real Name, Comment and Email Address in this form:
    "Heinrich Heine (Der Dichter) <heinrichh@duesseldorf.de>"

Real name: Dennis Kaarsemaker
Email address: dennis@kaarsemaker.net
Comment: Tutorial key
You selected this USER-ID:
    "Dennis Kaarsemaker (Tutorial key) <dennis@kaarsemaker.net>"

Successivamente sarà possibile aggiungere ulteriori indirizzi email alla propria firma.

Una volta verificata la correttezza delle informazioni inserite, premere «O» per generare la chiave. Verrà chiesto di inserire una passphrase:
```
You need a Passphrase to protect your secret key.
```
L’ideale sarebbe scegliere una breve frase difficile da indovinare. A differenza di una password, una passphrase può contenere anche degli spazi bianchi.

Dimenticare la propria passphrase comporta la perdita della chiave.

Una volta inserita la passphrase verrà avviato il processo di creazione della chiave . Seguire le istruzioni a video finché non si raggiunge una schermata simile alla seguente:

gpg: key D8FC66D2 marked as ultimately trusted
public and secret key created and signed.

pub   1024D/D8FC66D2 2005-09-08
      Key fingerprint = 95BD 8377 2644 DD4F 28B5  2C37 0F6E 4CA6 D8FC 66D2
uid                  Dennis Kaarsemaker (Tutorial key) <dennis@kaarsemaker.net>
sub   2048g/389AA63E 2005-09-08

L’ID della chiave nell’esempio è «D8FC66D2».

È buona norma configurare questa chiave come la chiave predefinita all’interno del file ~/.bashrc, in modo tale da specificare come automatico l’utilizzo di essa con le altre applicazioni che fanno uso del sistema GnuPg. Per fare ciò basta inserire nel file ~/.bashrc la riga:
```
export GPGKEY=D8FC66D2
```
La dicitura «D8FC66D2» va sostituita con il proprio ID.
Ora è necessario riavviare il servizio per la cifratura. A seconda del sistema in uso potrebbe essere necessario terminare uno dei due seguenti processi:
- gpg-agent:
```
killall -q gpg-agent
eval $(gpg-agent --daemon)
```
- seahorse-agent:
```
killall -q seahorse-agent
eval $(seahorse-agent --daemon)
```
Infine, eseguire questo comando:
```
source ~/.bashrc
```

Certificato di revoca

Un certificato di revoca deve essere generato per consentire la revoca della propria chiave pubblica nel caso in cui la chiave privata sia stata compromessa.

Per creare un certificato di revoca, da terminale digitare:

gpg --output revoke.asc --gen-revoke <KEY-ID>

Il certificato deve essere stampato e conservato con cura. Chiunque abbia accesso al certificato di revoca può rendere la chiave pubblica inutilizzabile.

Caricare una chiave

Questa sezione contiene le istruzioni per inviare la propria chiave a un server di chiavi in modo che tutti possano scaricarla. Una volta caricata su un server, dopo un breve periodo di tempo, tutti gli altri server di chiavi avranno la propria firma. È possibile velocizzare questo procedimento spedendo la propria chiave a più server.

Inviare un chiave a un server con GnuPG

In un terminale digitare:

gpg --send-keys --keyserver keyserver.ubuntu.com <KEY-ID>

Inviare una chiave con un browser web

Esportare la propria chiave digitando il seguente comando:
```
gpg --export -a "Key-ID" > public.key
```
Verrà creato un file public.key contenente la propria chiave pubblica.
Aprire una browser e andare al seguente indirizzo: http://pgp.mit.edu
Incollare il contenuto del file public.key nella casella sotto la scritta «Submit a key», dunque fare clic su «Submit this key to the keyserver!».

Firmare una chiave

Il sistema di firma delle chiavi di gpg consente di creare una rete di fiducia. Firmare la chiave di una persona significa aver controllato l’identità di quest’ultima e essersi assicurati che essa sia in pieno controllo della propria chiave privata. In questo modo si può creare una rete di individui che si fidano l’uno degli altri. Questa rete è definita come un insieme fortemente connesso, ulteriori informazioni a riguardo si possono trovare a questo indirizzo.

Dato che firmare una chiave significa aver controllato e verificato che una certa chiave pubblica appartenga a una tale persona che possiede la relativa chiave privata, è necessario seguire questi semplici accorgimenti quando si firma una chiave:

