Здравствуйте. Решил написать приложение клиент серверное с аутентификацией по керберос. Взял пример сервера https://github.com/krb5/krb5/tree/master/src/appl/sample/sserver

И соответственно пример клиента https://github.com/krb5/krb5/tree/master/src/appl/sample/sclient

Соответственно от транслировал эти примеры и появились следующие вопросы.

1)Правильно ли я понимаю чтобы все корректно работало. Код сервера должен запускаться на машине сервера контроллера домена( там где keytab ) файл и kfc 2) код клиентской части может запускаться на любой машине клиенте домена правильно? 3) я слышал такую вещь что свой(взятый из примера) тестовый сервер и клиент kerberos, я должен где то в домене как то прописать, чтобы аутентификация проходила и тд. Если это так то как это сделать? Можно по шагам..

Здравствуйте. Грубо говоря есть клиент, есть сервер. Клиент на одном арме. Сервер на другом. Как то можно узнать на стороне сервера после подключения клиента, имя пользователя который подключился(тот пользователь который грубо говоря запустил клиентскую часть, которая соединилась с сервером). В случае если происходит авторизация по керберосу то там можно как то на стороне сервера узнать имя пользователя. А в общем случае такое можно сделать?

Здравствуйте.Есть проблема получения билета kerberos администратора домена admin@MY.DOM через файл keytab.

Сначала я добавил ключ для admin в keytab c помощью ktutil выполнив

root@servfripa:~# ktutil
ktutil:  rkt /etc/krb5.keytab
ktutil:  addent -password -p admin@MY.DOM -k 1 -e aes256-cts

root@servfripa:~# ktutil 
ktutil:  rkt /etc/krb5.keytab 
ktutil:  l 
slot KVNO Principal 
---- ---- --------------------------------------------------------------------- 
  1    2             host/servfripa.my.dom@MY.DOM 
  2    1                             admin@MY.DOM

ktutil:  rkt /etc/krb5.keytab  
ktutil:  l -e 
slot KVNO Principal 
---- ---- --------------------------------------------------------------------- 
  1    2             host/servfripa.my.dom@MY.DOM (aes256-cts-hmac-sha1-96)  
  2    1                             admin@MY.DOM (aes256-cts-hmac-sha1-96)  
ktutil:

 kinit -f admin@MY.DOM

kinit -f admin@MY.DOM -k

root@servfripa:~# KRB5_TRACE="/dev/stdout" kinit -f admin@MY.DOM -k 
[2350] 1626851868.893962: Getting initial credentials for admin@MY.DOM 
[2350] 1626851868.903866: Looked up etypes in keytab: aes256-cts 
[2350] 1626851868.904208: Sending request (159 bytes) to MY.DOM 
[2350] 1626851868.904791: Initiating TCP connection to stream 192.168.0.20:88 
[2350] 1626851868.905166: Sending TCP request to stream 192.168.0.20:88 
[2350] 1626851868.911604: Received answer (284 bytes) from stream 192.168.0.20:88 
[2350] 1626851868.911656: Terminating TCP connection to stream 192.168.0.20:88 
[2350] 1626851868.911899: Response was from master KDC 
[2350] 1626851868.912014: Received error from KDC: -1765328359/Additional pre-authentication required 
[2350] 1626851868.912099: Processing preauth types: 16, 15, 14, 136, 19, 147, 2, 133 
[2350] 1626851868.912114: Selected etype info: etype aes256-cts, salt "ZuWWT&U'8N#Hh\F<", params "" 
[2350] 1626851868.912157: Received cookie: MIT 
[2350] 1626851868.912183: PKINIT client has no configured identity; giving up 
[2350] 1626851868.912255: Preauth module pkinit (147) (info) returned: 0/Success 
[2350] 1626851868.912298: PKINIT client has no configured identity; giving up 
[2350] 1626851868.912313: Preauth module pkinit (16) (real) returned: 22/Недопустимый аргумент 
[2350] 1626851868.912326: PKINIT client has no configured identity; giving up 
[2350] 1626851868.912334: Preauth module pkinit (14) (real) returned: 22/Недопустимый аргумент 
[2350] 1626851868.912347: PKINIT client has no configured identity; giving up 
[2350] 1626851868.912356: Preauth module pkinit (14) (real) returned: 22/Недопустимый аргумент 
[2350] 1626851868.912434: Retrieving admin@MY.DOM from FILE:/etc/krb5.keytab (vno 0, enctype aes256-cts) with result: 0/Succ
ess 
[2350] 1626851868.912489: AS key obtained for encrypted timestamp: aes256-cts/1735 
[2350] 1626851868.912588: Encrypted timestamp (for 1626851868.911708): plain 301AA011180F32303231303732313037313734385AA1050
2030DE95C, encrypted 61DB80C38CB72434C69FD73CD4CC642F16B20299A928E67E3FBD8DAEEC449304F08FE5CEF9AA5E3129A18E141B678192E341086
C5A722FEC 
[2350] 1626851868.912607: Preauth module encrypted_timestamp (2) (real) returned: 0/Success 
[2350] 1626851868.912614: Produced preauth for next request: 133, 2 
[2350] 1626851868.912632: Sending request (252 bytes) to MY.DOM 
[2350] 1626851868.912736: Initiating TCP connection to stream 192.168.0.20:88 
[2350] 1626851868.912926: Sending TCP request to stream 192.168.0.20:88 
[2350] 1626851868.922303: Received answer (284 bytes) from stream 192.168.0.20:88 
[2350] 1626851868.922353: Terminating TCP connection to stream 192.168.0.20:88 
[2350] 1626851868.922463: Response was from master KDC 
[2350] 1626851868.922635: Received error from KDC: -1765328360/Preauthentication failed 
[2350] 1626851868.922667: Preauth tryagain input types: 16, 14, 14, 136, 19, 147, 2, 133 
kinit: Preauthentication failed while getting initial credentials 
root@servfripa:~#

