abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

dnes 00:11 | Bezpečnostní upozornění

Vývojáři linuxové distribuce Mageia na svém blogu upozorňují na narušení bezpečnosti Mageia Identity. Narušitel získal přístup k LDAP databázi a zveřejnil jména uživatelů, jejich emailové adresy a haše hesel. Hesla uživatelů byla resetována.

Ladislav Hagara | Komentářů: 0
včera 21:55 | Nová verze

Byla vydána verze 2.0.0 nástroje pro záznam a sdílení terminálových sezení asciinema (GitHub). Z novinek je nutno upozornit na nový zpětně nekompatibilní formát záznamu asciicast v2. S novým formátem si poradí nové verze asciinema-playeru a asciinema-serveru [Hacker News].

Ladislav Hagara | Komentářů: 0
včera 05:55 | Zajímavý projekt

Dle příspěvku na blogu zaměstnanců CZ.NIC byl spuštěn ostrý provoz služby Honeypot as a Service (HaaS). Zapojit se může kdokoli. Stačí se zaregistrovat a nainstalovat HaaS proxy, která začne příchozí komunikaci z portu 22 (běžně používaného pro SSH) přeposílat na server HaaS, kde honeypot Cowrie (GitHub) simuluje zařízení a zaznamenává provedené příkazy. Získat lze tak zajímavé informace o provedených útocích. K dispozici jsou globální statistiky.

Ladislav Hagara | Komentářů: 1
včera 04:44 | Komunita

Před týdnem společnost Feral Interactive zabývající se vydáváním počítačových her pro operační systémy macOS a Linux oznámila, že pro macOS a Linux vydají hru Rise of the Tomb Raider. Včera společnost oznámila (YouTube), že pro macOS a Linux vydají také hru Total War Saga: Thrones of Britannia. Verze pro Windows by měla vyjít 19. dubna. Verze pro macOS a Linux krátce na to.

Ladislav Hagara | Komentářů: 0
19.2. 21:33 | Nová verze

Byla vydána nová major verze 7.10 svobodného systému pro řízení vztahů se zákazníky (CRM) s názvem SuiteCRM (Wikipedie). Jedná se o fork systému SugarCRM (Wikipedie). Zdrojové kódy SuiteCRM jsou k dispozici na GitHubu pod licencí AGPL.

Ladislav Hagara | Komentářů: 0
19.2. 16:44 | Nová verze

Byla vydána nová verze 0.30 display serveru Mir (Wikipedie) a nová verze 2.31 nástrojů snapd pro práci s balíčky ve formátu snap (Wikipedie). Z novinek Miru vývojáři zdůrazňují vylepšenou podporu Waylandu nebo možnost sestavení a spouštění Miru ve Fedoře. Nová verze snapd umí Mir spouštět jako snap.

Ladislav Hagara | Komentářů: 0
19.2. 14:00 | Komunita

Na Indiegogo běží kampaň na podporu Sway Hackathonu, tj. pracovního setkání klíčových vývojářů s i3 kompatibilního dlaždicového (tiling) správce oken pro Wayland Sway. Cílová částka 1 500 dolarů byla vybrána již za 9 hodin. Nový cíl 2 000 dolarů byl dosažen záhy. Vývojáři přemýšlejí nad dalšími cíli.

Ladislav Hagara | Komentářů: 1
19.2. 11:11 | Nasazení Linuxu

Před dvěma týdny se skupina fail0verflow (Blog, Twitter, GitHub) pochlubila, že se jim podařilo dostat Linux na herní konzoli Nintendo Switch. O víkendu bylo Twitteru zveřejněno další video. Povedlo se jim na Nintendo Switch rozchodit KDE Plasmu [reddit].

Ladislav Hagara | Komentářů: 3
19.2. 05:55 | Komunita

Byla vydána vývojová verze 3.2 softwaru Wine (Wikipedie), tj. softwaru, který vytváří aplikační rozhraní umožňující chod aplikací pro Microsoft Windows také pod GNU/Linuxem. Z novinek lze zdůraznit například podporu HID gamepadů. Aktuální stabilní verze Wine je 3.0, viz verzování. Nejistá je budoucnost testovací větve Wine Staging s řadou experimentálních vlastností. Současní vývojáři na ni již nemají čas. Alexandre Julliard, vedoucí projektu Wine, otevřel v diskusním listu wine-devel diskusi o její budoucnosti.

