old-wiki.siliconhill.cz - Příspěvky uživatele [cs]

Strahovský startovač

2015-10-12T22:44:12Z

Tomassrna:

Strahovský startovač - podpořte projekt '''Zimní olympijské hry 2018 - Silicon Hill''' zápisem do následující tabulky a především jakýmkoliv darem.

----

{| class="wikitable"
|+ Strahovský startovač (SS) - ZOH SH 2018
! p.č. !! Kdo !! Pokoj !! Co
|-
| 1 || Strahováček || X/XXX || Mediální podpora a všemožné voloviny
|-
| 2 || Fosfor || 19J || Telepatická podpora - kdykoliv bude třeba, budu na ZOH myslet
|-
| 3 || Policie ČR || Y/YYY || Přímý přenos v Týdeníku PČR
|-
| 4 || ? || ? || ?
|}

Diskuse:Fotoatelier

2015-07-01T15:38:54Z

Tomassrna:

Datum, čas od - do, jméno příjmení

Ateliér znovu v provozu!

týden 6.7. - 12.7.

6.7. 14:00 - 17:00 Jonáš Mejtský

týden 29.6. - 5.7.

1.7. 18:00 - 18:30 Tomas Srna

týden 22.6. - 28.6.

24.6. 09:00 - 12:00 Lukáš Bařinka

25.6. 14:00 - 19:00 Michal B.

týden 15.6. - 21.6.

16.6. 19:00 - 22:00 Tomas Srna

20.6. 09:00 - 12:00 Lukáš Bařinka

týden 1.6. - 7.6.

6.6. 9:30 - 13:00 Ales Jira

5.6. 18:00 - 22:00 Ondřej Hrstka

týden 18.5. - 25.5.

24.5. 10:00 - 13:00 Ales Jira

21.5. 19:00 -21:00 Pavol Vittek

20.5. 10:00 - 15:00 Michal B.

týden 11.5. - 17.5.

13.5. 14:00 - 22:00 Jonas Mejtsky

týden 4.5. - 10.5.

10.5. 11:00 - 17:00 Jonas Mejtsky

týden 13.4. - 19.4.

19.4. 10:00 - 15:00 Jonáš Mejtský

14.4. 09:00 - 12:00 Lukáš Bařinka

týden 5.4. - 12.4.

9.4. 17:00 - 20:00 Jonas Mejtsky

týden 30.3. - 5.4..
3.4. 14:30 - 16:00 Pavel Šimák

1.4. 20:00 - 21:00 Pavel Vitvar

1.4. 13:00 - 16:00 Aleš Daněk

týden 23.3. - 29.3.
25.3. 17:00 - 19:00 Pavel Šimák

24.3. 18:00 - 22:00 Kuba Spatny

28.3. 09:00 - 15:00 Jonas Mejtsky

28.3. 16:00 - 19:00 Pavel Řehák

28.3. 19:00 - 22:00 Martin Borýsek

29.3. 10:00 - 20:00 Jonas Mejtsky

týden 16.3. - 22.3.

16.3. 17:00 - 22:00 Kuba Spatny

17. 3. 17:00 - 18:30 Michal B.

týden 9.3. - 15.3.

9.3. 18:30 - 21:30 Pavel Řehák

13.3. 15:00 - 18:00 Tomas Srna

13.3. 18:00 - 21:00 Pavel Řehák

14.3. 17:00 - 18:30 Tomas Srna

15.3. 20:00 - 22:00 Martin Borýsek

týden 2.3. - 8.3.

8.3. 18:00-21:00 Pavel Řehák

týden 23.2. - 1.3.
23.2. 17:00 - 19:00 Tomáš Srna

28.2. 20:00 - 22:00 Michal Byna

týden 16.2. - 22.2.
20.2. 10:30 - 13:30 Lukáš Bařinka

22.2. 10:45 - 15:45 Michal Býna

22.2. 15:45 - 18:00 Martin Doubek

týden 9.2. - 15.2.

10.2. 10:30 - 14:00 Lukáš Bařinka

13.2. 10:00 - 13:00 Lukáš Bařinka

14.2. 13:55 - 16:25 Ivo Š.

týden 2.2. - 8.2.

7.2. 15:00 - 18:30 Pavel Řehák

týden 26.1. - 1.2.

27.1. 12:00 - 15:00 Jan Čermák

30.1. 10:30 - 13:30 Jan Čermák

30.1. 15:00 - 18:00 Pavel Řehák

31.1. 14:00 - 18:00 Martin Doubek

31.1. 18:00 - 20:00 Klára Škodová

týden 19.1. - 25.1.

21.1. 15:00 - 19:00 Petr Kavulok

24.1. 09:30 - 13:00 Aleš Jíra

25.1. 11:25 - 13:50 Ivo Š.

týden 12.1. - 18.1.

13.1. 18:30 - 19:00 Michal Býna

14.1. 16:00 - 19:00 Jan Dufek

14.1. 19:00 - 23:00 Pavol Vittek

15.1. 13:30 - 16:30 Pavol Vittek

15.1. 17:00 - 20:00 Pavel Řehák

18.1. 14:00 - 17:00 Pavel Řehák

týden 5.1. - 11.1.
6.1. 18:00 - 22:00 Pavel Řehák

7.1. 9:30 - 13:00 Pavol Vittek

týden 29.12. - 4.1.

týden 22.12. - 28.12.

týden 15.12. - 21.12.

15.12 20:00 - 24:00 Pavol Vittek, údržba

16.12. 19:00 - 23:00 Jan Dufek

19.12. 11:00 - 14:00 Lukáš Bařinka

týden 8.12. - 14.12.

9.12. 15:00 - 18:30 Michal Býna

10.12. 19:00 - 23:00 Kuba Spatny

11.12. 15:00 - 19:00 Martin Doubek

12.12. 09:00 - 12:00 Lukáš Bařinka

12.12. 13:00 - 15:00 Aleš Daněk

týden 1.12. - 7.12.

1.12. 16:30 - 19:00 Aleš Daněk

1.12. 19:00 - 21:00 Michal Býna

2.12. 17:00 - 19:30 Aleš Daněk

4.12. 18:00 - 23:00 Kuba Spatny

5.12. 9:00 - 12:00 Lukáš Bařinka

5.12. 14:00 - 14:50 Ivo Š.

7.12. 20:00 - 22:00 Pavol Vittek

týden 24.11. - 30.11.

26.11. 19:00 - 21:00 Petr Kavulok

27.11. 11:00 - 12:00 Petr Kavulok

27.11. 14.40 - 15.15 Ivo Š.

28.11. 15:00 - 17:00 Michal Býna

29.11. 20:00 - 23:00 Petr Kavulok

30.11. 12:00 - 15:00 Michal Býna

30.11. 15:00 - 20:00 Jonáš Mejtský

týden 17.11 - 23.11

21.11. 22:00 - 23:00 Tomáš Švach

21.11. 17:00 - 23:00 Pavol Vittek

22.11. 9:00 - 11:30 Aleš Jíra

týden 10.11 - 16.11

10.11 21:00 - 22:00 Tomáš Švach

13.11 21:00 - 23:00 Kuba Spatny

16.11. 19:00 - 23:00 Jan Dufek

týden 3.11 - 9.11

3.11 10:00 - 12:00 Pavol Vittek

3.11 18:00 - 21:00 Martin Doubek

4.11 13:00 - 14:30 Petr Kavulok

8.11 9:00 - 12:00 Lukáš Bařinka

týden 27.10 - 2.11

27.10 18:00 - 23:00 Pavol Vittek

28.10 11:00 - 15:00 Michal Býna

28.10 15:00 - 19:00 Ondřej Hrstka

28.10 19:00 - 23:00 Jan Dufek

30.10 18:00 - 23:00 Pavol Vittek

31.10 18:00 - 20:00 Pavol Vittek

Od 31.10 do 2.11 bude vo fotoateliéri len malý softbox + deštník a 2 blesky, ktoré je možné použiť v kombinácii so starými odpalovačmi

týden 20.10 - 26.10

21.10 20:00 - 21:00 Pavol Vittek

22.10 20:00 - 23:00 Petr Kavulok

24.10 9:00 - 13:00 Martin Doubek

25.10 15:00 - 17:00 Pavol Vittek

týden 13.10 - 19.10

Dodržujte prosím provozní řád fotoateliéru. Za nedodržanie dostanete BAN.
Jedná sa napr. o zametanie, úklid, vynesenie odpadkov, zapísanie sa na vrátnici - aj fotografované osoby ako návštevu atd...
Vittek

13.10 08:00 - 10:00 Klára Škodová

13.10 15:00 - 18:00 Martin Doubek

13.10 19:00 - 24:00 Pavol Vittek - DOD

18.10. 9:00 - 12:00 Lukáš Bařinka

týden 6.10. - 12.10.

6.10.2014 18:00 - 19:00 Pavol Vittek

8.10.2014 17:00 - 24:00 Pavol Vittek - Akce prvák

9.10.2014 20:00 - 21:00 Tomáš Srna

12.10.2014 16:00 - 19:00 Pavol Vittek

týden 29.9. - 5.10.

1.10.2014 18:00 - 22:00 Kuba Spatny

3.10.2014 11:00 - 16:00 Michal Býna

3.10.2014 16:00 - 20:00 Pavol Vittek

5.10.2014 15:00 - 20:00 Jonáš Mejtský

týden 22.9. - 28.9.

23.9.2014 19:00 - 21:00 Pavol Vittek

24.9.2014 19:00 - 22:00 Kuba Spatny

25.9.2014 9:00 - 13:30 Michal Býna

týden 15.9. - 21.9.

21.9.2014 9:00 - 12:30 Aleš Jíra

týden 8.9. - 14.9.

8.9.2014 18:00 - 22:00 Kuba Spatny

týden 1.9. - 7.9.

1.9.2014 17:30 - 19:00 Kuba Spatny

4.9.2014 18:00 - 21:00 Kuba Spatny

5.9.2014 14:15 - 16:30 Michal Býna

7.9.2014 14:00 - 19:00 Michal Býna

týden 25.8. - 31.8.

26.8.2014 19:00 - 20:00 Ivo Š.

27.8.2014 20:00 - 22:00 Pavol Vittek

30.8.2014 18:00 - 19:30 Pavol Vittek

týden 18.8. - 24.8.

19.8.2014 20:30 - 22:00 Kuba Spatny

21.8.2014 18:00 - 20:00 Michal Býna

týden 11.8. - 17.8.

11.8.2014 18:00 - 21:00 Kuba Spatny

13.8.2014 09:15 - 10:15 Ivo Š.

13.8.2014 17:25 - 17:45 Ivo Š.

týden 4.8. - 10.8.

4.8.2014 18:00 - 20:00 Tomas Srna

5.8.2014 19:00 - 22:00 Kuba Spatny

6.8.2014 18:00 - 22:00 Jaroslav Halgasik

7.8.2014 08:20 - 12:00 Jan Cermak

9.8.2014 14:00 - 15:00 Klara Skodova

9.8.2014 15:00 - 20:00 Pavol Vittek

10.8.2014 19:00 - 23:00 Pavol Vittek

týden 28.7. - 3.8.

30.7.2014 8:00 - 11:00 Aleš Daněk

30.7.2014 15:00 - 20:00 Jonáš Mejtský

1.8.2014 9:00 - 14:00 Martin Doubek

týden 21.7. - 27.7.

26.7.2014 13:00 - 18:00 Kuba Spatny

týden 14.7. - 20.7.

16.7.2014 13:00 - 14:00 Pavol Vittek

16.7.2014 16:00 - 19:00 Tomáš Švach

17.7.2014 12:30 - 17:30 Michal Býna

týden 7.7. - 13.7.

týden 30.6. - 6.7.
30.6. 2014 14:00 - 18:00 Jonáš Mejtský

30.6. + 1.7. Michal Býna - půjčím si jen malou odrazku, ateliér bude volný

týden 23.6. - 29.6.
26.6.2014 15:30 - 19:00 Martin Doubek

týden 16.6. - 22.6.

16.6.2014 19:00 - 20:00 Kuba Špatný

17.6.2014 9:00 - 12:00 Martin Doubek

17.6.2014 18:00 - 23:00 Pavol Vittek

18.6.2014 17:00 - 21:00 Kuba Špatný

20.6.2014 9:30 - 10:30 + 13:30 - 16:00 Michal Býna

21.6.2014 16:00 - 18:30 Michal Býna

týden 9.6. - 15.6.

9.6.2014 11:00 - 13:00 Daněk Aleš

12.6.2014 19:00 - 21:00 Pavol Vittek

týden 2.6. - 8.6.

4.6.2014 18:25 - 19:45 Ivo Š.

týden 26.5 - 1.6.

27.5.2014 20:00 - 21:00 Pavel Vitvar

28.5.2014 17:00 - 19:00 Ivo Š.

29.5.2014 10:15 - 12:30 Lucie Vonášková

29.5.2014 16:00 - 19:00 Jonáš Mejtský

30.5.2014 10:00 - 11:00 Daněk Aleš

31.5.2014 10:45 - 15:45 Michal Býna

31.5.2014 22:00 - 24:05 Pavol Vittek

týden 19.5 - 25.5.

22. 5. 2014 18:00 - 23:00 Pavol Vittek

týden 12.5 - 18.5

12.5.2014 11:15 - 13:00 Jan Čermák

14.5.2014 14:00 - 17:00 Petr Kaštánek

15.5.2014 20:00 - 21:00 Tomáš Srna

16.5.2014 20:00 - 23:00 Jonáš Mejtský

týden 5.5 - 11.5

5.5.2014, 21:15 - 23:00 Pavol Vittek

6.5.2014, 15:00 - 19:00 Martin Doubek

7.5.2014, 15:00 - 18:00 Martin Doubek

10.5.2014, 9:00 - 12:00 Ondřej Hrstka

týden 28.4 - 4.5
28.4.2014, 17:30 - 21:00 Jan Dufek

29.4.2014, 19:00 - 22:30 Petr Kaštánek

1.5.2014, 9:00 - 15:00 Jan Dufek

1.5.2014, 15:00 - 17:00 Pavol Vittek

1.5.2014, 18:00 - 20:00 Jan Čermák

týden 21.4 - 27.4
22.4.2014, 13:00 - 17:00 Jonáš Mejtský

23.4.2014, 18:00 - 22:00 Jaroslav Halgasik

27.4.2014, 13:00 - 20:00 Jan Dufek

týden 14.4 - 20.4
14.4.2014 - 19:00 - 21:00 Pavel Vitvar

17.4.2014 - 18:30 - 22:30 Petr Kaštánek

18.4.2014, 14:00 - 21:00 Marek Votroubek

18.4.2014, 10:00 - 15:00 Pavol Vittek

19.4.2014, 9:00 - 12:00 Marek Votroubek

19.4.2014, 12:00 - 17:00 Pavol Vittek

týden 7.4 - 13.4

7.4.2014 - 13:00 - 18:00 Marek Votroubek

7.4.2014, 18:00 - 22:00 Jan Dufek

8.4.2014, 08:30-11:00 Jan Čermák

9.4.2014, 17:30-22:00 Jaroslav Halgasik

10.4.2014, 17:00 - 22:00 Jonáš Mejtský

10.4.2014, 22:00 - 23:00 Pavol Vittek

11.4.2014, 9:00 - 14:00 Pavol Vittek

týden 31.3 - 6.4

31. 3. 2014, 18:00 - 21:00 Karel Vojkovsky

1.4. 2014, 17:00 - 21:00 Pavol Vittek

2. 4. 2014, 11:30 - 15:30 Michal Býna

2. 4. 2014, 17:15 - 21:00 Jan Čermák

4. 4. 2014, 8:00 - 12:30 Pavol Vittek

4. 4. 2014, 13:00 - 17:00 Karel Vojkovsky

4. 4. 2014, 18:30 - 22:00 Jonáš Mejtský

týden 24.3 - 30.3

24. 3. 2014, 18:00 - 22:00 Jan Dufek

26. 3. 2014, 20:00 - 21:00 Klára Škodová

27. 3. 2014, 18:30 - 23:00 Jan Čermák

28. 3. 2014, 18:00 - 20:30 Karel Vojkovsky

týden 17.3 - 23.3

22. 3. 2014, 10:00 - 15:00 Pavol Vittek

týden 10.3 - 16.3

12.3.2014, 9:45 - 13:00 Lucie Vonášková

13.3.2014, 15:00 - 18:00 Marek Votroubek

15.3.2014, 14:00 - 19:00 Michal Býna

16.3.2014, 16:00 - 18:00 Ondřej Hrstka

týden 3.3 - 9.3
4.3.2014, 17:00 - 20:00 Martin Doubek

5.3.2014, 16:00 - 18:00 Marek Votroubek

5.3.2014, 18:00 - 22:00 Lucie Vonášková

6.3.2014, 10:00 - 12:00 Martin Červenka

7.3.2014, 13:00 - 18:00 Lucie Vonášková

8.3.2014, 9:00 - 13:00 Ondřej Hrstka

týden 24.2 - 2.3

26.2.2014, 18:00 - 21:00 Aleš Daněk

27.2.2014, 11:00 - 16:00 Martin Červenka

28.2.2014, 17:00 - 21:00 Barbora Svobodová

1.3.2014, 14:00 - 19:00 Barbora Svobodová

týden 17.2 - 23.2

19. 2. 2014, 10:00-15:00 Marek Votroubek

19. 2. 2014, 18:30-20:00 Ondřej Novotný

20. 2. 2014, 11:00 - 16:00 Martin Červenka

21. 2. 2014, 15:00 - 18:00 Matus Koperniech

22. 2. 2014, 09:00 - Ondřej Hrstka

týden 10.2 - 16.2

11. 2. 2014, 18:00- 22:00 Jan Čermák

13. 2. 2014, 9:30 - 13:30 Michal Býna

13. 2. 2014, 18:00 - 22:00 Aleš Daněk

14. 2. 2014, 09:00 - 12:30 Jan Čermák

14. 2. 2014, 13:00 - 17:00 Pavol Vittek

14.2.2014, 17:00 - 23:00 Martin Hanes

15. 2.2014, 17:00 - 23:00 Pavol Vittek

16.2.2014, 11:00 - 14:00 Aleš Jíra

týden 3.2 - 9.2.

3.2.2014, 13:00 - 17:00, Martin Červenka

4.2.2014, 16:00 - 20:00, Martin Červenka

6.2.2014, 15:00 - 18:00, Martin Červenka

8.2.2014, 18:00 - 23:00, Pavol Vittek

týden 27.1 - 2.2
1.2.2014, 9:30 - 11:45 Aleš Jíra

2.2.2014, 12:00 - 17:00 Pavel Krásenský

týden 20.1 - 26.1
21.1.2014, 16:00 - 19:00 Martin Doubek

22.1.2014, 19:00 - 23:00 Pavol Vittek

23.1.2014, 12:00 - 16:45 Pavol Vittek

23.1.2014, 17:00 - 20:00 Matus Koperniech

24.1.2014, 13:45 - 18:45 Martin Červenka

25.1.2014, 15:00 - 20:00 Pavol Vittek

týden 13.1 - 19.1

16.1.2014, 10:00 - 15:00 Pavol Vittek

18.1.2014, 15:00 - 19:00 Martin Červenka

týden 6.1 - 12.1

7.1.2014, 18:00 - 21:00 Martin Červenka

8.1.2014, 21:30 - 23:00 Pavel Vitvar

9.1.2014, 13:00 - 18:00 Pavol Vittek

9.1.2014, 19:00 - 23:00 Martin Hanes

11.1.2014, 17:00 - 20:00 Matus Koperniech - zrusene, choroba

týden 30.12 - 5.1

5.1.2014, 15:00 - 18:00 Klára Škodová

týden 23.12 - 29.12

týden 16.12 - 22.12
16.12.2013, 17:00 - 22:00 Pavol Vittek

19.12.2013, 15:00 - 19:00 Michal Býna

týden 9.12 - 15.12
10.12.2013, 16:00 - 18:30 Marek Votroubek

11.12.2013, 15:30 - 20:00 Michal Býna

11.12.2013, 20:00 - 23:00 Pavol Vittek

12.12.2013, 19:00 - 22:00 Pavel Vitvar

14.12.2013, 11:00 - 14:00 Pavel Vitvar

15.12.2013, 15:00 - 17:00 Jan Dufek

týden 2.12 - 8.12

3.12.2013, 11:00 - 14:20 Pavol Vittek

3.12.2013, 14:30 - 18:00 Martin Doubek

3.12.2013, 18:30 - 20:30 Matus Koperniech

4.12.2013, 15:00 - 18:00 Martin Doubek

4.12.2013, 18:00 - 21:00 Martin Hanes

7.12.2013, 08:30 - 12:30 Martin Červenka

7.12.2013, 16:00 - 21:00 Marek Votroubek

8.12.2013, 09:00 - 13:00 Martin Červenka

8.12.2013, 15:00 - 20:00 Barbora Svobodová

8.12.2013, 20:30 - 21:15 Pavol Vittek

týden 25.11 - 1.12

26.11.2013, 13:00 - 18:00 Pavol Vittek

01.12.2013, 10:00 - 14:00 Martin Červenka

týden 18.11 - 24.11

18.11.2013, 10:00 - 14:00 Martin Červenka

18.11.2013, 18:00 - 20:00 Ondřej Novotný

19.11.2013, 18:00 - 21:00 Martin Doubek

21.11.2013, 11:00 - 14:00 Martin Červenka

21.11.2013, 19:00 - 22:00 Chip

22.11.2013, 09:00 - 12:00 Martin Červenka + Martin Borýsek

23.11.2013, 15:00 - 18:00 Matúš Koperniech

24.11.2013, 11:00 - 13:00 Klára Škodová

24.11.2013, 13:00 - 18:00 Barbora Svobodová

24.11.2013, 18:00 - 23:00 Pavol Vittek

týden 11.11 - 17.11

13.11.2013, 16:30 - 18:30 Martin Červenka

13.11.2013, 19:00 - 22:00 Lukáš Březina

14.11.2013, 09:30 - 13:30 Martin Červenka

15.11.2013, 19:00 - 22:00 Miroslav Šos

16.11.2013, 13:00 - 16:00 Miroslav Šos

16.11.2013, 18:00 - 21:00 Matúš Koperniech

týden 4.11 - 10.11

4.11.2013, 18:00 - 22:00 Ondřej Hrstka

6.11.2013, 07:00 - 10:30 Martin Červenka

6.11.2013, 20:00 - 23:00 Pavol Vittek montovanie kamery

7.11.2013, 15:30 - 18:30 Matúš Koperniech

7.11.2013, 19:00 - 22:00 Lukáš Březina

10.11.2013, 11:00 - 15:00 Pavol Vittek

10.11.2013, 15:00 - 21:00 Karel Vojkovský

týden 28.10 - 3.11

30.10.2013, 10.00 - 15.00 Marek Votroubek

30.10.2013, 15:00 - 19:00 Martin Červenka RUŠÍM (onemocnělá modelka)

30.10.2013, 20:00 - 22:00 Lukáš Březina

3.11.2013, 9:00 - 13:00 Barbora Svobodová

3.11.2013, 20:00 - 23:00 Pavol Vittek

týden 21.10 - 27.10

21.10.2013, 17:00 - 23:00 Pavol Vittek

22.10.2013, 18:00 - 23:00 Martin Hanes

23.10.2013, 08:00 - 11:00 Martin Červenka

23.10.2013, 19:00 - 22:00 Lukáš Březina

24.10.2013, 13:00 - 16:00 Martin Doubek

24.10.2013, 17:00 - 22:00 Barbora Svobodová

25.10.2013, 11:30 - 14:00 Marek Votroubek

25.10.2013, 20:00 - 23:00 Pavol Vittek

týden 14.10 - 20.10

14.10.2013, 19:00 - 22:00 Pavol Vittek

16.10.2013, 17:00 - 20:00 Pavol Vittek

17.10.2013, 12:00 - 13:00 Pavol Vittek

17.10.2013, 13:00 - 18:00 Martin Červenka

18.10.2013, 15:30 - 17:30 Matus Kopeniech

19.10.2013, 15:00 - 20:00 Marek Votroubek

týden 7.10 - 13.10

7.10.2013, 14:30 - 15:30 Pavol Vittek

9.10.2013, 13:00 - 17:00 Martin Doubek

12.10.2013, 14:00 - 19:00 Jan Dufek

týden 30.9 - 6.10

1.10.2013, 20:00 - 21:00 Pavol Vittek

5.10.2013, 13:00 - 17:00 Barbora Svobodová

5.10.2013, 17:00 - 19:00 Matúš Koperniech

týden 23.9 - 29.9

26.9.2013, 17:15 - 21:30 Pavol Vittek

26.9.2013, 14:00 - 17:00 Martin Doubek

27.9.2013, 12:00 - 14:00 Pavol Vittek

28.9.2013, 10:00 - 15:00 Aleš Jíra

týden 16.9 - 22.9

20. 9. 2013, 14:00 - 17:00 Martin Červenka

19. 9. 2013, 15:00 - 20:00 Peter Antolík

18. 9. 2013, 14:00 - 19:00 Michal Býna

týden 9.9 - 15.9

13.9.2013, 10:00 - 11:30 Ondřej Novotný

9.9.2013, 18:00 - 22:00 Barbora Svobodová

6.9.2013, 17:00 - 22:00 Pavol Vittek

týden 2.9 - 8.9

5. 9. 2013, 13:00 - 18:00 Michal Býna

týden 26.8 - 1.9
29.8.2013, 10:00 - 15:00 Pavol Vittek

týden 19.8 - 25.8
22.8.2013, 10:00 - 15:00 Pavol Vittek

21.8.2013, 15:00 - 20:00 Pavol Vittek

20.8.2013, 18:30 - 20:00 Ondřej Novotný

týden 12.8 - 18.8
17.8.2013, 15:00 - 17:30 Ondřej Novotný

12.8. 2013, 14:00 - 19:00 Michal Býna

týden 5.8 - 11.8
6.8.2013, 18:00 - 22:00 Barbora Svobodová

10.8.2013, 15:00 - 20:00 Marek Votroubek

Diskuse:Fotoatelier

2015-06-15T09:09:19Z

Tomassrna:

Datum, čas od - do, jméno příjmení

Ateliér znovu v provozu!

týden 15.6. - 21.6.

16.6. 19:00 - 22:00 Tomas Srna

týden 1.6. - 7.6.

6.6. 9:30 - 13:00 Ales Jira

5.6. 18:00 - 22:00 Ondřej Hrstka

týden 18.5. - 25.5.

24.5. 10:00 - 13:00 Ales Jira

21.5. 19:00 -21:00 Pavol Vittek

20.5. 10:00 - 15:00 Michal B.

týden 11.5. - 17.5.

13.5. 14:00 - 22:00 Jonas Mejtsky

týden 4.5. - 10.5.

10.5. 11:00 - 17:00 Jonas Mejtsky

týden 13.4. - 19.4.

19.4. 10:00 - 15:00 Jonáš Mejtský

14.4. 09:00 - 12:00 Lukáš Bařinka

týden 5.4. - 12.4.

9.4. 17:00 - 20:00 Jonas Mejtsky

týden 30.3. - 5.4..
3.4. 14:30 - 16:00 Pavel Šimák

1.4. 20:00 - 21:00 Pavel Vitvar

1.4. 13:00 - 16:00 Aleš Daněk

týden 23.3. - 29.3.
25.3. 17:00 - 19:00 Pavel Šimák

24.3. 18:00 - 22:00 Kuba Spatny

28.3. 09:00 - 15:00 Jonas Mejtsky

28.3. 16:00 - 19:00 Pavel Řehák

28.3. 19:00 - 22:00 Martin Borýsek

29.3. 10:00 - 20:00 Jonas Mejtsky

týden 16.3. - 22.3.

16.3. 17:00 - 22:00 Kuba Spatny

17. 3. 17:00 - 18:30 Michal B.

týden 9.3. - 15.3.

9.3. 18:30 - 21:30 Pavel Řehák

13.3. 15:00 - 18:00 Tomas Srna

13.3. 18:00 - 21:00 Pavel Řehák

14.3. 17:00 - 18:30 Tomas Srna

15.3. 20:00 - 22:00 Martin Borýsek

týden 2.3. - 8.3.

8.3. 18:00-21:00 Pavel Řehák

týden 23.2. - 1.3.
23.2. 17:00 - 19:00 Tomáš Srna

28.2. 20:00 - 22:00 Michal Byna

týden 16.2. - 22.2.
20.2. 10:30 - 13:30 Lukáš Bařinka

22.2. 10:45 - 15:45 Michal Býna

22.2. 15:45 - 18:00 Martin Doubek

týden 9.2. - 15.2.

10.2. 10:30 - 14:00 Lukáš Bařinka

13.2. 10:00 - 13:00 Lukáš Bařinka

14.2. 13:55 - 16:25 Ivo Š.

týden 2.2. - 8.2.

7.2. 15:00 - 18:30 Pavel Řehák

týden 26.1. - 1.2.

27.1. 12:00 - 15:00 Jan Čermák

30.1. 10:30 - 13:30 Jan Čermák

30.1. 15:00 - 18:00 Pavel Řehák

31.1. 14:00 - 18:00 Martin Doubek

31.1. 18:00 - 20:00 Klára Škodová

týden 19.1. - 25.1.

21.1. 15:00 - 19:00 Petr Kavulok

24.1. 09:30 - 13:00 Aleš Jíra

25.1. 11:25 - 13:50 Ivo Š.

týden 12.1. - 18.1.

13.1. 18:30 - 19:00 Michal Býna

14.1. 16:00 - 19:00 Jan Dufek

14.1. 19:00 - 23:00 Pavol Vittek

15.1. 13:30 - 16:30 Pavol Vittek

15.1. 17:00 - 20:00 Pavel Řehák

18.1. 14:00 - 17:00 Pavel Řehák

týden 5.1. - 11.1.
6.1. 18:00 - 22:00 Pavel Řehák

7.1. 9:30 - 13:00 Pavol Vittek

týden 29.12. - 4.1.

týden 22.12. - 28.12.

týden 15.12. - 21.12.

15.12 20:00 - 24:00 Pavol Vittek, údržba

16.12. 19:00 - 23:00 Jan Dufek

19.12. 11:00 - 14:00 Lukáš Bařinka

týden 8.12. - 14.12.

9.12. 15:00 - 18:30 Michal Býna

10.12. 19:00 - 23:00 Kuba Spatny

11.12. 15:00 - 19:00 Martin Doubek

12.12. 09:00 - 12:00 Lukáš Bařinka

12.12. 13:00 - 15:00 Aleš Daněk

týden 1.12. - 7.12.

1.12. 16:30 - 19:00 Aleš Daněk

1.12. 19:00 - 21:00 Michal Býna

2.12. 17:00 - 19:30 Aleš Daněk

4.12. 18:00 - 23:00 Kuba Spatny

5.12. 9:00 - 12:00 Lukáš Bařinka

5.12. 14:00 - 14:50 Ivo Š.

7.12. 20:00 - 22:00 Pavol Vittek

týden 24.11. - 30.11.

26.11. 19:00 - 21:00 Petr Kavulok

27.11. 11:00 - 12:00 Petr Kavulok

27.11. 14.40 - 15.15 Ivo Š.

28.11. 15:00 - 17:00 Michal Býna

29.11. 20:00 - 23:00 Petr Kavulok

30.11. 12:00 - 15:00 Michal Býna

30.11. 15:00 - 20:00 Jonáš Mejtský

týden 17.11 - 23.11

21.11. 22:00 - 23:00 Tomáš Švach

21.11. 17:00 - 23:00 Pavol Vittek

22.11. 9:00 - 11:30 Aleš Jíra

týden 10.11 - 16.11

10.11 21:00 - 22:00 Tomáš Švach

13.11 21:00 - 23:00 Kuba Spatny

16.11. 19:00 - 23:00 Jan Dufek

týden 3.11 - 9.11

3.11 10:00 - 12:00 Pavol Vittek

3.11 18:00 - 21:00 Martin Doubek

4.11 13:00 - 14:30 Petr Kavulok

8.11 9:00 - 12:00 Lukáš Bařinka

týden 27.10 - 2.11

27.10 18:00 - 23:00 Pavol Vittek

28.10 11:00 - 15:00 Michal Býna

28.10 15:00 - 19:00 Ondřej Hrstka

28.10 19:00 - 23:00 Jan Dufek

30.10 18:00 - 23:00 Pavol Vittek

31.10 18:00 - 20:00 Pavol Vittek

Od 31.10 do 2.11 bude vo fotoateliéri len malý softbox + deštník a 2 blesky, ktoré je možné použiť v kombinácii so starými odpalovačmi

týden 20.10 - 26.10

21.10 20:00 - 21:00 Pavol Vittek

22.10 20:00 - 23:00 Petr Kavulok

24.10 9:00 - 13:00 Martin Doubek

25.10 15:00 - 17:00 Pavol Vittek

týden 13.10 - 19.10

Dodržujte prosím provozní řád fotoateliéru. Za nedodržanie dostanete BAN.
Jedná sa napr. o zametanie, úklid, vynesenie odpadkov, zapísanie sa na vrátnici - aj fotografované osoby ako návštevu atd...
Vittek

13.10 08:00 - 10:00 Klára Škodová

13.10 15:00 - 18:00 Martin Doubek

13.10 19:00 - 24:00 Pavol Vittek - DOD

18.10. 9:00 - 12:00 Lukáš Bařinka

týden 6.10. - 12.10.

6.10.2014 18:00 - 19:00 Pavol Vittek

8.10.2014 17:00 - 24:00 Pavol Vittek - Akce prvák

9.10.2014 20:00 - 21:00 Tomáš Srna

12.10.2014 16:00 - 19:00 Pavol Vittek

týden 29.9. - 5.10.

1.10.2014 18:00 - 22:00 Kuba Spatny

3.10.2014 11:00 - 16:00 Michal Býna

3.10.2014 16:00 - 20:00 Pavol Vittek

5.10.2014 15:00 - 20:00 Jonáš Mejtský

týden 22.9. - 28.9.

23.9.2014 19:00 - 21:00 Pavol Vittek

24.9.2014 19:00 - 22:00 Kuba Spatny

25.9.2014 9:00 - 13:30 Michal Býna

týden 15.9. - 21.9.

21.9.2014 9:00 - 12:30 Aleš Jíra

týden 8.9. - 14.9.

8.9.2014 18:00 - 22:00 Kuba Spatny

týden 1.9. - 7.9.

1.9.2014 17:30 - 19:00 Kuba Spatny

4.9.2014 18:00 - 21:00 Kuba Spatny

5.9.2014 14:15 - 16:30 Michal Býna

7.9.2014 14:00 - 19:00 Michal Býna

týden 25.8. - 31.8.

26.8.2014 19:00 - 20:00 Ivo Š.

27.8.2014 20:00 - 22:00 Pavol Vittek

30.8.2014 18:00 - 19:30 Pavol Vittek

týden 18.8. - 24.8.

19.8.2014 20:30 - 22:00 Kuba Spatny

21.8.2014 18:00 - 20:00 Michal Býna

týden 11.8. - 17.8.

11.8.2014 18:00 - 21:00 Kuba Spatny

13.8.2014 09:15 - 10:15 Ivo Š.

13.8.2014 17:25 - 17:45 Ivo Š.

týden 4.8. - 10.8.

4.8.2014 18:00 - 20:00 Tomas Srna

5.8.2014 19:00 - 22:00 Kuba Spatny

6.8.2014 18:00 - 22:00 Jaroslav Halgasik

7.8.2014 08:20 - 12:00 Jan Cermak

9.8.2014 14:00 - 15:00 Klara Skodova

9.8.2014 15:00 - 20:00 Pavol Vittek

10.8.2014 19:00 - 23:00 Pavol Vittek

týden 28.7. - 3.8.

30.7.2014 8:00 - 11:00 Aleš Daněk

30.7.2014 15:00 - 20:00 Jonáš Mejtský

1.8.2014 9:00 - 14:00 Martin Doubek

týden 21.7. - 27.7.

26.7.2014 13:00 - 18:00 Kuba Spatny

týden 14.7. - 20.7.

16.7.2014 13:00 - 14:00 Pavol Vittek

16.7.2014 16:00 - 19:00 Tomáš Švach

17.7.2014 12:30 - 17:30 Michal Býna

týden 7.7. - 13.7.

týden 30.6. - 6.7.
30.6. 2014 14:00 - 18:00 Jonáš Mejtský

30.6. + 1.7. Michal Býna - půjčím si jen malou odrazku, ateliér bude volný

týden 23.6. - 29.6.
26.6.2014 15:30 - 19:00 Martin Doubek

týden 16.6. - 22.6.

16.6.2014 19:00 - 20:00 Kuba Špatný

17.6.2014 9:00 - 12:00 Martin Doubek

17.6.2014 18:00 - 23:00 Pavol Vittek

18.6.2014 17:00 - 21:00 Kuba Špatný

20.6.2014 9:30 - 10:30 + 13:30 - 16:00 Michal Býna

21.6.2014 16:00 - 18:30 Michal Býna

týden 9.6. - 15.6.

9.6.2014 11:00 - 13:00 Daněk Aleš

12.6.2014 19:00 - 21:00 Pavol Vittek

týden 2.6. - 8.6.

4.6.2014 18:25 - 19:45 Ivo Š.

týden 26.5 - 1.6.

27.5.2014 20:00 - 21:00 Pavel Vitvar

28.5.2014 17:00 - 19:00 Ivo Š.

29.5.2014 10:15 - 12:30 Lucie Vonášková

29.5.2014 16:00 - 19:00 Jonáš Mejtský

30.5.2014 10:00 - 11:00 Daněk Aleš

31.5.2014 10:45 - 15:45 Michal Býna

31.5.2014 22:00 - 24:05 Pavol Vittek

týden 19.5 - 25.5.

22. 5. 2014 18:00 - 23:00 Pavol Vittek

týden 12.5 - 18.5

12.5.2014 11:15 - 13:00 Jan Čermák

14.5.2014 14:00 - 17:00 Petr Kaštánek

15.5.2014 20:00 - 21:00 Tomáš Srna

16.5.2014 20:00 - 23:00 Jonáš Mejtský

týden 5.5 - 11.5

5.5.2014, 21:15 - 23:00 Pavol Vittek

6.5.2014, 15:00 - 19:00 Martin Doubek

7.5.2014, 15:00 - 18:00 Martin Doubek

10.5.2014, 9:00 - 12:00 Ondřej Hrstka

týden 28.4 - 4.5
28.4.2014, 17:30 - 21:00 Jan Dufek

29.4.2014, 19:00 - 22:30 Petr Kaštánek

1.5.2014, 9:00 - 15:00 Jan Dufek

1.5.2014, 15:00 - 17:00 Pavol Vittek

1.5.2014, 18:00 - 20:00 Jan Čermák

týden 21.4 - 27.4
22.4.2014, 13:00 - 17:00 Jonáš Mejtský

23.4.2014, 18:00 - 22:00 Jaroslav Halgasik

27.4.2014, 13:00 - 20:00 Jan Dufek

týden 14.4 - 20.4
14.4.2014 - 19:00 - 21:00 Pavel Vitvar

17.4.2014 - 18:30 - 22:30 Petr Kaštánek

18.4.2014, 14:00 - 21:00 Marek Votroubek

18.4.2014, 10:00 - 15:00 Pavol Vittek

19.4.2014, 9:00 - 12:00 Marek Votroubek

19.4.2014, 12:00 - 17:00 Pavol Vittek

týden 7.4 - 13.4

7.4.2014 - 13:00 - 18:00 Marek Votroubek

7.4.2014, 18:00 - 22:00 Jan Dufek

8.4.2014, 08:30-11:00 Jan Čermák

9.4.2014, 17:30-22:00 Jaroslav Halgasik

10.4.2014, 17:00 - 22:00 Jonáš Mejtský

10.4.2014, 22:00 - 23:00 Pavol Vittek

11.4.2014, 9:00 - 14:00 Pavol Vittek

týden 31.3 - 6.4

31. 3. 2014, 18:00 - 21:00 Karel Vojkovsky

1.4. 2014, 17:00 - 21:00 Pavol Vittek

2. 4. 2014, 11:30 - 15:30 Michal Býna

2. 4. 2014, 17:15 - 21:00 Jan Čermák

4. 4. 2014, 8:00 - 12:30 Pavol Vittek

4. 4. 2014, 13:00 - 17:00 Karel Vojkovsky

4. 4. 2014, 18:30 - 22:00 Jonáš Mejtský

týden 24.3 - 30.3

24. 3. 2014, 18:00 - 22:00 Jan Dufek

26. 3. 2014, 20:00 - 21:00 Klára Škodová

27. 3. 2014, 18:30 - 23:00 Jan Čermák

28. 3. 2014, 18:00 - 20:30 Karel Vojkovsky

týden 17.3 - 23.3

22. 3. 2014, 10:00 - 15:00 Pavol Vittek

týden 10.3 - 16.3

12.3.2014, 9:45 - 13:00 Lucie Vonášková

13.3.2014, 15:00 - 18:00 Marek Votroubek

15.3.2014, 14:00 - 19:00 Michal Býna

16.3.2014, 16:00 - 18:00 Ondřej Hrstka

týden 3.3 - 9.3
4.3.2014, 17:00 - 20:00 Martin Doubek

5.3.2014, 16:00 - 18:00 Marek Votroubek

5.3.2014, 18:00 - 22:00 Lucie Vonášková

6.3.2014, 10:00 - 12:00 Martin Červenka

7.3.2014, 13:00 - 18:00 Lucie Vonášková

8.3.2014, 9:00 - 13:00 Ondřej Hrstka

týden 24.2 - 2.3

26.2.2014, 18:00 - 21:00 Aleš Daněk

27.2.2014, 11:00 - 16:00 Martin Červenka

28.2.2014, 17:00 - 21:00 Barbora Svobodová

1.3.2014, 14:00 - 19:00 Barbora Svobodová

týden 17.2 - 23.2

19. 2. 2014, 10:00-15:00 Marek Votroubek

19. 2. 2014, 18:30-20:00 Ondřej Novotný

20. 2. 2014, 11:00 - 16:00 Martin Červenka

21. 2. 2014, 15:00 - 18:00 Matus Koperniech

22. 2. 2014, 09:00 - Ondřej Hrstka

týden 10.2 - 16.2

11. 2. 2014, 18:00- 22:00 Jan Čermák

13. 2. 2014, 9:30 - 13:30 Michal Býna

13. 2. 2014, 18:00 - 22:00 Aleš Daněk

14. 2. 2014, 09:00 - 12:30 Jan Čermák

14. 2. 2014, 13:00 - 17:00 Pavol Vittek

14.2.2014, 17:00 - 23:00 Martin Hanes

15. 2.2014, 17:00 - 23:00 Pavol Vittek

16.2.2014, 11:00 - 14:00 Aleš Jíra

týden 3.2 - 9.2.

3.2.2014, 13:00 - 17:00, Martin Červenka

4.2.2014, 16:00 - 20:00, Martin Červenka

6.2.2014, 15:00 - 18:00, Martin Červenka

8.2.2014, 18:00 - 23:00, Pavol Vittek

týden 27.1 - 2.2
1.2.2014, 9:30 - 11:45 Aleš Jíra

2.2.2014, 12:00 - 17:00 Pavel Krásenský

týden 20.1 - 26.1
21.1.2014, 16:00 - 19:00 Martin Doubek

22.1.2014, 19:00 - 23:00 Pavol Vittek

23.1.2014, 12:00 - 16:45 Pavol Vittek

23.1.2014, 17:00 - 20:00 Matus Koperniech

24.1.2014, 13:45 - 18:45 Martin Červenka

25.1.2014, 15:00 - 20:00 Pavol Vittek

týden 13.1 - 19.1

16.1.2014, 10:00 - 15:00 Pavol Vittek

18.1.2014, 15:00 - 19:00 Martin Červenka

týden 6.1 - 12.1

7.1.2014, 18:00 - 21:00 Martin Červenka

8.1.2014, 21:30 - 23:00 Pavel Vitvar

9.1.2014, 13:00 - 18:00 Pavol Vittek

9.1.2014, 19:00 - 23:00 Martin Hanes

11.1.2014, 17:00 - 20:00 Matus Koperniech - zrusene, choroba

týden 30.12 - 5.1

5.1.2014, 15:00 - 18:00 Klára Škodová

týden 23.12 - 29.12

týden 16.12 - 22.12
16.12.2013, 17:00 - 22:00 Pavol Vittek

19.12.2013, 15:00 - 19:00 Michal Býna

týden 9.12 - 15.12
10.12.2013, 16:00 - 18:30 Marek Votroubek

11.12.2013, 15:30 - 20:00 Michal Býna

11.12.2013, 20:00 - 23:00 Pavol Vittek

12.12.2013, 19:00 - 22:00 Pavel Vitvar

14.12.2013, 11:00 - 14:00 Pavel Vitvar

15.12.2013, 15:00 - 17:00 Jan Dufek

týden 2.12 - 8.12

3.12.2013, 11:00 - 14:20 Pavol Vittek

3.12.2013, 14:30 - 18:00 Martin Doubek

3.12.2013, 18:30 - 20:30 Matus Koperniech

4.12.2013, 15:00 - 18:00 Martin Doubek

4.12.2013, 18:00 - 21:00 Martin Hanes

7.12.2013, 08:30 - 12:30 Martin Červenka

7.12.2013, 16:00 - 21:00 Marek Votroubek

8.12.2013, 09:00 - 13:00 Martin Červenka

8.12.2013, 15:00 - 20:00 Barbora Svobodová

8.12.2013, 20:30 - 21:15 Pavol Vittek

týden 25.11 - 1.12

26.11.2013, 13:00 - 18:00 Pavol Vittek

01.12.2013, 10:00 - 14:00 Martin Červenka

týden 18.11 - 24.11

18.11.2013, 10:00 - 14:00 Martin Červenka

18.11.2013, 18:00 - 20:00 Ondřej Novotný

19.11.2013, 18:00 - 21:00 Martin Doubek

21.11.2013, 11:00 - 14:00 Martin Červenka

21.11.2013, 19:00 - 22:00 Chip

22.11.2013, 09:00 - 12:00 Martin Červenka + Martin Borýsek

23.11.2013, 15:00 - 18:00 Matúš Koperniech

24.11.2013, 11:00 - 13:00 Klára Škodová

24.11.2013, 13:00 - 18:00 Barbora Svobodová

24.11.2013, 18:00 - 23:00 Pavol Vittek

týden 11.11 - 17.11

13.11.2013, 16:30 - 18:30 Martin Červenka

13.11.2013, 19:00 - 22:00 Lukáš Březina

14.11.2013, 09:30 - 13:30 Martin Červenka

15.11.2013, 19:00 - 22:00 Miroslav Šos

16.11.2013, 13:00 - 16:00 Miroslav Šos

16.11.2013, 18:00 - 21:00 Matúš Koperniech

týden 4.11 - 10.11

4.11.2013, 18:00 - 22:00 Ondřej Hrstka

6.11.2013, 07:00 - 10:30 Martin Červenka

6.11.2013, 20:00 - 23:00 Pavol Vittek montovanie kamery

7.11.2013, 15:30 - 18:30 Matúš Koperniech

7.11.2013, 19:00 - 22:00 Lukáš Březina

10.11.2013, 11:00 - 15:00 Pavol Vittek

10.11.2013, 15:00 - 21:00 Karel Vojkovský

týden 28.10 - 3.11

30.10.2013, 10.00 - 15.00 Marek Votroubek

30.10.2013, 15:00 - 19:00 Martin Červenka RUŠÍM (onemocnělá modelka)

30.10.2013, 20:00 - 22:00 Lukáš Březina

3.11.2013, 9:00 - 13:00 Barbora Svobodová

3.11.2013, 20:00 - 23:00 Pavol Vittek

týden 21.10 - 27.10

21.10.2013, 17:00 - 23:00 Pavol Vittek

22.10.2013, 18:00 - 23:00 Martin Hanes

23.10.2013, 08:00 - 11:00 Martin Červenka

23.10.2013, 19:00 - 22:00 Lukáš Březina

24.10.2013, 13:00 - 16:00 Martin Doubek

24.10.2013, 17:00 - 22:00 Barbora Svobodová

25.10.2013, 11:30 - 14:00 Marek Votroubek

25.10.2013, 20:00 - 23:00 Pavol Vittek

týden 14.10 - 20.10

14.10.2013, 19:00 - 22:00 Pavol Vittek

16.10.2013, 17:00 - 20:00 Pavol Vittek

17.10.2013, 12:00 - 13:00 Pavol Vittek

17.10.2013, 13:00 - 18:00 Martin Červenka

18.10.2013, 15:30 - 17:30 Matus Kopeniech

19.10.2013, 15:00 - 20:00 Marek Votroubek

týden 7.10 - 13.10

7.10.2013, 14:30 - 15:30 Pavol Vittek

9.10.2013, 13:00 - 17:00 Martin Doubek

12.10.2013, 14:00 - 19:00 Jan Dufek

týden 30.9 - 6.10

1.10.2013, 20:00 - 21:00 Pavol Vittek

5.10.2013, 13:00 - 17:00 Barbora Svobodová

5.10.2013, 17:00 - 19:00 Matúš Koperniech

týden 23.9 - 29.9

26.9.2013, 17:15 - 21:30 Pavol Vittek

26.9.2013, 14:00 - 17:00 Martin Doubek

27.9.2013, 12:00 - 14:00 Pavol Vittek

28.9.2013, 10:00 - 15:00 Aleš Jíra

týden 16.9 - 22.9

20. 9. 2013, 14:00 - 17:00 Martin Červenka

19. 9. 2013, 15:00 - 20:00 Peter Antolík

18. 9. 2013, 14:00 - 19:00 Michal Býna

týden 9.9 - 15.9

13.9.2013, 10:00 - 11:30 Ondřej Novotný

9.9.2013, 18:00 - 22:00 Barbora Svobodová

6.9.2013, 17:00 - 22:00 Pavol Vittek

týden 2.9 - 8.9

5. 9. 2013, 13:00 - 18:00 Michal Býna

týden 26.8 - 1.9
29.8.2013, 10:00 - 15:00 Pavol Vittek

týden 19.8 - 25.8
22.8.2013, 10:00 - 15:00 Pavol Vittek

21.8.2013, 15:00 - 20:00 Pavol Vittek

20.8.2013, 18:30 - 20:00 Ondřej Novotný

týden 12.8 - 18.8
17.8.2013, 15:00 - 17:30 Ondřej Novotný

12.8. 2013, 14:00 - 19:00 Michal Býna

týden 5.8 - 11.8
6.8.2013, 18:00 - 22:00 Barbora Svobodová

10.8.2013, 15:00 - 20:00 Marek Votroubek

Tomáš Srna

2015-05-21T15:26:59Z

Tomassrna:

[http://srna.sk Tomáš Srna]

Tomáš Srna

2015-05-21T15:25:58Z

Tomassrna:

#REDIRECT [http://srna.sk]

Tomáš Srna

2015-05-21T15:02:57Z

Tomassrna:

[[Image:tomas.jpg|thumb|Tomáš Srna]]

== Kontakty ==
* Web: http://srna.sk
* FB: http://www.facebook.com/tomas.srna
* Email: tomas@srna.sk (+ Jabber, MSN, PayPal)
* SH Email: t.srna@sh.cvut.cz
* Skype: tomas.srna

Diskuse:Fotoatelier

2015-03-14T15:30:56Z

Tomassrna:

Datum, čas od - do, jméno příjmení
týden 16.3. - 22.3.

16.3. 17:00 - 22:00 Kuba Spatny

týden 9.3. - 15.3.

9.3. 18:30 - 21:30 Pavel Řehák

13.3. 15:00 - 18:00 Tomas Srna

13.3. 18:00 - 21:00 Pavel Řehák

14.3. 17:00 - 18:30 Tomas Srna

15.3. 21:00 - 22:00 Martin Borýsek

týden 2.3. - 8.3.

8.3. 18:00-21:00 Pavel Řehák

týden 23.2. - 1.3.
23.2. 17:00 - 19:00 Tomáš Srna

28.2. 20:00 - 22:00 Michal Byna

týden 16.2. - 22.2.
20.2. 10:30 - 13:30 Lukáš Bařinka

22.2. 10:45 - 15:45 Michal Býna

22.2. 15:45 - 18:00 Martin Doubek

týden 9.2. - 15.2.

10.2. 10:30 - 14:00 Lukáš Bařinka

13.2. 10:00 - 13:00 Lukáš Bařinka

14.2. 13:55 - 16:25 Ivo Š.

týden 2.2. - 8.2.

7.2. 15:00 - 18:30 Pavel Řehák

týden 26.1. - 1.2.

27.1. 12:00 - 15:00 Jan Čermák

30.1. 10:30 - 13:30 Jan Čermák

30.1. 15:00 - 18:00 Pavel Řehák

31.1. 14:00 - 18:00 Martin Doubek

31.1. 18:00 - 20:00 Klára Škodová

týden 19.1. - 25.1.

21.1. 15:00 - 19:00 Petr Kavulok

24.1. 09:30 - 13:00 Aleš Jíra

25.1. 11:25 - 13:50 Ivo Š.

týden 12.1. - 18.1.

13.1. 18:30 - 19:00 Michal Býna

14.1. 16:00 - 19:00 Jan Dufek

14.1. 19:00 - 23:00 Pavol Vittek

15.1. 13:30 - 16:30 Pavol Vittek

15.1. 17:00 - 20:00 Pavel Řehák

18.1. 14:00 - 17:00 Pavel Řehák

týden 5.1. - 11.1.
6.1. 18:00 - 22:00 Pavel Řehák

7.1. 9:30 - 13:00 Pavol Vittek

týden 29.12. - 4.1.

týden 22.12. - 28.12.

týden 15.12. - 21.12.

15.12 20:00 - 24:00 Pavol Vittek, údržba

16.12. 19:00 - 23:00 Jan Dufek

19.12. 11:00 - 14:00 Lukáš Bařinka

týden 8.12. - 14.12.

9.12. 15:00 - 18:30 Michal Býna

10.12. 19:00 - 23:00 Kuba Spatny

11.12. 15:00 - 19:00 Martin Doubek

12.12. 09:00 - 12:00 Lukáš Bařinka

12.12. 13:00 - 15:00 Aleš Daněk

týden 1.12. - 7.12.

1.12. 16:30 - 19:00 Aleš Daněk

1.12. 19:00 - 21:00 Michal Býna

2.12. 17:00 - 19:30 Aleš Daněk

4.12. 18:00 - 23:00 Kuba Spatny

5.12. 9:00 - 12:00 Lukáš Bařinka

5.12. 14:00 - 14:50 Ivo Š.

7.12. 20:00 - 22:00 Pavol Vittek

týden 24.11. - 30.11.

26.11. 19:00 - 21:00 Petr Kavulok

27.11. 11:00 - 12:00 Petr Kavulok

27.11. 14.40 - 15.15 Ivo Š.

28.11. 15:00 - 17:00 Michal Býna

29.11. 20:00 - 23:00 Petr Kavulok

30.11. 12:00 - 15:00 Michal Býna

30.11. 15:00 - 20:00 Jonáš Mejtský

týden 17.11 - 23.11

21.11. 22:00 - 23:00 Tomáš Švach

21.11. 17:00 - 23:00 Pavol Vittek

22.11. 9:00 - 11:30 Aleš Jíra

týden 10.11 - 16.11

10.11 21:00 - 22:00 Tomáš Švach

13.11 21:00 - 23:00 Kuba Spatny

16.11. 19:00 - 23:00 Jan Dufek

týden 3.11 - 9.11

3.11 10:00 - 12:00 Pavol Vittek

3.11 18:00 - 21:00 Martin Doubek

4.11 13:00 - 14:30 Petr Kavulok

8.11 9:00 - 12:00 Lukáš Bařinka

týden 27.10 - 2.11

27.10 18:00 - 23:00 Pavol Vittek

28.10 11:00 - 15:00 Michal Býna

28.10 15:00 - 19:00 Ondřej Hrstka

28.10 19:00 - 23:00 Jan Dufek

30.10 18:00 - 23:00 Pavol Vittek

31.10 18:00 - 20:00 Pavol Vittek

Od 31.10 do 2.11 bude vo fotoateliéri len malý softbox + deštník a 2 blesky, ktoré je možné použiť v kombinácii so starými odpalovačmi

týden 20.10 - 26.10

21.10 20:00 - 21:00 Pavol Vittek

22.10 20:00 - 23:00 Petr Kavulok

24.10 9:00 - 13:00 Martin Doubek

25.10 15:00 - 17:00 Pavol Vittek

týden 13.10 - 19.10

Dodržujte prosím provozní řád fotoateliéru. Za nedodržanie dostanete BAN.
Jedná sa napr. o zametanie, úklid, vynesenie odpadkov, zapísanie sa na vrátnici - aj fotografované osoby ako návštevu atd...
Vittek

13.10 08:00 - 10:00 Klára Škodová

13.10 15:00 - 18:00 Martin Doubek

13.10 19:00 - 24:00 Pavol Vittek - DOD

18.10. 9:00 - 12:00 Lukáš Bařinka

týden 6.10. - 12.10.

6.10.2014 18:00 - 19:00 Pavol Vittek

8.10.2014 17:00 - 24:00 Pavol Vittek - Akce prvák

9.10.2014 20:00 - 21:00 Tomáš Srna

12.10.2014 16:00 - 19:00 Pavol Vittek

týden 29.9. - 5.10.

1.10.2014 18:00 - 22:00 Kuba Spatny

3.10.2014 11:00 - 16:00 Michal Býna

3.10.2014 16:00 - 20:00 Pavol Vittek

5.10.2014 15:00 - 20:00 Jonáš Mejtský

týden 22.9. - 28.9.

23.9.2014 19:00 - 21:00 Pavol Vittek

24.9.2014 19:00 - 22:00 Kuba Spatny

25.9.2014 9:00 - 13:30 Michal Býna

týden 15.9. - 21.9.

21.9.2014 9:00 - 12:30 Aleš Jíra

týden 8.9. - 14.9.

8.9.2014 18:00 - 22:00 Kuba Spatny

týden 1.9. - 7.9.

1.9.2014 17:30 - 19:00 Kuba Spatny

4.9.2014 18:00 - 21:00 Kuba Spatny

5.9.2014 14:15 - 16:30 Michal Býna

7.9.2014 14:00 - 19:00 Michal Býna

týden 25.8. - 31.8.

26.8.2014 19:00 - 20:00 Ivo Š.

27.8.2014 20:00 - 22:00 Pavol Vittek

30.8.2014 18:00 - 19:30 Pavol Vittek

týden 18.8. - 24.8.

19.8.2014 20:30 - 22:00 Kuba Spatny

21.8.2014 18:00 - 20:00 Michal Býna

týden 11.8. - 17.8.

11.8.2014 18:00 - 21:00 Kuba Spatny

13.8.2014 09:15 - 10:15 Ivo Š.

13.8.2014 17:25 - 17:45 Ivo Š.

týden 4.8. - 10.8.

4.8.2014 18:00 - 20:00 Tomas Srna

5.8.2014 19:00 - 22:00 Kuba Spatny

6.8.2014 18:00 - 22:00 Jaroslav Halgasik

7.8.2014 08:20 - 12:00 Jan Cermak

9.8.2014 14:00 - 15:00 Klara Skodova

9.8.2014 15:00 - 20:00 Pavol Vittek

10.8.2014 19:00 - 23:00 Pavol Vittek

týden 28.7. - 3.8.

30.7.2014 8:00 - 11:00 Aleš Daněk

30.7.2014 15:00 - 20:00 Jonáš Mejtský

1.8.2014 9:00 - 14:00 Martin Doubek

týden 21.7. - 27.7.

26.7.2014 13:00 - 18:00 Kuba Spatny

týden 14.7. - 20.7.

16.7.2014 13:00 - 14:00 Pavol Vittek

16.7.2014 16:00 - 19:00 Tomáš Švach

17.7.2014 12:30 - 17:30 Michal Býna

týden 7.7. - 13.7.

týden 30.6. - 6.7.
30.6. 2014 14:00 - 18:00 Jonáš Mejtský

30.6. + 1.7. Michal Býna - půjčím si jen malou odrazku, ateliér bude volný

týden 23.6. - 29.6.
26.6.2014 15:30 - 19:00 Martin Doubek

týden 16.6. - 22.6.

16.6.2014 19:00 - 20:00 Kuba Špatný

17.6.2014 9:00 - 12:00 Martin Doubek

17.6.2014 18:00 - 23:00 Pavol Vittek

18.6.2014 17:00 - 21:00 Kuba Špatný

20.6.2014 9:30 - 10:30 + 13:30 - 16:00 Michal Býna

21.6.2014 16:00 - 18:30 Michal Býna

týden 9.6. - 15.6.

9.6.2014 11:00 - 13:00 Daněk Aleš

12.6.2014 19:00 - 21:00 Pavol Vittek

týden 2.6. - 8.6.

4.6.2014 18:25 - 19:45 Ivo Š.

týden 26.5 - 1.6.

27.5.2014 20:00 - 21:00 Pavel Vitvar

28.5.2014 17:00 - 19:00 Ivo Š.

29.5.2014 10:15 - 12:30 Lucie Vonášková

29.5.2014 16:00 - 19:00 Jonáš Mejtský

30.5.2014 10:00 - 11:00 Daněk Aleš

31.5.2014 10:45 - 15:45 Michal Býna

31.5.2014 22:00 - 24:05 Pavol Vittek

týden 19.5 - 25.5.

22. 5. 2014 18:00 - 23:00 Pavol Vittek

týden 12.5 - 18.5

12.5.2014 11:15 - 13:00 Jan Čermák

14.5.2014 14:00 - 17:00 Petr Kaštánek

15.5.2014 20:00 - 21:00 Tomáš Srna

16.5.2014 20:00 - 23:00 Jonáš Mejtský

týden 5.5 - 11.5

5.5.2014, 21:15 - 23:00 Pavol Vittek

6.5.2014, 15:00 - 19:00 Martin Doubek

7.5.2014, 15:00 - 18:00 Martin Doubek

10.5.2014, 9:00 - 12:00 Ondřej Hrstka

týden 28.4 - 4.5
28.4.2014, 17:30 - 21:00 Jan Dufek

29.4.2014, 19:00 - 22:30 Petr Kaštánek

1.5.2014, 9:00 - 15:00 Jan Dufek

1.5.2014, 15:00 - 17:00 Pavol Vittek

1.5.2014, 18:00 - 20:00 Jan Čermák

týden 21.4 - 27.4
22.4.2014, 13:00 - 17:00 Jonáš Mejtský

23.4.2014, 18:00 - 22:00 Jaroslav Halgasik

27.4.2014, 13:00 - 20:00 Jan Dufek

týden 14.4 - 20.4
14.4.2014 - 19:00 - 21:00 Pavel Vitvar

17.4.2014 - 18:30 - 22:30 Petr Kaštánek

18.4.2014, 14:00 - 21:00 Marek Votroubek

18.4.2014, 10:00 - 15:00 Pavol Vittek

19.4.2014, 9:00 - 12:00 Marek Votroubek

19.4.2014, 12:00 - 17:00 Pavol Vittek

týden 7.4 - 13.4

7.4.2014 - 13:00 - 18:00 Marek Votroubek

7.4.2014, 18:00 - 22:00 Jan Dufek

8.4.2014, 08:30-11:00 Jan Čermák

9.4.2014, 17:30-22:00 Jaroslav Halgasik

10.4.2014, 17:00 - 22:00 Jonáš Mejtský

10.4.2014, 22:00 - 23:00 Pavol Vittek

11.4.2014, 9:00 - 14:00 Pavol Vittek

týden 31.3 - 6.4

31. 3. 2014, 18:00 - 21:00 Karel Vojkovsky

1.4. 2014, 17:00 - 21:00 Pavol Vittek

2. 4. 2014, 11:30 - 15:30 Michal Býna

2. 4. 2014, 17:15 - 21:00 Jan Čermák

4. 4. 2014, 8:00 - 12:30 Pavol Vittek

4. 4. 2014, 13:00 - 17:00 Karel Vojkovsky

4. 4. 2014, 18:30 - 22:00 Jonáš Mejtský

týden 24.3 - 30.3

24. 3. 2014, 18:00 - 22:00 Jan Dufek

26. 3. 2014, 20:00 - 21:00 Klára Škodová

27. 3. 2014, 18:30 - 23:00 Jan Čermák

28. 3. 2014, 18:00 - 20:30 Karel Vojkovsky

týden 17.3 - 23.3

22. 3. 2014, 10:00 - 15:00 Pavol Vittek

týden 10.3 - 16.3

12.3.2014, 9:45 - 13:00 Lucie Vonášková

13.3.2014, 15:00 - 18:00 Marek Votroubek

15.3.2014, 14:00 - 19:00 Michal Býna

16.3.2014, 16:00 - 18:00 Ondřej Hrstka

týden 3.3 - 9.3
4.3.2014, 17:00 - 20:00 Martin Doubek

5.3.2014, 16:00 - 18:00 Marek Votroubek

5.3.2014, 18:00 - 22:00 Lucie Vonášková

6.3.2014, 10:00 - 12:00 Martin Červenka

7.3.2014, 13:00 - 18:00 Lucie Vonášková

8.3.2014, 9:00 - 13:00 Ondřej Hrstka

týden 24.2 - 2.3

26.2.2014, 18:00 - 21:00 Aleš Daněk

27.2.2014, 11:00 - 16:00 Martin Červenka

28.2.2014, 17:00 - 21:00 Barbora Svobodová

1.3.2014, 14:00 - 19:00 Barbora Svobodová

týden 17.2 - 23.2

19. 2. 2014, 10:00-15:00 Marek Votroubek

19. 2. 2014, 18:30-20:00 Ondřej Novotný

20. 2. 2014, 11:00 - 16:00 Martin Červenka

21. 2. 2014, 15:00 - 18:00 Matus Koperniech

22. 2. 2014, 09:00 - Ondřej Hrstka

týden 10.2 - 16.2

11. 2. 2014, 18:00- 22:00 Jan Čermák

13. 2. 2014, 9:30 - 13:30 Michal Býna

13. 2. 2014, 18:00 - 22:00 Aleš Daněk

14. 2. 2014, 09:00 - 12:30 Jan Čermák

14. 2. 2014, 13:00 - 17:00 Pavol Vittek

14.2.2014, 17:00 - 23:00 Martin Hanes

15. 2.2014, 17:00 - 23:00 Pavol Vittek

16.2.2014, 11:00 - 14:00 Aleš Jíra

týden 3.2 - 9.2.

3.2.2014, 13:00 - 17:00, Martin Červenka

4.2.2014, 16:00 - 20:00, Martin Červenka

6.2.2014, 15:00 - 18:00, Martin Červenka

8.2.2014, 18:00 - 23:00, Pavol Vittek

týden 27.1 - 2.2
1.2.2014, 9:30 - 11:45 Aleš Jíra

2.2.2014, 12:00 - 17:00 Pavel Krásenský

týden 20.1 - 26.1
21.1.2014, 16:00 - 19:00 Martin Doubek

22.1.2014, 19:00 - 23:00 Pavol Vittek

23.1.2014, 12:00 - 16:45 Pavol Vittek

23.1.2014, 17:00 - 20:00 Matus Koperniech

24.1.2014, 13:45 - 18:45 Martin Červenka

25.1.2014, 15:00 - 20:00 Pavol Vittek

týden 13.1 - 19.1

16.1.2014, 10:00 - 15:00 Pavol Vittek

18.1.2014, 15:00 - 19:00 Martin Červenka

týden 6.1 - 12.1

7.1.2014, 18:00 - 21:00 Martin Červenka

8.1.2014, 21:30 - 23:00 Pavel Vitvar

9.1.2014, 13:00 - 18:00 Pavol Vittek

9.1.2014, 19:00 - 23:00 Martin Hanes

11.1.2014, 17:00 - 20:00 Matus Koperniech - zrusene, choroba

týden 30.12 - 5.1

5.1.2014, 15:00 - 18:00 Klára Škodová

týden 23.12 - 29.12

týden 16.12 - 22.12
16.12.2013, 17:00 - 22:00 Pavol Vittek

19.12.2013, 15:00 - 19:00 Michal Býna

týden 9.12 - 15.12
10.12.2013, 16:00 - 18:30 Marek Votroubek

11.12.2013, 15:30 - 20:00 Michal Býna

11.12.2013, 20:00 - 23:00 Pavol Vittek

12.12.2013, 19:00 - 22:00 Pavel Vitvar

14.12.2013, 11:00 - 14:00 Pavel Vitvar

15.12.2013, 15:00 - 17:00 Jan Dufek

týden 2.12 - 8.12

3.12.2013, 11:00 - 14:20 Pavol Vittek

3.12.2013, 14:30 - 18:00 Martin Doubek

3.12.2013, 18:30 - 20:30 Matus Koperniech

4.12.2013, 15:00 - 18:00 Martin Doubek

4.12.2013, 18:00 - 21:00 Martin Hanes

7.12.2013, 08:30 - 12:30 Martin Červenka

7.12.2013, 16:00 - 21:00 Marek Votroubek

8.12.2013, 09:00 - 13:00 Martin Červenka

8.12.2013, 15:00 - 20:00 Barbora Svobodová

8.12.2013, 20:30 - 21:15 Pavol Vittek

týden 25.11 - 1.12

26.11.2013, 13:00 - 18:00 Pavol Vittek

01.12.2013, 10:00 - 14:00 Martin Červenka

týden 18.11 - 24.11

18.11.2013, 10:00 - 14:00 Martin Červenka

18.11.2013, 18:00 - 20:00 Ondřej Novotný

19.11.2013, 18:00 - 21:00 Martin Doubek

21.11.2013, 11:00 - 14:00 Martin Červenka

21.11.2013, 19:00 - 22:00 Chip

22.11.2013, 09:00 - 12:00 Martin Červenka + Martin Borýsek

23.11.2013, 15:00 - 18:00 Matúš Koperniech

24.11.2013, 11:00 - 13:00 Klára Škodová

24.11.2013, 13:00 - 18:00 Barbora Svobodová

24.11.2013, 18:00 - 23:00 Pavol Vittek

týden 11.11 - 17.11

13.11.2013, 16:30 - 18:30 Martin Červenka

13.11.2013, 19:00 - 22:00 Lukáš Březina

14.11.2013, 09:30 - 13:30 Martin Červenka

15.11.2013, 19:00 - 22:00 Miroslav Šos

16.11.2013, 13:00 - 16:00 Miroslav Šos

16.11.2013, 18:00 - 21:00 Matúš Koperniech

týden 4.11 - 10.11

4.11.2013, 18:00 - 22:00 Ondřej Hrstka

6.11.2013, 07:00 - 10:30 Martin Červenka

6.11.2013, 20:00 - 23:00 Pavol Vittek montovanie kamery

7.11.2013, 15:30 - 18:30 Matúš Koperniech

7.11.2013, 19:00 - 22:00 Lukáš Březina

10.11.2013, 11:00 - 15:00 Pavol Vittek

10.11.2013, 15:00 - 21:00 Karel Vojkovský

týden 28.10 - 3.11

30.10.2013, 10.00 - 15.00 Marek Votroubek

30.10.2013, 15:00 - 19:00 Martin Červenka RUŠÍM (onemocnělá modelka)

30.10.2013, 20:00 - 22:00 Lukáš Březina

3.11.2013, 9:00 - 13:00 Barbora Svobodová

3.11.2013, 20:00 - 23:00 Pavol Vittek

týden 21.10 - 27.10

21.10.2013, 17:00 - 23:00 Pavol Vittek

22.10.2013, 18:00 - 23:00 Martin Hanes

23.10.2013, 08:00 - 11:00 Martin Červenka

23.10.2013, 19:00 - 22:00 Lukáš Březina

24.10.2013, 13:00 - 16:00 Martin Doubek

24.10.2013, 17:00 - 22:00 Barbora Svobodová

25.10.2013, 11:30 - 14:00 Marek Votroubek

25.10.2013, 20:00 - 23:00 Pavol Vittek

týden 14.10 - 20.10

14.10.2013, 19:00 - 22:00 Pavol Vittek

16.10.2013, 17:00 - 20:00 Pavol Vittek

17.10.2013, 12:00 - 13:00 Pavol Vittek

17.10.2013, 13:00 - 18:00 Martin Červenka

18.10.2013, 15:30 - 17:30 Matus Kopeniech

19.10.2013, 15:00 - 20:00 Marek Votroubek

týden 7.10 - 13.10

7.10.2013, 14:30 - 15:30 Pavol Vittek

9.10.2013, 13:00 - 17:00 Martin Doubek

12.10.2013, 14:00 - 19:00 Jan Dufek

týden 30.9 - 6.10

1.10.2013, 20:00 - 21:00 Pavol Vittek

5.10.2013, 13:00 - 17:00 Barbora Svobodová

5.10.2013, 17:00 - 19:00 Matúš Koperniech

týden 23.9 - 29.9

26.9.2013, 17:15 - 21:30 Pavol Vittek

26.9.2013, 14:00 - 17:00 Martin Doubek

27.9.2013, 12:00 - 14:00 Pavol Vittek

28.9.2013, 10:00 - 15:00 Aleš Jíra

týden 16.9 - 22.9

20. 9. 2013, 14:00 - 17:00 Martin Červenka

19. 9. 2013, 15:00 - 20:00 Peter Antolík

18. 9. 2013, 14:00 - 19:00 Michal Býna

týden 9.9 - 15.9

13.9.2013, 10:00 - 11:30 Ondřej Novotný

9.9.2013, 18:00 - 22:00 Barbora Svobodová

6.9.2013, 17:00 - 22:00 Pavol Vittek

týden 2.9 - 8.9

5. 9. 2013, 13:00 - 18:00 Michal Býna

týden 26.8 - 1.9
29.8.2013, 10:00 - 15:00 Pavol Vittek

týden 19.8 - 25.8
22.8.2013, 10:00 - 15:00 Pavol Vittek

21.8.2013, 15:00 - 20:00 Pavol Vittek

20.8.2013, 18:30 - 20:00 Ondřej Novotný

týden 12.8 - 18.8
17.8.2013, 15:00 - 17:30 Ondřej Novotný

12.8. 2013, 14:00 - 19:00 Michal Býna

týden 5.8 - 11.8
6.8.2013, 18:00 - 22:00 Barbora Svobodová

10.8.2013, 15:00 - 20:00 Marek Votroubek

Diskuse:Fotoatelier

2015-03-09T17:46:13Z

Tomassrna:

Datum, čas od - do, jméno příjmení
týden 9.3. - 15.3.

