LINUX.ORG.RU

Сообщения kold2015

 

Вопрос про клиент и сервер с аутентификацией по kerberos

Форум — Development

Здравствуйте. Решил написать приложение клиент серверное с аутентификацией по керберос. Взял пример сервера https://github.com/krb5/krb5/tree/master/src/appl/sample/sserver

И соответственно пример клиента https://github.com/krb5/krb5/tree/master/src/appl/sample/sclient

Соответственно от транслировал эти примеры и появились следующие вопросы.

1)Правильно ли я понимаю чтобы все корректно работало. Код сервера должен запускаться на машине сервера контроллера домена( там где keytab ) файл и kfc 2) код клиентской части может запускаться на любой машине клиенте домена правильно? 3) я слышал такую вещь что свой(взятый из примера) тестовый сервер и клиент kerberos, я должен где то в домене как то прописать, чтобы аутентификация проходила и тд. Если это так то как это сделать? Можно по шагам..

 , , , ,

kold2015
()

Получение на стороне сервера имя пользователя

Форум — Development

Здравствуйте. Грубо говоря есть клиент, есть сервер. Клиент на одном арме. Сервер на другом. Как то можно узнать на стороне сервера после подключения клиента, имя пользователя который подключился(тот пользователь который грубо говоря запустил клиентскую часть, которая соединилась с сервером). В случае если происходит авторизация по керберосу то там можно как то на стороне сервера узнать имя пользователя. А в общем случае такое можно сделать?

 

kold2015
()

freeipa+kerberos получение билета

Форум — General

Здравствуйте.Есть проблема получения билета kerberos администратора домена admin@MY.DOM через файл keytab.

Сначала я добавил ключ для admin в keytab c помощью ktutil выполнив

root@servfripa:~# ktutil
ktutil:  rkt /etc/krb5.keytab
ktutil:  addent -password -p admin@MY.DOM -k 1 -e aes256-cts
после этого ввел по запросу пароль затем я сохранил его в файле /etc/krb5.keytab
root@servfripa:~# ktutil 
ktutil:  rkt /etc/krb5.keytab 
ktutil:  l 
slot KVNO Principal 
---- ---- --------------------------------------------------------------------- 
  1    2             host/servfripa.my.dom@MY.DOM 
  2    1                             admin@MY.DOM
ktutil:  rkt /etc/krb5.keytab  
ktutil:  l -e 
slot KVNO Principal 
---- ---- --------------------------------------------------------------------- 
  1    2             host/servfripa.my.dom@MY.DOM (aes256-cts-hmac-sha1-96)  
  2    1                             admin@MY.DOM (aes256-cts-hmac-sha1-96)  
ktutil:
Проблема в следующем. что когда я делаю
 kinit -f admin@MY.DOM
и ввожу пароль вручную я получаю билет Но если я делаю
kinit -f admin@MY.DOM -k
то получаю ошибку kinit: Preauthentication failed while getting initial credentials не могу понять в чем делу так как когда заводил запись в keytab я ввел правильный пароль тк он очень простой для теста вот подробный вывод
root@servfripa:~# KRB5_TRACE="/dev/stdout" kinit -f admin@MY.DOM -k 
[2350] 1626851868.893962: Getting initial credentials for admin@MY.DOM 
[2350] 1626851868.903866: Looked up etypes in keytab: aes256-cts 
[2350] 1626851868.904208: Sending request (159 bytes) to MY.DOM 
[2350] 1626851868.904791: Initiating TCP connection to stream 192.168.0.20:88 
[2350] 1626851868.905166: Sending TCP request to stream 192.168.0.20:88 
[2350] 1626851868.911604: Received answer (284 bytes) from stream 192.168.0.20:88 
[2350] 1626851868.911656: Terminating TCP connection to stream 192.168.0.20:88 
[2350] 1626851868.911899: Response was from master KDC 
[2350] 1626851868.912014: Received error from KDC: -1765328359/Additional pre-authentication required 
[2350] 1626851868.912099: Processing preauth types: 16, 15, 14, 136, 19, 147, 2, 133 
[2350] 1626851868.912114: Selected etype info: etype aes256-cts, salt "ZuWWT&U'8N#Hh\F<", params "" 
[2350] 1626851868.912157: Received cookie: MIT 
[2350] 1626851868.912183: PKINIT client has no configured identity; giving up 
[2350] 1626851868.912255: Preauth module pkinit (147) (info) returned: 0/Success 
[2350] 1626851868.912298: PKINIT client has no configured identity; giving up 
[2350] 1626851868.912313: Preauth module pkinit (16) (real) returned: 22/Недопустимый аргумент 
[2350] 1626851868.912326: PKINIT client has no configured identity; giving up 
[2350] 1626851868.912334: Preauth module pkinit (14) (real) returned: 22/Недопустимый аргумент 
[2350] 1626851868.912347: PKINIT client has no configured identity; giving up 
[2350] 1626851868.912356: Preauth module pkinit (14) (real) returned: 22/Недопустимый аргумент 
[2350] 1626851868.912434: Retrieving admin@MY.DOM from FILE:/etc/krb5.keytab (vno 0, enctype aes256-cts) with result: 0/Succ
ess 
[2350] 1626851868.912489: AS key obtained for encrypted timestamp: aes256-cts/1735 
[2350] 1626851868.912588: Encrypted timestamp (for 1626851868.911708): plain 301AA011180F32303231303732313037313734385AA1050
2030DE95C, encrypted 61DB80C38CB72434C69FD73CD4CC642F16B20299A928E67E3FBD8DAEEC449304F08FE5CEF9AA5E3129A18E141B678192E341086
C5A722FEC 
[2350] 1626851868.912607: Preauth module encrypted_timestamp (2) (real) returned: 0/Success 
[2350] 1626851868.912614: Produced preauth for next request: 133, 2 
[2350] 1626851868.912632: Sending request (252 bytes) to MY.DOM 
[2350] 1626851868.912736: Initiating TCP connection to stream 192.168.0.20:88 
[2350] 1626851868.912926: Sending TCP request to stream 192.168.0.20:88 
[2350] 1626851868.922303: Received answer (284 bytes) from stream 192.168.0.20:88 
[2350] 1626851868.922353: Terminating TCP connection to stream 192.168.0.20:88 
[2350] 1626851868.922463: Response was from master KDC 
[2350] 1626851868.922635: Received error from KDC: -1765328360/Preauthentication failed 
[2350] 1626851868.922667: Preauth tryagain input types: 16, 14, 14, 136, 19, 147, 2, 133 
kinit: Preauthentication failed while getting initial credentials 
root@servfripa:~#
что может быть не так?

