webdav client with kerberos

Наверное, в сторону sssd или как он там...

Насколько я понимаю, мне нужно чтобы клиент webdav умел брать kerberos ключ... sssd вряд-ли поможет.

Смотря, что за клиент webdav у тебя.

Народ пишет, что davfs умеет. Я не пробовал.

Где пишет?

Как бы в названии топика я и ищу собственно клиент webdav который умеет kerberos...

В гугле, где ж еще.

/sbin/mount.davfs: das Einhängen schlug fehl;
Legitmierung am Server fehlgeschlagen: Challenge NTLM wurde ignoriert, GSSAPI-Legitimierungsfehler: Unspecified GSS failure. Minor code may provide more information: Credentials cache file '/tmp/krb5cc_0' not found

Некоторые буквы довольно знакомые.

Ну вот имею я как раз такую ошибку. :(

# mount -t davfs http://alfresco/alfresco/webdav  /media/
Please enter the username to authenticate with server
http://alfresco/alfresco/webdav or hit enter for none.
  Username: user
Please enter the password to authenticate user gusevvs with server
http://alfresco/alfresco/webdav or hit enter for none.
  Password:  
/sbin/mount.davfs: Mounting failed.
Невозможно авторизироваться на сервере: Ошибка GSSAPI аутентификации: Unspecified GSS failure.  Minor code may provide more information: Credentials cache file '/tmp/krb5cc_0' not found

ln -s /tmp/krb5cc_2130183293 /tmp/krb5cc_0

root@administrator-virtualbox:~# mount -t davfs http://alfresco/alfresco/webdav  /media/
Please enter the username to authenticate with server
http://alfresco/alfresco/webdav or hit enter for none.
  Username: user
Please enter the password to authenticate user gusevvs with server
http://alfresco/alfresco/webdav or hit enter for none.
  Password:  
/sbin/mount.davfs: Mounting failed.
Невозможно авторизироваться на сервере: Ошибка GSSAPI аутентификации: Unspecified GSS failure.  Minor code may provide more information: Credentials cache permissions incorrect

Хочу передать вручную имя пользователя и домен, чтобы через principal замаунтить, в офтопике работает: domain.local\user - без билета kerberos. Как такое можно сделать в Linux?

Credentials cache permissions incorrect

Ну.

чтобы через principal замаунтить
без билета kerberos

Я перестал тебя понимать. Тебе керберос нужен или нет?

Конечно же мне нужен kerberos... Firefox работает с кешем билетов нормально, cifs работает. Не работает только webdav.

То, что он пишет про некорректные права доступа - это конечно хорошо. Но я не очень понимаю почему он спрашивает логин/пароль? Сейчас я конечно поиграю с правами.

То что я пробую уже без kerberos хоть как-то смонтироваться - это уже от безсилия... :(

В общем сейчас гляну про права. Но повторюсь, что под тем-же пользователем всё остальное работает хорошо.

Минутку... Я похоже протупился. Я делаю mount из-под root. Теперь понять бы как сделать mount под учётной записью доменного пользователя на которого я и получал билет.

 $mount -t davfs http://alfresco/alfresco/webdav /mnt/webdav/ 
mount: только root может сделать это

Проблемно добавить пользователя который создался через likewise в группу davfs2. Как поборю - отпишусь! Спасибо!

Мил Человек! Спасибо тебе ОГРОМНОЕ! Всё заработало! Добавил пользователя из домена в dvfs2 группу, и всё побежало + переконфигурировал пакет dvfs2, чтобы разрешить монтирование непривелигерованным пользователям. Только спрашивает логин+пасс, но можно нажать Return и оно замаунтит... - Теперь надо только отучить от спрашивания пустых логина+пасса.

Спасибо тебе прям невероятнейшее. Я что-то притомился уже бороться с alfresco, по сему затупил. СПАСИБО!

Ах да... - Ещё потребовалось создать точку монтирования в домашнем каталоге пользователя.