Ladislav Hagara | Komentářů: 3
18.2. 16:55 | Komunita

Do 22. března se lze přihlásit do dalšího kola programu Outreachy (Wikipedie), jehož cílem je přitáhnout do světa svobodného a otevřeného softwaru lidi ze skupin, jež jsou ve světě svobodného a otevřeného softwaru málo zastoupeny. Za 3 měsíce práce, od 14. května do 14. srpna 2018, v participujících organizacích lze vydělat 5 500 USD.

Ladislav Hagara | Komentářů: 63
Který webový vyhledávač používáte nejčastěji?
 (2%)
 (28%)
 (62%)
 (2%)
 (3%)
 (1%)
 (1%)
 (1%)
Celkem 397 hlasů
 Komentářů: 34, poslední 14.2. 18:44
    Rozcestník

    Kerberos a SSO: Samba

    24. 7. 2008 | Jiří Mlíka | Bezpečnost | 12278×

    Dnešní díl je o tom, jak si s Kerberem rozumí Samba. Ukážu vám, že si s ním rozumí docela dobře. Nakonfigurujeme si jednoduchý Samba server a pokusíme se k němu přistoupit pomocí linuxového i windowsového klienta. To vše samozřejmě s podporou SSO. Konfigurace Samby, kterou se vám chystám ukázat, je poněkud netypická a myslím, že i dost neznámá.

    Obsah

    Úvod

    link

    Dnešní díl je o tom, jak si s Kerberem rozumí Samba. Ukážu vám, že si s ním rozumí docela dobře. Nakonfigurujeme si jednoduchý Samba server a pokusíme se k němu přistoupit pomocí linuxového i windowsového klienta. To vše samozřejmě s podporou SSO. Konfigurace Samby, kterou se vám chystám ukázat, je poněkud netypická a myslím, že i dost neznámá.

    Konfigurace serveru

    link

    Jako server použíjeme stroj srv-file1.firma.local, který již dobře posloužil v předchozím dílu jako souborový server NFS4. Kerbera máme na tomto stroji již nakonfigurovaného, takže si jeho "recyklováním" ušetříme práci.

    Instalace softwaru

    link

    Instalace Samby je opravdu banální záležitost na každé moderní linuxové distribuci. Jeden příkaz je obvykle víc než dost. Nainstalovala se mi verze 3.0.24.

    urpmi samba-server

    Principal služby

    link

    Stejně jako v předchozích případech bude serverová strana služby potřebovat svůj vlastní principal (SPN - Service Principal Name). Vytvoříme principal cifs/srv-file1.firma.local nám dobře známým nástrojem kadmin. Principal vytvoříme s náhodným klíčem...

    kadmin:  addprinc -randkey cifs/srv-file1.firma.local
    WARNING: no policy specified for cifs/srv-file1.firma.local@FIRMA.LOCAL; defaulting to no policy
    Principal "cifs/srv-file1.firma.local@FIRMA.LOCAL" created.
    kadmin:

    ...a vyexportujeme jej do "keytabu" na stroji:

    srv-file1.firma.local
    kadmin:  ktadd cifs/srv-file1.firma.local
    Entry for principal cifs/srv-file1.firma.local with kvno 3, encryption type Triple DES cbc mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5.keytab.
    Entry for principal cifs/srv-file1.firma.local with kvno 3, encryption type DES cbc mode with CRC-32 added to keytab WRFILE:/etc/krb5.keytab.
    

    Výsledný "keytab" vypadá následovně."

    [root@srv-file1 ~]# klist -ek /etc/krb5.keytab
    Keytab name: FILE:/etc/krb5.keytab
    KVNO Principal
    ---- --------------------------------------------------------------------------
       4 nfs/srv-file1.firma.local@FIRMA.LOCAL (Triple DES cbc mode with HMAC/sha1) 
       4 nfs/srv-file1.firma.local@FIRMA.LOCAL (DES cbc mode with CRC-32) 
       3 cifs/srv-file1.firma.local@FIRMA.LOCAL (Triple DES cbc mode with HMAC/sha1)
       3 cifs/srv-file1.firma.local@FIRMA.LOCAL (DES cbc mode with CRC-32) 
    

    Zde je třeba poznamenat, že Windows podporují šifrování RC4-HMAC se 128bitovým klíčem, DES-CBC-CRC a DES-CBC-MD5 s 56bitovým klíčem. Pro pokusy doporučuji používat DES-CBC-CRC.

