Kerberos (fórum)
hello, kapok a http-válasz, Kerberos titkosított token. Meg kell ezt a tokent szerezni bizonyos információkat a web szerver a ldap-server (az én esetemben, az aktív könyvtár). tovább, például ldap-server küld a kliens hatóság küldte ezt token, mit kell tenni? Nem turkálni benne, legalább mondd meg, hogy hol kezdjem. Megértem, hogy szükség van juzat GSSAPI, megfejteni a token legalább. Az itt használt nyelv C ++ vagy B, linux x86_64 platformra
van egy egyszerű index.php script a / auth teszt / nem kap-kérést a böngésző /auth/index.php és nem tért vissza HTTP 401 Unautorized (úgy, hogy az ügyfél elment, hogy megbízást az aktív könyvtár), és a megfelelő kód: 200 .
ha ahelyett, apache, hogy egy kis servachok 401 amely visszaadja az összes bejövő get-kéri, hogy minden működik (van, hogy küldjön http válasz engedélyezése: Tárgyalás és Kerberos-kódolt jegy), de az apache nem sikerül.
apt install krb5-mod telepítve.
az összes feltöltött modulok:
Csak Dobrohod ne rohanjon a Google. Én már az összes lehetséges kérelmet 10 oldal összes link lila. Ezek rendben vannak-e vagy sem, vagy nem pontos, és csak akkor működik, bizonyos esetekben. Stb Nem szükséges.
Majdnem telt el ez a küldetés. Dugulás általános meghatározásához connection stringet az ldap, hogy ellenőrizze a felhasználói csoport megfelelőség.
Ahogy írom minden benne hely vagy Directory - minden rendben van. De ez lehet leírni csak egy domaint. Amikor állok a leírás
Sőt, ha az írási AuthBasicProvider bla-bla-bla, az Apache nem indul el. Ie érvényesíti, de a belsejében a készüléket működés közben nem megy.
A google megemlíti, hogy ez egy hiba „zseni” újratervezés 2.2 -> 2.4. Ami fix egyfajta. Frissítve apache egy harmadik fél adattár 2.4.25 - nincs hatása. Több levelet, hogy nem működik benne a VirtualHostnak, de nem vagyok benne vizsgálni.
Lehet, hogy valaki átadta vége előtt a küldetés és megosztás config?
Mivel én nem próbálja meg, úgy tűnik, egy közeli ismerős ezekkel subchikami nem tudok menekülni. Ezzel kapcsolatban - fúrt tehnoshamanizm. Internet tele van bejegyzéseket blozhikah egy sor „mount ezt így ezeket a paramétereket, és akkor boldog lesz.” Ne legyen.
Keresés a menedzsment, vagy akár könyvet, hogy írják le, mi az, ami. Nem felel meg retseptik nem marketologichesky baromság „hogy ez a szar lesz képes javítani, bővíteni és mélyíteni”, nevezetesen egy leírást arról, hogyan van elrendezve, hogy miért és hogyan kell dolgozni. És van már lehetséges példákat konfigurációs fájlok és parancsok.
Mivel a lehetséges anyag összetettsége miatt, kívánatos lenne az orosz. ) De jöjjön le, és angol (ha az ügy lesz írva).
Csak beteg már bejutását parancsokat homályos elképzelések számítások bármilyen eredményt.
$ Heimdal-klist
Bizonyítványok cache: file: / tmp / krb5cc_0
Megbízó: [email protected]
De szabni a bejelentkezés sikertelen. Ez nem felel meg is «su», amit aztán úgy döntött, hogy teszteljék az egészet. Alul vezetett konfigurációk:
