LINUX.ORG.RU
решено ФорумAdmin

Подключиться через xfreerdp, если пользователь в группе Protected users в домене.

 , , ,


0

3

Собственно, как?
У мелко-мягких это особо защищённая группа, нужны пляски с керберос-ом.
RedOS в домене, через sssd. Тикет на подключающегося пользователя есть. Ошибка такая (виртуалка qemu):

xfreerdp /u:user@example.local /v:Srv2022-VM.example.local /sec:nla /d:example.local /p:1
[21:11:26:178] [28351:28352] [ERROR][com.freerdp.codec] - Could not initialize hardware decoder, falling back to software: Недопустимый аргумент
[21:11:26:210] [28351:28352] [WARN][com.freerdp.crypto] - Certificate verification failure 'self-signed certificate (18)' at stack position 0
[21:11:26:210] [28351:28352] [WARN][com.freerdp.crypto] - CN = Srv2022-VM.example.local
[21:11:26:411] [28351:28352] [WARN][com.freerdp.core.nla] - SPNEGO received NTSTATUS: STATUS_LOGON_FAILURE [0xC000006D] from server
[21:11:26:411] [28351:28352] [ERROR][com.freerdp.core] - nla_recv_pdu:freerdp_set_last_error_ex ERRCONNECT_LOGON_FAILURE [0x00020014]
[21:11:26:411] [28351:28352] [ERROR][com.freerdp.core.rdp] - rdp_recv_callback: CONNECTION_STATE_NLA - nla_recv_pdu() fail
[21:11:26:411] [28351:28352] [ERROR][com.freerdp.core.transport] - transport_check_fds: transport->ReceiveCallback() - -1

[user@redos3 ~]$ xfreerdp --version
This is FreeRDP version 2.10.0 (2.10.0)

Если нужно что-то подкрутить на сервере (кроме «убрать из этой группы») - тоже пишите.


Уникальные права использования Telegram бота
Docker контейнер спена порта
Ответ на: комментарий от bigbit

xfreerdp /u:user@example.local /p:1 /v:Srv2022-VM.EXAMPLE.LOCAL /cert:ignore

[10:46:27:119] [3323508:3323509] [WARN][com.freerdp.core.nla] - SPNEGO received NTSTATUS: STATUS_ACCOUNT_RESTRICTION [0xC000006E] from server
[10:46:27:119] [3323508:3323509] [ERROR][com.freerdp.core] - nla_recv_pdu:freerdp_set_last_error_ex ERRCONNECT_ACCOUNT_RESTRICTION [0x00020017]
[10:46:27:119] [3323508:3323509] [ERROR][com.freerdp.core.rdp] - rdp_recv_callback: CONNECTION_STATE_NLA - nla_recv_pdu() fail
[10:46:27:119] [3323508:3323509] [ERROR][com.freerdp.core.transport] - transport_check_fds: transport->ReceiveCallback() - -1
c0unt0
() автор топика
Ответ на: комментарий от c0unt0

Вот так зарешало:

kinit; rdesktop -u user -d EXAMPLE.LOCAL -p 1 -v Srv2022-VM.EXAMPLE.LOCAL

Окно открывалось, винда писала в нём, что не положено, дайте разрешения. Дал так:

Убедитесь, что сервер и клиент поддерживают только Kerberos/Certificate-based auth (NLA) и что все политики, требующие несопоставимых механизмов, отключены.
В AD измените привилегии:
Откройте Group Policy Management (gpmc.msc).
Создайте / отредактируйте GPO, привязанный к OU с сервером.
Перейдите: Computer Configuration → Policies → Windows Settings → Security Settings → Local Policies → User Rights Assignment.
Найдите "Allow log on through Remote Desktop Services" и добавьте туда конкретного пользователя user (рекомендуется через группу).
Проверьте политику Kerberos/NTLM:
Убедитесь, что нет политики, запрещающей Kerberos для этого пользователя.
Убедитесь, что в домене нет дополнительных ограничений для Protected Users (например, Conditional Access или горячие политики безопасности).

Теперь как бы зайти xfreerdp…

c0unt0
() автор топика
Последнее исправление: c0unt0 (всего исправлений: 3)
Ответ на: комментарий от c0unt0

Я тебе говорю большими буквами REALM должен быть, а ты опять маленькими написал. Подчеркиваю - REALM в имени пользователя, а не домен в имени хоста. Последнее как раз пофиг.

bigbit ★★★★★
()
Ответ на: комментарий от bigbit

Большими тоже пробовал, вот прямо сейчас ещё раз. Это не влияет.

xfreerdp /u:user /v:Srv2022-VM.EXAMPLE.LOCAL /sec:nla /d:EXAMPLE.LOCAL /p:1
[AVHWDeviceContext @ 0x7fb0d03c51c0] No VA display found for device /dev/dri/renderD128.
[16:27:27:777] [38555:38556] [ERROR][com.freerdp.codec] - Could not initialize hardware decoder, falling back to software: Недопустимый аргумент
[16:27:27:813] [38555:38556] [WARN][com.freerdp.crypto] - Certificate verification failure 'self-signed certificate (18)' at stack position 0
[16:27:27:813] [38555:38556] [WARN][com.freerdp.crypto] - CN = Srv2022-VM.example.local
[16:27:27:015] [38555:38556] [WARN][com.freerdp.core.nla] - SPNEGO received NTSTATUS: STATUS_ACCOUNT_RESTRICTION [0xC000006E] from server
[16:27:27:015] [38555:38556] [ERROR][com.freerdp.core] - nla_recv_pdu:freerdp_set_last_error_ex ERRCONNECT_ACCOUNT_RESTRICTION [0x00020017]
[16:27:27:015] [38555:38556] [ERROR][com.freerdp.core.rdp] - rdp_recv_callback: CONNECTION_STATE_NLA - nla_recv_pdu() fail
[16:27:27:015] [38555:38556] [ERROR][com.freerdp.core.transport] - transport_check_fds: transport->ReceiveCallback() - -1
c0unt0
() автор топика
Ответ на: комментарий от c0unt0

Попробуй тоже самой в Реммине.
Короче, у freerdp есть какая-то задница с получением и верификацией самописаного серфтиката. Поэтому, сначала законнектиться в Реммине, получишь сертификат, потом можешь и с freerdp коннектиться.

Ololo_Trololo ★★
()
Ответ на: комментарий от Ololo_Trololo

Нашёл. Вы не поверите:

sudo dnf remove -y freerdp
sudo dnf install -y freerdp3
sudo ln -s /usr/bin/xfreerdp3 /usr/bin/xfreerdp

xfreerdp /u:user /v:Srv2022-VM.example.local /d:EXAMPLE.LOCAL /p:1

Почему-то RedOS по-умолчанию поставляет старье... Видимо в целях стабильности.
c0unt0
() автор топика
Ответ на: комментарий от Ololo_Trololo

Ага.
Провёл небольшое расследование, как оказалось, что у меня старая версия. Чтобы донести разрабам.
Но метапакет freerdp у них устанавливает remmina (без freerdp-*). А система, установленная с летнего образа уже несёт 3й xfreerdp. Значит его принесла старая система. 8.0 на виртуалках дома (делаю новые клонированием redos-clean) и ниже - на работе.

c0unt0
() автор топика
Последнее исправление: c0unt0 (всего исправлений: 1)
Уникальные права использования Telegram бота
Admin
Docker контейнер спена порта