Howto: Ubuntu 10.04 LTS Client mit Kerberos und LDAP

Standard

Ich habe in den letzten Tagen mal in meinem LAN das Kerberos-Zeitalter ausgerufen. LDAP habe ich schon lange im Einsatz, aber bisher nicht zu Authentifizierung. Folgende Anforderungen habe ich für mich definiert:

  1. Sichere Anmeldung am System mittels Kerberos
  2. Benutzer und Gruppeninformationen sollen aus dem zentralen LDAP-Verzeichnis kommen
  3. LDAP-Benutzer sollen automatisch Mitglieder lokaler Systemgruppen werden, um z.B. Zugriff auf Geräte zu habe
  4. Nicht existierende Home-Directories sollen beim ersten Anmelden erstellt werden
  5. Mobile Geräte müssen auch ohne Netzwerkverbindung eine Authentifizierung ermöglichen

Auf Serverseite habe ich ebenfalls ein Ubuntu 10.04 LTS laufen (mein Mediacenter System). Dort habe ich bereits Kerberos und LDAP nach der Anleitung aus dem Ubuntu Serverguide eingerichtet.

Die anderen Anleitungen des Serverguides sind leider nun dann hilfreich, wenn man nur Kerberos oder nur LDAP-Authentifizierung machen möchte. Abgesehen davon schießen sich die Tools pam-auth-update und auth-client-config gegenseitig in’s Knie, weshalb man schon genau wissen sollte was man tut. Andernfalls hat man sich schneller aus dem eigenen System ausgesperrt als man Kerberos rückwärts buchstabieren kann. Ich verwende daher ein eigenes auth-client-config Profil für die Anpassungen an der nsswitch.conf und alle Änderungen an PAM nehme ich mittels pam-auth-update vor.
Continue reading

Frage die ich in Vorträgen einfach nicht mehr hören will

Standard

Ich habe ja wirklich in Vorträgen so ziemlich für jede noch so absurde Frage Verständnis, ABER wenn die Frage mit “Mir ist ein Server gehackt worden…” oder “Ich habe einen Trojaner auf dem Rechner…” anfängt ist bei mir Schluss. An der Stelle ist eigentlich schon alles Wichtige gesagt. Nein, weder der Einsatz von GPG kann mir jetzt noch helfen, noch wird DNSsec verhindern können, dass jemand meine DNS Anfragen manipuliert!!! EOD – end of discussion! Wenn ich die Kontrolle über meinen Rechner verloren habe, ist ALLES manipulierbar, egal wie viel Mühe ich mir gebe die Echtheit meiner Daten im Netzwerk sicher zu stellen. Das musste ich jetzt einfach mal loswerden, nachdem sich diese Fragen am Wochenende so gehäuft haben.

Weniger Spuren im Internet hinterlassen mit Privoxy

Standard

Ich habe mir gestern nochmal vorgenommen dafür zu sorgen, generell weniger Spuren im Internet zu hinterlassen. Mit Browser-eigenen Mitteln war ich leider bisher nicht unbedingt zufrieden. Zu viele Kleinigkeiten die man beachten muss. Das muss einfacher und globaler gehen. Ich habe bereits vor Jahren mal mit Privoxy herum gespielt. Damals war allerdings der Performance-Einbruch deutlich spürbar und das Ganze hat nicht lange überlebt. Aber das war auch noch auf zig Jahre alter Hardware.

Also gestern Abend neuen Versuch gestartet und bisher sind meine Ergebnisse durchaus positiv, daher möchte ich mal mein Setup hier dokumentieren.

Erstmal installieren: sudo aptitude install privoxy

Die Standardkonfiguration taugt schon einiges, aber was ist mit Google Analytics und Facebook und die ganzen anderen Tracking Services? Ein wenig Suchen nach brauchbaren Filterlisten, brachte mich auf http://designpeo.pl/e/blog/howto-use-privoxy-prevent-online-tracking-and-analytics wo jemand genau mein Problem auf dem gleichen Weg gelöst hat. Das macht die Sache natürlich wesentlich einfacher 😉

Damit die lästigen Facebook Like Buttons verschwinden, fügt man einfach noch

.facebook.com/(plugins|widgets)/(like|fan).*

an die Datei /etc/privoxy/privacy.action

Damit das ganze auch bei Bedarf (z.B. Entwickeln) abschaltbar ist, habe ich für den Firefox das FoxyProxy Add-On und für Chrome Proxy Switchy! installiert.

Steve Jobs mag anscheinend keine Blogger

Standard

Auf der Konferenz “D: All Things Digital” hat Steve folgende schöne Sätze formuliert (ganzer Artikel in der SZ):

“Ich will nicht, dass wir eine Nation von Bloggern werden. Ich denke, wir brauchen redaktionelle Kontrolle heutzutage mehr als jemals zuvor. Wenn wir etwas tun können, um den Zeitungen dabei zu helfen, neue Ausdrucksformen zu finden, durch die sie Geld verdienen können, bin ich absolut dabei.”

Klar, wenn ich so ein Kontrollfreak wie er wäre, welcher anscheinend alles daran setzt, den Usern zu diktieren aus welchen Quellen Sie was und wann zu konsumieren haben, würde ich das auch sagen. Und wenn man damit auch noch so viel Kohle macht sowieso. Wer will schon die Chance haben sich frei zu informieren und eine dritte Meinung einzuholen, wenn der Papst es besser weiß? Die Apple Kirche scheint mit Ihrer Weltanschauung ja genauso weit zu sein wie die katholische Amtskirche in Rom.

Dementer Bananenrepublikpräsident?

Standard

Oder was ist in den Greis gefahren als er heute das Zugangserschwerungsgesetz unterschrieben hat? War bestimmt nur ein bedauerliches Versehen. Bestimmt hat Zensursula nur Ihren Urlaubsantrag unterschreiben lassen wollen. Mal sehen ob Schnarre das wieder gerade biegen kann. Scheinen ja alle ein wenig von der Sache überfahren worden zu sein. Oder die sehen das jetzt als Aufforderung an das ganze Thema nicht weiter zu verfolgen. Haben ja jetzt ne Regelung, die der Großteil der heutigen Regierung damals auch schon so haben wollte.