9.3. 18:30 - 21:30 Pavel Řehák

13.3. 15:00 - 18:00 Tomas Srna

13.3. 18:00 - 21:00 Pavel Řehák

týden 2.3. - 8.3.

8.3. 18:00-21:00 Pavel Řehák

týden 23.2. - 1.3.
23.2. 17:00 - 19:00 Tomáš Srna

28.2. 20:00 - 22:00 Michal Byna

týden 16.2. - 22.2.
20.2. 10:30 - 13:30 Lukáš Bařinka

22.2. 10:45 - 15:45 Michal Býna

22.2. 15:45 - 18:00 Martin Doubek

týden 9.2. - 15.2.

10.2. 10:30 - 14:00 Lukáš Bařinka

13.2. 10:00 - 13:00 Lukáš Bařinka

14.2. 13:55 - 16:25 Ivo Š.

týden 2.2. - 8.2.

7.2. 15:00 - 18:30 Pavel Řehák

týden 26.1. - 1.2.

27.1. 12:00 - 15:00 Jan Čermák

30.1. 10:30 - 13:30 Jan Čermák

30.1. 15:00 - 18:00 Pavel Řehák

31.1. 14:00 - 18:00 Martin Doubek

31.1. 18:00 - 20:00 Klára Škodová

týden 19.1. - 25.1.

21.1. 15:00 - 19:00 Petr Kavulok

24.1. 09:30 - 13:00 Aleš Jíra

25.1. 11:25 - 13:50 Ivo Š.

týden 12.1. - 18.1.

13.1. 18:30 - 19:00 Michal Býna

14.1. 16:00 - 19:00 Jan Dufek

14.1. 19:00 - 23:00 Pavol Vittek

15.1. 13:30 - 16:30 Pavol Vittek

15.1. 17:00 - 20:00 Pavel Řehák

18.1. 14:00 - 17:00 Pavel Řehák

týden 5.1. - 11.1.
6.1. 18:00 - 22:00 Pavel Řehák

7.1. 9:30 - 13:00 Pavol Vittek

týden 29.12. - 4.1.

týden 22.12. - 28.12.

týden 15.12. - 21.12.

15.12 20:00 - 24:00 Pavol Vittek, údržba

16.12. 19:00 - 23:00 Jan Dufek

19.12. 11:00 - 14:00 Lukáš Bařinka

týden 8.12. - 14.12.

9.12. 15:00 - 18:30 Michal Býna

10.12. 19:00 - 23:00 Kuba Spatny

11.12. 15:00 - 19:00 Martin Doubek

12.12. 09:00 - 12:00 Lukáš Bařinka

12.12. 13:00 - 15:00 Aleš Daněk

týden 1.12. - 7.12.

1.12. 16:30 - 19:00 Aleš Daněk

1.12. 19:00 - 21:00 Michal Býna

2.12. 17:00 - 19:30 Aleš Daněk

4.12. 18:00 - 23:00 Kuba Spatny

5.12. 9:00 - 12:00 Lukáš Bařinka

5.12. 14:00 - 14:50 Ivo Š.

7.12. 20:00 - 22:00 Pavol Vittek

týden 24.11. - 30.11.

26.11. 19:00 - 21:00 Petr Kavulok

27.11. 11:00 - 12:00 Petr Kavulok

27.11. 14.40 - 15.15 Ivo Š.

28.11. 15:00 - 17:00 Michal Býna

29.11. 20:00 - 23:00 Petr Kavulok

30.11. 12:00 - 15:00 Michal Býna

30.11. 15:00 - 20:00 Jonáš Mejtský

týden 17.11 - 23.11

21.11. 22:00 - 23:00 Tomáš Švach

21.11. 17:00 - 23:00 Pavol Vittek

22.11. 9:00 - 11:30 Aleš Jíra

týden 10.11 - 16.11

10.11 21:00 - 22:00 Tomáš Švach

13.11 21:00 - 23:00 Kuba Spatny

16.11. 19:00 - 23:00 Jan Dufek

týden 3.11 - 9.11

3.11 10:00 - 12:00 Pavol Vittek

3.11 18:00 - 21:00 Martin Doubek

4.11 13:00 - 14:30 Petr Kavulok

8.11 9:00 - 12:00 Lukáš Bařinka

týden 27.10 - 2.11

27.10 18:00 - 23:00 Pavol Vittek

28.10 11:00 - 15:00 Michal Býna

28.10 15:00 - 19:00 Ondřej Hrstka

28.10 19:00 - 23:00 Jan Dufek

30.10 18:00 - 23:00 Pavol Vittek

31.10 18:00 - 20:00 Pavol Vittek

Od 31.10 do 2.11 bude vo fotoateliéri len malý softbox + deštník a 2 blesky, ktoré je možné použiť v kombinácii so starými odpalovačmi

týden 20.10 - 26.10

21.10 20:00 - 21:00 Pavol Vittek

22.10 20:00 - 23:00 Petr Kavulok

24.10 9:00 - 13:00 Martin Doubek

25.10 15:00 - 17:00 Pavol Vittek

týden 13.10 - 19.10

Dodržujte prosím provozní řád fotoateliéru. Za nedodržanie dostanete BAN.
Jedná sa napr. o zametanie, úklid, vynesenie odpadkov, zapísanie sa na vrátnici - aj fotografované osoby ako návštevu atd...
Vittek

13.10 08:00 - 10:00 Klára Škodová

13.10 15:00 - 18:00 Martin Doubek

13.10 19:00 - 24:00 Pavol Vittek - DOD

18.10. 9:00 - 12:00 Lukáš Bařinka

týden 6.10. - 12.10.

6.10.2014 18:00 - 19:00 Pavol Vittek

8.10.2014 17:00 - 24:00 Pavol Vittek - Akce prvák

9.10.2014 20:00 - 21:00 Tomáš Srna

12.10.2014 16:00 - 19:00 Pavol Vittek

týden 29.9. - 5.10.

1.10.2014 18:00 - 22:00 Kuba Spatny

3.10.2014 11:00 - 16:00 Michal Býna

3.10.2014 16:00 - 20:00 Pavol Vittek

5.10.2014 15:00 - 20:00 Jonáš Mejtský

týden 22.9. - 28.9.

23.9.2014 19:00 - 21:00 Pavol Vittek

24.9.2014 19:00 - 22:00 Kuba Spatny

25.9.2014 9:00 - 13:30 Michal Býna

týden 15.9. - 21.9.

21.9.2014 9:00 - 12:30 Aleš Jíra

týden 8.9. - 14.9.

8.9.2014 18:00 - 22:00 Kuba Spatny

týden 1.9. - 7.9.

1.9.2014 17:30 - 19:00 Kuba Spatny

4.9.2014 18:00 - 21:00 Kuba Spatny

5.9.2014 14:15 - 16:30 Michal Býna

7.9.2014 14:00 - 19:00 Michal Býna

týden 25.8. - 31.8.

26.8.2014 19:00 - 20:00 Ivo Š.

27.8.2014 20:00 - 22:00 Pavol Vittek

30.8.2014 18:00 - 19:30 Pavol Vittek

týden 18.8. - 24.8.

19.8.2014 20:30 - 22:00 Kuba Spatny

21.8.2014 18:00 - 20:00 Michal Býna

týden 11.8. - 17.8.

11.8.2014 18:00 - 21:00 Kuba Spatny

13.8.2014 09:15 - 10:15 Ivo Š.

13.8.2014 17:25 - 17:45 Ivo Š.

týden 4.8. - 10.8.

4.8.2014 18:00 - 20:00 Tomas Srna

5.8.2014 19:00 - 22:00 Kuba Spatny

6.8.2014 18:00 - 22:00 Jaroslav Halgasik

7.8.2014 08:20 - 12:00 Jan Cermak

9.8.2014 14:00 - 15:00 Klara Skodova

9.8.2014 15:00 - 20:00 Pavol Vittek

10.8.2014 19:00 - 23:00 Pavol Vittek

týden 28.7. - 3.8.

30.7.2014 8:00 - 11:00 Aleš Daněk

30.7.2014 15:00 - 20:00 Jonáš Mejtský

1.8.2014 9:00 - 14:00 Martin Doubek

týden 21.7. - 27.7.

26.7.2014 13:00 - 18:00 Kuba Spatny

týden 14.7. - 20.7.

16.7.2014 13:00 - 14:00 Pavol Vittek

16.7.2014 16:00 - 19:00 Tomáš Švach

17.7.2014 12:30 - 17:30 Michal Býna

týden 7.7. - 13.7.

týden 30.6. - 6.7.
30.6. 2014 14:00 - 18:00 Jonáš Mejtský

30.6. + 1.7. Michal Býna - půjčím si jen malou odrazku, ateliér bude volný

týden 23.6. - 29.6.
26.6.2014 15:30 - 19:00 Martin Doubek

týden 16.6. - 22.6.

16.6.2014 19:00 - 20:00 Kuba Špatný

17.6.2014 9:00 - 12:00 Martin Doubek

17.6.2014 18:00 - 23:00 Pavol Vittek

18.6.2014 17:00 - 21:00 Kuba Špatný

20.6.2014 9:30 - 10:30 + 13:30 - 16:00 Michal Býna

21.6.2014 16:00 - 18:30 Michal Býna

týden 9.6. - 15.6.

9.6.2014 11:00 - 13:00 Daněk Aleš

12.6.2014 19:00 - 21:00 Pavol Vittek

týden 2.6. - 8.6.

4.6.2014 18:25 - 19:45 Ivo Š.

týden 26.5 - 1.6.

27.5.2014 20:00 - 21:00 Pavel Vitvar

28.5.2014 17:00 - 19:00 Ivo Š.

29.5.2014 10:15 - 12:30 Lucie Vonášková

29.5.2014 16:00 - 19:00 Jonáš Mejtský

30.5.2014 10:00 - 11:00 Daněk Aleš

31.5.2014 10:45 - 15:45 Michal Býna

31.5.2014 22:00 - 24:05 Pavol Vittek

týden 19.5 - 25.5.

22. 5. 2014 18:00 - 23:00 Pavol Vittek

týden 12.5 - 18.5

12.5.2014 11:15 - 13:00 Jan Čermák

14.5.2014 14:00 - 17:00 Petr Kaštánek

15.5.2014 20:00 - 21:00 Tomáš Srna

16.5.2014 20:00 - 23:00 Jonáš Mejtský

týden 5.5 - 11.5

5.5.2014, 21:15 - 23:00 Pavol Vittek

6.5.2014, 15:00 - 19:00 Martin Doubek

7.5.2014, 15:00 - 18:00 Martin Doubek

10.5.2014, 9:00 - 12:00 Ondřej Hrstka

týden 28.4 - 4.5
28.4.2014, 17:30 - 21:00 Jan Dufek

29.4.2014, 19:00 - 22:30 Petr Kaštánek

1.5.2014, 9:00 - 15:00 Jan Dufek

1.5.2014, 15:00 - 17:00 Pavol Vittek

1.5.2014, 18:00 - 20:00 Jan Čermák

týden 21.4 - 27.4
22.4.2014, 13:00 - 17:00 Jonáš Mejtský

23.4.2014, 18:00 - 22:00 Jaroslav Halgasik

27.4.2014, 13:00 - 20:00 Jan Dufek

týden 14.4 - 20.4
14.4.2014 - 19:00 - 21:00 Pavel Vitvar

17.4.2014 - 18:30 - 22:30 Petr Kaštánek

18.4.2014, 14:00 - 21:00 Marek Votroubek

18.4.2014, 10:00 - 15:00 Pavol Vittek

19.4.2014, 9:00 - 12:00 Marek Votroubek

19.4.2014, 12:00 - 17:00 Pavol Vittek

týden 7.4 - 13.4

7.4.2014 - 13:00 - 18:00 Marek Votroubek

7.4.2014, 18:00 - 22:00 Jan Dufek

8.4.2014, 08:30-11:00 Jan Čermák

9.4.2014, 17:30-22:00 Jaroslav Halgasik

10.4.2014, 17:00 - 22:00 Jonáš Mejtský

10.4.2014, 22:00 - 23:00 Pavol Vittek

11.4.2014, 9:00 - 14:00 Pavol Vittek

týden 31.3 - 6.4

31. 3. 2014, 18:00 - 21:00 Karel Vojkovsky

1.4. 2014, 17:00 - 21:00 Pavol Vittek

2. 4. 2014, 11:30 - 15:30 Michal Býna

2. 4. 2014, 17:15 - 21:00 Jan Čermák

4. 4. 2014, 8:00 - 12:30 Pavol Vittek

4. 4. 2014, 13:00 - 17:00 Karel Vojkovsky

4. 4. 2014, 18:30 - 22:00 Jonáš Mejtský

týden 24.3 - 30.3

24. 3. 2014, 18:00 - 22:00 Jan Dufek

26. 3. 2014, 20:00 - 21:00 Klára Škodová

27. 3. 2014, 18:30 - 23:00 Jan Čermák

28. 3. 2014, 18:00 - 20:30 Karel Vojkovsky

týden 17.3 - 23.3

22. 3. 2014, 10:00 - 15:00 Pavol Vittek

týden 10.3 - 16.3

12.3.2014, 9:45 - 13:00 Lucie Vonášková

13.3.2014, 15:00 - 18:00 Marek Votroubek

15.3.2014, 14:00 - 19:00 Michal Býna

16.3.2014, 16:00 - 18:00 Ondřej Hrstka

týden 3.3 - 9.3
4.3.2014, 17:00 - 20:00 Martin Doubek

5.3.2014, 16:00 - 18:00 Marek Votroubek

5.3.2014, 18:00 - 22:00 Lucie Vonášková

6.3.2014, 10:00 - 12:00 Martin Červenka

7.3.2014, 13:00 - 18:00 Lucie Vonášková

8.3.2014, 9:00 - 13:00 Ondřej Hrstka

týden 24.2 - 2.3

26.2.2014, 18:00 - 21:00 Aleš Daněk

27.2.2014, 11:00 - 16:00 Martin Červenka

28.2.2014, 17:00 - 21:00 Barbora Svobodová

1.3.2014, 14:00 - 19:00 Barbora Svobodová

týden 17.2 - 23.2

19. 2. 2014, 10:00-15:00 Marek Votroubek

19. 2. 2014, 18:30-20:00 Ondřej Novotný

20. 2. 2014, 11:00 - 16:00 Martin Červenka

21. 2. 2014, 15:00 - 18:00 Matus Koperniech

22. 2. 2014, 09:00 - Ondřej Hrstka

týden 10.2 - 16.2

11. 2. 2014, 18:00- 22:00 Jan Čermák

13. 2. 2014, 9:30 - 13:30 Michal Býna

13. 2. 2014, 18:00 - 22:00 Aleš Daněk

14. 2. 2014, 09:00 - 12:30 Jan Čermák

14. 2. 2014, 13:00 - 17:00 Pavol Vittek

14.2.2014, 17:00 - 23:00 Martin Hanes

15. 2.2014, 17:00 - 23:00 Pavol Vittek

16.2.2014, 11:00 - 14:00 Aleš Jíra

týden 3.2 - 9.2.

3.2.2014, 13:00 - 17:00, Martin Červenka

4.2.2014, 16:00 - 20:00, Martin Červenka

6.2.2014, 15:00 - 18:00, Martin Červenka

8.2.2014, 18:00 - 23:00, Pavol Vittek

týden 27.1 - 2.2
1.2.2014, 9:30 - 11:45 Aleš Jíra

2.2.2014, 12:00 - 17:00 Pavel Krásenský

týden 20.1 - 26.1
21.1.2014, 16:00 - 19:00 Martin Doubek

22.1.2014, 19:00 - 23:00 Pavol Vittek

23.1.2014, 12:00 - 16:45 Pavol Vittek

23.1.2014, 17:00 - 20:00 Matus Koperniech

24.1.2014, 13:45 - 18:45 Martin Červenka

25.1.2014, 15:00 - 20:00 Pavol Vittek

týden 13.1 - 19.1

16.1.2014, 10:00 - 15:00 Pavol Vittek

18.1.2014, 15:00 - 19:00 Martin Červenka

týden 6.1 - 12.1

7.1.2014, 18:00 - 21:00 Martin Červenka

8.1.2014, 21:30 - 23:00 Pavel Vitvar

9.1.2014, 13:00 - 18:00 Pavol Vittek

9.1.2014, 19:00 - 23:00 Martin Hanes

11.1.2014, 17:00 - 20:00 Matus Koperniech - zrusene, choroba

týden 30.12 - 5.1

5.1.2014, 15:00 - 18:00 Klára Škodová

týden 23.12 - 29.12

týden 16.12 - 22.12
16.12.2013, 17:00 - 22:00 Pavol Vittek

19.12.2013, 15:00 - 19:00 Michal Býna

týden 9.12 - 15.12
10.12.2013, 16:00 - 18:30 Marek Votroubek

11.12.2013, 15:30 - 20:00 Michal Býna

11.12.2013, 20:00 - 23:00 Pavol Vittek

12.12.2013, 19:00 - 22:00 Pavel Vitvar

14.12.2013, 11:00 - 14:00 Pavel Vitvar

15.12.2013, 15:00 - 17:00 Jan Dufek

týden 2.12 - 8.12

3.12.2013, 11:00 - 14:20 Pavol Vittek

3.12.2013, 14:30 - 18:00 Martin Doubek

3.12.2013, 18:30 - 20:30 Matus Koperniech

4.12.2013, 15:00 - 18:00 Martin Doubek

4.12.2013, 18:00 - 21:00 Martin Hanes

7.12.2013, 08:30 - 12:30 Martin Červenka

7.12.2013, 16:00 - 21:00 Marek Votroubek

8.12.2013, 09:00 - 13:00 Martin Červenka

8.12.2013, 15:00 - 20:00 Barbora Svobodová

8.12.2013, 20:30 - 21:15 Pavol Vittek

týden 25.11 - 1.12

26.11.2013, 13:00 - 18:00 Pavol Vittek

01.12.2013, 10:00 - 14:00 Martin Červenka

týden 18.11 - 24.11

18.11.2013, 10:00 - 14:00 Martin Červenka

18.11.2013, 18:00 - 20:00 Ondřej Novotný

19.11.2013, 18:00 - 21:00 Martin Doubek

21.11.2013, 11:00 - 14:00 Martin Červenka

21.11.2013, 19:00 - 22:00 Chip

22.11.2013, 09:00 - 12:00 Martin Červenka + Martin Borýsek

23.11.2013, 15:00 - 18:00 Matúš Koperniech

24.11.2013, 11:00 - 13:00 Klára Škodová

24.11.2013, 13:00 - 18:00 Barbora Svobodová

24.11.2013, 18:00 - 23:00 Pavol Vittek

týden 11.11 - 17.11

13.11.2013, 16:30 - 18:30 Martin Červenka

13.11.2013, 19:00 - 22:00 Lukáš Březina

14.11.2013, 09:30 - 13:30 Martin Červenka

15.11.2013, 19:00 - 22:00 Miroslav Šos

16.11.2013, 13:00 - 16:00 Miroslav Šos

16.11.2013, 18:00 - 21:00 Matúš Koperniech

týden 4.11 - 10.11

4.11.2013, 18:00 - 22:00 Ondřej Hrstka

6.11.2013, 07:00 - 10:30 Martin Červenka

6.11.2013, 20:00 - 23:00 Pavol Vittek montovanie kamery

7.11.2013, 15:30 - 18:30 Matúš Koperniech

7.11.2013, 19:00 - 22:00 Lukáš Březina

10.11.2013, 11:00 - 15:00 Pavol Vittek

10.11.2013, 15:00 - 21:00 Karel Vojkovský

týden 28.10 - 3.11

30.10.2013, 10.00 - 15.00 Marek Votroubek

30.10.2013, 15:00 - 19:00 Martin Červenka RUŠÍM (onemocnělá modelka)

30.10.2013, 20:00 - 22:00 Lukáš Březina

3.11.2013, 9:00 - 13:00 Barbora Svobodová

3.11.2013, 20:00 - 23:00 Pavol Vittek

týden 21.10 - 27.10

21.10.2013, 17:00 - 23:00 Pavol Vittek

22.10.2013, 18:00 - 23:00 Martin Hanes

23.10.2013, 08:00 - 11:00 Martin Červenka

23.10.2013, 19:00 - 22:00 Lukáš Březina

24.10.2013, 13:00 - 16:00 Martin Doubek

24.10.2013, 17:00 - 22:00 Barbora Svobodová

25.10.2013, 11:30 - 14:00 Marek Votroubek

25.10.2013, 20:00 - 23:00 Pavol Vittek

týden 14.10 - 20.10

14.10.2013, 19:00 - 22:00 Pavol Vittek

16.10.2013, 17:00 - 20:00 Pavol Vittek

17.10.2013, 12:00 - 13:00 Pavol Vittek

17.10.2013, 13:00 - 18:00 Martin Červenka

18.10.2013, 15:30 - 17:30 Matus Kopeniech

19.10.2013, 15:00 - 20:00 Marek Votroubek

týden 7.10 - 13.10

7.10.2013, 14:30 - 15:30 Pavol Vittek

9.10.2013, 13:00 - 17:00 Martin Doubek

12.10.2013, 14:00 - 19:00 Jan Dufek

týden 30.9 - 6.10

1.10.2013, 20:00 - 21:00 Pavol Vittek

5.10.2013, 13:00 - 17:00 Barbora Svobodová

5.10.2013, 17:00 - 19:00 Matúš Koperniech

týden 23.9 - 29.9

26.9.2013, 17:15 - 21:30 Pavol Vittek

26.9.2013, 14:00 - 17:00 Martin Doubek

27.9.2013, 12:00 - 14:00 Pavol Vittek

28.9.2013, 10:00 - 15:00 Aleš Jíra

týden 16.9 - 22.9

20. 9. 2013, 14:00 - 17:00 Martin Červenka

19. 9. 2013, 15:00 - 20:00 Peter Antolík

18. 9. 2013, 14:00 - 19:00 Michal Býna

týden 9.9 - 15.9

13.9.2013, 10:00 - 11:30 Ondřej Novotný

9.9.2013, 18:00 - 22:00 Barbora Svobodová

6.9.2013, 17:00 - 22:00 Pavol Vittek

týden 2.9 - 8.9

5. 9. 2013, 13:00 - 18:00 Michal Býna

týden 26.8 - 1.9
29.8.2013, 10:00 - 15:00 Pavol Vittek

týden 19.8 - 25.8
22.8.2013, 10:00 - 15:00 Pavol Vittek

21.8.2013, 15:00 - 20:00 Pavol Vittek

20.8.2013, 18:30 - 20:00 Ondřej Novotný

týden 12.8 - 18.8
17.8.2013, 15:00 - 17:30 Ondřej Novotný

12.8. 2013, 14:00 - 19:00 Michal Býna

týden 5.8 - 11.8
6.8.2013, 18:00 - 22:00 Barbora Svobodová

10.8.2013, 15:00 - 20:00 Marek Votroubek

Diskuse:Fotoatelier

2015-02-22T18:17:09Z

Tomassrna:

Datum, čas od - do, jméno příjmení
týden 23.2. - 1.3.
23.2. 17:00 - 19:00 Tomáš Srna

týden 16.2. - 22.2.
20.2. 10:30 - 13:30 Lukáš Bařinka

22.2. 10:45 - 15:45 Michal Býna

22.2. 15:45 - 18:00 Martin Doubek

týden 9.2. - 15.2.

10.2. 10:30 - 14:00 Lukáš Bařinka

13.2. 10:00 - 13:00 Lukáš Bařinka

14.2. 13:55 - 16:25 Ivo Š.

týden 2.2. - 8.2.

7.2. 15:00 - 18:30 Pavel Řehák

týden 26.1. - 1.2.

27.1. 12:00 - 15:00 Jan Čermák

30.1. 10:30 - 13:30 Jan Čermák

30.1. 15:00 - 18:00 Pavel Řehák

31.1. 14:00 - 18:00 Martin Doubek

31.1. 18:00 - 20:00 Klára Škodová

týden 19.1. - 25.1.

21.1. 15:00 - 19:00 Petr Kavulok

24.1. 09:30 - 13:00 Aleš Jíra

25.1. 11:25 - 13:50 Ivo Š.

týden 12.1. - 18.1.

13.1. 18:30 - 19:00 Michal Býna

14.1. 16:00 - 19:00 Jan Dufek

14.1. 19:00 - 23:00 Pavol Vittek

15.1. 13:30 - 16:30 Pavol Vittek

15.1. 17:00 - 20:00 Pavel Řehák

18.1. 14:00 - 17:00 Pavel Řehák

týden 5.1. - 11.1.
6.1. 18:00 - 22:00 Pavel Řehák

7.1. 9:30 - 13:00 Pavol Vittek

týden 29.12. - 4.1.

týden 22.12. - 28.12.

týden 15.12. - 21.12.

15.12 20:00 - 24:00 Pavol Vittek, údržba

16.12. 19:00 - 23:00 Jan Dufek

19.12. 11:00 - 14:00 Lukáš Bařinka

týden 8.12. - 14.12.

9.12. 15:00 - 18:30 Michal Býna

10.12. 19:00 - 23:00 Kuba Spatny

11.12. 15:00 - 19:00 Martin Doubek

12.12. 09:00 - 12:00 Lukáš Bařinka

12.12. 13:00 - 15:00 Aleš Daněk

týden 1.12. - 7.12.

1.12. 16:30 - 19:00 Aleš Daněk

1.12. 19:00 - 21:00 Michal Býna

2.12. 17:00 - 19:30 Aleš Daněk

4.12. 18:00 - 23:00 Kuba Spatny

5.12. 9:00 - 12:00 Lukáš Bařinka

5.12. 14:00 - 14:50 Ivo Š.

7.12. 20:00 - 22:00 Pavol Vittek

týden 24.11. - 30.11.

26.11. 19:00 - 21:00 Petr Kavulok

27.11. 11:00 - 12:00 Petr Kavulok

27.11. 14.40 - 15.15 Ivo Š.

28.11. 15:00 - 17:00 Michal Býna

29.11. 20:00 - 23:00 Petr Kavulok

30.11. 12:00 - 15:00 Michal Býna

30.11. 15:00 - 20:00 Jonáš Mejtský

týden 17.11 - 23.11

21.11. 22:00 - 23:00 Tomáš Švach

21.11. 17:00 - 23:00 Pavol Vittek

22.11. 9:00 - 11:30 Aleš Jíra

týden 10.11 - 16.11

10.11 21:00 - 22:00 Tomáš Švach

13.11 21:00 - 23:00 Kuba Spatny

16.11. 19:00 - 23:00 Jan Dufek

týden 3.11 - 9.11

3.11 10:00 - 12:00 Pavol Vittek

3.11 18:00 - 21:00 Martin Doubek

4.11 13:00 - 14:30 Petr Kavulok

8.11 9:00 - 12:00 Lukáš Bařinka

týden 27.10 - 2.11

27.10 18:00 - 23:00 Pavol Vittek

28.10 11:00 - 15:00 Michal Býna

28.10 15:00 - 19:00 Ondřej Hrstka

28.10 19:00 - 23:00 Jan Dufek

30.10 18:00 - 23:00 Pavol Vittek

31.10 18:00 - 20:00 Pavol Vittek

Od 31.10 do 2.11 bude vo fotoateliéri len malý softbox + deštník a 2 blesky, ktoré je možné použiť v kombinácii so starými odpalovačmi

týden 20.10 - 26.10

21.10 20:00 - 21:00 Pavol Vittek

22.10 20:00 - 23:00 Petr Kavulok

24.10 9:00 - 13:00 Martin Doubek

25.10 15:00 - 17:00 Pavol Vittek

týden 13.10 - 19.10

Dodržujte prosím provozní řád fotoateliéru. Za nedodržanie dostanete BAN.
Jedná sa napr. o zametanie, úklid, vynesenie odpadkov, zapísanie sa na vrátnici - aj fotografované osoby ako návštevu atd...
Vittek

13.10 08:00 - 10:00 Klára Škodová

13.10 15:00 - 18:00 Martin Doubek

13.10 19:00 - 24:00 Pavol Vittek - DOD

18.10. 9:00 - 12:00 Lukáš Bařinka

týden 6.10. - 12.10.

6.10.2014 18:00 - 19:00 Pavol Vittek

8.10.2014 17:00 - 24:00 Pavol Vittek - Akce prvák

9.10.2014 20:00 - 21:00 Tomáš Srna

12.10.2014 16:00 - 19:00 Pavol Vittek

týden 29.9. - 5.10.

1.10.2014 18:00 - 22:00 Kuba Spatny

3.10.2014 11:00 - 16:00 Michal Býna

3.10.2014 16:00 - 20:00 Pavol Vittek

5.10.2014 15:00 - 20:00 Jonáš Mejtský

týden 22.9. - 28.9.

23.9.2014 19:00 - 21:00 Pavol Vittek

24.9.2014 19:00 - 22:00 Kuba Spatny

25.9.2014 9:00 - 13:30 Michal Býna

týden 15.9. - 21.9.

21.9.2014 9:00 - 12:30 Aleš Jíra

týden 8.9. - 14.9.

8.9.2014 18:00 - 22:00 Kuba Spatny

týden 1.9. - 7.9.

1.9.2014 17:30 - 19:00 Kuba Spatny

4.9.2014 18:00 - 21:00 Kuba Spatny

5.9.2014 14:15 - 16:30 Michal Býna

7.9.2014 14:00 - 19:00 Michal Býna

týden 25.8. - 31.8.

26.8.2014 19:00 - 20:00 Ivo Š.

27.8.2014 20:00 - 22:00 Pavol Vittek

30.8.2014 18:00 - 19:30 Pavol Vittek

týden 18.8. - 24.8.

19.8.2014 20:30 - 22:00 Kuba Spatny

21.8.2014 18:00 - 20:00 Michal Býna

týden 11.8. - 17.8.

11.8.2014 18:00 - 21:00 Kuba Spatny

13.8.2014 09:15 - 10:15 Ivo Š.

13.8.2014 17:25 - 17:45 Ivo Š.

týden 4.8. - 10.8.

4.8.2014 18:00 - 20:00 Tomas Srna

5.8.2014 19:00 - 22:00 Kuba Spatny

6.8.2014 18:00 - 22:00 Jaroslav Halgasik

7.8.2014 08:20 - 12:00 Jan Cermak

9.8.2014 14:00 - 15:00 Klara Skodova

9.8.2014 15:00 - 20:00 Pavol Vittek

10.8.2014 19:00 - 23:00 Pavol Vittek

týden 28.7. - 3.8.

30.7.2014 8:00 - 11:00 Aleš Daněk

30.7.2014 15:00 - 20:00 Jonáš Mejtský

1.8.2014 9:00 - 14:00 Martin Doubek

týden 21.7. - 27.7.

26.7.2014 13:00 - 18:00 Kuba Spatny

týden 14.7. - 20.7.

16.7.2014 13:00 - 14:00 Pavol Vittek

16.7.2014 16:00 - 19:00 Tomáš Švach

17.7.2014 12:30 - 17:30 Michal Býna

týden 7.7. - 13.7.

týden 30.6. - 6.7.
30.6. 2014 14:00 - 18:00 Jonáš Mejtský

30.6. + 1.7. Michal Býna - půjčím si jen malou odrazku, ateliér bude volný

týden 23.6. - 29.6.
26.6.2014 15:30 - 19:00 Martin Doubek

týden 16.6. - 22.6.

16.6.2014 19:00 - 20:00 Kuba Špatný

17.6.2014 9:00 - 12:00 Martin Doubek

17.6.2014 18:00 - 23:00 Pavol Vittek

18.6.2014 17:00 - 21:00 Kuba Špatný

20.6.2014 9:30 - 10:30 + 13:30 - 16:00 Michal Býna

21.6.2014 16:00 - 18:30 Michal Býna

týden 9.6. - 15.6.

9.6.2014 11:00 - 13:00 Daněk Aleš

12.6.2014 19:00 - 21:00 Pavol Vittek

týden 2.6. - 8.6.

4.6.2014 18:25 - 19:45 Ivo Š.

týden 26.5 - 1.6.

27.5.2014 20:00 - 21:00 Pavel Vitvar

28.5.2014 17:00 - 19:00 Ivo Š.

29.5.2014 10:15 - 12:30 Lucie Vonášková

29.5.2014 16:00 - 19:00 Jonáš Mejtský

30.5.2014 10:00 - 11:00 Daněk Aleš

31.5.2014 10:45 - 15:45 Michal Býna

31.5.2014 22:00 - 24:05 Pavol Vittek

týden 19.5 - 25.5.

22. 5. 2014 18:00 - 23:00 Pavol Vittek

týden 12.5 - 18.5

12.5.2014 11:15 - 13:00 Jan Čermák

14.5.2014 14:00 - 17:00 Petr Kaštánek

15.5.2014 20:00 - 21:00 Tomáš Srna

16.5.2014 20:00 - 23:00 Jonáš Mejtský

týden 5.5 - 11.5

5.5.2014, 21:15 - 23:00 Pavol Vittek

6.5.2014, 15:00 - 19:00 Martin Doubek

7.5.2014, 15:00 - 18:00 Martin Doubek

10.5.2014, 9:00 - 12:00 Ondřej Hrstka

týden 28.4 - 4.5
28.4.2014, 17:30 - 21:00 Jan Dufek

29.4.2014, 19:00 - 22:30 Petr Kaštánek

1.5.2014, 9:00 - 15:00 Jan Dufek

1.5.2014, 15:00 - 17:00 Pavol Vittek

1.5.2014, 18:00 - 20:00 Jan Čermák

týden 21.4 - 27.4
22.4.2014, 13:00 - 17:00 Jonáš Mejtský

23.4.2014, 18:00 - 22:00 Jaroslav Halgasik

27.4.2014, 13:00 - 20:00 Jan Dufek

týden 14.4 - 20.4
14.4.2014 - 19:00 - 21:00 Pavel Vitvar

17.4.2014 - 18:30 - 22:30 Petr Kaštánek

18.4.2014, 14:00 - 21:00 Marek Votroubek

18.4.2014, 10:00 - 15:00 Pavol Vittek

19.4.2014, 9:00 - 12:00 Marek Votroubek

19.4.2014, 12:00 - 17:00 Pavol Vittek

týden 7.4 - 13.4

7.4.2014 - 13:00 - 18:00 Marek Votroubek

7.4.2014, 18:00 - 22:00 Jan Dufek

8.4.2014, 08:30-11:00 Jan Čermák

9.4.2014, 17:30-22:00 Jaroslav Halgasik

10.4.2014, 17:00 - 22:00 Jonáš Mejtský

10.4.2014, 22:00 - 23:00 Pavol Vittek

11.4.2014, 9:00 - 14:00 Pavol Vittek

týden 31.3 - 6.4

31. 3. 2014, 18:00 - 21:00 Karel Vojkovsky

1.4. 2014, 17:00 - 21:00 Pavol Vittek

2. 4. 2014, 11:30 - 15:30 Michal Býna

2. 4. 2014, 17:15 - 21:00 Jan Čermák

4. 4. 2014, 8:00 - 12:30 Pavol Vittek

4. 4. 2014, 13:00 - 17:00 Karel Vojkovsky

4. 4. 2014, 18:30 - 22:00 Jonáš Mejtský

týden 24.3 - 30.3

24. 3. 2014, 18:00 - 22:00 Jan Dufek

26. 3. 2014, 20:00 - 21:00 Klára Škodová

27. 3. 2014, 18:30 - 23:00 Jan Čermák

28. 3. 2014, 18:00 - 20:30 Karel Vojkovsky

týden 17.3 - 23.3

22. 3. 2014, 10:00 - 15:00 Pavol Vittek

týden 10.3 - 16.3

12.3.2014, 9:45 - 13:00 Lucie Vonášková

13.3.2014, 15:00 - 18:00 Marek Votroubek

15.3.2014, 14:00 - 19:00 Michal Býna

16.3.2014, 16:00 - 18:00 Ondřej Hrstka

týden 3.3 - 9.3
4.3.2014, 17:00 - 20:00 Martin Doubek

5.3.2014, 16:00 - 18:00 Marek Votroubek

5.3.2014, 18:00 - 22:00 Lucie Vonášková

6.3.2014, 10:00 - 12:00 Martin Červenka

7.3.2014, 13:00 - 18:00 Lucie Vonášková

8.3.2014, 9:00 - 13:00 Ondřej Hrstka

týden 24.2 - 2.3

26.2.2014, 18:00 - 21:00 Aleš Daněk

27.2.2014, 11:00 - 16:00 Martin Červenka

28.2.2014, 17:00 - 21:00 Barbora Svobodová

1.3.2014, 14:00 - 19:00 Barbora Svobodová

týden 17.2 - 23.2

19. 2. 2014, 10:00-15:00 Marek Votroubek

19. 2. 2014, 18:30-20:00 Ondřej Novotný

20. 2. 2014, 11:00 - 16:00 Martin Červenka

21. 2. 2014, 15:00 - 18:00 Matus Koperniech

22. 2. 2014, 09:00 - Ondřej Hrstka

týden 10.2 - 16.2

11. 2. 2014, 18:00- 22:00 Jan Čermák

13. 2. 2014, 9:30 - 13:30 Michal Býna

13. 2. 2014, 18:00 - 22:00 Aleš Daněk

14. 2. 2014, 09:00 - 12:30 Jan Čermák

14. 2. 2014, 13:00 - 17:00 Pavol Vittek

14.2.2014, 17:00 - 23:00 Martin Hanes

15. 2.2014, 17:00 - 23:00 Pavol Vittek

16.2.2014, 11:00 - 14:00 Aleš Jíra

týden 3.2 - 9.2.

3.2.2014, 13:00 - 17:00, Martin Červenka

4.2.2014, 16:00 - 20:00, Martin Červenka

6.2.2014, 15:00 - 18:00, Martin Červenka

8.2.2014, 18:00 - 23:00, Pavol Vittek

týden 27.1 - 2.2
1.2.2014, 9:30 - 11:45 Aleš Jíra

2.2.2014, 12:00 - 17:00 Pavel Krásenský

týden 20.1 - 26.1
21.1.2014, 16:00 - 19:00 Martin Doubek

22.1.2014, 19:00 - 23:00 Pavol Vittek

23.1.2014, 12:00 - 16:45 Pavol Vittek

23.1.2014, 17:00 - 20:00 Matus Koperniech

24.1.2014, 13:45 - 18:45 Martin Červenka

25.1.2014, 15:00 - 20:00 Pavol Vittek

týden 13.1 - 19.1

16.1.2014, 10:00 - 15:00 Pavol Vittek

18.1.2014, 15:00 - 19:00 Martin Červenka

týden 6.1 - 12.1

7.1.2014, 18:00 - 21:00 Martin Červenka

8.1.2014, 21:30 - 23:00 Pavel Vitvar

9.1.2014, 13:00 - 18:00 Pavol Vittek

9.1.2014, 19:00 - 23:00 Martin Hanes

11.1.2014, 17:00 - 20:00 Matus Koperniech - zrusene, choroba

týden 30.12 - 5.1

5.1.2014, 15:00 - 18:00 Klára Škodová

týden 23.12 - 29.12

týden 16.12 - 22.12
16.12.2013, 17:00 - 22:00 Pavol Vittek

19.12.2013, 15:00 - 19:00 Michal Býna

týden 9.12 - 15.12
10.12.2013, 16:00 - 18:30 Marek Votroubek

11.12.2013, 15:30 - 20:00 Michal Býna

11.12.2013, 20:00 - 23:00 Pavol Vittek

12.12.2013, 19:00 - 22:00 Pavel Vitvar

14.12.2013, 11:00 - 14:00 Pavel Vitvar

15.12.2013, 15:00 - 17:00 Jan Dufek

týden 2.12 - 8.12

3.12.2013, 11:00 - 14:20 Pavol Vittek

3.12.2013, 14:30 - 18:00 Martin Doubek

3.12.2013, 18:30 - 20:30 Matus Koperniech

4.12.2013, 15:00 - 18:00 Martin Doubek

4.12.2013, 18:00 - 21:00 Martin Hanes

7.12.2013, 08:30 - 12:30 Martin Červenka

7.12.2013, 16:00 - 21:00 Marek Votroubek

8.12.2013, 09:00 - 13:00 Martin Červenka

8.12.2013, 15:00 - 20:00 Barbora Svobodová

8.12.2013, 20:30 - 21:15 Pavol Vittek

týden 25.11 - 1.12

26.11.2013, 13:00 - 18:00 Pavol Vittek

01.12.2013, 10:00 - 14:00 Martin Červenka

týden 18.11 - 24.11

18.11.2013, 10:00 - 14:00 Martin Červenka

18.11.2013, 18:00 - 20:00 Ondřej Novotný

19.11.2013, 18:00 - 21:00 Martin Doubek

21.11.2013, 11:00 - 14:00 Martin Červenka

21.11.2013, 19:00 - 22:00 Chip

22.11.2013, 09:00 - 12:00 Martin Červenka + Martin Borýsek

23.11.2013, 15:00 - 18:00 Matúš Koperniech

24.11.2013, 11:00 - 13:00 Klára Škodová

24.11.2013, 13:00 - 18:00 Barbora Svobodová

24.11.2013, 18:00 - 23:00 Pavol Vittek

týden 11.11 - 17.11

13.11.2013, 16:30 - 18:30 Martin Červenka

13.11.2013, 19:00 - 22:00 Lukáš Březina

14.11.2013, 09:30 - 13:30 Martin Červenka

15.11.2013, 19:00 - 22:00 Miroslav Šos

16.11.2013, 13:00 - 16:00 Miroslav Šos

16.11.2013, 18:00 - 21:00 Matúš Koperniech

týden 4.11 - 10.11

4.11.2013, 18:00 - 22:00 Ondřej Hrstka

6.11.2013, 07:00 - 10:30 Martin Červenka

6.11.2013, 20:00 - 23:00 Pavol Vittek montovanie kamery

7.11.2013, 15:30 - 18:30 Matúš Koperniech

7.11.2013, 19:00 - 22:00 Lukáš Březina

10.11.2013, 11:00 - 15:00 Pavol Vittek

10.11.2013, 15:00 - 21:00 Karel Vojkovský

týden 28.10 - 3.11

30.10.2013, 10.00 - 15.00 Marek Votroubek

30.10.2013, 15:00 - 19:00 Martin Červenka RUŠÍM (onemocnělá modelka)

30.10.2013, 20:00 - 22:00 Lukáš Březina

3.11.2013, 9:00 - 13:00 Barbora Svobodová

3.11.2013, 20:00 - 23:00 Pavol Vittek

týden 21.10 - 27.10

21.10.2013, 17:00 - 23:00 Pavol Vittek

22.10.2013, 18:00 - 23:00 Martin Hanes

23.10.2013, 08:00 - 11:00 Martin Červenka

23.10.2013, 19:00 - 22:00 Lukáš Březina

24.10.2013, 13:00 - 16:00 Martin Doubek

24.10.2013, 17:00 - 22:00 Barbora Svobodová

25.10.2013, 11:30 - 14:00 Marek Votroubek

25.10.2013, 20:00 - 23:00 Pavol Vittek

týden 14.10 - 20.10

14.10.2013, 19:00 - 22:00 Pavol Vittek

16.10.2013, 17:00 - 20:00 Pavol Vittek

17.10.2013, 12:00 - 13:00 Pavol Vittek

17.10.2013, 13:00 - 18:00 Martin Červenka

18.10.2013, 15:30 - 17:30 Matus Kopeniech

19.10.2013, 15:00 - 20:00 Marek Votroubek

týden 7.10 - 13.10

7.10.2013, 14:30 - 15:30 Pavol Vittek

9.10.2013, 13:00 - 17:00 Martin Doubek

12.10.2013, 14:00 - 19:00 Jan Dufek

týden 30.9 - 6.10

1.10.2013, 20:00 - 21:00 Pavol Vittek

5.10.2013, 13:00 - 17:00 Barbora Svobodová

5.10.2013, 17:00 - 19:00 Matúš Koperniech

týden 23.9 - 29.9

26.9.2013, 17:15 - 21:30 Pavol Vittek

26.9.2013, 14:00 - 17:00 Martin Doubek

27.9.2013, 12:00 - 14:00 Pavol Vittek

28.9.2013, 10:00 - 15:00 Aleš Jíra

týden 16.9 - 22.9

20. 9. 2013, 14:00 - 17:00 Martin Červenka

19. 9. 2013, 15:00 - 20:00 Peter Antolík

18. 9. 2013, 14:00 - 19:00 Michal Býna

týden 9.9 - 15.9

13.9.2013, 10:00 - 11:30 Ondřej Novotný

9.9.2013, 18:00 - 22:00 Barbora Svobodová

6.9.2013, 17:00 - 22:00 Pavol Vittek

týden 2.9 - 8.9

5. 9. 2013, 13:00 - 18:00 Michal Býna

týden 26.8 - 1.9
29.8.2013, 10:00 - 15:00 Pavol Vittek

týden 19.8 - 25.8
22.8.2013, 10:00 - 15:00 Pavol Vittek

21.8.2013, 15:00 - 20:00 Pavol Vittek

20.8.2013, 18:30 - 20:00 Ondřej Novotný

týden 12.8 - 18.8
17.8.2013, 15:00 - 17:30 Ondřej Novotný

12.8. 2013, 14:00 - 19:00 Michal Býna

týden 5.8 - 11.8
6.8.2013, 18:00 - 22:00 Barbora Svobodová

10.8.2013, 15:00 - 20:00 Marek Votroubek

Obsazeni SC

2014-10-23T06:26:03Z

Tomassrna:

=== Obsazenost učeben ===

Obsazenost učeben se nachází na Confluence.
[https://confluence.sh.cvut.cz/pages/viewpage.action?pageId=393220 Vzdělávání – Confluence SH]

===Přednáškový sál===
{| class="wikitable" border=1 cellspacing="0"
|-
!  
!colspan="4" width ="120" |16
!colspan="4" width ="120" |17
!colspan="4" width ="120" |18
!colspan="4" width ="120" |19
!colspan="4" width ="120" |20
!colspan="4" width ="120" |21
!colspan="4" width ="120" |22
|-
|  
| 00
| 15
| 30
| 45
| 00
| 15
| 30
| 45
| 00
| 15
| 30
| 45
| 00
| 15
| 30
| 45
| 00
| 15
| 30
| 45
| 00
| 15
| 30
| 45
| 00
| 15
| 30
| 45
|-
!pondělí
|colspan="8"|  
|colspan="8"| Spafi
|colspan="2"|  
|colspan="8"| Taneční
|colspan="2"|  
|-
!úterý
|colspan="8"|  
|colspan="6"| Breakdance
|colspan="2"|  
|colspan="8"| Taneční
|colspan="4"|  
|-
!středa
|colspan="8"|  
|colspan="8"| Spafi
|colspan="8"| Taneční
|colspan="4"|  
|-
!čtvrtek
|colspan="4"|  
|colspan="8"| Breakdance
|colspan="6"|  
|colspan="8"| Taneční
|colspan="2"|  
|-
!pátek
|colspan="8"|  
|colspan="12"| SPAFi - filmová škola
|colspan="8"|  
|-
!sobota
|colspan="30"|  
|-
!neděle
|colspan="30"|  
|-

|}

Prosím uživatele sálu, aby po sobě nenechávali nepořádek a aspoň ten největší bordel uklidili - koště určitě najdete ;) Díky.

Aktualizováno 12. října 2014 17:15

===Mimořádné akce===

Přidávání mimořádných akcí se řídí následujícími pravidly:
* mimořádné akce by neměli zasahovat do rozvrhu výše uvedených učeben
* zajistit si souhlas předsedy nebo místopředsedy klubu SH s akcí
* uvědomit správce školícího centra (ten jediný aktualizuje seznam mimořádných akcí) a domluvit se na přístupu do budovy

Přehled schválených akcí:

{| class="wikitable" border=1 cellspacing="0" width=900
|-
!Datum akce
!Místnost
!Popis/Zodpovědná osoba
!Čas
!Datum vložení
|-
|23.- 25.10.2015
|Přednáškový sál
|Game Jam Prague (Jaroslav Meloun)
|Celé den
|21.10.2014
|-
|5.10.2014
|Přednáškový sál
|SPAFi
|Celý den
|30.9.2014
|-
|13.-14.9.2014
|Přednáškový sál
|0MQ školení
|Celé dny
|30.7.2014
|-
|27.8.2014
|Přednáškový sál
|IAESTE
|16:00 - 20:00
|14.7.2014
|-
|26.8.2014
|Přednáškový sál
|IAESTE
|16:00 - 21:00
|14.7.2014
|-
|21.8.2014
|Přednáškový sál
|IAESTE
|16:00 - 21:00
|14.7.2014
|-
|19.8.2014
|Přednáškový sál
|IAESTE - Google Glass
|17:00 - 23:00
|14.7.2014
|-
|9.8.2014
|Přednáškový sál
|BEST
|17:00 - 23:00
|4.8.2014
|-
|5.8.2014
|Přednáškový sál
|IAESTE - Modern Ways of Testing Unix OS
|17:00 - 23:00
|15.7.2014
|-
|31.7.2014
|Přednáškový sál
|BEST
|17:00 - 23:00
|14.5.2014
|-
|18.7.-27.7.2014
|Přednáškový sál
|BEST
|Celé dny
|14.5.2014
|-
|17.7.2014
|Přednáškový sál
|IAESTE
|17:00 - 23:00
|7.7.2014
|-
|28.-29.6.2014
|Přednáškový sál
|Stolní hra (R. Pernicová)
|Celý den
|14.5.2014
|-
|14.6.2014
|Přednáškový sál
|Breakdance
|Celý den
|21.3.2014
|-
|7.5.2014
|Přednáškový sál
|Silicon Hill (Jakub Brož)
|15:00 - 22:00
|29.4.2014
|-
|24.4.2014
|Přednáškový sál
|Spafi
|Celý den
|4.4.2014
|-
|8.4.2014
|Přednáškový sál
|Konference pro aktivní lidi klubu
|18:00 - 24:00
|21.2.2014
|-
|25.3.2014
|Přednáškový sál
|FAQ večer: Světová náboženství
|18:00 - 23:00
|5.3.2014
|-
|12.3.2014
|Přednáškový sál
|FAQ večer: Evoluce
|18:00 - 23:00
|5.3.2013
|-
|1 - 2.3.2014
|Celé šc
|Installfest
|celé dny
|18.12.2013
|-
|24 - 26.1.2014
|Celé šc
|Game Jam Prague 2013 (J. Meloun)
|celé dny
|18.12.2013
|-
|11.12.2013
|Přednáškový sál
|Blokové hry
|od 18:00
|2.12.2013
|-
|10.12.2013
|Přednáškový sál
|Strahovská liga ve stolním tennise
|od 19:30
|2.12.2013
|-
|26.11.2013
|Přednáškový sál
|Blokové hry
|od 19:30
|20.11.2013
|-
|14.11.2013
|Přednáškový sál
|CUSF (Martin Prusa)
|od 15:00
|9.11.2013
|-
|29.10.2013
|Přednáškový sál
|Akce druhák
|Celý den
|1.10.2013
|-
|25.10.2013
|Přednáškový sál
|Erasmus Student Club (Ivan Kobelev)
|20:00 - 23:00
|1.9.2013
|-
|23.10.2013
|Přednáškový sál
|Akce druhák
|Večer
|16.10.2013
|-
|7.10.2013
|Přednáškový sál
|Přednáška Karierného centra
|15:00 - 19:00
|20.9.2013
|-
|14.-27.7.2013
|Přednáškový sál
|Pražské filmové prázdniny (SPAFi)
|cele dny
|8.6.2013
|-
|28.-30.6.2013
|Celé ŠC
|LAN party
|cele dny
|10.6.2013
|-
|}

Diskuse:Fotoatelier

2014-10-09T06:55:34Z

Tomassrna:

Datum, čas od - do, jméno příjmení

týden 20.10 - 26.10

týden 13.10 - 19.10

Dodržujte prosím provozní řád fotoateliéru. Za nedodržanie dostanete BAN.
Jedná sa napr. o zametanie, úklid, vynesenie odpadkov, zapísanie sa na vrátnici - aj fotografované osoby ako návštevu atd...
Vittek

13.10 16:00 - 18:30 Martin Doubek

13.10 19:00 - 24:00 Pavol Vittek - DOD

týden 6.10. - 12.10.

6.10.2014 18:00 - 19:00 Pavol Vittek

8.10.2014 17:00 - 24:00 Pavol Vittek - Akce prvák

9.10.2014 20:00 - 21:00 Tomáš Srna

10.10.2014 11:00 - 14:00 Martin Doubek

týden 29.9. - 5.10.

1.10.2014 18:00 - 22:00 Kuba Spatny

3.10.2014 11:00 - 16:00 Michal Býna

3.10.2014 16:00 - 20:00 Pavol Vittek

5.10.2014 15:00 - 20:00 Jonáš Mejtský

týden 22.9. - 28.9.

23.9.2014 19:00 - 21:00 Pavol Vittek

24.9.2014 19:00 - 22:00 Kuba Spatny

25.9.2014 9:00 - 13:30 Michal Býna

týden 15.9. - 21.9.

21.9.2014 9:00 - 12:30 Aleš Jíra

týden 8.9. - 14.9.

8.9.2014 18:00 - 22:00 Kuba Spatny

týden 1.9. - 7.9.

1.9.2014 17:30 - 19:00 Kuba Spatny

4.9.2014 18:00 - 21:00 Kuba Spatny

5.9.2014 14:15 - 16:30 Michal Býna

7.9.2014 14:00 - 19:00 Michal Býna

týden 25.8. - 31.8.

26.8.2014 19:00 - 20:00 Ivo Š.

27.8.2014 20:00 - 22:00 Pavol Vittek

30.8.2014 18:00 - 19:30 Pavol Vittek

týden 18.8. - 24.8.

19.8.2014 20:30 - 22:00 Kuba Spatny

21.8.2014 18:00 - 20:00 Michal Býna

týden 11.8. - 17.8.

11.8.2014 18:00 - 21:00 Kuba Spatny

13.8.2014 09:15 - 10:15 Ivo Š.

13.8.2014 17:25 - 17:45 Ivo Š.

týden 4.8. - 10.8.

4.8.2014 18:00 - 20:00 Tomas Srna

5.8.2014 19:00 - 22:00 Kuba Spatny

6.8.2014 18:00 - 22:00 Jaroslav Halgasik

7.8.2014 08:20 - 12:00 Jan Cermak

9.8.2014 14:00 - 15:00 Klara Skodova

9.8.2014 15:00 - 20:00 Pavol Vittek

10.8.2014 19:00 - 23:00 Pavol Vittek

týden 28.7. - 3.8.

30.7.2014 8:00 - 11:00 Aleš Daněk

30.7.2014 15:00 - 20:00 Jonáš Mejtský

1.8.2014 9:00 - 14:00 Martin Doubek

týden 21.7. - 27.7.

26.7.2014 13:00 - 18:00 Kuba Spatny

týden 14.7. - 20.7.

16.7.2014 13:00 - 14:00 Pavol Vittek

16.7.2014 16:00 - 19:00 Tomáš Švach

17.7.2014 12:30 - 17:30 Michal Býna

týden 7.7. - 13.7.

týden 30.6. - 6.7.
30.6. 2014 14:00 - 18:00 Jonáš Mejtský

30.6. + 1.7. Michal Býna - půjčím si jen malou odrazku, ateliér bude volný

týden 23.6. - 29.6.
26.6.2014 15:30 - 19:00 Martin Doubek

týden 16.6. - 22.6.

16.6.2014 19:00 - 20:00 Kuba Špatný

17.6.2014 9:00 - 12:00 Martin Doubek

17.6.2014 18:00 - 23:00 Pavol Vittek

18.6.2014 17:00 - 21:00 Kuba Špatný

20.6.2014 9:30 - 10:30 + 13:30 - 16:00 Michal Býna

21.6.2014 16:00 - 18:30 Michal Býna

týden 9.6. - 15.6.

9.6.2014 11:00 - 13:00 Daněk Aleš

12.6.2014 19:00 - 21:00 Pavol Vittek

týden 2.6. - 8.6.

4.6.2014 18:25 - 19:45 Ivo Š.

týden 26.5 - 1.6.

27.5.2014 20:00 - 21:00 Pavel Vitvar

28.5.2014 17:00 - 19:00 Ivo Š.

29.5.2014 10:15 - 12:30 Lucie Vonášková

29.5.2014 16:00 - 19:00 Jonáš Mejtský

30.5.2014 10:00 - 11:00 Daněk Aleš

31.5.2014 10:45 - 15:45 Michal Býna

31.5.2014 22:00 - 24:05 Pavol Vittek

týden 19.5 - 25.5.

22. 5. 2014 18:00 - 23:00 Pavol Vittek

týden 12.5 - 18.5

12.5.2014 11:15 - 13:00 Jan Čermák

14.5.2014 14:00 - 17:00 Petr Kaštánek

15.5.2014 20:00 - 21:00 Tomáš Srna

16.5.2014 20:00 - 23:00 Jonáš Mejtský

týden 5.5 - 11.5

5.5.2014, 21:15 - 23:00 Pavol Vittek

6.5.2014, 15:00 - 19:00 Martin Doubek

7.5.2014, 15:00 - 18:00 Martin Doubek

10.5.2014, 9:00 - 12:00 Ondřej Hrstka

týden 28.4 - 4.5
28.4.2014, 17:30 - 21:00 Jan Dufek

29.4.2014, 19:00 - 22:30 Petr Kaštánek

1.5.2014, 9:00 - 15:00 Jan Dufek

1.5.2014, 15:00 - 17:00 Pavol Vittek

1.5.2014, 18:00 - 20:00 Jan Čermák

týden 21.4 - 27.4
22.4.2014, 13:00 - 17:00 Jonáš Mejtský

23.4.2014, 18:00 - 22:00 Jaroslav Halgasik

27.4.2014, 13:00 - 20:00 Jan Dufek

týden 14.4 - 20.4
14.4.2014 - 19:00 - 21:00 Pavel Vitvar

17.4.2014 - 18:30 - 22:30 Petr Kaštánek

18.4.2014, 14:00 - 21:00 Marek Votroubek

18.4.2014, 10:00 - 15:00 Pavol Vittek

19.4.2014, 9:00 - 12:00 Marek Votroubek

19.4.2014, 12:00 - 17:00 Pavol Vittek

týden 7.4 - 13.4

7.4.2014 - 13:00 - 18:00 Marek Votroubek

7.4.2014, 18:00 - 22:00 Jan Dufek

8.4.2014, 08:30-11:00 Jan Čermák

9.4.2014, 17:30-22:00 Jaroslav Halgasik

10.4.2014, 17:00 - 22:00 Jonáš Mejtský

10.4.2014, 22:00 - 23:00 Pavol Vittek

11.4.2014, 9:00 - 14:00 Pavol Vittek

týden 31.3 - 6.4

31. 3. 2014, 18:00 - 21:00 Karel Vojkovsky

1.4. 2014, 17:00 - 21:00 Pavol Vittek

2. 4. 2014, 11:30 - 15:30 Michal Býna

2. 4. 2014, 17:15 - 21:00 Jan Čermák

4. 4. 2014, 8:00 - 12:30 Pavol Vittek

4. 4. 2014, 13:00 - 17:00 Karel Vojkovsky

4. 4. 2014, 18:30 - 22:00 Jonáš Mejtský

týden 24.3 - 30.3

24. 3. 2014, 18:00 - 22:00 Jan Dufek

26. 3. 2014, 20:00 - 21:00 Klára Škodová

27. 3. 2014, 18:30 - 23:00 Jan Čermák

28. 3. 2014, 18:00 - 20:30 Karel Vojkovsky

týden 17.3 - 23.3

22. 3. 2014, 10:00 - 15:00 Pavol Vittek

týden 10.3 - 16.3

12.3.2014, 9:45 - 13:00 Lucie Vonášková

13.3.2014, 15:00 - 18:00 Marek Votroubek

15.3.2014, 14:00 - 19:00 Michal Býna

16.3.2014, 16:00 - 18:00 Ondřej Hrstka

týden 3.3 - 9.3
4.3.2014, 17:00 - 20:00 Martin Doubek

5.3.2014, 16:00 - 18:00 Marek Votroubek

5.3.2014, 18:00 - 22:00 Lucie Vonášková

6.3.2014, 10:00 - 12:00 Martin Červenka

7.3.2014, 13:00 - 18:00 Lucie Vonášková

8.3.2014, 9:00 - 13:00 Ondřej Hrstka

týden 24.2 - 2.3

26.2.2014, 18:00 - 21:00 Aleš Daněk

27.2.2014, 11:00 - 16:00 Martin Červenka

28.2.2014, 17:00 - 21:00 Barbora Svobodová

1.3.2014, 14:00 - 19:00 Barbora Svobodová

týden 17.2 - 23.2

19. 2. 2014, 10:00-15:00 Marek Votroubek

19. 2. 2014, 18:30-20:00 Ondřej Novotný

20. 2. 2014, 11:00 - 16:00 Martin Červenka

21. 2. 2014, 15:00 - 18:00 Matus Koperniech

22. 2. 2014, 09:00 - Ondřej Hrstka

týden 10.2 - 16.2

11. 2. 2014, 18:00- 22:00 Jan Čermák

13. 2. 2014, 9:30 - 13:30 Michal Býna

13. 2. 2014, 18:00 - 22:00 Aleš Daněk

14. 2. 2014, 09:00 - 12:30 Jan Čermák

14. 2. 2014, 13:00 - 17:00 Pavol Vittek

14.2.2014, 17:00 - 23:00 Martin Hanes

15. 2.2014, 17:00 - 23:00 Pavol Vittek

16.2.2014, 11:00 - 14:00 Aleš Jíra

týden 3.2 - 9.2.

3.2.2014, 13:00 - 17:00, Martin Červenka

4.2.2014, 16:00 - 20:00, Martin Červenka

6.2.2014, 15:00 - 18:00, Martin Červenka

8.2.2014, 18:00 - 23:00, Pavol Vittek

týden 27.1 - 2.2
1.2.2014, 9:30 - 11:45 Aleš Jíra

2.2.2014, 12:00 - 17:00 Pavel Krásenský

týden 20.1 - 26.1
21.1.2014, 16:00 - 19:00 Martin Doubek

22.1.2014, 19:00 - 23:00 Pavol Vittek

23.1.2014, 12:00 - 16:45 Pavol Vittek

23.1.2014, 17:00 - 20:00 Matus Koperniech

24.1.2014, 13:45 - 18:45 Martin Červenka

25.1.2014, 15:00 - 20:00 Pavol Vittek

týden 13.1 - 19.1

16.1.2014, 10:00 - 15:00 Pavol Vittek

18.1.2014, 15:00 - 19:00 Martin Červenka

týden 6.1 - 12.1

7.1.2014, 18:00 - 21:00 Martin Červenka

8.1.2014, 21:30 - 23:00 Pavel Vitvar

9.1.2014, 13:00 - 18:00 Pavol Vittek

9.1.2014, 19:00 - 23:00 Martin Hanes

11.1.2014, 17:00 - 20:00 Matus Koperniech - zrusene, choroba

týden 30.12 - 5.1

5.1.2014, 15:00 - 18:00 Klára Škodová

týden 23.12 - 29.12

týden 16.12 - 22.12
16.12.2013, 17:00 - 22:00 Pavol Vittek

19.12.2013, 15:00 - 19:00 Michal Býna

týden 9.12 - 15.12
10.12.2013, 16:00 - 18:30 Marek Votroubek

11.12.2013, 15:30 - 20:00 Michal Býna

11.12.2013, 20:00 - 23:00 Pavol Vittek

12.12.2013, 19:00 - 22:00 Pavel Vitvar

14.12.2013, 11:00 - 14:00 Pavel Vitvar

15.12.2013, 15:00 - 17:00 Jan Dufek

týden 2.12 - 8.12

3.12.2013, 11:00 - 14:20 Pavol Vittek

3.12.2013, 14:30 - 18:00 Martin Doubek

3.12.2013, 18:30 - 20:30 Matus Koperniech

4.12.2013, 15:00 - 18:00 Martin Doubek

4.12.2013, 18:00 - 21:00 Martin Hanes

7.12.2013, 08:30 - 12:30 Martin Červenka

7.12.2013, 16:00 - 21:00 Marek Votroubek

8.12.2013, 09:00 - 13:00 Martin Červenka

8.12.2013, 15:00 - 20:00 Barbora Svobodová

8.12.2013, 20:30 - 21:15 Pavol Vittek

týden 25.11 - 1.12

26.11.2013, 13:00 - 18:00 Pavol Vittek

01.12.2013, 10:00 - 14:00 Martin Červenka

týden 18.11 - 24.11

18.11.2013, 10:00 - 14:00 Martin Červenka

18.11.2013, 18:00 - 20:00 Ondřej Novotný

19.11.2013, 18:00 - 21:00 Martin Doubek

21.11.2013, 11:00 - 14:00 Martin Červenka

21.11.2013, 19:00 - 22:00 Chip

22.11.2013, 09:00 - 12:00 Martin Červenka + Martin Borýsek

23.11.2013, 15:00 - 18:00 Matúš Koperniech

24.11.2013, 11:00 - 13:00 Klára Škodová

24.11.2013, 13:00 - 18:00 Barbora Svobodová

24.11.2013, 18:00 - 23:00 Pavol Vittek

týden 11.11 - 17.11

13.11.2013, 16:30 - 18:30 Martin Červenka

13.11.2013, 19:00 - 22:00 Lukáš Březina

14.11.2013, 09:30 - 13:30 Martin Červenka

15.11.2013, 19:00 - 22:00 Miroslav Šos

16.11.2013, 13:00 - 16:00 Miroslav Šos

16.11.2013, 18:00 - 21:00 Matúš Koperniech

týden 4.11 - 10.11

4.11.2013, 18:00 - 22:00 Ondřej Hrstka

6.11.2013, 07:00 - 10:30 Martin Červenka

6.11.2013, 20:00 - 23:00 Pavol Vittek montovanie kamery

7.11.2013, 15:30 - 18:30 Matúš Koperniech

7.11.2013, 19:00 - 22:00 Lukáš Březina

10.11.2013, 11:00 - 15:00 Pavol Vittek

10.11.2013, 15:00 - 21:00 Karel Vojkovský

týden 28.10 - 3.11

30.10.2013, 10.00 - 15.00 Marek Votroubek

30.10.2013, 15:00 - 19:00 Martin Červenka RUŠÍM (onemocnělá modelka)

30.10.2013, 20:00 - 22:00 Lukáš Březina

3.11.2013, 9:00 - 13:00 Barbora Svobodová

3.11.2013, 20:00 - 23:00 Pavol Vittek

týden 21.10 - 27.10

21.10.2013, 17:00 - 23:00 Pavol Vittek

22.10.2013, 18:00 - 23:00 Martin Hanes

23.10.2013, 08:00 - 11:00 Martin Červenka

23.10.2013, 19:00 - 22:00 Lukáš Březina

24.10.2013, 13:00 - 16:00 Martin Doubek

24.10.2013, 17:00 - 22:00 Barbora Svobodová

25.10.2013, 11:30 - 14:00 Marek Votroubek

25.10.2013, 20:00 - 23:00 Pavol Vittek

týden 14.10 - 20.10

14.10.2013, 19:00 - 22:00 Pavol Vittek

16.10.2013, 17:00 - 20:00 Pavol Vittek

17.10.2013, 12:00 - 13:00 Pavol Vittek

17.10.2013, 13:00 - 18:00 Martin Červenka

18.10.2013, 15:30 - 17:30 Matus Kopeniech

19.10.2013, 15:00 - 20:00 Marek Votroubek

týden 7.10 - 13.10

7.10.2013, 14:30 - 15:30 Pavol Vittek

9.10.2013, 13:00 - 17:00 Martin Doubek

12.10.2013, 14:00 - 19:00 Jan Dufek

týden 30.9 - 6.10

1.10.2013, 20:00 - 21:00 Pavol Vittek

5.10.2013, 13:00 - 17:00 Barbora Svobodová

5.10.2013, 17:00 - 19:00 Matúš Koperniech

týden 23.9 - 29.9

26.9.2013, 17:15 - 21:30 Pavol Vittek

26.9.2013, 14:00 - 17:00 Martin Doubek

27.9.2013, 12:00 - 14:00 Pavol Vittek

28.9.2013, 10:00 - 15:00 Aleš Jíra

týden 16.9 - 22.9

20. 9. 2013, 14:00 - 17:00 Martin Červenka

19. 9. 2013, 15:00 - 20:00 Peter Antolík

18. 9. 2013, 14:00 - 19:00 Michal Býna

týden 9.9 - 15.9

13.9.2013, 10:00 - 11:30 Ondřej Novotný

9.9.2013, 18:00 - 22:00 Barbora Svobodová

6.9.2013, 17:00 - 22:00 Pavol Vittek

týden 2.9 - 8.9

5. 9. 2013, 13:00 - 18:00 Michal Býna

týden 26.8 - 1.9
29.8.2013, 10:00 - 15:00 Pavol Vittek

týden 19.8 - 25.8
22.8.2013, 10:00 - 15:00 Pavol Vittek

21.8.2013, 15:00 - 20:00 Pavol Vittek

20.8.2013, 18:30 - 20:00 Ondřej Novotný

týden 12.8 - 18.8
17.8.2013, 15:00 - 17:30 Ondřej Novotný

12.8. 2013, 14:00 - 19:00 Michal Býna

týden 5.8 - 11.8
6.8.2013, 18:00 - 22:00 Barbora Svobodová

10.8.2013, 15:00 - 20:00 Marek Votroubek

KLUB:kalendare

2014-09-11T13:20:05Z

Tomassrna: /* SH events */

{{neaktualni}}

= SH kalendare =

=== SH events ===
Udalosti zajimave pro kazdeho clena

https://zimbra.sh.cvut.cz/service/user/admin@zimbra.sh.cvut.cz/SH%20events.html

[[Soubor:appstore.png]] [https://itunes.apple.com/cz/app/silicon-hill/id914062054?mt=8&uo=4 Silicon Hill aplikace pro iOS - kontakty, události, MHD]

=== rezervace na [[KLUB:Sluzby:Grilovací centrum|Grilovací centrum]] ===

[https://mbox.sh.cvut.cz/home/silicongrill@mbox.sh.cvut.cz/SiliconGrill.html https://mbox.sh.cvut.cz/home/silicongrill@mbox.sh.cvut.cz/SiliconGrill.html]

=== SH vedeni ===
Schuze, schuzky, zasedani vedeni klubu a vetsi schuzky jednotlivych sekci

https://zimbra.sh.cvut.cz/service/user/admin@zimbra.sh.cvut.cz/vedeni.html

= FAQ =

=== Co je to ta zimbra? ===

wiki stranka - under construction: [[Zimbra|Zimbra]]

=== Jak vytvorit event v klubovne? ===

[[Soubor:Zimbra-kalendar.jpg]]

VEDENI:Servis:TelefonySH

2014-09-11T13:19:25Z

Tomassrna: /* Aktuální seznam přidělených klubových telefonů */

= Aktuální seznam přidělených klubových telefonů =

[[Soubor:Google_Play.png|150px]] [https://play.google.com/store/apps/details?id=cz.brozikcz.sh Silicon Hill aplikace pro Android - synchronizace kontaktů a událostí]

[[Soubor:appstore.png]] [https://itunes.apple.com/cz/app/silicon-hill/id914062054?mt=8&uo=4 Silicon Hill aplikace pro iOS - kontakty, události, MHD]

<PhonesSH></PhonesSH>

= Pravidla předání a vrácení telefonu =
== Předání telefonu (SIM karty) ==
* 1. Poslat na kancelar@siliconhill.cz osobní údaje (Jméno Příjmení, datum narození, adresa trvalého bydliště). Pozn.: pouze při přebírání.
* 2. Počkat na schválení předsedou klubu a podepsat předávací protokol. Pozn.: Pouze při přebírání.
* 3. Zajít do Kanceláře klubu a podepsat připravený formulář a převzít/vrátit telefon (SIM kartu).