    Konfigurace Samby

    link

    Stroj srv-file1.firma.local je konfigurován proti Kerberos realmu FIRMA.LOCAL, Samba má v tomto realmu svůj principal. Stroj "zná" UNIXové identity (UID, GID) svých uživatelů z LDAPu přes NSS. Samba není členem žádné domény. Jedná se v podstatě o samostatný (stand alone) server v režimu "security = server". "NT Password Hash", který bývá obvykle uložen v lokálním souboru nebo v LDAP adresáři, se v této konfiguraci vůbec nepoužívá. Možné metody autentizace jsou tudíž omezeny pouze na Kerberos. Jiné ověřovací mechanizmy (např. NTLM) fungovat nebudou.

    [global]
       security = user
       realm = FIRMA.LOCAL
       use kerberos keytab = yes
       use spnego = yes
       encrypt passwords = yes
    
       workgroup = FIRMA
    
       unix extensions = yes
       case sensitive = yes
       delete readonly = yes
       ea support = yes
    
       log file = /var/log/samba/%m.log
       max log size = 50
       log level = 1 auth:3
    
       map to guest = bad user
    
       printing = bsd
    
    [cifs_share]
       path = /nfs4exports/data
       read only = no
    

    Konfigurace linuxového klienta

    link

    Jako linuxového klienta použijeme opět stroj pc1.firma.loal, připravený v předchozích dílech seriálu. Stroj má již nakonfigurováno vše potřebné, co se týká podpory Kerbera a základních systémových nastavení.

    smbclient

    link

    Řádkový klient SMB/CIFS klient smbclient není zrovna uživatelsky nejpohodlnější, ale za to je poměrně užitečný pro testování. Klient používá stejný konfigurační soubor /etc/smb.conf jako démony Samby. V našem případě není prakticky žádná konfigurace potřeba. Obešli bychom se i bez uvedeného konfiguračního souboru.

    # Soubor /etc/samba/smb.conf na stroji pc1.firma.local
    
    [global]
       workgroup = FIRMA
    

    Abychom otestovali použití SSO, přihlásíme se nejprve jako uživatel frantisek_hnipirdo k počítači pc1.firma.local. Při procesu přihlášení ke klientskému počítači jsme získali TGT, tudíž se můžeme směle vrhnout na použití další kerberizované služby v naší pokusné síti. Parametr -k zajistí použití Kerberos autentizace, parametr -d 3 se postará o bohatší výstup pro případ, že bychom narazili na nějaký problém.

    [frantisek_hnipirdo@pc1 ~]$ smbclient -k -d 3 //srv-file1.firma.local/cifs_share
    lp_load: refreshing parameters
    Initialising global parameters
    params.c:pm_process() - Processing configuration file "/etc/samba/smb.conf"
    Processing section "[global]"
    added interface ip=172.16.51.130 bcast=172.16.51.255 nmask=255.255.255.0
    Client started (version 3.0.24).
    resolve_lmhosts: Attempting lmhosts lookup for name srv-file1.firma.local<0x20>
    resolve_wins: Attempting wins lookup for name srv-file1.firma.local<0x20>
    resolve_wins: WINS server resolution selected and no WINS servers listed.
    resolve_hosts: Attempting host lookup for name srv-file1.firma.local<0x20>
    Connecting to 172.16.51.12 at port 445
    Doing spnego session setup (blob length=114)
    got OID=1 2 840 113554 1 2 2
    got OID=1 2 840 48018 1 2 2
    got OID=1 3 6 1 4 1 311 2 2 10
    got principal=cifs/srv-file1.firma.local@FIRMA.LOCAL
    Doing kerberos session setup
    ads_cleanup_expired_creds: Ticket in ccache[FILE:/tmp/krb5cc_10001_hsWMH6] expiration Ne, 22 čen 2008 01:47:18 CEST
    OS=[Unix] Server=[Samba 3.0.24]
    dos_clean_name []
    smb: \> 
    

    Za povšimnutí stojí, že do "Kerberos credential cache" uživatele josef_hnipirdo přibyl ticket pro použití služby cifs na stroji srv-file1.firma.local. To odpovídá fungování Kerbera, jak bylo posáno v úvodu tohoto seriálu.