Il procedimento di firma di una chiave è sempre svolto dopo aver incontrato tale persona.
Durante l’incontro è necessario scambiarsi i fingerprint delle rispettive chiavi e almeno un documento identificativo (con una fotografia all’interno). Tali fingerprint vengono solitamente distribuiti su dei foglietti, creati da degli script come gpg-key2ps (pacchetto signing-party).
Controllare che il nome nella chiave corrisponda con quello del documento identificativo.
Dopo questi controlli accertarsi che la persona sia veramente in possesso della chiave privata. Per fare ciò basta rispedire a lei/lui la sua chiave pubblica firmata e criptata con la rispettiva chiave pubblica. Il programma caff facilita tale procedimento. È necessario creare un file .caffrc nella propria cartella Home con i seguenti valori all’interno:
```
$CONFIG{owner} = q{Nome e cognome};
$CONFIG{email} = q{L'indirizzo email della chiave};
$CONFIG{keyid} = [ qw{Gli ultimi 16 caratteri del fingerprint della chiave} ];
```
Ora basta eseguire il seguente comando, sostituendo la dicitura «id_della_chiave» con l’ID della chiave che si vuole verificare e firmare:
```
caff id_della_chiave
```
Quando si ricevono chiavi firmate, si ricevono come allegati: salvarli e importarli con gpg. Ora è possibile inviare queste chiavi ad un server delle chiavi.

Firmare i dati

La firma dei dati è utile per verificare l’identità del mittente.

Firma del Codice di condotta di Ubuntu

Prima di firmare il «Codice di condotta» di Ubuntu è necessario aggiornare il proprio account inserendovi, fra le varie informazioni, la chiave gpg che si desidera utilizzare per tale operazione.

Caricare la chiave in Launchpad

Eseguire l’accesso in Launchpad.
Fare clic sul proprio nome in alto a destra e poi su «Edit OpenPGP keys».
Copiare il fingerprint della propria chiave all’interno della casella di testo «Key Fingerprint».
Launchpad spedirà, all’indirizzo specificato, un’email contenente del testo cifrato con la nuova chiave. Per procedere con l’operazione di decifratura è sufficiente salvare il testo in un file all’interno della propria Home, aprire una finestra di terminale e digitare il seguente comando:
```
gpg --decrypt file.txt
```
Una volta inserita la passphrase comparirà in chiaro il testo del messaggio, il quale conterrà un collegamento da inserire nella barra degli indirizzi del proprio browser per convalidare la chiave.

Firmare il Codice di condotta

Per firmare il «Codice di condotta» di Ubuntu bastano tre semplici passi:

Scaricare il «Codice di condotta» da questo indirizzo : https://launchpad.net/codeofconduct/1.0.1

Digitare il seguente comando:

gpg --clearsign UbuntuCodeofConduct-1.0.1.txt

Copiare il contenuto del file appena creato UbuntuCodeofConduct-1.0.1.txt.asc nel relativo campo presente a questo indirizzo.

Firmare e cifrare email

Questa sezione vi aiuterà a configurare Evolution e Thunderbird per firmare e criptare email.

Evolution

Aprire Evolution e fare clic su Modifica -> Preferenze
Scegliere il proprio account email e poi fare clic su «Modifica»
Fare clic sulla linguetta «Sicurezza»
Nella casella di testo «ID della chiave PGP/GPG» copiare il vostro KEY-ID
Fare clic su «OK» e poi «Chiudi»

Se si desidera utilizzare la chiave in ogni nuova mail, fare clic sul menù «Sicurezza» in un nuovo messaggio e poi su «Firma PGP».

Mozilla Thunderbird

Installare il plugin Enigmail installando il pacchetto mozilla-thunderbird-enigmail.
In alternativa è possibile scaricare il plugin da mozdev per poi installarlo manualmente.
Configurare gpg in Thunderbird scegliendo OpenPGP -> Preferences e nella casella di testo «GnuPG executable path» aggiungere /usr/bin/gpg.

Oracle10g

16 aprile 2011 di admin | Categorie: Guide Geek, Oracle, Utility | Commenta!

Introduzione

In questa guida viene illustrata l’installazione del database relazionale Oracle 10g.

Preparativi

Una volta abilitati i componenti universe e multiverse dei repositoy ufficiali, aprire il file /etc/apt/sources.list con un editor di testo con i privilegi di amministrazione e aggiungere in fondo al file la seguente riga:

deb http://oss.oracle.com/debian unstable main non-free

Per scaricare la chiave gpg, necessaria all’utentcazione dei pacchetti, è sufficiente digitare il seguente comando in una finestra di terminale:

wget http://oss.oracle.com/el4/RPM-GPG-KEY-oracle -O- | sudo apt-key add -

Salvare il file, aprire una finestra di terminale e digitare il seguente comando:

sudo apt-get update

Installazione del pacchetto

Installare il pacchetto oracle-xe.

Configurazione

Per configurare il DBMS è sufficiente digitare il seguente comando in una finestra di terminale:

sudo etc/init.d/oracle-xe configure

Nella configurazione saranno richieste le porte di ascolto del server (quelle predefinite sono 8080 e 1521) e la password per l’utente system.

Inoltre verrà chiesto se si desidera avviare il server automaticamente all’avvio del sistema. Infine verrà creato l’utente oracle appartenente al gruppo dba, al quale verranno dati i privilegi di gestione del DBMS.

