Здравствуйте. Я бы хотел , чтобы на машине введенной в домен было настроено автологирование под определенным пользователем, при этом он получал kerberos тикет. Проблема в том, что все способы которые я нашел в интернете делают автологирование возможным, но тикет не получатеся (предполагаю потому что ни в одном из них не подразумевается ввод пароля).

решения я нашел 2:

1. генерирую кейтаб и при входе в .bashrc делаю kinit -kt *путь до кейтаб файла* В этом способе мне не нравится, что кейтаб файл можно скопировать и пользоваться тикетом уже на другом компьютере. Мне бы хотелось этого избежать
2. Скрипт который при входе тоже сделает kinit в зашифрованном виде, чтобы не палить пароль. Тут проблема в общем то та же.

Можно на контроллере домена определить пул компьютеров , с которых можно заходить доменному пользователю, но похоже это срабатывает только в интерактивном режиме. Т.е если я пытаюсь зайти через ввод логина пароля меня не пускает, однако при автологировании пускает и применяя тикет через kinit он тоже прекрасно получается.

Как мне сделать правильно , чтобы было автологирование при этом нельзя было утащить возможность под этим пользователем заходить на другом компьютере без админских прав?

Здравствуйте. не могу разобраться. есть Samba DC и есть squid. настраиваю прозрачную авторизацию. сделал keytab, закачал его на сервер где squid , все остальные настройки по мануалам сделал, но кода захожу на сайты получаю вот такое в cache.log

2024/04/21 21:41:58 kid1| ERROR: Negotiate Authentication validating user. Result: {result=BH, notes={message: gss_accept_sec_context() failed: Unspecified GSS failure.  Minor code may provide more information. Request ticket server HTTP/srv-proxy.mydomain.com@MYDOMAIN.COM kvno 2 enctype aes256-cts found in keytab but cannot decrypt ticket; }}

и что с этим делать? ну в keytab файле есть aes-256 тип шифрования. почему squid его не может расшифровать? или в чем дело. в гугле в основном по Active directory ответы и говорят поставить галки у пользвоателя чтобы поддерживался aes-256. это я на всякий случай сделал (хотя неуверен эти галки с самбой вообще работают ли) но не помогло.

используя net ads enctypes list получаю

'myuser' uses "msDS-SupportedEncryptionTypes": 28 (0x0000001c)
[ ] 0x00000001 DES-CBC-CRC
[ ] 0x00000002 DES-CBC-MD5
[X] 0x00000004 RC4-HMAC
[X] 0x00000008 AES128-CTS-HMAC-SHA1-96
[X] 0x00000010 AES256-CTS-HMAC-SHA1-96
[ ] 0x00000020 AES256-CTS-HMAC-SHA1-96-SK
[ ] 0x00080000 RESOURCE-SID-COMPRESSION-DISABLED

тоже самое собствено и в keytab файле. что я делаю не так?

Развернул на Samba новый домен, но в логах /var/log/samba/log.samba с периодичностью примерно 10 минут сыпет такими ошибками

[2024/04/15 09:17:15.756088,  0] ../../source4/libcli/dgram/browse.c:106(dgram_mailslot_browse_parse)
  Failed to parse browse packet of length 32: NT_STATUS_BUFFER_TOO_SMALL

в общем то каких-то проблем я пока не вижу, но меня это напрягает. что это значит? из гугла я нашел только такое решение: в smb.conf добавить

 socket options = SO_RCVBUF=65535 SO_SNDBUF=65535

Но это не помогло

также после блока ошибок описанных появляется такое

[2024/04/15 09:30:16.246029,  0] ../../source4/dsdb/dns/dns_update.c:85(dnsupdate_nameupdate_done)
  dnsupdate_nameupdate_done: Failed DNS update with exit code 110

насчет этого бы тоже хотелось понять к чему это, что там за обновления DNS пытаются произойти и почему

Ситуация такая. есть сервер на котором поднят bacula-sd все в общем то работает, но я хочу чтобы бекапы от каждого job делались в разные каталоги. т.к с одним storage сопоставлен только один device у меня ничего не получается. указать в bacula-sd.conf несколько секций storage {} я не могу т.к после этого не стартет служба bacula-sd. хотелось бы узнать возможно ли сделать то, что я хочу средствами bacula или там все только autochanger или же все бекапы в одной куче должны лежать? структуирование бекапов тогда получается никакое.

