LINUX.ORG.RU
ФорумAdmin

RDP SSO

 , ,


0

1

У меня есть сеть линуховых машин с kerberos и ldap интеграцией. AD на самбе. Есть пара win7 с древним софтом типа банковских клиентов в домене.

Тупая винда не умеет кушать керберос тикет при RDP коннекте. Есть какое-нибудь решение по сквозной авторизации при RDP коннекте с linux на винду?

★★★

Ответ на: комментарий от mos

в гугл я тоже умею, но это не то, у меня нет проблем с коннектом, а они там борются как раз с тем, что их рефузит. Я же не хочу напрягать юзера вбивание пароля в rdp сессии и не хочу прописывать его пароль явно в строке запуска rdesktop

constin ★★★ ()
Ответ на: комментарий от mos

Мне не нужен посредник для поиска в гугле, спасибо. Те я все это уже читал. Мне интересно мнение людей, которые решили эту задачу.

constin ★★★ ()
Ответ на: комментарий от constin

Большинству нужен.
Энивэй, последние 3 поста как бы отвечают на твой вопрос, но хозяин барин...

mos ★★☆☆☆ ()
Ответ на: комментарий от mos

они отвечают , что это сделать нельзя. потому , что rdp нужен пароль в явном виде и по другому оно не умеет. На уровне винда-винда это решено доставанием пароля из локального стореджа и пропихиванием его в сессию, на сколько я понял.

я подумал, что можно сделать локальное шифрованное паролехранилище, которое по керберос тикету будет отдавать плейн пароль и его можно будет запихать в скрипт коннекта. Но все эта конструкция накроется, когда/если юзер сменит свой пароль в ldap.

constin ★★★ ()
Ответ на: комментарий от constin

они отвечают , что это сделать нельзя. потому , что rdp нужен пароль в явном виде и по другому оно не умеет.

Так точно.

я подумал

И придумал какой-то ацкий оверкил для проблемы одной строчки. В первой сцылке сказано, что оно конектится, но потом все равно спрашивает пароль - ну вот пусть юзер его и вводит. SSO по-индусски, не первый и не последний раз...

mos ★★☆☆☆ ()
Ответ на: комментарий от constin

они отвечают , что это сделать нельзя. потому , что rdp нужен пароль в явном виде и по другому оно не умеет. На уровне винда-винда это решено доставанием пароля из локального стореджа и пропихиванием его в сессию, на сколько я понял.

Я тоже к такому же выводу пришёл, что rdp не умеет в kerberos, от слова совсем...

DALDON ★★★★★ ()
Ответ на: комментарий от constin

я подумал, что можно сделать локальное шифрованное паролехранилище,
которое по керберос тикету будет отдавать плейн пароль и его можно будет
запихать в скрипт коннекта. Но все эта конструкция накроется, когда/если юзер
сменит свой пароль в ldap.

Так если пользователь входит в комп с этим паролем, то пусть пароль в хранилище обновляется при каждом локальном логоне. Я выцеплял пароль с помощью pam_script, но давно это было.

muon ★★★★ ()
Ответ на: комментарий от mos

И придумал какой-то ацкий оверкил для проблемы одной строчки.

Это не адский оверкилл, это костыль к проприетарной херне. Если этот костыль красиво оформить и сделать возможным использовать при любой конфиге, то получится неплохое решение.

Мне вот не нравится, что у меня везде сквозная авторизация,кроме сраной rdp.

constin ★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.