    [frantisek_hnipirdo@pc1 ~]$ klist
    Ticket cache: FILE:/tmp/krb5cc_10001_hsWMH6
    Default principal: frantisek_hnipirdo@FIRMA.LOCAL
    
    Valid starting     Expires            Service principal
    06/21/08 15:47:18  06/22/08 01:47:18  krbtgt/FIRMA.LOCAL@FIRMA.LOCAL
            renew until 06/22/08 15:47:18
    06/21/08 15:47:35  06/22/08 01:47:18  cifs/srv-file1.firma.local@FIRMA.LOCAL
            renew until 06/22/08 15:47:18
    

    Konqueror

    link

    Konqueror vám naservítruje vzdálená data ve formě uživatelsky výrazně příjemnější, než to dokáže smbclient. Žádnou zvlástní konfiguraci nevyžaduje. Jakmile máme TGT, stačí zadat použe URL ve tvaru smb://jméno_serveru/sdílení.

    sso 06 konqueror smb url

    Kerenelové VFS smbfs a cifs

    link

    Daleko zajímavější je možnost vzdálený souborový systém "přimountovat". Proti použití řádkového klienta získáme možnost otevírat a editovat sdílené soubory bez nutnosti otravného kopírování mezi klientem a serverem. K zahození není ani možnost udržovat domácí adresáře uživatelů na souborovém serveru a připojovat je na klientském PC při přihlášení uživatele. V jádře existuje podpora pro dva různé virtuální souborové systémy smbfs a cifs. Tj. v jádře je podpora klienta realizována dvakrát. Virtuální souborový systém smbfs obsahuje podporu Kerbera, ale s cifs, který má smbfs nahradit, je to horší. Podpora Kerbera v cifs byla plánována někde kolem verze 1.48. Na stroji pc1.firma.local (kernel 2.6.17, cifs v. 1.43) toho ohledně cifs mnoho nevyzkoušíme, ale smbfs s Kerberos autentizací chodit bude. Co se týká cifs a Kerbera, tak ani na Mandrivě 2008.1 (kernel 2.6.24, cifs v. 1.52) jsem nebyl úspěšný. Zřejmě si budeme muset ještě počkat.

    Příklad použití z řádky

    link

    Na následujícím příkladu ukážeme, jak uživatel josef_vosahlo připojí vzdálený souborový systém pomocí SSO. V domácím adresáři uživatele vytvoříme adresář pro připojení vzdáleného souborového systému. Nazvěme jej třeba "smbfs". Adresář musí být vlastněn uživatelem, který bude souborový systém připojovat.

    [josef_vosahlo@pc1 ~]$ mkdir smbfs

    Souborový systém připojíme příkazem smbmount. Parametr -o krb zajistí použití Kerberos autentizace.

    [josef_vosahlo@pc1 ~]$ smbmount //srv-file1/cifs_share ./smbfs/ -o krb,debug=3
    Warning: kerberos support will only work for samba servers
    mount.smbfs started (version 3.0.24)
    added interface ip=172.16.51.130 bcast=172.16.51.255 nmask=255.255.255.0
    resolve_lmhosts: Attempting lmhosts lookup for name srv-file1<0x20>
    resolve_wins: Attempting wins lookup for name srv-file1<0x20>
    resolve_wins: WINS server resolution selected and no WINS servers listed.
    resolve_hosts: Attempting host lookup for name srv-file1<0x20>
    Connecting to 172.16.51.12 at port 445
    Doing spnego session setup (blob length=114)
    got OID=1 2 840 113554 1 2 2
    got OID=1 2 840 48018 1 2 2
    got OID=1 3 6 1 4 1 311 2 2 10
    got principal=cifs/srv-file1.firma.local@FIRMA.LOCAL
    Doing kerberos session setup
    ads_cleanup_expired_creds: Ticket in ccache[FILE:/tmp/krb5cc_10002_CRxQxM] expiration Po, 23 ?en 2008 00:04:12 CEST
    

    Pomocí příkazů mount a ls ověříme, že naše počínání bylo úspěšné.