== Vrácení telefonu (SIM karty) ==
to do

Soubor:Appstore.png

2014-09-11T13:17:36Z

Tomassrna: Apple App Store

Apple App Store

Diskuse:Fotoatelier

2014-08-30T16:50:54Z

Tomassrna:

OZNAM:
Vo fotoateliéri je znovu namontovaná kamera.
Zaberá len priestor dverí. Kamera nenahráva zvuk a ani sa s ňou nedá otáčať na dialku.
Podpisom provozného řádu ste súhlasili s jej prítomnosťou.
Už máme nové blesky 2x Fomei Digitalis Pro 600 RF (návod: http://eshop.fomei.com/Files/N%C3%A1vod_Digitalis_PRO_CZ.pdf)
Pavol Vittek

Datum, čas od - do, jméno příjmení

týden 22.9. - 28.9.

týden 15.9. - 21.9.

týden 8.9. - 14.9.

týden 1.9. - 7.9.

Dodržujte prosím provozní řád fotoateliéru. Za nedodržanie dostanete BAN.
Jedná sa napr. o zametanie, úklid, vynesenie odpadkov, zapísanie sa na vrátnici - aj fotografované osoby ako návštevu atd...
Vittek

týden 25.8. - 31.8.

26.8.2014 19:00 - 20:00 Ivo Š.

27.8.2014 20:00 - 22:00 Pavol Vittek

30.8.2014 18:00 - 19:30 Pavol Vittek

týden 18.8. - 24.8.

19.8.2014 20:30 - 22:00 Kuba Spatny

21.8.2014 18:00 - 20:00 Michal Býna

týden 11.8. - 17.8.

11.8.2014 18:00 - 21:00 Kuba Spatny

13.8.2014 09:15 - 10:15 Ivo Š.

13.8.2014 17:25 - 17:45 Ivo Š.

týden 4.8. - 10.8.

4.8.2014 18:00 - 20:00 Tomas Srna

5.8.2014 19:00 - 22:00 Kuba Spatny

6.8.2014 18:00 - 22:00 Jaroslav Halgasik

7.8.2014 08:20 - 12:00 Jan Cermak

9.8.2014 14:00 - 15:00 Klara Skodova

9.8.2014 15:00 - 20:00 Pavol Vittek

10.8.2014 19:00 - 23:00 Pavol Vittek

týden 28.7. - 3.8.

30.7.2014 8:00 - 11:00 Aleš Daněk

30.7.2014 15:00 - 20:00 Jonáš Mejtský

1.8.2014 9:00 - 14:00 Martin Doubek

týden 21.7. - 27.7.

26.7.2014 13:00 - 18:00 Kuba Spatny

týden 14.7. - 20.7.

16.7.2014 13:00 - 14:00 Pavol Vittek

16.7.2014 16:00 - 19:00 Tomáš Švach

17.7.2014 12:30 - 17:30 Michal Býna

týden 7.7. - 13.7.

týden 30.6. - 6.7.
30.6. 2014 14:00 - 18:00 Jonáš Mejtský

30.6. + 1.7. Michal Býna - půjčím si jen malou odrazku, ateliér bude volný

týden 23.6. - 29.6.
26.6.2014 15:30 - 19:00 Martin Doubek

týden 16.6. - 22.6.

16.6.2014 19:00 - 20:00 Kuba Špatný

17.6.2014 9:00 - 12:00 Martin Doubek

17.6.2014 18:00 - 23:00 Pavol Vittek

18.6.2014 17:00 - 21:00 Kuba Špatný

20.6.2014 9:30 - 10:30 + 13:30 - 16:00 Michal Býna

21.6.2014 16:00 - 18:30 Michal Býna

týden 9.6. - 15.6.

9.6.2014 11:00 - 13:00 Daněk Aleš

12.6.2014 19:00 - 21:00 Pavol Vittek

týden 2.6. - 8.6.

4.6.2014 18:25 - 19:45 Ivo Š.

týden 26.5 - 1.6.

27.5.2014 20:00 - 21:00 Pavel Vitvar

28.5.2014 17:00 - 19:00 Ivo Š.

29.5.2014 10:15 - 12:30 Lucie Vonášková

29.5.2014 16:00 - 19:00 Jonáš Mejtský

30.5.2014 10:00 - 11:00 Daněk Aleš

31.5.2014 10:45 - 15:45 Michal Býna

31.5.2014 22:00 - 24:05 Pavol Vittek

týden 19.5 - 25.5.

22. 5. 2014 18:00 - 23:00 Pavol Vittek

týden 12.5 - 18.5

12.5.2014 11:15 - 13:00 Jan Čermák

14.5.2014 14:00 - 17:00 Petr Kaštánek

15.5.2014 20:00 - 21:00 Tomáš Srna

16.5.2014 20:00 - 23:00 Jonáš Mejtský

týden 5.5 - 11.5

5.5.2014, 21:15 - 23:00 Pavol Vittek

6.5.2014, 15:00 - 19:00 Martin Doubek

7.5.2014, 15:00 - 18:00 Martin Doubek

10.5.2014, 9:00 - 12:00 Ondřej Hrstka

týden 28.4 - 4.5
28.4.2014, 17:30 - 21:00 Jan Dufek

29.4.2014, 19:00 - 22:30 Petr Kaštánek

1.5.2014, 9:00 - 15:00 Jan Dufek

1.5.2014, 15:00 - 17:00 Pavol Vittek

1.5.2014, 18:00 - 20:00 Jan Čermák

týden 21.4 - 27.4
22.4.2014, 13:00 - 17:00 Jonáš Mejtský

23.4.2014, 18:00 - 22:00 Jaroslav Halgasik

27.4.2014, 13:00 - 20:00 Jan Dufek

týden 14.4 - 20.4
14.4.2014 - 19:00 - 21:00 Pavel Vitvar

17.4.2014 - 18:30 - 22:30 Petr Kaštánek

18.4.2014, 14:00 - 21:00 Marek Votroubek

18.4.2014, 10:00 - 15:00 Pavol Vittek

19.4.2014, 9:00 - 12:00 Marek Votroubek

19.4.2014, 12:00 - 17:00 Pavol Vittek

týden 7.4 - 13.4

7.4.2014 - 13:00 - 18:00 Marek Votroubek

7.4.2014, 18:00 - 22:00 Jan Dufek

8.4.2014, 08:30-11:00 Jan Čermák

9.4.2014, 17:30-22:00 Jaroslav Halgasik

10.4.2014, 17:00 - 22:00 Jonáš Mejtský

10.4.2014, 22:00 - 23:00 Pavol Vittek

11.4.2014, 9:00 - 14:00 Pavol Vittek

týden 31.3 - 6.4

31. 3. 2014, 18:00 - 21:00 Karel Vojkovsky

1.4. 2014, 17:00 - 21:00 Pavol Vittek

2. 4. 2014, 11:30 - 15:30 Michal Býna

2. 4. 2014, 17:15 - 21:00 Jan Čermák

4. 4. 2014, 8:00 - 12:30 Pavol Vittek

4. 4. 2014, 13:00 - 17:00 Karel Vojkovsky

4. 4. 2014, 18:30 - 22:00 Jonáš Mejtský

týden 24.3 - 30.3

24. 3. 2014, 18:00 - 22:00 Jan Dufek

26. 3. 2014, 20:00 - 21:00 Klára Škodová

27. 3. 2014, 18:30 - 23:00 Jan Čermák

28. 3. 2014, 18:00 - 20:30 Karel Vojkovsky

týden 17.3 - 23.3

22. 3. 2014, 10:00 - 15:00 Pavol Vittek

týden 10.3 - 16.3

12.3.2014, 9:45 - 13:00 Lucie Vonášková

13.3.2014, 15:00 - 18:00 Marek Votroubek

15.3.2014, 14:00 - 19:00 Michal Býna

16.3.2014, 16:00 - 18:00 Ondřej Hrstka

týden 3.3 - 9.3
4.3.2014, 17:00 - 20:00 Martin Doubek

5.3.2014, 16:00 - 18:00 Marek Votroubek

5.3.2014, 18:00 - 22:00 Lucie Vonášková

6.3.2014, 10:00 - 12:00 Martin Červenka

7.3.2014, 13:00 - 18:00 Lucie Vonášková

8.3.2014, 9:00 - 13:00 Ondřej Hrstka

týden 24.2 - 2.3

26.2.2014, 18:00 - 21:00 Aleš Daněk

27.2.2014, 11:00 - 16:00 Martin Červenka

28.2.2014, 17:00 - 21:00 Barbora Svobodová

1.3.2014, 14:00 - 19:00 Barbora Svobodová

týden 17.2 - 23.2

19. 2. 2014, 10:00-15:00 Marek Votroubek

19. 2. 2014, 18:30-20:00 Ondřej Novotný

20. 2. 2014, 11:00 - 16:00 Martin Červenka

21. 2. 2014, 15:00 - 18:00 Matus Koperniech

22. 2. 2014, 09:00 - Ondřej Hrstka

týden 10.2 - 16.2

11. 2. 2014, 18:00- 22:00 Jan Čermák

13. 2. 2014, 9:30 - 13:30 Michal Býna

13. 2. 2014, 18:00 - 22:00 Aleš Daněk

14. 2. 2014, 09:00 - 12:30 Jan Čermák

14. 2. 2014, 13:00 - 17:00 Pavol Vittek

14.2.2014, 17:00 - 23:00 Martin Hanes

15. 2.2014, 17:00 - 23:00 Pavol Vittek

16.2.2014, 11:00 - 14:00 Aleš Jíra

týden 3.2 - 9.2.

3.2.2014, 13:00 - 17:00, Martin Červenka

4.2.2014, 16:00 - 20:00, Martin Červenka

6.2.2014, 15:00 - 18:00, Martin Červenka

8.2.2014, 18:00 - 23:00, Pavol Vittek

týden 27.1 - 2.2
1.2.2014, 9:30 - 11:45 Aleš Jíra

2.2.2014, 12:00 - 17:00 Pavel Krásenský

týden 20.1 - 26.1
21.1.2014, 16:00 - 19:00 Martin Doubek

22.1.2014, 19:00 - 23:00 Pavol Vittek

23.1.2014, 12:00 - 16:45 Pavol Vittek

23.1.2014, 17:00 - 20:00 Matus Koperniech

24.1.2014, 13:45 - 18:45 Martin Červenka

25.1.2014, 15:00 - 20:00 Pavol Vittek

týden 13.1 - 19.1

16.1.2014, 10:00 - 15:00 Pavol Vittek

18.1.2014, 15:00 - 19:00 Martin Červenka

týden 6.1 - 12.1

7.1.2014, 18:00 - 21:00 Martin Červenka

8.1.2014, 21:30 - 23:00 Pavel Vitvar

9.1.2014, 13:00 - 18:00 Pavol Vittek

9.1.2014, 19:00 - 23:00 Martin Hanes

11.1.2014, 17:00 - 20:00 Matus Koperniech - zrusene, choroba

týden 30.12 - 5.1

5.1.2014, 15:00 - 18:00 Klára Škodová

týden 23.12 - 29.12

týden 16.12 - 22.12
16.12.2013, 17:00 - 22:00 Pavol Vittek

19.12.2013, 15:00 - 19:00 Michal Býna

týden 9.12 - 15.12
10.12.2013, 16:00 - 18:30 Marek Votroubek

11.12.2013, 15:30 - 20:00 Michal Býna

11.12.2013, 20:00 - 23:00 Pavol Vittek

12.12.2013, 19:00 - 22:00 Pavel Vitvar

14.12.2013, 11:00 - 14:00 Pavel Vitvar

15.12.2013, 15:00 - 17:00 Jan Dufek

týden 2.12 - 8.12

3.12.2013, 11:00 - 14:20 Pavol Vittek

3.12.2013, 14:30 - 18:00 Martin Doubek

3.12.2013, 18:30 - 20:30 Matus Koperniech

4.12.2013, 15:00 - 18:00 Martin Doubek

4.12.2013, 18:00 - 21:00 Martin Hanes

7.12.2013, 08:30 - 12:30 Martin Červenka

7.12.2013, 16:00 - 21:00 Marek Votroubek

8.12.2013, 09:00 - 13:00 Martin Červenka

8.12.2013, 15:00 - 20:00 Barbora Svobodová

8.12.2013, 20:30 - 21:15 Pavol Vittek

týden 25.11 - 1.12

26.11.2013, 13:00 - 18:00 Pavol Vittek

01.12.2013, 10:00 - 14:00 Martin Červenka

týden 18.11 - 24.11

18.11.2013, 10:00 - 14:00 Martin Červenka

18.11.2013, 18:00 - 20:00 Ondřej Novotný

19.11.2013, 18:00 - 21:00 Martin Doubek

21.11.2013, 11:00 - 14:00 Martin Červenka

21.11.2013, 19:00 - 22:00 Chip

22.11.2013, 09:00 - 12:00 Martin Červenka + Martin Borýsek

23.11.2013, 15:00 - 18:00 Matúš Koperniech

24.11.2013, 11:00 - 13:00 Klára Škodová

24.11.2013, 13:00 - 18:00 Barbora Svobodová

24.11.2013, 18:00 - 23:00 Pavol Vittek

týden 11.11 - 17.11

13.11.2013, 16:30 - 18:30 Martin Červenka

13.11.2013, 19:00 - 22:00 Lukáš Březina

14.11.2013, 09:30 - 13:30 Martin Červenka

15.11.2013, 19:00 - 22:00 Miroslav Šos

16.11.2013, 13:00 - 16:00 Miroslav Šos

16.11.2013, 18:00 - 21:00 Matúš Koperniech

týden 4.11 - 10.11

4.11.2013, 18:00 - 22:00 Ondřej Hrstka

6.11.2013, 07:00 - 10:30 Martin Červenka

6.11.2013, 20:00 - 23:00 Pavol Vittek montovanie kamery

7.11.2013, 15:30 - 18:30 Matúš Koperniech

7.11.2013, 19:00 - 22:00 Lukáš Březina

10.11.2013, 11:00 - 15:00 Pavol Vittek

10.11.2013, 15:00 - 21:00 Karel Vojkovský

týden 28.10 - 3.11

30.10.2013, 10.00 - 15.00 Marek Votroubek

30.10.2013, 15:00 - 19:00 Martin Červenka RUŠÍM (onemocnělá modelka)

30.10.2013, 20:00 - 22:00 Lukáš Březina

3.11.2013, 9:00 - 13:00 Barbora Svobodová

3.11.2013, 20:00 - 23:00 Pavol Vittek

týden 21.10 - 27.10

21.10.2013, 17:00 - 23:00 Pavol Vittek

22.10.2013, 18:00 - 23:00 Martin Hanes

23.10.2013, 08:00 - 11:00 Martin Červenka

23.10.2013, 19:00 - 22:00 Lukáš Březina

24.10.2013, 13:00 - 16:00 Martin Doubek

24.10.2013, 17:00 - 22:00 Barbora Svobodová

25.10.2013, 11:30 - 14:00 Marek Votroubek

25.10.2013, 20:00 - 23:00 Pavol Vittek

týden 14.10 - 20.10

14.10.2013, 19:00 - 22:00 Pavol Vittek

16.10.2013, 17:00 - 20:00 Pavol Vittek

17.10.2013, 12:00 - 13:00 Pavol Vittek

17.10.2013, 13:00 - 18:00 Martin Červenka

18.10.2013, 15:30 - 17:30 Matus Kopeniech

19.10.2013, 15:00 - 20:00 Marek Votroubek

týden 7.10 - 13.10

7.10.2013, 14:30 - 15:30 Pavol Vittek

9.10.2013, 13:00 - 17:00 Martin Doubek

12.10.2013, 14:00 - 19:00 Jan Dufek

týden 30.9 - 6.10

1.10.2013, 20:00 - 21:00 Pavol Vittek

5.10.2013, 13:00 - 17:00 Barbora Svobodová

5.10.2013, 17:00 - 19:00 Matúš Koperniech

týden 23.9 - 29.9

26.9.2013, 17:15 - 21:30 Pavol Vittek

26.9.2013, 14:00 - 17:00 Martin Doubek

27.9.2013, 12:00 - 14:00 Pavol Vittek

28.9.2013, 10:00 - 15:00 Aleš Jíra

týden 16.9 - 22.9

20. 9. 2013, 14:00 - 17:00 Martin Červenka

19. 9. 2013, 15:00 - 20:00 Peter Antolík

18. 9. 2013, 14:00 - 19:00 Michal Býna

týden 9.9 - 15.9

13.9.2013, 10:00 - 11:30 Ondřej Novotný

9.9.2013, 18:00 - 22:00 Barbora Svobodová

6.9.2013, 17:00 - 22:00 Pavol Vittek

týden 2.9 - 8.9

5. 9. 2013, 13:00 - 18:00 Michal Býna

týden 26.8 - 1.9
29.8.2013, 10:00 - 15:00 Pavol Vittek

týden 19.8 - 25.8
22.8.2013, 10:00 - 15:00 Pavol Vittek

21.8.2013, 15:00 - 20:00 Pavol Vittek

20.8.2013, 18:30 - 20:00 Ondřej Novotný

týden 12.8 - 18.8
17.8.2013, 15:00 - 17:30 Ondřej Novotný

12.8. 2013, 14:00 - 19:00 Michal Býna

týden 5.8 - 11.8
6.8.2013, 18:00 - 22:00 Barbora Svobodová

10.8.2013, 15:00 - 20:00 Marek Votroubek

Ca

2014-08-28T06:55:42Z

Tomassrna: /* SU - SH (TCS) */

== CA - Certifikační autorita TERENA Certificate service - TCS (COMODO) ==
=== Aktuality ===
22. dubna 2013 doplněn návod dle aktuálních informací

20. ledna 2012 přidán návod na generování osobních certifikátů bez ověření totožnosti uživatele (plánujeme osobní certifikáty s ověřením totožnosti)

17. června 2011 byla obnovena možnost žádat o vydávání certifikátů. Vydávání certifikátů však může trvat delší dobu, než obvyklou.

15. března 2011 došlo k úspěnému útoku na jednu z RA pracujících pro COMODO. Na základě této události se pozastavuje vydávání TCS certifikátů do odvolání. Podrobnosti viz: http://www.comodo.com/Comodo-Fraud-Incident-2011-03-23.html

=== Důležité informace ===
* Certifikáty mohou generovat níže popsaným způsobem pouze součásti Studentské unie ČVUT (přesněji pouze správci jednotlivých serverů a služeb).
* Certifikáty COMODO generujte pro služby, které využívá '''minimálně 10 uživatelů''' a u služeb, které '''jsou v provozu'''.
* '''Není možné generovat jeden certifikát pro více rozdílných domén 2 řádu''' (tzn. není možné vygenerovat jeden certifikát sh.cvut.cz a siliconhill.cz, v takovém případě je nutné vygenerovat certifikáty dva).
* Žádost pro následný certifikát generujte '''nejdříve 14 dnů''' před dobou expirace platnosti stávajícího certifikátu.
* V případě dotazů či nesrovnalostí prosím kontaktujte [[Landa_Karel|Karla Landu (Charlie)]].

=== Domény *.cvut.cz ===

# Vyplnit žádost, která se nachází na [https://tcs.cesnet.cz/req/ https://tcs.cesnet.cz/req/]
# Pokud nemáte opodstatněný důvod, aby byla v certifikátu uvedena organizace (vyšší míra zabezpečení - '''doba vystavení takového certifikátu je 14 dní a více'''), vybírejte "běžný", bez uvedení organizace.
# Organizaci vybírejte ČVUT (O=Czech Technical University in Prague), může se stát, že systém neakceptuje vložení žádosti ze souboru. Zvolte pak první možnost - "ze schránky"
# Na váš e-mail vám přijde potvrzovací e-mail, '''který mi přepošlete na mou e-mailovou adresu:''' [mailto:charlie@sh.cvut.cz charlie@sh.cvut.cz] (prosím bez jakýchkoli změn v textu).
# Pro snadnější generegování certifikátů je možné použít [http://tools.cesnet-ca.cz/tcs-mkserverreq.phtml http://tools.cesnet-ca.cz/tcs-mkserverreq.phtml]
# Podrobnávod pro generování certifikátů naleznete na: [http://www.cesnet.cz/pki/cs/st-tcs-csr.html http://www.cesnet.cz/pki/cs/st-tcs-csr.html]
# Potom již stačí chvíli počkat, než se vše vyřídí. Obvykle je vše vyřízeno nejpozději do 3 pracovních dnů.
# Certifkát je možné stáhnout z internetových stránek: https://tcs.cesnet.cz/crt/?id=ID Místo '''ID''' doplňte číslo žádosti, které naleznete v potvrzovací žádosti.
# Po schválení a stáhnutí certifikátu doplňte na této internetové stránce datum vydání a datum platnosti vydaného certifikátu.

=== Ostatní domény vlastněné SU ===

# Vyplnit žádost, která se nachází na [https://tcs.cesnet.cz/req/ https://tcs.cesnet.cz/req/]
# Pokud nemáte opodstatněný důvod, aby byla v certifikátu uvedena organizace (vyšší míra zabezpečení - '''doba vystavení takového certifikátu je 14 dní a více'''), vybírejte "běžný", bez uvedení organizace.
# Organizaci vybírejte Studentská unie ČVUT, může se stát, že systém neakceptuje vložení žádosti ze souboru. Zvolte pak první možnost - "ze schránky"
# Na váš e-mail vám přijde potvrzovací e-mail, '''který mi přepošlete na mou e-mailovou adresu:''' [mailto:charlie@sh.cvut.cz charlie@sh.cvut.cz] (prosím bez jakýchkoli změn v textu).
# Pro snadnější generegování certifikátů je možné použít [http://tools.cesnet-ca.cz/tcs-mkserverreq.phtml http://tools.cesnet-ca.cz/tcs-mkserverreq.phtml]
# Podrobný návod pro generování certifikátů naleznete na: [http://www.cesnet.cz/pki/cs/st-tcs-csr.html http://www.cesnet.cz/pki/cs/st-tcs-csr.html]
# Potom již stačí chvíli počkat, než se vše vyřídí. Obvykle je vše vyřízeno nejpozději do 3 pracovních dnů.
# Certifkát je možné stáhnout z internetových stránek: https://tcs.cesnet.cz/crt/?id=ID Místo '''ID''' doplňte číslo žádosti, které naleznete v potvrzovací žádosti.
# Po schválení a stáhnutí certifikátu doplňte na této internetové stránce datum vydání a datum platnosti vydaného certifikátu.

=== Běžný certifikát s uvedením organizace ===
Pokud vyberete vystavení certifikátu s uvedením organizace (viz bod 2 návodu), bude bude celý proces trvat delší dobu, jelikož u těchto certifikátů je požadováno ověření organizace. Toto ověření probíhá telefonním hovorem na kontaktní tel. číslo dané organizace. Používejte tedy tuto možnost pouze pokud k tomu je opravdu opodstatněný důvod. Před touto samotnou akcí je nutné kontaktovat pověřeného administrátora organizace tj. [[Landa_Karel|Karla Landu (Charlie)]], aby dohodl potřebné termíny.

=== Instalace certifikátů ===
Návody jak certifikát nainstalovat naleznete na: http://pki.cesnet.cz/cs/st-tcs-server-install.html

=== Osobní certifikáty ===

# Vygenetování certifikátu - Na stránce http://www.comodo.com/home/email-security/free-email-certificate.php kliknete na "free download" a vyplníte potřebné údaje (doporučuji odškrtnout Comodo Newsletter, ať vám nechodí reklamy) a nechte vygenerovat certifikát (Key Size je doporučeno 2048 bit).
# Doručení e-mailu - Nejpozději do 24 hodin by vám měl na zadaný e-mail přijít e-mail s odkazem na certifikát. Na tento odkaz stačí kliknout. Je však nutné otevřít odkaz ve stjném prohlížeči, kde se generoval klíč.
# Export certifikátu z prohlížeče - Je nutné vygenerovaný klíč vyexportovat z prohlížeče kde byl certifikát vytvářen. U Internet Exploreru to je: Nástroje - možnosti internetu - Obsah - certifikáty - Osobní, tam budete mít osobní certifikát (nejspíše Usertrust). Klikněte na tento certifikát a dejte exportovat (nejlépe ve formátu cer). U prohlížeče Firefox je cesta k certifikátu: Nástroje - Možnosti - Rošířené - Šifrování - Certifikáty
# Import certifikátu do poštovního klienta Nastroje - nastavení účtu - vybrat poštovní účet položka zabezpečení - zobrazit certifikáty - importovat (a vybrat certifikát, který se v bodu 3 exportoval) potvrdit a z nabídky "vybrat..." importovane certifikaty, OK, OK

=== Seznam vydaných certifikatů ===
==== SU - SU (TCS) ====
{| border="1" cellspacing="0" cellpadding="4" align="center"
|-
! DNS
! platnost od
! platnost do
! revokace
! žadatel
|-
| mail.su.cvut.cz, lists.su.cvut.cz
| 5.5.2014
| 5.5.2017
|
| [[Michal Strnad]]
|}

==== SU - SH (TCS) ====
{| border="1" cellspacing="0" cellpadding="4" align="center"
|-
! DNS
! platnost od
! platnost do
! revokace
! žadatel
! číslo certifikátu
|-
| dc1.sh.cvut.cz
| 13.9.2012
| 14.9.2015
|
| [[Michal Naiman]]
|-
| dc2.sh.cvut.cz
| 13.9.2012
| 14.9.2015
|
| [[Michal Naiman]]
|-
| exchange.sh.cvut.cz, exchange2.sh.cvut.cz
| 11.4.2012
| 12.4.2015
|
| [[Martin Cetkovský]]
|-
| msdnaa.sh.cvut.cz, chimera.sh.cvut.cz, pegas.sh.cvut.cz
| 13.9.2012
| 14.9.2015
|
| [[Michal Naiman]]
|-
| virtual.sh.cvut.cz
| 13.9.2012
| 14.9.2015
|
| [[Michal Naiman]]
|-
| shell.sh.cvut.cz
| 1.10.2012
| 1.10.2015
|
| [[Václav Mach|Václav Mach]]
|-
| git.sh.cvut.cz
| 2.8.2012
| 3.8.2015
|
| [[Srna Tomáš]]
|-
| is.sh.cvut.cz
| 20.8.2012
| 21.8.2015
| 21.8.2012
| [[Robenek Bronislav]]
|-
| is.sh.cvut.cz, static.is.sh.cvut.cz, api.is.sh.cvut.cz
| 21.8.2012
| 22.8.2015
|
| [[Robenek Bronislav]]
|-
| static.is.sh.cvut.cz
| 21.8.2012
| 22.8.2015
| 21.8.2012
| [[Robenek Bronislav]]
|-
| svc.sh.cvut.cz
| 1.10.2012
| 1.10.2015
|
| [[Srna Tomáš]]
|-
| observium.sh.cvut.cz
| 27.5.2013
| 27.5.2016
|
| [[User:Gregy|Gregor Petr]]
|-
| piwik.sh.cvut.cz
| 17.7.2013
| 18.7.2015
|
| [[Robenek Bronislav]]
|-
| pm.sh.cvut.cz
| 17.7.2013
| 18.7.2015
|
| [[Robenek Bronislav]]
|-
| kancelar.sh.cvut.cz
| 17.7.2013
| 18.7.2015
|
| [[Robenek Bronislav]]
|-
| siliconhill.cz
| 2.8.2013
| 3.8.2015
|
| [[Robenek Bronislav]]
|-
| edu.sh.cvut.cz
| 23.8.2013
| 23.8.2016
|
| [[Srna Tomáš]]
|-
| asa.sh.cvut.cz, vpn.sh.cvut.cz
| 6.9.2013
| 6.9.2016
|
| [[Bohdal Viktor Bohuslav]]
|-
| jira.sh.cvut.cz
| 16.10.2013
| 16.10.2016
|
| [[Srna Tomáš]]
|-
| wlc.sh.cvut.cz
| 16.10.2013
| 16.10.2016
|
| [[Bohdal Viktor Bohuslav]]
|-
| mbox.sh.cvut.cz
| 16.10.2013
| 16.10.2016
|
| [[Václav Mach|Václav Mach]]
|-
| election.sh.cvut.cz
| 10.12.2013
| 10.12.2016
|
| [[Němec Petr]]
|-
| backup.sh.cvut.cz
| 17.12.2013
| 17.12.2016
|
| [[Stadler Jan]]
|-
| backup2.sh.cvut.cz
| 17.12.2013
| 17.12.2016
|
| [[Stadler Jan]]
|-
| fitko.siliconhill.cz
| 10.3.2014
| 10.3.2016
|
| [[Srna Tomáš]]
|-
| lists.sh.cvut.cz, chat.sh.cvut.cz, lists.su.cvut.cz, lists.isc.cvut.cz
| 18.7.2014
| 18.7.2017
|
| [[Římek Jakub]]
| [https://tcs.cesnet.cz/crt/?id=1405355526 1405355526]
|-
| storage.sh.cvut.cz
| 21.7.2014
| 21.7.2015
|
| [[Jakub Brož]]
| [https://tcs.cesnet.cz/crt/?id=1405932685 1405932685]
|-
| api-cache.sh.cvut.cz
| 31.7.2014
| 31.7.2016
|
| [[Srna Tomáš]]
| [https://tcs.cesnet.cz/crt/?id=1406716209 1406716209]
|-
| ldap.sh.cvut.cz
| 27.8.2014
|
|
| [[Kincl Vladimír]]
| [https://tcs.cesnet.cz/crt/?id=1407419842 1407419842]
|-
| skripta.sh.cvut.cz
|
|
|
| [[Brož Jakub]]
| [https://tcs.cesnet.cz/crt/?id=1409141487 1409141487]
|}

==== SU - POD (TCS) ====
{| border="1" cellspacing="0" cellpadding="4" align="center"
|-
! DNS
! platnost od
! platnost do
! revokace
! žadatel
|-
| imap.pod.cvut.cz
| 9.10.2012
| 10.10.2015
|
| Kobezda Jan
|-
|www.pod.cvut.cz
| 5.3.2014
| 5.3.2017
|
| Kobezda Jan
|}

==== SU - BUK (TCS) ====
{| border="1" cellspacing="0" cellpadding="4" align="center"
|-
! DNS
! platnost od
! platnost do
! revokace
! žadatel
! číslo certifikátu
|-
| radius.buk.cvut.cz
| 25. 06. 2012
| 25. 06. 2015
|
| Marek Šabo
|-
| unicorn.buk.cvut.cz, u.buk.cvut.cz
| 03. 10. 2011
| 03. 10. 2014
|
| Marek Šabo
|-
| mail.buk.cvut.cz, imap.buk.cvut.cz, smtp.buk.cvut.cz, lists.buk.cvut.cz
| 25. 01. 2013
| 25. 01. 2016
|
| Marek Šabo
|-
| web.buk.cvut.cz, webmail.buk.cvut.cz, volby.buk.cvut.cz, bax.buk.cvut.cz, zd.buk.cvut.cz, wiki.buk.cvut.cz
| 28. 01. 2013
| 28. 01. 2016
|
| Petr Marek
|-
| kristin.buk.cvut.cz, is.buk.cvut.cz
| 28. 07. 2014
| 28. 07. 2017
|
| Tomáš Kukrál
| [https://tcs.cesnet.cz/crt/?id=1406488606 1406488606]
|}

==== SU - MK (TCS) ====
{| border="1" cellspacing="0" cellpadding="4" align="center"
|-
! DNS
! platnost od
! platnost do
! revokace
! žadatel
|-
| admin.mk.cvut.cz, webmail.mk.cvut.cz
| 18.4.2012
| 19.4.2015
|
| Strnad Michal
|}

==== SU - SIN (TCS) ====
{| border="1" cellspacing="0" cellpadding="4" align="center"
|-
! DNS
! platnost od
! platnost do
! revokace
! žadatel
|-
| sin.cvut.cz, www.sin.cvut.cz, wiki.sin.cvut.cz, lust.sin.cvut.cz, imap.sin.cvut.cz, jabber.sin.cvut.cz, sinis.sin.cvut.cz
| 6.11.2012
| 7.11.2014
|
| Halenka Michal
|}

[[Category:Projekty]]

Diskuse:Fotoatelier

2014-08-04T10:01:42Z

Tomassrna:

OZNAM:
Vo fotoateliéri je znovu namontovaná kamera.
Zaberá len priestor dverí. Kamera nenahráva zvuk a ani sa s ňou nedá otáčať na dialku.
Podpisom provozného řádu ste súhlasili s jej prítomnosťou.
Už máme nové blesky 2x Fomei Digitalis Pro 600 RF (návod: http://eshop.fomei.com/Files/N%C3%A1vod_Digitalis_PRO_CZ.pdf)
Pavol Vittek

Datum, čas od - do, jméno příjmení

týden 11.8. - 17.8.

11.8.2014 18:00 - 21:00 Kuba Spatny

týden 4.8. - 10.8.

4.8.2014 18:00 - 20:00 Tomas Srna

5.8.2014 18:00 - 21:00 Kuba Spatny

6.8.2014 18:00 - 22:00 Jaroslav Halgasik

Dodržujte prosím provozní řád fotoateliéru. Za nedodržanie dostanete BAN.
Jedná sa napr. o zametanie, úklid, vynesenie odpadkov, zapísanie sa na vrátnici - aj fotografované osoby ako návštevu atd...
Vittek

týden 28.7. - 3.8.

30.7.2014 8:00 - 11:00 Aleš Daněk

30.7.2014 15:00 - 20:00 Jonáš Mejtský

1.8.2014 9:00 - 14:00 Martin Doubek

týden 21.7. - 27.7.

26.7.2014 13:00 - 18:00 Kuba Spatny

týden 14.7. - 20.7.

16.7.2014 13:00 - 14:00 Pavol Vittek

16.7.2014 16:00 - 19:00 Tomáš Švach

17.7.2014 12:30 - 17:30 Michal Býna

týden 7.7. - 13.7.

týden 30.6. - 6.7.
30.6. 2014 14:00 - 18:00 Jonáš Mejtský

30.6. + 1.7. Michal Býna - půjčím si jen malou odrazku, ateliér bude volný

týden 23.6. - 29.6.
26.6.2014 15:30 - 19:00 Martin Doubek

týden 16.6. - 22.6.

16.6.2014 19:00 - 20:00 Kuba Špatný

17.6.2014 9:00 - 12:00 Martin Doubek

17.6.2014 18:00 - 23:00 Pavol Vittek

18.6.2014 17:00 - 21:00 Kuba Špatný

20.6.2014 9:30 - 10:30 + 13:30 - 16:00 Michal Býna

21.6.2014 16:00 - 18:30 Michal Býna

týden 9.6. - 15.6.

9.6.2014 11:00 - 13:00 Daněk Aleš

12.6.2014 19:00 - 21:00 Pavol Vittek

týden 2.6. - 8.6.

4.6.2014 18:25 - 19:45 Ivo Š.

týden 26.5 - 1.6.

27.5.2014 20:00 - 21:00 Pavel Vitvar

28.5.2014 17:00 - 19:00 Ivo Š.

29.5.2014 10:15 - 12:30 Lucie Vonášková

29.5.2014 16:00 - 19:00 Jonáš Mejtský

30.5.2014 10:00 - 11:00 Daněk Aleš

31.5.2014 10:45 - 15:45 Michal Býna

31.5.2014 22:00 - 24:05 Pavol Vittek

týden 19.5 - 25.5.

22. 5. 2014 18:00 - 23:00 Pavol Vittek

týden 12.5 - 18.5

12.5.2014 11:15 - 13:00 Jan Čermák

14.5.2014 14:00 - 17:00 Petr Kaštánek

15.5.2014 20:00 - 21:00 Tomáš Srna

16.5.2014 20:00 - 23:00 Jonáš Mejtský

týden 5.5 - 11.5

5.5.2014, 21:15 - 23:00 Pavol Vittek

6.5.2014, 15:00 - 19:00 Martin Doubek

7.5.2014, 15:00 - 18:00 Martin Doubek

10.5.2014, 9:00 - 12:00 Ondřej Hrstka

týden 28.4 - 4.5
28.4.2014, 17:30 - 21:00 Jan Dufek

29.4.2014, 19:00 - 22:30 Petr Kaštánek

1.5.2014, 9:00 - 15:00 Jan Dufek

1.5.2014, 15:00 - 17:00 Pavol Vittek

1.5.2014, 18:00 - 20:00 Jan Čermák

týden 21.4 - 27.4
22.4.2014, 13:00 - 17:00 Jonáš Mejtský

23.4.2014, 18:00 - 22:00 Jaroslav Halgasik

27.4.2014, 13:00 - 20:00 Jan Dufek

týden 14.4 - 20.4
14.4.2014 - 19:00 - 21:00 Pavel Vitvar

17.4.2014 - 18:30 - 22:30 Petr Kaštánek

18.4.2014, 14:00 - 21:00 Marek Votroubek

18.4.2014, 10:00 - 15:00 Pavol Vittek

19.4.2014, 9:00 - 12:00 Marek Votroubek

19.4.2014, 12:00 - 17:00 Pavol Vittek

týden 7.4 - 13.4

7.4.2014 - 13:00 - 18:00 Marek Votroubek

7.4.2014, 18:00 - 22:00 Jan Dufek

8.4.2014, 08:30-11:00 Jan Čermák

9.4.2014, 17:30-22:00 Jaroslav Halgasik

10.4.2014, 17:00 - 22:00 Jonáš Mejtský

10.4.2014, 22:00 - 23:00 Pavol Vittek

11.4.2014, 9:00 - 14:00 Pavol Vittek

týden 31.3 - 6.4

31. 3. 2014, 18:00 - 21:00 Karel Vojkovsky

1.4. 2014, 17:00 - 21:00 Pavol Vittek

2. 4. 2014, 11:30 - 15:30 Michal Býna

2. 4. 2014, 17:15 - 21:00 Jan Čermák

4. 4. 2014, 8:00 - 12:30 Pavol Vittek

4. 4. 2014, 13:00 - 17:00 Karel Vojkovsky

4. 4. 2014, 18:30 - 22:00 Jonáš Mejtský

týden 24.3 - 30.3

24. 3. 2014, 18:00 - 22:00 Jan Dufek

26. 3. 2014, 20:00 - 21:00 Klára Škodová

27. 3. 2014, 18:30 - 23:00 Jan Čermák

28. 3. 2014, 18:00 - 20:30 Karel Vojkovsky

týden 17.3 - 23.3

22. 3. 2014, 10:00 - 15:00 Pavol Vittek

týden 10.3 - 16.3

12.3.2014, 9:45 - 13:00 Lucie Vonášková

13.3.2014, 15:00 - 18:00 Marek Votroubek

15.3.2014, 14:00 - 19:00 Michal Býna

16.3.2014, 16:00 - 18:00 Ondřej Hrstka

týden 3.3 - 9.3
4.3.2014, 17:00 - 20:00 Martin Doubek

5.3.2014, 16:00 - 18:00 Marek Votroubek

5.3.2014, 18:00 - 22:00 Lucie Vonášková

6.3.2014, 10:00 - 12:00 Martin Červenka

7.3.2014, 13:00 - 18:00 Lucie Vonášková

8.3.2014, 9:00 - 13:00 Ondřej Hrstka

týden 24.2 - 2.3

26.2.2014, 18:00 - 21:00 Aleš Daněk

27.2.2014, 11:00 - 16:00 Martin Červenka

28.2.2014, 17:00 - 21:00 Barbora Svobodová

1.3.2014, 14:00 - 19:00 Barbora Svobodová

týden 17.2 - 23.2

19. 2. 2014, 10:00-15:00 Marek Votroubek

19. 2. 2014, 18:30-20:00 Ondřej Novotný

20. 2. 2014, 11:00 - 16:00 Martin Červenka

21. 2. 2014, 15:00 - 18:00 Matus Koperniech

22. 2. 2014, 09:00 - Ondřej Hrstka

týden 10.2 - 16.2

11. 2. 2014, 18:00- 22:00 Jan Čermák

13. 2. 2014, 9:30 - 13:30 Michal Býna

13. 2. 2014, 18:00 - 22:00 Aleš Daněk

14. 2. 2014, 09:00 - 12:30 Jan Čermák

14. 2. 2014, 13:00 - 17:00 Pavol Vittek

14.2.2014, 17:00 - 23:00 Martin Hanes

15. 2.2014, 17:00 - 23:00 Pavol Vittek

16.2.2014, 11:00 - 14:00 Aleš Jíra

týden 3.2 - 9.2.

3.2.2014, 13:00 - 17:00, Martin Červenka

4.2.2014, 16:00 - 20:00, Martin Červenka

6.2.2014, 15:00 - 18:00, Martin Červenka

8.2.2014, 18:00 - 23:00, Pavol Vittek

týden 27.1 - 2.2
1.2.2014, 9:30 - 11:45 Aleš Jíra

2.2.2014, 12:00 - 17:00 Pavel Krásenský

týden 20.1 - 26.1
21.1.2014, 16:00 - 19:00 Martin Doubek

22.1.2014, 19:00 - 23:00 Pavol Vittek

23.1.2014, 12:00 - 16:45 Pavol Vittek

23.1.2014, 17:00 - 20:00 Matus Koperniech

24.1.2014, 13:45 - 18:45 Martin Červenka

25.1.2014, 15:00 - 20:00 Pavol Vittek

týden 13.1 - 19.1

16.1.2014, 10:00 - 15:00 Pavol Vittek

18.1.2014, 15:00 - 19:00 Martin Červenka

týden 6.1 - 12.1

7.1.2014, 18:00 - 21:00 Martin Červenka

8.1.2014, 21:30 - 23:00 Pavel Vitvar

9.1.2014, 13:00 - 18:00 Pavol Vittek

9.1.2014, 19:00 - 23:00 Martin Hanes

11.1.2014, 17:00 - 20:00 Matus Koperniech - zrusene, choroba

týden 30.12 - 5.1

5.1.2014, 15:00 - 18:00 Klára Škodová

týden 23.12 - 29.12

týden 16.12 - 22.12
16.12.2013, 17:00 - 22:00 Pavol Vittek

19.12.2013, 15:00 - 19:00 Michal Býna

týden 9.12 - 15.12
10.12.2013, 16:00 - 18:30 Marek Votroubek

11.12.2013, 15:30 - 20:00 Michal Býna

11.12.2013, 20:00 - 23:00 Pavol Vittek

12.12.2013, 19:00 - 22:00 Pavel Vitvar

14.12.2013, 11:00 - 14:00 Pavel Vitvar

15.12.2013, 15:00 - 17:00 Jan Dufek

týden 2.12 - 8.12

3.12.2013, 11:00 - 14:20 Pavol Vittek

3.12.2013, 14:30 - 18:00 Martin Doubek

3.12.2013, 18:30 - 20:30 Matus Koperniech

4.12.2013, 15:00 - 18:00 Martin Doubek

4.12.2013, 18:00 - 21:00 Martin Hanes

7.12.2013, 08:30 - 12:30 Martin Červenka

7.12.2013, 16:00 - 21:00 Marek Votroubek

8.12.2013, 09:00 - 13:00 Martin Červenka

8.12.2013, 15:00 - 20:00 Barbora Svobodová

8.12.2013, 20:30 - 21:15 Pavol Vittek

týden 25.11 - 1.12

26.11.2013, 13:00 - 18:00 Pavol Vittek

01.12.2013, 10:00 - 14:00 Martin Červenka

týden 18.11 - 24.11

18.11.2013, 10:00 - 14:00 Martin Červenka

18.11.2013, 18:00 - 20:00 Ondřej Novotný

19.11.2013, 18:00 - 21:00 Martin Doubek

21.11.2013, 11:00 - 14:00 Martin Červenka

21.11.2013, 19:00 - 22:00 Chip

22.11.2013, 09:00 - 12:00 Martin Červenka + Martin Borýsek

23.11.2013, 15:00 - 18:00 Matúš Koperniech

24.11.2013, 11:00 - 13:00 Klára Škodová

24.11.2013, 13:00 - 18:00 Barbora Svobodová

24.11.2013, 18:00 - 23:00 Pavol Vittek

týden 11.11 - 17.11

13.11.2013, 16:30 - 18:30 Martin Červenka

13.11.2013, 19:00 - 22:00 Lukáš Březina

14.11.2013, 09:30 - 13:30 Martin Červenka

15.11.2013, 19:00 - 22:00 Miroslav Šos

16.11.2013, 13:00 - 16:00 Miroslav Šos

16.11.2013, 18:00 - 21:00 Matúš Koperniech

týden 4.11 - 10.11

4.11.2013, 18:00 - 22:00 Ondřej Hrstka

6.11.2013, 07:00 - 10:30 Martin Červenka

6.11.2013, 20:00 - 23:00 Pavol Vittek montovanie kamery

7.11.2013, 15:30 - 18:30 Matúš Koperniech

7.11.2013, 19:00 - 22:00 Lukáš Březina

10.11.2013, 11:00 - 15:00 Pavol Vittek

10.11.2013, 15:00 - 21:00 Karel Vojkovský

týden 28.10 - 3.11

30.10.2013, 10.00 - 15.00 Marek Votroubek

30.10.2013, 15:00 - 19:00 Martin Červenka RUŠÍM (onemocnělá modelka)

30.10.2013, 20:00 - 22:00 Lukáš Březina

3.11.2013, 9:00 - 13:00 Barbora Svobodová

3.11.2013, 20:00 - 23:00 Pavol Vittek

týden 21.10 - 27.10

21.10.2013, 17:00 - 23:00 Pavol Vittek

22.10.2013, 18:00 - 23:00 Martin Hanes

23.10.2013, 08:00 - 11:00 Martin Červenka

23.10.2013, 19:00 - 22:00 Lukáš Březina

24.10.2013, 13:00 - 16:00 Martin Doubek

24.10.2013, 17:00 - 22:00 Barbora Svobodová

25.10.2013, 11:30 - 14:00 Marek Votroubek

25.10.2013, 20:00 - 23:00 Pavol Vittek

týden 14.10 - 20.10

14.10.2013, 19:00 - 22:00 Pavol Vittek

16.10.2013, 17:00 - 20:00 Pavol Vittek

17.10.2013, 12:00 - 13:00 Pavol Vittek

17.10.2013, 13:00 - 18:00 Martin Červenka

18.10.2013, 15:30 - 17:30 Matus Kopeniech

19.10.2013, 15:00 - 20:00 Marek Votroubek

týden 7.10 - 13.10

7.10.2013, 14:30 - 15:30 Pavol Vittek

9.10.2013, 13:00 - 17:00 Martin Doubek

12.10.2013, 14:00 - 19:00 Jan Dufek

týden 30.9 - 6.10

1.10.2013, 20:00 - 21:00 Pavol Vittek

5.10.2013, 13:00 - 17:00 Barbora Svobodová

5.10.2013, 17:00 - 19:00 Matúš Koperniech

týden 23.9 - 29.9

26.9.2013, 17:15 - 21:30 Pavol Vittek

26.9.2013, 14:00 - 17:00 Martin Doubek

27.9.2013, 12:00 - 14:00 Pavol Vittek

28.9.2013, 10:00 - 15:00 Aleš Jíra

týden 16.9 - 22.9

20. 9. 2013, 14:00 - 17:00 Martin Červenka

19. 9. 2013, 15:00 - 20:00 Peter Antolík

18. 9. 2013, 14:00 - 19:00 Michal Býna

týden 9.9 - 15.9

13.9.2013, 10:00 - 11:30 Ondřej Novotný

9.9.2013, 18:00 - 22:00 Barbora Svobodová

6.9.2013, 17:00 - 22:00 Pavol Vittek

týden 2.9 - 8.9

5. 9. 2013, 13:00 - 18:00 Michal Býna

týden 26.8 - 1.9
29.8.2013, 10:00 - 15:00 Pavol Vittek

týden 19.8 - 25.8
22.8.2013, 10:00 - 15:00 Pavol Vittek

21.8.2013, 15:00 - 20:00 Pavol Vittek

20.8.2013, 18:30 - 20:00 Ondřej Novotný

týden 12.8 - 18.8
17.8.2013, 15:00 - 17:30 Ondřej Novotný

12.8. 2013, 14:00 - 19:00 Michal Býna

týden 5.8 - 11.8
6.8.2013, 18:00 - 22:00 Barbora Svobodová

10.8.2013, 15:00 - 20:00 Marek Votroubek

Diskuse:Fotoatelier

2014-05-15T17:53:48Z

Tomassrna:

OZNAM:

Vo fotoateliéri je znovu namontovaná kamera.

Zaberá len priestor dverí. Kamera nenahráva zvuk a ani sa s ňou nedá otáčať na dialku.

Podpisom provozného řádu ste súhlasili s jej prítomnosťou.

Už máme nové blesky 2x Fomei Digitalis Pro 600 RF (návod: http://eshop.fomei.com/Files/N%C3%A1vod_Digitalis_PRO_CZ.pdf)

Pavol Vittek

AKCE:

Datum, čas od - do, jméno příjmení

týden 26.5 - 1.6

týden 19.5 - 25.5

22. 5. 2014 18:00 - 23:00 Pavol Vittek

týden 12.5 - 18.5

12.5.2014 11:15 - 13:00 Jan Čermák

14.5.2014 14:00 - 17:00 Petr Kaštánek

15.5.2014 20:00 - 21:00 Tomáš Srna

týden 5.5 - 11.5

Dodržujte prosím provozní řád fotoateliéru. Za nedodržanie dostanete BAN.
Jedná sa napr. o zametanie, úklid, vynesenie odpadkov, zapísanie sa na vrátnici - aj fotografované osoby ako návštevu atd...
Vittek

5.5.2014, 21:15 - 23:00 Pavol Vittek

6.5.2014, 15:00 - 19:00 Martin Doubek

7.5.2014, 15:00 - 18:00 Martin Doubek

10.5.2014, 9:00 - 12:00 Ondřej Hrstka

týden 28.4 - 4.5
28.4.2014, 17:30 - 21:00 Jan Dufek

29.4.2014, 19:00 - 22:30 Petr Kaštánek

1.5.2014, 9:00 - 15:00 Jan Dufek

1.5.2014, 15:00 - 17:00 Pavol Vittek

1.5.2014, 18:00 - 20:00 Jan Čermák

týden 21.4 - 27.4
22.4.2014, 13:00 - 17:00 Jonáš Mejtský

23.4.2014, 18:00 - 22:00 Jaroslav Halgasik

27.4.2014, 13:00 - 20:00 Jan Dufek

týden 14.4 - 20.4
14.4.2014 - 19:00 - 21:00 Pavel Vitvar

17.4.2014 - 18:30 - 22:30 Petr Kaštánek

18.4.2014, 14:00 - 21:00 Marek Votroubek

18.4.2014, 10:00 - 15:00 Pavol Vittek

19.4.2014, 9:00 - 12:00 Marek Votroubek

19.4.2014, 12:00 - 17:00 Pavol Vittek

týden 7.4 - 13.4

7.4.2014 - 13:00 - 18:00 Marek Votroubek

7.4.2014, 18:00 - 22:00 Jan Dufek

8.4.2014, 08:30-11:00 Jan Čermák

9.4.2014, 17:30-22:00 Jaroslav Halgasik

10.4.2014, 17:00 - 22:00 Jonáš Mejtský

10.4.2014, 22:00 - 23:00 Pavol Vittek

11.4.2014, 9:00 - 14:00 Pavol Vittek

týden 31.3 - 6.4

31. 3. 2014, 18:00 - 21:00 Karel Vojkovsky

1.4. 2014, 17:00 - 21:00 Pavol Vittek

2. 4. 2014, 11:30 - 15:30 Michal Býna

2. 4. 2014, 17:15 - 21:00 Jan Čermák

4. 4. 2014, 8:00 - 12:30 Pavol Vittek

4. 4. 2014, 13:00 - 17:00 Karel Vojkovsky

4. 4. 2014, 18:30 - 22:00 Jonáš Mejtský

týden 24.3 - 30.3

24. 3. 2014, 18:00 - 22:00 Jan Dufek

26. 3. 2014, 20:00 - 21:00 Klára Škodová

27. 3. 2014, 18:30 - 23:00 Jan Čermák

28. 3. 2014, 18:00 - 20:30 Karel Vojkovsky

týden 17.3 - 23.3

22. 3. 2014, 10:00 - 15:00 Pavol Vittek

týden 10.3 - 16.3

12.3.2014, 9:45 - 13:00 Lucie Vonášková

13.3.2014, 15:00 - 18:00 Marek Votroubek

15.3.2014, 14:00 - 19:00 Michal Býna

16.3.2014, 16:00 - 18:00 Ondřej Hrstka

týden 3.3 - 9.3
4.3.2014, 17:00 - 20:00 Martin Doubek

5.3.2014, 16:00 - 18:00 Marek Votroubek

5.3.2014, 18:00 - 22:00 Lucie Vonášková

6.3.2014, 10:00 - 12:00 Martin Červenka

7.3.2014, 13:00 - 18:00 Lucie Vonášková

8.3.2014, 9:00 - 13:00 Ondřej Hrstka

týden 24.2 - 2.3

26.2.2014, 18:00 - 21:00 Aleš Daněk

27.2.2014, 11:00 - 16:00 Martin Červenka

28.2.2014, 17:00 - 21:00 Barbora Svobodová

1.3.2014, 14:00 - 19:00 Barbora Svobodová

týden 17.2 - 23.2

19. 2. 2014, 10:00-15:00 Marek Votroubek

19. 2. 2014, 18:30-20:00 Ondřej Novotný

20. 2. 2014, 11:00 - 16:00 Martin Červenka

21. 2. 2014, 15:00 - 18:00 Matus Koperniech

22. 2. 2014, 09:00 - Ondřej Hrstka

týden 10.2 - 16.2

11. 2. 2014, 18:00- 22:00 Jan Čermák

13. 2. 2014, 9:30 - 13:30 Michal Býna

13. 2. 2014, 18:00 - 22:00 Aleš Daněk

14. 2. 2014, 09:00 - 12:30 Jan Čermák

14. 2. 2014, 13:00 - 17:00 Pavol Vittek

14.2.2014, 17:00 - 23:00 Martin Hanes

15. 2.2014, 17:00 - 23:00 Pavol Vittek

16.2.2014, 11:00 - 14:00 Aleš Jíra

týden 3.2 - 9.2.

3.2.2014, 13:00 - 17:00, Martin Červenka

4.2.2014, 16:00 - 20:00, Martin Červenka

6.2.2014, 15:00 - 18:00, Martin Červenka

8.2.2014, 18:00 - 23:00, Pavol Vittek

týden 27.1 - 2.2
1.2.2014, 9:30 - 11:45 Aleš Jíra

2.2.2014, 12:00 - 17:00 Pavel Krásenský

týden 20.1 - 26.1
21.1.2014, 16:00 - 19:00 Martin Doubek

22.1.2014, 19:00 - 23:00 Pavol Vittek

23.1.2014, 12:00 - 16:45 Pavol Vittek

23.1.2014, 17:00 - 20:00 Matus Koperniech

24.1.2014, 13:45 - 18:45 Martin Červenka

25.1.2014, 15:00 - 20:00 Pavol Vittek

týden 13.1 - 19.1

16.1.2014, 10:00 - 15:00 Pavol Vittek

18.1.2014, 15:00 - 19:00 Martin Červenka

týden 6.1 - 12.1

7.1.2014, 18:00 - 21:00 Martin Červenka

8.1.2014, 21:30 - 23:00 Pavel Vitvar

9.1.2014, 13:00 - 18:00 Pavol Vittek

9.1.2014, 19:00 - 23:00 Martin Hanes

11.1.2014, 17:00 - 20:00 Matus Koperniech - zrusene, choroba

týden 30.12 - 5.1

5.1.2014, 15:00 - 18:00 Klára Škodová

týden 23.12 - 29.12

týden 16.12 - 22.12
16.12.2013, 17:00 - 22:00 Pavol Vittek

19.12.2013, 15:00 - 19:00 Michal Býna

týden 9.12 - 15.12
10.12.2013, 16:00 - 18:30 Marek Votroubek

11.12.2013, 15:30 - 20:00 Michal Býna

11.12.2013, 20:00 - 23:00 Pavol Vittek

12.12.2013, 19:00 - 22:00 Pavel Vitvar

14.12.2013, 11:00 - 14:00 Pavel Vitvar

15.12.2013, 15:00 - 17:00 Jan Dufek

týden 2.12 - 8.12

3.12.2013, 11:00 - 14:20 Pavol Vittek

3.12.2013, 14:30 - 18:00 Martin Doubek

3.12.2013, 18:30 - 20:30 Matus Koperniech

4.12.2013, 15:00 - 18:00 Martin Doubek

4.12.2013, 18:00 - 21:00 Martin Hanes

7.12.2013, 08:30 - 12:30 Martin Červenka

7.12.2013, 16:00 - 21:00 Marek Votroubek

8.12.2013, 09:00 - 13:00 Martin Červenka

8.12.2013, 15:00 - 20:00 Barbora Svobodová

8.12.2013, 20:30 - 21:15 Pavol Vittek

týden 25.11 - 1.12

26.11.2013, 13:00 - 18:00 Pavol Vittek

01.12.2013, 10:00 - 14:00 Martin Červenka

týden 18.11 - 24.11

18.11.2013, 10:00 - 14:00 Martin Červenka

18.11.2013, 18:00 - 20:00 Ondřej Novotný

19.11.2013, 18:00 - 21:00 Martin Doubek

21.11.2013, 11:00 - 14:00 Martin Červenka

21.11.2013, 19:00 - 22:00 Chip

22.11.2013, 09:00 - 12:00 Martin Červenka + Martin Borýsek

23.11.2013, 15:00 - 18:00 Matúš Koperniech

24.11.2013, 11:00 - 13:00 Klára Škodová

24.11.2013, 13:00 - 18:00 Barbora Svobodová

24.11.2013, 18:00 - 23:00 Pavol Vittek

týden 11.11 - 17.11

13.11.2013, 16:30 - 18:30 Martin Červenka

13.11.2013, 19:00 - 22:00 Lukáš Březina

14.11.2013, 09:30 - 13:30 Martin Červenka

15.11.2013, 19:00 - 22:00 Miroslav Šos

16.11.2013, 13:00 - 16:00 Miroslav Šos

16.11.2013, 18:00 - 21:00 Matúš Koperniech

týden 4.11 - 10.11

4.11.2013, 18:00 - 22:00 Ondřej Hrstka

6.11.2013, 07:00 - 10:30 Martin Červenka

6.11.2013, 20:00 - 23:00 Pavol Vittek montovanie kamery

7.11.2013, 15:30 - 18:30 Matúš Koperniech

7.11.2013, 19:00 - 22:00 Lukáš Březina

10.11.2013, 11:00 - 15:00 Pavol Vittek

10.11.2013, 15:00 - 21:00 Karel Vojkovský

týden 28.10 - 3.11

30.10.2013, 10.00 - 15.00 Marek Votroubek

30.10.2013, 15:00 - 19:00 Martin Červenka RUŠÍM (onemocnělá modelka)

30.10.2013, 20:00 - 22:00 Lukáš Březina

3.11.2013, 9:00 - 13:00 Barbora Svobodová

3.11.2013, 20:00 - 23:00 Pavol Vittek

týden 21.10 - 27.10

21.10.2013, 17:00 - 23:00 Pavol Vittek

22.10.2013, 18:00 - 23:00 Martin Hanes

23.10.2013, 08:00 - 11:00 Martin Červenka

23.10.2013, 19:00 - 22:00 Lukáš Březina

24.10.2013, 13:00 - 16:00 Martin Doubek

24.10.2013, 17:00 - 22:00 Barbora Svobodová

25.10.2013, 11:30 - 14:00 Marek Votroubek

25.10.2013, 20:00 - 23:00 Pavol Vittek

týden 14.10 - 20.10

14.10.2013, 19:00 - 22:00 Pavol Vittek

16.10.2013, 17:00 - 20:00 Pavol Vittek

17.10.2013, 12:00 - 13:00 Pavol Vittek

17.10.2013, 13:00 - 18:00 Martin Červenka

18.10.2013, 15:30 - 17:30 Matus Kopeniech

19.10.2013, 15:00 - 20:00 Marek Votroubek

týden 7.10 - 13.10

7.10.2013, 14:30 - 15:30 Pavol Vittek

9.10.2013, 13:00 - 17:00 Martin Doubek

12.10.2013, 14:00 - 19:00 Jan Dufek

týden 30.9 - 6.10

1.10.2013, 20:00 - 21:00 Pavol Vittek

5.10.2013, 13:00 - 17:00 Barbora Svobodová

5.10.2013, 17:00 - 19:00 Matúš Koperniech

týden 23.9 - 29.9

26.9.2013, 17:15 - 21:30 Pavol Vittek

26.9.2013, 14:00 - 17:00 Martin Doubek

27.9.2013, 12:00 - 14:00 Pavol Vittek

28.9.2013, 10:00 - 15:00 Aleš Jíra

týden 16.9 - 22.9

20. 9. 2013, 14:00 - 17:00 Martin Červenka

19. 9. 2013, 15:00 - 20:00 Peter Antolík

18. 9. 2013, 14:00 - 19:00 Michal Býna

týden 9.9 - 15.9

13.9.2013, 10:00 - 11:30 Ondřej Novotný

9.9.2013, 18:00 - 22:00 Barbora Svobodová

6.9.2013, 17:00 - 22:00 Pavol Vittek

týden 2.9 - 8.9

5. 9. 2013, 13:00 - 18:00 Michal Býna

týden 26.8 - 1.9
29.8.2013, 10:00 - 15:00 Pavol Vittek

týden 19.8 - 25.8
22.8.2013, 10:00 - 15:00 Pavol Vittek

21.8.2013, 15:00 - 20:00 Pavol Vittek

20.8.2013, 18:30 - 20:00 Ondřej Novotný

týden 12.8 - 18.8
17.8.2013, 15:00 - 17:30 Ondřej Novotný

12.8. 2013, 14:00 - 19:00 Michal Býna

týden 5.8 - 11.8
6.8.2013, 18:00 - 22:00 Barbora Svobodová

10.8.2013, 15:00 - 20:00 Marek Votroubek

Ca

2013-08-29T07:24:58Z

Tomassrna: /* SU - SH (TCS) */

== CA - Certifikační autorita TERENA Certificate service - TCS (COMODO) ==
=== Aktuality ===
22. dubna 2013 doplněn návod dle aktuálních informací

20. ledna 2012 přidán návod na generování osobních certifikátů bez ověření totožnosti uživatele (plánujeme osobní certifikáty s ověřením totožnosti)

17. června 2011 byla obnovena možnost žádat o vydávání certifikátů. Vydávání certifikátů však může trvat delší dobu, než obvyklou.

15. března 2011 došlo k úspěnému útoku na jednu z RA pracujících pro COMODO. Na základě této události se pozastavuje vydávání TCS certifikátů do odvolání. Podrobnosti viz: http://www.comodo.com/Comodo-Fraud-Incident-2011-03-23.html

=== Důležité informace ===
* Certifikáty mohou generovat níže popsaným způsobem pouze součásti Studentské unie ČVUT (přesněji pouze správci jednotlivých serverů a služeb).
* Certifikáty COMODO generujte pro služby, které využívá '''minimálně 10 uživatelů''' a u služeb, které '''jsou v provozu'''.
* '''Není možné generovat jeden certifikát pro více rozdílných domén 2 řádu''' (tzn. není možné vygenerovat jeden certifikát sh.cvut.cz a siliconhill.cz, v takovém případě je nutné vygenerovat certifikáty dva).
* Žádost pro následný certifikát generujte '''nejdříve 14 dnů''' před dobou expirace platnosti stávajícího certifikátu.
* V případě dotazů či nesrovnalostí prosím kontaktujte [[Landa_Karel|Karla Landu (Charlie)]].

=== Domény *.cvut.cz ===

# Vyplnit žádost, která se nachází na [https://tcs.cesnet.cz/req/ https://tcs.cesnet.cz/req/]
# Pokud nemáte opodstatněný důvod, aby byla v certifikátu uvedena organizace (vyšší míra zabezpečení), vybírejte "běžný, bez uvedení organizace".
# Organizaci vybírejte ČVUT (O=Czech Technical University in Prague), může se stát, že systém neakceptuje vložení žádosti ze souboru. Zvolte pak první možnost - "ze schránky"
# Na váš e-mail vám přijde potvrzovací e-mail, '''který mi přepošlete na mou e-mailovou adresu:''' [mailto:charlie@sh.cvut.cz charlie@sh.cvut.cz] (prosím bez jakýchkoli změn v textu).
# Pro snadnější generegování certifikátů je možné použít [http://tools.cesnet-ca.cz/tcs-mkserverreq.phtml http://tools.cesnet-ca.cz/tcs-mkserverreq.phtml]
# Podrobnávod pro generování certifikátů naleznete na: [http://www.cesnet.cz/pki/cs/st-tcs-csr.html http://www.cesnet.cz/pki/cs/st-tcs-csr.html]
# Potom již stačí chvíli počkat, než se vše vyřídí. Obvykle je vše vyřízeno nejpozději do 3 pracovních dnů.
# Po schválení a stáhnutí certifikátu doplňte na této internetové stránce datum vydání a datum platnosti vydaného certifikátu.

=== Ostatní domény vlastněné SU ===

# Vyplnit žádost, která se nachází na [https://tcs.cesnet.cz/req/ https://tcs.cesnet.cz/req/]
# Pokud nemáte opodstatněný důvod, aby byla v certifikátu uvedena organizace (vyšší míra zabezpečení), vybírejte "běžný, bez uvedení organizace".
# Organizaci vybírejte Studentská unie ČVUT, může se stát, že systém neakceptuje vložení žádosti ze souboru. Zvolte pak první možnost - "ze schránky"
# Na váš e-mail vám přijde potvrzovací e-mail, '''který mi přepošlete na mou e-mailovou adresu:''' [mailto:charlie@sh.cvut.cz charlie@sh.cvut.cz] (prosím bez jakýchkoli změn v textu).
# Pro snadnější generegování certifikátů je možné použít [http://tools.cesnet-ca.cz/tcs-mkserverreq.phtml http://tools.cesnet-ca.cz/tcs-mkserverreq.phtml]
# Podrobný návod pro generování certifikátů naleznete na: [http://www.cesnet.cz/pki/cs/st-tcs-csr.html http://www.cesnet.cz/pki/cs/st-tcs-csr.html]
# Potom již stačí chvíli počkat, než se vše vyřídí. Obvykle je vše vyřízeno nejpozději do 3 pracovních dnů.
# Po schválení a stáhnutí certifikátu doplňte na této internetové stránce datum vydání a datum platnosti vydaného certifikátu.

=== Běžný certifikát s uvedením organizace ===
Pokud vyberete vystavení certifikátu s uvedením organizace (viz bod 2 návodu), bude bude celý proces trvat delší dobu, jelikož u těchto certifikátů je požadováno ověření organizace. Toto ověření probíhá telefonním hovorem na kontaktní tel. číslo dané organizace. Používejte tedy tuto možnost pouze pokud k tomu je opravdu opodstatněný důvod. Před touto samotnou akcí je nutné kontaktovat pověřeného administrátora organizace tj. [[Landa_Karel|Karla Landu (Charlie)]], aby dohodl potřebné termíny.

=== Instalace certifikátů ===
Návody jak certifikát nainstalovat naleznete na: http://pki.cesnet.cz/cs/st-tcs-server-install.html

=== Osobní certifikáty ===

# Vygenetování certifikátu - Na stránce http://www.comodo.com/home/email-security/free-email-certificate.php kliknete na "free download" a vyplníte potřebné údaje (doporučuji odškrtnout Comodo Newsletter, ať vám nechodí reklamy) a nechte vygenerovat certifikát (Key Size je doporučeno 2048 bit).
# Doručení e-mailu - Nejpozději do 24 hodin by vám měl na zadaný e-mail přijít e-mail s odkazem na certifikát. Na tento odkaz stačí kliknout. Je však nutné otevřít odkaz ve stjném prohlížeči, kde se generoval klíč.
# Export certifikátu z prohlížeče - Je nutné vygenerovaný klíč vyexportovat z prohlížeče kde byl certifikát vytvářen. U Internet Exploreru to je: Nástroje - možnosti internetu - Obsah - certifikáty - Osobní, tam budete mít osobní certifikát (nejspíše Usertrust). Klikněte na tento certifikát a dejte exportovat (nejlépe ve formátu cer). U prohlížeče Firefox je cesta k certifikátu: Nástroje - Možnosti - Rošířené - Šifrování - Certifikáty
# Import certifikátu do poštovního klienta Nastroje - nastavení účtu - vybrat poštovní účet položka zabezpečení - zobrazit certifikáty - importovat (a vybrat certifikát, který se v bodu 3 exportoval) potvrdit a z nabídky "vybrat..." importovane certifikaty, OK, OK

=== Seznam vydaných certifikatů ===
==== SU - SH (TCS) ====
{| border="1" cellspacing="0" cellpadding="4" align="center"
|-
! DNS
! platnost od
! platnost do
! revokace
! žadatel
|-
| dc1.sh.cvut.cz
| 13.9.2012
| 14.9.2015
|
| [[Michal Naiman]]
|-
| dc2.sh.cvut.cz
| 13.9.2012
| 14.9.2015
|
| [[Michal Naiman]]
|-
| exchange.sh.cvut.cz, exchange2.sh.cvut.cz
| 11.4.2012
| 12.4.2015
|
| [[Martin Cetkovský]]
|-
| msdnaa.sh.cvut.cz, chimera.sh.cvut.cz, pegas.sh.cvut.cz
| 13.9.2012
| 14.9.2015
|
| [[Michal Naiman]]
|-
| virtual.sh.cvut.cz
| 13.9.2012
| 14.9.2015
|
| [[Michal Naiman]]
|-
| imap.sh.cvut.cz
| 15.10.2012
| 16.10.2013
|
| [[Radim Roška]]
|-
| shell.sh.cvut.cz
| 1.10.2012
| 1.10.2015
|
| [[Václav Mach|Václav Mach]]
|-
| election.sh.cvut.cz
| 22.11.2011
| 22.11.2013
|
| [[Hlavnička Tomáš]]
|-
| docmgr.sh.cvut.cz
| 23.8.2010
| 23.8.2013
|
| [[Čečák Ondřej]]
|-
| zimbra.sh.cvut.cz
| 18.1.2011
| 18.1.2014
|
| [[Radim Roška]]
|-
| lists.sh.cvut.cz, chat.sh.cvut.cz, lists.su.cvut.cz, lists.isc.cvut.cz
| 11.7.2011
| 11.7.2014
|
| [[Římek Jakub]]
|-
| gov.sh.cvut.cz, finance.sh.cvut.cz, majetek.sh.cvut.cz
| 23.2.2012
| 23.2.2014
|
| [[Robenek Bronislav]]

|-
| git.sh.cvut.cz
| 2.8.2012
| 3.8.2015
|
| [[Srna Tomáš]]
|-
| is.sh.cvut.cz
| 20.8.2012
| 21.8.2015
| 21.8.2012
| [[Robenek Bronislav]]
|-
| is.sh.cvut.cz, static.is.sh.cvut.cz, api.is.sh.cvut.cz
| 21.8.2012
| 22.8.2015
|
| [[Robenek Bronislav]]
|-
| static.is.sh.cvut.cz
| 21.8.2012
| 22.8.2015
| 21.8.2012
| [[Robenek Bronislav]]
|-
| svc.sh.cvut.cz
| 1.10.2012
| 1.10.2015
|
| [[Srna Tomáš]]
|-
| ldap.sh.cvut.cz
| 23.8.2013
| 24.8.2014
|
| [[Srna Tomáš]]
|-
| nms.siliconhill.cz
| 31.1.2013
| 1.2.2016
|
| Bangoura Moris
|-
| observium.sh.cvut.cz
| 27.5.2013
| 27.5.2016
|
| [[User:Gregy|Gregor Petr]]
|-
| piwik.sh.cvut.cz
| 17.7.2013
| 18.7.2015
|
| [[Robenek Bronislav]]
|-
| pm.sh.cvut.cz
| 17.7.2013
| 18.7.2015
|
| [[Robenek Bronislav]]
|-
| kancelar.sh.cvut.cz
| 17.7.2013
| 18.7.2015
|
| [[Robenek Bronislav]]
|-
| siliconhill.cz
| 2.8.2013
| 3.8.2015
|
| [[Robenek Bronislav]]
|-
| edu.sh.cvut.cz
| 23.8.2013
| 23.8.2016
|
| [[Srna Tomáš]]
|}

==== SU - POD (TCS) ====
{| border="1" cellspacing="0" cellpadding="4" align="center"
|-
! DNS
! platnost od
! platnost do
! revokace
! žadatel
|-
| imap.pod.cvut.cz
| 9.10.2012
| 10.10.2015
|
| Kobezda Jan
|-
|dusps.pod.cvut.cz
|10.12.2010
|09.12.2013
|
|Josef Bouda
|}

==== SU - BUK (TCS) ====
{| border="1" cellspacing="0" cellpadding="4" align="center"
|-
! DNS
! platnost od
! platnost do
! revokace
! žadatel
|-
| radius.buk.cvut.cz
| 25. 06. 2012
| 25. 06. 2015
|
| Marek Šabo
|-
| unicorn.buk.cvut.cz, u.buk.cvut.cz
| 03. 10. 2011
| 03. 10. 2014
|
| Marek Šabo
|-
| mail.buk.cvut.cz, imap.buk.cvut.cz, smtp.buk.cvut.cz, lists.buk.cvut.cz
| 25. 01. 2013
| 25. 01. 2016
|
| Marek Šabo
|-
| web.buk.cvut.cz, webmail.buk.cvut.cz, volby.buk.cvut.cz, bax.buk.cvut.cz, zd.buk.cvut.cz, wiki.buk.cvut.cz
| 28. 01. 2013
| 28. 01. 2016
|
| Petr Marek
|}

==== SU - MK (TCS) ====
{| border="1" cellspacing="0" cellpadding="4" align="center"
|-
! DNS
! platnost od
! platnost do
! revokace
! žadatel
|-
| admin.mk.cvut.cz, webmail.mk.cvut.cz
| 18.4.2012
| 19.4.2015
|
| Strnad Michal
|}

==== SU - SIN (TCS) ====
{| border="1" cellspacing="0" cellpadding="4" align="center"
|-
! DNS
! platnost od
! platnost do
! revokace
! žadatel
|-
| sin.cvut.cz, www.sin.cvut.cz, wiki.sin.cvut.cz, lust.sin.cvut.cz, imap.sin.cvut.cz, jabber.sin.cvut.cz, sinis.sin.cvut.cz
| 6.11.2012
| 7.11.2014
|
| Halenka Michal
|}

[[Category:Projekty]]

LDAP

2013-08-16T09:09:07Z

Tomassrna: /* Apache HTTP auth */

'''LDAP''' je protokol pro získávání/zapisování informací v stromové struktuře. Dnes se používá zejména pro jednotné přihlašování uživatelů do více aplikací.
[http://en.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol LDAP na wikipedii]

Klub Silicon Hill v rámci [[IS|ISu]] provozuje LDAP server, vůči kterým se můžou další aplikace ověřovat pomocí uživatelova hesla. Umožňujeme jak bind tak fastbind. Stávající implementace je pro všechny uživatele Read-only, veškeré změny uživatelských účtů je třeba dělat přes rozhraní informačního systému.