Per verificare lo stato del DBMS è sufficiente digitare il seguente comando in una finestra di terminale:

sudo /etc/init.d/oracle-xe status

Amministrazione

Aprire il browser web e digitare il seguente indirizzo nella relativa barra:

http://127.0.0.1:8080/apex

Backup automatico di MySql

13 aprile 2011 di admin | Categorie: Backup, Guide Geek, server | Commenta!

Introduzione

Questa guida spiega come automatizzare il backup dei database MySql attraverso un apposito script che crea ed archivia i backup.

Descrizione

Lo script effettua giornalmente tramite cron il backup di tutti i databases recuperando automaticamente l’elenco.

Inizialmente viene costruito il nome del set di backup da creare utilizzando l’output del comando date.

Dopo l’eventuale rimozione di un backup temporaneo precedente ottengo l’elenco dei databases tramite mysqlshow redirezionando l’output sul file EL_DBS dopo l’applicazione di una serie di filtri: head, tail e tr.

Effettuo il conteggio del numero di database e con un ciclo faccio il dump tramite mysqldump.

Al termine i backup sono raggruppati (tar) e compressi (gzip).

Installazione

Per il funzionamento è necessario creare la struttura delle directory di backup.

Si può, ad esempio, utilizzare la directory /var/backup che contiene due sottodirectory /var/backup/stored e /var/backup/temp, ma il tutto è configurabile nello script.

Creare le directory per archiviare i backup. A titolo di esempio:

sudo mkdir /var/backup
sudo mkdir /var/backup/temp
sudo mkdir /var/backup/stored

Creare lo script myback ed inserirlo nella directory /etc/cron.daily.

Ricordarsi di modificare MY_USR e MY_PWD.

Impostare i permessi dello script:

sudo chmod 755 myback

Script

Lo script è il seguente:

#!/bin/bash
# Created by Beniamino Caputo
#
# Definizione Variabili
#
MY_DIR=                                               # Directory Binari MySQL se non sono in PATH

MY_HST=localhost                                      # Host del MySql server

MY_USR=root_mysql                                     # User di MySql

MY_PWD=password_root_mysql                            # Password di accesso

EL_DBS=/var/backup/temp/elencodb                      # File Elenco Databases nel Backup

BK_DIR=/var/backup/temp                               # Directory Backup

BK_NAM=/var/backup/stored/backup-$(date +%d-%m-%Y)    # Nome del Backup (costruita automaticamente con la data)

#
# Elimino Eventuali Backup Temporanei Presenti
#

rm -f ${BK_DIR}/*

#
# Creazione Elenco Databases
#

${MY_DIR}mysqlshow --host=$MY_HST --user=$MY_USR --password=$MY_PWD | head -n -1 | tail -n +4 | tr -d " |" > $EL_DBS

#
# Conteggio Numero di Databases
#

ndb=$(wc -l < "$EL_DBS")

#
# Ciclo Dump dei Databases
#

for db in `seq $ndb`

do

   read db

   ${MY_DIR}mysqldump --host=$MY_HST --user=$MY_USR --password=$MY_PWD --databases $db > $BK_DIR/$db

done <"$EL_DBS"

#
# Creazione File TAR
#

tar -cf $BK_NAM.tar $BK_DIR

#
# Compressione File Tar
#

gzip -f $BK_NAM.tar

#
# Elimino Eventuali Backup Temporanei Presenti
#

rm -f ${BK_DIR}/*

exit 0

Configurazione

In testa ci sono alcune variabili per eventuale configurazione:

MY_DIR: directory contenente i binari di MySql. In Ubuntu non è necessaria in quanto presente in PATH}. Nel caso di installazione manuale si può inserirla, avendo l’accortezza di terminarla con /. Esempio: MY_DIR=/path/binari/mysql/.
MY_HST: l’hostname della macchina, potrebbe essere sufficiente localhost.
MY_USR: l’utente del server MySql.
MY_PWD: la password dell’utente MySql.
EL_DBS: nome del file che conterrà l’elenco dei database.
BK_DIR: la directory temporanea per il dump dei database.
BK_NAM: nome del file di backup.

DBDesigner: strumento visuale Open Source

12 aprile 2011 di admin | Categorie: Guide Geek, Linux, webmaster | Commenta!

Introduzione

DBDesigner: strumento visuale Open Source per la progettazione di basi di dati

DBDesigner è uno strumento per la progettazione di database. Questa guida spiega come installarlo su Ubuntu 6.10 «Edgy Eft».

Installazione

DBDesigner nativo per Linux

Scaricare da questa pagina il pacchetto in formato .rpm e le relative librerie.
Convertire i pacchetti .rpm in formato .deb con il programma alien, digitando in un terminale:sudo alien DBDesigner4-0.5.4-0.i586.rpm
sudo apt-get install alien
sudo alien libborqt-6.9.0-2.i386.rpm
Installare i pacchetti .deb digitando in una finestra di terminale i seguenti comandi:
```
sudo dpkg -i dbdesigner4_0.5.4-1_i386.deb
sudo dpkg -i libborqt_6.9.0-3_i386.deb
```

DBDesigner emulato con Wine

Per procedere con la seguente guida è necessario avere installato correttamente Wine, l’emulatore di ambiente Windows. Per maggiori informazioni consultare la relativa guida.