    [josef_vosahlo@pc1 ~]$ mount
    ...
    //srv-file1/cifs_share on /home/josef_vosahlo/smbfs type smbfs (0)
    
    [josef_vosahlo@pc1 ~]$ ls -l /home/josef_vosahlo/smbfs/
    celkem 8
    drwxr-xr-x 1 josef_vosahlo firma_users 4096 kv? 18 14:50 finance/
    drwxr-xr-x 1 josef_vosahlo firma_users 4096 kv? 19 22:05 vyroba/
    

    Příklad použití z GUI

    link

    To samé jako v předchozím příkladě lze provést pomocí šikovného programu Smb4K pohodlně z GUI. Nastavíme autentizaci pomocí Kerbera a použití smbfs (ne cifs).

    sso 06 smb4k opt samba general sso 06 smb4k opt samba mount sso 06 smb4k network browser

    ...a po pár mrštných kliknutích se můžeme kochat výsledkem v Konqueroru.

    sso 06 smb4k konqueror

    Konfigurace Windows klienta

    link

    Když si hrajeme se Sambou, nevyhnutelně musí přijít řeč i na Windows. Můžeme použít Windows jako klienta pro takto nakonfigurovanou Sambu? Můžeme! Vytvoříme si nový testovací stroj pc3.firma.local s nainstalovanými Windows XP.

    Základní systémová nastavení

    link

    V našem testovacím prostředí jsme dosud nezavedli DNS, musíme tedy i na Windows vyřešit překlad jmen na IP adresy pomocí lokálního souboru hosts.

    # Soubor C:\WINDOWS\system32\drivers\etc\hosts na stroji pc3.firma.local
    
    127.0.0.1		localhost
    172.16.51.10	srv-infra1.firma.local	srv-infra1
    172.16.51.12	srv-file1.firma.local 	srv-file1
    

    Windows jako člen Kerberos realmu

    link

    Každý ví, že Windows mouhou být členem domény, ale ne každý ví, že Windows mohou být také členem Kerberos realmu. Zřejmě proto, protože pro druhou možnost neexistuje žádné "klikátko". Budeme postupovat podle návodu přímo od Microsoftu.

    Krok 1 - vytvoření principalu
    link

    Vytvoříme pro náš Windows stroj principal host/pc3.firma.local opět pomocí nástroje kadmin. Principal vytvoříme s heslem, které si musíme pamatovat. Budeme jej potřebovat při konfiguraci Windows.

    kadmin:  addprinc -e des-cbc-crc:normal -pw P@ssw0rd host/pc3.firma.local@FIRMA.LOCAL
    WARNING: no policy specified for host/pc3.firma.local@FIRMA.LOCAL; defaulting to no policy
    Principal "host/pc3.firma.local@FIRMA.LOCAL" created.
    
    Krok 2 - nastavení realmu ve Windows
    link

    K nastavení Kerbera slouží ve Windows příkaz ksetup. Tento nástroj je součástí Windows Support Tools, jejichž instalační balík najdeme na instalačním CD Windows XP ve složce \Support\Tools. Support Tools jsem nainstaloval do složky C:\Program Files\Support Tools. Příkaz ksetup pochopitelně spouštíme pod účtem s administrátorským oprávněním. To, že jsou Windows členem realmu FIRNA.LOCAL, jim řekneme následujícím příkazem.

    C:\Program Files\Support Tools>ksetup /setdomain FIRMA.LOCAL
    Setting Dns Domain
    NOTE: /SetDomain requires a reboot to take effect
    
    Krok 3 - nastavení KDC ve Windows
    link

    Také musíme Windows sdělit, kde mají hledat KDC...

    C:\Program Files\Support Tools>ksetup /addkdc FIRMA.LOCAL srv-infra1.firma.local
    
    NOTE: /AddKdc requires a reboot to take effect on pre-SP1 Win2000 computers
    
    Krok 4 - nastavení hesla principalu stroje
    link

    ...a také heslo k principalu stroje zadané v kroku 1.

    C:\Program Files\Support Tools>ksetup /setmachpassword P@ssw0rd
    Setting computer password
    NOTE: /SetMachPassword requires a reboot to take effect.
    
    Krok 5 - restart
    link

    Restart samozřejmě nesmí chybět ;-).