= Informace o serveru =

* Adresa: ldap.sh.cvut.cz
* Port: 636
* Používá SSL (ldaps://)
* Správce: [[Tomáš Srna]]
* Uživatelé v ou=People,dc=sh,dc=cvut,dc=cz
* Atribút uživateľského mena: uid
* Uživatel pro servery: cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz
* Heslo na vyžádání u správce
* Overenie cez userPassword, SSHA hash
* Vo výnimočných prípadoch možnosť NTLM overenia
* Důležité atributy uživatelů:
** uid: username
** givenName: křestní jméno
** sn: příjmení
** cn: celé jméno
** mail: ______@sh.cvut.cz
** SHservice: zaklad - Pro každou službu, kterou má uživatel aktivní, obsahuje Alias služby z ISu
** SHadmin: is1 - Pro každý server, kterého je uživatel správce
** SHmailExternal: _____@____.__ - Pro každý externí email, který si uživatel autorizoval pro odesílání
** SHrole: SHrole: nazev_role:rozsah | nazev_role - Pro každou roli / oprávnění v ISu existuje záznam SHrole, pokud není uvedena : jedná se o neomezené oprávnění, Příklady:
*** SHrole: registrator:wifi - Registrátor WiFi
*** SHrole: admin:10 - Admin B10
*** SHrole: admin - Admin neomezený
*** SHrole: service_admin:zimbra - Správce služby Zimbra
*** SHrole: mail_admin:su.cvut.cz - Správce mailů domény su.cvut.cz
*** Platné názvy rolí: registrator, tags_admin, cameras_admin, student_representative, extended_member, payments_admin, netadmin, dns_admin, service_admin, mail_admin, superuser, admin, secretary, roles_admin, card_readers_admin
*** Dokumentace k rolím: https://is.sh.cvut.cz/users/20288/user_roles

== Autentizačné módy ==

* FastBind - Bind priamo užívateľom, pod ktorým sa hlási náš klient
* uid={username},ou=People,dc=sh,dc=cvut,dc=cz
* {password}
* Bind cez auth-user
* Horeuvedené údaje
* Vhodné pre mnohonásobné overovanie užívateľov s použitím jediného spojenia.

= Prerekvizita SSL =

'''Dôležité!''' Na Linuxe pokiaľ sa používajú ldap knižnice z OS (používa ich OS samotný, PHP, ...), je potrebné pridať certifikát autority.

Postup je nasledovný:

* V /etc/ldap/ldap.conf pridáme riadok
TLS_CACERT /etc/ssl/certs/ldap.pem

* Do spomínaného súboru /etc/ssl/certs/ldap.pem vložíme certifikát autority AddTrust:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

= Příklady použití / nastavení =

== LDAP Kontakty v Telefonu ==

'''iPhone'''
Nastavení -> Pošta, Kontakty, Kalendáře -> Přidat účet -> Jiný -> "Přidat účet LDAP"
* Server: ldap.sh.cvut.cz
* Uživatel: uid=**tvůj username**,ou=People,dc=sh,dc=cvut,dc=cz
* Heslo: Tvé heslo do ISu
* Popis: ldap.sh.cvut.cz
* Použít SSL: Ano
* Kritéria hledání: dc=sh,dc=cvut,dc=cz

'''Android''' - byla použita aplikace Constacts in line s pluginem Contacts LDAP

# stáhnout a naistalovat aplikaci Contacts in line - https://play.google.com/store/apps/details?id=fr.prados.contacts&feature=more_from_developer#?t=W251bGwsMSwxLDEwMiwiZnIucHJhZG9zLmNvbnRhY3RzIl0.
# stáhnout a nainstalovat plugin Contacts LDAP - https://play.google.com/store/apps/details?id=fr.prados.contacts.providers.ldap.generic.beta&hl=cs.
# spustit aplikaci Contacts in line
# dát tlačítko "volby" na mobilu (vpravo dole)
# volba "Accounts"
# vybrat "LDAP inline"
# LDAP host name: ldap.sh.cvut.cz
# vyplnit informace
* Username: uid="tvůj username do ISu",ou=People,dc=sh,dc=cvut,dc=cz
* Password: "heslo do ISu"
* Security: SSL
* Base DN: "ou=People,dc=sh,dc=cvut,dc=cz"

== LDAP z příkazové řádky - ldapsearch ==

<pre>
# Balíček
aptitude install ldap-utils

# ~ Fastbind (zepta se na heslo pro username)
ldapsearch -h ldap.sh.cvut.cz -b "dc=sh,dc=cvut,dc=cz" -D "uid=username,ou=People,dc=sh,dc=cvut,dc=cz" -W uid=username

# ~ Bind (se systémovým účtem)
ldapsearch -h ldap.sh.cvut.cz -b "dc=sh,dc=cvut,dc=cz" -D "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz" -w *heslo_auth_usera* uid=username
</pre>

== Zend_Auth_Adapter_Ldap ==

'''application.ini'''
<pre>
ldap.is.host = ldap.sh.cvut.cz
ldap.is.port = 636
ldap.is.useSsl = true
ldap.is.useStartTls = true

ldap.is.bindRequiresDn = true
ldap.is.baseDn = "ou=People,dc=sh,dc=cvut,dc=cz"
ldap.is.accountCanonicalForm = 2

ldap.is.username = "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz"
ldap.is.password = "********"
</pre>

'''Přiklad přihlášení v kontextu Zend_Controller_Action''', [http://framework.zend.com/manual/1.12/en/zend.auth.adapter.ldap.html Více v dokumentaci]
<pre>
$auth=new Zend_Auth();

$username=$this->_getParam("username");
$password=$this->_getParam("password");

$bootstrap = $this->getInvokeArg('bootstrap');
$config=$bootstrap->getOptions();
$options = $config["ldap"];

$authAdapter=new Zend_Auth_Adapter_Ldap($options,$username,$password);

$result=$auth->authenticate($authAdapter);

if($result->isValid()) {
$ldap=$authAdapter->getLdap();
$user = $ldap->getEntry("uid=".$username.",".$options["is"]["baseDn"]);
echo "Uzivatel prihlasen";
print_r($user);
}
else {
echo "Spatne jmeno nebo heslo";
}
</pre>

== Ruby - FastBind ==

<pre>
require 'rubygems'
require 'net/ldap'
require 'io/console'

puts "Username:"
username = gets
puts "Password:"
password = STDIN.noecho(&:gets)

ldap = Net::LDAP.new(:encryption => :simple_tls)
ldap.host = "ldap.sh.cvut.cz"
ldap.port = 636
ldap.base = "ou=People,dc=sh,dc=cvut,dc=cz"
ldap.auth "uid=#{username.strip},"+ldap.base, password.strip
if ldap.bind
puts "authentication succeeded"
p ldap.search(
base: "ou=People,dc=sh,dc=cvut,dc=cz",
filter: Net::LDAP::Filter.eq("uid", username.strip),
attributes: %w[ givenName sn email SHservice ],
return_result:true
).inspect
else
puts "authentication failed"
end
</pre>

== PHP - bez frameworku ==
<?php
$user = "tomassrna";
$pass = "...";
$ldapConn = ldap_connect("ldaps://ldap.sh.cvut.cz", 636);
if($ldapConn)
{
$ldapBind = ldap_bind($ldapConn, "uid=".$user.",ou=People,dc=sh,dc=cvut,dc=cz", $pass);
if($ldapBind)
echo "SUCCESS\n";
else
{
echo "FAILED: ";
echo ldap_error($ldapConn)."\n";
}
}

== Apache HTTP auth ==

Je nutne splnit prerekvizitu - viz. obsah wiki stranky.

<pre>

<Directory /var/www/*>
Options Indexes FollowSymLinks MultiViews

Order allow,deny
Deny from all

AuthType Basic
AuthBasicProvider ldap
AuthName "ldap auth"
AuthLDAPURL "ldaps://ldap.sh.cvut.cz:636/dc=sh,dc=cvut,dc=cz"

AuthzLDAPAuthoritative On
AuthLDAPBindAuthoritative On
AuthLDAPBindDN "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz"
AuthLDAPBindPassword "****************"

Require ldap-filter &(SHrole=netadmin)
Satisfy Any

</Directory>

</pre>

== Microsoft Visual C# ==

Tak toto bol tazky boj...

* Pridame reference System.DirectoryServices

<pre>
using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Threading.Tasks;
using System.DirectoryServices;
using System.Collections;

namespace LDAP
{
class Program
{
static void Main(string[] args)
{
Dictionary<string, string[]> attrs;
if ((attrs = shLdap("tomassrna", "xxxxxx",
new[] { "mail", "uid", "SHservice", "SHadmin" }, "(&(uid=tomassrna)(SHservice=net))")) != null)
{
Console.WriteLine("Auth success!");
// Priklad vypisu vsetkych atributov
foreach(KeyValuePair<string, string[]> kv in attrs)
{
string k = kv.Key;
foreach (string v in kv.Value)
{
Console.WriteLine(k + "=" + v);
}
}
// Priklad ziskania single value
Console.WriteLine("E-mail: " + attrs["mail"][0]);
// Priklad ziskania multi value
Console.WriteLine("Spravovane servery: ");
foreach (string s in attrs["shadmin"])
{
Console.WriteLine(s);
}
}
else
Console.WriteLine("Auth failed!");

Console.Read();
}
static Dictionary<string, string[]> shLdap(string username, string password, string[] attrs, string filter = "")
{
try
{
DirectoryEntry de = new DirectoryEntry("LDAP://ldap.sh.cvut.cz:636/OU=People,DC=sh,DC=cvut,DC=cz",
"uid=" + username + ",ou=People,dc=sh,dc=cvut,dc=cz", password,
AuthenticationTypes.SecureSocketsLayer);
DirectorySearcher ds = new DirectorySearcher(de);
if (filter == "")
ds.Filter = "(uid=" + username + ")";
else
ds.Filter = filter;
foreach (string attr in attrs)
ds.PropertiesToLoad.Add(attr);
SearchResult sr = ds.FindOne();

Dictionary<string, string[]> res = new Dictionary<string, string[]>();
foreach (string prop in sr.Properties.PropertyNames)
{
var ar = new List<string>();
foreach (object oval in sr.Properties[prop])
{
string val = "";
if (oval is string)
val = (string)oval;
else if(oval is Byte[])
val = Encoding.UTF8.GetString((Byte[])oval, 0, ((Byte[])oval).Length);
ar.Add(val);
}
res[prop] = (string[])ar.ToArray();
}
return res;
}
catch (Exception)
{
return null;
}
}
}
}
</pre>

== Linux - prihlasovanie uzivatelov ==

Existuje niekolko sposobov, ako nakonfigurovat LDAP prihlasovanie na Linuxe. Niektore cesty su strastiplne, nechas u nich vsetky svoje nervy a potis krv.
Podme si ukazat sposob, ktory je jednoduchy a funguje.

Hned na zaciatku by som podotkol, ze <pre>getent passwd</pre> nikdy nebude fungovat na zobrazenie vsetkych uzivatelov. Je to politika zabezpecenia SH LDAP, ktora hovori, ze pouzivany '''auth-user''' nema pravo vidiet vsetkych uzivatelov, moze len hladat a autentifikovat. To nam staci.

Pre debug pouzivaj
<pre>id tomassrna</pre>

'''Poznamka:''' Vsetko je testovane na cistej instalacii Debian Squeeze

=== Prerekvizita ===
[[#Prerekvizita SSL]]

=== NSS ===

NSS resolvuje ciselne uidNumber na meno uzivalela. Stara sa napr. o prikaz id, alebo pri listovani adresara zobrazi uzivatela miesto cisla.

Nainstalujeme balik libnss-ldap'''d''' (pozor, existuje aj libnss-ldap, ktory je stary a tazky na konfiguraciu)

<pre>
aptitude install libnss-ldapd
</pre>

Pocas instalacie sa nas modra obrazovka spyta na:
* '''Name services to configure:''' group, passwd, shadow
* '''Meno LDAP servera:''' ldaps://ldap.sh.cvut.cz
* '''Base:''' dc=sh,dc=cvut,dc=cz

Doladime /etc/nslcd.conf
<pre>
uri ldaps://ldap.sh.cvut.cz
base dc=sh,dc=cvut,dc=cz
ldap_version 3
binddn cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz
bindpw <heslo na vyziadanie od admina LDAP>
ssl on
tls_reqcert allow
</pre>

Skontrolujeme, ze /etc/nsswitch.conf obsahuje:
<pre>
passwd: compat ldap
group: compat ldap
shadow: compat ldap
</pre>

Otestujeme
<pre>
root@test:~# id tomassrna
uid=16405(tomassrna) gid=513(shuser) groups=513(shuser)
</pre>

Ak nefunguje, tak:
<pre>
root@test:~# /etc/init.d/nscd restart
Restarting Name Service Cache Daemon: nscd.
root@test:~# /etc/init.d/nslcd restart
Restarting LDAP connection daemon: nslcd.
</pre>

=== PAM ===

PAM zaistuje samotne prihlasovanie na SSH, pripadne desktopu. Skvele je to, ze instalacia libnss-ldapd ako zavislost uz nakonfiguruje libpam-ldapd a dokonca s nim cez nslcd zdiela konfiguraciu /etc/nslcd.conf. Hovoril som, ze to bude bezbolestne, nie? :)

PAM mozeme ale este doladit, napr. vytvaranie home adresarov pri prvom prihlaseni, restrikcia moznosti prihlasit sa na SH sluzby, resp. ldap atributy obecne.

==== Automaticke vytvaranie home ====

Upravime /etc/pam.d/common-session, pridame na koniec suboru
<pre>
session required pam_mkhomedir.so skel=/etc/skel umask=0022
</pre>

==== Filtrovanie uzivatelov ====

Obmedzenie na sluzbu, napr. shell (/etc/nslcd.conf)
<pre>
filter passwd (SHservice=shell)
filter shadow (SHservice=shell)
</pre>

Obmedzenie ine: Ako filter retazec tam moze byt vsetko, co akceptuje LDAP ako filter, kludne i kombinacie, zlozene vyrazy, alebo obmedzenie na konkretneho uzivatela
<pre>
(|(&(SHservice=shell)(SHservice=net))(SHservice=sport))
(|(uid=tomassrna)(uid=robenek))
(uid=tomassrna)
(SHadmin=git)
</pre>

= Seznam služeb a jejich správců, které LDAP používají =
* finance.sh [[Bronislav Robenek]]
* imap.sh [[Radim Roška]]
* zimbra.sh [[Radim Roška]]
* msdnaa.sh [[Michal Naiman]]
* git.sh [[Tomáš Srna]]
* news.sh [[Dominik Mališ]]
* shell.sh [[Václav Mach]]
* siliconhill.cz [[Dominik Mališ]]
* studovna4.sh [[Viktor Bohuslav Bohdal]]
* vpn.sh (ASA) [[Viktor Bohuslav Bohdal]]
* mbox.sh [[Václav Mach]]
* piwik.sh [[Bronislav Robenek]]
* pm.sh.cvut.cz [[Dominik Mališ]]
* grill.sh.cvut.cz [[Jiří Dostál]]

[[category:servery]]

LDAP

2013-08-16T09:08:49Z

Tomassrna:

'''LDAP''' je protokol pro získávání/zapisování informací v stromové struktuře. Dnes se používá zejména pro jednotné přihlašování uživatelů do více aplikací.
[http://en.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol LDAP na wikipedii]

Klub Silicon Hill v rámci [[IS|ISu]] provozuje LDAP server, vůči kterým se můžou další aplikace ověřovat pomocí uživatelova hesla. Umožňujeme jak bind tak fastbind. Stávající implementace je pro všechny uživatele Read-only, veškeré změny uživatelských účtů je třeba dělat přes rozhraní informačního systému.

= Informace o serveru =

* Adresa: ldap.sh.cvut.cz
* Port: 636
* Používá SSL (ldaps://)
* Správce: [[Tomáš Srna]]
* Uživatelé v ou=People,dc=sh,dc=cvut,dc=cz
* Atribút uživateľského mena: uid
* Uživatel pro servery: cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz
* Heslo na vyžádání u správce
* Overenie cez userPassword, SSHA hash
* Vo výnimočných prípadoch možnosť NTLM overenia
* Důležité atributy uživatelů:
** uid: username
** givenName: křestní jméno
** sn: příjmení
** cn: celé jméno
** mail: ______@sh.cvut.cz
** SHservice: zaklad - Pro každou službu, kterou má uživatel aktivní, obsahuje Alias služby z ISu
** SHadmin: is1 - Pro každý server, kterého je uživatel správce
** SHmailExternal: _____@____.__ - Pro každý externí email, který si uživatel autorizoval pro odesílání
** SHrole: SHrole: nazev_role:rozsah | nazev_role - Pro každou roli / oprávnění v ISu existuje záznam SHrole, pokud není uvedena : jedná se o neomezené oprávnění, Příklady:
*** SHrole: registrator:wifi - Registrátor WiFi
*** SHrole: admin:10 - Admin B10
*** SHrole: admin - Admin neomezený
*** SHrole: service_admin:zimbra - Správce služby Zimbra
*** SHrole: mail_admin:su.cvut.cz - Správce mailů domény su.cvut.cz
*** Platné názvy rolí: registrator, tags_admin, cameras_admin, student_representative, extended_member, payments_admin, netadmin, dns_admin, service_admin, mail_admin, superuser, admin, secretary, roles_admin, card_readers_admin
*** Dokumentace k rolím: https://is.sh.cvut.cz/users/20288/user_roles

== Autentizačné módy ==

* FastBind - Bind priamo užívateľom, pod ktorým sa hlási náš klient
* uid={username},ou=People,dc=sh,dc=cvut,dc=cz
* {password}
* Bind cez auth-user
* Horeuvedené údaje
* Vhodné pre mnohonásobné overovanie užívateľov s použitím jediného spojenia.

= Prerekvizita SSL =

'''Dôležité!''' Na Linuxe pokiaľ sa používajú ldap knižnice z OS (používa ich OS samotný, PHP, ...), je potrebné pridať certifikát autority.

Postup je nasledovný:

* V /etc/ldap/ldap.conf pridáme riadok
TLS_CACERT /etc/ssl/certs/ldap.pem

* Do spomínaného súboru /etc/ssl/certs/ldap.pem vložíme certifikát autority AddTrust:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

= Příklady použití / nastavení =

== LDAP Kontakty v Telefonu ==

'''iPhone'''
Nastavení -> Pošta, Kontakty, Kalendáře -> Přidat účet -> Jiný -> "Přidat účet LDAP"
* Server: ldap.sh.cvut.cz
* Uživatel: uid=**tvůj username**,ou=People,dc=sh,dc=cvut,dc=cz
* Heslo: Tvé heslo do ISu
* Popis: ldap.sh.cvut.cz
* Použít SSL: Ano
* Kritéria hledání: dc=sh,dc=cvut,dc=cz

'''Android''' - byla použita aplikace Constacts in line s pluginem Contacts LDAP

# stáhnout a naistalovat aplikaci Contacts in line - https://play.google.com/store/apps/details?id=fr.prados.contacts&feature=more_from_developer#?t=W251bGwsMSwxLDEwMiwiZnIucHJhZG9zLmNvbnRhY3RzIl0.
# stáhnout a nainstalovat plugin Contacts LDAP - https://play.google.com/store/apps/details?id=fr.prados.contacts.providers.ldap.generic.beta&hl=cs.
# spustit aplikaci Contacts in line
# dát tlačítko "volby" na mobilu (vpravo dole)
# volba "Accounts"
# vybrat "LDAP inline"
# LDAP host name: ldap.sh.cvut.cz
# vyplnit informace
* Username: uid="tvůj username do ISu",ou=People,dc=sh,dc=cvut,dc=cz
* Password: "heslo do ISu"
* Security: SSL
* Base DN: "ou=People,dc=sh,dc=cvut,dc=cz"

== LDAP z příkazové řádky - ldapsearch ==

<pre>
# Balíček
aptitude install ldap-utils

# ~ Fastbind (zepta se na heslo pro username)
ldapsearch -h ldap.sh.cvut.cz -b "dc=sh,dc=cvut,dc=cz" -D "uid=username,ou=People,dc=sh,dc=cvut,dc=cz" -W uid=username

# ~ Bind (se systémovým účtem)
ldapsearch -h ldap.sh.cvut.cz -b "dc=sh,dc=cvut,dc=cz" -D "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz" -w *heslo_auth_usera* uid=username
</pre>

== Zend_Auth_Adapter_Ldap ==

'''application.ini'''
<pre>
ldap.is.host = ldap.sh.cvut.cz
ldap.is.port = 636
ldap.is.useSsl = true
ldap.is.useStartTls = true

ldap.is.bindRequiresDn = true
ldap.is.baseDn = "ou=People,dc=sh,dc=cvut,dc=cz"
ldap.is.accountCanonicalForm = 2

ldap.is.username = "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz"
ldap.is.password = "********"
</pre>

'''Přiklad přihlášení v kontextu Zend_Controller_Action''', [http://framework.zend.com/manual/1.12/en/zend.auth.adapter.ldap.html Více v dokumentaci]
<pre>
$auth=new Zend_Auth();

$username=$this->_getParam("username");
$password=$this->_getParam("password");

$bootstrap = $this->getInvokeArg('bootstrap');
$config=$bootstrap->getOptions();
$options = $config["ldap"];

$authAdapter=new Zend_Auth_Adapter_Ldap($options,$username,$password);

$result=$auth->authenticate($authAdapter);

if($result->isValid()) {
$ldap=$authAdapter->getLdap();
$user = $ldap->getEntry("uid=".$username.",".$options["is"]["baseDn"]);
echo "Uzivatel prihlasen";
print_r($user);
}
else {
echo "Spatne jmeno nebo heslo";
}
</pre>

== Ruby - FastBind ==

<pre>
require 'rubygems'
require 'net/ldap'
require 'io/console'

puts "Username:"
username = gets
puts "Password:"
password = STDIN.noecho(&:gets)

ldap = Net::LDAP.new(:encryption => :simple_tls)
ldap.host = "ldap.sh.cvut.cz"
ldap.port = 636
ldap.base = "ou=People,dc=sh,dc=cvut,dc=cz"
ldap.auth "uid=#{username.strip},"+ldap.base, password.strip
if ldap.bind
puts "authentication succeeded"
p ldap.search(
base: "ou=People,dc=sh,dc=cvut,dc=cz",
filter: Net::LDAP::Filter.eq("uid", username.strip),
attributes: %w[ givenName sn email SHservice ],
return_result:true
).inspect
else
puts "authentication failed"
end
</pre>

== PHP - bez frameworku ==
<?php
$user = "tomassrna";
$pass = "...";
$ldapConn = ldap_connect("ldaps://ldap.sh.cvut.cz", 636);
if($ldapConn)
{
$ldapBind = ldap_bind($ldapConn, "uid=".$user.",ou=People,dc=sh,dc=cvut,dc=cz", $pass);
if($ldapBind)
echo "SUCCESS\n";
else
{
echo "FAILED: ";
echo ldap_error($ldapConn)."\n";
}
}

== Apache HTTP auth ==

Je nutne splnit prerekvizitu - viz. obsah wiki stranky.

<Directory /var/www/*>
Options Indexes FollowSymLinks MultiViews

Order allow,deny
Deny from all

AuthType Basic
AuthBasicProvider ldap
AuthName "ldap auth"
AuthLDAPURL "ldaps://ldap.sh.cvut.cz:636/dc=sh,dc=cvut,dc=cz"

AuthzLDAPAuthoritative On
AuthLDAPBindAuthoritative On
AuthLDAPBindDN "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz"
AuthLDAPBindPassword "****************"

Require ldap-filter &(SHrole=netadmin)
Satisfy Any

</Directory>

== Microsoft Visual C# ==

Tak toto bol tazky boj...

* Pridame reference System.DirectoryServices

<pre>
using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Threading.Tasks;
using System.DirectoryServices;
using System.Collections;

namespace LDAP
{
class Program
{
static void Main(string[] args)
{
Dictionary<string, string[]> attrs;
if ((attrs = shLdap("tomassrna", "xxxxxx",
new[] { "mail", "uid", "SHservice", "SHadmin" }, "(&(uid=tomassrna)(SHservice=net))")) != null)
{
Console.WriteLine("Auth success!");
// Priklad vypisu vsetkych atributov
foreach(KeyValuePair<string, string[]> kv in attrs)
{
string k = kv.Key;
foreach (string v in kv.Value)
{
Console.WriteLine(k + "=" + v);
}
}
// Priklad ziskania single value
Console.WriteLine("E-mail: " + attrs["mail"][0]);
// Priklad ziskania multi value
Console.WriteLine("Spravovane servery: ");
foreach (string s in attrs["shadmin"])
{
Console.WriteLine(s);
}
}
else
Console.WriteLine("Auth failed!");

Console.Read();
}
static Dictionary<string, string[]> shLdap(string username, string password, string[] attrs, string filter = "")
{
try
{
DirectoryEntry de = new DirectoryEntry("LDAP://ldap.sh.cvut.cz:636/OU=People,DC=sh,DC=cvut,DC=cz",
"uid=" + username + ",ou=People,dc=sh,dc=cvut,dc=cz", password,
AuthenticationTypes.SecureSocketsLayer);
DirectorySearcher ds = new DirectorySearcher(de);
if (filter == "")
ds.Filter = "(uid=" + username + ")";
else
ds.Filter = filter;
foreach (string attr in attrs)
ds.PropertiesToLoad.Add(attr);
SearchResult sr = ds.FindOne();

Dictionary<string, string[]> res = new Dictionary<string, string[]>();
foreach (string prop in sr.Properties.PropertyNames)
{
var ar = new List<string>();
foreach (object oval in sr.Properties[prop])
{
string val = "";
if (oval is string)
val = (string)oval;
else if(oval is Byte[])
val = Encoding.UTF8.GetString((Byte[])oval, 0, ((Byte[])oval).Length);
ar.Add(val);
}
res[prop] = (string[])ar.ToArray();
}
return res;
}
catch (Exception)
{
return null;
}
}
}
}
</pre>

== Linux - prihlasovanie uzivatelov ==

Existuje niekolko sposobov, ako nakonfigurovat LDAP prihlasovanie na Linuxe. Niektore cesty su strastiplne, nechas u nich vsetky svoje nervy a potis krv.
Podme si ukazat sposob, ktory je jednoduchy a funguje.

Hned na zaciatku by som podotkol, ze <pre>getent passwd</pre> nikdy nebude fungovat na zobrazenie vsetkych uzivatelov. Je to politika zabezpecenia SH LDAP, ktora hovori, ze pouzivany '''auth-user''' nema pravo vidiet vsetkych uzivatelov, moze len hladat a autentifikovat. To nam staci.

Pre debug pouzivaj
<pre>id tomassrna</pre>

'''Poznamka:''' Vsetko je testovane na cistej instalacii Debian Squeeze

=== Prerekvizita ===
[[#Prerekvizita SSL]]

=== NSS ===

NSS resolvuje ciselne uidNumber na meno uzivalela. Stara sa napr. o prikaz id, alebo pri listovani adresara zobrazi uzivatela miesto cisla.

Nainstalujeme balik libnss-ldap'''d''' (pozor, existuje aj libnss-ldap, ktory je stary a tazky na konfiguraciu)

<pre>
aptitude install libnss-ldapd
</pre>

Pocas instalacie sa nas modra obrazovka spyta na:
* '''Name services to configure:''' group, passwd, shadow
* '''Meno LDAP servera:''' ldaps://ldap.sh.cvut.cz
* '''Base:''' dc=sh,dc=cvut,dc=cz

Doladime /etc/nslcd.conf
<pre>
uri ldaps://ldap.sh.cvut.cz
base dc=sh,dc=cvut,dc=cz
ldap_version 3
binddn cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz
bindpw <heslo na vyziadanie od admina LDAP>
ssl on
tls_reqcert allow
</pre>

Skontrolujeme, ze /etc/nsswitch.conf obsahuje:
<pre>
passwd: compat ldap
group: compat ldap
shadow: compat ldap
</pre>

Otestujeme
<pre>
root@test:~# id tomassrna
uid=16405(tomassrna) gid=513(shuser) groups=513(shuser)
</pre>

Ak nefunguje, tak:
<pre>
root@test:~# /etc/init.d/nscd restart
Restarting Name Service Cache Daemon: nscd.
root@test:~# /etc/init.d/nslcd restart
Restarting LDAP connection daemon: nslcd.
</pre>

=== PAM ===

PAM zaistuje samotne prihlasovanie na SSH, pripadne desktopu. Skvele je to, ze instalacia libnss-ldapd ako zavislost uz nakonfiguruje libpam-ldapd a dokonca s nim cez nslcd zdiela konfiguraciu /etc/nslcd.conf. Hovoril som, ze to bude bezbolestne, nie? :)

PAM mozeme ale este doladit, napr. vytvaranie home adresarov pri prvom prihlaseni, restrikcia moznosti prihlasit sa na SH sluzby, resp. ldap atributy obecne.

==== Automaticke vytvaranie home ====

Upravime /etc/pam.d/common-session, pridame na koniec suboru
<pre>
session required pam_mkhomedir.so skel=/etc/skel umask=0022
</pre>

==== Filtrovanie uzivatelov ====

Obmedzenie na sluzbu, napr. shell (/etc/nslcd.conf)
<pre>
filter passwd (SHservice=shell)
filter shadow (SHservice=shell)
</pre>

Obmedzenie ine: Ako filter retazec tam moze byt vsetko, co akceptuje LDAP ako filter, kludne i kombinacie, zlozene vyrazy, alebo obmedzenie na konkretneho uzivatela
<pre>
(|(&(SHservice=shell)(SHservice=net))(SHservice=sport))
(|(uid=tomassrna)(uid=robenek))
(uid=tomassrna)
(SHadmin=git)
</pre>

= Seznam služeb a jejich správců, které LDAP používají =
* finance.sh [[Bronislav Robenek]]
* imap.sh [[Radim Roška]]
* zimbra.sh [[Radim Roška]]
* msdnaa.sh [[Michal Naiman]]
* git.sh [[Tomáš Srna]]
* news.sh [[Dominik Mališ]]
* shell.sh [[Václav Mach]]
* siliconhill.cz [[Dominik Mališ]]
* studovna4.sh [[Viktor Bohuslav Bohdal]]
* vpn.sh (ASA) [[Viktor Bohuslav Bohdal]]
* mbox.sh [[Václav Mach]]
* piwik.sh [[Bronislav Robenek]]
* pm.sh.cvut.cz [[Dominik Mališ]]
* grill.sh.cvut.cz [[Jiří Dostál]]

[[category:servery]]

LDAP

2012-11-08T14:13:32Z

Tomassrna: /* Filtrovanie uzivatelov */

LDAP je protokol pro získávání/zapisování informací v stromové struktuře. Dnes se používá zejména pro jednotné přihlašování uživatelů do více aplikací.
[http://en.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol LDAP na wikipedii]

Klub Silicon Hill v rámci Informačního systému provozuje LDAP server, vůči kterým se můžou další aplikace ověřovat pomocí uživatelova hesla. Umožňujeme jak bind tak fastbind. Stávající implementace je pro všechny uživatele Read-only, veškeré změny uživatelských účtů je třeba dělat přes rozhraní informačního systému.

= Informace o serveru =

* Adresa: ldap.sh.cvut.cz
* Port: 636
* Používá SSL (ldaps://)
* Správce: [[Tomáš Srna]]
* Uživatelé v ou=People,dc=sh,dc=cvut,dc=cz
* Atribút uživateľského mena: uid
* Uživatel pro servery: cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz
* Heslo na vyžádání u správce
* Overenie cez userPassword, SSHA hash
* Vo výnimočných prípadoch možnosť NTLM overenia

== Autentizačné módy ==

* FastBind - Bind priamo užívateľom, pod ktorým sa hlási náš klient
* uid={username},ou=People,dc=sh,dc=cvut,dc=cz
* {password}
* Bind cez auth-user
* Horeuvedené údaje
* Vhodné pre mnohonásobné overovanie užívateľov s použitím jediného spojenia.

= Prerekvizita SSL =

'''Dôležité!''' Na Linuxe pokiaľ sa používajú ldap knižnice z OS (používa ich OS samotný, PHP, ...), je potrebné pridať certifikát autority.

Postup je nasledovný:

* V /etc/ldap/ldap.conf pridáme riadok
TLS_CACERT /etc/ssl/certs/ldap.pem

* Do spomínaného súboru /etc/ssl/certs/ldap.pem vložíme certifikát autority AddTrust:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

= Příklady použití / nastavení =

== LDAP Kontakty v Telefonu ==

'''iPhone'''
Nastavení -> Pošta, Kontakty, Kalendáře -> Přidat účet -> Jiný -> "Přidat účet LDAP"
* Server: ldap.sh.cvut.cz
* Uživatel: uid=**tvůj username**,ou=People,dc=sh,dc=cvut,dc=cz
* Heslo: Tvé heslo do ISu
* Popis: ldap.sh.cvut.cz
* Použít SSL: Ano
* Kritéria hledání: dc=sh,dc=cvut,dc=cz

== LDAP z příkazové řádky - ldapsearch ==

<pre>
# Balíček
aptitude install ldap-utils

# ~ Fastbind (zepta se na heslo pro username)
ldapsearch -h ldap.sh.cvut.cz -b "dc=sh,dc=cvut,dc=cz" -D "uid=username,ou=People,dc=sh,dc=cvut,dc=cz" -W uid=username

# ~ Bind (se systémovým účtem)
ldapsearch -h ldap.sh.cvut.cz -b "dc=sh,dc=cvut,dc=cz" -D "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz" -w *heslo_auth_usera* uid=username
</pre>

== Zend_Auth_Adapter_Ldap ==

'''application.ini'''
<pre>
ldap.is.host = ldap.sh.cvut.cz
ldap.is.port = 636
ldap.is.useSsl = true
ldap.is.useStartTls = true

ldap.is.bindRequiresDn = true
ldap.is.baseDn = "ou=People,dc=sh,dc=cvut,dc=cz"
ldap.is.accountCanonicalForm = 2

ldap.is.username = "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz"
ldap.is.password = "********"
</pre>

'''Přiklad přihlášení v kontextu Zend_Controller_Action''', [http://framework.zend.com/manual/1.12/en/zend.auth.adapter.ldap.html Více v dokumentaci]
<pre>
$auth=new Zend_Auth();

$username=$this->_getParam("username");
$password=$this->_getParam("password");

$bootstrap = $this->getInvokeArg('bootstrap');
$config=$bootstrap->getOptions();
$options = $config["ldap"];

$authAdapter=new Zend_Auth_Adapter_Ldap($options,$username,$password);

$result=$auth->authenticate($authAdapter);

if($result->isValid()) {
$ldap=$authAdapter->getLdap();
$user = $ldap->getEntry("uid=".$username.",".$options["is"]["baseDn"]);
echo "Uzivatel prihlasen";
print_r($user);
}
else {
echo "Spatne jmeno nebo heslo";
}
</pre>

== Ruby - FastBind ==

<pre>
require 'rubygems'
require 'net/ldap'
require 'io/console'

puts "Username:"
username = gets
puts "Password:"
password = STDIN.noecho(&:gets)

ldap = Net::LDAP.new(:encryption => :simple_tls)
ldap.host = "ldap.sh.cvut.cz"
ldap.port = 636
ldap.base = "ou=People,dc=sh,dc=cvut,dc=cz"
ldap.auth "uid=#{username.strip},"+ldap.base, password.strip
if ldap.bind
puts "authentication succeeded"
p ldap.search(
base: "ou=People,dc=sh,dc=cvut,dc=cz",
filter: Net::LDAP::Filter.eq("uid", username.strip),
attributes: %w[ givenName sn email SHservice ],
return_result:true
).inspect
else
puts "authentication failed"
end
</pre>

== PHP - bez frameworku ==
<?php
$user = "tomassrna";
$pass = "...";
$ldapConn = ldap_connect("ldaps://ldap.sh.cvut.cz", 636);
if($ldapConn)
{
$ldapBind = ldap_bind($ldapConn, "uid=".$user.",ou=People,dc=sh,dc=cvut,dc=cz", $pass);
if($ldapBind)
echo "SUCCESS\n";
else
{
echo "FAILED: ";
echo ldap_error($ldapConn)."\n";
}
}

== Microsoft Visual C# ==

Tak toto bol tazky boj...

* Pridame reference System.DirectoryServices

<pre>
using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Threading.Tasks;
using System.DirectoryServices;
using System.Collections;

namespace LDAP
{
class Program
{
static void Main(string[] args)
{
Dictionary<string, string[]> attrs;
if ((attrs = shLdap("tomassrna", "xxxxxx",
new[] { "mail", "uid", "SHservice", "SHadmin" }, "(&(uid=tomassrna)(SHservice=net))")) != null)
{
Console.WriteLine("Auth success!");
// Priklad vypisu vsetkych atributov
foreach(KeyValuePair<string, string[]> kv in attrs)
{
string k = kv.Key;
foreach (string v in kv.Value)
{
Console.WriteLine(k + "=" + v);
}
}
// Priklad ziskania single value
Console.WriteLine("E-mail: " + attrs["mail"][0]);
// Priklad ziskania multi value
Console.WriteLine("Spravovane servery: ");
foreach (string s in attrs["shadmin"])
{
Console.WriteLine(s);
}
}
else
Console.WriteLine("Auth failed!");

Console.Read();
}
static Dictionary<string, string[]> shLdap(string username, string password, string[] attrs, string filter = "")
{
try
{
DirectoryEntry de = new DirectoryEntry("LDAP://ldap.sh.cvut.cz:636/OU=People,DC=sh,DC=cvut,DC=cz",
"uid=" + username + ",ou=People,dc=sh,dc=cvut,dc=cz", password,
AuthenticationTypes.SecureSocketsLayer);
DirectorySearcher ds = new DirectorySearcher(de);
if (filter == "")
ds.Filter = "(uid=" + username + ")";
else
ds.Filter = filter;
foreach (string attr in attrs)
ds.PropertiesToLoad.Add(attr);
SearchResult sr = ds.FindOne();

Dictionary<string, string[]> res = new Dictionary<string, string[]>();
foreach (string prop in sr.Properties.PropertyNames)
{
var ar = new List<string>();
foreach (object oval in sr.Properties[prop])
{
string val = "";
if (oval is string)
val = (string)oval;
else if(oval is Byte[])
val = Encoding.UTF8.GetString((Byte[])oval, 0, ((Byte[])oval).Length);
ar.Add(val);
}
res[prop] = (string[])ar.ToArray();
}
return res;
}
catch (Exception)
{
return null;
}
}
}
}
</pre>

== Linux - prihlasovanie uzivatelov ==

Existuje niekolko sposobov, ako nakonfigurovat LDAP prihlasovanie na Linuxe. Niektore cesty su strastiplne, nechas u nich vsetky svoje nervy a potis krv.
Podme si ukazat sposob, ktory je jednoduchy a funguje.

Hned na zaciatku by som podotkol, ze <pre>getent passwd</pre> nikdy nebude fungovat na zobrazenie vsetkych uzivatelov. Je to politika zabezpecenia SH LDAP, ktora hovori, ze pouzivany '''auth-user''' nema pravo vidiet vsetkych uzivatelov, moze len hladat a autentifikovat. To nam staci.

Pre debug pouzivaj
<pre>id tomassrna</pre>

'''Poznamka:''' Vsetko je testovane na cistej instalacii Debian Squeeze

=== Prerekvizita ===
[[#Prerekvizita SSL]]

=== NSS ===

NSS resolvuje ciselne uidNumber na meno uzivalela. Stara sa napr. o prikaz id, alebo pri listovani adresara zobrazi uzivatela miesto cisla.

Nainstalujeme balik libnss-ldap'''d''' (pozor, existuje aj libnss-ldap, ktory je stary a tazky na konfiguraciu)

<pre>
aptitude install libnss-ldapd
</pre>

Pocas instalacie sa nas modra obrazovka spyta na:
* '''Name services to configure:''' group, passwd, shadow
* '''Meno LDAP servera:''' ldaps://ldap.sh.cvut.cz
* '''Base:''' dc=sh,dc=cvut,dc=cz

Doladime /etc/nslcd.conf
<pre>
uri ldaps://ldap.sh.cvut.cz
base dc=sh,dc=cvut,dc=cz
ldap_version 3
binddn cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz
bindpw <heslo na vyziadanie od admina LDAP>
ssl on
tls_reqcert allow
</pre>

Skontrolujeme, ze /etc/nsswitch.conf obsahuje:
<pre>
passwd: compat ldap
group: compat ldap
shadow: compat ldap
</pre>

Otestujeme
<pre>
root@test:~# id tomassrna
uid=16405(tomassrna) gid=513(shuser) groups=513(shuser)
</pre>

Ak nefunguje, tak:
<pre>
root@test:~# /etc/init.d/nscd restart
Restarting Name Service Cache Daemon: nscd.
root@test:~# /etc/init.d/nslcd restart
Restarting LDAP connection daemon: nslcd.
</pre>

=== PAM ===

PAM zaistuje samotne prihlasovanie na SSH, pripadne desktopu. Skvele je to, ze instalacia libnss-ldapd ako zavislost uz nakonfiguruje libpam-ldapd a dokonca s nim cez nslcd zdiela konfiguraciu /etc/nslcd.conf. Hovoril som, ze to bude bezbolestne, nie? :)

PAM mozeme ale este doladit, napr. vytvaranie home adresarov pri prvom prihlaseni, restrikcia moznosti prihlasit sa na SH sluzby, resp. ldap atributy obecne.

==== Automaticke vytvaranie home ====

Upravime /etc/pam.d/common-session, pridame na koniec suboru
<pre>
session required pam_mkhomedir.so skel=/etc/skel umask=0022
</pre>

==== Filtrovanie uzivatelov ====

Obmedzenie na sluzbu, napr. shell (/etc/nslcd.conf)
<pre>
filter passwd (SHservice=shell)
filter shadow (SHservice=shell)
</pre>

Obmedzenie ine: Ako filter retazec tam moze byt vsetko, co akceptuje LDAP ako filter, kludne i kombinacie, zlozene vyrazy, alebo obmedzenie na konkretneho uzivatela
<pre>
(|(&(SHservice=shell)(SHservice=net))(SHservice=sport))
(|(uid=tomassrna)(uid=robenek))
(uid=tomassrna)
(SHadmin=git)
</pre>

= Seznam služeb a jejich správců, které LDAP používají =
* finance.sh [[Bronislav Robenek]]
* imap.sh [[Radim Roška]]
* zimbra.sh [[Radim Roška]]
* msdnaa.sh [[Michal Naiman]]
* git.sh [[Tomáš Srna]]
* news.sh [[Dominik Mališ]]
* shell.sh [[Václav Mach]]
* siliconhill.cz [[Dominik Mališ]]

LDAP

2012-11-08T14:13:06Z

Tomassrna: /* Filtrovanie uzivatelov */

LDAP je protokol pro získávání/zapisování informací v stromové struktuře. Dnes se používá zejména pro jednotné přihlašování uživatelů do více aplikací.
[http://en.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol LDAP na wikipedii]

Klub Silicon Hill v rámci Informačního systému provozuje LDAP server, vůči kterým se můžou další aplikace ověřovat pomocí uživatelova hesla. Umožňujeme jak bind tak fastbind. Stávající implementace je pro všechny uživatele Read-only, veškeré změny uživatelských účtů je třeba dělat přes rozhraní informačního systému.

= Informace o serveru =

* Adresa: ldap.sh.cvut.cz
* Port: 636
* Používá SSL (ldaps://)
* Správce: [[Tomáš Srna]]
* Uživatelé v ou=People,dc=sh,dc=cvut,dc=cz
* Atribút uživateľského mena: uid
* Uživatel pro servery: cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz
* Heslo na vyžádání u správce
* Overenie cez userPassword, SSHA hash
* Vo výnimočných prípadoch možnosť NTLM overenia

== Autentizačné módy ==

* FastBind - Bind priamo užívateľom, pod ktorým sa hlási náš klient
* uid={username},ou=People,dc=sh,dc=cvut,dc=cz
* {password}
* Bind cez auth-user
* Horeuvedené údaje
* Vhodné pre mnohonásobné overovanie užívateľov s použitím jediného spojenia.

= Prerekvizita SSL =

'''Dôležité!''' Na Linuxe pokiaľ sa používajú ldap knižnice z OS (používa ich OS samotný, PHP, ...), je potrebné pridať certifikát autority.

Postup je nasledovný:

* V /etc/ldap/ldap.conf pridáme riadok
TLS_CACERT /etc/ssl/certs/ldap.pem

* Do spomínaného súboru /etc/ssl/certs/ldap.pem vložíme certifikát autority AddTrust:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

= Příklady použití / nastavení =

== LDAP Kontakty v Telefonu ==

'''iPhone'''
Nastavení -> Pošta, Kontakty, Kalendáře -> Přidat účet -> Jiný -> "Přidat účet LDAP"
* Server: ldap.sh.cvut.cz
* Uživatel: uid=**tvůj username**,ou=People,dc=sh,dc=cvut,dc=cz
* Heslo: Tvé heslo do ISu
* Popis: ldap.sh.cvut.cz
* Použít SSL: Ano
* Kritéria hledání: dc=sh,dc=cvut,dc=cz

== LDAP z příkazové řádky - ldapsearch ==

<pre>
# Balíček
aptitude install ldap-utils

# ~ Fastbind (zepta se na heslo pro username)
ldapsearch -h ldap.sh.cvut.cz -b "dc=sh,dc=cvut,dc=cz" -D "uid=username,ou=People,dc=sh,dc=cvut,dc=cz" -W uid=username

# ~ Bind (se systémovým účtem)
ldapsearch -h ldap.sh.cvut.cz -b "dc=sh,dc=cvut,dc=cz" -D "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz" -w *heslo_auth_usera* uid=username
</pre>

== Zend_Auth_Adapter_Ldap ==

'''application.ini'''
<pre>
ldap.is.host = ldap.sh.cvut.cz
ldap.is.port = 636
ldap.is.useSsl = true
ldap.is.useStartTls = true

ldap.is.bindRequiresDn = true
ldap.is.baseDn = "ou=People,dc=sh,dc=cvut,dc=cz"
ldap.is.accountCanonicalForm = 2

ldap.is.username = "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz"
ldap.is.password = "********"
</pre>

'''Přiklad přihlášení v kontextu Zend_Controller_Action''', [http://framework.zend.com/manual/1.12/en/zend.auth.adapter.ldap.html Více v dokumentaci]
<pre>
$auth=new Zend_Auth();

$username=$this->_getParam("username");
$password=$this->_getParam("password");

$bootstrap = $this->getInvokeArg('bootstrap');
$config=$bootstrap->getOptions();
$options = $config["ldap"];

$authAdapter=new Zend_Auth_Adapter_Ldap($options,$username,$password);

$result=$auth->authenticate($authAdapter);

if($result->isValid()) {
$ldap=$authAdapter->getLdap();
$user = $ldap->getEntry("uid=".$username.",".$options["is"]["baseDn"]);
echo "Uzivatel prihlasen";
print_r($user);
}
else {
echo "Spatne jmeno nebo heslo";
}
</pre>

== Ruby - FastBind ==

<pre>
require 'rubygems'
require 'net/ldap'
require 'io/console'

puts "Username:"
username = gets
puts "Password:"
password = STDIN.noecho(&:gets)

ldap = Net::LDAP.new(:encryption => :simple_tls)
ldap.host = "ldap.sh.cvut.cz"
ldap.port = 636
ldap.base = "ou=People,dc=sh,dc=cvut,dc=cz"
ldap.auth "uid=#{username.strip},"+ldap.base, password.strip
if ldap.bind
puts "authentication succeeded"
p ldap.search(
base: "ou=People,dc=sh,dc=cvut,dc=cz",
filter: Net::LDAP::Filter.eq("uid", username.strip),
attributes: %w[ givenName sn email SHservice ],
return_result:true
).inspect
else
puts "authentication failed"
end
</pre>

== PHP - bez frameworku ==
<?php
$user = "tomassrna";
$pass = "...";
$ldapConn = ldap_connect("ldaps://ldap.sh.cvut.cz", 636);
if($ldapConn)
{
$ldapBind = ldap_bind($ldapConn, "uid=".$user.",ou=People,dc=sh,dc=cvut,dc=cz", $pass);
if($ldapBind)
echo "SUCCESS\n";
else
{
echo "FAILED: ";
echo ldap_error($ldapConn)."\n";
}
}

== Microsoft Visual C# ==

Tak toto bol tazky boj...

* Pridame reference System.DirectoryServices

<pre>
using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Threading.Tasks;
using System.DirectoryServices;
using System.Collections;

namespace LDAP
{
class Program
{
static void Main(string[] args)
{
Dictionary<string, string[]> attrs;
if ((attrs = shLdap("tomassrna", "xxxxxx",
new[] { "mail", "uid", "SHservice", "SHadmin" }, "(&(uid=tomassrna)(SHservice=net))")) != null)
{
Console.WriteLine("Auth success!");
// Priklad vypisu vsetkych atributov
foreach(KeyValuePair<string, string[]> kv in attrs)
{
string k = kv.Key;
foreach (string v in kv.Value)
{
Console.WriteLine(k + "=" + v);
}
}
// Priklad ziskania single value
Console.WriteLine("E-mail: " + attrs["mail"][0]);
// Priklad ziskania multi value
Console.WriteLine("Spravovane servery: ");
foreach (string s in attrs["shadmin"])
{
Console.WriteLine(s);
}
}
else
Console.WriteLine("Auth failed!");

Console.Read();
}
static Dictionary<string, string[]> shLdap(string username, string password, string[] attrs, string filter = "")
{
try
{
DirectoryEntry de = new DirectoryEntry("LDAP://ldap.sh.cvut.cz:636/OU=People,DC=sh,DC=cvut,DC=cz",
"uid=" + username + ",ou=People,dc=sh,dc=cvut,dc=cz", password,
AuthenticationTypes.SecureSocketsLayer);
DirectorySearcher ds = new DirectorySearcher(de);
if (filter == "")
ds.Filter = "(uid=" + username + ")";
else
ds.Filter = filter;
foreach (string attr in attrs)
ds.PropertiesToLoad.Add(attr);
SearchResult sr = ds.FindOne();

Dictionary<string, string[]> res = new Dictionary<string, string[]>();
foreach (string prop in sr.Properties.PropertyNames)
{
var ar = new List<string>();
foreach (object oval in sr.Properties[prop])
{
string val = "";
if (oval is string)
val = (string)oval;
else if(oval is Byte[])
val = Encoding.UTF8.GetString((Byte[])oval, 0, ((Byte[])oval).Length);
ar.Add(val);
}
res[prop] = (string[])ar.ToArray();
}
return res;
}
catch (Exception)
{
return null;
}
}
}
}
</pre>

== Linux - prihlasovanie uzivatelov ==

Existuje niekolko sposobov, ako nakonfigurovat LDAP prihlasovanie na Linuxe. Niektore cesty su strastiplne, nechas u nich vsetky svoje nervy a potis krv.
Podme si ukazat sposob, ktory je jednoduchy a funguje.

Hned na zaciatku by som podotkol, ze <pre>getent passwd</pre> nikdy nebude fungovat na zobrazenie vsetkych uzivatelov. Je to politika zabezpecenia SH LDAP, ktora hovori, ze pouzivany '''auth-user''' nema pravo vidiet vsetkych uzivatelov, moze len hladat a autentifikovat. To nam staci.

Pre debug pouzivaj
<pre>id tomassrna</pre>

'''Poznamka:''' Vsetko je testovane na cistej instalacii Debian Squeeze

=== Prerekvizita ===
[[#Prerekvizita SSL]]

=== NSS ===

NSS resolvuje ciselne uidNumber na meno uzivalela. Stara sa napr. o prikaz id, alebo pri listovani adresara zobrazi uzivatela miesto cisla.

Nainstalujeme balik libnss-ldap'''d''' (pozor, existuje aj libnss-ldap, ktory je stary a tazky na konfiguraciu)

<pre>
aptitude install libnss-ldapd
</pre>

Pocas instalacie sa nas modra obrazovka spyta na:
* '''Name services to configure:''' group, passwd, shadow
* '''Meno LDAP servera:''' ldaps://ldap.sh.cvut.cz
* '''Base:''' dc=sh,dc=cvut,dc=cz

Doladime /etc/nslcd.conf
<pre>
uri ldaps://ldap.sh.cvut.cz
base dc=sh,dc=cvut,dc=cz
ldap_version 3
binddn cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz
bindpw <heslo na vyziadanie od admina LDAP>
ssl on
tls_reqcert allow
</pre>

Skontrolujeme, ze /etc/nsswitch.conf obsahuje:
<pre>
passwd: compat ldap
group: compat ldap
shadow: compat ldap
</pre>

Otestujeme
<pre>
root@test:~# id tomassrna
uid=16405(tomassrna) gid=513(shuser) groups=513(shuser)
</pre>

Ak nefunguje, tak:
<pre>
root@test:~# /etc/init.d/nscd restart
Restarting Name Service Cache Daemon: nscd.
root@test:~# /etc/init.d/nslcd restart
Restarting LDAP connection daemon: nslcd.
</pre>

=== PAM ===

PAM zaistuje samotne prihlasovanie na SSH, pripadne desktopu. Skvele je to, ze instalacia libnss-ldapd ako zavislost uz nakonfiguruje libpam-ldapd a dokonca s nim cez nslcd zdiela konfiguraciu /etc/nslcd.conf. Hovoril som, ze to bude bezbolestne, nie? :)

PAM mozeme ale este doladit, napr. vytvaranie home adresarov pri prvom prihlaseni, restrikcia moznosti prihlasit sa na SH sluzby, resp. ldap atributy obecne.

==== Automaticke vytvaranie home ====

Upravime /etc/pam.d/common-session, pridame na koniec suboru
<pre>
session required pam_mkhomedir.so skel=/etc/skel umask=0022
</pre>

==== Filtrovanie uzivatelov ====

Obmedzenie na sluzbu, napr. shell (/etc/nslcd.conf)
<pre>
filter passwd (SHservice=shell)
filter shadow (SHservice=shell)
</pre>

Obmedzenie ine: Ako filter retazec tam moze byt vsetko, co akceptuje LDAP ako filter, kludne i kombinacie, zlozene vyrazy, alebo obmedzenie na konkretneho uzivatela
<pre>
(|(&(SHservice=shell)(SHservice=net))(SHservice=sport))
(|(uid=tomassrna)(uid=robenek))
(uid=tomassrna)
</pre>

= Seznam služeb a jejich správců, které LDAP používají =
* finance.sh [[Bronislav Robenek]]
* imap.sh [[Radim Roška]]
* zimbra.sh [[Radim Roška]]
* msdnaa.sh [[Michal Naiman]]
* git.sh [[Tomáš Srna]]
* news.sh [[Dominik Mališ]]
* shell.sh [[Václav Mach]]
* siliconhill.cz [[Dominik Mališ]]

LDAP

2012-11-08T14:12:26Z

Tomassrna: /* Filtrovanie uzivatelov */

LDAP je protokol pro získávání/zapisování informací v stromové struktuře. Dnes se používá zejména pro jednotné přihlašování uživatelů do více aplikací.
[http://en.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol LDAP na wikipedii]

Klub Silicon Hill v rámci Informačního systému provozuje LDAP server, vůči kterým se můžou další aplikace ověřovat pomocí uživatelova hesla. Umožňujeme jak bind tak fastbind. Stávající implementace je pro všechny uživatele Read-only, veškeré změny uživatelských účtů je třeba dělat přes rozhraní informačního systému.

= Informace o serveru =

* Adresa: ldap.sh.cvut.cz
* Port: 636
* Používá SSL (ldaps://)
* Správce: [[Tomáš Srna]]
* Uživatelé v ou=People,dc=sh,dc=cvut,dc=cz
* Atribút uživateľského mena: uid
* Uživatel pro servery: cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz
* Heslo na vyžádání u správce
* Overenie cez userPassword, SSHA hash
* Vo výnimočných prípadoch možnosť NTLM overenia

== Autentizačné módy ==

* FastBind - Bind priamo užívateľom, pod ktorým sa hlási náš klient
* uid={username},ou=People,dc=sh,dc=cvut,dc=cz
* {password}
* Bind cez auth-user
* Horeuvedené údaje
* Vhodné pre mnohonásobné overovanie užívateľov s použitím jediného spojenia.

= Prerekvizita SSL =

'''Dôležité!''' Na Linuxe pokiaľ sa používajú ldap knižnice z OS (používa ich OS samotný, PHP, ...), je potrebné pridať certifikát autority.

Postup je nasledovný:

* V /etc/ldap/ldap.conf pridáme riadok
TLS_CACERT /etc/ssl/certs/ldap.pem

* Do spomínaného súboru /etc/ssl/certs/ldap.pem vložíme certifikát autority AddTrust:
-----BEGIN CERTIFICATE-----
MIIENjCCAx6gAwIBAgIBATANBgkqhkiG9w0BAQUFADBvMQswCQYDVQQGEwJTRTEU
MBIGA1UEChMLQWRkVHJ1c3QgQUIxJjAkBgNVBAsTHUFkZFRydXN0IEV4dGVybmFs
IFRUUCBOZXR3b3JrMSIwIAYDVQQDExlBZGRUcnVzdCBFeHRlcm5hbCBDQSBSb290
MB4XDTAwMDUzMDEwNDgzOFoXDTIwMDUzMDEwNDgzOFowbzELMAkGA1UEBhMCU0Ux
FDASBgNVBAoTC0FkZFRydXN0IEFCMSYwJAYDVQQLEx1BZGRUcnVzdCBFeHRlcm5h
bCBUVFAgTmV0d29yazEiMCAGA1UEAxMZQWRkVHJ1c3QgRXh0ZXJuYWwgQ0EgUm9v
dDCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBALf3GjPm8gAELTngTlvt
H7xsD821+iO2zt6bETOXpClMfZOfvUq8k+0DGuOPz+VtUFrWlymUWoCwSXrbLpX9
uMq/NzgtHj6RQa1wVsfwTz/oMp50ysiQVOnGXw94nZpAPA6sYapeFI+eh6FqUNzX
mk6vBbOmcZSccbNQYArHE504B4YCqOmoaSYYkKtMsE8jqzpPhNjfzp/haW+710LX
a0Tkx63ubUFfclpxCDezeWWkWaCUN/cALw3CknLa0Dhy2xSoRcRdKn23tNbE7qzN
E0S3ySvdQwAl+mG5aWpYIxG3pzOPVnVZ9c0p10a3CitlttNCbxWyuHv77+ldU9U0
WicCAwEAAaOB3DCB2TAdBgNVHQ4EFgQUrb2YejS0Jvf6xCZU7wO94CTLVBowCwYD
VR0PBAQDAgEGMA8GA1UdEwEB/wQFMAMBAf8wgZkGA1UdIwSBkTCBjoAUrb2YejS0
Jvf6xCZU7wO94CTLVBqhc6RxMG8xCzAJBgNVBAYTAlNFMRQwEgYDVQQKEwtBZGRU
cnVzdCBBQjEmMCQGA1UECxMdQWRkVHJ1c3QgRXh0ZXJuYWwgVFRQIE5ldHdvcmsx
IjAgBgNVBAMTGUFkZFRydXN0IEV4dGVybmFsIENBIFJvb3SCAQEwDQYJKoZIhvcN
AQEFBQADggEBALCb4IUlwtYj4g+WBpKdQZic2YR5gdkeWxQHIzZlj7DYd7usQWxH
YINRsPkyPef89iYTx4AWpb9a/IfPeHmJIZriTAcKhjW88t5RxNKWt9x+Tu5w/Rw5
6wwCURQtjr0W4MHfRnXnJK3s9EK0hZNwEGe6nQY1ShjTK3rMUUKhemPR5ruhxSvC
Nr4TDea9Y355e6cJDUCrat2PisP29owaQgVR1EX1n6diIWgVIEM8med8vSTYqZEX
c4g/VhsxOBi0cQ+azcgOno4uG+GMmIPLHzHxREzGBHNJdmAPx/i9F4BrLunMTA5a
mnkPIAou1Z5jJh5VkpTYghdae9C8x49OhgQ=
-----END CERTIFICATE-----

= Příklady použití / nastavení =

== LDAP Kontakty v Telefonu ==

'''iPhone'''
Nastavení -> Pošta, Kontakty, Kalendáře -> Přidat účet -> Jiný -> "Přidat účet LDAP"
* Server: ldap.sh.cvut.cz
* Uživatel: uid=**tvůj username**,ou=People,dc=sh,dc=cvut,dc=cz
* Heslo: Tvé heslo do ISu
* Popis: ldap.sh.cvut.cz
* Použít SSL: Ano
* Kritéria hledání: dc=sh,dc=cvut,dc=cz

== LDAP z příkazové řádky - ldapsearch ==

<pre>
# Balíček
aptitude install ldap-utils

# ~ Fastbind (zepta se na heslo pro username)
ldapsearch -h ldap.sh.cvut.cz -b "dc=sh,dc=cvut,dc=cz" -D "uid=username,ou=People,dc=sh,dc=cvut,dc=cz" -W uid=username

# ~ Bind (se systémovým účtem)
ldapsearch -h ldap.sh.cvut.cz -b "dc=sh,dc=cvut,dc=cz" -D "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz" -w *heslo_auth_usera* uid=username
</pre>

== Zend_Auth_Adapter_Ldap ==

'''application.ini'''
<pre>
ldap.is.host = ldap.sh.cvut.cz
ldap.is.port = 636
ldap.is.useSsl = true
ldap.is.useStartTls = true

ldap.is.bindRequiresDn = true
ldap.is.baseDn = "ou=People,dc=sh,dc=cvut,dc=cz"
ldap.is.accountCanonicalForm = 2

ldap.is.username = "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz"
ldap.is.password = "********"
</pre>

'''Přiklad přihlášení v kontextu Zend_Controller_Action''', [http://framework.zend.com/manual/1.12/en/zend.auth.adapter.ldap.html Více v dokumentaci]
<pre>
$auth=new Zend_Auth();

$username=$this->_getParam("username");
$password=$this->_getParam("password");

$bootstrap = $this->getInvokeArg('bootstrap');
$config=$bootstrap->getOptions();
$options = $config["ldap"];

$authAdapter=new Zend_Auth_Adapter_Ldap($options,$username,$password);

$result=$auth->authenticate($authAdapter);

if($result->isValid()) {
$ldap=$authAdapter->getLdap();
$user = $ldap->getEntry("uid=".$username.",".$options["is"]["baseDn"]);
echo "Uzivatel prihlasen";
print_r($user);
}
else {
echo "Spatne jmeno nebo heslo";
}
</pre>

== Ruby - FastBind ==

<pre>
require 'rubygems'
require 'net/ldap'
require 'io/console'

puts "Username:"
username = gets
puts "Password:"
password = STDIN.noecho(&:gets)

ldap = Net::LDAP.new(:encryption => :simple_tls)
ldap.host = "ldap.sh.cvut.cz"
ldap.port = 636
ldap.base = "ou=People,dc=sh,dc=cvut,dc=cz"
ldap.auth "uid=#{username.strip},"+ldap.base, password.strip
if ldap.bind
puts "authentication succeeded"
p ldap.search(
base: "ou=People,dc=sh,dc=cvut,dc=cz",
filter: Net::LDAP::Filter.eq("uid", username.strip),
attributes: %w[ givenName sn email SHservice ],
return_result:true
).inspect
else
puts "authentication failed"
end
</pre>

== PHP - bez frameworku ==
<?php
$user = "tomassrna";
$pass = "...";
$ldapConn = ldap_connect("ldaps://ldap.sh.cvut.cz", 636);
if($ldapConn)
{
$ldapBind = ldap_bind($ldapConn, "uid=".$user.",ou=People,dc=sh,dc=cvut,dc=cz", $pass);
if($ldapBind)
echo "SUCCESS\n";
else
{
echo "FAILED: ";
echo ldap_error($ldapConn)."\n";
}
}

== Microsoft Visual C# ==

Tak toto bol tazky boj...

* Pridame reference System.DirectoryServices

<pre>
using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Threading.Tasks;
using System.DirectoryServices;
using System.Collections;

namespace LDAP
{
class Program
{
static void Main(string[] args)
{
Dictionary<string, string[]> attrs;
if ((attrs = shLdap("tomassrna", "xxxxxx",
new[] { "mail", "uid", "SHservice", "SHadmin" }, "(&(uid=tomassrna)(SHservice=net))")) != null)
{
Console.WriteLine("Auth success!");
// Priklad vypisu vsetkych atributov
foreach(KeyValuePair<string, string[]> kv in attrs)
{
string k = kv.Key;
foreach (string v in kv.Value)
{
Console.WriteLine(k + "=" + v);
}
}
// Priklad ziskania single value
Console.WriteLine("E-mail: " + attrs["mail"][0]);
// Priklad ziskania multi value
Console.WriteLine("Spravovane servery: ");
foreach (string s in attrs["shadmin"])
{
Console.WriteLine(s);
}
}
else
Console.WriteLine("Auth failed!");

Console.Read();
}
static Dictionary<string, string[]> shLdap(string username, string password, string[] attrs, string filter = "")
{
try
{
DirectoryEntry de = new DirectoryEntry("LDAP://ldap.sh.cvut.cz:636/OU=People,DC=sh,DC=cvut,DC=cz",
"uid=" + username + ",ou=People,dc=sh,dc=cvut,dc=cz", password,
AuthenticationTypes.SecureSocketsLayer);
DirectorySearcher ds = new DirectorySearcher(de);
if (filter == "")
ds.Filter = "(uid=" + username + ")";
else
ds.Filter = filter;
foreach (string attr in attrs)
ds.PropertiesToLoad.Add(attr);
SearchResult sr = ds.FindOne();

Dictionary<string, string[]> res = new Dictionary<string, string[]>();
foreach (string prop in sr.Properties.PropertyNames)
{
var ar = new List<string>();
foreach (object oval in sr.Properties[prop])
{
string val = "";
if (oval is string)
val = (string)oval;
else if(oval is Byte[])
val = Encoding.UTF8.GetString((Byte[])oval, 0, ((Byte[])oval).Length);
ar.Add(val);
}
res[prop] = (string[])ar.ToArray();
}
return res;
}
catch (Exception)
{
return null;
}
}
}
}
</pre>

== Linux - prihlasovanie uzivatelov ==

Existuje niekolko sposobov, ako nakonfigurovat LDAP prihlasovanie na Linuxe. Niektore cesty su strastiplne, nechas u nich vsetky svoje nervy a potis krv.
Podme si ukazat sposob, ktory je jednoduchy a funguje.

Hned na zaciatku by som podotkol, ze <pre>getent passwd</pre> nikdy nebude fungovat na zobrazenie vsetkych uzivatelov. Je to politika zabezpecenia SH LDAP, ktora hovori, ze pouzivany '''auth-user''' nema pravo vidiet vsetkych uzivatelov, moze len hladat a autentifikovat. To nam staci.

Pre debug pouzivaj
<pre>id tomassrna</pre>

'''Poznamka:''' Vsetko je testovane na cistej instalacii Debian Squeeze

=== Prerekvizita ===
[[#Prerekvizita SSL]]

=== NSS ===

NSS resolvuje ciselne uidNumber na meno uzivalela. Stara sa napr. o prikaz id, alebo pri listovani adresara zobrazi uzivatela miesto cisla.

Nainstalujeme balik libnss-ldap'''d''' (pozor, existuje aj libnss-ldap, ktory je stary a tazky na konfiguraciu)

<pre>
aptitude install libnss-ldapd
</pre>

Pocas instalacie sa nas modra obrazovka spyta na:
* '''Name services to configure:''' group, passwd, shadow
* '''Meno LDAP servera:''' ldaps://ldap.sh.cvut.cz
* '''Base:''' dc=sh,dc=cvut,dc=cz

Doladime /etc/nslcd.conf
<pre>
uri ldaps://ldap.sh.cvut.cz
base dc=sh,dc=cvut,dc=cz
ldap_version 3
binddn cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz
bindpw <heslo na vyziadanie od admina LDAP>
ssl on
tls_reqcert allow
</pre>

Skontrolujeme, ze /etc/nsswitch.conf obsahuje:
<pre>
passwd: compat ldap
group: compat ldap
shadow: compat ldap
</pre>

Otestujeme
<pre>
root@test:~# id tomassrna
uid=16405(tomassrna) gid=513(shuser) groups=513(shuser)
</pre>

Ak nefunguje, tak:
<pre>
root@test:~# /etc/init.d/nscd restart
Restarting Name Service Cache Daemon: nscd.
root@test:~# /etc/init.d/nslcd restart
Restarting LDAP connection daemon: nslcd.
</pre>

=== PAM ===

PAM zaistuje samotne prihlasovanie na SSH, pripadne desktopu. Skvele je to, ze instalacia libnss-ldapd ako zavislost uz nakonfiguruje libpam-ldapd a dokonca s nim cez nslcd zdiela konfiguraciu /etc/nslcd.conf. Hovoril som, ze to bude bezbolestne, nie? :)

PAM mozeme ale este doladit, napr. vytvaranie home adresarov pri prvom prihlaseni, restrikcia moznosti prihlasit sa na SH sluzby, resp. ldap atributy obecne.

