LINUX.ORG.RU

Сообщения mefisto74

 

Автологирование доменного пользователя с получем тикета kerberos

Здравствуйте. Я бы хотел , чтобы на машине введенной в домен было настроено автологирование под определенным пользователем, при этом он получал kerberos тикет. Проблема в том, что все способы которые я нашел в интернете делают автологирование возможным, но тикет не получатеся (предполагаю потому что ни в одном из них не подразумевается ввод пароля).

решения я нашел 2:

  1. генерирую кейтаб и при входе в .bashrc делаю kinit -kt *путь до кейтаб файла* В этом способе мне не нравится, что кейтаб файл можно скопировать и пользоваться тикетом уже на другом компьютере. Мне бы хотелось этого избежать
  2. Скрипт который при входе тоже сделает kinit в зашифрованном виде, чтобы не палить пароль. Тут проблема в общем то та же.

Можно на контроллере домена определить пул компьютеров , с которых можно заходить доменному пользователю, но похоже это срабатывает только в интерактивном режиме. Т.е если я пытаюсь зайти через ввод логина пароля меня не пускает, однако при автологировании пускает и применяя тикет через kinit он тоже прекрасно получается.

Как мне сделать правильно , чтобы было автологирование при этом нельзя было утащить возможность под этим пользователем заходить на другом компьютере без админских прав?

 

mefisto74
()

прозрачная авторизация через kerberos в squid не работает. проблема с шифрованиаем

Здравствуйте. не могу разобраться. есть Samba DC и есть squid. настраиваю прозрачную авторизацию. сделал keytab, закачал его на сервер где squid , все остальные настройки по мануалам сделал, но кода захожу на сайты получаю вот такое в cache.log

2024/04/21 21:41:58 kid1| ERROR: Negotiate Authentication validating user. Result: {result=BH, notes={message: gss_accept_sec_context() failed: Unspecified GSS failure.  Minor code may provide more information. Request ticket server HTTP/srv-proxy.mydomain.com@MYDOMAIN.COM kvno 2 enctype aes256-cts found in keytab but cannot decrypt ticket; }}

и что с этим делать? ну в keytab файле есть aes-256 тип шифрования. почему squid его не может расшифровать? или в чем дело. в гугле в основном по Active directory ответы и говорят поставить галки у пользвоателя чтобы поддерживался aes-256. это я на всякий случай сделал (хотя неуверен эти галки с самбой вообще работают ли) но не помогло.

используя net ads enctypes list получаю

'myuser' uses "msDS-SupportedEncryptionTypes": 28 (0x0000001c)
[ ] 0x00000001 DES-CBC-CRC
[ ] 0x00000002 DES-CBC-MD5
[X] 0x00000004 RC4-HMAC
[X] 0x00000008 AES128-CTS-HMAC-SHA1-96
[X] 0x00000010 AES256-CTS-HMAC-SHA1-96
[ ] 0x00000020 AES256-CTS-HMAC-SHA1-96-SK
[ ] 0x00080000 RESOURCE-SID-COMPRESSION-DISABLED

тоже самое собствено и в keytab файле. что я делаю не так?

 

mefisto74
()

Samba DC много ошибок «Failed to parse browse packet of length 32: NT_STATUS_BUFFER_TOO_SMALL»

Развернул на Samba новый домен, но в логах /var/log/samba/log.samba с периодичностью примерно 10 минут сыпет такими ошибками

[2024/04/15 09:17:15.756088,  0] ../../source4/libcli/dgram/browse.c:106(dgram_mailslot_browse_parse)
  Failed to parse browse packet of length 32: NT_STATUS_BUFFER_TOO_SMALL

в общем то каких-то проблем я пока не вижу, но меня это напрягает. что это значит? из гугла я нашел только такое решение: в smb.conf добавить

 socket options = SO_RCVBUF=65535 SO_SNDBUF=65535

Но это не помогло

также после блока ошибок описанных появляется такое

[2024/04/15 09:30:16.246029,  0] ../../source4/dsdb/dns/dns_update.c:85(dnsupdate_nameupdate_done)
  dnsupdate_nameupdate_done: Failed DNS update with exit code 110

насчет этого бы тоже хотелось понять к чему это, что там за обновления DNS пытаются произойти и почему

 

mefisto74
()

bacula как сделать бекапы в разные каталоги на одном sd

Ситуация такая. есть сервер на котором поднят bacula-sd все в общем то работает, но я хочу чтобы бекапы от каждого job делались в разные каталоги. т.к с одним storage сопоставлен только один device у меня ничего не получается. указать в bacula-sd.conf несколько секций storage {} я не могу т.к после этого не стартет служба bacula-sd. хотелось бы узнать возможно ли сделать то, что я хочу средствами bacula или там все только autochanger или же все бекапы в одной куче должны лежать? структуирование бекапов тогда получается никакое.

