LINUX.ORG.RU
решено ФорумAdmin

webdav client with kerberos

 ,


0

2

Добрый день друзья!

Есть задача: смонтировать webdav каталог в Linux, но при этом, чтобы webdav не спрашивал пароля, а использовал TGT полученный от kerberos.

Есть что-то сабжевое? Куда вообще надо копать?

P.S. под оффтопиком всё завёл, теперь дело за Linux. :)

★★★★★

Последнее исправление: DALDON (всего исправлений: 1)
Ответ на: комментарий от dhameoelin

Насколько я понимаю, мне нужно чтобы клиент webdav умел брать kerberos ключ... sssd вряд-ли поможет.

DALDON ★★★★★
() автор топика
Ответ на: комментарий от dhameoelin

Как бы в названии топика я и ищу собственно клиент webdav который умеет kerberos...

DALDON ★★★★★
() автор топика
Ответ на: комментарий от DALDON

В гугле, где ж еще.

/sbin/mount.davfs: das Einhängen schlug fehl;
Legitmierung am Server fehlgeschlagen: Challenge NTLM wurde ignoriert, GSSAPI-Legitimierungsfehler: Unspecified GSS failure. Minor code may provide more information: Credentials cache file '/tmp/krb5cc_0' not found

Некоторые буквы довольно знакомые.

thesis ★★★★★
()
Последнее исправление: thesis (всего исправлений: 1)
Ответ на: комментарий от thesis

Ну вот имею я как раз такую ошибку. :(

# mount -t davfs http://alfresco/alfresco/webdav  /media/
Please enter the username to authenticate with server
http://alfresco/alfresco/webdav or hit enter for none.
  Username: user
Please enter the password to authenticate user gusevvs with server
http://alfresco/alfresco/webdav or hit enter for none.
  Password:  
/sbin/mount.davfs: Mounting failed.
Невозможно авторизироваться на сервере: Ошибка GSSAPI аутентификации: Unspecified GSS failure.  Minor code may provide more information: Credentials cache file '/tmp/krb5cc_0' not found
ln -s /tmp/krb5cc_2130183293 /tmp/krb5cc_0
root@administrator-virtualbox:~# mount -t davfs http://alfresco/alfresco/webdav  /media/
Please enter the username to authenticate with server
http://alfresco/alfresco/webdav or hit enter for none.
  Username: user
Please enter the password to authenticate user gusevvs with server
http://alfresco/alfresco/webdav or hit enter for none.
  Password:  
/sbin/mount.davfs: Mounting failed.
Невозможно авторизироваться на сервере: Ошибка GSSAPI аутентификации: Unspecified GSS failure.  Minor code may provide more information: Credentials cache permissions incorrect

Хочу передать вручную имя пользователя и домен, чтобы через principal замаунтить, в офтопике работает: domain.local\user - без билета kerberos. Как такое можно сделать в Linux?

DALDON ★★★★★
() автор топика
Ответ на: комментарий от DALDON

Credentials cache permissions incorrect

Ну.

чтобы через principal замаунтить
без билета kerberos

Я перестал тебя понимать. Тебе керберос нужен или нет?

thesis ★★★★★
()
Ответ на: комментарий от thesis

Конечно же мне нужен kerberos... Firefox работает с кешем билетов нормально, cifs работает. Не работает только webdav.

То, что он пишет про некорректные права доступа - это конечно хорошо. Но я не очень понимаю почему он спрашивает логин/пароль? Сейчас я конечно поиграю с правами.

То что я пробую уже без kerberos хоть как-то смонтироваться - это уже от безсилия... :(

В общем сейчас гляну про права. Но повторюсь, что под тем-же пользователем всё остальное работает хорошо.

DALDON ★★★★★
() автор топика
Ответ на: комментарий от thesis

Минутку... Я похоже протупился. Я делаю mount из-под root. Теперь понять бы как сделать mount под учётной записью доменного пользователя на которого я и получал билет.

 $mount -t davfs http://alfresco/alfresco/webdav /mnt/webdav/ 
mount: только root может сделать это

DALDON ★★★★★
() автор топика
Последнее исправление: DALDON (всего исправлений: 2)
Ответ на: комментарий от thesis

Проблемно добавить пользователя который создался через likewise в группу davfs2. Как поборю - отпишусь! Спасибо!

DALDON ★★★★★
() автор топика
Ответ на: комментарий от thesis

Мил Человек! Спасибо тебе ОГРОМНОЕ! Всё заработало! Добавил пользователя из домена в dvfs2 группу, и всё побежало + переконфигурировал пакет dvfs2, чтобы разрешить монтирование непривелигерованным пользователям. Только спрашивает логин+пасс, но можно нажать Return и оно замаунтит... - Теперь надо только отучить от спрашивания пустых логина+пасса.

Спасибо тебе прям невероятнейшее. Я что-то притомился уже бороться с alfresco, по сему затупил. СПАСИБО!