Scaricare l’eseguibile presente in questo indirizzo e salvarlo nella propria directory Home.
Per avviare il programma di installazione è sufficiente digitare in un terminale il seguente comando.:
```
wine ~/DBDesigner4.0.5.6_Setup.exe
```
Avviare l’applicazione appena installata, spostarsi nella cartella ~/.wine/drive_c/Programmi/fabFORCE, digitando in un terminale:
```
cd ~/.wine/drive_c/Programmi/fabFORCE
```
Lanciare il programma con il comando:.
```
wine DBDesigner4.exe
```

questa e una bella guida per gli esperti in programmazione sui server di linux

alla prossima guida ciao!!!

Autenticazione con Active Directory

28 marzo 2011 di admin | Categorie: Guide Geek, Sicurezza, Utility | Commenta!

Introduzione

Ci sono due principarli concetti per gli utenti: l’autenticazione e gli account.Con l’autenticazione di Active Directory (d’ora in poi AD) si usa il protocollo Kerberos 5 mentre per gli account si usa LDAP. Prima di tutto è necessario configurare Kerberos 5 e LDAP in modo da gestire gli utenti un una AD.In questo articolo verranno usati i seguenti indirizzi IP , di conseguenza adattateli alle vostre esigenze.

10.30.2.1           Router and DNS server or proxy
10.30.2.2           DHCP and TFTP server
10.30.2.10          NFS server
10.30.2.20          LTSP server
10.30.2.100-200     LTSP clients

Si da per sconattaio che AD sia confugurato con un dominio AD del tipo EXAMPLE.COM e ccon un utente creato del tipo:

account name:       wendy
UID:                1002
GID:                1002
home directory:     /home/wendy
shell:              /bin/bash

Account

Per gli account LDAP è necessario il pacchetto libnss-ldap che non è presente sul CD di Dapper ma è disponibile nei repository Universe.Una volta aggiunti tali repository è sufficiente dare :

$ sudo apt-get update
$ sudo apt-get install libnss-ldap

Inseriamo l’indirizzo del server Active Direcory.

Specifichiamo il search basedm

Selezionare LDAP versione 3

Carica nuovo allegato “Screenshot-ocean-nss-ldap-version.png”

Sono necessari alcuni aggiustamenti ulteriori , per questo andiamo a modificare /etc/libnss-ldap.conf

# libnss-ldap.conf

# Your LDAP server. Must be resolvable without using LDAP.
# Multiple hosts may be specified, each separated by a
# space. How long nss_ldap takes to failover depends on
# whether your LDAP client library supports configurable
# network or connect timeouts (see bind_timelimit).
host 10.30.2.2

# The distinguished name of the search base.
base example,dc=com

# The LDAP version to use (defaults to 3
# if supported by client library)
ldap_version 3

#  (AD) mappings
# <to> <from>
nss_map_attribute userPassword sambaPassword
nss_map_attribute gecos name
nss_map_attribute uid unixName
nss_map_attribute shadowLastChange pwdLastSet
nss_map_objectclass posixGroup group
pam_filter objectclass=User
pam_password crypt

# Disable SASL security layers. This is needed for AD.
sasl_secprops maxssf=0

Configuriamo il nome del servisio per usare LDAP modificando/etc/nsswitch.conf

# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.

passwd:         files ldap
group:          files ldap
shadow:         files ldap

hosts:          files dns mdns
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis

Testing

Il comando getent mostrerà il contenuto del servizio, così una volta configurato Active Directory con un utente e con libnss-ldap configurato, dovremmo essere in grado di vedere gli utenti extra e i gruppi.

$ getent passwd

gdm:x:106:111:Gnome Display Manager:/var/lib/gdm:/bin/false
test:x:1000:1000:Test,,,:/home/test:/bin/bash
wendy:x:1002:1002:wendy:/home/wendy:/bin/bash
$ getent group

gdm:x:111:
test:x:1000:
wendy:x:1002:

Un semplice file di prova ci mostrerà se Ubuntu comprende gli username di AD.