Здравствуйте подскажите что может быть ставлю qt4 командой apt-get install gcc5 gcc5-c++ qt4-devel Проблема в том что когда делаю сборку qmake-qt4 make clean make Он ругается на отсутствие /usr/bin/x86_64-alt-linux-g++ В чем может быть проблема не знаю…

Здравствуйте мне нужно настроить правила сопоставления имён пользователей так чтобы допустим user@EXAMPLE.DOM ассоциировался с t_user. Те грубо говоря нужно прибавить к имени пользователя в начало"t_". Сколько ни пытался не получилось так сделать. Получилось только сделать «_t» в конце пользователя (user_t). А мне нужно сделать в начале(t_user)? Вот строка которая добавляет в конец

auth_to_local = RULE:[1:1$@$0](.*@EXAMPLE.DOM)s/@.*/_t/

здравствуйте допустим добавляю принципала командой

kadmin add_principal -pw "12345678" user@MY.DOM

Здравствуйте. Пытаюсь написать прогу для взаимодейсвия с ldap в астре 1.6. Использую пакет libldap2-dev. При подключении к серверу ldap вызов функции ldap_initialize не вызывает проблем. Затем мне нужно пройти аутентификацию на сервере используя функцию ldap_sasl_bind_s. Вся проблема в том что я не знаю какие параметры туда нужно подавать(чтобы авторизация прошла). ldap в астре настроен на SASL+GSSAPI+KERBEROS+развернут домен ald.Пишу на с/с++. Может быть кто сталкивался с таким типом авторизации? что можно сделать?

Здравствуйте есть проблема подключения к ldap на ос astra linux 1.6. использую ldap admin tool для подключения к базе. Анонимное подключение проходит. А вот если пользователем администратором ald то пишет что подключится не может. Мне нужно подключиться админов чтобы я видел все структуру ldap. Кто нибудь знает как в Астрн подключится к. ldap из администратора домена ?

Astra linux 1.6.Есть сервер ALD и есть клиент ALD. На сервере с помощью fly-admin-samba сделана общая папка. Вопрос кто знает как настроить smbnetfs для пользователя домена который с клиента ALD должен подключить эту сетевую папку чтобы работать с ней. Причем нужно соблюсти дискредитационную политику безопасности. Допустим в sambe задали что папка доступна только пользователю samba «user1» , а пытаясь примонтировать допустим пользователем «user2» я получал бы ошибку.