==== Automaticke vytvaranie home ====

Upravime /etc/pam.d/common-session, pridame na koniec suboru
<pre>
session required pam_mkhomedir.so skel=/etc/skel umask=0022
</pre>

==== Filtrovanie uzivatelov ====

Obmedzenie na sluzbu, napr. shell (/etc/nslcd.conf)
<pre>
filter passwd (SHservice=shell)
filter shadow (SHservice=shell)
</pre>

Obmedzenie ine: Ako filter retazec tam moze byt vsetko, co akceptuje LDAP ako filter, kludne i kombinacie, zlozene vyrazy, alebo obmedzenie na konkretneho uzivatela
<pre>
(|(&(SHservice=shell)(SHservice=net)(SHservice=sport))
(|(uid=tomassrna)(uid=robenek))
(uid=tomassrna)
</pre>

= Seznam služeb a jejich správců, které LDAP používají =
* finance.sh [[Bronislav Robenek]]
* imap.sh [[Radim Roška]]
* zimbra.sh [[Radim Roška]]
* msdnaa.sh [[Michal Naiman]]
* git.sh [[Tomáš Srna]]
* news.sh [[Dominik Mališ]]
* shell.sh [[Václav Mach]]
* siliconhill.cz [[Dominik Mališ]]

LDAP

2012-11-08T13:31:32Z

Tomassrna: /* Automaticke vytvaranie home */

LDAP je protokol pro získávání/zapisování informací v stromové struktuře. Dnes se používá zejména pro jednotné přihlašování uživatelů do více aplikací.
[http://en.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol LDAP na wikipedii]

Klub Silicon Hill v rámci Informačního systému provozuje LDAP server, vůči kterým se můžou další aplikace ověřovat pomocí uživatelova hesla. Umožňujeme jak bind tak fastbind. Stávající implementace je pro všechny uživatele Read-only, veškeré změny uživatelských účtů je třeba dělat přes rozhraní informačního systému.

= Informace o serveru =

* Adresa: ldap.sh.cvut.cz
* Port: 636
* Používá SSL (ldaps://)
* Správce: [[Tomáš Srna]]
* Uživatelé v ou=People,dc=sh,dc=cvut,dc=cz
* Atribút uživateľského mena: uid
* Uživatel pro servery: cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz
* Heslo na vyžádání u správce
* Overenie cez userPassword, SSHA hash
* Vo výnimočných prípadoch možnosť NTLM overenia

== Autentizačné módy ==

* FastBind - Bind priamo užívateľom, pod ktorým sa hlási náš klient
* uid={username},ou=People,dc=sh,dc=cvut,dc=cz
* {password}
* Bind cez auth-user
* Horeuvedené údaje
* Vhodné pre mnohonásobné overovanie užívateľov s použitím jediného spojenia.

= Prerekvizita SSL =

'''Dôležité!''' Na Linuxe pokiaľ sa používajú ldap knižnice z OS (používa ich OS samotný, PHP, ...), je potrebné pridať certifikát autority.

Postup je nasledovný:

* V /etc/ldap/ldap.conf pridáme riadok
TLS_CACERT /etc/ssl/certs/ldap.pem

* Do spomínaného súboru /etc/ssl/certs/ldap.pem vložíme certifikát autority AddTrust:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

= Příklady použití / nastavení =

== LDAP Kontakty v Telefonu ==

'''iPhone'''
Nastavení -> Pošta, Kontakty, Kalendáře -> Přidat účet -> Jiný -> "Přidat účet LDAP"
* Server: ldap.sh.cvut.cz
* Uživatel: uid=**tvůj username**,ou=People,dc=sh,dc=cvut,dc=cz
* Heslo: Tvé heslo do ISu
* Popis: ldap.sh.cvut.cz
* Použít SSL: Ano
* Kritéria hledání: dc=sh,dc=cvut,dc=cz

== LDAP z příkazové řádky - ldapsearch ==

<pre>
# Balíček
aptitude install ldap-utils

# ~ Fastbind (zepta se na heslo pro username)
ldapsearch -h ldap.sh.cvut.cz -b "dc=sh,dc=cvut,dc=cz" -D "uid=username,ou=People,dc=sh,dc=cvut,dc=cz" -W uid=username

# ~ Bind (se systémovým účtem)
ldapsearch -h ldap.sh.cvut.cz -b "dc=sh,dc=cvut,dc=cz" -D "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz" -w *heslo_auth_usera* uid=username
</pre>

== Zend_Auth_Adapter_Ldap ==

'''application.ini'''
<pre>
ldap.is.host = ldap.sh.cvut.cz
ldap.is.port = 636
ldap.is.useSsl = true
ldap.is.useStartTls = true

ldap.is.bindRequiresDn = true
ldap.is.baseDn = "ou=People,dc=sh,dc=cvut,dc=cz"
ldap.is.accountCanonicalForm = 2

ldap.is.username = "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz"
ldap.is.password = "********"
</pre>

'''Přiklad přihlášení v kontextu Zend_Controller_Action''', [http://framework.zend.com/manual/1.12/en/zend.auth.adapter.ldap.html Více v dokumentaci]
<pre>
$auth=new Zend_Auth();

$username=$this->_getParam("username");
$password=$this->_getParam("password");

$bootstrap = $this->getInvokeArg('bootstrap');
$config=$bootstrap->getOptions();
$options = $config["ldap"];

$authAdapter=new Zend_Auth_Adapter_Ldap($options,$username,$password);

$result=$auth->authenticate($authAdapter);

if($result->isValid()) {
$ldap=$authAdapter->getLdap();
$user = $ldap->getEntry("uid=".$username.",".$options["is"]["baseDn"]);
echo "Uzivatel prihlasen";
print_r($user);
}
else {
echo "Spatne jmeno nebo heslo";
}
</pre>

== Ruby - FastBind ==

<pre>
require 'rubygems'
require 'net/ldap'
require 'io/console'

puts "Username:"
username = gets
puts "Password:"
password = STDIN.noecho(&:gets)

ldap = Net::LDAP.new(:encryption => :simple_tls)
ldap.host = "ldap.sh.cvut.cz"
ldap.port = 636
ldap.base = "ou=People,dc=sh,dc=cvut,dc=cz"
ldap.auth "uid=#{username.strip},"+ldap.base, password.strip
if ldap.bind
puts "authentication succeeded"
p ldap.search(
base: "ou=People,dc=sh,dc=cvut,dc=cz",
filter: Net::LDAP::Filter.eq("uid", username.strip),
attributes: %w[ givenName sn email SHservice ],
return_result:true
).inspect
else
puts "authentication failed"
end
</pre>

== PHP - bez frameworku ==
<?php
$user = "tomassrna";
$pass = "...";
$ldapConn = ldap_connect("ldaps://ldap.sh.cvut.cz", 636);
if($ldapConn)
{
$ldapBind = ldap_bind($ldapConn, "uid=".$user.",ou=People,dc=sh,dc=cvut,dc=cz", $pass);
if($ldapBind)
echo "SUCCESS\n";
else
{
echo "FAILED: ";
echo ldap_error($ldapConn)."\n";
}
}

== Microsoft Visual C# ==

Tak toto bol tazky boj...

* Pridame reference System.DirectoryServices

<pre>
using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Threading.Tasks;
using System.DirectoryServices;
using System.Collections;

namespace LDAP
{
class Program
{
static void Main(string[] args)
{
Dictionary<string, string[]> attrs;
if ((attrs = shLdap("tomassrna", "xxxxxx",
new[] { "mail", "uid", "SHservice", "SHadmin" }, "(&(uid=tomassrna)(SHservice=net))")) != null)
{
Console.WriteLine("Auth success!");
// Priklad vypisu vsetkych atributov
foreach(KeyValuePair<string, string[]> kv in attrs)
{
string k = kv.Key;
foreach (string v in kv.Value)
{
Console.WriteLine(k + "=" + v);
}
}
// Priklad ziskania single value
Console.WriteLine("E-mail: " + attrs["mail"][0]);
// Priklad ziskania multi value
Console.WriteLine("Spravovane servery: ");
foreach (string s in attrs["shadmin"])
{
Console.WriteLine(s);
}
}
else
Console.WriteLine("Auth failed!");

Console.Read();
}
static Dictionary<string, string[]> shLdap(string username, string password, string[] attrs, string filter = "")
{
try
{
DirectoryEntry de = new DirectoryEntry("LDAP://ldap.sh.cvut.cz:636/OU=People,DC=sh,DC=cvut,DC=cz",
"uid=" + username + ",ou=People,dc=sh,dc=cvut,dc=cz", password,
AuthenticationTypes.SecureSocketsLayer);
DirectorySearcher ds = new DirectorySearcher(de);
if (filter == "")
ds.Filter = "(uid=" + username + ")";
else
ds.Filter = filter;
foreach (string attr in attrs)
ds.PropertiesToLoad.Add(attr);
SearchResult sr = ds.FindOne();

Dictionary<string, string[]> res = new Dictionary<string, string[]>();
foreach (string prop in sr.Properties.PropertyNames)
{
var ar = new List<string>();
foreach (object oval in sr.Properties[prop])
{
string val = "";
if (oval is string)
val = (string)oval;
else if(oval is Byte[])
val = Encoding.UTF8.GetString((Byte[])oval, 0, ((Byte[])oval).Length);
ar.Add(val);
}
res[prop] = (string[])ar.ToArray();
}
return res;
}
catch (Exception)
{
return null;
}
}
}
}
</pre>

== Linux - prihlasovanie uzivatelov ==

Existuje niekolko sposobov, ako nakonfigurovat LDAP prihlasovanie na Linuxe. Niektore cesty su strastiplne, nechas u nich vsetky svoje nervy a potis krv.
Podme si ukazat sposob, ktory je jednoduchy a funguje.

Hned na zaciatku by som podotkol, ze <pre>getent passwd</pre> nikdy nebude fungovat na zobrazenie vsetkych uzivatelov. Je to politika zabezpecenia SH LDAP, ktora hovori, ze pouzivany '''auth-user''' nema pravo vidiet vsetkych uzivatelov, moze len hladat a autentifikovat. To nam staci.

Pre debug pouzivaj
<pre>id tomassrna</pre>

'''Poznamka:''' Vsetko je testovane na cistej instalacii Debian Squeeze

=== Prerekvizita ===
[[#Prerekvizita SSL]]

=== NSS ===

NSS resolvuje ciselne uidNumber na meno uzivalela. Stara sa napr. o prikaz id, alebo pri listovani adresara zobrazi uzivatela miesto cisla.

Nainstalujeme balik libnss-ldap'''d''' (pozor, existuje aj libnss-ldap, ktory je stary a tazky na konfiguraciu)

<pre>
aptitude install libnss-ldapd
</pre>

Pocas instalacie sa nas modra obrazovka spyta na:
* '''Name services to configure:''' group, passwd, shadow
* '''Meno LDAP servera:''' ldaps://ldap.sh.cvut.cz
* '''Base:''' dc=sh,dc=cvut,dc=cz

Doladime /etc/nslcd.conf
<pre>
uri ldaps://ldap.sh.cvut.cz
base dc=sh,dc=cvut,dc=cz
ldap_version 3
binddn cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz
bindpw <heslo na vyziadanie od admina LDAP>
ssl on
tls_reqcert allow
</pre>

Skontrolujeme, ze /etc/nsswitch.conf obsahuje:
<pre>
passwd: compat ldap
group: compat ldap
shadow: compat ldap
</pre>

Otestujeme
<pre>
root@test:~# id tomassrna
uid=16405(tomassrna) gid=513(shuser) groups=513(shuser)
</pre>

Ak nefunguje, tak:
<pre>
root@test:~# /etc/init.d/nscd restart
Restarting Name Service Cache Daemon: nscd.
root@test:~# /etc/init.d/nslcd restart
Restarting LDAP connection daemon: nslcd.
</pre>

=== PAM ===

PAM zaistuje samotne prihlasovanie na SSH, pripadne desktopu. Skvele je to, ze instalacia libnss-ldapd ako zavislost uz nakonfiguruje libpam-ldapd a dokonca s nim cez nslcd zdiela konfiguraciu /etc/nslcd.conf. Hovoril som, ze to bude bezbolestne, nie? :)

PAM mozeme ale este doladit, napr. vytvaranie home adresarov pri prvom prihlaseni, restrikcia moznosti prihlasit sa na SH sluzby, resp. ldap atributy obecne.

==== Automaticke vytvaranie home ====

Upravime /etc/pam.d/common-session, pridame na koniec suboru
<pre>
session required pam_mkhomedir.so skel=/etc/skel umask=0022
</pre>

==== Filtrovanie uzivatelov ====

Obmedzenie na sluzbu, napr. shell
<pre>
filter passwd (SHservice=shell)
filter shadow (SHservice=shell)
</pre>

Obmedzenie ine: Ako filter retazec tam moze byt vsetko, co akceptuje LDAP ako filter, kludne i kombinacie, zlozene vyrazy, alebo obmedzenie na konkretneho uzivatela
<pre>
(|(&(SHservice=shell)(SHservice=net)(SHservice=sport))
(|(uid=tomassrna)(uid=robenek))
(uid=tomassrna)
</pre>

= Seznam služeb a jejich správců, které LDAP používají =
* finance.sh [[Bronislav Robenek]]
* imap.sh [[Radim Roška]]
* zimbra.sh [[Radim Roška]]
* msdnaa.sh [[Michal Naiman]]
* git.sh [[Tomáš Srna]]
* news.sh [[Dominik Mališ]]
* shell.sh [[Václav Mach]]
* siliconhill.cz [[Dominik Mališ]]

LDAP

2012-11-08T13:21:58Z

Tomassrna: /* Automaticke vytvaranie home */

LDAP je protokol pro získávání/zapisování informací v stromové struktuře. Dnes se používá zejména pro jednotné přihlašování uživatelů do více aplikací.
[http://en.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol LDAP na wikipedii]

Klub Silicon Hill v rámci Informačního systému provozuje LDAP server, vůči kterým se můžou další aplikace ověřovat pomocí uživatelova hesla. Umožňujeme jak bind tak fastbind. Stávající implementace je pro všechny uživatele Read-only, veškeré změny uživatelských účtů je třeba dělat přes rozhraní informačního systému.

= Informace o serveru =

* Adresa: ldap.sh.cvut.cz
* Port: 636
* Používá SSL (ldaps://)
* Správce: [[Tomáš Srna]]
* Uživatelé v ou=People,dc=sh,dc=cvut,dc=cz
* Atribút uživateľského mena: uid
* Uživatel pro servery: cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz
* Heslo na vyžádání u správce
* Overenie cez userPassword, SSHA hash
* Vo výnimočných prípadoch možnosť NTLM overenia

== Autentizačné módy ==

* FastBind - Bind priamo užívateľom, pod ktorým sa hlási náš klient
* uid={username},ou=People,dc=sh,dc=cvut,dc=cz
* {password}
* Bind cez auth-user
* Horeuvedené údaje
* Vhodné pre mnohonásobné overovanie užívateľov s použitím jediného spojenia.

= Prerekvizita SSL =

'''Dôležité!''' Na Linuxe pokiaľ sa používajú ldap knižnice z OS (používa ich OS samotný, PHP, ...), je potrebné pridať certifikát autority.

Postup je nasledovný:

* V /etc/ldap/ldap.conf pridáme riadok
TLS_CACERT /etc/ssl/certs/ldap.pem

* Do spomínaného súboru /etc/ssl/certs/ldap.pem vložíme certifikát autority AddTrust:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

= Příklady použití / nastavení =

== LDAP Kontakty v Telefonu ==

'''iPhone'''
Nastavení -> Pošta, Kontakty, Kalendáře -> Přidat účet -> Jiný -> "Přidat účet LDAP"
* Server: ldap.sh.cvut.cz
* Uživatel: uid=**tvůj username**,ou=People,dc=sh,dc=cvut,dc=cz
* Heslo: Tvé heslo do ISu
* Popis: ldap.sh.cvut.cz
* Použít SSL: Ano
* Kritéria hledání: dc=sh,dc=cvut,dc=cz

== LDAP z příkazové řádky - ldapsearch ==

<pre>
# Balíček
aptitude install ldap-utils

# ~ Fastbind (zepta se na heslo pro username)
ldapsearch -h ldap.sh.cvut.cz -b "dc=sh,dc=cvut,dc=cz" -D "uid=username,ou=People,dc=sh,dc=cvut,dc=cz" -W uid=username

# ~ Bind (se systémovým účtem)
ldapsearch -h ldap.sh.cvut.cz -b "dc=sh,dc=cvut,dc=cz" -D "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz" -w *heslo_auth_usera* uid=username
</pre>

== Zend_Auth_Adapter_Ldap ==

'''application.ini'''
<pre>
ldap.is.host = ldap.sh.cvut.cz
ldap.is.port = 636
ldap.is.useSsl = true
ldap.is.useStartTls = true

ldap.is.bindRequiresDn = true
ldap.is.baseDn = "ou=People,dc=sh,dc=cvut,dc=cz"
ldap.is.accountCanonicalForm = 2

ldap.is.username = "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz"
ldap.is.password = "********"
</pre>

'''Přiklad přihlášení v kontextu Zend_Controller_Action''', [http://framework.zend.com/manual/1.12/en/zend.auth.adapter.ldap.html Více v dokumentaci]
<pre>
$auth=new Zend_Auth();

$username=$this->_getParam("username");
$password=$this->_getParam("password");

$bootstrap = $this->getInvokeArg('bootstrap');
$config=$bootstrap->getOptions();
$options = $config["ldap"];

$authAdapter=new Zend_Auth_Adapter_Ldap($options,$username,$password);

$result=$auth->authenticate($authAdapter);

if($result->isValid()) {
$ldap=$authAdapter->getLdap();
$user = $ldap->getEntry("uid=".$username.",".$options["is"]["baseDn"]);
echo "Uzivatel prihlasen";
print_r($user);
}
else {
echo "Spatne jmeno nebo heslo";
}
</pre>

== Ruby - FastBind ==

<pre>
require 'rubygems'
require 'net/ldap'
require 'io/console'

puts "Username:"
username = gets
puts "Password:"
password = STDIN.noecho(&:gets)

ldap = Net::LDAP.new(:encryption => :simple_tls)
ldap.host = "ldap.sh.cvut.cz"
ldap.port = 636
ldap.base = "ou=People,dc=sh,dc=cvut,dc=cz"
ldap.auth "uid=#{username.strip},"+ldap.base, password.strip
if ldap.bind
puts "authentication succeeded"
p ldap.search(
base: "ou=People,dc=sh,dc=cvut,dc=cz",
filter: Net::LDAP::Filter.eq("uid", username.strip),
attributes: %w[ givenName sn email SHservice ],
return_result:true
).inspect
else
puts "authentication failed"
end
</pre>

== PHP - bez frameworku ==
<?php
$user = "tomassrna";
$pass = "...";
$ldapConn = ldap_connect("ldaps://ldap.sh.cvut.cz", 636);
if($ldapConn)
{
$ldapBind = ldap_bind($ldapConn, "uid=".$user.",ou=People,dc=sh,dc=cvut,dc=cz", $pass);
if($ldapBind)
echo "SUCCESS\n";
else
{
echo "FAILED: ";
echo ldap_error($ldapConn)."\n";
}
}

== Microsoft Visual C# ==

Tak toto bol tazky boj...

* Pridame reference System.DirectoryServices

<pre>
using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Threading.Tasks;
using System.DirectoryServices;
using System.Collections;

namespace LDAP
{
class Program
{
static void Main(string[] args)
{
Dictionary<string, string[]> attrs;
if ((attrs = shLdap("tomassrna", "xxxxxx",
new[] { "mail", "uid", "SHservice", "SHadmin" }, "(&(uid=tomassrna)(SHservice=net))")) != null)
{
Console.WriteLine("Auth success!");
// Priklad vypisu vsetkych atributov
foreach(KeyValuePair<string, string[]> kv in attrs)
{
string k = kv.Key;
foreach (string v in kv.Value)
{
Console.WriteLine(k + "=" + v);
}
}
// Priklad ziskania single value
Console.WriteLine("E-mail: " + attrs["mail"][0]);
// Priklad ziskania multi value
Console.WriteLine("Spravovane servery: ");
foreach (string s in attrs["shadmin"])
{
Console.WriteLine(s);
}
}
else
Console.WriteLine("Auth failed!");

Console.Read();
}
static Dictionary<string, string[]> shLdap(string username, string password, string[] attrs, string filter = "")
{
try
{
DirectoryEntry de = new DirectoryEntry("LDAP://ldap.sh.cvut.cz:636/OU=People,DC=sh,DC=cvut,DC=cz",
"uid=" + username + ",ou=People,dc=sh,dc=cvut,dc=cz", password,
AuthenticationTypes.SecureSocketsLayer);
DirectorySearcher ds = new DirectorySearcher(de);
if (filter == "")
ds.Filter = "(uid=" + username + ")";
else
ds.Filter = filter;
foreach (string attr in attrs)
ds.PropertiesToLoad.Add(attr);
SearchResult sr = ds.FindOne();

Dictionary<string, string[]> res = new Dictionary<string, string[]>();
foreach (string prop in sr.Properties.PropertyNames)
{
var ar = new List<string>();
foreach (object oval in sr.Properties[prop])
{
string val = "";
if (oval is string)
val = (string)oval;
else if(oval is Byte[])
val = Encoding.UTF8.GetString((Byte[])oval, 0, ((Byte[])oval).Length);
ar.Add(val);
}
res[prop] = (string[])ar.ToArray();
}
return res;
}
catch (Exception)
{
return null;
}
}
}
}
</pre>

== Linux - prihlasovanie uzivatelov ==

Existuje niekolko sposobov, ako nakonfigurovat LDAP prihlasovanie na Linuxe. Niektore cesty su strastiplne, nechas u nich vsetky svoje nervy a potis krv.
Podme si ukazat sposob, ktory je jednoduchy a funguje.

Hned na zaciatku by som podotkol, ze <pre>getent passwd</pre> nikdy nebude fungovat na zobrazenie vsetkych uzivatelov. Je to politika zabezpecenia SH LDAP, ktora hovori, ze pouzivany '''auth-user''' nema pravo vidiet vsetkych uzivatelov, moze len hladat a autentifikovat. To nam staci.

Pre debug pouzivaj
<pre>id tomassrna</pre>

'''Poznamka:''' Vsetko je testovane na cistej instalacii Debian Squeeze

=== Prerekvizita ===
[[#Prerekvizita SSL]]

=== NSS ===

NSS resolvuje ciselne uidNumber na meno uzivalela. Stara sa napr. o prikaz id, alebo pri listovani adresara zobrazi uzivatela miesto cisla.

Nainstalujeme balik libnss-ldap'''d''' (pozor, existuje aj libnss-ldap, ktory je stary a tazky na konfiguraciu)

<pre>
aptitude install libnss-ldapd
</pre>

Pocas instalacie sa nas modra obrazovka spyta na:
* '''Name services to configure:''' group, passwd, shadow
* '''Meno LDAP servera:''' ldaps://ldap.sh.cvut.cz
* '''Base:''' dc=sh,dc=cvut,dc=cz

Doladime /etc/nslcd.conf
<pre>
uri ldaps://ldap.sh.cvut.cz
base dc=sh,dc=cvut,dc=cz
ldap_version 3
binddn cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz
bindpw <heslo na vyziadanie od admina LDAP>
ssl on
tls_reqcert allow
</pre>

Skontrolujeme, ze /etc/nsswitch.conf obsahuje:
<pre>
passwd: compat ldap
group: compat ldap
shadow: compat ldap
</pre>

Otestujeme
<pre>
root@test:~# id tomassrna
uid=16405(tomassrna) gid=513(shuser) groups=513(shuser)
</pre>

Ak nefunguje, tak:
<pre>
root@test:~# /etc/init.d/nscd restart
Restarting Name Service Cache Daemon: nscd.
root@test:~# /etc/init.d/nslcd restart
Restarting LDAP connection daemon: nslcd.
</pre>

=== PAM ===

PAM zaistuje samotne prihlasovanie na SSH, pripadne desktopu. Skvele je to, ze instalacia libnss-ldapd ako zavislost uz nakonfiguruje libpam-ldapd a dokonca s nim cez nslcd zdiela konfiguraciu /etc/nslcd.conf. Hovoril som, ze to bude bezbolestne, nie? :)

PAM mozeme ale este doladit, napr. vytvaranie home adresarov pri prvom prihlaseni, restrikcia moznosti prihlasit sa na SH sluzby, resp. ldap atributy obecne.

==== Automaticke vytvaranie home ====

Upravime /etc/pam.d/common-session, pridame na koniec suboru
<pre>
session required pam_mkhomedir.so skel=/etc/skel umask=0022
</pre>

= Seznam služeb a jejich správců, které LDAP používají =
* finance.sh [[Bronislav Robenek]]
* imap.sh [[Radim Roška]]
* zimbra.sh [[Radim Roška]]
* msdnaa.sh [[Michal Naiman]]
* git.sh [[Tomáš Srna]]
* news.sh [[Dominik Mališ]]
* shell.sh [[Václav Mach]]
* siliconhill.cz [[Dominik Mališ]]

LDAP

2012-11-08T13:20:55Z

Tomassrna: /* = Automaticke vytvaranie home */

LDAP je protokol pro získávání/zapisování informací v stromové struktuře. Dnes se používá zejména pro jednotné přihlašování uživatelů do více aplikací.
[http://en.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol LDAP na wikipedii]

Klub Silicon Hill v rámci Informačního systému provozuje LDAP server, vůči kterým se můžou další aplikace ověřovat pomocí uživatelova hesla. Umožňujeme jak bind tak fastbind. Stávající implementace je pro všechny uživatele Read-only, veškeré změny uživatelských účtů je třeba dělat přes rozhraní informačního systému.

= Informace o serveru =

* Adresa: ldap.sh.cvut.cz
* Port: 636
* Používá SSL (ldaps://)
* Správce: [[Tomáš Srna]]
* Uživatelé v ou=People,dc=sh,dc=cvut,dc=cz
* Atribút uživateľského mena: uid
* Uživatel pro servery: cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz
* Heslo na vyžádání u správce
* Overenie cez userPassword, SSHA hash
* Vo výnimočných prípadoch možnosť NTLM overenia

== Autentizačné módy ==

* FastBind - Bind priamo užívateľom, pod ktorým sa hlási náš klient
* uid={username},ou=People,dc=sh,dc=cvut,dc=cz
* {password}
* Bind cez auth-user
* Horeuvedené údaje
* Vhodné pre mnohonásobné overovanie užívateľov s použitím jediného spojenia.

= Prerekvizita SSL =

'''Dôležité!''' Na Linuxe pokiaľ sa používajú ldap knižnice z OS (používa ich OS samotný, PHP, ...), je potrebné pridať certifikát autority.

Postup je nasledovný:

* V /etc/ldap/ldap.conf pridáme riadok
TLS_CACERT /etc/ssl/certs/ldap.pem

* Do spomínaného súboru /etc/ssl/certs/ldap.pem vložíme certifikát autority AddTrust:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

= Příklady použití / nastavení =

== LDAP Kontakty v Telefonu ==

'''iPhone'''
Nastavení -> Pošta, Kontakty, Kalendáře -> Přidat účet -> Jiný -> "Přidat účet LDAP"
* Server: ldap.sh.cvut.cz
* Uživatel: uid=**tvůj username**,ou=People,dc=sh,dc=cvut,dc=cz
* Heslo: Tvé heslo do ISu
* Popis: ldap.sh.cvut.cz
* Použít SSL: Ano
* Kritéria hledání: dc=sh,dc=cvut,dc=cz

== LDAP z příkazové řádky - ldapsearch ==

<pre>
# Balíček
aptitude install ldap-utils

# ~ Fastbind (zepta se na heslo pro username)
ldapsearch -h ldap.sh.cvut.cz -b "dc=sh,dc=cvut,dc=cz" -D "uid=username,ou=People,dc=sh,dc=cvut,dc=cz" -W uid=username

# ~ Bind (se systémovým účtem)
ldapsearch -h ldap.sh.cvut.cz -b "dc=sh,dc=cvut,dc=cz" -D "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz" -w *heslo_auth_usera* uid=username
</pre>

== Zend_Auth_Adapter_Ldap ==

'''application.ini'''
<pre>
ldap.is.host = ldap.sh.cvut.cz
ldap.is.port = 636
ldap.is.useSsl = true
ldap.is.useStartTls = true

ldap.is.bindRequiresDn = true
ldap.is.baseDn = "ou=People,dc=sh,dc=cvut,dc=cz"
ldap.is.accountCanonicalForm = 2

ldap.is.username = "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz"
ldap.is.password = "********"
</pre>

'''Přiklad přihlášení v kontextu Zend_Controller_Action''', [http://framework.zend.com/manual/1.12/en/zend.auth.adapter.ldap.html Více v dokumentaci]
<pre>
$auth=new Zend_Auth();

$username=$this->_getParam("username");
$password=$this->_getParam("password");

$bootstrap = $this->getInvokeArg('bootstrap');
$config=$bootstrap->getOptions();
$options = $config["ldap"];

$authAdapter=new Zend_Auth_Adapter_Ldap($options,$username,$password);

$result=$auth->authenticate($authAdapter);

if($result->isValid()) {
$ldap=$authAdapter->getLdap();
$user = $ldap->getEntry("uid=".$username.",".$options["is"]["baseDn"]);
echo "Uzivatel prihlasen";
print_r($user);
}
else {
echo "Spatne jmeno nebo heslo";
}
</pre>

== Ruby - FastBind ==

<pre>
require 'rubygems'
require 'net/ldap'
require 'io/console'

puts "Username:"
username = gets
puts "Password:"
password = STDIN.noecho(&:gets)

ldap = Net::LDAP.new(:encryption => :simple_tls)
ldap.host = "ldap.sh.cvut.cz"
ldap.port = 636
ldap.base = "ou=People,dc=sh,dc=cvut,dc=cz"
ldap.auth "uid=#{username.strip},"+ldap.base, password.strip
if ldap.bind
puts "authentication succeeded"
p ldap.search(
base: "ou=People,dc=sh,dc=cvut,dc=cz",
filter: Net::LDAP::Filter.eq("uid", username.strip),
attributes: %w[ givenName sn email SHservice ],
return_result:true
).inspect
else
puts "authentication failed"
end
</pre>

== PHP - bez frameworku ==
<?php
$user = "tomassrna";
$pass = "...";
$ldapConn = ldap_connect("ldaps://ldap.sh.cvut.cz", 636);
if($ldapConn)
{
$ldapBind = ldap_bind($ldapConn, "uid=".$user.",ou=People,dc=sh,dc=cvut,dc=cz", $pass);
if($ldapBind)
echo "SUCCESS\n";
else
{
echo "FAILED: ";
echo ldap_error($ldapConn)."\n";
}
}

== Microsoft Visual C# ==

Tak toto bol tazky boj...

* Pridame reference System.DirectoryServices

<pre>
using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Threading.Tasks;
using System.DirectoryServices;
using System.Collections;

namespace LDAP
{
class Program
{
static void Main(string[] args)
{
Dictionary<string, string[]> attrs;
if ((attrs = shLdap("tomassrna", "xxxxxx",
new[] { "mail", "uid", "SHservice", "SHadmin" }, "(&(uid=tomassrna)(SHservice=net))")) != null)
{
Console.WriteLine("Auth success!");
// Priklad vypisu vsetkych atributov
foreach(KeyValuePair<string, string[]> kv in attrs)
{
string k = kv.Key;
foreach (string v in kv.Value)
{
Console.WriteLine(k + "=" + v);
}
}
// Priklad ziskania single value
Console.WriteLine("E-mail: " + attrs["mail"][0]);
// Priklad ziskania multi value
Console.WriteLine("Spravovane servery: ");
foreach (string s in attrs["shadmin"])
{
Console.WriteLine(s);
}
}
else
Console.WriteLine("Auth failed!");

Console.Read();
}
static Dictionary<string, string[]> shLdap(string username, string password, string[] attrs, string filter = "")
{
try
{
DirectoryEntry de = new DirectoryEntry("LDAP://ldap.sh.cvut.cz:636/OU=People,DC=sh,DC=cvut,DC=cz",
"uid=" + username + ",ou=People,dc=sh,dc=cvut,dc=cz", password,
AuthenticationTypes.SecureSocketsLayer);
DirectorySearcher ds = new DirectorySearcher(de);
if (filter == "")
ds.Filter = "(uid=" + username + ")";
else
ds.Filter = filter;
foreach (string attr in attrs)
ds.PropertiesToLoad.Add(attr);
SearchResult sr = ds.FindOne();

Dictionary<string, string[]> res = new Dictionary<string, string[]>();
foreach (string prop in sr.Properties.PropertyNames)
{
var ar = new List<string>();
foreach (object oval in sr.Properties[prop])
{
string val = "";
if (oval is string)
val = (string)oval;
else if(oval is Byte[])
val = Encoding.UTF8.GetString((Byte[])oval, 0, ((Byte[])oval).Length);
ar.Add(val);
}
res[prop] = (string[])ar.ToArray();
}
return res;
}
catch (Exception)
{
return null;
}
}
}
}
</pre>

== Linux - prihlasovanie uzivatelov ==

Existuje niekolko sposobov, ako nakonfigurovat LDAP prihlasovanie na Linuxe. Niektore cesty su strastiplne, nechas u nich vsetky svoje nervy a potis krv.
Podme si ukazat sposob, ktory je jednoduchy a funguje.

Hned na zaciatku by som podotkol, ze <pre>getent passwd</pre> nikdy nebude fungovat na zobrazenie vsetkych uzivatelov. Je to politika zabezpecenia SH LDAP, ktora hovori, ze pouzivany '''auth-user''' nema pravo vidiet vsetkych uzivatelov, moze len hladat a autentifikovat. To nam staci.

Pre debug pouzivaj
<pre>id tomassrna</pre>

'''Poznamka:''' Vsetko je testovane na cistej instalacii Debian Squeeze

=== Prerekvizita ===
[[#Prerekvizita SSL]]

=== NSS ===

NSS resolvuje ciselne uidNumber na meno uzivalela. Stara sa napr. o prikaz id, alebo pri listovani adresara zobrazi uzivatela miesto cisla.

Nainstalujeme balik libnss-ldap'''d''' (pozor, existuje aj libnss-ldap, ktory je stary a tazky na konfiguraciu)

<pre>
aptitude install libnss-ldapd
</pre>

Pocas instalacie sa nas modra obrazovka spyta na:
* '''Name services to configure:''' group, passwd, shadow
* '''Meno LDAP servera:''' ldaps://ldap.sh.cvut.cz
* '''Base:''' dc=sh,dc=cvut,dc=cz

Doladime /etc/nslcd.conf
<pre>
uri ldaps://ldap.sh.cvut.cz
base dc=sh,dc=cvut,dc=cz
ldap_version 3
binddn cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz
bindpw <heslo na vyziadanie od admina LDAP>
ssl on
tls_reqcert allow
</pre>

Skontrolujeme, ze /etc/nsswitch.conf obsahuje:
<pre>
passwd: compat ldap
group: compat ldap
shadow: compat ldap
</pre>

Otestujeme
<pre>
root@test:~# id tomassrna
uid=16405(tomassrna) gid=513(shuser) groups=513(shuser)
</pre>

Ak nefunguje, tak:
<pre>
root@test:~# /etc/init.d/nscd restart
Restarting Name Service Cache Daemon: nscd.
root@test:~# /etc/init.d/nslcd restart
Restarting LDAP connection daemon: nslcd.
</pre>

=== PAM ===

PAM zaistuje samotne prihlasovanie na SSH, pripadne desktopu. Skvele je to, ze instalacia libnss-ldapd ako zavislost uz nakonfiguruje libpam-ldapd a dokonca s nim cez nslcd zdiela konfiguraciu /etc/nslcd.conf. Hovoril som, ze to bude bezbolestne, nie? :)

PAM mozeme ale este doladit, napr. vytvaranie home adresarov pri prvom prihlaseni, restrikcia moznosti prihlasit sa na SH sluzby, resp. ldap atributy obecne.

==== Automaticke vytvaranie home ====

= Seznam služeb a jejich správců, které LDAP používají =
* finance.sh [[Bronislav Robenek]]
* imap.sh [[Radim Roška]]
* zimbra.sh [[Radim Roška]]
* msdnaa.sh [[Michal Naiman]]
* git.sh [[Tomáš Srna]]
* news.sh [[Dominik Mališ]]
* shell.sh [[Václav Mach]]
* siliconhill.cz [[Dominik Mališ]]

LDAP

2012-11-08T13:20:45Z

Tomassrna: /* PAM */

LDAP je protokol pro získávání/zapisování informací v stromové struktuře. Dnes se používá zejména pro jednotné přihlašování uživatelů do více aplikací.
[http://en.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol LDAP na wikipedii]

Klub Silicon Hill v rámci Informačního systému provozuje LDAP server, vůči kterým se můžou další aplikace ověřovat pomocí uživatelova hesla. Umožňujeme jak bind tak fastbind. Stávající implementace je pro všechny uživatele Read-only, veškeré změny uživatelských účtů je třeba dělat přes rozhraní informačního systému.

= Informace o serveru =

* Adresa: ldap.sh.cvut.cz
* Port: 636
* Používá SSL (ldaps://)
* Správce: [[Tomáš Srna]]
* Uživatelé v ou=People,dc=sh,dc=cvut,dc=cz
* Atribút uživateľského mena: uid
* Uživatel pro servery: cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz
* Heslo na vyžádání u správce
* Overenie cez userPassword, SSHA hash
* Vo výnimočných prípadoch možnosť NTLM overenia

== Autentizačné módy ==

* FastBind - Bind priamo užívateľom, pod ktorým sa hlási náš klient
* uid={username},ou=People,dc=sh,dc=cvut,dc=cz
* {password}
* Bind cez auth-user
* Horeuvedené údaje
* Vhodné pre mnohonásobné overovanie užívateľov s použitím jediného spojenia.

= Prerekvizita SSL =

'''Dôležité!''' Na Linuxe pokiaľ sa používajú ldap knižnice z OS (používa ich OS samotný, PHP, ...), je potrebné pridať certifikát autority.

Postup je nasledovný:

* V /etc/ldap/ldap.conf pridáme riadok
TLS_CACERT /etc/ssl/certs/ldap.pem

* Do spomínaného súboru /etc/ssl/certs/ldap.pem vložíme certifikát autority AddTrust:
-----BEGIN CERTIFICATE-----
MIIENjCCAx6gAwIBAgIBATANBgkqhkiG9w0BAQUFADBvMQswCQYDVQQGEwJTRTEU
MBIGA1UEChMLQWRkVHJ1c3QgQUIxJjAkBgNVBAsTHUFkZFRydXN0IEV4dGVybmFs
IFRUUCBOZXR3b3JrMSIwIAYDVQQDExlBZGRUcnVzdCBFeHRlcm5hbCBDQSBSb290
MB4XDTAwMDUzMDEwNDgzOFoXDTIwMDUzMDEwNDgzOFowbzELMAkGA1UEBhMCU0Ux
FDASBgNVBAoTC0FkZFRydXN0IEFCMSYwJAYDVQQLEx1BZGRUcnVzdCBFeHRlcm5h
bCBUVFAgTmV0d29yazEiMCAGA1UEAxMZQWRkVHJ1c3QgRXh0ZXJuYWwgQ0EgUm9v
dDCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBALf3GjPm8gAELTngTlvt
H7xsD821+iO2zt6bETOXpClMfZOfvUq8k+0DGuOPz+VtUFrWlymUWoCwSXrbLpX9
uMq/NzgtHj6RQa1wVsfwTz/oMp50ysiQVOnGXw94nZpAPA6sYapeFI+eh6FqUNzX
mk6vBbOmcZSccbNQYArHE504B4YCqOmoaSYYkKtMsE8jqzpPhNjfzp/haW+710LX
a0Tkx63ubUFfclpxCDezeWWkWaCUN/cALw3CknLa0Dhy2xSoRcRdKn23tNbE7qzN
E0S3ySvdQwAl+mG5aWpYIxG3pzOPVnVZ9c0p10a3CitlttNCbxWyuHv77+ldU9U0
WicCAwEAAaOB3DCB2TAdBgNVHQ4EFgQUrb2YejS0Jvf6xCZU7wO94CTLVBowCwYD
VR0PBAQDAgEGMA8GA1UdEwEB/wQFMAMBAf8wgZkGA1UdIwSBkTCBjoAUrb2YejS0
Jvf6xCZU7wO94CTLVBqhc6RxMG8xCzAJBgNVBAYTAlNFMRQwEgYDVQQKEwtBZGRU
cnVzdCBBQjEmMCQGA1UECxMdQWRkVHJ1c3QgRXh0ZXJuYWwgVFRQIE5ldHdvcmsx
IjAgBgNVBAMTGUFkZFRydXN0IEV4dGVybmFsIENBIFJvb3SCAQEwDQYJKoZIhvcN
AQEFBQADggEBALCb4IUlwtYj4g+WBpKdQZic2YR5gdkeWxQHIzZlj7DYd7usQWxH
YINRsPkyPef89iYTx4AWpb9a/IfPeHmJIZriTAcKhjW88t5RxNKWt9x+Tu5w/Rw5
6wwCURQtjr0W4MHfRnXnJK3s9EK0hZNwEGe6nQY1ShjTK3rMUUKhemPR5ruhxSvC
Nr4TDea9Y355e6cJDUCrat2PisP29owaQgVR1EX1n6diIWgVIEM8med8vSTYqZEX
c4g/VhsxOBi0cQ+azcgOno4uG+GMmIPLHzHxREzGBHNJdmAPx/i9F4BrLunMTA5a
mnkPIAou1Z5jJh5VkpTYghdae9C8x49OhgQ=
-----END CERTIFICATE-----

= Příklady použití / nastavení =

== LDAP Kontakty v Telefonu ==

'''iPhone'''
Nastavení -> Pošta, Kontakty, Kalendáře -> Přidat účet -> Jiný -> "Přidat účet LDAP"
* Server: ldap.sh.cvut.cz
* Uživatel: uid=**tvůj username**,ou=People,dc=sh,dc=cvut,dc=cz
* Heslo: Tvé heslo do ISu
* Popis: ldap.sh.cvut.cz
* Použít SSL: Ano
* Kritéria hledání: dc=sh,dc=cvut,dc=cz

== LDAP z příkazové řádky - ldapsearch ==

<pre>
# Balíček
aptitude install ldap-utils

# ~ Fastbind (zepta se na heslo pro username)
ldapsearch -h ldap.sh.cvut.cz -b "dc=sh,dc=cvut,dc=cz" -D "uid=username,ou=People,dc=sh,dc=cvut,dc=cz" -W uid=username

# ~ Bind (se systémovým účtem)
ldapsearch -h ldap.sh.cvut.cz -b "dc=sh,dc=cvut,dc=cz" -D "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz" -w *heslo_auth_usera* uid=username
</pre>

== Zend_Auth_Adapter_Ldap ==

'''application.ini'''
<pre>
ldap.is.host = ldap.sh.cvut.cz
ldap.is.port = 636
ldap.is.useSsl = true
ldap.is.useStartTls = true

ldap.is.bindRequiresDn = true
ldap.is.baseDn = "ou=People,dc=sh,dc=cvut,dc=cz"
ldap.is.accountCanonicalForm = 2

ldap.is.username = "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz"
ldap.is.password = "********"
</pre>

'''Přiklad přihlášení v kontextu Zend_Controller_Action''', [http://framework.zend.com/manual/1.12/en/zend.auth.adapter.ldap.html Více v dokumentaci]
<pre>
$auth=new Zend_Auth();

$username=$this->_getParam("username");
$password=$this->_getParam("password");

$bootstrap = $this->getInvokeArg('bootstrap');
$config=$bootstrap->getOptions();
$options = $config["ldap"];

$authAdapter=new Zend_Auth_Adapter_Ldap($options,$username,$password);

$result=$auth->authenticate($authAdapter);

if($result->isValid()) {
$ldap=$authAdapter->getLdap();
$user = $ldap->getEntry("uid=".$username.",".$options["is"]["baseDn"]);
echo "Uzivatel prihlasen";
print_r($user);
}
else {
echo "Spatne jmeno nebo heslo";
}
</pre>

== Ruby - FastBind ==

<pre>
require 'rubygems'
require 'net/ldap'
require 'io/console'

puts "Username:"
username = gets
puts "Password:"
password = STDIN.noecho(&:gets)

ldap = Net::LDAP.new(:encryption => :simple_tls)
ldap.host = "ldap.sh.cvut.cz"
ldap.port = 636
ldap.base = "ou=People,dc=sh,dc=cvut,dc=cz"
ldap.auth "uid=#{username.strip},"+ldap.base, password.strip
if ldap.bind
puts "authentication succeeded"
p ldap.search(
base: "ou=People,dc=sh,dc=cvut,dc=cz",
filter: Net::LDAP::Filter.eq("uid", username.strip),
attributes: %w[ givenName sn email SHservice ],
return_result:true
).inspect
else
puts "authentication failed"
end
</pre>

== PHP - bez frameworku ==
<?php
$user = "tomassrna";
$pass = "...";
$ldapConn = ldap_connect("ldaps://ldap.sh.cvut.cz", 636);
if($ldapConn)
{
$ldapBind = ldap_bind($ldapConn, "uid=".$user.",ou=People,dc=sh,dc=cvut,dc=cz", $pass);
if($ldapBind)
echo "SUCCESS\n";
else
{
echo "FAILED: ";
echo ldap_error($ldapConn)."\n";
}
}

== Microsoft Visual C# ==

Tak toto bol tazky boj...

* Pridame reference System.DirectoryServices

<pre>
using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Threading.Tasks;
using System.DirectoryServices;
using System.Collections;

namespace LDAP
{
class Program
{
static void Main(string[] args)
{
Dictionary<string, string[]> attrs;
if ((attrs = shLdap("tomassrna", "xxxxxx",
new[] { "mail", "uid", "SHservice", "SHadmin" }, "(&(uid=tomassrna)(SHservice=net))")) != null)
{
Console.WriteLine("Auth success!");
// Priklad vypisu vsetkych atributov
foreach(KeyValuePair<string, string[]> kv in attrs)
{
string k = kv.Key;
foreach (string v in kv.Value)
{
Console.WriteLine(k + "=" + v);
}
}
// Priklad ziskania single value
Console.WriteLine("E-mail: " + attrs["mail"][0]);
// Priklad ziskania multi value
Console.WriteLine("Spravovane servery: ");
foreach (string s in attrs["shadmin"])
{
Console.WriteLine(s);
}
}
else
Console.WriteLine("Auth failed!");

Console.Read();
}
static Dictionary<string, string[]> shLdap(string username, string password, string[] attrs, string filter = "")
{
try
{
DirectoryEntry de = new DirectoryEntry("LDAP://ldap.sh.cvut.cz:636/OU=People,DC=sh,DC=cvut,DC=cz",
"uid=" + username + ",ou=People,dc=sh,dc=cvut,dc=cz", password,
AuthenticationTypes.SecureSocketsLayer);
DirectorySearcher ds = new DirectorySearcher(de);
if (filter == "")
ds.Filter = "(uid=" + username + ")";
else
ds.Filter = filter;
foreach (string attr in attrs)
ds.PropertiesToLoad.Add(attr);
SearchResult sr = ds.FindOne();

Dictionary<string, string[]> res = new Dictionary<string, string[]>();
foreach (string prop in sr.Properties.PropertyNames)
{
var ar = new List<string>();
foreach (object oval in sr.Properties[prop])
{
string val = "";
if (oval is string)
val = (string)oval;
else if(oval is Byte[])
val = Encoding.UTF8.GetString((Byte[])oval, 0, ((Byte[])oval).Length);
ar.Add(val);
}
res[prop] = (string[])ar.ToArray();
}
return res;
}
catch (Exception)
{
return null;
}
}
}
}
</pre>

== Linux - prihlasovanie uzivatelov ==

Existuje niekolko sposobov, ako nakonfigurovat LDAP prihlasovanie na Linuxe. Niektore cesty su strastiplne, nechas u nich vsetky svoje nervy a potis krv.
Podme si ukazat sposob, ktory je jednoduchy a funguje.

Hned na zaciatku by som podotkol, ze <pre>getent passwd</pre> nikdy nebude fungovat na zobrazenie vsetkych uzivatelov. Je to politika zabezpecenia SH LDAP, ktora hovori, ze pouzivany '''auth-user''' nema pravo vidiet vsetkych uzivatelov, moze len hladat a autentifikovat. To nam staci.

Pre debug pouzivaj
<pre>id tomassrna</pre>

'''Poznamka:''' Vsetko je testovane na cistej instalacii Debian Squeeze

=== Prerekvizita ===
[[#Prerekvizita SSL]]

=== NSS ===

NSS resolvuje ciselne uidNumber na meno uzivalela. Stara sa napr. o prikaz id, alebo pri listovani adresara zobrazi uzivatela miesto cisla.

Nainstalujeme balik libnss-ldap'''d''' (pozor, existuje aj libnss-ldap, ktory je stary a tazky na konfiguraciu)

<pre>
aptitude install libnss-ldapd
</pre>

Pocas instalacie sa nas modra obrazovka spyta na:
* '''Name services to configure:''' group, passwd, shadow
* '''Meno LDAP servera:''' ldaps://ldap.sh.cvut.cz
* '''Base:''' dc=sh,dc=cvut,dc=cz

Doladime /etc/nslcd.conf
<pre>
uri ldaps://ldap.sh.cvut.cz
base dc=sh,dc=cvut,dc=cz
ldap_version 3
binddn cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz
bindpw <heslo na vyziadanie od admina LDAP>
ssl on
tls_reqcert allow
</pre>

Skontrolujeme, ze /etc/nsswitch.conf obsahuje:
<pre>
passwd: compat ldap
group: compat ldap
shadow: compat ldap
</pre>

Otestujeme
<pre>
root@test:~# id tomassrna
uid=16405(tomassrna) gid=513(shuser) groups=513(shuser)
</pre>

Ak nefunguje, tak:
<pre>
root@test:~# /etc/init.d/nscd restart
Restarting Name Service Cache Daemon: nscd.
root@test:~# /etc/init.d/nslcd restart
Restarting LDAP connection daemon: nslcd.
</pre>

=== PAM ===

PAM zaistuje samotne prihlasovanie na SSH, pripadne desktopu. Skvele je to, ze instalacia libnss-ldapd ako zavislost uz nakonfiguruje libpam-ldapd a dokonca s nim cez nslcd zdiela konfiguraciu /etc/nslcd.conf. Hovoril som, ze to bude bezbolestne, nie? :)

PAM mozeme ale este doladit, napr. vytvaranie home adresarov pri prvom prihlaseni, restrikcia moznosti prihlasit sa na SH sluzby, resp. ldap atributy obecne.

==== Automaticke vytvaranie home ===

= Seznam služeb a jejich správců, které LDAP používají =
* finance.sh [[Bronislav Robenek]]
* imap.sh [[Radim Roška]]
* zimbra.sh [[Radim Roška]]
* msdnaa.sh [[Michal Naiman]]
* git.sh [[Tomáš Srna]]
* news.sh [[Dominik Mališ]]
* shell.sh [[Václav Mach]]
* siliconhill.cz [[Dominik Mališ]]

LDAP

2012-11-08T13:19:21Z

Tomassrna: /* NSS */

LDAP je protokol pro získávání/zapisování informací v stromové struktuře. Dnes se používá zejména pro jednotné přihlašování uživatelů do více aplikací.
[http://en.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol LDAP na wikipedii]

Klub Silicon Hill v rámci Informačního systému provozuje LDAP server, vůči kterým se můžou další aplikace ověřovat pomocí uživatelova hesla. Umožňujeme jak bind tak fastbind. Stávající implementace je pro všechny uživatele Read-only, veškeré změny uživatelských účtů je třeba dělat přes rozhraní informačního systému.

= Informace o serveru =

* Adresa: ldap.sh.cvut.cz
* Port: 636
* Používá SSL (ldaps://)
* Správce: [[Tomáš Srna]]
* Uživatelé v ou=People,dc=sh,dc=cvut,dc=cz
* Atribút uživateľského mena: uid
* Uživatel pro servery: cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz
* Heslo na vyžádání u správce
* Overenie cez userPassword, SSHA hash
* Vo výnimočných prípadoch možnosť NTLM overenia

== Autentizačné módy ==

* FastBind - Bind priamo užívateľom, pod ktorým sa hlási náš klient
* uid={username},ou=People,dc=sh,dc=cvut,dc=cz
* {password}
* Bind cez auth-user
* Horeuvedené údaje
* Vhodné pre mnohonásobné overovanie užívateľov s použitím jediného spojenia.

= Prerekvizita SSL =

'''Dôležité!''' Na Linuxe pokiaľ sa používajú ldap knižnice z OS (používa ich OS samotný, PHP, ...), je potrebné pridať certifikát autority.

Postup je nasledovný:

* V /etc/ldap/ldap.conf pridáme riadok
TLS_CACERT /etc/ssl/certs/ldap.pem

* Do spomínaného súboru /etc/ssl/certs/ldap.pem vložíme certifikát autority AddTrust:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

= Příklady použití / nastavení =

== LDAP Kontakty v Telefonu ==

'''iPhone'''
Nastavení -> Pošta, Kontakty, Kalendáře -> Přidat účet -> Jiný -> "Přidat účet LDAP"
* Server: ldap.sh.cvut.cz
* Uživatel: uid=**tvůj username**,ou=People,dc=sh,dc=cvut,dc=cz
* Heslo: Tvé heslo do ISu
* Popis: ldap.sh.cvut.cz
* Použít SSL: Ano
* Kritéria hledání: dc=sh,dc=cvut,dc=cz

== LDAP z příkazové řádky - ldapsearch ==

<pre>
# Balíček
aptitude install ldap-utils

# ~ Fastbind (zepta se na heslo pro username)
ldapsearch -h ldap.sh.cvut.cz -b "dc=sh,dc=cvut,dc=cz" -D "uid=username,ou=People,dc=sh,dc=cvut,dc=cz" -W uid=username

# ~ Bind (se systémovým účtem)
ldapsearch -h ldap.sh.cvut.cz -b "dc=sh,dc=cvut,dc=cz" -D "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz" -w *heslo_auth_usera* uid=username
</pre>

== Zend_Auth_Adapter_Ldap ==

'''application.ini'''
<pre>
ldap.is.host = ldap.sh.cvut.cz
ldap.is.port = 636
ldap.is.useSsl = true
ldap.is.useStartTls = true

ldap.is.bindRequiresDn = true
ldap.is.baseDn = "ou=People,dc=sh,dc=cvut,dc=cz"
ldap.is.accountCanonicalForm = 2

ldap.is.username = "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz"
ldap.is.password = "********"
</pre>

'''Přiklad přihlášení v kontextu Zend_Controller_Action''', [http://framework.zend.com/manual/1.12/en/zend.auth.adapter.ldap.html Více v dokumentaci]
<pre>
$auth=new Zend_Auth();

$username=$this->_getParam("username");
$password=$this->_getParam("password");

$bootstrap = $this->getInvokeArg('bootstrap');
$config=$bootstrap->getOptions();
$options = $config["ldap"];

$authAdapter=new Zend_Auth_Adapter_Ldap($options,$username,$password);

$result=$auth->authenticate($authAdapter);

if($result->isValid()) {
$ldap=$authAdapter->getLdap();
$user = $ldap->getEntry("uid=".$username.",".$options["is"]["baseDn"]);
echo "Uzivatel prihlasen";
print_r($user);
}
else {
echo "Spatne jmeno nebo heslo";
}
</pre>

== Ruby - FastBind ==

<pre>
require 'rubygems'
require 'net/ldap'
require 'io/console'

puts "Username:"
username = gets
puts "Password:"
password = STDIN.noecho(&:gets)

ldap = Net::LDAP.new(:encryption => :simple_tls)
ldap.host = "ldap.sh.cvut.cz"
ldap.port = 636
ldap.base = "ou=People,dc=sh,dc=cvut,dc=cz"
ldap.auth "uid=#{username.strip},"+ldap.base, password.strip
if ldap.bind
puts "authentication succeeded"
p ldap.search(
base: "ou=People,dc=sh,dc=cvut,dc=cz",
filter: Net::LDAP::Filter.eq("uid", username.strip),
attributes: %w[ givenName sn email SHservice ],
return_result:true
).inspect
else
puts "authentication failed"
end
</pre>

== PHP - bez frameworku ==
<?php
$user = "tomassrna";
$pass = "...";
$ldapConn = ldap_connect("ldaps://ldap.sh.cvut.cz", 636);
if($ldapConn)
{
$ldapBind = ldap_bind($ldapConn, "uid=".$user.",ou=People,dc=sh,dc=cvut,dc=cz", $pass);
if($ldapBind)
echo "SUCCESS\n";
else
{
echo "FAILED: ";
echo ldap_error($ldapConn)."\n";
}
}

== Microsoft Visual C# ==

Tak toto bol tazky boj...

* Pridame reference System.DirectoryServices

<pre>
using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Threading.Tasks;
using System.DirectoryServices;
using System.Collections;

namespace LDAP
{
class Program
{
static void Main(string[] args)
{
Dictionary<string, string[]> attrs;
if ((attrs = shLdap("tomassrna", "xxxxxx",
new[] { "mail", "uid", "SHservice", "SHadmin" }, "(&(uid=tomassrna)(SHservice=net))")) != null)
{
Console.WriteLine("Auth success!");
// Priklad vypisu vsetkych atributov
foreach(KeyValuePair<string, string[]> kv in attrs)
{
string k = kv.Key;
foreach (string v in kv.Value)
{
Console.WriteLine(k + "=" + v);
}
}
// Priklad ziskania single value
Console.WriteLine("E-mail: " + attrs["mail"][0]);
// Priklad ziskania multi value
Console.WriteLine("Spravovane servery: ");
foreach (string s in attrs["shadmin"])
{
Console.WriteLine(s);
}
}
else
Console.WriteLine("Auth failed!");

Console.Read();
}
static Dictionary<string, string[]> shLdap(string username, string password, string[] attrs, string filter = "")
{
try
{
DirectoryEntry de = new DirectoryEntry("LDAP://ldap.sh.cvut.cz:636/OU=People,DC=sh,DC=cvut,DC=cz",
"uid=" + username + ",ou=People,dc=sh,dc=cvut,dc=cz", password,
AuthenticationTypes.SecureSocketsLayer);
DirectorySearcher ds = new DirectorySearcher(de);
if (filter == "")
ds.Filter = "(uid=" + username + ")";
else
ds.Filter = filter;
foreach (string attr in attrs)
ds.PropertiesToLoad.Add(attr);
SearchResult sr = ds.FindOne();

Dictionary<string, string[]> res = new Dictionary<string, string[]>();
foreach (string prop in sr.Properties.PropertyNames)
{
var ar = new List<string>();
foreach (object oval in sr.Properties[prop])
{
string val = "";
if (oval is string)
val = (string)oval;
else if(oval is Byte[])
val = Encoding.UTF8.GetString((Byte[])oval, 0, ((Byte[])oval).Length);
ar.Add(val);
}
res[prop] = (string[])ar.ToArray();
}
return res;
}
catch (Exception)
{
return null;
}
}
}
}
</pre>

== Linux - prihlasovanie uzivatelov ==

Existuje niekolko sposobov, ako nakonfigurovat LDAP prihlasovanie na Linuxe. Niektore cesty su strastiplne, nechas u nich vsetky svoje nervy a potis krv.
Podme si ukazat sposob, ktory je jednoduchy a funguje.

Hned na zaciatku by som podotkol, ze <pre>getent passwd</pre> nikdy nebude fungovat na zobrazenie vsetkych uzivatelov. Je to politika zabezpecenia SH LDAP, ktora hovori, ze pouzivany '''auth-user''' nema pravo vidiet vsetkych uzivatelov, moze len hladat a autentifikovat. To nam staci.

Pre debug pouzivaj
<pre>id tomassrna</pre>

'''Poznamka:''' Vsetko je testovane na cistej instalacii Debian Squeeze

=== Prerekvizita ===
[[#Prerekvizita SSL]]

=== NSS ===

NSS resolvuje ciselne uidNumber na meno uzivalela. Stara sa napr. o prikaz id, alebo pri listovani adresara zobrazi uzivatela miesto cisla.

Nainstalujeme balik libnss-ldap'''d''' (pozor, existuje aj libnss-ldap, ktory je stary a tazky na konfiguraciu)

<pre>
aptitude install libnss-ldapd
</pre>

Pocas instalacie sa nas modra obrazovka spyta na:
* '''Name services to configure:''' group, passwd, shadow
* '''Meno LDAP servera:''' ldaps://ldap.sh.cvut.cz
* '''Base:''' dc=sh,dc=cvut,dc=cz

Doladime /etc/nslcd.conf
<pre>
uri ldaps://ldap.sh.cvut.cz
base dc=sh,dc=cvut,dc=cz
ldap_version 3
binddn cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz
bindpw <heslo na vyziadanie od admina LDAP>
ssl on
tls_reqcert allow
</pre>

Skontrolujeme, ze /etc/nsswitch.conf obsahuje:
<pre>
passwd: compat ldap
group: compat ldap
shadow: compat ldap
</pre>

Otestujeme
<pre>
root@test:~# id tomassrna
uid=16405(tomassrna) gid=513(shuser) groups=513(shuser)
</pre>

Ak nefunguje, tak:
<pre>
root@test:~# /etc/init.d/nscd restart
Restarting Name Service Cache Daemon: nscd.
root@test:~# /etc/init.d/nslcd restart
Restarting LDAP connection daemon: nslcd.
</pre>

=== PAM ===

PAM zaistuje samotne prihlasovanie na SSH, pripadne desktopu. Skvele je to, ze instalacia libnss-ldapd ako zavislost uz nakonfiguruje libpam-ldapd a dokonca s nim cez nslcd zdiela konfiguraciu /etc/nslcd.conf. Hovoril som, ze to bude bezbolestne, nie? :)

= Seznam služeb a jejich správců, které LDAP používají =
* finance.sh [[Bronislav Robenek]]
* imap.sh [[Radim Roška]]
* zimbra.sh [[Radim Roška]]
* msdnaa.sh [[Michal Naiman]]
* git.sh [[Tomáš Srna]]
* news.sh [[Dominik Mališ]]
* shell.sh [[Václav Mach]]
* siliconhill.cz [[Dominik Mališ]]

LDAP

2012-11-08T13:14:47Z

Tomassrna: /* NSS */

LDAP je protokol pro získávání/zapisování informací v stromové struktuře. Dnes se používá zejména pro jednotné přihlašování uživatelů do více aplikací.
[http://en.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol LDAP na wikipedii]

Klub Silicon Hill v rámci Informačního systému provozuje LDAP server, vůči kterým se můžou další aplikace ověřovat pomocí uživatelova hesla. Umožňujeme jak bind tak fastbind. Stávající implementace je pro všechny uživatele Read-only, veškeré změny uživatelských účtů je třeba dělat přes rozhraní informačního systému.

= Informace o serveru =

* Adresa: ldap.sh.cvut.cz
* Port: 636
* Používá SSL (ldaps://)
* Správce: [[Tomáš Srna]]
* Uživatelé v ou=People,dc=sh,dc=cvut,dc=cz
* Atribút uživateľského mena: uid
* Uživatel pro servery: cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz
* Heslo na vyžádání u správce
* Overenie cez userPassword, SSHA hash
* Vo výnimočných prípadoch možnosť NTLM overenia

== Autentizačné módy ==

* FastBind - Bind priamo užívateľom, pod ktorým sa hlási náš klient
* uid={username},ou=People,dc=sh,dc=cvut,dc=cz
* {password}
* Bind cez auth-user
* Horeuvedené údaje
* Vhodné pre mnohonásobné overovanie užívateľov s použitím jediného spojenia.

= Prerekvizita SSL =

'''Dôležité!''' Na Linuxe pokiaľ sa používajú ldap knižnice z OS (používa ich OS samotný, PHP, ...), je potrebné pridať certifikát autority.

Postup je nasledovný:

* V /etc/ldap/ldap.conf pridáme riadok
TLS_CACERT /etc/ssl/certs/ldap.pem

* Do spomínaného súboru /etc/ssl/certs/ldap.pem vložíme certifikát autority AddTrust:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

= Příklady použití / nastavení =

== LDAP Kontakty v Telefonu ==

'''iPhone'''
Nastavení -> Pošta, Kontakty, Kalendáře -> Přidat účet -> Jiný -> "Přidat účet LDAP"
* Server: ldap.sh.cvut.cz
* Uživatel: uid=**tvůj username**,ou=People,dc=sh,dc=cvut,dc=cz
* Heslo: Tvé heslo do ISu
* Popis: ldap.sh.cvut.cz
* Použít SSL: Ano
* Kritéria hledání: dc=sh,dc=cvut,dc=cz

== LDAP z příkazové řádky - ldapsearch ==

<pre>
# Balíček
aptitude install ldap-utils

# ~ Fastbind (zepta se na heslo pro username)
ldapsearch -h ldap.sh.cvut.cz -b "dc=sh,dc=cvut,dc=cz" -D "uid=username,ou=People,dc=sh,dc=cvut,dc=cz" -W uid=username

# ~ Bind (se systémovým účtem)
ldapsearch -h ldap.sh.cvut.cz -b "dc=sh,dc=cvut,dc=cz" -D "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz" -w *heslo_auth_usera* uid=username
</pre>

== Zend_Auth_Adapter_Ldap ==

'''application.ini'''
<pre>
ldap.is.host = ldap.sh.cvut.cz
ldap.is.port = 636
ldap.is.useSsl = true
ldap.is.useStartTls = true

ldap.is.bindRequiresDn = true
ldap.is.baseDn = "ou=People,dc=sh,dc=cvut,dc=cz"
ldap.is.accountCanonicalForm = 2

ldap.is.username = "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz"
ldap.is.password = "********"
</pre>

'''Přiklad přihlášení v kontextu Zend_Controller_Action''', [http://framework.zend.com/manual/1.12/en/zend.auth.adapter.ldap.html Více v dokumentaci]
<pre>
$auth=new Zend_Auth();

$username=$this->_getParam("username");
$password=$this->_getParam("password");

$bootstrap = $this->getInvokeArg('bootstrap');
$config=$bootstrap->getOptions();
$options = $config["ldap"];

$authAdapter=new Zend_Auth_Adapter_Ldap($options,$username,$password);

$result=$auth->authenticate($authAdapter);

if($result->isValid()) {
$ldap=$authAdapter->getLdap();
$user = $ldap->getEntry("uid=".$username.",".$options["is"]["baseDn"]);
echo "Uzivatel prihlasen";
print_r($user);
}
else {
echo "Spatne jmeno nebo heslo";
}
</pre>

== Ruby - FastBind ==

<pre>
require 'rubygems'
require 'net/ldap'
require 'io/console'

puts "Username:"
username = gets
puts "Password:"
password = STDIN.noecho(&:gets)

ldap = Net::LDAP.new(:encryption => :simple_tls)
ldap.host = "ldap.sh.cvut.cz"
ldap.port = 636
ldap.base = "ou=People,dc=sh,dc=cvut,dc=cz"
ldap.auth "uid=#{username.strip},"+ldap.base, password.strip
if ldap.bind
puts "authentication succeeded"
p ldap.search(
base: "ou=People,dc=sh,dc=cvut,dc=cz",
filter: Net::LDAP::Filter.eq("uid", username.strip),
attributes: %w[ givenName sn email SHservice ],
return_result:true
).inspect
else
puts "authentication failed"
end
</pre>

== PHP - bez frameworku ==
<?php
$user = "tomassrna";
$pass = "...";
$ldapConn = ldap_connect("ldaps://ldap.sh.cvut.cz", 636);
if($ldapConn)
{
$ldapBind = ldap_bind($ldapConn, "uid=".$user.",ou=People,dc=sh,dc=cvut,dc=cz", $pass);
if($ldapBind)
echo "SUCCESS\n";
else
{
echo "FAILED: ";
echo ldap_error($ldapConn)."\n";
}
}

== Microsoft Visual C# ==

Tak toto bol tazky boj...

* Pridame reference System.DirectoryServices

<pre>
using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Threading.Tasks;
using System.DirectoryServices;
using System.Collections;

namespace LDAP
{
class Program
{
static void Main(string[] args)
{
Dictionary<string, string[]> attrs;
if ((attrs = shLdap("tomassrna", "xxxxxx",
new[] { "mail", "uid", "SHservice", "SHadmin" }, "(&(uid=tomassrna)(SHservice=net))")) != null)
{
Console.WriteLine("Auth success!");
// Priklad vypisu vsetkych atributov
foreach(KeyValuePair<string, string[]> kv in attrs)
{
string k = kv.Key;
foreach (string v in kv.Value)
{
Console.WriteLine(k + "=" + v);
}
}
// Priklad ziskania single value
Console.WriteLine("E-mail: " + attrs["mail"][0]);
// Priklad ziskania multi value
Console.WriteLine("Spravovane servery: ");
foreach (string s in attrs["shadmin"])
{
Console.WriteLine(s);
}
}
else
Console.WriteLine("Auth failed!");

Console.Read();
}
static Dictionary<string, string[]> shLdap(string username, string password, string[] attrs, string filter = "")
{
try
{
DirectoryEntry de = new DirectoryEntry("LDAP://ldap.sh.cvut.cz:636/OU=People,DC=sh,DC=cvut,DC=cz",
"uid=" + username + ",ou=People,dc=sh,dc=cvut,dc=cz", password,
AuthenticationTypes.SecureSocketsLayer);
DirectorySearcher ds = new DirectorySearcher(de);
if (filter == "")
ds.Filter = "(uid=" + username + ")";
else
ds.Filter = filter;
foreach (string attr in attrs)
ds.PropertiesToLoad.Add(attr);
SearchResult sr = ds.FindOne();

Dictionary<string, string[]> res = new Dictionary<string, string[]>();
foreach (string prop in sr.Properties.PropertyNames)
{
var ar = new List<string>();
foreach (object oval in sr.Properties[prop])
{
string val = "";
if (oval is string)
val = (string)oval;
else if(oval is Byte[])
val = Encoding.UTF8.GetString((Byte[])oval, 0, ((Byte[])oval).Length);
ar.Add(val);
}
res[prop] = (string[])ar.ToArray();
}
return res;
}
catch (Exception)
{
return null;
}
}
}
}
</pre>

== Linux - prihlasovanie uzivatelov ==

Existuje niekolko sposobov, ako nakonfigurovat LDAP prihlasovanie na Linuxe. Niektore cesty su strastiplne, nechas u nich vsetky svoje nervy a potis krv.
Podme si ukazat sposob, ktory je jednoduchy a funguje.

Hned na zaciatku by som podotkol, ze <pre>getent passwd</pre> nikdy nebude fungovat na zobrazenie vsetkych uzivatelov. Je to politika zabezpecenia SH LDAP, ktora hovori, ze pouzivany '''auth-user''' nema pravo vidiet vsetkych uzivatelov, moze len hladat a autentifikovat. To nam staci.

Pre debug pouzivaj
<pre>id tomassrna</pre>

'''Poznamka:''' Vsetko je testovane na cistej instalacii Debian Squeeze

=== Prerekvizita ===
[[#Prerekvizita SSL]]

=== NSS ===

NSS resolvuje ciselne uidNumber na meno uzivalela. Stara sa napr. o prikaz id, alebo pri listovani adresara zobrazi uzivatela miesto cisla.

Nainstalujeme balik libnss-ldap'''d''' (pozor, existuje aj libnss-ldap, ktory je stary a tazky na konfiguraciu)

<pre>
aptitude install libnss-ldapd
</pre>

Pocas instalacie sa nas modra obrazovka spyta na:
* '''Name services to configure:''' group, passwd, shadow
* '''Meno LDAP servera:''' ldaps://ldap.sh.cvut.cz
* '''Base:''' dc=sh,dc=cvut,dc=cz

Doladime /etc/nslcd.conf
<pre>
uri ldaps://ldap.sh.cvut.cz
base dc=sh,dc=cvut,dc=cz
ldap_version 3
binddn cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz
bindpw <heslo na vyziadanie od admina LDAP>
ssl on
tls_reqcert allow
</pre>

Skontrolujeme, ze /etc/nsswitch.conf obsahuje:
<pre>
passwd: compat ldap
group: compat ldap
shadow: compat ldap
</pre>

Otestujeme
<pre>
root@test:~# id tomassrna
uid=16405(tomassrna) gid=513(shuser) groups=513(shuser)
</pre>

Ak nefunguje, tak:
<pre>
root@test:~# /etc/init.d/nscd restart
Restarting Name Service Cache Daemon: nscd.
root@test:~# /etc/init.d/nslcd restart
Restarting LDAP connection daemon: nslcd.
</pre>

= Seznam služeb a jejich správců, které LDAP používají =
* finance.sh [[Bronislav Robenek]]
* imap.sh [[Radim Roška]]
* zimbra.sh [[Radim Roška]]
* msdnaa.sh [[Michal Naiman]]
* git.sh [[Tomáš Srna]]
* news.sh [[Dominik Mališ]]
* shell.sh [[Václav Mach]]
* siliconhill.cz [[Dominik Mališ]]

LDAP

2012-11-08T13:12:57Z

Tomassrna: /* NSS */

LDAP je protokol pro získávání/zapisování informací v stromové struktuře. Dnes se používá zejména pro jednotné přihlašování uživatelů do více aplikací.
[http://en.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol LDAP na wikipedii]

Klub Silicon Hill v rámci Informačního systému provozuje LDAP server, vůči kterým se můžou další aplikace ověřovat pomocí uživatelova hesla. Umožňujeme jak bind tak fastbind. Stávající implementace je pro všechny uživatele Read-only, veškeré změny uživatelských účtů je třeba dělat přes rozhraní informačního systému.