    Přihlašování uživatelů do Windows pomocí Kerbera

    link

    Nyní máme Windows nastaveny tak, aby zvládly autentizaci uživatele pomocí Kerbera. Nicméně, uživatel se ještě přihlásit nemůže, neboť nemá žádný uživatelský účet. Windows si bohužel umějí vzít infomrace o uživatelských účtech pouze z řadiče domény, který nemáme, a naše Windows nejsou ani jako člen domény konfigurovány. Zbývají tedy pouze lokální účty. Následující konfigurace je v podstatě analogická ke konfiguraci klienta v 2. dílu seriálu. Windows umožňují vytvořit asociaci mezi principalem a lokálním uživatelským účtem. Můžeme buď vytvořit asociaci mezi konkrétním principalem a konkrétním lokálním účtem, nebo můžeme asociovat všechny principaly a lokální účty stejného jména. My si vybereme druhou variantu. Ke slovu přijde opět příkaz ksetup.

    C:\Program Files\Support Tools>ksetup /mapuser * *

    Příkazem ksetup bez parametrů lze prohlédnout aktuální konfiguraci Kerbera ve Windows.

    C:\Program Files\Support Tools>ksetup
    default realm = FIRMA.LOCAL (external)
    FIRMA.LOCAL:
            kdc = srv-infra1.firma.local
            Realm Flags = 0x0 none
    Mapping all users (*) to a local account by the same name (*).
    

    Nyní zbývá vytvořit zmíněné lokální účty pro jednotlivé uživatele. Lokální uživatelský účet má pochopitelně také své heslo, ale to my využívat nechceme, proto jej nastavíme na něco pekelného, co uživatel nikdy neuhodne. Tím máme Windows nakonfigurované a můžeme začít směle experimentovat.

    sso 06 win uzivatel

    Připojení vzdáleného souborového systému

    link

    Přihlásíme se do Windows jako uživatel josef_vosahlo. Uživatel se autentizuje proti Kerberos realmu FIRMA.LOCAL.

    sso 06 win login

    Připojíme vzdálený souborový systém s UNC cestou \\srv-file1.firma.local\cifs_share jako jednotku Z:. Pokud jsem někde neudělali chybu, můžeme procházet disk vzdáleného serveru.

    sso 06 win mount

    sso 06 win vypis

    Triky, které je dobré znát

    link

    Logování Kerberos operací ve Windows

    link

    Hrát si s Kerberem na Windows nemusí být vždy úplně bez problémů. Důležité je vědět, jak Windows donutit logovat Kerberos operace. To hravě zajistí několik odvážných kliků v ďábelském nástroji regedit.

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos]
    "LogLevel"=dword:00000001
    "KerbDebugLevel"=dword:c0000043
    "LogToFile"=dword:00000001
    

    Detailnější výpis můžeme mít, pokud nastavíme KerbDebugLevel na hodnotu ffffffff. Log najdeme v souboru C:\Windows\System32\lsass.log.

    Krátká versus dlouhá jména

    link

    Řekněme, že používáme nástroj Místa v síti. Proklikáme celou dlouhou cestu Místa v síti\Celá síť\Síť Microsoft Windows, klikneme na náš server srv-file1 a posledním mocným klikem se snažíme otevřít složku cifs_share. Místo obsahu složky nás Windows odmění autentizačním dialogem.

    sso 06 win mista v siti

    sso 06 win srv file1

    sso 06 win cifs share

    To jsme sice v našem SSO prostředí nečekali, nicméně pokorně vyplníme přihlašovací údaje uživatele josef_vosahlo v bláhové naději, že toto snažení nebude marné. Samozřejmě marné je. Proč? Odpověď najdeme v logu našeho KDC (/var/log/kerberos/krb5kdc.log).

    ...
    Jul 17 02:20:44 srv-infra1.firma.local krb5kdc[2977](info): AS_REQ (7 etypes {23 -133 -128 3 1 24 -135}) 172.16.51.133: ISSUE: authtime 1216254044, etypes {rep=3 tkt=16 ses=1}, josef_vosahlo@FIRMA.LOCAL for krbtgt/FIRMA.LOCAL@FIRMA.LOCAL
    Jul 17 02:20:44 srv-infra1.firma.local krb5kdc[2977](info): TGS_REQ (7 etypes {23 -133 -128 3 1 24 -135}) 172.16.51.133: UNKNOWN_SERVER: authtime 1216254044,  josef_vosahlo@FIRMA.LOCAL for cifs/srv-file1@FIRMA.LOCAL, Server not found in Kerberos database
    ...
    

