checkpoint linux auth

0

1

Есть корпоративная сеть с чекпоинтом (R77.30, если это важно). Оффтопики авторизуются автоматом на базе логина AD. Гостевые недоменные офтопики и прочие линуксы любой http запрос редиректят на страницу вида /connect/PortalMain, в которой можно всё тем же доменным юзером/паролем заавторизоваться и 12 часов прожить без проблем. Вопрос: как раскурить механизм, которым оно цепляет доменного юзера чтобы его изобразить из линуксов или хотя бы прочухать, чем можно авторизоваться из консоли? Мои потуги разобраться упёрлись в яваскриптный механизм на самой странице и как-то неумение понять что происходит на уровне tcpdump :(

Ссылка

←	Nginx «особый» реврайт

Распределенная фс для офисных нужд

→

Так вам наверно какой-нибудь kerberos+gssapi надо прикручивать (скорее всего надо смотреть в сторону freeipa и дружить ее с AD), а не страничку парсить.

micronekodesu ★★★
(08.01.18 15:20:27 MSK)

Ответ на: комментарий от micronekodesu 08.01.18 15:20:27 MSK

беда в том, что сам по себе комп я в ad прицепил ещё пару лет назад, вот про freeipa надо почитать, согласен. Просто сходу вообще нет идей, каким образом эта зараза людей авторизует, хотя в офтопиках даже урл для авторизации как-то отдаёт разнообразным гостям, однако поймать его tcpdump'ом мне не удалось.

lazyest
(09.01.18 11:12:39 MSK) автор топика

Ответ на: комментарий от lazyest 09.01.18 11:12:39 MSK

Вобщем оказалось что для торчащего в домене линукса достаточно просто раз в 12 часов выполнять kinit <username>, чтобы освежить керберосный тикет и иметь доступ. Закинул это в крон и третий день полёт нормальный. Теперь осталось придумать похожее решение для тех, кто не в домене.

lazyest
(12.01.18 15:51:53 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Nginx «особый» реврайт

Admin

Распределенная фс для офисных нужд

→

Похожие темы