= Informace o serveru =

* Adresa: ldap.sh.cvut.cz
* Port: 636
* Používá SSL (ldaps://)
* Správce: [[Tomáš Srna]]
* Uživatelé v ou=People,dc=sh,dc=cvut,dc=cz
* Atribút uživateľského mena: uid
* Uživatel pro servery: cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz
* Heslo na vyžádání u správce
* Overenie cez userPassword, SSHA hash
* Vo výnimočných prípadoch možnosť NTLM overenia

== Autentizačné módy ==

* FastBind - Bind priamo užívateľom, pod ktorým sa hlási náš klient
* uid={username},ou=People,dc=sh,dc=cvut,dc=cz
* {password}
* Bind cez auth-user
* Horeuvedené údaje
* Vhodné pre mnohonásobné overovanie užívateľov s použitím jediného spojenia.

= Prerekvizita SSL =

'''Dôležité!''' Na Linuxe pokiaľ sa používajú ldap knižnice z OS (používa ich OS samotný, PHP, ...), je potrebné pridať certifikát autority.

Postup je nasledovný:

* V /etc/ldap/ldap.conf pridáme riadok
TLS_CACERT /etc/ssl/certs/ldap.pem

* Do spomínaného súboru /etc/ssl/certs/ldap.pem vložíme certifikát autority AddTrust:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

= Příklady použití / nastavení =

== LDAP Kontakty v Telefonu ==

'''iPhone'''
Nastavení -> Pošta, Kontakty, Kalendáře -> Přidat účet -> Jiný -> "Přidat účet LDAP"
* Server: ldap.sh.cvut.cz
* Uživatel: uid=**tvůj username**,ou=People,dc=sh,dc=cvut,dc=cz
* Heslo: Tvé heslo do ISu
* Popis: ldap.sh.cvut.cz
* Použít SSL: Ano
* Kritéria hledání: dc=sh,dc=cvut,dc=cz

== LDAP z příkazové řádky - ldapsearch ==

<pre>
# Balíček
aptitude install ldap-utils

# ~ Fastbind (zepta se na heslo pro username)
ldapsearch -h ldap.sh.cvut.cz -b "dc=sh,dc=cvut,dc=cz" -D "uid=username,ou=People,dc=sh,dc=cvut,dc=cz" -W uid=username

# ~ Bind (se systémovým účtem)
ldapsearch -h ldap.sh.cvut.cz -b "dc=sh,dc=cvut,dc=cz" -D "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz" -w *heslo_auth_usera* uid=username
</pre>

== Zend_Auth_Adapter_Ldap ==

'''application.ini'''
<pre>
ldap.is.host = ldap.sh.cvut.cz
ldap.is.port = 636
ldap.is.useSsl = true
ldap.is.useStartTls = true

ldap.is.bindRequiresDn = true
ldap.is.baseDn = "ou=People,dc=sh,dc=cvut,dc=cz"
ldap.is.accountCanonicalForm = 2

ldap.is.username = "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz"
ldap.is.password = "********"
</pre>

'''Přiklad přihlášení v kontextu Zend_Controller_Action''', [http://framework.zend.com/manual/1.12/en/zend.auth.adapter.ldap.html Více v dokumentaci]
<pre>
$auth=new Zend_Auth();

$username=$this->_getParam("username");
$password=$this->_getParam("password");

$bootstrap = $this->getInvokeArg('bootstrap');
$config=$bootstrap->getOptions();
$options = $config["ldap"];

$authAdapter=new Zend_Auth_Adapter_Ldap($options,$username,$password);

$result=$auth->authenticate($authAdapter);

if($result->isValid()) {
$ldap=$authAdapter->getLdap();
$user = $ldap->getEntry("uid=".$username.",".$options["is"]["baseDn"]);
echo "Uzivatel prihlasen";
print_r($user);
}
else {
echo "Spatne jmeno nebo heslo";
}
</pre>

== Ruby - FastBind ==

<pre>
require 'rubygems'
require 'net/ldap'
require 'io/console'

puts "Username:"
username = gets
puts "Password:"
password = STDIN.noecho(&:gets)

ldap = Net::LDAP.new(:encryption => :simple_tls)
ldap.host = "ldap.sh.cvut.cz"
ldap.port = 636
ldap.base = "ou=People,dc=sh,dc=cvut,dc=cz"
ldap.auth "uid=#{username.strip},"+ldap.base, password.strip
if ldap.bind
puts "authentication succeeded"
p ldap.search(
base: "ou=People,dc=sh,dc=cvut,dc=cz",
filter: Net::LDAP::Filter.eq("uid", username.strip),
attributes: %w[ givenName sn email SHservice ],
return_result:true
).inspect
else
puts "authentication failed"
end
</pre>

== PHP - bez frameworku ==
<?php
$user = "tomassrna";
$pass = "...";
$ldapConn = ldap_connect("ldaps://ldap.sh.cvut.cz", 636);
if($ldapConn)
{
$ldapBind = ldap_bind($ldapConn, "uid=".$user.",ou=People,dc=sh,dc=cvut,dc=cz", $pass);
if($ldapBind)
echo "SUCCESS\n";
else
{
echo "FAILED: ";
echo ldap_error($ldapConn)."\n";
}
}

== Microsoft Visual C# ==

Tak toto bol tazky boj...

* Pridame reference System.DirectoryServices

<pre>
using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Threading.Tasks;
using System.DirectoryServices;
using System.Collections;

namespace LDAP
{
class Program
{
static void Main(string[] args)
{
Dictionary<string, string[]> attrs;
if ((attrs = shLdap("tomassrna", "xxxxxx",
new[] { "mail", "uid", "SHservice", "SHadmin" }, "(&(uid=tomassrna)(SHservice=net))")) != null)
{
Console.WriteLine("Auth success!");
// Priklad vypisu vsetkych atributov
foreach(KeyValuePair<string, string[]> kv in attrs)
{
string k = kv.Key;
foreach (string v in kv.Value)
{
Console.WriteLine(k + "=" + v);
}
}
// Priklad ziskania single value
Console.WriteLine("E-mail: " + attrs["mail"][0]);
// Priklad ziskania multi value
Console.WriteLine("Spravovane servery: ");
foreach (string s in attrs["shadmin"])
{
Console.WriteLine(s);
}
}
else
Console.WriteLine("Auth failed!");

Console.Read();
}
static Dictionary<string, string[]> shLdap(string username, string password, string[] attrs, string filter = "")
{
try
{
DirectoryEntry de = new DirectoryEntry("LDAP://ldap.sh.cvut.cz:636/OU=People,DC=sh,DC=cvut,DC=cz",
"uid=" + username + ",ou=People,dc=sh,dc=cvut,dc=cz", password,
AuthenticationTypes.SecureSocketsLayer);
DirectorySearcher ds = new DirectorySearcher(de);
if (filter == "")
ds.Filter = "(uid=" + username + ")";
else
ds.Filter = filter;
foreach (string attr in attrs)
ds.PropertiesToLoad.Add(attr);
SearchResult sr = ds.FindOne();

Dictionary<string, string[]> res = new Dictionary<string, string[]>();
foreach (string prop in sr.Properties.PropertyNames)
{
var ar = new List<string>();
foreach (object oval in sr.Properties[prop])
{
string val = "";
if (oval is string)
val = (string)oval;
else if(oval is Byte[])
val = Encoding.UTF8.GetString((Byte[])oval, 0, ((Byte[])oval).Length);
ar.Add(val);
}
res[prop] = (string[])ar.ToArray();
}
return res;
}
catch (Exception)
{
return null;
}
}
}
}
</pre>

== Linux - prihlasovanie uzivatelov ==

Existuje niekolko sposobov, ako nakonfigurovat LDAP prihlasovanie na Linuxe. Niektore cesty su strastiplne, nechas u nich vsetky svoje nervy a potis krv.
Podme si ukazat sposob, ktory je jednoduchy a funguje.

Hned na zaciatku by som podotkol, ze <pre>getent passwd</pre> nikdy nebude fungovat na zobrazenie vsetkych uzivatelov. Je to politika zabezpecenia SH LDAP, ktora hovori, ze pouzivany '''auth-user''' nema pravo vidiet vsetkych uzivatelov, moze len hladat a autentifikovat. To nam staci.

Pre debug pouzivaj
<pre>id tomassrna</pre>

'''Poznamka:''' Vsetko je testovane na cistej instalacii Debian Squeeze

=== Prerekvizita ===
[[#Prerekvizita SSL]]

=== NSS ===

NSS resolvuje ciselne uidNumber na meno uzivalela. Stara sa napr. o prikaz id, alebo pri listovani adresara zobrazi uzivatela miesto cisla.

Nainstalujeme balik libnss-ldap'''d''' (pozor, existuje aj libnss-ldap, ktory je stary a tazky na konfiguraciu)

<pre>
aptitude install libnss-ldapd
</pre>

Pocas instalacie sa nas modra obrazovka spyta na:
* '''Name services to configure:''' group, passwd, shadow
* '''Meno LDAP servera:''' ldaps://ldap.sh.cvut.cz
* '''Base:''' dc=sh,dc=cvut,dc=cz

Doladime /etc/nslcd.conf
<pre>
uri ldaps://ldap.sh.cvut.cz
base dc=sh,dc=cvut,dc=cz
ldap_version 3
binddn cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz
bindpw <heslo na vyziadanie od admina LDAP>
ssl on
tls_reqcert allow
</pre>

Skontrolujeme, ze /etc/nsswitch.conf obsahuje:
<pre>
passwd: compat ldap
group: compat ldap
shadow: compat ldap
</pre>

= Seznam služeb a jejich správců, které LDAP používají =
* finance.sh [[Bronislav Robenek]]
* imap.sh [[Radim Roška]]
* zimbra.sh [[Radim Roška]]
* msdnaa.sh [[Michal Naiman]]
* git.sh [[Tomáš Srna]]
* news.sh [[Dominik Mališ]]
* shell.sh [[Václav Mach]]
* siliconhill.cz [[Dominik Mališ]]

LDAP

2012-11-08T13:10:56Z

Tomassrna: /* NSS */

LDAP je protokol pro získávání/zapisování informací v stromové struktuře. Dnes se používá zejména pro jednotné přihlašování uživatelů do více aplikací.
[http://en.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol LDAP na wikipedii]

Klub Silicon Hill v rámci Informačního systému provozuje LDAP server, vůči kterým se můžou další aplikace ověřovat pomocí uživatelova hesla. Umožňujeme jak bind tak fastbind. Stávající implementace je pro všechny uživatele Read-only, veškeré změny uživatelských účtů je třeba dělat přes rozhraní informačního systému.

= Informace o serveru =

* Adresa: ldap.sh.cvut.cz
* Port: 636
* Používá SSL (ldaps://)
* Správce: [[Tomáš Srna]]
* Uživatelé v ou=People,dc=sh,dc=cvut,dc=cz
* Atribút uživateľského mena: uid
* Uživatel pro servery: cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz
* Heslo na vyžádání u správce
* Overenie cez userPassword, SSHA hash
* Vo výnimočných prípadoch možnosť NTLM overenia

== Autentizačné módy ==

* FastBind - Bind priamo užívateľom, pod ktorým sa hlási náš klient
* uid={username},ou=People,dc=sh,dc=cvut,dc=cz
* {password}
* Bind cez auth-user
* Horeuvedené údaje
* Vhodné pre mnohonásobné overovanie užívateľov s použitím jediného spojenia.

= Prerekvizita SSL =

'''Dôležité!''' Na Linuxe pokiaľ sa používajú ldap knižnice z OS (používa ich OS samotný, PHP, ...), je potrebné pridať certifikát autority.

Postup je nasledovný:

* V /etc/ldap/ldap.conf pridáme riadok
TLS_CACERT /etc/ssl/certs/ldap.pem

* Do spomínaného súboru /etc/ssl/certs/ldap.pem vložíme certifikát autority AddTrust:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

= Příklady použití / nastavení =

== LDAP Kontakty v Telefonu ==

'''iPhone'''
Nastavení -> Pošta, Kontakty, Kalendáře -> Přidat účet -> Jiný -> "Přidat účet LDAP"
* Server: ldap.sh.cvut.cz
* Uživatel: uid=**tvůj username**,ou=People,dc=sh,dc=cvut,dc=cz
* Heslo: Tvé heslo do ISu
* Popis: ldap.sh.cvut.cz
* Použít SSL: Ano
* Kritéria hledání: dc=sh,dc=cvut,dc=cz

== LDAP z příkazové řádky - ldapsearch ==

<pre>
# Balíček
aptitude install ldap-utils

# ~ Fastbind (zepta se na heslo pro username)
ldapsearch -h ldap.sh.cvut.cz -b "dc=sh,dc=cvut,dc=cz" -D "uid=username,ou=People,dc=sh,dc=cvut,dc=cz" -W uid=username

# ~ Bind (se systémovým účtem)
ldapsearch -h ldap.sh.cvut.cz -b "dc=sh,dc=cvut,dc=cz" -D "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz" -w *heslo_auth_usera* uid=username
</pre>

== Zend_Auth_Adapter_Ldap ==

'''application.ini'''
<pre>
ldap.is.host = ldap.sh.cvut.cz
ldap.is.port = 636
ldap.is.useSsl = true
ldap.is.useStartTls = true

ldap.is.bindRequiresDn = true
ldap.is.baseDn = "ou=People,dc=sh,dc=cvut,dc=cz"
ldap.is.accountCanonicalForm = 2

ldap.is.username = "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz"
ldap.is.password = "********"
</pre>

'''Přiklad přihlášení v kontextu Zend_Controller_Action''', [http://framework.zend.com/manual/1.12/en/zend.auth.adapter.ldap.html Více v dokumentaci]
<pre>
$auth=new Zend_Auth();

$username=$this->_getParam("username");
$password=$this->_getParam("password");

$bootstrap = $this->getInvokeArg('bootstrap');
$config=$bootstrap->getOptions();
$options = $config["ldap"];

$authAdapter=new Zend_Auth_Adapter_Ldap($options,$username,$password);

$result=$auth->authenticate($authAdapter);

if($result->isValid()) {
$ldap=$authAdapter->getLdap();
$user = $ldap->getEntry("uid=".$username.",".$options["is"]["baseDn"]);
echo "Uzivatel prihlasen";
print_r($user);
}
else {
echo "Spatne jmeno nebo heslo";
}
</pre>

== Ruby - FastBind ==

<pre>
require 'rubygems'
require 'net/ldap'
require 'io/console'

puts "Username:"
username = gets
puts "Password:"
password = STDIN.noecho(&:gets)

ldap = Net::LDAP.new(:encryption => :simple_tls)
ldap.host = "ldap.sh.cvut.cz"
ldap.port = 636
ldap.base = "ou=People,dc=sh,dc=cvut,dc=cz"
ldap.auth "uid=#{username.strip},"+ldap.base, password.strip
if ldap.bind
puts "authentication succeeded"
p ldap.search(
base: "ou=People,dc=sh,dc=cvut,dc=cz",
filter: Net::LDAP::Filter.eq("uid", username.strip),
attributes: %w[ givenName sn email SHservice ],
return_result:true
).inspect
else
puts "authentication failed"
end
</pre>

== PHP - bez frameworku ==
<?php
$user = "tomassrna";
$pass = "...";
$ldapConn = ldap_connect("ldaps://ldap.sh.cvut.cz", 636);
if($ldapConn)
{
$ldapBind = ldap_bind($ldapConn, "uid=".$user.",ou=People,dc=sh,dc=cvut,dc=cz", $pass);
if($ldapBind)
echo "SUCCESS\n";
else
{
echo "FAILED: ";
echo ldap_error($ldapConn)."\n";
}
}

== Microsoft Visual C# ==

Tak toto bol tazky boj...

* Pridame reference System.DirectoryServices

<pre>
using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Threading.Tasks;
using System.DirectoryServices;
using System.Collections;

namespace LDAP
{
class Program
{
static void Main(string[] args)
{
Dictionary<string, string[]> attrs;
if ((attrs = shLdap("tomassrna", "xxxxxx",
new[] { "mail", "uid", "SHservice", "SHadmin" }, "(&(uid=tomassrna)(SHservice=net))")) != null)
{
Console.WriteLine("Auth success!");
// Priklad vypisu vsetkych atributov
foreach(KeyValuePair<string, string[]> kv in attrs)
{
string k = kv.Key;
foreach (string v in kv.Value)
{
Console.WriteLine(k + "=" + v);
}
}
// Priklad ziskania single value
Console.WriteLine("E-mail: " + attrs["mail"][0]);
// Priklad ziskania multi value
Console.WriteLine("Spravovane servery: ");
foreach (string s in attrs["shadmin"])
{
Console.WriteLine(s);
}
}
else
Console.WriteLine("Auth failed!");

Console.Read();
}
static Dictionary<string, string[]> shLdap(string username, string password, string[] attrs, string filter = "")
{
try
{
DirectoryEntry de = new DirectoryEntry("LDAP://ldap.sh.cvut.cz:636/OU=People,DC=sh,DC=cvut,DC=cz",
"uid=" + username + ",ou=People,dc=sh,dc=cvut,dc=cz", password,
AuthenticationTypes.SecureSocketsLayer);
DirectorySearcher ds = new DirectorySearcher(de);
if (filter == "")
ds.Filter = "(uid=" + username + ")";
else
ds.Filter = filter;
foreach (string attr in attrs)
ds.PropertiesToLoad.Add(attr);
SearchResult sr = ds.FindOne();

Dictionary<string, string[]> res = new Dictionary<string, string[]>();
foreach (string prop in sr.Properties.PropertyNames)
{
var ar = new List<string>();
foreach (object oval in sr.Properties[prop])
{
string val = "";
if (oval is string)
val = (string)oval;
else if(oval is Byte[])
val = Encoding.UTF8.GetString((Byte[])oval, 0, ((Byte[])oval).Length);
ar.Add(val);
}
res[prop] = (string[])ar.ToArray();
}
return res;
}
catch (Exception)
{
return null;
}
}
}
}
</pre>

== Linux - prihlasovanie uzivatelov ==

Existuje niekolko sposobov, ako nakonfigurovat LDAP prihlasovanie na Linuxe. Niektore cesty su strastiplne, nechas u nich vsetky svoje nervy a potis krv.
Podme si ukazat sposob, ktory je jednoduchy a funguje.

Hned na zaciatku by som podotkol, ze <pre>getent passwd</pre> nikdy nebude fungovat na zobrazenie vsetkych uzivatelov. Je to politika zabezpecenia SH LDAP, ktora hovori, ze pouzivany '''auth-user''' nema pravo vidiet vsetkych uzivatelov, moze len hladat a autentifikovat. To nam staci.

Pre debug pouzivaj
<pre>id tomassrna</pre>

'''Poznamka:''' Vsetko je testovane na cistej instalacii Debian Squeeze

=== Prerekvizita ===
[[#Prerekvizita SSL]]

=== NSS ===

NSS resolvuje ciselne uidNumber na meno uzivalela. Stara sa napr. o prikaz id, alebo pri listovani adresara zobrazi uzivatela miesto cisla.

Nainstalujeme balik libnss-ldap'''d''' (pozor, existuje aj libnss-ldap, ktory je stary a tazky na konfiguraciu)

<pre>
aptitude install libnss-ldapd
</pre>

Pocas instalacie sa nas modra obrazovka spyta na:
* '''Name services to configure:''' group, passwd, shadow
* '''Meno LDAP servera:''' ldaps://ldap.sh.cvut.cz
* '''Base:''' dc=sh,dc=cvut,dc=cz

= Seznam služeb a jejich správců, které LDAP používají =
* finance.sh [[Bronislav Robenek]]
* imap.sh [[Radim Roška]]
* zimbra.sh [[Radim Roška]]
* msdnaa.sh [[Michal Naiman]]
* git.sh [[Tomáš Srna]]
* news.sh [[Dominik Mališ]]
* shell.sh [[Václav Mach]]
* siliconhill.cz [[Dominik Mališ]]

LDAP

2012-11-08T12:54:57Z

Tomassrna: /* NSS */

LDAP je protokol pro získávání/zapisování informací v stromové struktuře. Dnes se používá zejména pro jednotné přihlašování uživatelů do více aplikací.
[http://en.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol LDAP na wikipedii]

Klub Silicon Hill v rámci Informačního systému provozuje LDAP server, vůči kterým se můžou další aplikace ověřovat pomocí uživatelova hesla. Umožňujeme jak bind tak fastbind. Stávající implementace je pro všechny uživatele Read-only, veškeré změny uživatelských účtů je třeba dělat přes rozhraní informačního systému.

= Informace o serveru =

* Adresa: ldap.sh.cvut.cz
* Port: 636
* Používá SSL (ldaps://)
* Správce: [[Tomáš Srna]]
* Uživatelé v ou=People,dc=sh,dc=cvut,dc=cz
* Atribút uživateľského mena: uid
* Uživatel pro servery: cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz
* Heslo na vyžádání u správce
* Overenie cez userPassword, SSHA hash
* Vo výnimočných prípadoch možnosť NTLM overenia

== Autentizačné módy ==

* FastBind - Bind priamo užívateľom, pod ktorým sa hlási náš klient
* uid={username},ou=People,dc=sh,dc=cvut,dc=cz
* {password}
* Bind cez auth-user
* Horeuvedené údaje
* Vhodné pre mnohonásobné overovanie užívateľov s použitím jediného spojenia.

= Prerekvizita SSL =

'''Dôležité!''' Na Linuxe pokiaľ sa používajú ldap knižnice z OS (používa ich OS samotný, PHP, ...), je potrebné pridať certifikát autority.

Postup je nasledovný:

* V /etc/ldap/ldap.conf pridáme riadok
TLS_CACERT /etc/ssl/certs/ldap.pem

* Do spomínaného súboru /etc/ssl/certs/ldap.pem vložíme certifikát autority AddTrust:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

= Příklady použití / nastavení =

== LDAP Kontakty v Telefonu ==

'''iPhone'''
Nastavení -> Pošta, Kontakty, Kalendáře -> Přidat účet -> Jiný -> "Přidat účet LDAP"
* Server: ldap.sh.cvut.cz
* Uživatel: uid=**tvůj username**,ou=People,dc=sh,dc=cvut,dc=cz
* Heslo: Tvé heslo do ISu
* Popis: ldap.sh.cvut.cz
* Použít SSL: Ano
* Kritéria hledání: dc=sh,dc=cvut,dc=cz

== LDAP z příkazové řádky - ldapsearch ==

<pre>
# Balíček
aptitude install ldap-utils

# ~ Fastbind (zepta se na heslo pro username)
ldapsearch -h ldap.sh.cvut.cz -b "dc=sh,dc=cvut,dc=cz" -D "uid=username,ou=People,dc=sh,dc=cvut,dc=cz" -W uid=username

# ~ Bind (se systémovým účtem)
ldapsearch -h ldap.sh.cvut.cz -b "dc=sh,dc=cvut,dc=cz" -D "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz" -w *heslo_auth_usera* uid=username
</pre>

== Zend_Auth_Adapter_Ldap ==

'''application.ini'''
<pre>
ldap.is.host = ldap.sh.cvut.cz
ldap.is.port = 636
ldap.is.useSsl = true
ldap.is.useStartTls = true

ldap.is.bindRequiresDn = true
ldap.is.baseDn = "ou=People,dc=sh,dc=cvut,dc=cz"
ldap.is.accountCanonicalForm = 2

ldap.is.username = "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz"
ldap.is.password = "********"
</pre>

'''Přiklad přihlášení v kontextu Zend_Controller_Action''', [http://framework.zend.com/manual/1.12/en/zend.auth.adapter.ldap.html Více v dokumentaci]
<pre>
$auth=new Zend_Auth();

$username=$this->_getParam("username");
$password=$this->_getParam("password");

$bootstrap = $this->getInvokeArg('bootstrap');
$config=$bootstrap->getOptions();
$options = $config["ldap"];

$authAdapter=new Zend_Auth_Adapter_Ldap($options,$username,$password);

$result=$auth->authenticate($authAdapter);

if($result->isValid()) {
$ldap=$authAdapter->getLdap();
$user = $ldap->getEntry("uid=".$username.",".$options["is"]["baseDn"]);
echo "Uzivatel prihlasen";
print_r($user);
}
else {
echo "Spatne jmeno nebo heslo";
}
</pre>

== Ruby - FastBind ==

<pre>
require 'rubygems'
require 'net/ldap'
require 'io/console'

puts "Username:"
username = gets
puts "Password:"
password = STDIN.noecho(&:gets)

ldap = Net::LDAP.new(:encryption => :simple_tls)
ldap.host = "ldap.sh.cvut.cz"
ldap.port = 636
ldap.base = "ou=People,dc=sh,dc=cvut,dc=cz"
ldap.auth "uid=#{username.strip},"+ldap.base, password.strip
if ldap.bind
puts "authentication succeeded"
p ldap.search(
base: "ou=People,dc=sh,dc=cvut,dc=cz",
filter: Net::LDAP::Filter.eq("uid", username.strip),
attributes: %w[ givenName sn email SHservice ],
return_result:true
).inspect
else
puts "authentication failed"
end
</pre>

== PHP - bez frameworku ==
<?php
$user = "tomassrna";
$pass = "...";
$ldapConn = ldap_connect("ldaps://ldap.sh.cvut.cz", 636);
if($ldapConn)
{
$ldapBind = ldap_bind($ldapConn, "uid=".$user.",ou=People,dc=sh,dc=cvut,dc=cz", $pass);
if($ldapBind)
echo "SUCCESS\n";
else
{
echo "FAILED: ";
echo ldap_error($ldapConn)."\n";
}
}

== Microsoft Visual C# ==

Tak toto bol tazky boj...

* Pridame reference System.DirectoryServices

<pre>
using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Threading.Tasks;
using System.DirectoryServices;
using System.Collections;

namespace LDAP
{
class Program
{
static void Main(string[] args)
{
Dictionary<string, string[]> attrs;
if ((attrs = shLdap("tomassrna", "xxxxxx",
new[] { "mail", "uid", "SHservice", "SHadmin" }, "(&(uid=tomassrna)(SHservice=net))")) != null)
{
Console.WriteLine("Auth success!");
// Priklad vypisu vsetkych atributov
foreach(KeyValuePair<string, string[]> kv in attrs)
{
string k = kv.Key;
foreach (string v in kv.Value)
{
Console.WriteLine(k + "=" + v);
}
}
// Priklad ziskania single value
Console.WriteLine("E-mail: " + attrs["mail"][0]);
// Priklad ziskania multi value
Console.WriteLine("Spravovane servery: ");
foreach (string s in attrs["shadmin"])
{
Console.WriteLine(s);
}
}
else
Console.WriteLine("Auth failed!");

Console.Read();
}
static Dictionary<string, string[]> shLdap(string username, string password, string[] attrs, string filter = "")
{
try
{
DirectoryEntry de = new DirectoryEntry("LDAP://ldap.sh.cvut.cz:636/OU=People,DC=sh,DC=cvut,DC=cz",
"uid=" + username + ",ou=People,dc=sh,dc=cvut,dc=cz", password,
AuthenticationTypes.SecureSocketsLayer);
DirectorySearcher ds = new DirectorySearcher(de);
if (filter == "")
ds.Filter = "(uid=" + username + ")";
else
ds.Filter = filter;
foreach (string attr in attrs)
ds.PropertiesToLoad.Add(attr);
SearchResult sr = ds.FindOne();

Dictionary<string, string[]> res = new Dictionary<string, string[]>();
foreach (string prop in sr.Properties.PropertyNames)
{
var ar = new List<string>();
foreach (object oval in sr.Properties[prop])
{
string val = "";
if (oval is string)
val = (string)oval;
else if(oval is Byte[])
val = Encoding.UTF8.GetString((Byte[])oval, 0, ((Byte[])oval).Length);
ar.Add(val);
}
res[prop] = (string[])ar.ToArray();
}
return res;
}
catch (Exception)
{
return null;
}
}
}
}
</pre>

== Linux - prihlasovanie uzivatelov ==

Existuje niekolko sposobov, ako nakonfigurovat LDAP prihlasovanie na Linuxe. Niektore cesty su strastiplne, nechas u nich vsetky svoje nervy a potis krv.
Podme si ukazat sposob, ktory je jednoduchy a funguje.

Hned na zaciatku by som podotkol, ze <pre>getent passwd</pre> nikdy nebude fungovat na zobrazenie vsetkych uzivatelov. Je to politika zabezpecenia SH LDAP, ktora hovori, ze pouzivany '''auth-user''' nema pravo vidiet vsetkych uzivatelov, moze len hladat a autentifikovat. To nam staci.

Pre debug pouzivaj
<pre>id tomassrna</pre>

'''Poznamka:''' Vsetko je testovane na cistej instalacii Debian Squeeze

=== Prerekvizita ===
[[#Prerekvizita SSL]]

=== NSS ===

NSS resolvuje ciselne uidNumber na meno uzivalela. Stara sa napr. o prikaz id, alebo pri listovani adresara zobrazi uzivatela miesto cisla.

Nainstalujeme balik libnss-ldap'''d''' (pozor, existuje aj libnss-ldap, ktory je stary a tazky na konfiguraciu)

<pre>
aptitude install libnss-ldapd
</pre>

Pocas instalacie sa nas modra obrazovka spyta na:
* '''Meno LDAP servera:''' ldaps://ldap.sh.cvut.cz

= Seznam služeb a jejich správců, které LDAP používají =
* finance.sh [[Bronislav Robenek]]
* imap.sh [[Radim Roška]]
* zimbra.sh [[Radim Roška]]
* msdnaa.sh [[Michal Naiman]]
* git.sh [[Tomáš Srna]]
* news.sh [[Dominik Mališ]]
* shell.sh [[Václav Mach]]
* siliconhill.cz [[Dominik Mališ]]

LDAP

2012-11-08T12:54:37Z

Tomassrna: /* NSS */

LDAP je protokol pro získávání/zapisování informací v stromové struktuře. Dnes se používá zejména pro jednotné přihlašování uživatelů do více aplikací.
[http://en.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol LDAP na wikipedii]

Klub Silicon Hill v rámci Informačního systému provozuje LDAP server, vůči kterým se můžou další aplikace ověřovat pomocí uživatelova hesla. Umožňujeme jak bind tak fastbind. Stávající implementace je pro všechny uživatele Read-only, veškeré změny uživatelských účtů je třeba dělat přes rozhraní informačního systému.

= Informace o serveru =

* Adresa: ldap.sh.cvut.cz
* Port: 636
* Používá SSL (ldaps://)
* Správce: [[Tomáš Srna]]
* Uživatelé v ou=People,dc=sh,dc=cvut,dc=cz
* Atribút uživateľského mena: uid
* Uživatel pro servery: cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz
* Heslo na vyžádání u správce
* Overenie cez userPassword, SSHA hash
* Vo výnimočných prípadoch možnosť NTLM overenia

== Autentizačné módy ==

* FastBind - Bind priamo užívateľom, pod ktorým sa hlási náš klient
* uid={username},ou=People,dc=sh,dc=cvut,dc=cz
* {password}
* Bind cez auth-user
* Horeuvedené údaje
* Vhodné pre mnohonásobné overovanie užívateľov s použitím jediného spojenia.

= Prerekvizita SSL =

'''Dôležité!''' Na Linuxe pokiaľ sa používajú ldap knižnice z OS (používa ich OS samotný, PHP, ...), je potrebné pridať certifikát autority.

Postup je nasledovný:

* V /etc/ldap/ldap.conf pridáme riadok
TLS_CACERT /etc/ssl/certs/ldap.pem

* Do spomínaného súboru /etc/ssl/certs/ldap.pem vložíme certifikát autority AddTrust:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

= Příklady použití / nastavení =

== LDAP Kontakty v Telefonu ==

'''iPhone'''
Nastavení -> Pošta, Kontakty, Kalendáře -> Přidat účet -> Jiný -> "Přidat účet LDAP"
* Server: ldap.sh.cvut.cz
* Uživatel: uid=**tvůj username**,ou=People,dc=sh,dc=cvut,dc=cz
* Heslo: Tvé heslo do ISu
* Popis: ldap.sh.cvut.cz
* Použít SSL: Ano
* Kritéria hledání: dc=sh,dc=cvut,dc=cz

== LDAP z příkazové řádky - ldapsearch ==

<pre>
# Balíček
aptitude install ldap-utils

# ~ Fastbind (zepta se na heslo pro username)
ldapsearch -h ldap.sh.cvut.cz -b "dc=sh,dc=cvut,dc=cz" -D "uid=username,ou=People,dc=sh,dc=cvut,dc=cz" -W uid=username

# ~ Bind (se systémovým účtem)
ldapsearch -h ldap.sh.cvut.cz -b "dc=sh,dc=cvut,dc=cz" -D "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz" -w *heslo_auth_usera* uid=username
</pre>

== Zend_Auth_Adapter_Ldap ==

'''application.ini'''
<pre>
ldap.is.host = ldap.sh.cvut.cz
ldap.is.port = 636
ldap.is.useSsl = true
ldap.is.useStartTls = true

ldap.is.bindRequiresDn = true
ldap.is.baseDn = "ou=People,dc=sh,dc=cvut,dc=cz"
ldap.is.accountCanonicalForm = 2

ldap.is.username = "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz"
ldap.is.password = "********"
</pre>

'''Přiklad přihlášení v kontextu Zend_Controller_Action''', [http://framework.zend.com/manual/1.12/en/zend.auth.adapter.ldap.html Více v dokumentaci]
<pre>
$auth=new Zend_Auth();

$username=$this->_getParam("username");
$password=$this->_getParam("password");

$bootstrap = $this->getInvokeArg('bootstrap');
$config=$bootstrap->getOptions();
$options = $config["ldap"];

$authAdapter=new Zend_Auth_Adapter_Ldap($options,$username,$password);

$result=$auth->authenticate($authAdapter);

if($result->isValid()) {
$ldap=$authAdapter->getLdap();
$user = $ldap->getEntry("uid=".$username.",".$options["is"]["baseDn"]);
echo "Uzivatel prihlasen";
print_r($user);
}
else {
echo "Spatne jmeno nebo heslo";
}
</pre>

== Ruby - FastBind ==

<pre>
require 'rubygems'
require 'net/ldap'
require 'io/console'

puts "Username:"
username = gets
puts "Password:"
password = STDIN.noecho(&:gets)

ldap = Net::LDAP.new(:encryption => :simple_tls)
ldap.host = "ldap.sh.cvut.cz"
ldap.port = 636
ldap.base = "ou=People,dc=sh,dc=cvut,dc=cz"
ldap.auth "uid=#{username.strip},"+ldap.base, password.strip
if ldap.bind
puts "authentication succeeded"
p ldap.search(
base: "ou=People,dc=sh,dc=cvut,dc=cz",
filter: Net::LDAP::Filter.eq("uid", username.strip),
attributes: %w[ givenName sn email SHservice ],
return_result:true
).inspect
else
puts "authentication failed"
end
</pre>

== PHP - bez frameworku ==
<?php
$user = "tomassrna";
$pass = "...";
$ldapConn = ldap_connect("ldaps://ldap.sh.cvut.cz", 636);
if($ldapConn)
{
$ldapBind = ldap_bind($ldapConn, "uid=".$user.",ou=People,dc=sh,dc=cvut,dc=cz", $pass);
if($ldapBind)
echo "SUCCESS\n";
else
{
echo "FAILED: ";
echo ldap_error($ldapConn)."\n";
}
}

== Microsoft Visual C# ==

Tak toto bol tazky boj...

* Pridame reference System.DirectoryServices

<pre>
using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Threading.Tasks;
using System.DirectoryServices;
using System.Collections;

namespace LDAP
{
class Program
{
static void Main(string[] args)
{
Dictionary<string, string[]> attrs;
if ((attrs = shLdap("tomassrna", "xxxxxx",
new[] { "mail", "uid", "SHservice", "SHadmin" }, "(&(uid=tomassrna)(SHservice=net))")) != null)
{
Console.WriteLine("Auth success!");
// Priklad vypisu vsetkych atributov
foreach(KeyValuePair<string, string[]> kv in attrs)
{
string k = kv.Key;
foreach (string v in kv.Value)
{
Console.WriteLine(k + "=" + v);
}
}
// Priklad ziskania single value
Console.WriteLine("E-mail: " + attrs["mail"][0]);
// Priklad ziskania multi value
Console.WriteLine("Spravovane servery: ");
foreach (string s in attrs["shadmin"])
{
Console.WriteLine(s);
}
}
else
Console.WriteLine("Auth failed!");

Console.Read();
}
static Dictionary<string, string[]> shLdap(string username, string password, string[] attrs, string filter = "")
{
try
{
DirectoryEntry de = new DirectoryEntry("LDAP://ldap.sh.cvut.cz:636/OU=People,DC=sh,DC=cvut,DC=cz",
"uid=" + username + ",ou=People,dc=sh,dc=cvut,dc=cz", password,
AuthenticationTypes.SecureSocketsLayer);
DirectorySearcher ds = new DirectorySearcher(de);
if (filter == "")
ds.Filter = "(uid=" + username + ")";
else
ds.Filter = filter;
foreach (string attr in attrs)
ds.PropertiesToLoad.Add(attr);
SearchResult sr = ds.FindOne();

Dictionary<string, string[]> res = new Dictionary<string, string[]>();
foreach (string prop in sr.Properties.PropertyNames)
{
var ar = new List<string>();
foreach (object oval in sr.Properties[prop])
{
string val = "";
if (oval is string)
val = (string)oval;
else if(oval is Byte[])
val = Encoding.UTF8.GetString((Byte[])oval, 0, ((Byte[])oval).Length);
ar.Add(val);
}
res[prop] = (string[])ar.ToArray();
}
return res;
}
catch (Exception)
{
return null;
}
}
}
}
</pre>

== Linux - prihlasovanie uzivatelov ==

Existuje niekolko sposobov, ako nakonfigurovat LDAP prihlasovanie na Linuxe. Niektore cesty su strastiplne, nechas u nich vsetky svoje nervy a potis krv.
Podme si ukazat sposob, ktory je jednoduchy a funguje.

Hned na zaciatku by som podotkol, ze <pre>getent passwd</pre> nikdy nebude fungovat na zobrazenie vsetkych uzivatelov. Je to politika zabezpecenia SH LDAP, ktora hovori, ze pouzivany '''auth-user''' nema pravo vidiet vsetkych uzivatelov, moze len hladat a autentifikovat. To nam staci.

Pre debug pouzivaj
<pre>id tomassrna</pre>

'''Poznamka:''' Vsetko je testovane na cistej instalacii Debian Squeeze

=== Prerekvizita ===
[[#Prerekvizita SSL]]

=== NSS ===

NSS resolvuje ciselne uidNumber na meno uzivalela. Stara sa napr. o prikaz id, alebo pri listovani adresara zobrazi uzivatela miesto cisla.

Nainstalujeme balik libnss-ldap'''d''' (pozor, existuje aj libnss-ldap, ktory je stary a tazky na konfiguraciu)

<pre>
aptitude install libnss-ldapd
</pre>

Pocas instalacie sa nas modra obrazovka spyta na:
'''Meno LDAP servera:''' ldaps://ldap.sh.cvut.cz

= Seznam služeb a jejich správců, které LDAP používají =
* finance.sh [[Bronislav Robenek]]
* imap.sh [[Radim Roška]]
* zimbra.sh [[Radim Roška]]
* msdnaa.sh [[Michal Naiman]]
* git.sh [[Tomáš Srna]]
* news.sh [[Dominik Mališ]]
* shell.sh [[Václav Mach]]
* siliconhill.cz [[Dominik Mališ]]

LDAP

2012-11-08T12:53:46Z

Tomassrna: /* NSS */

LDAP je protokol pro získávání/zapisování informací v stromové struktuře. Dnes se používá zejména pro jednotné přihlašování uživatelů do více aplikací.
[http://en.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol LDAP na wikipedii]

Klub Silicon Hill v rámci Informačního systému provozuje LDAP server, vůči kterým se můžou další aplikace ověřovat pomocí uživatelova hesla. Umožňujeme jak bind tak fastbind. Stávající implementace je pro všechny uživatele Read-only, veškeré změny uživatelských účtů je třeba dělat přes rozhraní informačního systému.

= Informace o serveru =

* Adresa: ldap.sh.cvut.cz
* Port: 636
* Používá SSL (ldaps://)
* Správce: [[Tomáš Srna]]
* Uživatelé v ou=People,dc=sh,dc=cvut,dc=cz
* Atribút uživateľského mena: uid
* Uživatel pro servery: cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz
* Heslo na vyžádání u správce
* Overenie cez userPassword, SSHA hash
* Vo výnimočných prípadoch možnosť NTLM overenia

== Autentizačné módy ==

* FastBind - Bind priamo užívateľom, pod ktorým sa hlási náš klient
* uid={username},ou=People,dc=sh,dc=cvut,dc=cz
* {password}
* Bind cez auth-user
* Horeuvedené údaje
* Vhodné pre mnohonásobné overovanie užívateľov s použitím jediného spojenia.

= Prerekvizita SSL =

'''Dôležité!''' Na Linuxe pokiaľ sa používajú ldap knižnice z OS (používa ich OS samotný, PHP, ...), je potrebné pridať certifikát autority.

Postup je nasledovný:

* V /etc/ldap/ldap.conf pridáme riadok
TLS_CACERT /etc/ssl/certs/ldap.pem

* Do spomínaného súboru /etc/ssl/certs/ldap.pem vložíme certifikát autority AddTrust:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

= Příklady použití / nastavení =

== LDAP Kontakty v Telefonu ==

'''iPhone'''
Nastavení -> Pošta, Kontakty, Kalendáře -> Přidat účet -> Jiný -> "Přidat účet LDAP"
* Server: ldap.sh.cvut.cz
* Uživatel: uid=**tvůj username**,ou=People,dc=sh,dc=cvut,dc=cz
* Heslo: Tvé heslo do ISu
* Popis: ldap.sh.cvut.cz
* Použít SSL: Ano
* Kritéria hledání: dc=sh,dc=cvut,dc=cz

== LDAP z příkazové řádky - ldapsearch ==

<pre>
# Balíček
aptitude install ldap-utils

# ~ Fastbind (zepta se na heslo pro username)
ldapsearch -h ldap.sh.cvut.cz -b "dc=sh,dc=cvut,dc=cz" -D "uid=username,ou=People,dc=sh,dc=cvut,dc=cz" -W uid=username

# ~ Bind (se systémovým účtem)
ldapsearch -h ldap.sh.cvut.cz -b "dc=sh,dc=cvut,dc=cz" -D "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz" -w *heslo_auth_usera* uid=username
</pre>

== Zend_Auth_Adapter_Ldap ==

'''application.ini'''
<pre>
ldap.is.host = ldap.sh.cvut.cz
ldap.is.port = 636
ldap.is.useSsl = true
ldap.is.useStartTls = true

ldap.is.bindRequiresDn = true
ldap.is.baseDn = "ou=People,dc=sh,dc=cvut,dc=cz"
ldap.is.accountCanonicalForm = 2

ldap.is.username = "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz"
ldap.is.password = "********"
</pre>

'''Přiklad přihlášení v kontextu Zend_Controller_Action''', [http://framework.zend.com/manual/1.12/en/zend.auth.adapter.ldap.html Více v dokumentaci]
<pre>
$auth=new Zend_Auth();

$username=$this->_getParam("username");
$password=$this->_getParam("password");

$bootstrap = $this->getInvokeArg('bootstrap');
$config=$bootstrap->getOptions();
$options = $config["ldap"];

$authAdapter=new Zend_Auth_Adapter_Ldap($options,$username,$password);

$result=$auth->authenticate($authAdapter);

if($result->isValid()) {
$ldap=$authAdapter->getLdap();
$user = $ldap->getEntry("uid=".$username.",".$options["is"]["baseDn"]);
echo "Uzivatel prihlasen";
print_r($user);
}
else {
echo "Spatne jmeno nebo heslo";
}
</pre>

== Ruby - FastBind ==

<pre>
require 'rubygems'
require 'net/ldap'
require 'io/console'

puts "Username:"
username = gets
puts "Password:"
password = STDIN.noecho(&:gets)

ldap = Net::LDAP.new(:encryption => :simple_tls)
ldap.host = "ldap.sh.cvut.cz"
ldap.port = 636
ldap.base = "ou=People,dc=sh,dc=cvut,dc=cz"
ldap.auth "uid=#{username.strip},"+ldap.base, password.strip
if ldap.bind
puts "authentication succeeded"
p ldap.search(
base: "ou=People,dc=sh,dc=cvut,dc=cz",
filter: Net::LDAP::Filter.eq("uid", username.strip),
attributes: %w[ givenName sn email SHservice ],
return_result:true
).inspect
else
puts "authentication failed"
end
</pre>

== PHP - bez frameworku ==
<?php
$user = "tomassrna";
$pass = "...";
$ldapConn = ldap_connect("ldaps://ldap.sh.cvut.cz", 636);
if($ldapConn)
{
$ldapBind = ldap_bind($ldapConn, "uid=".$user.",ou=People,dc=sh,dc=cvut,dc=cz", $pass);
if($ldapBind)
echo "SUCCESS\n";
else
{
echo "FAILED: ";
echo ldap_error($ldapConn)."\n";
}
}

== Microsoft Visual C# ==

Tak toto bol tazky boj...

* Pridame reference System.DirectoryServices

<pre>
using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Threading.Tasks;
using System.DirectoryServices;
using System.Collections;

namespace LDAP
{
class Program
{
static void Main(string[] args)
{
Dictionary<string, string[]> attrs;
if ((attrs = shLdap("tomassrna", "xxxxxx",
new[] { "mail", "uid", "SHservice", "SHadmin" }, "(&(uid=tomassrna)(SHservice=net))")) != null)
{
Console.WriteLine("Auth success!");
// Priklad vypisu vsetkych atributov
foreach(KeyValuePair<string, string[]> kv in attrs)
{
string k = kv.Key;
foreach (string v in kv.Value)
{
Console.WriteLine(k + "=" + v);
}
}
// Priklad ziskania single value
Console.WriteLine("E-mail: " + attrs["mail"][0]);
// Priklad ziskania multi value
Console.WriteLine("Spravovane servery: ");
foreach (string s in attrs["shadmin"])
{
Console.WriteLine(s);
}
}
else
Console.WriteLine("Auth failed!");

Console.Read();
}
static Dictionary<string, string[]> shLdap(string username, string password, string[] attrs, string filter = "")
{
try
{
DirectoryEntry de = new DirectoryEntry("LDAP://ldap.sh.cvut.cz:636/OU=People,DC=sh,DC=cvut,DC=cz",
"uid=" + username + ",ou=People,dc=sh,dc=cvut,dc=cz", password,
AuthenticationTypes.SecureSocketsLayer);
DirectorySearcher ds = new DirectorySearcher(de);
if (filter == "")
ds.Filter = "(uid=" + username + ")";
else
ds.Filter = filter;
foreach (string attr in attrs)
ds.PropertiesToLoad.Add(attr);
SearchResult sr = ds.FindOne();

Dictionary<string, string[]> res = new Dictionary<string, string[]>();
foreach (string prop in sr.Properties.PropertyNames)
{
var ar = new List<string>();
foreach (object oval in sr.Properties[prop])
{
string val = "";
if (oval is string)
val = (string)oval;
else if(oval is Byte[])
val = Encoding.UTF8.GetString((Byte[])oval, 0, ((Byte[])oval).Length);
ar.Add(val);
}
res[prop] = (string[])ar.ToArray();
}
return res;
}
catch (Exception)
{
return null;
}
}
}
}
</pre>

== Linux - prihlasovanie uzivatelov ==

Existuje niekolko sposobov, ako nakonfigurovat LDAP prihlasovanie na Linuxe. Niektore cesty su strastiplne, nechas u nich vsetky svoje nervy a potis krv.
Podme si ukazat sposob, ktory je jednoduchy a funguje.

Hned na zaciatku by som podotkol, ze <pre>getent passwd</pre> nikdy nebude fungovat na zobrazenie vsetkych uzivatelov. Je to politika zabezpecenia SH LDAP, ktora hovori, ze pouzivany '''auth-user''' nema pravo vidiet vsetkych uzivatelov, moze len hladat a autentifikovat. To nam staci.

Pre debug pouzivaj
<pre>id tomassrna</pre>

'''Poznamka:''' Vsetko je testovane na cistej instalacii Debian Squeeze

=== Prerekvizita ===
[[#Prerekvizita SSL]]

=== NSS ===

NSS resolvuje ciselne uidNumber na meno uzivalela. Stara sa napr. o prikaz id, alebo pri listovani adresara zobrazi uzivatela miesto cisla.

Nainstalujeme balik libnss-ldap'''d''' (pozor, existuje aj libnss-ldap, ktory je stary a tazky na konfiguraciu)

<pre>
aptitude install libnss-ldapd
</pre>

= Seznam služeb a jejich správců, které LDAP používají =
* finance.sh [[Bronislav Robenek]]
* imap.sh [[Radim Roška]]
* zimbra.sh [[Radim Roška]]
* msdnaa.sh [[Michal Naiman]]
* git.sh [[Tomáš Srna]]
* news.sh [[Dominik Mališ]]
* shell.sh [[Václav Mach]]
* siliconhill.cz [[Dominik Mališ]]

LDAP

2012-11-08T12:53:32Z

Tomassrna: /* NSS */

LDAP je protokol pro získávání/zapisování informací v stromové struktuře. Dnes se používá zejména pro jednotné přihlašování uživatelů do více aplikací.
[http://en.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol LDAP na wikipedii]

Klub Silicon Hill v rámci Informačního systému provozuje LDAP server, vůči kterým se můžou další aplikace ověřovat pomocí uživatelova hesla. Umožňujeme jak bind tak fastbind. Stávající implementace je pro všechny uživatele Read-only, veškeré změny uživatelských účtů je třeba dělat přes rozhraní informačního systému.

= Informace o serveru =

* Adresa: ldap.sh.cvut.cz
* Port: 636
* Používá SSL (ldaps://)
* Správce: [[Tomáš Srna]]
* Uživatelé v ou=People,dc=sh,dc=cvut,dc=cz
* Atribút uživateľského mena: uid
* Uživatel pro servery: cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz
* Heslo na vyžádání u správce
* Overenie cez userPassword, SSHA hash
* Vo výnimočných prípadoch možnosť NTLM overenia

== Autentizačné módy ==

* FastBind - Bind priamo užívateľom, pod ktorým sa hlási náš klient
* uid={username},ou=People,dc=sh,dc=cvut,dc=cz
* {password}
* Bind cez auth-user
* Horeuvedené údaje
* Vhodné pre mnohonásobné overovanie užívateľov s použitím jediného spojenia.

= Prerekvizita SSL =

'''Dôležité!''' Na Linuxe pokiaľ sa používajú ldap knižnice z OS (používa ich OS samotný, PHP, ...), je potrebné pridať certifikát autority.

Postup je nasledovný:

* V /etc/ldap/ldap.conf pridáme riadok
TLS_CACERT /etc/ssl/certs/ldap.pem

* Do spomínaného súboru /etc/ssl/certs/ldap.pem vložíme certifikát autority AddTrust:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

= Příklady použití / nastavení =

== LDAP Kontakty v Telefonu ==

'''iPhone'''
Nastavení -> Pošta, Kontakty, Kalendáře -> Přidat účet -> Jiný -> "Přidat účet LDAP"
* Server: ldap.sh.cvut.cz
* Uživatel: uid=**tvůj username**,ou=People,dc=sh,dc=cvut,dc=cz
* Heslo: Tvé heslo do ISu
* Popis: ldap.sh.cvut.cz
* Použít SSL: Ano
* Kritéria hledání: dc=sh,dc=cvut,dc=cz

== LDAP z příkazové řádky - ldapsearch ==

<pre>
# Balíček
aptitude install ldap-utils

# ~ Fastbind (zepta se na heslo pro username)
ldapsearch -h ldap.sh.cvut.cz -b "dc=sh,dc=cvut,dc=cz" -D "uid=username,ou=People,dc=sh,dc=cvut,dc=cz" -W uid=username

# ~ Bind (se systémovým účtem)
ldapsearch -h ldap.sh.cvut.cz -b "dc=sh,dc=cvut,dc=cz" -D "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz" -w *heslo_auth_usera* uid=username
</pre>

== Zend_Auth_Adapter_Ldap ==

'''application.ini'''
<pre>
ldap.is.host = ldap.sh.cvut.cz
ldap.is.port = 636
ldap.is.useSsl = true
ldap.is.useStartTls = true

ldap.is.bindRequiresDn = true
ldap.is.baseDn = "ou=People,dc=sh,dc=cvut,dc=cz"
ldap.is.accountCanonicalForm = 2

ldap.is.username = "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz"
ldap.is.password = "********"
</pre>

'''Přiklad přihlášení v kontextu Zend_Controller_Action''', [http://framework.zend.com/manual/1.12/en/zend.auth.adapter.ldap.html Více v dokumentaci]
<pre>
$auth=new Zend_Auth();

$username=$this->_getParam("username");
$password=$this->_getParam("password");

$bootstrap = $this->getInvokeArg('bootstrap');
$config=$bootstrap->getOptions();
$options = $config["ldap"];

$authAdapter=new Zend_Auth_Adapter_Ldap($options,$username,$password);

$result=$auth->authenticate($authAdapter);

if($result->isValid()) {
$ldap=$authAdapter->getLdap();
$user = $ldap->getEntry("uid=".$username.",".$options["is"]["baseDn"]);
echo "Uzivatel prihlasen";
print_r($user);
}
else {
echo "Spatne jmeno nebo heslo";
}
</pre>

== Ruby - FastBind ==

<pre>
require 'rubygems'
require 'net/ldap'
require 'io/console'

puts "Username:"
username = gets
puts "Password:"
password = STDIN.noecho(&:gets)

ldap = Net::LDAP.new(:encryption => :simple_tls)
ldap.host = "ldap.sh.cvut.cz"
ldap.port = 636
ldap.base = "ou=People,dc=sh,dc=cvut,dc=cz"
ldap.auth "uid=#{username.strip},"+ldap.base, password.strip
if ldap.bind
puts "authentication succeeded"
p ldap.search(
base: "ou=People,dc=sh,dc=cvut,dc=cz",
filter: Net::LDAP::Filter.eq("uid", username.strip),
attributes: %w[ givenName sn email SHservice ],
return_result:true
).inspect
else
puts "authentication failed"
end
</pre>

== PHP - bez frameworku ==
<?php
$user = "tomassrna";
$pass = "...";
$ldapConn = ldap_connect("ldaps://ldap.sh.cvut.cz", 636);
if($ldapConn)
{
$ldapBind = ldap_bind($ldapConn, "uid=".$user.",ou=People,dc=sh,dc=cvut,dc=cz", $pass);
if($ldapBind)
echo "SUCCESS\n";
else
{
echo "FAILED: ";
echo ldap_error($ldapConn)."\n";
}
}

== Microsoft Visual C# ==

Tak toto bol tazky boj...

* Pridame reference System.DirectoryServices

<pre>
using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Threading.Tasks;
using System.DirectoryServices;
using System.Collections;

namespace LDAP
{
class Program
{
static void Main(string[] args)
{
Dictionary<string, string[]> attrs;
if ((attrs = shLdap("tomassrna", "xxxxxx",
new[] { "mail", "uid", "SHservice", "SHadmin" }, "(&(uid=tomassrna)(SHservice=net))")) != null)
{
Console.WriteLine("Auth success!");
// Priklad vypisu vsetkych atributov
foreach(KeyValuePair<string, string[]> kv in attrs)
{
string k = kv.Key;
foreach (string v in kv.Value)
{
Console.WriteLine(k + "=" + v);
}
}
// Priklad ziskania single value
Console.WriteLine("E-mail: " + attrs["mail"][0]);
// Priklad ziskania multi value
Console.WriteLine("Spravovane servery: ");
foreach (string s in attrs["shadmin"])
{
Console.WriteLine(s);
}
}
else
Console.WriteLine("Auth failed!");

Console.Read();
}
static Dictionary<string, string[]> shLdap(string username, string password, string[] attrs, string filter = "")
{
try
{
DirectoryEntry de = new DirectoryEntry("LDAP://ldap.sh.cvut.cz:636/OU=People,DC=sh,DC=cvut,DC=cz",
"uid=" + username + ",ou=People,dc=sh,dc=cvut,dc=cz", password,
AuthenticationTypes.SecureSocketsLayer);
DirectorySearcher ds = new DirectorySearcher(de);
if (filter == "")
ds.Filter = "(uid=" + username + ")";
else
ds.Filter = filter;
foreach (string attr in attrs)
ds.PropertiesToLoad.Add(attr);
SearchResult sr = ds.FindOne();

Dictionary<string, string[]> res = new Dictionary<string, string[]>();
foreach (string prop in sr.Properties.PropertyNames)
{
var ar = new List<string>();
foreach (object oval in sr.Properties[prop])
{
string val = "";
if (oval is string)
val = (string)oval;
else if(oval is Byte[])
val = Encoding.UTF8.GetString((Byte[])oval, 0, ((Byte[])oval).Length);
ar.Add(val);
}
res[prop] = (string[])ar.ToArray();
}
return res;
}
catch (Exception)
{
return null;
}
}
}
}
</pre>

== Linux - prihlasovanie uzivatelov ==

Existuje niekolko sposobov, ako nakonfigurovat LDAP prihlasovanie na Linuxe. Niektore cesty su strastiplne, nechas u nich vsetky svoje nervy a potis krv.
Podme si ukazat sposob, ktory je jednoduchy a funguje.

Hned na zaciatku by som podotkol, ze <pre>getent passwd</pre> nikdy nebude fungovat na zobrazenie vsetkych uzivatelov. Je to politika zabezpecenia SH LDAP, ktora hovori, ze pouzivany '''auth-user''' nema pravo vidiet vsetkych uzivatelov, moze len hladat a autentifikovat. To nam staci.

Pre debug pouzivaj
<pre>id tomassrna</pre>

'''Poznamka:''' Vsetko je testovane na cistej instalacii Debian Squeeze

=== Prerekvizita ===
[[#Prerekvizita SSL]]

=== NSS ===

NSS resolvuje ciselne uidNumber na meno uzivalela. Stara sa napr. o prikaz id, alebo pri listovani adresara zobrazi uzivatela miesto cisla.

Nainstalujeme balik libnss-ldap'''d''' (pozor, existuje aj libnss-ldap, ktory je stary a tazky na konfiguraciu)

= Seznam služeb a jejich správců, které LDAP používají =
* finance.sh [[Bronislav Robenek]]
* imap.sh [[Radim Roška]]
* zimbra.sh [[Radim Roška]]
* msdnaa.sh [[Michal Naiman]]
* git.sh [[Tomáš Srna]]
* news.sh [[Dominik Mališ]]
* shell.sh [[Václav Mach]]
* siliconhill.cz [[Dominik Mališ]]

LDAP

2012-11-08T12:52:30Z

Tomassrna: /* Linux - prihlasovanie uzivatelov */

LDAP je protokol pro získávání/zapisování informací v stromové struktuře. Dnes se používá zejména pro jednotné přihlašování uživatelů do více aplikací.
[http://en.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol LDAP na wikipedii]

Klub Silicon Hill v rámci Informačního systému provozuje LDAP server, vůči kterým se můžou další aplikace ověřovat pomocí uživatelova hesla. Umožňujeme jak bind tak fastbind. Stávající implementace je pro všechny uživatele Read-only, veškeré změny uživatelských účtů je třeba dělat přes rozhraní informačního systému.

= Informace o serveru =

* Adresa: ldap.sh.cvut.cz
* Port: 636
* Používá SSL (ldaps://)
* Správce: [[Tomáš Srna]]
* Uživatelé v ou=People,dc=sh,dc=cvut,dc=cz
* Atribút uživateľského mena: uid
* Uživatel pro servery: cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz
* Heslo na vyžádání u správce
* Overenie cez userPassword, SSHA hash
* Vo výnimočných prípadoch možnosť NTLM overenia

== Autentizačné módy ==

* FastBind - Bind priamo užívateľom, pod ktorým sa hlási náš klient
* uid={username},ou=People,dc=sh,dc=cvut,dc=cz
* {password}
* Bind cez auth-user
* Horeuvedené údaje
* Vhodné pre mnohonásobné overovanie užívateľov s použitím jediného spojenia.

= Prerekvizita SSL =

'''Dôležité!''' Na Linuxe pokiaľ sa používajú ldap knižnice z OS (používa ich OS samotný, PHP, ...), je potrebné pridať certifikát autority.

Postup je nasledovný:

* V /etc/ldap/ldap.conf pridáme riadok
TLS_CACERT /etc/ssl/certs/ldap.pem

* Do spomínaného súboru /etc/ssl/certs/ldap.pem vložíme certifikát autority AddTrust:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

= Příklady použití / nastavení =

== LDAP Kontakty v Telefonu ==

'''iPhone'''
Nastavení -> Pošta, Kontakty, Kalendáře -> Přidat účet -> Jiný -> "Přidat účet LDAP"
* Server: ldap.sh.cvut.cz
* Uživatel: uid=**tvůj username**,ou=People,dc=sh,dc=cvut,dc=cz
* Heslo: Tvé heslo do ISu
* Popis: ldap.sh.cvut.cz
* Použít SSL: Ano
* Kritéria hledání: dc=sh,dc=cvut,dc=cz

== LDAP z příkazové řádky - ldapsearch ==

<pre>
# Balíček
aptitude install ldap-utils

# ~ Fastbind (zepta se na heslo pro username)
ldapsearch -h ldap.sh.cvut.cz -b "dc=sh,dc=cvut,dc=cz" -D "uid=username,ou=People,dc=sh,dc=cvut,dc=cz" -W uid=username

# ~ Bind (se systémovým účtem)
ldapsearch -h ldap.sh.cvut.cz -b "dc=sh,dc=cvut,dc=cz" -D "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz" -w *heslo_auth_usera* uid=username
</pre>

== Zend_Auth_Adapter_Ldap ==

'''application.ini'''
<pre>
ldap.is.host = ldap.sh.cvut.cz
ldap.is.port = 636
ldap.is.useSsl = true
ldap.is.useStartTls = true

ldap.is.bindRequiresDn = true
ldap.is.baseDn = "ou=People,dc=sh,dc=cvut,dc=cz"
ldap.is.accountCanonicalForm = 2

ldap.is.username = "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz"
ldap.is.password = "********"
</pre>

'''Přiklad přihlášení v kontextu Zend_Controller_Action''', [http://framework.zend.com/manual/1.12/en/zend.auth.adapter.ldap.html Více v dokumentaci]
<pre>
$auth=new Zend_Auth();

$username=$this->_getParam("username");
$password=$this->_getParam("password");

$bootstrap = $this->getInvokeArg('bootstrap');
$config=$bootstrap->getOptions();
$options = $config["ldap"];

$authAdapter=new Zend_Auth_Adapter_Ldap($options,$username,$password);

$result=$auth->authenticate($authAdapter);

if($result->isValid()) {
$ldap=$authAdapter->getLdap();
$user = $ldap->getEntry("uid=".$username.",".$options["is"]["baseDn"]);
echo "Uzivatel prihlasen";
print_r($user);
}
else {
echo "Spatne jmeno nebo heslo";
}
</pre>

== Ruby - FastBind ==

<pre>
require 'rubygems'
require 'net/ldap'
require 'io/console'

puts "Username:"
username = gets
puts "Password:"
password = STDIN.noecho(&:gets)

ldap = Net::LDAP.new(:encryption => :simple_tls)
ldap.host = "ldap.sh.cvut.cz"
ldap.port = 636
ldap.base = "ou=People,dc=sh,dc=cvut,dc=cz"
ldap.auth "uid=#{username.strip},"+ldap.base, password.strip
if ldap.bind
puts "authentication succeeded"
p ldap.search(
base: "ou=People,dc=sh,dc=cvut,dc=cz",
filter: Net::LDAP::Filter.eq("uid", username.strip),
attributes: %w[ givenName sn email SHservice ],
return_result:true
).inspect
else
puts "authentication failed"
end
</pre>

== PHP - bez frameworku ==
<?php
$user = "tomassrna";
$pass = "...";
$ldapConn = ldap_connect("ldaps://ldap.sh.cvut.cz", 636);
if($ldapConn)
{
$ldapBind = ldap_bind($ldapConn, "uid=".$user.",ou=People,dc=sh,dc=cvut,dc=cz", $pass);
if($ldapBind)
echo "SUCCESS\n";
else
{
echo "FAILED: ";
echo ldap_error($ldapConn)."\n";
}
}

== Microsoft Visual C# ==

Tak toto bol tazky boj...

* Pridame reference System.DirectoryServices

<pre>
using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Threading.Tasks;
using System.DirectoryServices;
using System.Collections;

namespace LDAP
{
class Program
{
static void Main(string[] args)
{
Dictionary<string, string[]> attrs;
if ((attrs = shLdap("tomassrna", "xxxxxx",
new[] { "mail", "uid", "SHservice", "SHadmin" }, "(&(uid=tomassrna)(SHservice=net))")) != null)
{
Console.WriteLine("Auth success!");
// Priklad vypisu vsetkych atributov
foreach(KeyValuePair<string, string[]> kv in attrs)
{
string k = kv.Key;
foreach (string v in kv.Value)
{
Console.WriteLine(k + "=" + v);
}
}
// Priklad ziskania single value
Console.WriteLine("E-mail: " + attrs["mail"][0]);
// Priklad ziskania multi value
Console.WriteLine("Spravovane servery: ");
foreach (string s in attrs["shadmin"])
{
Console.WriteLine(s);
}
}
else
Console.WriteLine("Auth failed!");

Console.Read();
}
static Dictionary<string, string[]> shLdap(string username, string password, string[] attrs, string filter = "")
{
try
{
DirectoryEntry de = new DirectoryEntry("LDAP://ldap.sh.cvut.cz:636/OU=People,DC=sh,DC=cvut,DC=cz",
"uid=" + username + ",ou=People,dc=sh,dc=cvut,dc=cz", password,
AuthenticationTypes.SecureSocketsLayer);
DirectorySearcher ds = new DirectorySearcher(de);
if (filter == "")
ds.Filter = "(uid=" + username + ")";
else
ds.Filter = filter;
foreach (string attr in attrs)
ds.PropertiesToLoad.Add(attr);
SearchResult sr = ds.FindOne();

Dictionary<string, string[]> res = new Dictionary<string, string[]>();
foreach (string prop in sr.Properties.PropertyNames)
{
var ar = new List<string>();
foreach (object oval in sr.Properties[prop])
{
string val = "";
if (oval is string)
val = (string)oval;
else if(oval is Byte[])
val = Encoding.UTF8.GetString((Byte[])oval, 0, ((Byte[])oval).Length);
ar.Add(val);
}
res[prop] = (string[])ar.ToArray();
}
return res;
}
catch (Exception)
{
return null;
}
}
}
}
</pre>

== Linux - prihlasovanie uzivatelov ==

Existuje niekolko sposobov, ako nakonfigurovat LDAP prihlasovanie na Linuxe. Niektore cesty su strastiplne, nechas u nich vsetky svoje nervy a potis krv.
Podme si ukazat sposob, ktory je jednoduchy a funguje.

Hned na zaciatku by som podotkol, ze <pre>getent passwd</pre> nikdy nebude fungovat na zobrazenie vsetkych uzivatelov. Je to politika zabezpecenia SH LDAP, ktora hovori, ze pouzivany '''auth-user''' nema pravo vidiet vsetkych uzivatelov, moze len hladat a autentifikovat. To nam staci.

Pre debug pouzivaj
<pre>id tomassrna</pre>

'''Poznamka:''' Vsetko je testovane na cistej instalacii Debian Squeeze

=== Prerekvizita ===
[[#Prerekvizita SSL]]

=== NSS ===

NSS resolvuje ciselne uidNumber na meno uzivalela. Stara sa napr. o prikaz id, alebo pri listovani adresara zobrazi uzivatela miesto cisla.

= Seznam služeb a jejich správců, které LDAP používají =
* finance.sh [[Bronislav Robenek]]
* imap.sh [[Radim Roška]]
* zimbra.sh [[Radim Roška]]
* msdnaa.sh [[Michal Naiman]]
* git.sh [[Tomáš Srna]]
* news.sh [[Dominik Mališ]]
* shell.sh [[Václav Mach]]
* siliconhill.cz [[Dominik Mališ]]

LDAP

2012-11-08T12:51:28Z

Tomassrna: /* NSS */

LDAP je protokol pro získávání/zapisování informací v stromové struktuře. Dnes se používá zejména pro jednotné přihlašování uživatelů do více aplikací.
[http://en.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol LDAP na wikipedii]

Klub Silicon Hill v rámci Informačního systému provozuje LDAP server, vůči kterým se můžou další aplikace ověřovat pomocí uživatelova hesla. Umožňujeme jak bind tak fastbind. Stávající implementace je pro všechny uživatele Read-only, veškeré změny uživatelských účtů je třeba dělat přes rozhraní informačního systému.

= Informace o serveru =

* Adresa: ldap.sh.cvut.cz
* Port: 636
* Používá SSL (ldaps://)
* Správce: [[Tomáš Srna]]
* Uživatelé v ou=People,dc=sh,dc=cvut,dc=cz
* Atribút uživateľského mena: uid
* Uživatel pro servery: cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz
* Heslo na vyžádání u správce
* Overenie cez userPassword, SSHA hash
* Vo výnimočných prípadoch možnosť NTLM overenia

== Autentizačné módy ==

* FastBind - Bind priamo užívateľom, pod ktorým sa hlási náš klient
* uid={username},ou=People,dc=sh,dc=cvut,dc=cz
* {password}
* Bind cez auth-user
* Horeuvedené údaje
* Vhodné pre mnohonásobné overovanie užívateľov s použitím jediného spojenia.

= Prerekvizita SSL =

'''Dôležité!''' Na Linuxe pokiaľ sa používajú ldap knižnice z OS (používa ich OS samotný, PHP, ...), je potrebné pridať certifikát autority.

