Kerberos (forum)

Bună ziua, primesc în jetonul criptat httper-răspuns kerberos. trebuie să obțineți anumite informații pentru serverul web din serverul ldap (în cazul meu, directorul activ). Mai mult, de exemplu, LDAP-serverul a trimis autoritatea clientului să trimită acest simbol, ce ar trebui să fac? Nu te scuipi în asta, spune-mi cel puțin unde să încep. Înțeleg că este necesar juzat GSSAPI, pentru a decripta cel puțin un token. Limba utilizată c ++ sau si, platforma linux x86_64

există un simplu script index.php în testare directorul / autorizare / do GET-solicitare din browser pentru a /auth/index.php și nu a returnat un HTTP 401 Unautorized (astfel încât clientul a mers pentru a lua un mandat din directorul activ), iar codul de dreapta 200 .

dacă în loc de apache de a utiliza un mic servachok 401 care returnează toate get-cererile primite că toate lucrările (luat pentru a trimite autorizarea http-răspuns: negocieze și Kerberos codificate de bilete), dar pentru apache nu reușește.

apt install krb5-mod instalat.

toate modulele încărcate:

Doresc să vă rog să nu mergeți la Google. Am deja pentru toate cererile posibile pentru 10 pagini, toate link-urile sunt violete. Toate acestea nu sunt corecte sau nu sunt exacte și vor funcționa numai în cazuri individuale. Etc. Nu este necesar.

Aproape că am trecut această căutare. Plug-in-ul este, în general, în definirea șirurilor de conectare la LDAP pentru a verifica grupul de conformitate al utilizatorului.

În timp ce scriu totul în interiorul Locației sau Directorului - totul este bine. Dar puteți descrie doar un domeniu. Când iau descrierile în

Și dacă scrie AuthBasicProvider blah-blah-blah, atunci apache-ul nu începe. Ie verifică corectitudinea, dar nu intră în bloc în timpul funcționării.

În Google se menționează că acesta este un bug de refactorizare "ingenios" 2.2 -> 2.4. Ce fel de fixare. Apache actualizat de la un depozit terț până la 2.4.25 - fără efect. Încă scrie că nu funcționează în interiorul VirtualHost, dar nu o testez.

Poate cineva a trecut această căutare până la sfârșit și va împărți configurația?

Deoarece nu am încercat, din cauza unei cunoașteri apropiate cu aceste subamplași, nu pot scăpa. În acest sens, m-am săturat de tehno-șamanism. Internetul este plin de înregistrări în casetele din seria "scrieți acești parametri și veți fi fericiți". Nu o va face.

Căutați reguli normale sau chiar cărți care descriu ce este cu ce. Nu sunt colecții de rețete și nu dați bani de marketing "cu aceste prostii pe care le puteți îmbunătăți, extinde și corupe", și anume descrierea modului în care este aranjată, de ce și cum ar trebui să funcționeze. Și acolo puteți vedea deja exemple de configuri și comenzi.

Având în vedere complexitatea potențială a materialului, aș dori să în limba rusă. ) Dar, de asemenea, englezii vor coborî (dacă este scris pe caz).

Doar m-am săturat de ideea de a intra în echipe obscure în calcularea unui rezultat.

$ heimdal-klist
Cache-ul de acreditare: FILE: / tmp / krb5cc_0
Principal: [email protected]

Dar nu îmi pot configura datele de conectare. De asemenea, "su" nu este elaborat, pe care apoi am decis să testez totul. Mai jos este config:
pisica /etc/pam.d/smartcard-auth
#% PAM-1.0
# Acest fișier este generat automat.
# Schimbările utilizatorilor vor fi șterse data viitoare când se execută authconfig.
auth opțional pam_krb5.so use_first_pass no_subsequent_prompt preauth_options = X509_user_identity = PKCS11: /usr/lib64/librtpkcs11ecp.so
auth a solicitat pam_env.so
auth [succes = ok ignore = 2 implicit = mor] pam_pkcs11.so wait_for_card card_only
auth suficient pam_permit.so
auth a solicitat pam_deny.so

cont necesar pam_unix.so broken_shadow
contul suficient de pam_localuser.so
contul suficient pam_succeed_if.so uid <500 quiet
account [implicit = rău succes = ok auth_err = ignorare user_unknown = ignore ignore = ignore] pam_krb5.so
contul necesar pam_permit.so