 ,

kold2015
()

Alt linux 8 сп + qt4

Форум — Development

Здравствуйте подскажите что может быть ставлю qt4 командой apt-get install gcc5 gcc5-c++ qt4-devel Проблема в том что когда делаю сборку qmake-qt4 make clean make Он ругается на отсутствие /usr/bin/x86_64-alt-linux-g++ В чем может быть проблема не знаю…

 ,

kold2015
()

Правила сопоставления auth_to_local в файле krb5.conf

Форум — General

Здравствуйте мне нужно настроить правила сопоставления имён пользователей так чтобы допустим user@EXAMPLE.DOM ассоциировался с t_user. Те грубо говоря нужно прибавить к имени пользователя в начало"t_". Сколько ни пытался не получилось так сделать. Получилось только сделать «_t» в конце пользователя (user_t). А мне нужно сделать в начале(t_user)? Вот строка которая добавляет в конец

auth_to_local = RULE:[1:1$@$0](.*@EXAMPLE.DOM)s/@.*/_t/

 

kold2015
()

использование kadmin без пароля админа

Форум — Admin

здравствуйте допустим добавляю принципала командой

kadmin add_principal -pw "12345678" user@MY.DOM
из под пользователя root который получил билет tgt администратора с помощью kinit. Но проблема в том что команда требует пароль администратора. Как то можно сделать чтобы команда не брала пароль администратора( или проходила аутентификацию по keytab файлу)?

 

kold2015
()

Работа с ldap в astra linux se1.6(ldap_sasl_bind_s)

Форум — Development

Здравствуйте. Пытаюсь написать прогу для взаимодейсвия с ldap в астре 1.6. Использую пакет libldap2-dev. При подключении к серверу ldap вызов функции ldap_initialize не вызывает проблем. Затем мне нужно пройти аутентификацию на сервере используя функцию ldap_sasl_bind_s. Вся проблема в том что я не знаю какие параметры туда нужно подавать(чтобы авторизация прошла). ldap в астре настроен на SASL+GSSAPI+KERBEROS+развернут домен ald.Пишу на с/с++. Может быть кто сталкивался с таким типом авторизации? что можно сделать?

 , , , ,

kold2015
()

Astra linix 1.6

Форум — Admin

Здравствуйте есть проблема подключения к ldap на ос astra linux 1.6. использую ldap admin tool для подключения к базе. Анонимное подключение проходит. А вот если пользователем администратором ald то пишет что подключится не может. Мне нужно подключиться админов чтобы я видел все структуру ldap. Кто нибудь знает как в Астрн подключится к. ldap из администратора домена ?

 

kold2015
()

настройка smbnetfs для доменных пользователей с аутентификацией kerberos

Форум — General

Astra linux 1.6.Есть сервер ALD и есть клиент ALD. На сервере с помощью fly-admin-samba сделана общая папка. Вопрос кто знает как настроить smbnetfs для пользователя домена который с клиента ALD должен подключить эту сетевую папку чтобы работать с ней. Причем нужно соблюсти дискредитационную политику безопасности. Допустим в sambe задали что папка доступна только пользователю samba «user1» , а пытаясь примонтировать допустим пользователем «user2» я получал бы ошибку.