Postup je nasledovný:

* V /etc/ldap/ldap.conf pridáme riadok
TLS_CACERT /etc/ssl/certs/ldap.pem

* Do spomínaného súboru /etc/ssl/certs/ldap.pem vložíme certifikát autority AddTrust:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

= Příklady použití / nastavení =

== LDAP Kontakty v Telefonu ==

'''iPhone'''
Nastavení -> Pošta, Kontakty, Kalendáře -> Přidat účet -> Jiný -> "Přidat účet LDAP"
* Server: ldap.sh.cvut.cz
* Uživatel: uid=**tvůj username**,ou=People,dc=sh,dc=cvut,dc=cz
* Heslo: Tvé heslo do ISu
* Popis: ldap.sh.cvut.cz
* Použít SSL: Ano
* Kritéria hledání: dc=sh,dc=cvut,dc=cz

== LDAP z příkazové řádky - ldapsearch ==

<pre>
# Balíček
aptitude install ldap-utils

# ~ Fastbind (zepta se na heslo pro username)
ldapsearch -h ldap.sh.cvut.cz -b "dc=sh,dc=cvut,dc=cz" -D "uid=username,ou=People,dc=sh,dc=cvut,dc=cz" -W uid=username

# ~ Bind (se systémovým účtem)
ldapsearch -h ldap.sh.cvut.cz -b "dc=sh,dc=cvut,dc=cz" -D "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz" -w *heslo_auth_usera* uid=username
</pre>

== Zend_Auth_Adapter_Ldap ==

'''application.ini'''
<pre>
ldap.is.host = ldap.sh.cvut.cz
ldap.is.port = 636
ldap.is.useSsl = true
ldap.is.useStartTls = true

ldap.is.bindRequiresDn = true
ldap.is.baseDn = "ou=People,dc=sh,dc=cvut,dc=cz"
ldap.is.accountCanonicalForm = 2

ldap.is.username = "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz"
ldap.is.password = "********"
</pre>

'''Přiklad přihlášení v kontextu Zend_Controller_Action''', [http://framework.zend.com/manual/1.12/en/zend.auth.adapter.ldap.html Více v dokumentaci]
<pre>
$auth=new Zend_Auth();

$username=$this->_getParam("username");
$password=$this->_getParam("password");

$bootstrap = $this->getInvokeArg('bootstrap');
$config=$bootstrap->getOptions();
$options = $config["ldap"];

$authAdapter=new Zend_Auth_Adapter_Ldap($options,$username,$password);

$result=$auth->authenticate($authAdapter);

if($result->isValid()) {
$ldap=$authAdapter->getLdap();
$user = $ldap->getEntry("uid=".$username.",".$options["is"]["baseDn"]);
echo "Uzivatel prihlasen";
print_r($user);
}
else {
echo "Spatne jmeno nebo heslo";
}
</pre>

== Ruby - FastBind ==

<pre>
require 'rubygems'
require 'net/ldap'
require 'io/console'

puts "Username:"
username = gets
puts "Password:"
password = STDIN.noecho(&:gets)

ldap = Net::LDAP.new(:encryption => :simple_tls)
ldap.host = "ldap.sh.cvut.cz"
ldap.port = 636
ldap.base = "ou=People,dc=sh,dc=cvut,dc=cz"
ldap.auth "uid=#{username.strip},"+ldap.base, password.strip
if ldap.bind
puts "authentication succeeded"
p ldap.search(
base: "ou=People,dc=sh,dc=cvut,dc=cz",
filter: Net::LDAP::Filter.eq("uid", username.strip),
attributes: %w[ givenName sn email SHservice ],
return_result:true
).inspect
else
puts "authentication failed"
end
</pre>

== PHP - bez frameworku ==
<?php
$user = "tomassrna";
$pass = "...";
$ldapConn = ldap_connect("ldaps://ldap.sh.cvut.cz", 636);
if($ldapConn)
{
$ldapBind = ldap_bind($ldapConn, "uid=".$user.",ou=People,dc=sh,dc=cvut,dc=cz", $pass);
if($ldapBind)
echo "SUCCESS\n";
else
{
echo "FAILED: ";
echo ldap_error($ldapConn)."\n";
}
}

== Microsoft Visual C# ==

Tak toto bol tazky boj...

* Pridame reference System.DirectoryServices

<pre>
using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Threading.Tasks;
using System.DirectoryServices;
using System.Collections;

namespace LDAP
{
class Program
{
static void Main(string[] args)
{
Dictionary<string, string[]> attrs;
if ((attrs = shLdap("tomassrna", "xxxxxx",
new[] { "mail", "uid", "SHservice", "SHadmin" }, "(&(uid=tomassrna)(SHservice=net))")) != null)
{
Console.WriteLine("Auth success!");
// Priklad vypisu vsetkych atributov
foreach(KeyValuePair<string, string[]> kv in attrs)
{
string k = kv.Key;
foreach (string v in kv.Value)
{
Console.WriteLine(k + "=" + v);
}
}
// Priklad ziskania single value
Console.WriteLine("E-mail: " + attrs["mail"][0]);
// Priklad ziskania multi value
Console.WriteLine("Spravovane servery: ");
foreach (string s in attrs["shadmin"])
{
Console.WriteLine(s);
}
}
else
Console.WriteLine("Auth failed!");

Console.Read();
}
static Dictionary<string, string[]> shLdap(string username, string password, string[] attrs, string filter = "")
{
try
{
DirectoryEntry de = new DirectoryEntry("LDAP://ldap.sh.cvut.cz:636/OU=People,DC=sh,DC=cvut,DC=cz",
"uid=" + username + ",ou=People,dc=sh,dc=cvut,dc=cz", password,
AuthenticationTypes.SecureSocketsLayer);
DirectorySearcher ds = new DirectorySearcher(de);
if (filter == "")
ds.Filter = "(uid=" + username + ")";
else
ds.Filter = filter;
foreach (string attr in attrs)
ds.PropertiesToLoad.Add(attr);
SearchResult sr = ds.FindOne();

Dictionary<string, string[]> res = new Dictionary<string, string[]>();
foreach (string prop in sr.Properties.PropertyNames)
{
var ar = new List<string>();
foreach (object oval in sr.Properties[prop])
{
string val = "";
if (oval is string)
val = (string)oval;
else if(oval is Byte[])
val = Encoding.UTF8.GetString((Byte[])oval, 0, ((Byte[])oval).Length);
ar.Add(val);
}
res[prop] = (string[])ar.ToArray();
}
return res;
}
catch (Exception)
{
return null;
}
}
}
}
</pre>

== Linux - prihlasovanie uzivatelov ==

Existuje niekolko sposobov, ako nakonfigurovat LDAP prihlasovanie na Linuxe. Niektore cesty su strastiplne, nechas u nich vsetky svoje nervy a potis krv.
Podme si ukazat sposob, ktory je jednoduchy a funguje.

Hned na zaciatku by som podotkol, ze <pre>getent passwd</pre> nikdy nebude fungovat na zobrazenie vsetkych uzivatelov. Je to politika zabezpecenia SH LDAP, ktora hovori, ze pouzivany '''auth-user''' nema pravo vidiet vsetkych uzivatelov, moze len hladat a autentifikovat. To nam staci.

Pre debug pouzivaj
<pre>id tomassrna</pre>

=== Prerekvizita ===
[[#Prerekvizita SSL]]

=== NSS ===

NSS resolvuje ciselne uidNumber na meno uzivalela. Stara sa napr. o prikaz id, alebo pri listovani adresara zobrazi uzivatela miesto cisla.

= Seznam služeb a jejich správců, které LDAP používají =
* finance.sh [[Bronislav Robenek]]
* imap.sh [[Radim Roška]]
* zimbra.sh [[Radim Roška]]
* msdnaa.sh [[Michal Naiman]]
* git.sh [[Tomáš Srna]]
* news.sh [[Dominik Mališ]]
* shell.sh [[Václav Mach]]
* siliconhill.cz [[Dominik Mališ]]

LDAP

2012-11-08T12:50:25Z

Tomassrna: /* Prerekvizita */

LDAP je protokol pro získávání/zapisování informací v stromové struktuře. Dnes se používá zejména pro jednotné přihlašování uživatelů do více aplikací.
[http://en.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol LDAP na wikipedii]

Klub Silicon Hill v rámci Informačního systému provozuje LDAP server, vůči kterým se můžou další aplikace ověřovat pomocí uživatelova hesla. Umožňujeme jak bind tak fastbind. Stávající implementace je pro všechny uživatele Read-only, veškeré změny uživatelských účtů je třeba dělat přes rozhraní informačního systému.

= Informace o serveru =

* Adresa: ldap.sh.cvut.cz
* Port: 636
* Používá SSL (ldaps://)
* Správce: [[Tomáš Srna]]
* Uživatelé v ou=People,dc=sh,dc=cvut,dc=cz
* Atribút uživateľského mena: uid
* Uživatel pro servery: cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz
* Heslo na vyžádání u správce
* Overenie cez userPassword, SSHA hash
* Vo výnimočných prípadoch možnosť NTLM overenia

== Autentizačné módy ==

* FastBind - Bind priamo užívateľom, pod ktorým sa hlási náš klient
* uid={username},ou=People,dc=sh,dc=cvut,dc=cz
* {password}
* Bind cez auth-user
* Horeuvedené údaje
* Vhodné pre mnohonásobné overovanie užívateľov s použitím jediného spojenia.

= Prerekvizita SSL =

'''Dôležité!''' Na Linuxe pokiaľ sa používajú ldap knižnice z OS (používa ich OS samotný, PHP, ...), je potrebné pridať certifikát autority.

Postup je nasledovný:

* V /etc/ldap/ldap.conf pridáme riadok
TLS_CACERT /etc/ssl/certs/ldap.pem

* Do spomínaného súboru /etc/ssl/certs/ldap.pem vložíme certifikát autority AddTrust:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

= Příklady použití / nastavení =

== LDAP Kontakty v Telefonu ==

'''iPhone'''
Nastavení -> Pošta, Kontakty, Kalendáře -> Přidat účet -> Jiný -> "Přidat účet LDAP"
* Server: ldap.sh.cvut.cz
* Uživatel: uid=**tvůj username**,ou=People,dc=sh,dc=cvut,dc=cz
* Heslo: Tvé heslo do ISu
* Popis: ldap.sh.cvut.cz
* Použít SSL: Ano
* Kritéria hledání: dc=sh,dc=cvut,dc=cz

== LDAP z příkazové řádky - ldapsearch ==

<pre>
# Balíček
aptitude install ldap-utils

# ~ Fastbind (zepta se na heslo pro username)
ldapsearch -h ldap.sh.cvut.cz -b "dc=sh,dc=cvut,dc=cz" -D "uid=username,ou=People,dc=sh,dc=cvut,dc=cz" -W uid=username

# ~ Bind (se systémovým účtem)
ldapsearch -h ldap.sh.cvut.cz -b "dc=sh,dc=cvut,dc=cz" -D "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz" -w *heslo_auth_usera* uid=username
</pre>

== Zend_Auth_Adapter_Ldap ==

'''application.ini'''
<pre>
ldap.is.host = ldap.sh.cvut.cz
ldap.is.port = 636
ldap.is.useSsl = true
ldap.is.useStartTls = true

ldap.is.bindRequiresDn = true
ldap.is.baseDn = "ou=People,dc=sh,dc=cvut,dc=cz"
ldap.is.accountCanonicalForm = 2

ldap.is.username = "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz"
ldap.is.password = "********"
</pre>

'''Přiklad přihlášení v kontextu Zend_Controller_Action''', [http://framework.zend.com/manual/1.12/en/zend.auth.adapter.ldap.html Více v dokumentaci]
<pre>
$auth=new Zend_Auth();

$username=$this->_getParam("username");
$password=$this->_getParam("password");

$bootstrap = $this->getInvokeArg('bootstrap');
$config=$bootstrap->getOptions();
$options = $config["ldap"];

$authAdapter=new Zend_Auth_Adapter_Ldap($options,$username,$password);

$result=$auth->authenticate($authAdapter);

if($result->isValid()) {
$ldap=$authAdapter->getLdap();
$user = $ldap->getEntry("uid=".$username.",".$options["is"]["baseDn"]);
echo "Uzivatel prihlasen";
print_r($user);
}
else {
echo "Spatne jmeno nebo heslo";
}
</pre>

== Ruby - FastBind ==

<pre>
require 'rubygems'
require 'net/ldap'
require 'io/console'

puts "Username:"
username = gets
puts "Password:"
password = STDIN.noecho(&:gets)

ldap = Net::LDAP.new(:encryption => :simple_tls)
ldap.host = "ldap.sh.cvut.cz"
ldap.port = 636
ldap.base = "ou=People,dc=sh,dc=cvut,dc=cz"
ldap.auth "uid=#{username.strip},"+ldap.base, password.strip
if ldap.bind
puts "authentication succeeded"
p ldap.search(
base: "ou=People,dc=sh,dc=cvut,dc=cz",
filter: Net::LDAP::Filter.eq("uid", username.strip),
attributes: %w[ givenName sn email SHservice ],
return_result:true
).inspect
else
puts "authentication failed"
end
</pre>

== PHP - bez frameworku ==
<?php
$user = "tomassrna";
$pass = "...";
$ldapConn = ldap_connect("ldaps://ldap.sh.cvut.cz", 636);
if($ldapConn)
{
$ldapBind = ldap_bind($ldapConn, "uid=".$user.",ou=People,dc=sh,dc=cvut,dc=cz", $pass);
if($ldapBind)
echo "SUCCESS\n";
else
{
echo "FAILED: ";
echo ldap_error($ldapConn)."\n";
}
}

== Microsoft Visual C# ==

Tak toto bol tazky boj...

* Pridame reference System.DirectoryServices

<pre>
using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Threading.Tasks;
using System.DirectoryServices;
using System.Collections;

namespace LDAP
{
class Program
{
static void Main(string[] args)
{
Dictionary<string, string[]> attrs;
if ((attrs = shLdap("tomassrna", "xxxxxx",
new[] { "mail", "uid", "SHservice", "SHadmin" }, "(&(uid=tomassrna)(SHservice=net))")) != null)
{
Console.WriteLine("Auth success!");
// Priklad vypisu vsetkych atributov
foreach(KeyValuePair<string, string[]> kv in attrs)
{
string k = kv.Key;
foreach (string v in kv.Value)
{
Console.WriteLine(k + "=" + v);
}
}
// Priklad ziskania single value
Console.WriteLine("E-mail: " + attrs["mail"][0]);
// Priklad ziskania multi value
Console.WriteLine("Spravovane servery: ");
foreach (string s in attrs["shadmin"])
{
Console.WriteLine(s);
}
}
else
Console.WriteLine("Auth failed!");

Console.Read();
}
static Dictionary<string, string[]> shLdap(string username, string password, string[] attrs, string filter = "")
{
try
{
DirectoryEntry de = new DirectoryEntry("LDAP://ldap.sh.cvut.cz:636/OU=People,DC=sh,DC=cvut,DC=cz",
"uid=" + username + ",ou=People,dc=sh,dc=cvut,dc=cz", password,
AuthenticationTypes.SecureSocketsLayer);
DirectorySearcher ds = new DirectorySearcher(de);
if (filter == "")
ds.Filter = "(uid=" + username + ")";
else
ds.Filter = filter;
foreach (string attr in attrs)
ds.PropertiesToLoad.Add(attr);
SearchResult sr = ds.FindOne();

Dictionary<string, string[]> res = new Dictionary<string, string[]>();
foreach (string prop in sr.Properties.PropertyNames)
{
var ar = new List<string>();
foreach (object oval in sr.Properties[prop])
{
string val = "";
if (oval is string)
val = (string)oval;
else if(oval is Byte[])
val = Encoding.UTF8.GetString((Byte[])oval, 0, ((Byte[])oval).Length);
ar.Add(val);
}
res[prop] = (string[])ar.ToArray();
}
return res;
}
catch (Exception)
{
return null;
}
}
}
}
</pre>

== Linux - prihlasovanie uzivatelov ==

Existuje niekolko sposobov, ako nakonfigurovat LDAP prihlasovanie na Linuxe. Niektore cesty su strastiplne, nechas u nich vsetky svoje nervy a potis krv.
Podme si ukazat sposob, ktory je jednoduchy a funguje.

Hned na zaciatku by som podotkol, ze <pre>getent passwd</pre> nikdy nebude fungovat na zobrazenie vsetkych uzivatelov. Je to politika zabezpecenia SH LDAP, ktora hovori, ze pouzivany '''auth-user''' nema pravo vidiet vsetkych uzivatelov, moze len hladat a autentifikovat. To nam staci.

Pre debug pouzivaj
<pre>id tomassrna</pre>

=== Prerekvizita ===
[[#Prerekvizita SSL]]

=== NSS ===

= Seznam služeb a jejich správců, které LDAP používají =
* finance.sh [[Bronislav Robenek]]
* imap.sh [[Radim Roška]]
* zimbra.sh [[Radim Roška]]
* msdnaa.sh [[Michal Naiman]]
* git.sh [[Tomáš Srna]]
* news.sh [[Dominik Mališ]]
* shell.sh [[Václav Mach]]
* siliconhill.cz [[Dominik Mališ]]

LDAP

2012-11-08T12:49:32Z

Tomassrna: /* Linux - prihlasovanie uzivatelov */

LDAP je protokol pro získávání/zapisování informací v stromové struktuře. Dnes se používá zejména pro jednotné přihlašování uživatelů do více aplikací.
[http://en.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol LDAP na wikipedii]

Klub Silicon Hill v rámci Informačního systému provozuje LDAP server, vůči kterým se můžou další aplikace ověřovat pomocí uživatelova hesla. Umožňujeme jak bind tak fastbind. Stávající implementace je pro všechny uživatele Read-only, veškeré změny uživatelských účtů je třeba dělat přes rozhraní informačního systému.

= Informace o serveru =

* Adresa: ldap.sh.cvut.cz
* Port: 636
* Používá SSL (ldaps://)
* Správce: [[Tomáš Srna]]
* Uživatelé v ou=People,dc=sh,dc=cvut,dc=cz
* Atribút uživateľského mena: uid
* Uživatel pro servery: cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz
* Heslo na vyžádání u správce
* Overenie cez userPassword, SSHA hash
* Vo výnimočných prípadoch možnosť NTLM overenia

== Autentizačné módy ==

* FastBind - Bind priamo užívateľom, pod ktorým sa hlási náš klient
* uid={username},ou=People,dc=sh,dc=cvut,dc=cz
* {password}
* Bind cez auth-user
* Horeuvedené údaje
* Vhodné pre mnohonásobné overovanie užívateľov s použitím jediného spojenia.

= Prerekvizita SSL =

'''Dôležité!''' Na Linuxe pokiaľ sa používajú ldap knižnice z OS (používa ich OS samotný, PHP, ...), je potrebné pridať certifikát autority.

Postup je nasledovný:

* V /etc/ldap/ldap.conf pridáme riadok
TLS_CACERT /etc/ssl/certs/ldap.pem

* Do spomínaného súboru /etc/ssl/certs/ldap.pem vložíme certifikát autority AddTrust:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

= Příklady použití / nastavení =

== LDAP Kontakty v Telefonu ==

'''iPhone'''
Nastavení -> Pošta, Kontakty, Kalendáře -> Přidat účet -> Jiný -> "Přidat účet LDAP"
* Server: ldap.sh.cvut.cz
* Uživatel: uid=**tvůj username**,ou=People,dc=sh,dc=cvut,dc=cz
* Heslo: Tvé heslo do ISu
* Popis: ldap.sh.cvut.cz
* Použít SSL: Ano
* Kritéria hledání: dc=sh,dc=cvut,dc=cz

== LDAP z příkazové řádky - ldapsearch ==

<pre>
# Balíček
aptitude install ldap-utils

# ~ Fastbind (zepta se na heslo pro username)
ldapsearch -h ldap.sh.cvut.cz -b "dc=sh,dc=cvut,dc=cz" -D "uid=username,ou=People,dc=sh,dc=cvut,dc=cz" -W uid=username

# ~ Bind (se systémovým účtem)
ldapsearch -h ldap.sh.cvut.cz -b "dc=sh,dc=cvut,dc=cz" -D "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz" -w *heslo_auth_usera* uid=username
</pre>

== Zend_Auth_Adapter_Ldap ==

'''application.ini'''
<pre>
ldap.is.host = ldap.sh.cvut.cz
ldap.is.port = 636
ldap.is.useSsl = true
ldap.is.useStartTls = true

ldap.is.bindRequiresDn = true
ldap.is.baseDn = "ou=People,dc=sh,dc=cvut,dc=cz"
ldap.is.accountCanonicalForm = 2

ldap.is.username = "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz"
ldap.is.password = "********"
</pre>

'''Přiklad přihlášení v kontextu Zend_Controller_Action''', [http://framework.zend.com/manual/1.12/en/zend.auth.adapter.ldap.html Více v dokumentaci]
<pre>
$auth=new Zend_Auth();

$username=$this->_getParam("username");
$password=$this->_getParam("password");

$bootstrap = $this->getInvokeArg('bootstrap');
$config=$bootstrap->getOptions();
$options = $config["ldap"];

$authAdapter=new Zend_Auth_Adapter_Ldap($options,$username,$password);

$result=$auth->authenticate($authAdapter);

if($result->isValid()) {
$ldap=$authAdapter->getLdap();
$user = $ldap->getEntry("uid=".$username.",".$options["is"]["baseDn"]);
echo "Uzivatel prihlasen";
print_r($user);
}
else {
echo "Spatne jmeno nebo heslo";
}
</pre>

== Ruby - FastBind ==

<pre>
require 'rubygems'
require 'net/ldap'
require 'io/console'

puts "Username:"
username = gets
puts "Password:"
password = STDIN.noecho(&:gets)

ldap = Net::LDAP.new(:encryption => :simple_tls)
ldap.host = "ldap.sh.cvut.cz"
ldap.port = 636
ldap.base = "ou=People,dc=sh,dc=cvut,dc=cz"
ldap.auth "uid=#{username.strip},"+ldap.base, password.strip
if ldap.bind
puts "authentication succeeded"
p ldap.search(
base: "ou=People,dc=sh,dc=cvut,dc=cz",
filter: Net::LDAP::Filter.eq("uid", username.strip),
attributes: %w[ givenName sn email SHservice ],
return_result:true
).inspect
else
puts "authentication failed"
end
</pre>

== PHP - bez frameworku ==
<?php
$user = "tomassrna";
$pass = "...";
$ldapConn = ldap_connect("ldaps://ldap.sh.cvut.cz", 636);
if($ldapConn)
{
$ldapBind = ldap_bind($ldapConn, "uid=".$user.",ou=People,dc=sh,dc=cvut,dc=cz", $pass);
if($ldapBind)
echo "SUCCESS\n";
else
{
echo "FAILED: ";
echo ldap_error($ldapConn)."\n";
}
}

== Microsoft Visual C# ==

Tak toto bol tazky boj...

* Pridame reference System.DirectoryServices

<pre>
using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Threading.Tasks;
using System.DirectoryServices;
using System.Collections;

namespace LDAP
{
class Program
{
static void Main(string[] args)
{
Dictionary<string, string[]> attrs;
if ((attrs = shLdap("tomassrna", "xxxxxx",
new[] { "mail", "uid", "SHservice", "SHadmin" }, "(&(uid=tomassrna)(SHservice=net))")) != null)
{
Console.WriteLine("Auth success!");
// Priklad vypisu vsetkych atributov
foreach(KeyValuePair<string, string[]> kv in attrs)
{
string k = kv.Key;
foreach (string v in kv.Value)
{
Console.WriteLine(k + "=" + v);
}
}
// Priklad ziskania single value
Console.WriteLine("E-mail: " + attrs["mail"][0]);
// Priklad ziskania multi value
Console.WriteLine("Spravovane servery: ");
foreach (string s in attrs["shadmin"])
{
Console.WriteLine(s);
}
}
else
Console.WriteLine("Auth failed!");

Console.Read();
}
static Dictionary<string, string[]> shLdap(string username, string password, string[] attrs, string filter = "")
{
try
{
DirectoryEntry de = new DirectoryEntry("LDAP://ldap.sh.cvut.cz:636/OU=People,DC=sh,DC=cvut,DC=cz",
"uid=" + username + ",ou=People,dc=sh,dc=cvut,dc=cz", password,
AuthenticationTypes.SecureSocketsLayer);
DirectorySearcher ds = new DirectorySearcher(de);
if (filter == "")
ds.Filter = "(uid=" + username + ")";
else
ds.Filter = filter;
foreach (string attr in attrs)
ds.PropertiesToLoad.Add(attr);
SearchResult sr = ds.FindOne();

Dictionary<string, string[]> res = new Dictionary<string, string[]>();
foreach (string prop in sr.Properties.PropertyNames)
{
var ar = new List<string>();
foreach (object oval in sr.Properties[prop])
{
string val = "";
if (oval is string)
val = (string)oval;
else if(oval is Byte[])
val = Encoding.UTF8.GetString((Byte[])oval, 0, ((Byte[])oval).Length);
ar.Add(val);
}
res[prop] = (string[])ar.ToArray();
}
return res;
}
catch (Exception)
{
return null;
}
}
}
}
</pre>

== Linux - prihlasovanie uzivatelov ==

Existuje niekolko sposobov, ako nakonfigurovat LDAP prihlasovanie na Linuxe. Niektore cesty su strastiplne, nechas u nich vsetky svoje nervy a potis krv.
Podme si ukazat sposob, ktory je jednoduchy a funguje.

Hned na zaciatku by som podotkol, ze <pre>getent passwd</pre> nikdy nebude fungovat na zobrazenie vsetkych uzivatelov. Je to politika zabezpecenia SH LDAP, ktora hovori, ze pouzivany '''auth-user''' nema pravo vidiet vsetkych uzivatelov, moze len hladat a autentifikovat. To nam staci.

Pre debug pouzivaj
<pre>id tomassrna</pre>

=== Prerekvizita ===
[[#Prerekvizita SSL]]

= Seznam služeb a jejich správců, které LDAP používají =
* finance.sh [[Bronislav Robenek]]
* imap.sh [[Radim Roška]]
* zimbra.sh [[Radim Roška]]
* msdnaa.sh [[Michal Naiman]]
* git.sh [[Tomáš Srna]]
* news.sh [[Dominik Mališ]]
* shell.sh [[Václav Mach]]
* siliconhill.cz [[Dominik Mališ]]

LDAP

2012-11-08T12:48:55Z

Tomassrna: /* Linux - prihlasovanie uzivatelov */

LDAP je protokol pro získávání/zapisování informací v stromové struktuře. Dnes se používá zejména pro jednotné přihlašování uživatelů do více aplikací.
[http://en.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol LDAP na wikipedii]

Klub Silicon Hill v rámci Informačního systému provozuje LDAP server, vůči kterým se můžou další aplikace ověřovat pomocí uživatelova hesla. Umožňujeme jak bind tak fastbind. Stávající implementace je pro všechny uživatele Read-only, veškeré změny uživatelských účtů je třeba dělat přes rozhraní informačního systému.

= Informace o serveru =

* Adresa: ldap.sh.cvut.cz
* Port: 636
* Používá SSL (ldaps://)
* Správce: [[Tomáš Srna]]
* Uživatelé v ou=People,dc=sh,dc=cvut,dc=cz
* Atribút uživateľského mena: uid
* Uživatel pro servery: cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz
* Heslo na vyžádání u správce
* Overenie cez userPassword, SSHA hash
* Vo výnimočných prípadoch možnosť NTLM overenia

== Autentizačné módy ==

* FastBind - Bind priamo užívateľom, pod ktorým sa hlási náš klient
* uid={username},ou=People,dc=sh,dc=cvut,dc=cz
* {password}
* Bind cez auth-user
* Horeuvedené údaje
* Vhodné pre mnohonásobné overovanie užívateľov s použitím jediného spojenia.

= Prerekvizita SSL =

'''Dôležité!''' Na Linuxe pokiaľ sa používajú ldap knižnice z OS (používa ich OS samotný, PHP, ...), je potrebné pridať certifikát autority.

Postup je nasledovný:

* V /etc/ldap/ldap.conf pridáme riadok
TLS_CACERT /etc/ssl/certs/ldap.pem

* Do spomínaného súboru /etc/ssl/certs/ldap.pem vložíme certifikát autority AddTrust:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

= Příklady použití / nastavení =

== LDAP Kontakty v Telefonu ==

'''iPhone'''
Nastavení -> Pošta, Kontakty, Kalendáře -> Přidat účet -> Jiný -> "Přidat účet LDAP"
* Server: ldap.sh.cvut.cz
* Uživatel: uid=**tvůj username**,ou=People,dc=sh,dc=cvut,dc=cz
* Heslo: Tvé heslo do ISu
* Popis: ldap.sh.cvut.cz
* Použít SSL: Ano
* Kritéria hledání: dc=sh,dc=cvut,dc=cz

== LDAP z příkazové řádky - ldapsearch ==

<pre>
# Balíček
aptitude install ldap-utils

# ~ Fastbind (zepta se na heslo pro username)
ldapsearch -h ldap.sh.cvut.cz -b "dc=sh,dc=cvut,dc=cz" -D "uid=username,ou=People,dc=sh,dc=cvut,dc=cz" -W uid=username

# ~ Bind (se systémovým účtem)
ldapsearch -h ldap.sh.cvut.cz -b "dc=sh,dc=cvut,dc=cz" -D "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz" -w *heslo_auth_usera* uid=username
</pre>

== Zend_Auth_Adapter_Ldap ==

'''application.ini'''
<pre>
ldap.is.host = ldap.sh.cvut.cz
ldap.is.port = 636
ldap.is.useSsl = true
ldap.is.useStartTls = true

ldap.is.bindRequiresDn = true
ldap.is.baseDn = "ou=People,dc=sh,dc=cvut,dc=cz"
ldap.is.accountCanonicalForm = 2

ldap.is.username = "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz"
ldap.is.password = "********"
</pre>

'''Přiklad přihlášení v kontextu Zend_Controller_Action''', [http://framework.zend.com/manual/1.12/en/zend.auth.adapter.ldap.html Více v dokumentaci]
<pre>
$auth=new Zend_Auth();

$username=$this->_getParam("username");
$password=$this->_getParam("password");

$bootstrap = $this->getInvokeArg('bootstrap');
$config=$bootstrap->getOptions();
$options = $config["ldap"];

$authAdapter=new Zend_Auth_Adapter_Ldap($options,$username,$password);

$result=$auth->authenticate($authAdapter);

if($result->isValid()) {
$ldap=$authAdapter->getLdap();
$user = $ldap->getEntry("uid=".$username.",".$options["is"]["baseDn"]);
echo "Uzivatel prihlasen";
print_r($user);
}
else {
echo "Spatne jmeno nebo heslo";
}
</pre>

== Ruby - FastBind ==

<pre>
require 'rubygems'
require 'net/ldap'
require 'io/console'

puts "Username:"
username = gets
puts "Password:"
password = STDIN.noecho(&:gets)

ldap = Net::LDAP.new(:encryption => :simple_tls)
ldap.host = "ldap.sh.cvut.cz"
ldap.port = 636
ldap.base = "ou=People,dc=sh,dc=cvut,dc=cz"
ldap.auth "uid=#{username.strip},"+ldap.base, password.strip
if ldap.bind
puts "authentication succeeded"
p ldap.search(
base: "ou=People,dc=sh,dc=cvut,dc=cz",
filter: Net::LDAP::Filter.eq("uid", username.strip),
attributes: %w[ givenName sn email SHservice ],
return_result:true
).inspect
else
puts "authentication failed"
end
</pre>

== PHP - bez frameworku ==
<?php
$user = "tomassrna";
$pass = "...";
$ldapConn = ldap_connect("ldaps://ldap.sh.cvut.cz", 636);
if($ldapConn)
{
$ldapBind = ldap_bind($ldapConn, "uid=".$user.",ou=People,dc=sh,dc=cvut,dc=cz", $pass);
if($ldapBind)
echo "SUCCESS\n";
else
{
echo "FAILED: ";
echo ldap_error($ldapConn)."\n";
}
}

== Microsoft Visual C# ==

Tak toto bol tazky boj...

* Pridame reference System.DirectoryServices

<pre>
using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Threading.Tasks;
using System.DirectoryServices;
using System.Collections;

namespace LDAP
{
class Program
{
static void Main(string[] args)
{
Dictionary<string, string[]> attrs;
if ((attrs = shLdap("tomassrna", "xxxxxx",
new[] { "mail", "uid", "SHservice", "SHadmin" }, "(&(uid=tomassrna)(SHservice=net))")) != null)
{
Console.WriteLine("Auth success!");
// Priklad vypisu vsetkych atributov
foreach(KeyValuePair<string, string[]> kv in attrs)
{
string k = kv.Key;
foreach (string v in kv.Value)
{
Console.WriteLine(k + "=" + v);
}
}
// Priklad ziskania single value
Console.WriteLine("E-mail: " + attrs["mail"][0]);
// Priklad ziskania multi value
Console.WriteLine("Spravovane servery: ");
foreach (string s in attrs["shadmin"])
{
Console.WriteLine(s);
}
}
else
Console.WriteLine("Auth failed!");

Console.Read();
}
static Dictionary<string, string[]> shLdap(string username, string password, string[] attrs, string filter = "")
{
try
{
DirectoryEntry de = new DirectoryEntry("LDAP://ldap.sh.cvut.cz:636/OU=People,DC=sh,DC=cvut,DC=cz",
"uid=" + username + ",ou=People,dc=sh,dc=cvut,dc=cz", password,
AuthenticationTypes.SecureSocketsLayer);
DirectorySearcher ds = new DirectorySearcher(de);
if (filter == "")
ds.Filter = "(uid=" + username + ")";
else
ds.Filter = filter;
foreach (string attr in attrs)
ds.PropertiesToLoad.Add(attr);
SearchResult sr = ds.FindOne();

Dictionary<string, string[]> res = new Dictionary<string, string[]>();
foreach (string prop in sr.Properties.PropertyNames)
{
var ar = new List<string>();
foreach (object oval in sr.Properties[prop])
{
string val = "";
if (oval is string)
val = (string)oval;
else if(oval is Byte[])
val = Encoding.UTF8.GetString((Byte[])oval, 0, ((Byte[])oval).Length);
ar.Add(val);
}
res[prop] = (string[])ar.ToArray();
}
return res;
}
catch (Exception)
{
return null;
}
}
}
}
</pre>

== Linux - prihlasovanie uzivatelov ==

Existuje niekolko sposobov, ako nakonfigurovat LDAP prihlasovanie na Linuxe. Niektore cesty su strastiplne, nechas u nich vsetky svoje nervy a potis krv.
Podme si ukazat sposob, ktory je jednoduchy a funguje.

Hned na zaciatku by som podotkol, ze <pre>getent passwd</pre> nikdy nebude fungovat na zobrazenie vsetkych uzivatelov. Je to politika zabezpecenia SH LDAP, ktora hovori, ze pouzivany '''auth-user''' nema pravo vidiet vsetkych uzivatelov, moze len hladat a autentifikovat. To nam staci.

=== Prerekvizita ===
[[#Prerekvizita SSL]]

= Seznam služeb a jejich správců, které LDAP používají =
* finance.sh [[Bronislav Robenek]]
* imap.sh [[Radim Roška]]
* zimbra.sh [[Radim Roška]]
* msdnaa.sh [[Michal Naiman]]
* git.sh [[Tomáš Srna]]
* news.sh [[Dominik Mališ]]
* shell.sh [[Václav Mach]]
* siliconhill.cz [[Dominik Mališ]]

LDAP

2012-11-08T12:22:33Z

Tomassrna: /* PAM */

LDAP je protokol pro získávání/zapisování informací v stromové struktuře. Dnes se používá zejména pro jednotné přihlašování uživatelů do více aplikací.
[http://en.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol LDAP na wikipedii]

Klub Silicon Hill v rámci Informačního systému provozuje LDAP server, vůči kterým se můžou další aplikace ověřovat pomocí uživatelova hesla. Umožňujeme jak bind tak fastbind. Stávající implementace je pro všechny uživatele Read-only, veškeré změny uživatelských účtů je třeba dělat přes rozhraní informačního systému.

= Informace o serveru =

* Adresa: ldap.sh.cvut.cz
* Port: 636
* Používá SSL (ldaps://)
* Správce: [[Tomáš Srna]]
* Uživatelé v ou=People,dc=sh,dc=cvut,dc=cz
* Atribút uživateľského mena: uid
* Uživatel pro servery: cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz
* Heslo na vyžádání u správce
* Overenie cez userPassword, SSHA hash
* Vo výnimočných prípadoch možnosť NTLM overenia

== Autentizačné módy ==

* FastBind - Bind priamo užívateľom, pod ktorým sa hlási náš klient
* uid={username},ou=People,dc=sh,dc=cvut,dc=cz
* {password}
* Bind cez auth-user
* Horeuvedené údaje
* Vhodné pre mnohonásobné overovanie užívateľov s použitím jediného spojenia.

= Prerekvizita SSL =

'''Dôležité!''' Na Linuxe pokiaľ sa používajú ldap knižnice z OS (používa ich OS samotný, PHP, ...), je potrebné pridať certifikát autority.

Postup je nasledovný:

* V /etc/ldap/ldap.conf pridáme riadok
TLS_CACERT /etc/ssl/certs/ldap.pem

* Do spomínaného súboru /etc/ssl/certs/ldap.pem vložíme certifikát autority AddTrust:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

= Příklady použití / nastavení =

== LDAP Kontakty v Telefonu ==

'''iPhone'''
Nastavení -> Pošta, Kontakty, Kalendáře -> Přidat účet -> Jiný -> "Přidat účet LDAP"
* Server: ldap.sh.cvut.cz
* Uživatel: uid=**tvůj username**,ou=People,dc=sh,dc=cvut,dc=cz
* Heslo: Tvé heslo do ISu
* Popis: ldap.sh.cvut.cz
* Použít SSL: Ano
* Kritéria hledání: dc=sh,dc=cvut,dc=cz

== LDAP z příkazové řádky - ldapsearch ==

<pre>
# Balíček
aptitude install ldap-utils

# ~ Fastbind (zepta se na heslo pro username)
ldapsearch -h ldap.sh.cvut.cz -b "dc=sh,dc=cvut,dc=cz" -D "uid=username,ou=People,dc=sh,dc=cvut,dc=cz" -W uid=username

# ~ Bind (se systémovým účtem)
ldapsearch -h ldap.sh.cvut.cz -b "dc=sh,dc=cvut,dc=cz" -D "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz" -w *heslo_auth_usera* uid=username
</pre>

== Zend_Auth_Adapter_Ldap ==

'''application.ini'''
<pre>
ldap.is.host = ldap.sh.cvut.cz
ldap.is.port = 636
ldap.is.useSsl = true
ldap.is.useStartTls = true

ldap.is.bindRequiresDn = true
ldap.is.baseDn = "ou=People,dc=sh,dc=cvut,dc=cz"
ldap.is.accountCanonicalForm = 2

ldap.is.username = "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz"
ldap.is.password = "********"
</pre>

'''Přiklad přihlášení v kontextu Zend_Controller_Action''', [http://framework.zend.com/manual/1.12/en/zend.auth.adapter.ldap.html Více v dokumentaci]
<pre>
$auth=new Zend_Auth();

$username=$this->_getParam("username");
$password=$this->_getParam("password");

$bootstrap = $this->getInvokeArg('bootstrap');
$config=$bootstrap->getOptions();
$options = $config["ldap"];

$authAdapter=new Zend_Auth_Adapter_Ldap($options,$username,$password);

$result=$auth->authenticate($authAdapter);

if($result->isValid()) {
$ldap=$authAdapter->getLdap();
$user = $ldap->getEntry("uid=".$username.",".$options["is"]["baseDn"]);
echo "Uzivatel prihlasen";
print_r($user);
}
else {
echo "Spatne jmeno nebo heslo";
}
</pre>

== Ruby - FastBind ==

<pre>
require 'rubygems'
require 'net/ldap'
require 'io/console'

puts "Username:"
username = gets
puts "Password:"
password = STDIN.noecho(&:gets)

ldap = Net::LDAP.new(:encryption => :simple_tls)
ldap.host = "ldap.sh.cvut.cz"
ldap.port = 636
ldap.base = "ou=People,dc=sh,dc=cvut,dc=cz"
ldap.auth "uid=#{username.strip},"+ldap.base, password.strip
if ldap.bind
puts "authentication succeeded"
p ldap.search(
base: "ou=People,dc=sh,dc=cvut,dc=cz",
filter: Net::LDAP::Filter.eq("uid", username.strip),
attributes: %w[ givenName sn email SHservice ],
return_result:true
).inspect
else
puts "authentication failed"
end
</pre>

== PHP - bez frameworku ==
<?php
$user = "tomassrna";
$pass = "...";
$ldapConn = ldap_connect("ldaps://ldap.sh.cvut.cz", 636);
if($ldapConn)
{
$ldapBind = ldap_bind($ldapConn, "uid=".$user.",ou=People,dc=sh,dc=cvut,dc=cz", $pass);
if($ldapBind)
echo "SUCCESS\n";
else
{
echo "FAILED: ";
echo ldap_error($ldapConn)."\n";
}
}

== Microsoft Visual C# ==

Tak toto bol tazky boj...

* Pridame reference System.DirectoryServices

<pre>
using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Threading.Tasks;
using System.DirectoryServices;
using System.Collections;

namespace LDAP
{
class Program
{
static void Main(string[] args)
{
Dictionary<string, string[]> attrs;
if ((attrs = shLdap("tomassrna", "xxxxxx",
new[] { "mail", "uid", "SHservice", "SHadmin" }, "(&(uid=tomassrna)(SHservice=net))")) != null)
{
Console.WriteLine("Auth success!");
// Priklad vypisu vsetkych atributov
foreach(KeyValuePair<string, string[]> kv in attrs)
{
string k = kv.Key;
foreach (string v in kv.Value)
{
Console.WriteLine(k + "=" + v);
}
}
// Priklad ziskania single value
Console.WriteLine("E-mail: " + attrs["mail"][0]);
// Priklad ziskania multi value
Console.WriteLine("Spravovane servery: ");
foreach (string s in attrs["shadmin"])
{
Console.WriteLine(s);
}
}
else
Console.WriteLine("Auth failed!");

Console.Read();
}
static Dictionary<string, string[]> shLdap(string username, string password, string[] attrs, string filter = "")
{
try
{
DirectoryEntry de = new DirectoryEntry("LDAP://ldap.sh.cvut.cz:636/OU=People,DC=sh,DC=cvut,DC=cz",
"uid=" + username + ",ou=People,dc=sh,dc=cvut,dc=cz", password,
AuthenticationTypes.SecureSocketsLayer);
DirectorySearcher ds = new DirectorySearcher(de);
if (filter == "")
ds.Filter = "(uid=" + username + ")";
else
ds.Filter = filter;
foreach (string attr in attrs)
ds.PropertiesToLoad.Add(attr);
SearchResult sr = ds.FindOne();

Dictionary<string, string[]> res = new Dictionary<string, string[]>();
foreach (string prop in sr.Properties.PropertyNames)
{
var ar = new List<string>();
foreach (object oval in sr.Properties[prop])
{
string val = "";
if (oval is string)
val = (string)oval;
else if(oval is Byte[])
val = Encoding.UTF8.GetString((Byte[])oval, 0, ((Byte[])oval).Length);
ar.Add(val);
}
res[prop] = (string[])ar.ToArray();
}
return res;
}
catch (Exception)
{
return null;
}
}
}
}
</pre>

== Linux - prihlasovanie uzivatelov ==

Je to strasny oser, priprav si kybel nervov. Ach, zlaty stary NIS. Tak, podme do toho!

Navod testovany na cistej instalacii systemu Debian Squeeze

Splnime [[#Prerekvizita SSL]]

=== NSS ===
NSS je sluzba ktora resolvuje uid na mena uzivatelov (napr. ls aby zobrazilo mena)

<pre>aptitude install libnss-ldap ldap-utils nscd nslcd</pre>

Upravime "/etc/libnss-ldap.conf"
<pre>
base dc=sh,dc=cvut,dc=cz
uri ldaps://ldap.sh.cvut.cz
port 636
rootbinddn cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz
bind_policy soft
binddn cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz
bindpw <heslo sdeli spravca LDAP>

nss_base_passwd ou=People,dc=sh,dc=cvut,dc=cz?one
nss_base_shadow ou=People,dc=sh,dc=cvut,dc=cz?one
nss_base_group ou=Groups,dc=sh,dc=cvut,dc=cz?one
</pre>
Ulozime heslo auth usera do "/etc/libnss-ldap.secret" (nic ine tam nesmie byt, len retazec s heslom)
Upravime "/etc/nsswitch.conf"
<pre>
passwd: files ldap
group: files ldap
shadow: files ldap
</pre>

Upravime /etc/nslcd.conf
<pre>
uri ldaps://ldap.sh.cvut.cz
base dc=sh,dc=cvut,dc=cz
binddn cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz
bindpw <heslo da spravca LDAP>
ssl on
tls_reqcert never
</pre>

=== PAM ===

PAM sluzi pre samotne prihlasovanie uzivatelov, napr. cez SSH

=== Dolezite! ===
<pre>getent passwd</pre> nebude zobrazovat vsetkych uzivatelov, auth user nema pravo na listovanie. Je to zamer, netreba sa bat :)

Miesto toho pre testovanie pouzivaj
<pre>
root@test-srna:~# id tomassrna
uid=16405(tomassrna) gid=513(shuser) groups=513(shuser)
</pre>

=== Debug ===

Test spojenia
<pre>ldapsearch -d 1 -xLLL -H ldaps://ldap.sh.cvut.cz/ -b "ou=People,dc=sh,dc=cvut,dc=cz" -D "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz" -W uid=tomassrna</pre>

nscd
<pre>
/etc/nscd.conf:
logfile /var/log/nscd.log
debug-level 5

tail /var/log/nscd.log
</pre>

= Seznam služeb a jejich správců, které LDAP používají =
* finance.sh [[Bronislav Robenek]]
* imap.sh [[Radim Roška]]
* zimbra.sh [[Radim Roška]]
* msdnaa.sh [[Michal Naiman]]
* git.sh [[Tomáš Srna]]
* news.sh [[Dominik Mališ]]
* shell.sh [[Václav Mach]]
* siliconhill.cz [[Dominik Mališ]]

LDAP

2012-11-08T12:17:22Z

Tomassrna: /* Linux - prihlasovanie uzivatelov */

LDAP je protokol pro získávání/zapisování informací v stromové struktuře. Dnes se používá zejména pro jednotné přihlašování uživatelů do více aplikací.
[http://en.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol LDAP na wikipedii]

Klub Silicon Hill v rámci Informačního systému provozuje LDAP server, vůči kterým se můžou další aplikace ověřovat pomocí uživatelova hesla. Umožňujeme jak bind tak fastbind. Stávající implementace je pro všechny uživatele Read-only, veškeré změny uživatelských účtů je třeba dělat přes rozhraní informačního systému.

= Informace o serveru =

* Adresa: ldap.sh.cvut.cz
* Port: 636
* Používá SSL (ldaps://)
* Správce: [[Tomáš Srna]]
* Uživatelé v ou=People,dc=sh,dc=cvut,dc=cz
* Atribút uživateľského mena: uid
* Uživatel pro servery: cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz
* Heslo na vyžádání u správce
* Overenie cez userPassword, SSHA hash
* Vo výnimočných prípadoch možnosť NTLM overenia

== Autentizačné módy ==

* FastBind - Bind priamo užívateľom, pod ktorým sa hlási náš klient
* uid={username},ou=People,dc=sh,dc=cvut,dc=cz
* {password}
* Bind cez auth-user
* Horeuvedené údaje
* Vhodné pre mnohonásobné overovanie užívateľov s použitím jediného spojenia.

= Prerekvizita SSL =

'''Dôležité!''' Na Linuxe pokiaľ sa používajú ldap knižnice z OS (používa ich OS samotný, PHP, ...), je potrebné pridať certifikát autority.

Postup je nasledovný:

* V /etc/ldap/ldap.conf pridáme riadok
TLS_CACERT /etc/ssl/certs/ldap.pem

* Do spomínaného súboru /etc/ssl/certs/ldap.pem vložíme certifikát autority AddTrust:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

= Příklady použití / nastavení =

== LDAP Kontakty v Telefonu ==

'''iPhone'''
Nastavení -> Pošta, Kontakty, Kalendáře -> Přidat účet -> Jiný -> "Přidat účet LDAP"
* Server: ldap.sh.cvut.cz
* Uživatel: uid=**tvůj username**,ou=People,dc=sh,dc=cvut,dc=cz
* Heslo: Tvé heslo do ISu
* Popis: ldap.sh.cvut.cz
* Použít SSL: Ano
* Kritéria hledání: dc=sh,dc=cvut,dc=cz

== LDAP z příkazové řádky - ldapsearch ==

<pre>
# Balíček
aptitude install ldap-utils

# ~ Fastbind (zepta se na heslo pro username)
ldapsearch -h ldap.sh.cvut.cz -b "dc=sh,dc=cvut,dc=cz" -D "uid=username,ou=People,dc=sh,dc=cvut,dc=cz" -W uid=username

# ~ Bind (se systémovým účtem)
ldapsearch -h ldap.sh.cvut.cz -b "dc=sh,dc=cvut,dc=cz" -D "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz" -w *heslo_auth_usera* uid=username
</pre>

== Zend_Auth_Adapter_Ldap ==

'''application.ini'''
<pre>
ldap.is.host = ldap.sh.cvut.cz
ldap.is.port = 636
ldap.is.useSsl = true
ldap.is.useStartTls = true

ldap.is.bindRequiresDn = true
ldap.is.baseDn = "ou=People,dc=sh,dc=cvut,dc=cz"
ldap.is.accountCanonicalForm = 2

ldap.is.username = "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz"
ldap.is.password = "********"
</pre>

'''Přiklad přihlášení v kontextu Zend_Controller_Action''', [http://framework.zend.com/manual/1.12/en/zend.auth.adapter.ldap.html Více v dokumentaci]
<pre>
$auth=new Zend_Auth();

$username=$this->_getParam("username");
$password=$this->_getParam("password");

$bootstrap = $this->getInvokeArg('bootstrap');
$config=$bootstrap->getOptions();
$options = $config["ldap"];

$authAdapter=new Zend_Auth_Adapter_Ldap($options,$username,$password);

$result=$auth->authenticate($authAdapter);

if($result->isValid()) {
$ldap=$authAdapter->getLdap();
$user = $ldap->getEntry("uid=".$username.",".$options["is"]["baseDn"]);
echo "Uzivatel prihlasen";
print_r($user);
}
else {
echo "Spatne jmeno nebo heslo";
}
</pre>

== Ruby - FastBind ==

<pre>
require 'rubygems'
require 'net/ldap'
require 'io/console'

puts "Username:"
username = gets
puts "Password:"
password = STDIN.noecho(&:gets)

ldap = Net::LDAP.new(:encryption => :simple_tls)
ldap.host = "ldap.sh.cvut.cz"
ldap.port = 636
ldap.base = "ou=People,dc=sh,dc=cvut,dc=cz"
ldap.auth "uid=#{username.strip},"+ldap.base, password.strip
if ldap.bind
puts "authentication succeeded"
p ldap.search(
base: "ou=People,dc=sh,dc=cvut,dc=cz",
filter: Net::LDAP::Filter.eq("uid", username.strip),
attributes: %w[ givenName sn email SHservice ],
return_result:true
).inspect
else
puts "authentication failed"
end
</pre>

== PHP - bez frameworku ==
<?php
$user = "tomassrna";
$pass = "...";
$ldapConn = ldap_connect("ldaps://ldap.sh.cvut.cz", 636);
if($ldapConn)
{
$ldapBind = ldap_bind($ldapConn, "uid=".$user.",ou=People,dc=sh,dc=cvut,dc=cz", $pass);
if($ldapBind)
echo "SUCCESS\n";
else
{
echo "FAILED: ";
echo ldap_error($ldapConn)."\n";
}
}

== Microsoft Visual C# ==

Tak toto bol tazky boj...

* Pridame reference System.DirectoryServices

<pre>
using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Threading.Tasks;
using System.DirectoryServices;
using System.Collections;

namespace LDAP
{
class Program
{
static void Main(string[] args)
{
Dictionary<string, string[]> attrs;
if ((attrs = shLdap("tomassrna", "xxxxxx",
new[] { "mail", "uid", "SHservice", "SHadmin" }, "(&(uid=tomassrna)(SHservice=net))")) != null)
{
Console.WriteLine("Auth success!");
// Priklad vypisu vsetkych atributov
foreach(KeyValuePair<string, string[]> kv in attrs)
{
string k = kv.Key;
foreach (string v in kv.Value)
{
Console.WriteLine(k + "=" + v);
}
}
// Priklad ziskania single value
Console.WriteLine("E-mail: " + attrs["mail"][0]);
// Priklad ziskania multi value
Console.WriteLine("Spravovane servery: ");
foreach (string s in attrs["shadmin"])
{
Console.WriteLine(s);
}
}
else
Console.WriteLine("Auth failed!");

Console.Read();
}
static Dictionary<string, string[]> shLdap(string username, string password, string[] attrs, string filter = "")
{
try
{
DirectoryEntry de = new DirectoryEntry("LDAP://ldap.sh.cvut.cz:636/OU=People,DC=sh,DC=cvut,DC=cz",
"uid=" + username + ",ou=People,dc=sh,dc=cvut,dc=cz", password,
AuthenticationTypes.SecureSocketsLayer);
DirectorySearcher ds = new DirectorySearcher(de);
if (filter == "")
ds.Filter = "(uid=" + username + ")";
else
ds.Filter = filter;
foreach (string attr in attrs)
ds.PropertiesToLoad.Add(attr);
SearchResult sr = ds.FindOne();

Dictionary<string, string[]> res = new Dictionary<string, string[]>();
foreach (string prop in sr.Properties.PropertyNames)
{
var ar = new List<string>();
foreach (object oval in sr.Properties[prop])
{
string val = "";
if (oval is string)
val = (string)oval;
else if(oval is Byte[])
val = Encoding.UTF8.GetString((Byte[])oval, 0, ((Byte[])oval).Length);
ar.Add(val);
}
res[prop] = (string[])ar.ToArray();
}
return res;
}
catch (Exception)
{
return null;
}
}
}
}
</pre>

== Linux - prihlasovanie uzivatelov ==

Je to strasny oser, priprav si kybel nervov. Ach, zlaty stary NIS. Tak, podme do toho!

Navod testovany na cistej instalacii systemu Debian Squeeze

Splnime [[#Prerekvizita SSL]]

=== NSS ===
NSS je sluzba ktora resolvuje uid na mena uzivatelov (napr. ls aby zobrazilo mena)

<pre>aptitude install libnss-ldap ldap-utils nscd nslcd</pre>

Upravime "/etc/libnss-ldap.conf"
<pre>
base dc=sh,dc=cvut,dc=cz
uri ldaps://ldap.sh.cvut.cz
port 636
rootbinddn cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz
bind_policy soft
binddn cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz
bindpw <heslo sdeli spravca LDAP>

nss_base_passwd ou=People,dc=sh,dc=cvut,dc=cz?one
nss_base_shadow ou=People,dc=sh,dc=cvut,dc=cz?one
nss_base_group ou=Groups,dc=sh,dc=cvut,dc=cz?one
</pre>
Ulozime heslo auth usera do "/etc/libnss-ldap.secret" (nic ine tam nesmie byt, len retazec s heslom)
Upravime "/etc/nsswitch.conf"
<pre>
passwd: files ldap
group: files ldap
shadow: files ldap
</pre>

Upravime /etc/nslcd.conf
<pre>
uri ldaps://ldap.sh.cvut.cz
base dc=sh,dc=cvut,dc=cz
binddn cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz
bindpw <heslo da spravca LDAP>
ssl on
tls_reqcert never
</pre>

=== PAM ===

PAM sluzi pre samotne prihlasovanie uzivatelov, napr. cez SSH

=== Dolezite! ===
<pre>getent passwd</pre> nebude zobrazovat vsetkych uzivatelov, auth user nema pravo na listovanie. Je to zamer, netreba sa bat :)

Miesto toho pre testovanie pouzivaj
<pre>
root@test-srna:~# id tomassrna
uid=16405(tomassrna) gid=513(shuser) groups=513(shuser)
</pre>

=== Debug ===

Test spojenia
<pre>ldapsearch -d 1 -xLLL -H ldaps://ldap.sh.cvut.cz/ -b "ou=People,dc=sh,dc=cvut,dc=cz" -D "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz" -W uid=tomassrna</pre>

nscd
<pre>
/etc/nscd.conf:
logfile /var/log/nscd.log
debug-level 5

tail /var/log/nscd.log
</pre>

= Seznam služeb a jejich správců, které LDAP používají =
* finance.sh [[Bronislav Robenek]]
* imap.sh [[Radim Roška]]
* zimbra.sh [[Radim Roška]]
* msdnaa.sh [[Michal Naiman]]
* git.sh [[Tomáš Srna]]
* news.sh [[Dominik Mališ]]
* shell.sh [[Václav Mach]]
* siliconhill.cz [[Dominik Mališ]]

LDAP

2012-11-08T12:13:45Z

Tomassrna: /* Linux - prihlasovanie uzivatelov */

LDAP je protokol pro získávání/zapisování informací v stromové struktuře. Dnes se používá zejména pro jednotné přihlašování uživatelů do více aplikací.
[http://en.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol LDAP na wikipedii]

Klub Silicon Hill v rámci Informačního systému provozuje LDAP server, vůči kterým se můžou další aplikace ověřovat pomocí uživatelova hesla. Umožňujeme jak bind tak fastbind. Stávající implementace je pro všechny uživatele Read-only, veškeré změny uživatelských účtů je třeba dělat přes rozhraní informačního systému.

= Informace o serveru =

* Adresa: ldap.sh.cvut.cz
* Port: 636
* Používá SSL (ldaps://)
* Správce: [[Tomáš Srna]]
* Uživatelé v ou=People,dc=sh,dc=cvut,dc=cz
* Atribút uživateľského mena: uid
* Uživatel pro servery: cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz
* Heslo na vyžádání u správce
* Overenie cez userPassword, SSHA hash
* Vo výnimočných prípadoch možnosť NTLM overenia

== Autentizačné módy ==

* FastBind - Bind priamo užívateľom, pod ktorým sa hlási náš klient
* uid={username},ou=People,dc=sh,dc=cvut,dc=cz
* {password}
* Bind cez auth-user
* Horeuvedené údaje
* Vhodné pre mnohonásobné overovanie užívateľov s použitím jediného spojenia.

= Prerekvizita SSL =

'''Dôležité!''' Na Linuxe pokiaľ sa používajú ldap knižnice z OS (používa ich OS samotný, PHP, ...), je potrebné pridať certifikát autority.

Postup je nasledovný:

* V /etc/ldap/ldap.conf pridáme riadok
TLS_CACERT /etc/ssl/certs/ldap.pem

* Do spomínaného súboru /etc/ssl/certs/ldap.pem vložíme certifikát autority AddTrust:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

= Příklady použití / nastavení =

== LDAP Kontakty v Telefonu ==

'''iPhone'''
Nastavení -> Pošta, Kontakty, Kalendáře -> Přidat účet -> Jiný -> "Přidat účet LDAP"
* Server: ldap.sh.cvut.cz
* Uživatel: uid=**tvůj username**,ou=People,dc=sh,dc=cvut,dc=cz
* Heslo: Tvé heslo do ISu
* Popis: ldap.sh.cvut.cz
* Použít SSL: Ano
* Kritéria hledání: dc=sh,dc=cvut,dc=cz

== LDAP z příkazové řádky - ldapsearch ==

<pre>
# Balíček
aptitude install ldap-utils

# ~ Fastbind (zepta se na heslo pro username)
ldapsearch -h ldap.sh.cvut.cz -b "dc=sh,dc=cvut,dc=cz" -D "uid=username,ou=People,dc=sh,dc=cvut,dc=cz" -W uid=username

# ~ Bind (se systémovým účtem)
ldapsearch -h ldap.sh.cvut.cz -b "dc=sh,dc=cvut,dc=cz" -D "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz" -w *heslo_auth_usera* uid=username
</pre>

== Zend_Auth_Adapter_Ldap ==

'''application.ini'''
<pre>
ldap.is.host = ldap.sh.cvut.cz
ldap.is.port = 636
ldap.is.useSsl = true
ldap.is.useStartTls = true

ldap.is.bindRequiresDn = true
ldap.is.baseDn = "ou=People,dc=sh,dc=cvut,dc=cz"
ldap.is.accountCanonicalForm = 2

ldap.is.username = "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz"
ldap.is.password = "********"
</pre>

'''Přiklad přihlášení v kontextu Zend_Controller_Action''', [http://framework.zend.com/manual/1.12/en/zend.auth.adapter.ldap.html Více v dokumentaci]
<pre>
$auth=new Zend_Auth();

$username=$this->_getParam("username");
$password=$this->_getParam("password");

$bootstrap = $this->getInvokeArg('bootstrap');
$config=$bootstrap->getOptions();
$options = $config["ldap"];

$authAdapter=new Zend_Auth_Adapter_Ldap($options,$username,$password);

$result=$auth->authenticate($authAdapter);

if($result->isValid()) {
$ldap=$authAdapter->getLdap();
$user = $ldap->getEntry("uid=".$username.",".$options["is"]["baseDn"]);
echo "Uzivatel prihlasen";
print_r($user);
}
else {
echo "Spatne jmeno nebo heslo";
}
</pre>

== Ruby - FastBind ==

<pre>
require 'rubygems'
require 'net/ldap'
require 'io/console'

puts "Username:"
username = gets
puts "Password:"
password = STDIN.noecho(&:gets)

ldap = Net::LDAP.new(:encryption => :simple_tls)
ldap.host = "ldap.sh.cvut.cz"
ldap.port = 636
ldap.base = "ou=People,dc=sh,dc=cvut,dc=cz"
ldap.auth "uid=#{username.strip},"+ldap.base, password.strip
if ldap.bind
puts "authentication succeeded"
p ldap.search(
base: "ou=People,dc=sh,dc=cvut,dc=cz",
filter: Net::LDAP::Filter.eq("uid", username.strip),
attributes: %w[ givenName sn email SHservice ],
return_result:true
).inspect
else
puts "authentication failed"
end
</pre>

== PHP - bez frameworku ==
<?php
$user = "tomassrna";
$pass = "...";
$ldapConn = ldap_connect("ldaps://ldap.sh.cvut.cz", 636);
if($ldapConn)
{
$ldapBind = ldap_bind($ldapConn, "uid=".$user.",ou=People,dc=sh,dc=cvut,dc=cz", $pass);
if($ldapBind)
echo "SUCCESS\n";
else
{
echo "FAILED: ";
echo ldap_error($ldapConn)."\n";
}
}

== Microsoft Visual C# ==

Tak toto bol tazky boj...

* Pridame reference System.DirectoryServices

<pre>
using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Threading.Tasks;
using System.DirectoryServices;
using System.Collections;

namespace LDAP
{
class Program
{
static void Main(string[] args)
{
Dictionary<string, string[]> attrs;
if ((attrs = shLdap("tomassrna", "xxxxxx",
new[] { "mail", "uid", "SHservice", "SHadmin" }, "(&(uid=tomassrna)(SHservice=net))")) != null)
{
Console.WriteLine("Auth success!");
// Priklad vypisu vsetkych atributov
foreach(KeyValuePair<string, string[]> kv in attrs)
{
string k = kv.Key;
foreach (string v in kv.Value)
{
Console.WriteLine(k + "=" + v);
}
}
// Priklad ziskania single value
Console.WriteLine("E-mail: " + attrs["mail"][0]);
// Priklad ziskania multi value
Console.WriteLine("Spravovane servery: ");
foreach (string s in attrs["shadmin"])
{
Console.WriteLine(s);
}
}
else
Console.WriteLine("Auth failed!");

Console.Read();
}
static Dictionary<string, string[]> shLdap(string username, string password, string[] attrs, string filter = "")
{
try
{
DirectoryEntry de = new DirectoryEntry("LDAP://ldap.sh.cvut.cz:636/OU=People,DC=sh,DC=cvut,DC=cz",
"uid=" + username + ",ou=People,dc=sh,dc=cvut,dc=cz", password,
AuthenticationTypes.SecureSocketsLayer);
DirectorySearcher ds = new DirectorySearcher(de);
if (filter == "")
ds.Filter = "(uid=" + username + ")";
else
ds.Filter = filter;
foreach (string attr in attrs)
ds.PropertiesToLoad.Add(attr);
SearchResult sr = ds.FindOne();

Dictionary<string, string[]> res = new Dictionary<string, string[]>();
foreach (string prop in sr.Properties.PropertyNames)
{
var ar = new List<string>();
foreach (object oval in sr.Properties[prop])
{
string val = "";
if (oval is string)
val = (string)oval;
else if(oval is Byte[])
val = Encoding.UTF8.GetString((Byte[])oval, 0, ((Byte[])oval).Length);
ar.Add(val);
}
res[prop] = (string[])ar.ToArray();
}
return res;
}
catch (Exception)
{
return null;
}
}
}
}
</pre>

== Linux - prihlasovanie uzivatelov ==

Je to strasny oser, priprav si kybel nervov. Tak, podme do toho!

Navod testovany na cistej instalacii systemu Debian Squeeze

Splnime [[#Prerekvizita SSL]]

<pre>aptitude install libnss-ldap ldap-utils nscd nslcd</pre>

Upravime "/etc/libnss-ldap.conf"
<pre>
base dc=sh,dc=cvut,dc=cz
uri ldaps://ldap.sh.cvut.cz
port 636
rootbinddn cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz
bind_policy soft
binddn cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz
bindpw <heslo sdeli spravca LDAP>

nss_base_passwd ou=People,dc=sh,dc=cvut,dc=cz?one
nss_base_shadow ou=People,dc=sh,dc=cvut,dc=cz?one
nss_base_group ou=Groups,dc=sh,dc=cvut,dc=cz?one
</pre>
Ulozime heslo auth usera do "/etc/libnss-ldap.secret" (nic ine tam nesmie byt, len retazec s heslom)
Upravime "/etc/nsswitch.conf"
<pre>
passwd: files ldap
group: files ldap
shadow: files ldap
</pre>

Upravime /etc/nslcd.conf
<pre>
uri ldaps://ldap.sh.cvut.cz
base dc=sh,dc=cvut,dc=cz
binddn cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz
bindpw <heslo da spravca LDAP>
ssl on
tls_reqcert never
</pre>

=== Dolezite! ===
<pre>getent passwd</pre> nebude zobrazovat vsetkych uzivatelov, auth user nema pravo na listovanie. Je to zamer, netreba sa bat :)

Miesto toho pre testovanie pouzivaj
<pre>
root@test-srna:~# id tomassrna
uid=16405(tomassrna) gid=513(shuser) groups=513(shuser)
</pre>

=== Debug ===

Test spojenia
<pre>ldapsearch -d 1 -xLLL -H ldaps://ldap.sh.cvut.cz/ -b "ou=People,dc=sh,dc=cvut,dc=cz" -D "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz" -W uid=tomassrna</pre>

nscd
<pre>
/etc/nscd.conf:
logfile /var/log/nscd.log
debug-level 5

tail /var/log/nscd.log
</pre>

= Seznam služeb a jejich správců, které LDAP používají =
* finance.sh [[Bronislav Robenek]]
* imap.sh [[Radim Roška]]
* zimbra.sh [[Radim Roška]]
* msdnaa.sh [[Michal Naiman]]
* git.sh [[Tomáš Srna]]
* news.sh [[Dominik Mališ]]
* shell.sh [[Václav Mach]]
* siliconhill.cz [[Dominik Mališ]]

LDAP

2012-11-08T12:12:02Z

Tomassrna: /* Linux - prihlasovanie uzivatelov */

LDAP je protokol pro získávání/zapisování informací v stromové struktuře. Dnes se používá zejména pro jednotné přihlašování uživatelů do více aplikací.
[http://en.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol LDAP na wikipedii]

Klub Silicon Hill v rámci Informačního systému provozuje LDAP server, vůči kterým se můžou další aplikace ověřovat pomocí uživatelova hesla. Umožňujeme jak bind tak fastbind. Stávající implementace je pro všechny uživatele Read-only, veškeré změny uživatelských účtů je třeba dělat přes rozhraní informačního systému.

= Informace o serveru =

* Adresa: ldap.sh.cvut.cz
* Port: 636
* Používá SSL (ldaps://)
* Správce: [[Tomáš Srna]]
* Uživatelé v ou=People,dc=sh,dc=cvut,dc=cz
* Atribút uživateľského mena: uid
* Uživatel pro servery: cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz
* Heslo na vyžádání u správce
* Overenie cez userPassword, SSHA hash
* Vo výnimočných prípadoch možnosť NTLM overenia

== Autentizačné módy ==

* FastBind - Bind priamo užívateľom, pod ktorým sa hlási náš klient
* uid={username},ou=People,dc=sh,dc=cvut,dc=cz
* {password}
* Bind cez auth-user
* Horeuvedené údaje
* Vhodné pre mnohonásobné overovanie užívateľov s použitím jediného spojenia.

= Prerekvizita SSL =

'''Dôležité!''' Na Linuxe pokiaľ sa používajú ldap knižnice z OS (používa ich OS samotný, PHP, ...), je potrebné pridať certifikát autority.

Postup je nasledovný:

* V /etc/ldap/ldap.conf pridáme riadok
TLS_CACERT /etc/ssl/certs/ldap.pem

* Do spomínaného súboru /etc/ssl/certs/ldap.pem vložíme certifikát autority AddTrust:
-----BEGIN CERTIFICATE-----
MIIENjCCAx6gAwIBAgIBATANBgkqhkiG9w0BAQUFADBvMQswCQYDVQQGEwJTRTEU
MBIGA1UEChMLQWRkVHJ1c3QgQUIxJjAkBgNVBAsTHUFkZFRydXN0IEV4dGVybmFs
IFRUUCBOZXR3b3JrMSIwIAYDVQQDExlBZGRUcnVzdCBFeHRlcm5hbCBDQSBSb290
MB4XDTAwMDUzMDEwNDgzOFoXDTIwMDUzMDEwNDgzOFowbzELMAkGA1UEBhMCU0Ux
FDASBgNVBAoTC0FkZFRydXN0IEFCMSYwJAYDVQQLEx1BZGRUcnVzdCBFeHRlcm5h
bCBUVFAgTmV0d29yazEiMCAGA1UEAxMZQWRkVHJ1c3QgRXh0ZXJuYWwgQ0EgUm9v
dDCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBALf3GjPm8gAELTngTlvt
H7xsD821+iO2zt6bETOXpClMfZOfvUq8k+0DGuOPz+VtUFrWlymUWoCwSXrbLpX9
uMq/NzgtHj6RQa1wVsfwTz/oMp50ysiQVOnGXw94nZpAPA6sYapeFI+eh6FqUNzX
mk6vBbOmcZSccbNQYArHE504B4YCqOmoaSYYkKtMsE8jqzpPhNjfzp/haW+710LX
a0Tkx63ubUFfclpxCDezeWWkWaCUN/cALw3CknLa0Dhy2xSoRcRdKn23tNbE7qzN
E0S3ySvdQwAl+mG5aWpYIxG3pzOPVnVZ9c0p10a3CitlttNCbxWyuHv77+ldU9U0
WicCAwEAAaOB3DCB2TAdBgNVHQ4EFgQUrb2YejS0Jvf6xCZU7wO94CTLVBowCwYD
VR0PBAQDAgEGMA8GA1UdEwEB/wQFMAMBAf8wgZkGA1UdIwSBkTCBjoAUrb2YejS0
Jvf6xCZU7wO94CTLVBqhc6RxMG8xCzAJBgNVBAYTAlNFMRQwEgYDVQQKEwtBZGRU
cnVzdCBBQjEmMCQGA1UECxMdQWRkVHJ1c3QgRXh0ZXJuYWwgVFRQIE5ldHdvcmsx
IjAgBgNVBAMTGUFkZFRydXN0IEV4dGVybmFsIENBIFJvb3SCAQEwDQYJKoZIhvcN
AQEFBQADggEBALCb4IUlwtYj4g+WBpKdQZic2YR5gdkeWxQHIzZlj7DYd7usQWxH
YINRsPkyPef89iYTx4AWpb9a/IfPeHmJIZriTAcKhjW88t5RxNKWt9x+Tu5w/Rw5
6wwCURQtjr0W4MHfRnXnJK3s9EK0hZNwEGe6nQY1ShjTK3rMUUKhemPR5ruhxSvC
Nr4TDea9Y355e6cJDUCrat2PisP29owaQgVR1EX1n6diIWgVIEM8med8vSTYqZEX
c4g/VhsxOBi0cQ+azcgOno4uG+GMmIPLHzHxREzGBHNJdmAPx/i9F4BrLunMTA5a
mnkPIAou1Z5jJh5VkpTYghdae9C8x49OhgQ=
-----END CERTIFICATE-----

= Příklady použití / nastavení =

== LDAP Kontakty v Telefonu ==

'''iPhone'''
Nastavení -> Pošta, Kontakty, Kalendáře -> Přidat účet -> Jiný -> "Přidat účet LDAP"
* Server: ldap.sh.cvut.cz
* Uživatel: uid=**tvůj username**,ou=People,dc=sh,dc=cvut,dc=cz
* Heslo: Tvé heslo do ISu
* Popis: ldap.sh.cvut.cz
* Použít SSL: Ano
* Kritéria hledání: dc=sh,dc=cvut,dc=cz

== LDAP z příkazové řádky - ldapsearch ==

<pre>
# Balíček
aptitude install ldap-utils

# ~ Fastbind (zepta se na heslo pro username)
ldapsearch -h ldap.sh.cvut.cz -b "dc=sh,dc=cvut,dc=cz" -D "uid=username,ou=People,dc=sh,dc=cvut,dc=cz" -W uid=username

# ~ Bind (se systémovým účtem)
ldapsearch -h ldap.sh.cvut.cz -b "dc=sh,dc=cvut,dc=cz" -D "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz" -w *heslo_auth_usera* uid=username
</pre>

== Zend_Auth_Adapter_Ldap ==

'''application.ini'''
<pre>
ldap.is.host = ldap.sh.cvut.cz
ldap.is.port = 636
ldap.is.useSsl = true
ldap.is.useStartTls = true

ldap.is.bindRequiresDn = true
ldap.is.baseDn = "ou=People,dc=sh,dc=cvut,dc=cz"
ldap.is.accountCanonicalForm = 2

ldap.is.username = "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz"
ldap.is.password = "********"
</pre>

'''Přiklad přihlášení v kontextu Zend_Controller_Action''', [http://framework.zend.com/manual/1.12/en/zend.auth.adapter.ldap.html Více v dokumentaci]
<pre>
$auth=new Zend_Auth();

$username=$this->_getParam("username");
$password=$this->_getParam("password");

$bootstrap = $this->getInvokeArg('bootstrap');
$config=$bootstrap->getOptions();
$options = $config["ldap"];

$authAdapter=new Zend_Auth_Adapter_Ldap($options,$username,$password);

$result=$auth->authenticate($authAdapter);

if($result->isValid()) {
$ldap=$authAdapter->getLdap();
$user = $ldap->getEntry("uid=".$username.",".$options["is"]["baseDn"]);
echo "Uzivatel prihlasen";
print_r($user);
}
else {
echo "Spatne jmeno nebo heslo";
}
</pre>

== Ruby - FastBind ==

<pre>
require 'rubygems'
require 'net/ldap'
require 'io/console'

puts "Username:"
username = gets
puts "Password:"
password = STDIN.noecho(&:gets)

ldap = Net::LDAP.new(:encryption => :simple_tls)
ldap.host = "ldap.sh.cvut.cz"
ldap.port = 636
ldap.base = "ou=People,dc=sh,dc=cvut,dc=cz"
ldap.auth "uid=#{username.strip},"+ldap.base, password.strip
if ldap.bind
puts "authentication succeeded"
p ldap.search(
base: "ou=People,dc=sh,dc=cvut,dc=cz",
filter: Net::LDAP::Filter.eq("uid", username.strip),
attributes: %w[ givenName sn email SHservice ],
return_result:true
).inspect
else
puts "authentication failed"
end
</pre>

== PHP - bez frameworku ==
<?php
$user = "tomassrna";
$pass = "...";
$ldapConn = ldap_connect("ldaps://ldap.sh.cvut.cz", 636);
if($ldapConn)
{
$ldapBind = ldap_bind($ldapConn, "uid=".$user.",ou=People,dc=sh,dc=cvut,dc=cz", $pass);
if($ldapBind)
echo "SUCCESS\n";
else
{
echo "FAILED: ";
echo ldap_error($ldapConn)."\n";
}
}

== Microsoft Visual C# ==

Tak toto bol tazky boj...