parola necesară pam_pkcs11.so

sesiune opțională pam_keyinit.so revocare
sesiunea necesară pam_limits.so
sesiune [success = 1 default = ignore] serviciul pam_succeed_if.so în crond quiet_useid
sesiunea necesară pam_unix.so
sesiune opțională pam_krb5.so

pisica /etc/pam.d/su
#% PAM-1.0
auth opțional pam_krb5.so use_first_pass no_subsequent_prompt preauth_options = X509_user_identity = PKCS11: /usr/lib64/librtpkcs11ecp.so
auth suficient pam_rootok.so
# Deconectați următoarea linie pentru a implica implicit utilizatorii din grupul "roată".
#auth suficient pam_wheel.so încredere use_uid
# Deconectați următoarea linie pentru a solicita unui utilizator să fie în grupul "roată".
#auth a solicitat pam_wheel.so use_uid
auth include sistem-auth
contul suficient de pam_succeed_if.so uid = 0 use_uid silențios
contul include sistem-auth
parola include sistem-auth
sesiunea include sistem-auth
sesiune opțională pam_xauth.so

Scopul este de a adăuga utilizatori la trei sau patru grupuri speciale la nivel de domeniu și pe această bază vor sau nu vor avea acces la Internet.

Metoda este un proxy transparent (squid), negotiate_wrapper_auth, ldap_utils.

Nici măcar nu știu exact ce înseamnă Google, ajutor, cine poate, vă rog.

auth_param negocieze programul / usr / lib / squid3 / negotiate_wrapper_auth -d --ntlm / usr / lib / squid3 / ntlm_smb_lm_auth -d -B MYDOMAIN.RU \ pdc --kerberos / usr / lib / squid3 / negotiate_kerberos_auth -d -s HTTP / gateway.MYDOMAIN.RU
auth_param negociază copii 10
auth_param negociați keep_alive pe

auth_param program ntlm / usr / lib / squid3 / ntlm_smb_lm_auth -d -b MYDOMAIN.RU \ pdc
auth_param ntlm copii 10
auth_param ntlm keep_alive pe

####### oferă acces prin ldap pentru clienții care nu au fost autentificați prin kerberos
auth_param program de bază / usr / lib / squid3 / basic_ldap_auth -R \
-b "dc = MYDOMAIN, dc = en" \
-D [email protected] \
-w «PASSWORD» \
-f sAMAccountName =% s \
-h pdc.MYDOMAIN.RU
auth_param copii de bază 10
auth_param domeniul de bază Internet proxy
auth_param credentialsttl de bază 1 minut
####### Licențe ldap

# acces restricționat proxy înregistrat
external_acl_type internet_users% LOGIN / usr / lib / squid3 / ext_ldap_group_acl -R -K \
-b "dc = MYDOMAIN, dc = en" \
-D [email protected] \
-w «PASSWORD» \
-f "((objectclass = persoană) (sAMAccountName =% v) (memberof = cn = utilizatorii de Internet, ou = Grupuri de domeniu, DC = MYDOMAIN, dc = ru))" \
-h pdc.MYDOMAIN.RU
# acces proxy complet fără înregistrare
external_acl_type internet_users_full_nolog% LOGIN / usr / lib / squid3 / ext_ldap_group_acl -R -K \
-b "dc = MYDOMAIN, dc = en" \
-D [email protected] \
-w «PASSWORD» \
-f "((objectclass = persoană) (sAMAccountName =% v) (memberof = cn = utilizatorii de Internet Full NoLog, ou = Grupuri de domeniu, DC = MYDOMAIN, dc = ru))" \
-h pdc.MYDOMAIN.RU
# acces proxy complet înregistrat
external_acl_type internet_users_full_log% LOGIN / usr / lib / squid3 / ext_ldap_group_acl -R -K \
-b "dc = MYDOMAIN, dc = en" \
-D [email protected] \
-w «PASSWORD» \
-f "((objectclass = persoană) (sAMAccountName =% v) (memberof = cn = utilizatorii de Internet completa Jurnal, ou = Grupuri de domeniu, DC = MYDOMAIN, dc = ru))" \
-h pdc.MYDOMAIN.RU

Există următoarea problemă: în bilele de rețea drepturile asupra grupului nu funcționează. De exemplu, voi face scanarea mingii: # ls -la / data / scan / | grep test1

Încerc să merg de la Windows la această minge: \\ fileskladtest \ scan \ test1. Utilizator aparținând grupului de utilizatori: Windows nu poate accesa \\ fileskladtest \ scan \ test1 Permisiunea de a accesa \\ fileskladtest \ scan \ test1 lipsește.