$ cd /tmp
$ touch moo
$ ls -l moo
-rw-rw-r-- 1 root    root    0 2006-07-20 14:27 moo
$ sudo chown wendy moo
$ ls -l moo
-rw-rw-r-- 1 wendy   root    0 2006-07-20 14:27 moo

Per visualizzare gli utenti tramite LDAP è necessario installare il pacchetto ldap-utils

$ sudo apt-get install ldap-utils
$ ldapsearch -x -H ldap://10.30.2.2 "(objectClass=posixAccount)" sAMAccountName
# extended LDIF
#
# LDAPv3
# base <> with scope sub
# filter: (objectClass=posixAccount)
# requesting: sAMAccountName
#

# wendy, Users, EXAMPLE.COM
dn: cn=wendy,cn=Users,dc=EXAMPLE,dc=COM
sAMAccountName: wendy

# search result
search: 2
result: 0 Success

# numResponses: 2
# numEntries: 1

Autenticazione

Ora che le informazioni relative agli utenti sono presenti, è necessario configurare Linux affinché gli utenti possano effettuare il login.Il protocollo di login di AD è Kerberos 5, quindi è necessario installare il modulo PAM Kerberos 5 e il pacchetto client per procedere al test.

$ sudo apt-get-install heimdal-clients libpam-heimdal

Configuriamo Kerberos con i parametri del dominio AD e dell’ indirizo IP editando/etc/krb5.conf

[libdefaults]
       default_realm = EXAMPLE.COM

[realms]
       EXAMPLE.COM = {
               kdc = 10.30.2.2:88
      }

[domain_realm]
       .example.com = EXAMPLE.COM
       example.com = EXAMPLE.COM

Aggiorniamo la configurazione di PAM in modo da verificare gli account Kerberos /etc/pam.d/common-auth scegliamo se vogliamo un prompt di login di Kerberos oppure un prompt classico.

#
# /etc/pam.d/common-auth - authentication settings common to all services
#
# This file is included from other service-specific PAM config files,
# and should contain a list of the authentication modules that define
# the central authentication scheme for use on the system
# (e.g., /etc/shadow, LDAP, Kerberos, etc.).  The default is to use the
# traditional Unix authentication mechanisms.
#

# prompt user "Password for : " (warning: no l18n)
auth    sufficient      pam_krb5.so minimum_uid=1000 ➊
auth    required        pam_unix.so nullok_secure

# use password from pam_unix prompt
#auth    sufficient      pam_unix.so nullok_secure
#auth    sufficient      pam_krb5.so minimum_uid=1000 use_first_pass

Sono possibili molte opzioni, una modifica classica di “minimum_uid” è “ignore_root”.

#
# /etc/pam.d/common-session - session-related modules common to all services
#
# This file is included from other service-specific PAM config files,
# and should contain a list of modules that define tasks to be performed
# at the start and end of sessions of *any* kind (both interactive and
# non-interactive).  The default is pam_unix.
#

session required        pam_unix.so
session optional        pam_foreground.so
session optional        pam_krb5.so

Aggiunlgiamo la seguente linea se vogliamo creare automaticamente le home per i nuovi utenti.

session required        pam_mkhomedir.so umask=0022 skel=/etc/skel

Le password Samba 4 non possono essere modificate tramitekpasswde quindi le configurazioni di common-password sono irrilevanti.Le informazioni degli account sono gestite già tramite pam_unix con NSS e libnss-ldap quindi non sono necessarie modifiche per common-account comunque ulteriori informazioni sono disponibili nelle seguenti linee di codice.

#
# /etc/pam.d/common-account - authorization settings common to all services
#
# This file is included from other service-specific PAM config files,
# and should contain a list of the authorization modules that define
# the central access policy for use on the system.  The default is to
# only deny service to users whose accounts are expired in /etc/shadow.
#
account required        pam_unix.so
account [default=bad success=ok user_unknown=ignore service_err=ignore system_err=ignore] pam_krb5.so

Attenzione

Se AD gira su in PC con … non c’è un orologio con batteria di backup.Questo significa che quando la macchina vien spenta per un certo periodo di tempo , l’orologio verrà resettato.quando la macchina verrà riaccesa sarà necessaria una connessione internet per risincronizzare l’ora.senza una risincronizzazione dell’orologiao , Kerberos non permettrò il login ai clients.

Testing

Con l’AD in esecuzione e un account impostato , cerchiamio di acquisire alcuni dettagli con il comando kinit.

$ kinit wendy
wendy@EXAMPLE.COM's Password:

Orologio

Per sicurezza e efficacia dell’orologio, Kerberos necessita che tutti gli orologi siano sincronizzati.Altrimenti il comando kinit fallirà.

kinit: krb5_get_init_creds: Too large time skew

Il setup della sincronizzazione dell’ orologio con il programma ntpudate; la sincoronia si mantiene tramite un server ntpd.

$ sudo apt-get install ntpdate
$ sudo ntpdate ntp.ubuntu.com
25 Jul 16:22:06 ntpdate[8158]: step time server 82.211.81.145 offset 402569.951826 sec
$ sudo apt-get install ntp-simple

Confermiamo l’ottenimento di due tagliandi con il comando klist.