Ах да... - Ещё потребовалось создать точку монтирования в домашнем каталоге пользователя.

DALDON ★★★★★
() автор топика
Последнее исправление: DALDON (всего исправлений: 2)
Ответ на: комментарий от DALDON

Бггггг
ЧСХ, я практически ничего не говорил)
Так что здесь ты всё сам.
Скоро я сам тебя за советом по SSO кастовать начну.

thesis ★★★★★
()
Последнее исправление: thesis (всего исправлений: 1)
Ответ на: комментарий от thesis

Да мне пока самому с SSO не всё понятно. Я ещё гикую в этом плане, я делаю всё на samba4, туда загоняю: WinXP, Win7/8, Linux, MacOS (позже). При том мне нужна кроссплатформенность не сколько ради домена, а вот как раз для SSO. Сейчас прикручиваю alfresco, потом планирую развернуть 1с, squid, zimbra, SAP. А так в целом доволен samba4 :) На том же pfsence поднял RADIUS, и неспешно так captive portal запилил с LDAP интеграцией для wi-fi.

Кстати, я SSO (kerberos) замутил даже на Windows 7 HOME. С оговорками - но всё заработало. Надо в MIT написать, может чего подскажут по делу.

С SSO вот не очень понятно на счёт доменных имён, того же webdav... Маунтится с билетом только по dn... А мне очень хочется по fqdn. Странно, spn вроде сгенерировал... В общем не скучно.

Вот пока думаю попутно - чего там накрутили в плане DDNS samba4+bind+isc-dhcpd...

Спасибо тебе, ты не плохо мне помог. Уже глаз замылился... Очевидностей не вижу порой.

Ах да... Ещё в планах: https + SSO... Ух... Ну и до кучи вестимо: sharepoint + https + SSO...

DALDON ★★★★★
() автор топика
Последнее исправление: DALDON (всего исправлений: 3)
Ответ на: комментарий от thesis

Да ну бы её нафиг эту бородищу. Руководство просто хочет SSO, я признаться в нём огромного смыслу не вижу. :)

DALDON ★★★★★
() автор топика
Ответ на: комментарий от DALDON

Руководство просто хочет SSO, я признаться в нём огромного смыслу не вижу. :)

Поэтому оно и руководство. Почитай книги по компьютерной безопасности - SSO позволяет пользователям не использовать over 9000 паролей для разных ресурсов, неизбежно забывая их, создавая нагрузку на саппорт, записывая пароли на стикерах и т.д.

Mr_Alone ★★★★★
()
Ответ на: комментарий от Mr_Alone

Да это всё понятно. Но с тем учётом, что сейчас все стремятся всё «носить с собой» на айфончиках, планшетиках, телефончиках, ноутбучках - всё это SSO мало чем полезно, если говорить о безопаности. Хотя РС конечно остаются и никуда не уходят.

DALDON ★★★★★
() автор топика
Последнее исправление: DALDON (всего исправлений: 1)
Ответ на: комментарий от DALDON

Путаешь понятия. SSO и кража разные вещи. Или к чему посыл в сторону ноутов и телефонов?
Безопасноть на ноуте/телефоне ничем не сложнее обеспечить, а может даже и проще. Мало кто обеспечивает защиту информации на настольном на случай кражи. Зато если украли телефон, в одно нажатие кнопки удаленно стирается вся конфиденциальная информация.
Хотя vPro и шифрование дисков на ноутах/настольных еще никто не отменял.

Mr_Alone ★★★★★
()
Ответ на: комментарий от Mr_Alone

Я думаю что за тем разнообразием железяк и всего прочего дерьма, что лежит дома у юзеров - просто не то чтобы не возможно, просто нет никакого смысла даже гнаться... - Два года назад все тащились от айпадов, сейчас уже покупают WinPhone... - Посыл к тому, что весьма не дёшего стоит всё это защищать. Помимо того что у всех свои железки, все ещё хотят ходить с планшета жены, соседа, брата... Если кто украдёт чего-либо - большая вероятность, что об этом мало кто будет распространяться даже, чтобы не было проблем. - Пошёл да купил новый кусок пластика.

DALDON ★★★★★
() автор топика
Ответ на: комментарий от Mr_Alone

Ну то, что практически не возможно контролировать куда и чем ходят пользователи, где хранят документы и т.д. - SSO, лишь очень малая часть комплексной системы защиты, и далеко не панацея.

DALDON ★★★★★
() автор топика
Ответ на: комментарий от Mr_Alone

Ну дык SSO - это удобство и безопасность. - Всё это приемлемо к стационарному РМ. На мобильном устройстве от SSO уже нет ни того, ни другого фактически. С учётом бурного роста мобильных устройств - SSO скоро умрёт, по крайней мере в его нынешнем виде.

DALDON ★★★★★
() автор топика
Ответ на: комментарий от DALDON

С учётом бурного роста мобильных устройств - SSO скоро умрёт, по крайней мере в его нынешнем виде.

man Diameter

Mr_Alone ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.