* Pridame reference System.DirectoryServices

<pre>
using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Threading.Tasks;
using System.DirectoryServices;
using System.Collections;

namespace LDAP
{
class Program
{
static void Main(string[] args)
{
Dictionary<string, string[]> attrs;
if ((attrs = shLdap("tomassrna", "xxxxxx",
new[] { "mail", "uid", "SHservice", "SHadmin" }, "(&(uid=tomassrna)(SHservice=net))")) != null)
{
Console.WriteLine("Auth success!");
// Priklad vypisu vsetkych atributov
foreach(KeyValuePair<string, string[]> kv in attrs)
{
string k = kv.Key;
foreach (string v in kv.Value)
{
Console.WriteLine(k + "=" + v);
}
}
// Priklad ziskania single value
Console.WriteLine("E-mail: " + attrs["mail"][0]);
// Priklad ziskania multi value
Console.WriteLine("Spravovane servery: ");
foreach (string s in attrs["shadmin"])
{
Console.WriteLine(s);
}
}
else
Console.WriteLine("Auth failed!");

Console.Read();
}
static Dictionary<string, string[]> shLdap(string username, string password, string[] attrs, string filter = "")
{
try
{
DirectoryEntry de = new DirectoryEntry("LDAP://ldap.sh.cvut.cz:636/OU=People,DC=sh,DC=cvut,DC=cz",
"uid=" + username + ",ou=People,dc=sh,dc=cvut,dc=cz", password,
AuthenticationTypes.SecureSocketsLayer);
DirectorySearcher ds = new DirectorySearcher(de);
if (filter == "")
ds.Filter = "(uid=" + username + ")";
else
ds.Filter = filter;
foreach (string attr in attrs)
ds.PropertiesToLoad.Add(attr);
SearchResult sr = ds.FindOne();

Dictionary<string, string[]> res = new Dictionary<string, string[]>();
foreach (string prop in sr.Properties.PropertyNames)
{
var ar = new List<string>();
foreach (object oval in sr.Properties[prop])
{
string val = "";
if (oval is string)
val = (string)oval;
else if(oval is Byte[])
val = Encoding.UTF8.GetString((Byte[])oval, 0, ((Byte[])oval).Length);
ar.Add(val);
}
res[prop] = (string[])ar.ToArray();
}
return res;
}
catch (Exception)
{
return null;
}
}
}
}
</pre>

== Linux - prihlasovanie uzivatelov ==

Je to strasny oser, priprav si kybel nervov. Tak, podme do toho!

Navod testovany na cistej instalacii systemu Debian Squeeze

Splnime [[#Prerekvizita SSL]]

<pre>aptitude install libnss-ldap ldap-utils nscd nslcd</pre>

Upravime "/etc/libnss-ldap.conf"
<pre>
base dc=sh,dc=cvut,dc=cz
uri ldaps://ldap.sh.cvut.cz
port 636
rootbinddn cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz
bind_policy soft
binddn cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz
bindpw <heslo sdeli spravca LDAP>

nss_base_passwd ou=People,dc=sh,dc=cvut,dc=cz?one
nss_base_shadow ou=People,dc=sh,dc=cvut,dc=cz?one
nss_base_group ou=Groups,dc=sh,dc=cvut,dc=cz?one
</pre>
# Ulozime heslo auth usera do "/etc/libnss-ldap.secret" (nic ine tam nesmie byt, len retazec s heslom)
# Upravime "/etc/nsswitch.conf"
<pre>
passwd: files ldap
group: files ldap
shadow: files ldap
</pre>

=== Dolezite! ===
<pre>getent passwd</pre> nebude zobrazovat vsetkych uzivatelov, auth user nema pravo na listovanie. Je to zamer, netreba sa bat :)

Miesto toho pre testovanie pouzivaj
<pre>
root@test-srna:~# id tomassrna
uid=16405(tomassrna) gid=513(shuser) groups=513(shuser)
</pre>

=== Debug ===

Test spojenia
<pre>ldapsearch -d 1 -xLLL -H ldaps://ldap.sh.cvut.cz/ -b "ou=People,dc=sh,dc=cvut,dc=cz" -D "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz" -W uid=tomassrna</pre>

nscd
<pre>
/etc/nscd.conf:
logfile /var/log/nscd.log
debug-level 5

tail /var/log/nscd.log
</pre>

= Seznam služeb a jejich správců, které LDAP používají =
* finance.sh [[Bronislav Robenek]]
* imap.sh [[Radim Roška]]
* zimbra.sh [[Radim Roška]]
* msdnaa.sh [[Michal Naiman]]
* git.sh [[Tomáš Srna]]
* news.sh [[Dominik Mališ]]
* shell.sh [[Václav Mach]]
* siliconhill.cz [[Dominik Mališ]]

LDAP

2012-11-08T12:11:21Z

Tomassrna: /* Linux - prihlasovanie uzivatelov */

LDAP je protokol pro získávání/zapisování informací v stromové struktuře. Dnes se používá zejména pro jednotné přihlašování uživatelů do více aplikací.
[http://en.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol LDAP na wikipedii]

Klub Silicon Hill v rámci Informačního systému provozuje LDAP server, vůči kterým se můžou další aplikace ověřovat pomocí uživatelova hesla. Umožňujeme jak bind tak fastbind. Stávající implementace je pro všechny uživatele Read-only, veškeré změny uživatelských účtů je třeba dělat přes rozhraní informačního systému.

= Informace o serveru =

* Adresa: ldap.sh.cvut.cz
* Port: 636
* Používá SSL (ldaps://)
* Správce: [[Tomáš Srna]]
* Uživatelé v ou=People,dc=sh,dc=cvut,dc=cz
* Atribút uživateľského mena: uid
* Uživatel pro servery: cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz
* Heslo na vyžádání u správce
* Overenie cez userPassword, SSHA hash
* Vo výnimočných prípadoch možnosť NTLM overenia

== Autentizačné módy ==

* FastBind - Bind priamo užívateľom, pod ktorým sa hlási náš klient
* uid={username},ou=People,dc=sh,dc=cvut,dc=cz
* {password}
* Bind cez auth-user
* Horeuvedené údaje
* Vhodné pre mnohonásobné overovanie užívateľov s použitím jediného spojenia.

= Prerekvizita SSL =

'''Dôležité!''' Na Linuxe pokiaľ sa používajú ldap knižnice z OS (používa ich OS samotný, PHP, ...), je potrebné pridať certifikát autority.

Postup je nasledovný:

* V /etc/ldap/ldap.conf pridáme riadok
TLS_CACERT /etc/ssl/certs/ldap.pem

* Do spomínaného súboru /etc/ssl/certs/ldap.pem vložíme certifikát autority AddTrust:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

= Příklady použití / nastavení =

== LDAP Kontakty v Telefonu ==

'''iPhone'''
Nastavení -> Pošta, Kontakty, Kalendáře -> Přidat účet -> Jiný -> "Přidat účet LDAP"
* Server: ldap.sh.cvut.cz
* Uživatel: uid=**tvůj username**,ou=People,dc=sh,dc=cvut,dc=cz
* Heslo: Tvé heslo do ISu
* Popis: ldap.sh.cvut.cz
* Použít SSL: Ano
* Kritéria hledání: dc=sh,dc=cvut,dc=cz

== LDAP z příkazové řádky - ldapsearch ==

<pre>
# Balíček
aptitude install ldap-utils

# ~ Fastbind (zepta se na heslo pro username)
ldapsearch -h ldap.sh.cvut.cz -b "dc=sh,dc=cvut,dc=cz" -D "uid=username,ou=People,dc=sh,dc=cvut,dc=cz" -W uid=username

# ~ Bind (se systémovým účtem)
ldapsearch -h ldap.sh.cvut.cz -b "dc=sh,dc=cvut,dc=cz" -D "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz" -w *heslo_auth_usera* uid=username
</pre>

== Zend_Auth_Adapter_Ldap ==

'''application.ini'''
<pre>
ldap.is.host = ldap.sh.cvut.cz
ldap.is.port = 636
ldap.is.useSsl = true
ldap.is.useStartTls = true

ldap.is.bindRequiresDn = true
ldap.is.baseDn = "ou=People,dc=sh,dc=cvut,dc=cz"
ldap.is.accountCanonicalForm = 2

ldap.is.username = "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz"
ldap.is.password = "********"
</pre>

'''Přiklad přihlášení v kontextu Zend_Controller_Action''', [http://framework.zend.com/manual/1.12/en/zend.auth.adapter.ldap.html Více v dokumentaci]
<pre>
$auth=new Zend_Auth();

$username=$this->_getParam("username");
$password=$this->_getParam("password");

$bootstrap = $this->getInvokeArg('bootstrap');
$config=$bootstrap->getOptions();
$options = $config["ldap"];

$authAdapter=new Zend_Auth_Adapter_Ldap($options,$username,$password);

$result=$auth->authenticate($authAdapter);

if($result->isValid()) {
$ldap=$authAdapter->getLdap();
$user = $ldap->getEntry("uid=".$username.",".$options["is"]["baseDn"]);
echo "Uzivatel prihlasen";
print_r($user);
}
else {
echo "Spatne jmeno nebo heslo";
}
</pre>

== Ruby - FastBind ==

<pre>
require 'rubygems'
require 'net/ldap'
require 'io/console'

puts "Username:"
username = gets
puts "Password:"
password = STDIN.noecho(&:gets)

ldap = Net::LDAP.new(:encryption => :simple_tls)
ldap.host = "ldap.sh.cvut.cz"
ldap.port = 636
ldap.base = "ou=People,dc=sh,dc=cvut,dc=cz"
ldap.auth "uid=#{username.strip},"+ldap.base, password.strip
if ldap.bind
puts "authentication succeeded"
p ldap.search(
base: "ou=People,dc=sh,dc=cvut,dc=cz",
filter: Net::LDAP::Filter.eq("uid", username.strip),
attributes: %w[ givenName sn email SHservice ],
return_result:true
).inspect
else
puts "authentication failed"
end
</pre>

== PHP - bez frameworku ==
<?php
$user = "tomassrna";
$pass = "...";
$ldapConn = ldap_connect("ldaps://ldap.sh.cvut.cz", 636);
if($ldapConn)
{
$ldapBind = ldap_bind($ldapConn, "uid=".$user.",ou=People,dc=sh,dc=cvut,dc=cz", $pass);
if($ldapBind)
echo "SUCCESS\n";
else
{
echo "FAILED: ";
echo ldap_error($ldapConn)."\n";
}
}

== Microsoft Visual C# ==

Tak toto bol tazky boj...

* Pridame reference System.DirectoryServices

<pre>
using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Threading.Tasks;
using System.DirectoryServices;
using System.Collections;

namespace LDAP
{
class Program
{
static void Main(string[] args)
{
Dictionary<string, string[]> attrs;
if ((attrs = shLdap("tomassrna", "xxxxxx",
new[] { "mail", "uid", "SHservice", "SHadmin" }, "(&(uid=tomassrna)(SHservice=net))")) != null)
{
Console.WriteLine("Auth success!");
// Priklad vypisu vsetkych atributov
foreach(KeyValuePair<string, string[]> kv in attrs)
{
string k = kv.Key;
foreach (string v in kv.Value)
{
Console.WriteLine(k + "=" + v);
}
}
// Priklad ziskania single value
Console.WriteLine("E-mail: " + attrs["mail"][0]);
// Priklad ziskania multi value
Console.WriteLine("Spravovane servery: ");
foreach (string s in attrs["shadmin"])
{
Console.WriteLine(s);
}
}
else
Console.WriteLine("Auth failed!");

Console.Read();
}
static Dictionary<string, string[]> shLdap(string username, string password, string[] attrs, string filter = "")
{
try
{
DirectoryEntry de = new DirectoryEntry("LDAP://ldap.sh.cvut.cz:636/OU=People,DC=sh,DC=cvut,DC=cz",
"uid=" + username + ",ou=People,dc=sh,dc=cvut,dc=cz", password,
AuthenticationTypes.SecureSocketsLayer);
DirectorySearcher ds = new DirectorySearcher(de);
if (filter == "")
ds.Filter = "(uid=" + username + ")";
else
ds.Filter = filter;
foreach (string attr in attrs)
ds.PropertiesToLoad.Add(attr);
SearchResult sr = ds.FindOne();

Dictionary<string, string[]> res = new Dictionary<string, string[]>();
foreach (string prop in sr.Properties.PropertyNames)
{
var ar = new List<string>();
foreach (object oval in sr.Properties[prop])
{
string val = "";
if (oval is string)
val = (string)oval;
else if(oval is Byte[])
val = Encoding.UTF8.GetString((Byte[])oval, 0, ((Byte[])oval).Length);
ar.Add(val);
}
res[prop] = (string[])ar.ToArray();
}
return res;
}
catch (Exception)
{
return null;
}
}
}
}
</pre>

== Linux - prihlasovanie uzivatelov ==

Je to strasny oser, priprav si kybel nervov. Tak, podme do toho!

Navod testovany na cistej instalacii systemu Debian Squeeze

# Splnime [[#Prerekvizita SSL]]
# <pre>aptitude install libnss-ldap ldap-utils nscd nslcd</pre>
# Upravime "/etc/libnss-ldap.conf"
<pre>
base dc=sh,dc=cvut,dc=cz
uri ldaps://ldap.sh.cvut.cz
port 636
rootbinddn cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz
bind_policy soft
binddn cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz
bindpw <heslo sdeli spravca LDAP>

nss_base_passwd ou=People,dc=sh,dc=cvut,dc=cz?one
nss_base_shadow ou=People,dc=sh,dc=cvut,dc=cz?one
nss_base_group ou=Groups,dc=sh,dc=cvut,dc=cz?one
</pre>
# Ulozime heslo auth usera do "/etc/libnss-ldap.secret" (nic ine tam nesmie byt, len retazec s heslom)
# Upravime "/etc/nsswitch.conf"
<pre>
passwd: files ldap
group: files ldap
shadow: files ldap
</pre>

=== Dolezite! ===
<pre>getent passwd</pre> nebude zobrazovat vsetkych uzivatelov, auth user nema pravo na listovanie. Je to zamer, netreba sa bat :)

Miesto toho pre testovanie pouzivaj
<pre>
root@test-srna:~# id tomassrna
uid=16405(tomassrna) gid=513(shuser) groups=513(shuser)
</pre>

=== Debug ===

Test spojenia
<pre>ldapsearch -d 1 -xLLL -H ldaps://ldap.sh.cvut.cz/ -b "ou=People,dc=sh,dc=cvut,dc=cz" -D "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz" -W uid=tomassrna</pre>

nscd
<pre>
/etc/nscd.conf:
logfile /var/log/nscd.log
debug-level 5

tail /var/log/nscd.log
</pre>

= Seznam služeb a jejich správců, které LDAP používají =
* finance.sh [[Bronislav Robenek]]
* imap.sh [[Radim Roška]]
* zimbra.sh [[Radim Roška]]
* msdnaa.sh [[Michal Naiman]]
* git.sh [[Tomáš Srna]]
* news.sh [[Dominik Mališ]]
* shell.sh [[Václav Mach]]
* siliconhill.cz [[Dominik Mališ]]

LDAP

2012-11-08T12:09:40Z

Tomassrna: /* Linux - prihlasovanie uzivatelov */

LDAP je protokol pro získávání/zapisování informací v stromové struktuře. Dnes se používá zejména pro jednotné přihlašování uživatelů do více aplikací.
[http://en.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol LDAP na wikipedii]

Klub Silicon Hill v rámci Informačního systému provozuje LDAP server, vůči kterým se můžou další aplikace ověřovat pomocí uživatelova hesla. Umožňujeme jak bind tak fastbind. Stávající implementace je pro všechny uživatele Read-only, veškeré změny uživatelských účtů je třeba dělat přes rozhraní informačního systému.

= Informace o serveru =

* Adresa: ldap.sh.cvut.cz
* Port: 636
* Používá SSL (ldaps://)
* Správce: [[Tomáš Srna]]
* Uživatelé v ou=People,dc=sh,dc=cvut,dc=cz
* Atribút uživateľského mena: uid
* Uživatel pro servery: cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz
* Heslo na vyžádání u správce
* Overenie cez userPassword, SSHA hash
* Vo výnimočných prípadoch možnosť NTLM overenia

== Autentizačné módy ==

* FastBind - Bind priamo užívateľom, pod ktorým sa hlási náš klient
* uid={username},ou=People,dc=sh,dc=cvut,dc=cz
* {password}
* Bind cez auth-user
* Horeuvedené údaje
* Vhodné pre mnohonásobné overovanie užívateľov s použitím jediného spojenia.

= Prerekvizita SSL =

'''Dôležité!''' Na Linuxe pokiaľ sa používajú ldap knižnice z OS (používa ich OS samotný, PHP, ...), je potrebné pridať certifikát autority.

Postup je nasledovný:

* V /etc/ldap/ldap.conf pridáme riadok
TLS_CACERT /etc/ssl/certs/ldap.pem

* Do spomínaného súboru /etc/ssl/certs/ldap.pem vložíme certifikát autority AddTrust:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

= Příklady použití / nastavení =

== LDAP Kontakty v Telefonu ==

'''iPhone'''
Nastavení -> Pošta, Kontakty, Kalendáře -> Přidat účet -> Jiný -> "Přidat účet LDAP"
* Server: ldap.sh.cvut.cz
* Uživatel: uid=**tvůj username**,ou=People,dc=sh,dc=cvut,dc=cz
* Heslo: Tvé heslo do ISu
* Popis: ldap.sh.cvut.cz
* Použít SSL: Ano
* Kritéria hledání: dc=sh,dc=cvut,dc=cz

== LDAP z příkazové řádky - ldapsearch ==

<pre>
# Balíček
aptitude install ldap-utils

# ~ Fastbind (zepta se na heslo pro username)
ldapsearch -h ldap.sh.cvut.cz -b "dc=sh,dc=cvut,dc=cz" -D "uid=username,ou=People,dc=sh,dc=cvut,dc=cz" -W uid=username

# ~ Bind (se systémovým účtem)
ldapsearch -h ldap.sh.cvut.cz -b "dc=sh,dc=cvut,dc=cz" -D "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz" -w *heslo_auth_usera* uid=username
</pre>

== Zend_Auth_Adapter_Ldap ==

'''application.ini'''
<pre>
ldap.is.host = ldap.sh.cvut.cz
ldap.is.port = 636
ldap.is.useSsl = true
ldap.is.useStartTls = true

ldap.is.bindRequiresDn = true
ldap.is.baseDn = "ou=People,dc=sh,dc=cvut,dc=cz"
ldap.is.accountCanonicalForm = 2

ldap.is.username = "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz"
ldap.is.password = "********"
</pre>

'''Přiklad přihlášení v kontextu Zend_Controller_Action''', [http://framework.zend.com/manual/1.12/en/zend.auth.adapter.ldap.html Více v dokumentaci]
<pre>
$auth=new Zend_Auth();

$username=$this->_getParam("username");
$password=$this->_getParam("password");

$bootstrap = $this->getInvokeArg('bootstrap');
$config=$bootstrap->getOptions();
$options = $config["ldap"];

$authAdapter=new Zend_Auth_Adapter_Ldap($options,$username,$password);

$result=$auth->authenticate($authAdapter);

if($result->isValid()) {
$ldap=$authAdapter->getLdap();
$user = $ldap->getEntry("uid=".$username.",".$options["is"]["baseDn"]);
echo "Uzivatel prihlasen";
print_r($user);
}
else {
echo "Spatne jmeno nebo heslo";
}
</pre>

== Ruby - FastBind ==

<pre>
require 'rubygems'
require 'net/ldap'
require 'io/console'

puts "Username:"
username = gets
puts "Password:"
password = STDIN.noecho(&:gets)

ldap = Net::LDAP.new(:encryption => :simple_tls)
ldap.host = "ldap.sh.cvut.cz"
ldap.port = 636
ldap.base = "ou=People,dc=sh,dc=cvut,dc=cz"
ldap.auth "uid=#{username.strip},"+ldap.base, password.strip
if ldap.bind
puts "authentication succeeded"
p ldap.search(
base: "ou=People,dc=sh,dc=cvut,dc=cz",
filter: Net::LDAP::Filter.eq("uid", username.strip),
attributes: %w[ givenName sn email SHservice ],
return_result:true
).inspect
else
puts "authentication failed"
end
</pre>

== PHP - bez frameworku ==
<?php
$user = "tomassrna";
$pass = "...";
$ldapConn = ldap_connect("ldaps://ldap.sh.cvut.cz", 636);
if($ldapConn)
{
$ldapBind = ldap_bind($ldapConn, "uid=".$user.",ou=People,dc=sh,dc=cvut,dc=cz", $pass);
if($ldapBind)
echo "SUCCESS\n";
else
{
echo "FAILED: ";
echo ldap_error($ldapConn)."\n";
}
}

== Microsoft Visual C# ==

Tak toto bol tazky boj...

* Pridame reference System.DirectoryServices

<pre>
using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Threading.Tasks;
using System.DirectoryServices;
using System.Collections;

namespace LDAP
{
class Program
{
static void Main(string[] args)
{
Dictionary<string, string[]> attrs;
if ((attrs = shLdap("tomassrna", "xxxxxx",
new[] { "mail", "uid", "SHservice", "SHadmin" }, "(&(uid=tomassrna)(SHservice=net))")) != null)
{
Console.WriteLine("Auth success!");
// Priklad vypisu vsetkych atributov
foreach(KeyValuePair<string, string[]> kv in attrs)
{
string k = kv.Key;
foreach (string v in kv.Value)
{
Console.WriteLine(k + "=" + v);
}
}
// Priklad ziskania single value
Console.WriteLine("E-mail: " + attrs["mail"][0]);
// Priklad ziskania multi value
Console.WriteLine("Spravovane servery: ");
foreach (string s in attrs["shadmin"])
{
Console.WriteLine(s);
}
}
else
Console.WriteLine("Auth failed!");

Console.Read();
}
static Dictionary<string, string[]> shLdap(string username, string password, string[] attrs, string filter = "")
{
try
{
DirectoryEntry de = new DirectoryEntry("LDAP://ldap.sh.cvut.cz:636/OU=People,DC=sh,DC=cvut,DC=cz",
"uid=" + username + ",ou=People,dc=sh,dc=cvut,dc=cz", password,
AuthenticationTypes.SecureSocketsLayer);
DirectorySearcher ds = new DirectorySearcher(de);
if (filter == "")
ds.Filter = "(uid=" + username + ")";
else
ds.Filter = filter;
foreach (string attr in attrs)
ds.PropertiesToLoad.Add(attr);
SearchResult sr = ds.FindOne();

Dictionary<string, string[]> res = new Dictionary<string, string[]>();
foreach (string prop in sr.Properties.PropertyNames)
{
var ar = new List<string>();
foreach (object oval in sr.Properties[prop])
{
string val = "";
if (oval is string)
val = (string)oval;
else if(oval is Byte[])
val = Encoding.UTF8.GetString((Byte[])oval, 0, ((Byte[])oval).Length);
ar.Add(val);
}
res[prop] = (string[])ar.ToArray();
}
return res;
}
catch (Exception)
{
return null;
}
}
}
}
</pre>

== Linux - prihlasovanie uzivatelov ==

Je to strasny oser, priprav si kybel nervov. Tak, podme do toho!

Navod testovany na cistej instalacii systemu Debian Squeeze

# Splnime [[#Prerekvizita SSL]]
# <pre>aptitude install libnss-ldap ldap-utils</pre>
# Upravime "/etc/libnss-ldap.conf"
<pre>
base dc=sh,dc=cvut,dc=cz
uri ldaps://ldap.sh.cvut.cz
port 636
rootbinddn cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz
bind_policy soft
binddn cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz
bindpw <heslo sdeli spravce LDAP>

nss_base_passwd ou=People,dc=sh,dc=cvut,dc=cz?one
nss_base_shadow ou=People,dc=sh,dc=cvut,dc=cz?one
nss_base_group ou=Groups,dc=sh,dc=cvut,dc=cz?one
</pre>
# Ulozime heslo auth usera do "/etc/libnss-ldap.secret" (nic ine tam nesmie byt, len retazec s heslom)
# Upravime "/etc/nsswitch.conf"
<pre>
passwd: files ldap
shadow: files ldap
</pre>

=== Dolezite! ===
<pre>getent passwd</pre> nebude zobrazovat vsetkych uzivatelov, auth user nema pravo na listovanie. Je to zamer, netreba sa bat :)

Miesto toho pre testovanie pouzivaj
<pre>
root@test-srna:~# id tomassrna
uid=16405(tomassrna) gid=513(shuser) groups=513(shuser)
</pre>

=== Debug ===

Test spojenia
<pre>ldapsearch -d 1 -xLLL -H ldaps://ldap.sh.cvut.cz/ -b "ou=People,dc=sh,dc=cvut,dc=cz" -D "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz" -W uid=tomassrna</pre>

nscd
<pre>
/etc/nscd.conf:
logfile /var/log/nscd.log
debug-level 5

tail /var/log/nscd.log
</pre>

= Seznam služeb a jejich správců, které LDAP používají =
* finance.sh [[Bronislav Robenek]]
* imap.sh [[Radim Roška]]
* zimbra.sh [[Radim Roška]]
* msdnaa.sh [[Michal Naiman]]
* git.sh [[Tomáš Srna]]
* news.sh [[Dominik Mališ]]
* shell.sh [[Václav Mach]]
* siliconhill.cz [[Dominik Mališ]]

LDAP

2012-11-08T12:02:57Z

Tomassrna: /* Linux - prihlasovanie uzivatelov */

LDAP je protokol pro získávání/zapisování informací v stromové struktuře. Dnes se používá zejména pro jednotné přihlašování uživatelů do více aplikací.
[http://en.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol LDAP na wikipedii]

Klub Silicon Hill v rámci Informačního systému provozuje LDAP server, vůči kterým se můžou další aplikace ověřovat pomocí uživatelova hesla. Umožňujeme jak bind tak fastbind. Stávající implementace je pro všechny uživatele Read-only, veškeré změny uživatelských účtů je třeba dělat přes rozhraní informačního systému.

= Informace o serveru =

* Adresa: ldap.sh.cvut.cz
* Port: 636
* Používá SSL (ldaps://)
* Správce: [[Tomáš Srna]]
* Uživatelé v ou=People,dc=sh,dc=cvut,dc=cz
* Atribút uživateľského mena: uid
* Uživatel pro servery: cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz
* Heslo na vyžádání u správce
* Overenie cez userPassword, SSHA hash
* Vo výnimočných prípadoch možnosť NTLM overenia

== Autentizačné módy ==

* FastBind - Bind priamo užívateľom, pod ktorým sa hlási náš klient
* uid={username},ou=People,dc=sh,dc=cvut,dc=cz
* {password}
* Bind cez auth-user
* Horeuvedené údaje
* Vhodné pre mnohonásobné overovanie užívateľov s použitím jediného spojenia.

= Prerekvizita SSL =

'''Dôležité!''' Na Linuxe pokiaľ sa používajú ldap knižnice z OS (používa ich OS samotný, PHP, ...), je potrebné pridať certifikát autority.

Postup je nasledovný:

* V /etc/ldap/ldap.conf pridáme riadok
TLS_CACERT /etc/ssl/certs/ldap.pem

* Do spomínaného súboru /etc/ssl/certs/ldap.pem vložíme certifikát autority AddTrust:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

= Příklady použití / nastavení =

== LDAP Kontakty v Telefonu ==

'''iPhone'''
Nastavení -> Pošta, Kontakty, Kalendáře -> Přidat účet -> Jiný -> "Přidat účet LDAP"
* Server: ldap.sh.cvut.cz
* Uživatel: uid=**tvůj username**,ou=People,dc=sh,dc=cvut,dc=cz
* Heslo: Tvé heslo do ISu
* Popis: ldap.sh.cvut.cz
* Použít SSL: Ano
* Kritéria hledání: dc=sh,dc=cvut,dc=cz

== LDAP z příkazové řádky - ldapsearch ==

<pre>
# Balíček
aptitude install ldap-utils

# ~ Fastbind (zepta se na heslo pro username)
ldapsearch -h ldap.sh.cvut.cz -b "dc=sh,dc=cvut,dc=cz" -D "uid=username,ou=People,dc=sh,dc=cvut,dc=cz" -W uid=username

# ~ Bind (se systémovým účtem)
ldapsearch -h ldap.sh.cvut.cz -b "dc=sh,dc=cvut,dc=cz" -D "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz" -w *heslo_auth_usera* uid=username
</pre>

== Zend_Auth_Adapter_Ldap ==

'''application.ini'''
<pre>
ldap.is.host = ldap.sh.cvut.cz
ldap.is.port = 636
ldap.is.useSsl = true
ldap.is.useStartTls = true

ldap.is.bindRequiresDn = true
ldap.is.baseDn = "ou=People,dc=sh,dc=cvut,dc=cz"
ldap.is.accountCanonicalForm = 2

ldap.is.username = "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz"
ldap.is.password = "********"
</pre>

'''Přiklad přihlášení v kontextu Zend_Controller_Action''', [http://framework.zend.com/manual/1.12/en/zend.auth.adapter.ldap.html Více v dokumentaci]
<pre>
$auth=new Zend_Auth();

$username=$this->_getParam("username");
$password=$this->_getParam("password");

$bootstrap = $this->getInvokeArg('bootstrap');
$config=$bootstrap->getOptions();
$options = $config["ldap"];

$authAdapter=new Zend_Auth_Adapter_Ldap($options,$username,$password);

$result=$auth->authenticate($authAdapter);

if($result->isValid()) {
$ldap=$authAdapter->getLdap();
$user = $ldap->getEntry("uid=".$username.",".$options["is"]["baseDn"]);
echo "Uzivatel prihlasen";
print_r($user);
}
else {
echo "Spatne jmeno nebo heslo";
}
</pre>

== Ruby - FastBind ==

<pre>
require 'rubygems'
require 'net/ldap'
require 'io/console'

puts "Username:"
username = gets
puts "Password:"
password = STDIN.noecho(&:gets)

ldap = Net::LDAP.new(:encryption => :simple_tls)
ldap.host = "ldap.sh.cvut.cz"
ldap.port = 636
ldap.base = "ou=People,dc=sh,dc=cvut,dc=cz"
ldap.auth "uid=#{username.strip},"+ldap.base, password.strip
if ldap.bind
puts "authentication succeeded"
p ldap.search(
base: "ou=People,dc=sh,dc=cvut,dc=cz",
filter: Net::LDAP::Filter.eq("uid", username.strip),
attributes: %w[ givenName sn email SHservice ],
return_result:true
).inspect
else
puts "authentication failed"
end
</pre>

== PHP - bez frameworku ==
<?php
$user = "tomassrna";
$pass = "...";
$ldapConn = ldap_connect("ldaps://ldap.sh.cvut.cz", 636);
if($ldapConn)
{
$ldapBind = ldap_bind($ldapConn, "uid=".$user.",ou=People,dc=sh,dc=cvut,dc=cz", $pass);
if($ldapBind)
echo "SUCCESS\n";
else
{
echo "FAILED: ";
echo ldap_error($ldapConn)."\n";
}
}

== Microsoft Visual C# ==

Tak toto bol tazky boj...

* Pridame reference System.DirectoryServices

<pre>
using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Threading.Tasks;
using System.DirectoryServices;
using System.Collections;

namespace LDAP
{
class Program
{
static void Main(string[] args)
{
Dictionary<string, string[]> attrs;
if ((attrs = shLdap("tomassrna", "xxxxxx",
new[] { "mail", "uid", "SHservice", "SHadmin" }, "(&(uid=tomassrna)(SHservice=net))")) != null)
{
Console.WriteLine("Auth success!");
// Priklad vypisu vsetkych atributov
foreach(KeyValuePair<string, string[]> kv in attrs)
{
string k = kv.Key;
foreach (string v in kv.Value)
{
Console.WriteLine(k + "=" + v);
}
}
// Priklad ziskania single value
Console.WriteLine("E-mail: " + attrs["mail"][0]);
// Priklad ziskania multi value
Console.WriteLine("Spravovane servery: ");
foreach (string s in attrs["shadmin"])
{
Console.WriteLine(s);
}
}
else
Console.WriteLine("Auth failed!");

Console.Read();
}
static Dictionary<string, string[]> shLdap(string username, string password, string[] attrs, string filter = "")
{
try
{
DirectoryEntry de = new DirectoryEntry("LDAP://ldap.sh.cvut.cz:636/OU=People,DC=sh,DC=cvut,DC=cz",
"uid=" + username + ",ou=People,dc=sh,dc=cvut,dc=cz", password,
AuthenticationTypes.SecureSocketsLayer);
DirectorySearcher ds = new DirectorySearcher(de);
if (filter == "")
ds.Filter = "(uid=" + username + ")";
else
ds.Filter = filter;
foreach (string attr in attrs)
ds.PropertiesToLoad.Add(attr);
SearchResult sr = ds.FindOne();

Dictionary<string, string[]> res = new Dictionary<string, string[]>();
foreach (string prop in sr.Properties.PropertyNames)
{
var ar = new List<string>();
foreach (object oval in sr.Properties[prop])
{
string val = "";
if (oval is string)
val = (string)oval;
else if(oval is Byte[])
val = Encoding.UTF8.GetString((Byte[])oval, 0, ((Byte[])oval).Length);
ar.Add(val);
}
res[prop] = (string[])ar.ToArray();
}
return res;
}
catch (Exception)
{
return null;
}
}
}
}
</pre>

== Linux - prihlasovanie uzivatelov ==

Navod testovany na cistej instalacii systemu Debian Squeeze

# Splnime [[#Prerekvizita SSL]]
# <pre>aptitude install libnss-ldap ldap-utils</pre>
# Upravime "/etc/libnss-ldap.conf"
<pre>
base dc=sh,dc=cvut,dc=cz
uri ldaps://ldap.sh.cvut.cz
port 636
rootbinddn cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz
bind_policy soft
binddn cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz
bindpw <heslo sdeli spravce LDAP>

nss_base_passwd ou=People,dc=sh,dc=cvut,dc=cz?one
nss_base_shadow ou=People,dc=sh,dc=cvut,dc=cz?one
nss_base_group ou=Groups,dc=sh,dc=cvut,dc=cz?one
</pre>
# Ulozime heslo auth usera do "/etc/libnss-ldap.secret" (nic ine tam nesmie byt, len retazec s heslom)
# Upravime "/etc/nsswitch.conf"
<pre>
passwd: files ldap
shadow: files ldap
</pre>

=== Dolezite! ===
<pre>getent passwd</pre> nebude zobrazovat vsetkych uzivatelov, auth user nema pravo na listovanie. Je to zamer, netreba sa bat :)

Miesto toho pre testovanie pouzivaj
<pre>
root@test-srna:~# id tomassrna
uid=16405(tomassrna) gid=513(shuser) groups=513(shuser)
</pre>

=== Debug ===

Test spojenia
<pre>ldapsearch -d 1 -xLLL -H ldaps://ldap.sh.cvut.cz/ -b "ou=People,dc=sh,dc=cvut,dc=cz" -D "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz" -W uid=tomassrna</pre>

nscd
<pre>
/etc/nscd.conf:
logfile /var/log/nscd.log
debug-level 5

tail /var/log/nscd.log
</pre>

= Seznam služeb a jejich správců, které LDAP používají =
* finance.sh [[Bronislav Robenek]]
* imap.sh [[Radim Roška]]
* zimbra.sh [[Radim Roška]]
* msdnaa.sh [[Michal Naiman]]
* git.sh [[Tomáš Srna]]
* news.sh [[Dominik Mališ]]
* shell.sh [[Václav Mach]]
* siliconhill.cz [[Dominik Mališ]]

LDAP

2012-11-08T11:34:23Z

Tomassrna: /* Linux - prihlasovanie uzivatelov */

LDAP je protokol pro získávání/zapisování informací v stromové struktuře. Dnes se používá zejména pro jednotné přihlašování uživatelů do více aplikací.
[http://en.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol LDAP na wikipedii]

Klub Silicon Hill v rámci Informačního systému provozuje LDAP server, vůči kterým se můžou další aplikace ověřovat pomocí uživatelova hesla. Umožňujeme jak bind tak fastbind. Stávající implementace je pro všechny uživatele Read-only, veškeré změny uživatelských účtů je třeba dělat přes rozhraní informačního systému.

= Informace o serveru =

* Adresa: ldap.sh.cvut.cz
* Port: 636
* Používá SSL (ldaps://)
* Správce: [[Tomáš Srna]]
* Uživatelé v ou=People,dc=sh,dc=cvut,dc=cz
* Atribút uživateľského mena: uid
* Uživatel pro servery: cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz
* Heslo na vyžádání u správce
* Overenie cez userPassword, SSHA hash
* Vo výnimočných prípadoch možnosť NTLM overenia

== Autentizačné módy ==

* FastBind - Bind priamo užívateľom, pod ktorým sa hlási náš klient
* uid={username},ou=People,dc=sh,dc=cvut,dc=cz
* {password}
* Bind cez auth-user
* Horeuvedené údaje
* Vhodné pre mnohonásobné overovanie užívateľov s použitím jediného spojenia.

= Prerekvizita SSL =

'''Dôležité!''' Na Linuxe pokiaľ sa používajú ldap knižnice z OS (používa ich OS samotný, PHP, ...), je potrebné pridať certifikát autority.

Postup je nasledovný:

* V /etc/ldap/ldap.conf pridáme riadok
TLS_CACERT /etc/ssl/certs/ldap.pem

* Do spomínaného súboru /etc/ssl/certs/ldap.pem vložíme certifikát autority AddTrust:
-----BEGIN CERTIFICATE-----
MIIENjCCAx6gAwIBAgIBATANBgkqhkiG9w0BAQUFADBvMQswCQYDVQQGEwJTRTEU
MBIGA1UEChMLQWRkVHJ1c3QgQUIxJjAkBgNVBAsTHUFkZFRydXN0IEV4dGVybmFs
IFRUUCBOZXR3b3JrMSIwIAYDVQQDExlBZGRUcnVzdCBFeHRlcm5hbCBDQSBSb290
MB4XDTAwMDUzMDEwNDgzOFoXDTIwMDUzMDEwNDgzOFowbzELMAkGA1UEBhMCU0Ux
FDASBgNVBAoTC0FkZFRydXN0IEFCMSYwJAYDVQQLEx1BZGRUcnVzdCBFeHRlcm5h
bCBUVFAgTmV0d29yazEiMCAGA1UEAxMZQWRkVHJ1c3QgRXh0ZXJuYWwgQ0EgUm9v
dDCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBALf3GjPm8gAELTngTlvt
H7xsD821+iO2zt6bETOXpClMfZOfvUq8k+0DGuOPz+VtUFrWlymUWoCwSXrbLpX9
uMq/NzgtHj6RQa1wVsfwTz/oMp50ysiQVOnGXw94nZpAPA6sYapeFI+eh6FqUNzX
mk6vBbOmcZSccbNQYArHE504B4YCqOmoaSYYkKtMsE8jqzpPhNjfzp/haW+710LX
a0Tkx63ubUFfclpxCDezeWWkWaCUN/cALw3CknLa0Dhy2xSoRcRdKn23tNbE7qzN
E0S3ySvdQwAl+mG5aWpYIxG3pzOPVnVZ9c0p10a3CitlttNCbxWyuHv77+ldU9U0
WicCAwEAAaOB3DCB2TAdBgNVHQ4EFgQUrb2YejS0Jvf6xCZU7wO94CTLVBowCwYD
VR0PBAQDAgEGMA8GA1UdEwEB/wQFMAMBAf8wgZkGA1UdIwSBkTCBjoAUrb2YejS0
Jvf6xCZU7wO94CTLVBqhc6RxMG8xCzAJBgNVBAYTAlNFMRQwEgYDVQQKEwtBZGRU
cnVzdCBBQjEmMCQGA1UECxMdQWRkVHJ1c3QgRXh0ZXJuYWwgVFRQIE5ldHdvcmsx
IjAgBgNVBAMTGUFkZFRydXN0IEV4dGVybmFsIENBIFJvb3SCAQEwDQYJKoZIhvcN
AQEFBQADggEBALCb4IUlwtYj4g+WBpKdQZic2YR5gdkeWxQHIzZlj7DYd7usQWxH
YINRsPkyPef89iYTx4AWpb9a/IfPeHmJIZriTAcKhjW88t5RxNKWt9x+Tu5w/Rw5
6wwCURQtjr0W4MHfRnXnJK3s9EK0hZNwEGe6nQY1ShjTK3rMUUKhemPR5ruhxSvC
Nr4TDea9Y355e6cJDUCrat2PisP29owaQgVR1EX1n6diIWgVIEM8med8vSTYqZEX
c4g/VhsxOBi0cQ+azcgOno4uG+GMmIPLHzHxREzGBHNJdmAPx/i9F4BrLunMTA5a
mnkPIAou1Z5jJh5VkpTYghdae9C8x49OhgQ=
-----END CERTIFICATE-----

= Příklady použití / nastavení =

== LDAP Kontakty v Telefonu ==

'''iPhone'''
Nastavení -> Pošta, Kontakty, Kalendáře -> Přidat účet -> Jiný -> "Přidat účet LDAP"
* Server: ldap.sh.cvut.cz
* Uživatel: uid=**tvůj username**,ou=People,dc=sh,dc=cvut,dc=cz
* Heslo: Tvé heslo do ISu
* Popis: ldap.sh.cvut.cz
* Použít SSL: Ano
* Kritéria hledání: dc=sh,dc=cvut,dc=cz

== LDAP z příkazové řádky - ldapsearch ==

<pre>
# Balíček
aptitude install ldap-utils

# ~ Fastbind (zepta se na heslo pro username)
ldapsearch -h ldap.sh.cvut.cz -b "dc=sh,dc=cvut,dc=cz" -D "uid=username,ou=People,dc=sh,dc=cvut,dc=cz" -W uid=username

# ~ Bind (se systémovým účtem)
ldapsearch -h ldap.sh.cvut.cz -b "dc=sh,dc=cvut,dc=cz" -D "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz" -w *heslo_auth_usera* uid=username
</pre>

== Zend_Auth_Adapter_Ldap ==

'''application.ini'''
<pre>
ldap.is.host = ldap.sh.cvut.cz
ldap.is.port = 636
ldap.is.useSsl = true
ldap.is.useStartTls = true

ldap.is.bindRequiresDn = true
ldap.is.baseDn = "ou=People,dc=sh,dc=cvut,dc=cz"
ldap.is.accountCanonicalForm = 2

ldap.is.username = "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz"
ldap.is.password = "********"
</pre>

'''Přiklad přihlášení v kontextu Zend_Controller_Action''', [http://framework.zend.com/manual/1.12/en/zend.auth.adapter.ldap.html Více v dokumentaci]
<pre>
$auth=new Zend_Auth();

$username=$this->_getParam("username");
$password=$this->_getParam("password");

$bootstrap = $this->getInvokeArg('bootstrap');
$config=$bootstrap->getOptions();
$options = $config["ldap"];

$authAdapter=new Zend_Auth_Adapter_Ldap($options,$username,$password);

$result=$auth->authenticate($authAdapter);

if($result->isValid()) {
$ldap=$authAdapter->getLdap();
$user = $ldap->getEntry("uid=".$username.",".$options["is"]["baseDn"]);
echo "Uzivatel prihlasen";
print_r($user);
}
else {
echo "Spatne jmeno nebo heslo";
}
</pre>

== Ruby - FastBind ==

<pre>
require 'rubygems'
require 'net/ldap'
require 'io/console'

puts "Username:"
username = gets
puts "Password:"
password = STDIN.noecho(&:gets)

ldap = Net::LDAP.new(:encryption => :simple_tls)
ldap.host = "ldap.sh.cvut.cz"
ldap.port = 636
ldap.base = "ou=People,dc=sh,dc=cvut,dc=cz"
ldap.auth "uid=#{username.strip},"+ldap.base, password.strip
if ldap.bind
puts "authentication succeeded"
p ldap.search(
base: "ou=People,dc=sh,dc=cvut,dc=cz",
filter: Net::LDAP::Filter.eq("uid", username.strip),
attributes: %w[ givenName sn email SHservice ],
return_result:true
).inspect
else
puts "authentication failed"
end
</pre>

== PHP - bez frameworku ==
<?php
$user = "tomassrna";
$pass = "...";
$ldapConn = ldap_connect("ldaps://ldap.sh.cvut.cz", 636);
if($ldapConn)
{
$ldapBind = ldap_bind($ldapConn, "uid=".$user.",ou=People,dc=sh,dc=cvut,dc=cz", $pass);
if($ldapBind)
echo "SUCCESS\n";
else
{
echo "FAILED: ";
echo ldap_error($ldapConn)."\n";
}
}

== Microsoft Visual C# ==

Tak toto bol tazky boj...

* Pridame reference System.DirectoryServices

<pre>
using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Threading.Tasks;
using System.DirectoryServices;
using System.Collections;

namespace LDAP
{
class Program
{
static void Main(string[] args)
{
Dictionary<string, string[]> attrs;
if ((attrs = shLdap("tomassrna", "xxxxxx",
new[] { "mail", "uid", "SHservice", "SHadmin" }, "(&(uid=tomassrna)(SHservice=net))")) != null)
{
Console.WriteLine("Auth success!");
// Priklad vypisu vsetkych atributov
foreach(KeyValuePair<string, string[]> kv in attrs)
{
string k = kv.Key;
foreach (string v in kv.Value)
{
Console.WriteLine(k + "=" + v);
}
}
// Priklad ziskania single value
Console.WriteLine("E-mail: " + attrs["mail"][0]);
// Priklad ziskania multi value
Console.WriteLine("Spravovane servery: ");
foreach (string s in attrs["shadmin"])
{
Console.WriteLine(s);
}
}
else
Console.WriteLine("Auth failed!");

Console.Read();
}
static Dictionary<string, string[]> shLdap(string username, string password, string[] attrs, string filter = "")
{
try
{
DirectoryEntry de = new DirectoryEntry("LDAP://ldap.sh.cvut.cz:636/OU=People,DC=sh,DC=cvut,DC=cz",
"uid=" + username + ",ou=People,dc=sh,dc=cvut,dc=cz", password,
AuthenticationTypes.SecureSocketsLayer);
DirectorySearcher ds = new DirectorySearcher(de);
if (filter == "")
ds.Filter = "(uid=" + username + ")";
else
ds.Filter = filter;
foreach (string attr in attrs)
ds.PropertiesToLoad.Add(attr);
SearchResult sr = ds.FindOne();

Dictionary<string, string[]> res = new Dictionary<string, string[]>();
foreach (string prop in sr.Properties.PropertyNames)
{
var ar = new List<string>();
foreach (object oval in sr.Properties[prop])
{
string val = "";
if (oval is string)
val = (string)oval;
else if(oval is Byte[])
val = Encoding.UTF8.GetString((Byte[])oval, 0, ((Byte[])oval).Length);
ar.Add(val);
}
res[prop] = (string[])ar.ToArray();
}
return res;
}
catch (Exception)
{
return null;
}
}
}
}
</pre>

== Linux - prihlasovanie uzivatelov ==

Navod testovany na cistej instalacii systemu Debian Squeeze

# Splnime [[#Prerekvizita SSL]]
# <pre>aptitude install libnss-ldap ldap-utils</pre>
# Upravime "/etc/libnss-ldap.conf"
<pre>
base dc=sh,dc=cvut,dc=cz
uri ldaps://ldap.sh.cvut.cz
port 636
rootbinddn cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz
bind_policy soft
binddn cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz
bindpw <heslo sdeli spravce LDAP>

</pre>
# Ulozime heslo auth usera do "/etc/libnss-ldap.secret" (nic ine tam nesmie byt, len retazec s heslom)
# Upravime "/etc/nsswitch.conf"
<pre>
passwd: files ldap
shadow: files ldap
</pre>

=== Debug ===

Test spojenia
<pre>ldapsearch -d 1 -xLLL -H ldaps://ldap.sh.cvut.cz/ -b "ou=People,dc=sh,dc=cvut,dc=cz" -D "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz" -W uid=tomassrna</pre>

nscd
<pre>
/etc/nscd.conf:
logfile /var/log/nscd.log
debug-level 5

tail /var/log/nscd.log
</pre>

= Seznam služeb a jejich správců, které LDAP používají =
* finance.sh [[Bronislav Robenek]]
* imap.sh [[Radim Roška]]
* zimbra.sh [[Radim Roška]]
* msdnaa.sh [[Michal Naiman]]
* git.sh [[Tomáš Srna]]
* news.sh [[Dominik Mališ]]
* shell.sh [[Václav Mach]]
* siliconhill.cz [[Dominik Mališ]]

LDAP

2012-11-08T11:25:15Z

Tomassrna: /* Linux - prihlasovanie uzivatelov */

LDAP je protokol pro získávání/zapisování informací v stromové struktuře. Dnes se používá zejména pro jednotné přihlašování uživatelů do více aplikací.
[http://en.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol LDAP na wikipedii]

Klub Silicon Hill v rámci Informačního systému provozuje LDAP server, vůči kterým se můžou další aplikace ověřovat pomocí uživatelova hesla. Umožňujeme jak bind tak fastbind. Stávající implementace je pro všechny uživatele Read-only, veškeré změny uživatelských účtů je třeba dělat přes rozhraní informačního systému.

= Informace o serveru =

* Adresa: ldap.sh.cvut.cz
* Port: 636
* Používá SSL (ldaps://)
* Správce: [[Tomáš Srna]]
* Uživatelé v ou=People,dc=sh,dc=cvut,dc=cz
* Atribút uživateľského mena: uid
* Uživatel pro servery: cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz
* Heslo na vyžádání u správce
* Overenie cez userPassword, SSHA hash
* Vo výnimočných prípadoch možnosť NTLM overenia

== Autentizačné módy ==

* FastBind - Bind priamo užívateľom, pod ktorým sa hlási náš klient
* uid={username},ou=People,dc=sh,dc=cvut,dc=cz
* {password}
* Bind cez auth-user
* Horeuvedené údaje
* Vhodné pre mnohonásobné overovanie užívateľov s použitím jediného spojenia.

= Prerekvizita SSL =

'''Dôležité!''' Na Linuxe pokiaľ sa používajú ldap knižnice z OS (používa ich OS samotný, PHP, ...), je potrebné pridať certifikát autority.

Postup je nasledovný:

* V /etc/ldap/ldap.conf pridáme riadok
TLS_CACERT /etc/ssl/certs/ldap.pem

* Do spomínaného súboru /etc/ssl/certs/ldap.pem vložíme certifikát autority AddTrust:
-----BEGIN CERTIFICATE-----
MIIENjCCAx6gAwIBAgIBATANBgkqhkiG9w0BAQUFADBvMQswCQYDVQQGEwJTRTEU
MBIGA1UEChMLQWRkVHJ1c3QgQUIxJjAkBgNVBAsTHUFkZFRydXN0IEV4dGVybmFs
IFRUUCBOZXR3b3JrMSIwIAYDVQQDExlBZGRUcnVzdCBFeHRlcm5hbCBDQSBSb290
MB4XDTAwMDUzMDEwNDgzOFoXDTIwMDUzMDEwNDgzOFowbzELMAkGA1UEBhMCU0Ux
FDASBgNVBAoTC0FkZFRydXN0IEFCMSYwJAYDVQQLEx1BZGRUcnVzdCBFeHRlcm5h
bCBUVFAgTmV0d29yazEiMCAGA1UEAxMZQWRkVHJ1c3QgRXh0ZXJuYWwgQ0EgUm9v
dDCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBALf3GjPm8gAELTngTlvt
H7xsD821+iO2zt6bETOXpClMfZOfvUq8k+0DGuOPz+VtUFrWlymUWoCwSXrbLpX9
uMq/NzgtHj6RQa1wVsfwTz/oMp50ysiQVOnGXw94nZpAPA6sYapeFI+eh6FqUNzX
mk6vBbOmcZSccbNQYArHE504B4YCqOmoaSYYkKtMsE8jqzpPhNjfzp/haW+710LX
a0Tkx63ubUFfclpxCDezeWWkWaCUN/cALw3CknLa0Dhy2xSoRcRdKn23tNbE7qzN
E0S3ySvdQwAl+mG5aWpYIxG3pzOPVnVZ9c0p10a3CitlttNCbxWyuHv77+ldU9U0
WicCAwEAAaOB3DCB2TAdBgNVHQ4EFgQUrb2YejS0Jvf6xCZU7wO94CTLVBowCwYD
VR0PBAQDAgEGMA8GA1UdEwEB/wQFMAMBAf8wgZkGA1UdIwSBkTCBjoAUrb2YejS0
Jvf6xCZU7wO94CTLVBqhc6RxMG8xCzAJBgNVBAYTAlNFMRQwEgYDVQQKEwtBZGRU
cnVzdCBBQjEmMCQGA1UECxMdQWRkVHJ1c3QgRXh0ZXJuYWwgVFRQIE5ldHdvcmsx
IjAgBgNVBAMTGUFkZFRydXN0IEV4dGVybmFsIENBIFJvb3SCAQEwDQYJKoZIhvcN
AQEFBQADggEBALCb4IUlwtYj4g+WBpKdQZic2YR5gdkeWxQHIzZlj7DYd7usQWxH
YINRsPkyPef89iYTx4AWpb9a/IfPeHmJIZriTAcKhjW88t5RxNKWt9x+Tu5w/Rw5
6wwCURQtjr0W4MHfRnXnJK3s9EK0hZNwEGe6nQY1ShjTK3rMUUKhemPR5ruhxSvC
Nr4TDea9Y355e6cJDUCrat2PisP29owaQgVR1EX1n6diIWgVIEM8med8vSTYqZEX
c4g/VhsxOBi0cQ+azcgOno4uG+GMmIPLHzHxREzGBHNJdmAPx/i9F4BrLunMTA5a
mnkPIAou1Z5jJh5VkpTYghdae9C8x49OhgQ=
-----END CERTIFICATE-----

= Příklady použití / nastavení =

== LDAP Kontakty v Telefonu ==

'''iPhone'''
Nastavení -> Pošta, Kontakty, Kalendáře -> Přidat účet -> Jiný -> "Přidat účet LDAP"
* Server: ldap.sh.cvut.cz
* Uživatel: uid=**tvůj username**,ou=People,dc=sh,dc=cvut,dc=cz
* Heslo: Tvé heslo do ISu
* Popis: ldap.sh.cvut.cz
* Použít SSL: Ano
* Kritéria hledání: dc=sh,dc=cvut,dc=cz

== LDAP z příkazové řádky - ldapsearch ==

<pre>
# Balíček
aptitude install ldap-utils

# ~ Fastbind (zepta se na heslo pro username)
ldapsearch -h ldap.sh.cvut.cz -b "dc=sh,dc=cvut,dc=cz" -D "uid=username,ou=People,dc=sh,dc=cvut,dc=cz" -W uid=username

# ~ Bind (se systémovým účtem)
ldapsearch -h ldap.sh.cvut.cz -b "dc=sh,dc=cvut,dc=cz" -D "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz" -w *heslo_auth_usera* uid=username
</pre>

== Zend_Auth_Adapter_Ldap ==

'''application.ini'''
<pre>
ldap.is.host = ldap.sh.cvut.cz
ldap.is.port = 636
ldap.is.useSsl = true
ldap.is.useStartTls = true

ldap.is.bindRequiresDn = true
ldap.is.baseDn = "ou=People,dc=sh,dc=cvut,dc=cz"
ldap.is.accountCanonicalForm = 2

ldap.is.username = "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz"
ldap.is.password = "********"
</pre>

'''Přiklad přihlášení v kontextu Zend_Controller_Action''', [http://framework.zend.com/manual/1.12/en/zend.auth.adapter.ldap.html Více v dokumentaci]
<pre>
$auth=new Zend_Auth();

$username=$this->_getParam("username");
$password=$this->_getParam("password");

$bootstrap = $this->getInvokeArg('bootstrap');
$config=$bootstrap->getOptions();
$options = $config["ldap"];

$authAdapter=new Zend_Auth_Adapter_Ldap($options,$username,$password);

$result=$auth->authenticate($authAdapter);

if($result->isValid()) {
$ldap=$authAdapter->getLdap();
$user = $ldap->getEntry("uid=".$username.",".$options["is"]["baseDn"]);
echo "Uzivatel prihlasen";
print_r($user);
}
else {
echo "Spatne jmeno nebo heslo";
}
</pre>

== Ruby - FastBind ==

<pre>
require 'rubygems'
require 'net/ldap'
require 'io/console'

puts "Username:"
username = gets
puts "Password:"
password = STDIN.noecho(&:gets)

ldap = Net::LDAP.new(:encryption => :simple_tls)
ldap.host = "ldap.sh.cvut.cz"
ldap.port = 636
ldap.base = "ou=People,dc=sh,dc=cvut,dc=cz"
ldap.auth "uid=#{username.strip},"+ldap.base, password.strip
if ldap.bind
puts "authentication succeeded"
p ldap.search(
base: "ou=People,dc=sh,dc=cvut,dc=cz",
filter: Net::LDAP::Filter.eq("uid", username.strip),
attributes: %w[ givenName sn email SHservice ],
return_result:true
).inspect
else
puts "authentication failed"
end
</pre>

== PHP - bez frameworku ==
<?php
$user = "tomassrna";
$pass = "...";
$ldapConn = ldap_connect("ldaps://ldap.sh.cvut.cz", 636);
if($ldapConn)
{
$ldapBind = ldap_bind($ldapConn, "uid=".$user.",ou=People,dc=sh,dc=cvut,dc=cz", $pass);
if($ldapBind)
echo "SUCCESS\n";
else
{
echo "FAILED: ";
echo ldap_error($ldapConn)."\n";
}
}

== Microsoft Visual C# ==

Tak toto bol tazky boj...

* Pridame reference System.DirectoryServices

<pre>
using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Threading.Tasks;
using System.DirectoryServices;
using System.Collections;

namespace LDAP
{
class Program
{
static void Main(string[] args)
{
Dictionary<string, string[]> attrs;
if ((attrs = shLdap("tomassrna", "xxxxxx",
new[] { "mail", "uid", "SHservice", "SHadmin" }, "(&(uid=tomassrna)(SHservice=net))")) != null)
{
Console.WriteLine("Auth success!");
// Priklad vypisu vsetkych atributov
foreach(KeyValuePair<string, string[]> kv in attrs)
{
string k = kv.Key;
foreach (string v in kv.Value)
{
Console.WriteLine(k + "=" + v);
}
}
// Priklad ziskania single value
Console.WriteLine("E-mail: " + attrs["mail"][0]);
// Priklad ziskania multi value
Console.WriteLine("Spravovane servery: ");
foreach (string s in attrs["shadmin"])
{
Console.WriteLine(s);
}
}
else
Console.WriteLine("Auth failed!");

Console.Read();
}
static Dictionary<string, string[]> shLdap(string username, string password, string[] attrs, string filter = "")
{
try
{
DirectoryEntry de = new DirectoryEntry("LDAP://ldap.sh.cvut.cz:636/OU=People,DC=sh,DC=cvut,DC=cz",
"uid=" + username + ",ou=People,dc=sh,dc=cvut,dc=cz", password,
AuthenticationTypes.SecureSocketsLayer);
DirectorySearcher ds = new DirectorySearcher(de);
if (filter == "")
ds.Filter = "(uid=" + username + ")";
else
ds.Filter = filter;
foreach (string attr in attrs)
ds.PropertiesToLoad.Add(attr);
SearchResult sr = ds.FindOne();

Dictionary<string, string[]> res = new Dictionary<string, string[]>();
foreach (string prop in sr.Properties.PropertyNames)
{
var ar = new List<string>();
foreach (object oval in sr.Properties[prop])
{
string val = "";
if (oval is string)
val = (string)oval;
else if(oval is Byte[])
val = Encoding.UTF8.GetString((Byte[])oval, 0, ((Byte[])oval).Length);
ar.Add(val);
}
res[prop] = (string[])ar.ToArray();
}
return res;
}
catch (Exception)
{
return null;
}
}
}
}
</pre>

== Linux - prihlasovanie uzivatelov ==

Navod testovany na cistej instalacii systemu Debian Squeeze

# Splnime [[#Prerekvizita SSL]]
# <pre>aptitude install libnss-ldap ldap-utils</pre>
# Upravime "/etc/libnss-ldap.conf"
<pre>
base dc=sh,dc=cvut,dc=cz
uri ldaps://ldap.sh.cvut.cz
port 636
rootbinddn cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz
bind_policy soft
binddn cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz
bindpw <heslo sdeli spravce LDAP>

</pre>
# Ulozime heslo auth usera do "/etc/libnss-ldap.secret" (nic ine tam nesmie byt, len retazec s heslom)
# Upravime "/etc/nsswitch.conf"
<pre>
passwd: files ldap
shadow: files ldap
</pre>

Debug: <pre>ldapsearch -d 1 -xLLL -H ldaps://ldap.sh.cvut.cz/ -b "ou=People,dc=sh,dc=cvut,dc=cz" -D "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz" -W uid=tomassrna</pre>

= Seznam služeb a jejich správců, které LDAP používají =
* finance.sh [[Bronislav Robenek]]
* imap.sh [[Radim Roška]]
* zimbra.sh [[Radim Roška]]
* msdnaa.sh [[Michal Naiman]]
* git.sh [[Tomáš Srna]]
* news.sh [[Dominik Mališ]]
* shell.sh [[Václav Mach]]
* siliconhill.cz [[Dominik Mališ]]

LDAP

2012-11-08T10:29:47Z

Tomassrna: /* Linux - prihlasovanie uzivatelov */

LDAP je protokol pro získávání/zapisování informací v stromové struktuře. Dnes se používá zejména pro jednotné přihlašování uživatelů do více aplikací.
[http://en.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol LDAP na wikipedii]

Klub Silicon Hill v rámci Informačního systému provozuje LDAP server, vůči kterým se můžou další aplikace ověřovat pomocí uživatelova hesla. Umožňujeme jak bind tak fastbind. Stávající implementace je pro všechny uživatele Read-only, veškeré změny uživatelských účtů je třeba dělat přes rozhraní informačního systému.

= Informace o serveru =

* Adresa: ldap.sh.cvut.cz
* Port: 636
* Používá SSL (ldaps://)
* Správce: [[Tomáš Srna]]
* Uživatelé v ou=People,dc=sh,dc=cvut,dc=cz
* Atribút uživateľského mena: uid
* Uživatel pro servery: cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz
* Heslo na vyžádání u správce
* Overenie cez userPassword, SSHA hash
* Vo výnimočných prípadoch možnosť NTLM overenia

== Autentizačné módy ==

* FastBind - Bind priamo užívateľom, pod ktorým sa hlási náš klient
* uid={username},ou=People,dc=sh,dc=cvut,dc=cz
* {password}
* Bind cez auth-user
* Horeuvedené údaje
* Vhodné pre mnohonásobné overovanie užívateľov s použitím jediného spojenia.

= Prerekvizita SSL =

'''Dôležité!''' Na Linuxe pokiaľ sa používajú ldap knižnice z OS (používa ich OS samotný, PHP, ...), je potrebné pridať certifikát autority.

Postup je nasledovný:

* V /etc/ldap/ldap.conf pridáme riadok
TLS_CACERT /etc/ssl/certs/ldap.pem

* Do spomínaného súboru /etc/ssl/certs/ldap.pem vložíme certifikát autority AddTrust:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

= Příklady použití / nastavení =

== LDAP Kontakty v Telefonu ==

'''iPhone'''
Nastavení -> Pošta, Kontakty, Kalendáře -> Přidat účet -> Jiný -> "Přidat účet LDAP"
* Server: ldap.sh.cvut.cz
* Uživatel: uid=**tvůj username**,ou=People,dc=sh,dc=cvut,dc=cz
* Heslo: Tvé heslo do ISu
* Popis: ldap.sh.cvut.cz
* Použít SSL: Ano
* Kritéria hledání: dc=sh,dc=cvut,dc=cz

== LDAP z příkazové řádky - ldapsearch ==

<pre>
# Balíček
aptitude install ldap-utils

# ~ Fastbind (zepta se na heslo pro username)
ldapsearch -h ldap.sh.cvut.cz -b "dc=sh,dc=cvut,dc=cz" -D "uid=username,ou=People,dc=sh,dc=cvut,dc=cz" -W uid=username

# ~ Bind (se systémovým účtem)
ldapsearch -h ldap.sh.cvut.cz -b "dc=sh,dc=cvut,dc=cz" -D "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz" -w *heslo_auth_usera* uid=username
</pre>

== Zend_Auth_Adapter_Ldap ==

'''application.ini'''
<pre>
ldap.is.host = ldap.sh.cvut.cz
ldap.is.port = 636
ldap.is.useSsl = true
ldap.is.useStartTls = true

ldap.is.bindRequiresDn = true
ldap.is.baseDn = "ou=People,dc=sh,dc=cvut,dc=cz"
ldap.is.accountCanonicalForm = 2

ldap.is.username = "cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz"
ldap.is.password = "********"
</pre>

'''Přiklad přihlášení v kontextu Zend_Controller_Action''', [http://framework.zend.com/manual/1.12/en/zend.auth.adapter.ldap.html Více v dokumentaci]
<pre>
$auth=new Zend_Auth();

$username=$this->_getParam("username");
$password=$this->_getParam("password");

$bootstrap = $this->getInvokeArg('bootstrap');
$config=$bootstrap->getOptions();
$options = $config["ldap"];

$authAdapter=new Zend_Auth_Adapter_Ldap($options,$username,$password);

$result=$auth->authenticate($authAdapter);

if($result->isValid()) {
$ldap=$authAdapter->getLdap();
$user = $ldap->getEntry("uid=".$username.",".$options["is"]["baseDn"]);
echo "Uzivatel prihlasen";
print_r($user);
}
else {
echo "Spatne jmeno nebo heslo";
}
</pre>

== Ruby - FastBind ==

<pre>
require 'rubygems'
require 'net/ldap'
require 'io/console'

puts "Username:"
username = gets
puts "Password:"
password = STDIN.noecho(&:gets)

ldap = Net::LDAP.new(:encryption => :simple_tls)
ldap.host = "ldap.sh.cvut.cz"
ldap.port = 636
ldap.base = "ou=People,dc=sh,dc=cvut,dc=cz"
ldap.auth "uid=#{username.strip},"+ldap.base, password.strip
if ldap.bind
puts "authentication succeeded"
p ldap.search(
base: "ou=People,dc=sh,dc=cvut,dc=cz",
filter: Net::LDAP::Filter.eq("uid", username.strip),
attributes: %w[ givenName sn email SHservice ],
return_result:true
).inspect
else
puts "authentication failed"
end
</pre>

== PHP - bez frameworku ==
<?php
$user = "tomassrna";
$pass = "...";
$ldapConn = ldap_connect("ldaps://ldap.sh.cvut.cz", 636);
if($ldapConn)
{
$ldapBind = ldap_bind($ldapConn, "uid=".$user.",ou=People,dc=sh,dc=cvut,dc=cz", $pass);
if($ldapBind)
echo "SUCCESS\n";
else
{
echo "FAILED: ";
echo ldap_error($ldapConn)."\n";
}
}

== Microsoft Visual C# ==

Tak toto bol tazky boj...

* Pridame reference System.DirectoryServices

<pre>
using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Threading.Tasks;
using System.DirectoryServices;
using System.Collections;

namespace LDAP
{
class Program
{
static void Main(string[] args)
{
Dictionary<string, string[]> attrs;
if ((attrs = shLdap("tomassrna", "xxxxxx",
new[] { "mail", "uid", "SHservice", "SHadmin" }, "(&(uid=tomassrna)(SHservice=net))")) != null)
{
Console.WriteLine("Auth success!");
// Priklad vypisu vsetkych atributov
foreach(KeyValuePair<string, string[]> kv in attrs)
{
string k = kv.Key;
foreach (string v in kv.Value)
{
Console.WriteLine(k + "=" + v);
}
}
// Priklad ziskania single value
Console.WriteLine("E-mail: " + attrs["mail"][0]);
// Priklad ziskania multi value
Console.WriteLine("Spravovane servery: ");
foreach (string s in attrs["shadmin"])
{
Console.WriteLine(s);
}
}
else
Console.WriteLine("Auth failed!");

Console.Read();
}
static Dictionary<string, string[]> shLdap(string username, string password, string[] attrs, string filter = "")
{
try
{
DirectoryEntry de = new DirectoryEntry("LDAP://ldap.sh.cvut.cz:636/OU=People,DC=sh,DC=cvut,DC=cz",
"uid=" + username + ",ou=People,dc=sh,dc=cvut,dc=cz", password,
AuthenticationTypes.SecureSocketsLayer);
DirectorySearcher ds = new DirectorySearcher(de);
if (filter == "")
ds.Filter = "(uid=" + username + ")";
else
ds.Filter = filter;
foreach (string attr in attrs)
ds.PropertiesToLoad.Add(attr);
SearchResult sr = ds.FindOne();

Dictionary<string, string[]> res = new Dictionary<string, string[]>();
foreach (string prop in sr.Properties.PropertyNames)
{
var ar = new List<string>();
foreach (object oval in sr.Properties[prop])
{
string val = "";
if (oval is string)
val = (string)oval;
else if(oval is Byte[])
val = Encoding.UTF8.GetString((Byte[])oval, 0, ((Byte[])oval).Length);
ar.Add(val);
}
res[prop] = (string[])ar.ToArray();
}
return res;
}
catch (Exception)
{
return null;
}
}
}
}
</pre>

== Linux - prihlasovanie uzivatelov ==

Navod testovany na cistej instalacii systemu Debian Squeeze

# Splnime [[#Prerekvizita SSL]]
# <pre>aptitude install libnss-ldap</pre>
# Upravime "/etc/libnss-ldap.conf"
<pre>
base dc=sh,dc=cvut,dc=cz
uri ldaps://ldap.sh.cvut.cz:636
rootbinddn cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz
bind_policy soft
binddn cn=auth-user,ou=System,dc=sh,dc=cvut,dc=cz
bindpw <heslo sdeli spravce LDAP>

</pre>
# Ulozime heslo auth usera do "/etc/libnss-ldap.secret" (nic ine tam nesmie byt, len retazec s heslom)
# Upravime "/etc/nsswitch.conf"
<pre>
passwd: files ldap
shadow: files ldap
</pre>

= Seznam služeb a jejich správců, které LDAP používají =
* finance.sh [[Bronislav Robenek]]
* imap.sh [[Radim Roška]]
* zimbra.sh [[Radim Roška]]
* msdnaa.sh [[Michal Naiman]]
* git.sh [[Tomáš Srna]]
* news.sh [[Dominik Mališ]]
* shell.sh [[Václav Mach]]
* siliconhill.cz [[Dominik Mališ]]