$ klist
Credentials cache: FILE:/tmp/krb5cc_1000
        Principal: wendy@EXAMPLE.COM

  Issued           Expires          Principal
Jul 25 16:23:06  Jul 26 02:23:58  krbtgt/EXAMPLE.COM@EXAMPLE.COM

Per testare gli account è necessario un sistema di login, poichè è necessario per LTSP allora procediamo all’ installazione del server OpenSSH e del client.

$ sudo apt-get install openssh-server openssh-client

Proviamo il login tramite l’utente AD.

$ ssh wendy@localhost
The authenticty of host 'localhost (127.0.0.1)' can't be established.
RSA key fingerprint is
Are you sure you want to continue connecting (yes/no)?
Warning: Permanently added 'localhost' (RSA) to the list of known hosts.
wendy@localhosts password:
Linux ubuntu 2.6.15-23-386 #1 PREEMPT Tue May 23 13:49:40 UTC 2006 i686 GNU/Linux

The programs included with the Ubuntu system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Ubuntu comes with ABSOLUTELY NO WARRANTY, to the extent permitted by
applicable law.
Last login: Wed Jul 26 10:32:24 2006 from localhost
wendy@ubuntu:~$

Se ricevete un’ errore di password , confermate il funzionamento corretto della password tramite il comando kinit, se tutto funziona potrebbe esserci un problema di sincronizzazione dell’ orologio tra il server AD e il vostro server.Prima di tutto dobbiamo abilitare il debug del login tramite il modulo pam_krb5 ,modifichiamo il file common-auth e aggiungiamo la parola chiave “debug” alla fine della riga di Kerberos.

auth    sufficient      pam_krb5.so minimum_uid=1000 use_first_pass debug

Provate ad eseguire nuovamente il login e controllate /var/log/auth.log che dovrebbe spiegarvi la il motivo del mancato login.

Key Table non valida

Il seguinte errore può comparire se è presente un /etc/krb5.keytab non valido.

Aug  7 19:31:27 ubuntu sshd[4444]: pam_krb5: pam_sm_authenticate(ssh wendy): entry:
Aug  7 19:31:27 ubuntu sshd[4444]: pam_krb5: verify_krb_v5_tgt(): krb5_mk_req(): KDC has no support for encryption type
Aug  7 19:31:27 ubuntu sshd[4444]: pam_krb5: pam_sm_authenticate(ssh wendy): exit: failure
Aug  7 19:31:30 ubuntu sshd[4444]: Failed password for wendy from 127.0.0.1 port 50054 ssh2

Il seguente errore indica una /etc/krb5.keytab non valida , di solito non è un problema.

Aug  7 20:00:05 ubuntu sshd[4764]: pam_krb5: pam_sm_authenticate(ssh wendy): entry:
Aug  7 20:00:05 ubuntu sshd[4764]: pam_krb5: verify_krb_v5_tgt(): krb5_kt_read_service_key(): Key table entry not found
Aug  7 20:00:05 ubuntu sshd[4764]: pam_krb5: pam_sm_authenticate(ssh wendy): exit: success
Aug  7 20:00:05 ubuntu sshd[4764]: Failed password for wendy from 10.0.0.69 port 39428 ssh2

Shadow password

Una delle cause di fallimento consite nel fatto che i dettagli degli account nascosti non possono essere trovati, controllate di avere /etc/nsswitch.conf:

shadow:         files ldap

Specificando uno dei seguenti casi provoca il fallimento del login:

shadow:         files
shadow:         compat

Scambio di dominio

I seguenti errori indicano un host name non corretto, nome di domio o dominio AD.

Sep  9 17:35:00 ubuntu sshd[8088]: pam_krb5: pam_sm_authenticate(ssh steve-o): entry:
Sep  9 17:35:00 ubuntu sshd[8088]: pam_krb5: verify_v5_tgt(): krb5_sname_to_principal(): Cannot determine realm for host
Sep  9 17:35:00 ubuntu sshd[8088]: pam_krb5: pam_sm_authenticate(ssh steve-o): exit: failure
Sep  9 17:35:00 ubuntu sshd[8088]: Failed password for steve-o from 127.0.0.1 port 52992 ssh2

Verificate che /etc/hostname coincida con /etc/hosts e che coincida con l’intera voce dominio in /etc/krb5.conf .Gli esempi che seguino evidenziano dove il nome del dominio deve apparire.

/etc/hostname:
```
ubuntu.
```

/etc/hosts:

127.0.0.1        localhost
10.82.6.10       ubuntu. ubuntu

/etc/krb.conf:

[libdefaults]
default_realm = EXAMPLE.COM

[realms]
EXAMPLE.COM = {
        kdc = 10.30.2.2:88
}

[domain_realm]

example.com = EXAMPLE.COM

Lavagna virtuale per programmatori

3 marzo 2011 di admin | Categorie: Guide Geek, Html, webmaster | Commenta!