Același lucru se face prin consola:

Deși parola este corectă. În doar scanarea, utilizatorul are drepturi asupra grupului:

Dacă schimbați proprietarul test1 la tu3 sau da 771 la test1, atunci test1 pornește.

Configurați configurația mea:

testparm -s /etc/samba/smb.conf nu generează erori.

Ca totul ar trebui să fie ok, singura nuanță care nu poate fi învinsă: wbinfo -u arată o ieșire goală. Cu toate acestea, wbinfo -g prezintă o listă a tuturor grupurilor. Nu știu dacă are legătură cu problema.

Ajutați-l să vadă imaginea de ansamblu. LDAP fără un domeniu.

Câteva zile alegerii, în capul meu o mulțime de concepte, și se aliniază în imaginea de ansamblu. Fără aceasta, căutarea de manuale diferite nu funcționează.

Acest LDAP este un serviciu de directoare care stochează date despre logare și parole (într-un caz particular, în general, orice date pot fi stocate). Serviciul de directoare oferă date tuturor celor care aplică și confirmă autenticitatea acestora. Autenticitatea poate fi confirmată prin kerberos (încă opțiuni?) - protocolul autentificării reciproce. Kerberos este configurat pe un controler de domeniu (poate fi configurat fără un domeniu?), Și fiecare gazdă care intră în domeniu primește un bilet de la kerberos. Acesta este modul în care se confirmă autenticitatea fiecărei gazde din domeniu.

Dacă imaginea mea este corectă, atunci cum pot rezolva mai bine această problemă:

3. Domeniul în sine nu este necesar, computerele din interiorul lokalki sunt în spatele gateway-ului. Ldap este necesar.

4. De ce vreau fără un domeniu. Am ridicat domeniul pe Samba 4, dar apoi kerberos a căzut, calculatoarele nu sunt disponibile, și pluses de LDAP nu a văzut niciodată. smbldap-tools instalat, dar nu a dat seama dacă mă îndreptam în direcția corectă, sau dacă acest lucru a fost necesar pentru a rezolva problema.

5. Dacă imaginea mea nu este corectă, ca în domeniul de pe Samba 4 configurați ldap - kick în direcția căutării unor etichete ...

Neponyatki a început atunci când încerca să vă conectați de la computerele client - când încercați să vă conectați, nu se întâmplă nimic.

Verificat acest lucru: kinit -V -k -t /etc/ejabberd/ejabberd.keytab xmpp/[email protected]

klist -ek /etc/ejabberd/ejabberd.keytab arată:

Doar pe baza conturilor de domeniu sunt conectate.

Pe controlerul de domeniu. setspn -Q xmpp / jabra.med.local

Ce fac greșit?

În ce mod este mai bine să facem?

Spuneți-mi, vă rog, în ce direcție doriți să vă mișcați sau ce trebuie să fac pentru a funcționa.

Autentificarea este configurată pe MS Exchange: 250-AUTH GSSAPI NTLM

Mi sa dat login și parolă la Exchange. Trebuie să vă autentificați cu ele la adresa mail.example.com:587

Eu folosesc Cyrus SASL. Configurația Postfix (mail.test.ru):

Autentificare și parolă înregistrate:

Configurez redirecționarea mesajelor destinate, de exemplu, pe un server SMTP cu MS Exchange:

Configurați acum gssapi: Asigurați-vă că este instalat:

Încerc să trimit o scrisoare de la serverul Postfix la un e-mail existent din domeniul example.com:

Scrisoarea era în linie:

În buștenii de maillog:

Cum pot configura autentificarea Postfix pe Kerberos în Exchange? Confused strkoa:

Nu este foarte clar cum să înființezi. Și există puține exemple gata făcute cu GSSAPI pe Internet.

Articole similare