macska /etc/pam.d/smartcard-auth
#% PAM-1.0
# Ez a fájl automatikusan generált.
# Felhasználó változások fogják semmisíteni a következő alkalommal authconfig fut.
Auth opcionális pam_krb5.so use_first_pass no_subsequent_prompt preauth_options = X509_user_identity = PKCS11: /usr/lib64/librtpkcs11ecp.so
auth required pam_env.so
auth [siker = ok ignore = 2 default = die] pam_pkcs11.so wait_for_card card_only
auth elegendő pam_permit.so
auth required pam_deny.so
fiók szükséges pam_unix.so broken_shadow
véve elegendő pam_localuser.so
véve elegendő pam_succeed_if.so uid <500 quiet
fiók [default = rossz sikert = ok auth_err = ignore user_unknown = ignore ignore = ignore] pam_krb5.so
fiók szükséges pam_permit.so
jelszó szükséges pam_pkcs11.so
ülés választható pam_keyinit.so színvétést
munkamenet szükséges pam_limits.so
munkamenet [siker = 1 default = ignore] pam_succeed_if.so szolgáltatás crond csendes use_uid
munkamenet szükséges pam_unix.so
ülés választható pam_krb5.so
macska /etc/pam.d/su fájlt
#% PAM-1.0
Auth opcionális pam_krb5.so use_first_pass no_subsequent_prompt preauth_options = X509_user_identity = PKCS11: /usr/lib64/librtpkcs11ecp.so
auth elegendő pam_rootok.so
# Megjegyzésből a következő sort hallgatólagosan bizalmat a felhasználók a «kerék»-csoport.
#auth elegendő pam_wheel.so bizalom use_uid
# Megjegyzésből a következő sort igényel, hogy egy felhasználó a «kerék»-csoport.
#auth szükséges pam_wheel.so use_uid
Auth közé rendszer-auth
véve elegendő pam_succeed_if.so UID = 0 use_uid csendes
számla tartalmazza a rendszer-auth
jelszó közé system-auth
ülésszak rendszer-auth
ülés választható pam_xauth.so
A cél -, hogy a domain szintű felhasználók számára, hogy három vagy négy speciális csoportok, és az alapján, hogy lesz vagy nem férnek hozzá az internethez.
Módszer - egy átlátszó proxy (SQUID), negotiate_wrapper_auth, ldap_utils.
Nem is tudom, mi ez a google, segítség, amit csak lehet kérem.
auth_param tárgyalni program / usr / lib / squid3 / negotiate_wrapper_auth -d --ntlm / usr / lib / squid3 / ntlm_smb_lm_auth -d -b MYDOMAIN.RU \ PDC --kerberos / usr / lib / squid3 / negotiate_kerberos_auth -d -s HTTP / gateway.MYDOMAIN.RU
auth_param tárgyalni a gyermekek 10
auth_param tárgyalni keep_alive on
auth_param ntlm program / usr / lib / squid3 / ntlm_smb_lm_auth -d -b MYDOMAIN.RU \ pdc
auth_param ntlm gyermekek 10
auth_param ntlm keep_alive on
####### hozzáférést biztosít LDAP-on keresztül az ügyfelek számára nem hitelesített keresztül Kerberos
auth_param program alapvető / usr / lib / squid3 / basic_ldap_auth -R \
-b «dc = mydomain, dc = ru» \
-D [email protected] \
-w «jelszó» \
-f sAMAccountName =% s \
-h pdc.MYDOMAIN.RU
auth_param alap a gyermekek 10
auth_param alap birodalom Internetproxy
auth_param alap credentialsttl 1 perc
####### ldap engedélyek
# Korlátozott hozzáférés proxy bejelentkezve
external_acl_type internet_users% LOGIN / usr / lib / squid3 / ext_ldap_group_acl -R -K \
-b «dc = mydomain, dc = ru» \
-D [email protected] \
-w «jelszó» \
-f "((objectclass = fő) (sAMAccountName =% v) (MemberOf = cn = Internet felhasználók, ou = Domain Groups, dc = mydomain, dc = ru))" \
-h pdc.MYDOMAIN.RU
# Teljes proxy hozzáférés nincs naplózás
external_acl_type internet_users_full_nolog% LOGIN / usr / lib / squid3 / ext_ldap_group_acl -R -K \
-b «dc = mydomain, dc = ru» \
-D [email protected] \
-w «jelszó» \
-f "((objectclass = fő) (sAMAccountName =% v) (MemberOf = cn = Internet felhasználók Teljes NoLog, ou = Domain Groups, dc = mydomain, dc = ru))" \
-h pdc.MYDOMAIN.RU
# Teljes proxy hozzáférés bejelentkezve
external_acl_type internet_users_full_log% LOGIN / usr / lib / squid3 / ext_ldap_group_acl -R -K \
-b «dc = mydomain, dc = ru» \
-D [email protected] \
-w «jelszó» \
-f "((objectclass = fő) (sAMAccountName =% v) (MemberOf = cn = Internet felhasználók Teljes Napló, ou = Domain Groups, dc = mydomain, dc = ru))" \
-h pdc.MYDOMAIN.RU
Jelenleg a következő probléma: a hálózat golyók jogi csoport nem működik. Például, hogy a labda scan: # ls -la / data / szkennelés / | grep test1
Igyekszem, hogy menjen a Windows a labdát: \\ fileskladtest \ leolvasó \ test1. A felhasználó által a csoporthoz tartozó felhasználók számára: A Windows nem fér \\ fileskladtest \ leolvasó \ test1 jogosultsága hozzáférni \\ fileskladtest \ leolvasó \ test1 hiányzik.