    Zdá se, že při "klikání na ikony počítačů" Windows XP pracují s krátkým jménem počítače. Principaly v databázi Kerbera mají na pozici instance plné doménové jméno počítače, není tedy divu, že principal služby v zadaném tvaru nemůže být v databázi nalezen. Pokud v adresním řádku zadáme plné doménové jméno serveru, vše funguje správně.

    Závěr

    link

    V dnešním dílu jsem od Linuxu zabrousil poněkud k Windows. Doufám, že se na mě nebudou čtenáři zlobit. Činil jsem tak ve snaze po nalezení Svatého grálu naprosté a ničím nerušené interoperability a kompatibility mezi operačními systémy dneška. V příštím dílu seriálu si budeme povídat o webových službách. Ukážeme si, jak si s Kerberem rozumí Apache, Firefox, Konqueror a Internet Explorer ;-).

    Nejčtenější články posledního měsíce

    Jednoduchý linuxový server pro chytrou domácnost v Delphi 10.2 Tokyo
    MapTiler – proměňte obrázek v zoomovatelnou mapu
    Jaderné noviny – 18. 1. 2018: Přehled několika svobodných fuzzovacích nástrojů

    Nejkomentovanější články posledního měsíce

    MapTiler – proměňte obrázek v zoomovatelnou mapu
    Týden na ScienceMag.cz: Kvantová komunikace bez přenosu částic
    Jaderné noviny – 25. 1. 2018: Datová struktura XArray
      všechny statistiky »

    Seriál Centrální správa účtů a Single Sign-On (dílů: 8)

    Centrální správa účtů a Single Sign-On v Linuxu (první díl)
    <—« Kerberos a SSO: sdílení souborů - NFS4
    »—> Kerberos, SSO a web
    Kerberos a LDAP (poslední díl)

    Související články

    Integrace linuxového serveru do domény Windows 2003
    NFS+NIS+LTSP - přihlašování na server
    OpenSSH - bezpečně a pohodlně
    OpenSSH - více než jen Secure Shell
    SSL - je vaše bezpečné připojení opravdu zabezpečené?
    SSL - 1 (certifikáty)
    SSL - 2 (elektronický podpis)
    IPTraf - sledování sítě v reálném čase
    Podepisování a šifrování s GnuPG
    Samba - Linux jako server v sítích s Windows
    PEAR - III (Autentizace)
    Čo keď nechodí sieť?
    Mailserver s odvirováním pošty

    Odkazy a zdroje

    CIFS VFS
    Step-by-Step Guide to Kerberos 5 (krb5 1.0) Interoperability
    Kerberos Authentication in Windows Server 2003
    Troubleshooting Kerberos Errors
    Kerberos interoperability
    Making WindowsXP authenticate login to a UNIX MIT KDC

    Další články z této rubriky

    V sobotu se uskuteční konference CryptoFest
    Pozor na androidové aplikace
    Silent Circle představil bezpečný smartphone Blackphone 2
    Android je bezpečnější, řada hrozeb však stále přetrvává
    Avast varuje před nebezpečnými aplikacemi v Google Play
           

    Hodnocení: 100 %

            špatnédobré        

    Nástroje: Tisk bez diskuse

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    24.7.2008 01:07 VSi | skóre: 28
    Rozbalit Rozbalit vše Re: Kerberos a SSO: Samba
    Díky za skvělé pokračování seriálu, takové shrnutí konfigurace všech služeb jsem nenalezl ani v angličtině.

    Pokud se Samba nastaví jako v článku, je možné používat současně i klasické ověřování pro klienty bez Kerbera?

    Měl bych jeden dotaz. Nezkoušel někdo, jestli ksetup /mapuser * * funguje i na uživatele z NT4 domény (Samba PDC). Mám Samba PDC, což funguje bezvadně a takhle by se to dalo "bezbolestně" rozšířit o Kerberos. (Samozřejmě vím o Active Directory.)
    24.7.2008 08:18 .
    Rozbalit Rozbalit vše Re: Kerberos a SSO: Samba
    Uf, už sem ani nedoufal, že se objeví pokračování. Po hodně dlouhé době konečně nějaký pořádný a užitečný seriál. Díky autore, máš můj obdiv. Hned to jdu zkoušet :)
    Drom avatar 24.7.2008 22:15 Drom | skóre: 24 | Kdyne
    Rozbalit Rozbalit vše Re: Kerberos a SSO: Samba
    +1 Ale vyzkousim to az za par dni :)
    Delej si co chces, ale hlavne me s tim neotravuj. Ja na SW patenty neverim!
    24.7.2008 09:24 Marek
    Rozbalit Rozbalit vše Re: Kerberos a SSO: Samba
    Ano, diky za vyborny clanek ... ale neco jednodussiho by nebylo?

