LINUX.ORG.RU

FreeRDP и прозрачная авторизация

 


0

1

Привет всем!

Ввел Ubuntu в домен ActiveDirectory, практически все что нужно для работы настроил (pam_mount, Thunderbird с kerberos и др.)

Дошел до тестов c RDP клиентом и тут у меня ступор. Начиная с Windows Server 2008 M$ поддерживает прозрачную авторизацию для RDP клиентов, CredSSP кажется так и на Windows XP/7/8/10 у меня все отлично работает.

Пытаюсь сделать тоже самое для FreeRDP и ничего не выходит, т.е. подключается, но «без прозрачности», если указываю /sec:nla тупо спрашивает пароль в консоле/GUI, если /sec:rdp, то уже в окне с подключением к RDS.

У меня вопрос оно вообще работает у кого-то?

rdesktop работал через kerberos. На freerdp собирались прикрутить kerberos, но что-то пока нет.

CredSSP... а у вас как аутентификация настроена вообще? SPNEGO что использует? Кербероса то нет в freerdp. Просто сказать «хочу» (поставить ключ /sec:nla) тут недостаточно - надо реализовать хотя бы один метод аутентификации.

viewizard ★★ ()
Ответ на: комментарий от viewizard

Я не хочу умничать на тему, что kerberos и ntlm это разные методы авторизации и то, что CredSSP это по сути ntlmv2 с обверткой, ибо знания поверхностные))

Кстати rdesktop тоже по ntlmv2 авторизовываться должен, вы подскажите удалось ли все? Т.е. работает прозрачно и без ввода пароля у Вас?

mcshel ()
Ответ на: комментарий от mcshel

kerberos и ntlm это разные методы авторизации

аутентификации (http://www.opennet.ru/docs/BSD/qa/authoriz-vs-authent.html)

CredSSP это по сути ntlmv2 с обверткой

SPNEGO с оберткой. CredSSP вообще не имеет прямого отношения к суб механизму аутентификации.

ибо знания поверхностные))

абсолютно у всех так при встрече с чем-то новым, но вот хотите ли вы улучшить свои знания в этой области, или просто «найти нужную кнопочку, куда нажать»...

Т.е. работает прозрачно и без ввода пароля у Вас?

С freerdp - нет.

Но если вам очень хочется именно freerdp, можете посмотреть в сторону pam-script (http://freecode.com/projects/pam-script), например, вставить его на перехват пароля который ввел пользователь (вы же настраивали уже pam_mount, значит с pam разобрались). И потом просто «подсовывать» пароль в момент формирования параметров запуска freerdp. Да, это будет все тот же ntlm, да, не очень безопасно (в зависимости от вашей реализации хранения пароля пользователя, конечно)... но зато 100% «прозрачно» для пользователя. :-)

viewizard ★★ ()
Ответ на: комментарий от viewizard

Я поставил последний rdesktop 1.8.3 просто набираю:

rdesktop имя_сервера

Autoselected keyboard map ru Connection established using CredSSP. WARNING: Remote desktop does not support colour depth 24; falling back to 16

И уже Windows говорит, что неверное имя пользователя или пароль. Смотрю логин и вижу, что он пытался подключаться: ПОЛНОЕ.ИМЯ.ДОМЕНА\ИМЯ_ПОЛЬЗОВАТЕЛЯ

Подскажите в какую сторону копать? Ставить монитор сети и смотреть уже там?

mcshel ()
Ответ на: комментарий от mcshel

Если после его руками ввести пароль, то вход осуществляется.

mcshel ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.