Скажите пожалуйста как в jabber клиентах искать пользователей по Active directory LDAP атрибутам в частности интересует по имени/фамилии сервер ejabberd клиенты pidgin/gajim (если предложите что то более интересное буду рад) поиск по логину работает но хотелось бы еще и по фамилии имени чтоб народ мог найти нужного человека. подскажите кто знает

p.s вы можете сказать что jabber мертв и мне нужен matrix , но все-таки хотелось бы решение для jabber

Перемещено hobbit из general

Здравствуйте. настроил сквид на авторизацию через керберос (домен samba). все работает. пытаюсь ограничить группу пользователей от интернета создаю acl

external_acl_type adgroup ttl=3600 %LOGIN %ACL /usr/libexec/squid/ext_kerberos_ldap_group_acl
acl no_internet external adgroup

добавляю deny_info и http_access deny

deny_info ERR_ACCESS_DENIED no_internet
http_access deny no_internet

Захожу под пользовалетем из группы *no internet* и ожидаю что мне выдастся ошибка ERR_ACCESS_DENIED, но вместо этого выдается окно с просьбой логина и пароля

при этом если я например сделаю правило с ограничением доступа к сайту, то deny_info отрабатывает корректно. я хочу чтобы мне выдалась именно ошибка, а не окно с вводом логина пароля. что я делаю не так?

Здравствуйте. Установил SAMBA AD DC. настроил вроде все работает но не работают Startup Script Policies . делаю все по samba wiki

samba 4.16.4. calculate linux

1. создаю групповую политику (через rsat) ((пробовал и через консоль, результат был тот же))

2. samba-tool gpo manage scripts startup add {32147013-5DD6-4BFA-BAF5-D25B0F05A0C9} /usr/local/scripts/add_proxy.sh

проверяю через

samba-tool gpo manage scripts startup list {32147013-5DD6-4BFA-BAF5-D25B0F05A0C9} –user=Administrator

получаю следующее:

ERROR(<class ‘AttributeError’>): uncaught exception - ‘NoneType’ object has no attribute ‘text’ File «/usr/lib/python3.10/site-packages/samba/netcmd/init.py», line 186, in _run return self.run(*args, **kwargs) File «/usr/lib/python3.10/site-packages/samba/netcmd/gpo.py», line 3126, in run parameters.text))

проверяю на клиенте через samba-gpupdate –rsop и там во всех политиках которые я создал параметры показаны, но там где vgp_startup_scripts_ext - пустота..

подскажите кто нибудь сталкивался? как победить?

Существует ли какой-то сервис для удобного поиска российского по чтобы можно было вбить там например cubase и тебе предложило список российских аналогов? или же как проще всего искать в «Единый реестр российских программ для электронных вычислительных машин и баз данных» входишь и пишешь там категорию нужного ПО и листаешь?

Поставил программу, поставил на нее crack но при ее запуске через wine ничего не приосходит в терминале выдает

( читать дальше... )

из чего я делаю вывод что оно крашится из за того что не может подключиться к несуществующему адресу. вопрос можно ли как то обойти это исключение ? или как то подменить этот адрес чтобы оно думало как будто он есть? и вообще в ту ли сторону я копаю? на винде все работает нормально.

Поставлена задача неизвестно когда мигрировать с винды на astra linux в организации. На данный момент абсолютно все машины на ОС windows разных версий ну и windows server в качестве контроллера домена. Вопрос такой: насколько я понял вводить то в виндовый домен клиенты на astra linux можно но будут ли работать всякие групповые политики? SSO ? если нет то как быть? ALD (Astra linux directory) поднимать и на нем настраивать все? возможно ли будет туда экспортировать пользователей из active directory? И еще у нас внутренний сайт на sharepoint которым активно пользуются. можно ли будет сделать SSO в связке с ним?

пытаюсь запустить винду через kvm, но там почему то нет датчиков, не определяются ни одной программой. что мне доставить надо? гостевые дополнения я поставил, может еще что-то или это в принципе нереализуемо? и да в виртуалбоксе тоже самое.. дистр xubuntu 14.10 ядро 3.16