Siete dei programmatori inesperti che vogliono iniziare a fare sul serio nel mondo della programmazione? Oltre a leggere online i vari forum dedicati, vi segnaliamo anche una risorsa particolarmente interessante: Rendera. Si tratta di un servizio web gratuito, perfetto per tutti gli utenti che vogliono imparare il nuovo linguaggio html 5 o CSS 3.

Ovviamente si tratta di una risorsa indicata per chi vuole davvero diventare un bravo programmatore, perché un po’ d’impegno ci vuole comunque. Praticamente, il sito funziona da laboratorio di lavorazione e offre a tutti gli utenti, la facoltà di mettersi alla prova con la programmazione base.

Infatti, vi verrà messa a disposizione una comoda lavagna per scrivere il codice e uno spazio per vedere il risultato. In ogni momento potrete sviluppare parti di codice e vederne il risultato. Non preoccupatevi, se è la prima volta che utilizzate programmi di questo tipo potrete seguire dei tutorial realizzati per gli utenti meno esperti in modo da imparare con calma tutto quello che dovete sapere.

Diventare programmatori richiede pazienza e impegno, siete pronti a lanciarvi in quest’avventura?

Come attivare Google Cloud Print in Italia

23 febbraio 2011 di admin | Categorie: Google, Guide Geek, Utility | Commenta!

Google Cloud Print è la nuova idea del noto motore di ricerca, che permette di stampare un documento o un email, direttamente via cellulare anche se vi trovate fuori l’ufficio o in un altro paese.

Una volta scaricata la vostra nuova versione di Google Chrome, aprire le “Opzioni” e in seguito andate in “Roba da Smanettoni”. Scorrette fino in fondo alla pagina e attivate il servizio,essenziale è avere un proprio account gMail attivo da poter associare al servizio. Una volta associato l’account, saranno riconosciute le stampanti installate sul computer.

Dopo la stampa dovete solo accedere alla vostra casella email tramite cellulare.Attualmente il sestema è disponibile solo in territorio US, però con una modifica alle impostazioni del vostro cellulare si può superare quest’ostacolo.

Per esempio per un iPhone, basterà impostare come lingua del dispositivo quella Inglese, successivamente impostare la lingua del browser (Safari) in Inglese per vedere abilitata la possibilità di stampare tramite il vostro telefono. Basterà essere collegati sul sito di gMail e aprire una mail o un documento e cliccare su Print nel menu sotto le doppie frecce in alto.

Dopo che si è cliccato su Print il sistema in automatico genera un file PDF che poi andrà a stampare e che voi non vedrete. Il servizio è attualmente disponibile solamente per Windows.

Spegnere il computer quando vuoi

15 febbraio 2011 di admin | Categorie: Computer, Guide Geek, Utility | Commenta!

Molte volte voi avrete pensato di lasciare il computer acceso perchè doveva scaricare oppure fare tante altre cose,però non lo lasciavate perchè alla fine non finisce di scaricare perchè dopo un pò va in standbyte.

Allora proprio per questo problema vi consiglio un programmino molto utile e leggero che vi fa decidere quando e come spegnere il computer.Il programma si chiama WinMend Auto Shutdown e lo potrete scaricare da Qui

Il tutto vi servirà molto in caso dobbiate andare a fare qualche commissione,o anche altro sopratutto se dovrete scaricare a partire dai Film ai Giochi, Musica e cosi via, da qui tra l’ altro potrete impostare l’ ora di spegnimento in piccoli e molti semplici passaggi, ma fidatevi che ne varrà almeno per molti la pena di provarlo, d’ altronde la sua interfaccia è molto semplice, ed è un programma anche totalmente gratuito Free.

Che dire provatelo e vedrete che non ve ne pentirete tra l’ altro viene utilizzato già da parecchia gente con risultati oltremodo soddisfacenti.

Ora la parola tocca a voi e le vostre opinioni.

Forza dai, Buon Divertimento!!.

Per disabilitare il Caps Lock e il tasto Win su Windows

12 febbraio 2011 di admin | Categorie: Guide Geek, Tips / Tricks, Windows | Commenta!

Per diversi motivi alcunii tasti delle tastiere dei PC sono odiati da un mucchio di persone. Esempi da fare possono essere due tasti , quello con la bandierina di Windows, che si preme mentre si sta giocando con i videogame e chiude la visualizzazione a tutto schermo del gioco,e il Caps Lock, che obbliga a dover riscrivere frasi che si erano scritte tutte in maiuscolo.

Allora esistono trucchi per Windows che permettono di disabilitare il Caps Lock e il tasto Win su Windows utilizzando esclusivamente il registro di sistema.