команда sudo mount -t cifs ..... не подходит тк эта команда проигнорирует дискретку. Нужно монтировать именно из под пользввателя. ТК требуется организовать общий доступ к папкам в рамках епп

Здравствуйте.Есть домен ald на astra linux. На сервере ald есть веб сервер apache2 с аутентификацией через kerberos. также есть доменные пользователи допустим user1 и user2. На веб сервере развернуто несколько сайтов. Как можно ограничить доступ пользователей к сайту. Допустим мне нужно чтобы user1 входил только на «сайт1», но не имел доступа к «сайту2». Как можно сделать такое?

Здравствуйте. Нужно сделать авторизацию по kerberos. Есть сервер контроллера домена и есть клиент этого контроллера. На сервере ald с помощью программы fly-admin-samba я создал ресурс(папку). Дал доступ на чтение/запись и дал гостевой доступ всем. Перестартовал самбу. Программой smbclient ресурс виден с сервера. Далее создал доменного пользователя domsecr. Далее вошёл этим пользователем в систему. И попытался примонтировать ресурс в каталог /dirmnt командой sudo mount -t cifs //192.168.0.14/test /dirmnt -o user= domsecr,cruid=2502, sec= krb5i,rw,uid=2502. Выполнив данную команду на сервере ald я успешно примонтировать директорию. Затем я разлогинился пользователем domsecr. Далее я вошёл уже на клиент контроллера домена. И попытался с клиента примонтировать шару которая находится на сервере . Командой что и выше. Но получил ошибку mount error 126 required key not available. В чем может быть проблема? 2502 uid пользователя domsecr

Здравствуйте. Настроил сервер контроллера домена в astra linux 1.6 se.Создал там несколько доменных пользователей и групп. Кто знает где хранятся имена пользователей/групп в домене?. Файлы /etc/shadow и /etc/group не содержат имения доменных пользователей/групп.

Здравствуйте. Как то можно получить полное имя файла по файловому дескриптору файла в ядре при перехвате системных вызовов где передается дескриптор файла(read,write,....)?

Здравствуйте. Мне нужно написать программу которая перехватывает системные вызовы open,read,write,close. Смысл в том чтобы перехватывать эти системные вызовы и писать в файл логов например фразу: «Системный вызов open для файла test выполнен программой mc 28.04.19 в 21:00»(Фраза взята к примеру) Разумеется в начале нужно следить за всеми файлами в операционной системе, но в дальнейшем будет список файлов за которыми нужно будет следить(писать в лог если есть данный файл в списке). Ядро 4.15.3. Само ядро пересобирать нельзя. Вот собственно в сторону чего копать?

Здравствуйте есть строка в скрипте на баше

deinstall ok configure-files

требуется из данной строки удалить все символы после второго пробела те чтобы стало

deinstall ok

как это сделать?

Возможно ли как-то в линукс дебиан получить тип диска(CD-R,CD-RW, DVD-R, DVD-RW, DVD+RW,....) вставленного в привод? ps Диск может быть пустой или с записанными сессиями.

Здравствуйте требуется получить модель и серийный номер монитора. Я знаю что информация о мониторе есть в /var/log/Xorg.0.log. Но не всегда приходит модель и серийник монитора. Я хотел бы узнать какая программа пишет /var/log/Xorg.0.log название и серийник монитора? Возможно как-то не из Xorg.0.log получить данные.

ps пакета read-edid в системе нет

Здравствуйте требуется перехватить(либо получить после отработки задания) полное имя файла которое было отправлено(отпечатано) на печать. Cups почему-то в файле лога печати /var/spool/cups пишет только само имя файла в секции job-name, а полный путь не пишет.

Здравствуйте. Как-то можно получить полный путь отпечатанного файла? В /var/spool/cups в файлах выполненных заданий c* в директиве job-name имеется только относительный путь к файлу(само имя).

Здравствуйте. Может кто сталкивался с печатью в astra linux 1.5. Реализована с помощью cups + printcontrol-web. секретные задания при отправлении на печать приостанавливаются и требуется промаркировать документ. Затем после маркировки документ уже идет на печать, а после формируется файл логов в xml формате. А с несекретным документом получается что он сразу идет на печать(без маркировки), но файл логов не появляется. Может быть кто знает как это исправить?