 

mefisto74
()

Поиск пользователей в jabber

Скажите пожалуйста как в jabber клиентах искать пользователей по Active directory LDAP атрибутам в частности интересует по имени/фамилии сервер ejabberd клиенты pidgin/gajim (если предложите что то более интересное буду рад) поиск по логину работает но хотелось бы еще и по фамилии имени чтоб народ мог найти нужного человека. подскажите кто знает

p.s вы можете сказать что jabber мертв и мне нужен matrix , но все-таки хотелось бы решение для jabber

Перемещено hobbit из general

 ,

mefisto74
()

squid выдает окно с вводом логина и пароля вместо редиректа

Здравствуйте. настроил сквид на авторизацию через керберос (домен samba). все работает. пытаюсь ограничить группу пользователей от интернета создаю acl

external_acl_type adgroup ttl=3600 %LOGIN %ACL /usr/libexec/squid/ext_kerberos_ldap_group_acl
acl no_internet external adgroup

добавляю deny_info и http_access deny

deny_info ERR_ACCESS_DENIED no_internet
http_access deny no_internet

Захожу под пользовалетем из группы *no internet* и ожидаю что мне выдастся ошибка ERR_ACCESS_DENIED, но вместо этого выдается окно с просьбой логина и пароля

при этом если я например сделаю правило с ограничением доступа к сайту, то deny_info отрабатывает корректно. я хочу чтобы мне выдалась именно ошибка, а не окно с вводом логина пароля. что я делаю не так?

 

mefisto74
()

samba AD DC gpo Startup Script Policies не работают

Здравствуйте. Установил SAMBA AD DC. настроил вроде все работает но не работают Startup Script Policies . делаю все по samba wiki

samba 4.16.4. calculate linux

  1. создаю групповую политику (через rsat) ((пробовал и через консоль, результат был тот же))

  2. samba-tool gpo manage scripts startup add {32147013-5DD6-4BFA-BAF5-D25B0F05A0C9} /usr/local/scripts/add_proxy.sh

проверяю через

samba-tool gpo manage scripts startup list {32147013-5DD6-4BFA-BAF5-D25B0F05A0C9} –user=Administrator

получаю следующее:

ERROR(<class ‘AttributeError’>): uncaught exception - ‘NoneType’ object has no attribute ‘text’ File «/usr/lib/python3.10/site-packages/samba/netcmd/init.py», line 186, in _run return self.run(*args, **kwargs) File «/usr/lib/python3.10/site-packages/samba/netcmd/gpo.py», line 3126, in run parameters.text))

проверяю на клиенте через samba-gpupdate –rsop и там во всех политиках которые я создал параметры показаны, но там где vgp_startup_scripts_ext - пустота..

подскажите кто нибудь сталкивался? как победить?

 

mefisto74
()

Удобный поиск российских аналогов ПО

Существует ли какой-то сервис для удобного поиска российского по чтобы можно было вбить там например cubase и тебе предложило список российских аналогов? или же как проще всего искать в «Единый реестр российских программ для электронных вычислительных машин и баз данных» входишь и пишешь там категорию нужного ПО и листаешь?

 

mefisto74
()

можно ли обойти исключение SocketException (0x80004005): Could not resolve host в wine?

Поставил программу, поставил на нее crack но при ее запуске через wine ничего не приосходит в терминале выдает

( читать дальше... )

из чего я делаю вывод что оно крашится из за того что не может подключиться к несуществующему адресу. вопрос можно ли как то обойти это исключение ? или как то подменить этот адрес чтобы оно думало как будто он есть? и вообще в ту ли сторону я копаю? на винде все работает нормально.

 

mefisto74
()

astra linux + microsoft active directory

Поставлена задача неизвестно когда мигрировать с винды на astra linux в организации. На данный момент абсолютно все машины на ОС windows разных версий ну и windows server в качестве контроллера домена. Вопрос такой: насколько я понял вводить то в виндовый домен клиенты на astra linux можно но будут ли работать всякие групповые политики? SSO ? если нет то как быть? ALD (Astra linux directory) поднимать и на нем настраивать все? возможно ли будет туда экспортировать пользователей из active directory? И еще у нас внутренний сайт на sharepoint которым активно пользуются. можно ли будет сделать SSO в связке с ним?

 ,

mefisto74
()

возможно ли в госте - винде под kvm сделать так, чтобы были видны все датчики?

пытаюсь запустить винду через kvm, но там почему то нет датчиков, не определяются ни одной программой. что мне доставить надо? гостевые дополнения я поставил, может еще что-то или это в принципе нереализуемо? и да в виртуалбоксе тоже самое.. дистр xubuntu 14.10 ядро 3.16

 

mefisto74
()

RSS подписка на новые темы