Бггггг
ЧСХ, я практически ничего не говорил)
Так что здесь ты всё сам.
Скоро я сам тебя за советом по SSO кастовать начну.

Да мне пока самому с SSO не всё понятно. Я ещё гикую в этом плане, я делаю всё на samba4, туда загоняю: WinXP, Win7/8, Linux, MacOS (позже). При том мне нужна кроссплатформенность не сколько ради домена, а вот как раз для SSO. Сейчас прикручиваю alfresco, потом планирую развернуть 1с, squid, zimbra, SAP. А так в целом доволен samba4 :) На том же pfsence поднял RADIUS, и неспешно так captive portal запилил с LDAP интеграцией для wi-fi.

Кстати, я SSO (kerberos) замутил даже на Windows 7 HOME. С оговорками - но всё заработало. Надо в MIT написать, может чего подскажут по делу.

С SSO вот не очень понятно на счёт доменных имён, того же webdav... Маунтится с билетом только по dn... А мне очень хочется по fqdn. Странно, spn вроде сгенерировал... В общем не скучно.

Вот пока думаю попутно - чего там накрутили в плане DDNS samba4+bind+isc-dhcpd...

Спасибо тебе, ты не плохо мне помог. Уже глаз замылился... Очевидностей не вижу порой.

Ах да... Ещё в планах: https + SSO... Ух... Ну и до кучи вестимо: sharepoint + https + SSO...

Да уж, скучать тебе не придется.
Зато какая знатная бородища отрастет!

Да ну бы её нафиг эту бородищу. Руководство просто хочет SSO, я признаться в нём огромного смыслу не вижу. :)

Руководство просто хочет SSO, я признаться в нём огромного смыслу не вижу. :)

Поэтому оно и руководство. Почитай книги по компьютерной безопасности - SSO позволяет пользователям не использовать over 9000 паролей для разных ресурсов, неизбежно забывая их, создавая нагрузку на саппорт, записывая пароли на стикерах и т.д.

Да это всё понятно. Но с тем учётом, что сейчас все стремятся всё «носить с собой» на айфончиках, планшетиках, телефончиках, ноутбучках - всё это SSO мало чем полезно, если говорить о безопаности. Хотя РС конечно остаются и никуда не уходят.

Путаешь понятия. SSO и кража разные вещи. Или к чему посыл в сторону ноутов и телефонов?
Безопасноть на ноуте/телефоне ничем не сложнее обеспечить, а может даже и проще. Мало кто обеспечивает защиту информации на настольном на случай кражи. Зато если украли телефон, в одно нажатие кнопки удаленно стирается вся конфиденциальная информация.
Хотя vPro и шифрование дисков на ноутах/настольных еще никто не отменял.

Я думаю что за тем разнообразием железяк и всего прочего дерьма, что лежит дома у юзеров - просто не то чтобы не возможно, просто нет никакого смысла даже гнаться... - Два года назад все тащились от айпадов, сейчас уже покупают WinPhone... - Посыл к тому, что весьма не дёшего стоит всё это защищать. Помимо того что у всех свои железки, все ещё хотят ходить с планшета жены, соседа, брата... Если кто украдёт чего-либо - большая вероятность, что об этом мало кто будет распространяться даже, чтобы не было проблем. - Пошёл да купил новый кусок пластика.

Ээээээ... Ну украдут иПад жены дяди знакомого, и что?

Ну то, что практически не возможно контролировать куда и чем ходят пользователи, где хранят документы и т.д. - SSO, лишь очень малая часть комплексной системы защиты, и далеко не панацея.

SSO вообще не о том.

Ну дык SSO - это удобство и безопасность. - Всё это приемлемо к стационарному РМ. На мобильном устройстве от SSO уже нет ни того, ни другого фактически. С учётом бурного роста мобильных устройств - SSO скоро умрёт, по крайней мере в его нынешнем виде.

С учётом бурного роста мобильных устройств - SSO скоро умрёт, по крайней мере в его нынешнем виде.

man Diameter