команда sudo mount -t cifs ..... не подходит тк эта команда проигнорирует дискретку. Нужно монтировать именно из под пользввателя. ТК требуется организовать общий доступ к папкам в рамках епп

 , ,

kold2015
()

apache2 разграничение по пользователям

Форум — General

Здравствуйте.Есть домен ald на astra linux. На сервере ald есть веб сервер apache2 с аутентификацией через kerberos. также есть доменные пользователи допустим user1 и user2. На веб сервере развернуто несколько сайтов. Как можно ограничить доступ пользователей к сайту. Допустим мне нужно чтобы user1 входил только на «сайт1», но не имел доступа к «сайту2». Как можно сделать такое?

 ,

kold2015
()

Mount cifs with kerberos astra linux 1.6

Форум — General

Здравствуйте. Нужно сделать авторизацию по kerberos. Есть сервер контроллера домена и есть клиент этого контроллера. На сервере ald с помощью программы fly-admin-samba я создал ресурс(папку). Дал доступ на чтение/запись и дал гостевой доступ всем. Перестартовал самбу. Программой smbclient ресурс виден с сервера. Далее создал доменного пользователя domsecr. Далее вошёл этим пользователем в систему. И попытался примонтировать ресурс в каталог /dirmnt командой sudo mount -t cifs //192.168.0.14/test /dirmnt -o user= domsecr,cruid=2502, sec= krb5i,rw,uid=2502. Выполнив данную команду на сервере ald я успешно примонтировать директорию. Затем я разлогинился пользователем domsecr. Далее я вошёл уже на клиент контроллера домена. И попытался с клиента примонтировать шару которая находится на сервере . Командой что и выше. Но получил ошибку mount error 126 required key not available. В чем может быть проблема? 2502 uid пользователя domsecr

 , ,

kold2015
()

Astra linux 1.6 se домен

Форум — General

Здравствуйте. Настроил сервер контроллера домена в astra linux 1.6 se.Создал там несколько доменных пользователей и групп. Кто знает где хранятся имена пользователей/групп в домене?. Файлы /etc/shadow и /etc/group не содержат имения доменных пользователей/групп.

 ,

kold2015
()

Получение имени файла по дескриптору файла

Форум — Development

Здравствуйте. Как то можно получить полное имя файла по файловому дескриптору файла в ядре при перехвате системных вызовов где передается дескриптор файла(read,write,....)?

 ,

kold2015
()

Перехват системных вызовов

Форум — Development

Здравствуйте. Мне нужно написать программу которая перехватывает системные вызовы open,read,write,close. Смысл в том чтобы перехватывать эти системные вызовы и писать в файл логов например фразу: «Системный вызов open для файла test выполнен программой mc 28.04.19 в 21:00»(Фраза взята к примеру) Разумеется в начале нужно следить за всеми файлами в операционной системе, но в дальнейшем будет список файлов за которыми нужно будет следить(писать в лог если есть данный файл в списке). Ядро 4.15.3. Само ядро пересобирать нельзя. Вот собственно в сторону чего копать?

 ,

kold2015
()

удалить все символы после второго пробела

Форум — Development

Здравствуйте есть строка в скрипте на баше

deinstall ok configure-files

требуется из данной строки удалить все символы после второго пробела те чтобы стало

deinstall ok

как это сделать?

 

kold2015
()

получения типа диска вставленного в cd/dvd привод

Форум — Development

Возможно ли как-то в линукс дебиан получить тип диска(CD-R,CD-RW, DVD-R, DVD-RW, DVD+RW,....) вставленного в привод? ps Диск может быть пустой или с записанными сессиями.

 ,

kold2015
()

получить модель и серийный номер монитора

Форум — Development

Здравствуйте требуется получить модель и серийный номер монитора. Я знаю что информация о мониторе есть в /var/log/Xorg.0.log. Но не всегда приходит модель и серийник монитора. Я хотел бы узнать какая программа пишет /var/log/Xorg.0.log название и серийник монитора? Возможно как-то не из Xorg.0.log получить данные.

ps пакета read-edid в системе нет

 ,

kold2015
()

получить полный путь файла cups

Форум — Development

Здравствуйте требуется перехватить(либо получить после отработки задания) полное имя файла которое было отправлено(отпечатано) на печать. Cups почему-то в файле лога печати /var/spool/cups пишет только само имя файла в секции job-name, а полный путь не пишет.

 

kold2015
()

cups полное имя отпечатанного файла

Форум — General

Здравствуйте. Как-то можно получить полный путь отпечатанного файла? В /var/spool/cups в файлах выполненных заданий c* в директиве job-name имеется только относительный путь к файлу(само имя).

 

kold2015
()

Печать cups astra linux

Форум — General

Здравствуйте. Может кто сталкивался с печатью в astra linux 1.5. Реализована с помощью cups + printcontrol-web. секретные задания при отправлении на печать приостанавливаются и требуется промаркировать документ. Затем после маркировки документ уже идет на печать, а после формируется файл логов в xml формате. А с несекретным документом получается что он сразу идет на печать(без маркировки), но файл логов не появляется. Может быть кто знает как это исправить?

 

kold2015
()

RSS подписка на новые темы