Per diabilitare il Caps Lock :

Recarsi nel menu Start, digitare regedit nella barra di ricerca rapida e premere il tasto Invio per accedere all’editor del registro di sistema;
Recarsi nella chiave HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ Keyboard Layout;
Creare un nuovo valore binario in “Keyboard Layout” e rinominarlo in Scancode Map;
Fare doppio click sulla chiave Scancode Map e assegnargli il seguente valore prima di riavviare il PC. Per disabilitare il tasto WIn:

Recarsi nel menu Start, digitare regedit nella barra di ricerca rapida (o in “Esegui”) e premere il tasto Invio per accedere all’editor del registro di sistema;
Recarsi nella chiave HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ Keyboard Layout;
Creare un nuovo valore binario in “Keyboard Layout” e rinominarlo in Scancode Map;
Fare doppio click sulla chiave Scancode Map e assegnargli il seguente valore prima di riavviare il PC.

Aggiungere Yahoo Media Player a Wordpress

11 febbraio 2011 di admin | Categorie: Guide Geek, Tips / Tricks, Video | Commenta!

Yahoo ha da tempo messo a disposizione degli webmaster un riproduttore musicale da aggiungere al proprio sito web. Il suo nome è Yahoo Media Player e per adesso, è ancora in versione BETA.

Ma quali sono i passi da seguire per aggiungerlo al nostro blog fatto con Wordpress? Niente di più semplice:

Inserire il codice del riproduttore:

Per inserire il codice vero e proprio, quello che aiutera alla visualizazzione della barra di Y!Media Player, bisogna andare modificare uno dei file .php del tema. Personalmente, preferisco modificare il footer.php in quanto gli altri sono pieni di codici e rischiamo di non trovarlo quando ne abbiamo bisogno.

Andiamo quindi sull’editor del tema, apriamo il file footer.php quindi, al di sopra del codice <?php wp_footer(); ?> inseriamo il seguente codice:

<script type=”text/javascript” src=”http://mediaplayer.yahoo.com/js”></script>

Fatto ciò, possiamo passare direttamente al secondo passo.

Linkare le canzoni

Anche linkare le canzoni con Yahoo Media Player risulta facile infatti, ci basterà inserire il link diretto a un file mp3 all’interno della pagina di Wordpress per farla riconoscere al riproduttore quindi fargliela riprodurre. Se volete che le canzoni vengano riprodotte sull’intero sito web vi consiglio di inserire i link all’interno di un Widget sulla barra laterale.

Andiamo dunque a selezionare un Widget Testo quindi inseriamo il seguente codice per ogni canzone che vogliamo inserire:

<p><a href=”http://sitoweb.com/cartella/filemusicale.mp3″>Prima Canzone</a></p>

Questo è tutto. Ricordate però che, il player riesce a riprodurre solo i link che trova all’interno di una pagina quindi, se abbiamo una playlist, bisognerà aggiungere i file su un Widget che su tutto il sito web altrimenti ci toccherà inserirlo in file del tema come header.php o footer.php.

Liberare la cache di Firefox con Empty Cache Button

9 febbraio 2011 di admin | Categorie: Browser, Firefox, Guide Geek, Utility | Commenta!

Utilizzare internet per tante ore al giorno, mette alla prova le prestazioni di navigazione del browser web che a un certo punto potrebbero non offrire il servizio desiderato. Chi utilizza Mozilla Firefox sa che esiste un’apposita funzione per svuotare la cache, ma per chi ama la semplicità è stata realizzata anche un’estensione che permette di farlo con un clic.

Con “Empty Cache Button” potrete finalmente dimenticare questa fastidiosa procedura per vuotare la cache di Firefox per Windows. L’add-on in questione è compatibile con le versioni Firefox per Windows e Mac. Una volta completato il download non dovrai fare altro che completare la procedura guidata e riavviare il browser di casa Mozilla.

Un servizio innovativo che permette di risparmiare un sacco di tempo, cancellando la cache in un solo secondo. Al termine della procedura l’icona dell’add-on per Firefox sarà visibile accanto ai tuoi link preferiti e da quel momento la cache si cancellerà con un semplice clic del mouse. Empty Cache Button è stato sviluppato da “vmslo” un utente della community di Firefox, e solo dopo due giorni dal suo rilascio ha superato i 500 download.

Effettua il login

Archivio della categoria ‘Guide Geek’

Introduzione

Interfacce grafiche

Seahorse

Kgpg

Generare una chiave

Dalla riga di comando

Certificato di revoca

Caricare una chiave

Inviare un chiave a un server con GnuPG

Inviare una chiave con un browser web

Firmare una chiave

Firmare i dati

Firma del Codice di condotta di Ubuntu

Caricare la chiave in Launchpad

Firmare il Codice di condotta

Firmare e cifrare email

Evolution

Mozilla Thunderbird

Introduzione

Preparativi

Installazione del pacchetto

Configurazione

Amministrazione

Introduzione

Descrizione

Installazione

Script

Configurazione

Introduzione

Installazione

DBDesigner nativo per Linux

DBDesigner emulato con Wine

Introduzione

Account

Testing

Autenticazione

Attenzione

Testing

Orologio

Key Table non valida

Shadow password

Scambio di dominio

Feed RSS

Newsletter

Articoli in evidenza

Categorie