Ugyanez a konzolba:
Bár a jelszó helyes. Mindössze \ leolvasó segítségével a felhasználó a jogot, hogy a csoport:
Ha megváltoztatja a tulajdonos test1 TU3 vagy jogokat biztosítanak Test1 777, majd hagyja test1 könyvtár.
Konfigurációk én konfiguráció:
testparm -s /etc/samba/smb.conf hiba elárulja.
Mint, minden rendben legyen, az egyetlen részlet, amely nem lehet legyőzni: wbinfo -u mutat üres kimenet. Azonban wbinfo -g felsorolja az összes csoportot. Nem tudom, ha van valami köze a problémát.
Segíts, hogy a nagy kép. LDAP nélkül domént.
Néhány nappal dugta a fejemben egy csomó fogalmak, és ők építették be az összképet. Enélkül túl sok különböző manuális nem működik.
Mi LDAP - címtár szolgáltatás, amely tárolja az adatokat a felhasználónév és jelszó (az adott esetben, de általában lehet tárolni bármilyen adat). A címtár-szolgáltatási információt nyújt mindazoknak, akik vonzó, és megerősítette a hitelességét. A hitelességének ellenőrzését a Kerberos (más lehetőségek ??) - A kölcsönös hitelesítési protokoll. Kerberos úgy van kialakítva, a tartományvezérlő (akár nélkül beállítható a domain?), És minden fogadó, hogy egy domain, kap egy jegyet a Kerberos. Ez tehát megerősítette a hitelességét az egyes fogadó a tartományban.
Ha a kép helyes, hogyan lehet a legjobban megoldani ezt a problémát:
3. A domén önmagában nincs szükség, a készülék belsejében lokalki, amelyek mögött az átjárót. Kell ldap.
4. Miért akarom nélkül a domain. Felemeltem domain Samba 4, de aztán leesett a Kerberos, a számítógépek nem állnak rendelkezésre, és a profik LDAP'a sohasem láttak. smbldap-tools telepítve, de nem értjük, a helyes irányba, ha elmegyek, legyen az, amire szüksége van, hogy megoldja a problémát.
5. Ha a kép nem igaz, hiszen a domain egy Samba 4 az LDAP - rúgás a keresés irányának egyes címkék ...
Neponyatki kezdődött, amikor megpróbál bejelentkezni a kliens számítógépek - nem történik semmi, ha popytne bejelentkezést.
Ellenőrizzék, hogy: kinit -V -k -t /etc/ejabberd/ejabberd.keytab xmpp/[email protected]
klist -ek /etc/ejabberd/ejabberd.keytab mutatja:
Egyszerűen kinitu tartomány uchetki csatlakoztatva.
A tartományvezérlő. setspn Q XMPP / jabra.med.local
Mit csinálok rosszul?
Hogyan lehet jobban csinálni?
Mondd, kérlek, merre kell menni, vagy mit kell tennem, hogy keresni.
A MS Exchange hitelesítési van konfigurálva: 250-AUTH GSSAPI NTLM
Kaptam egy bejelentkezési név és jelszó, seb az Exchange. Meg kell hitelesíteni mail.example.com:587
Én a Cyrus SASL. Konfiguráció Postfix (mail.test.ru):
Felhasználónév és jelszó elszámolása:
Testre szabható átirányítását mail szánt example.ru, az SMTP szerver MS Exchange:
Most konfigurálja gssapi „: győződjön meg arról, hogy telepítve van:
Próbálom, hogy küldjön egy levelet a Postfix kiszolgáló egy meglévő e-mail domain example.ru:
A levél a helyére került:
A naplók maillog:
Hogyan megfelelően állítsa be a hitelesítési Kerberos Postfix a csere? Strkoa zavaros:
Ez nem világos, hogyan kell beállítani. És kész a GSSAPI néhány példát az interneten.