    eM
    24.7.2008 09:46 gnome-hater
    Rozbalit Rozbalit vše Re: Kerberos a SSO: Samba
    co třeba AD od MS? :)
    24.7.2008 13:28 xindl | skóre: 2 | blog: SALAM_OLEJKUM
    Rozbalit Rozbalit vše Re: Kerberos a SSO: Samba
    skrytý komentář Náš administrátor shledal tento komentář závadným.

    vulgární

    Zobrazit komentář
    Voty avatar 24.7.2008 10:56 Voty | skóre: 12 | blog: gemini
    Rozbalit Rozbalit vše Re: Kerberos a SSO: Samba
    Ten ksetup.exe, znamena to, ze i Windows XP Home by se dalo zridit SSO? To by ale nebylo vubec marne. To budu muset jeste dneska vyzkouset, asi se opet nevyspim.
    Jednu rozbil a tu druhou ztratil.
    24.7.2008 14:06 Jirka | skóre: 36
    Rozbalit Rozbalit vše Re: Kerberos a SSO: Samba
    IMHO ne, protože Home nepřipojíš do domény.
    oryctolagus avatar 24.7.2008 11:23 oryctolagus | skóre: 29 | blog: Untitled
    Rozbalit Rozbalit vše Re: Kerberos a SSO: Samba
    v clanku by melo byt
    s/KDC ce Windows/KDC ve Windows, neni liz pravda?
    24.7.2008 11:45 Robert Krátký | skóre: 94 | blog: Robertův bloček
    Rozbalit Rozbalit vše Re: Kerberos a SSO: Samba
    Dík, opraveno.
    25.7.2008 00:51 Kyosuke | skóre: 28 | blog: nalady_v_modre
    Rozbalit Rozbalit vše Re: Kerberos a SSO: Samba
    Author for president! Z toho by se měl napsat manuál. ;-)
    25.7.2008 10:18 .
    Rozbalit Rozbalit vše Re: Kerberos a SSO: Samba
    Ještě dotaz: jak je to s Vistamy? Máte nějaké zkušenosti, lze je přiohnout aby používaly kerberos?
    25.7.2008 20:28 Palo
    Rozbalit Rozbalit vše Re: Kerberos a SSO: Samba
    Este moje skusenosti s touto bestion (windows): Vzdy si ksetup stiahnite poslednu verziu. Na niektorych strojoch sa neinstaluju fixpaky (rozne dovody) a starsie ksetup maju problemy s lustenim klucov. Zadavate spravne heslo a on ho nevie rozlusknut.

    A snad uz iba jedna bezpecnostna, kluce neprenasajte po sieti. Radsej si ich kopnite na USB kluc a preneste do cieloveho pocitaca. To je vhodne pre hostile podmienky beznej pocitacovej firmy ;-) nikdy neviete kto kde nacuva.
    26.7.2008 08:21 maker007
    Rozbalit Rozbalit vše Re: Kerberos a SSO: Samba - pochybnosti o použitelnosti
    Nevím ale skutečnost, že musím vytvářet lokální účty stejného jména dělá tuto metodu nepoužitelnou ve firemním prostředí. Nedokážu si představit, že budu při každém přidání uživatele obíhat všechny počítače a vytvářet lokální účty. Jestli windows neumí vytvořit ten lokální účet automaticky tak to je na nic. Zrovna tak uživatele nepochopí proč se nemůžou doklikat ke serveru v okolních počítačích.
    29.7.2008 13:59 ZiGi
    Rozbalit Rozbalit vše Re: Kerberos a SSO: Samba - pochybnosti o použitelnosti
    lokany ucet sa moze vytvorit aj sam, pri prihlaseni. ak pouzivatelia nahodne pristupuju ku vsetkym pocitacom v realme, postrupne budu mat vsade lokalne ucty. skoda, ze nefunguju roaming profiles.
    Drom avatar 29.7.2008 16:36 Drom | skóre: 24 | Kdyne
    Rozbalit Rozbalit vše Re: Kerberos a SSO: Samba - pochybnosti o použitelnosti
    Cestovni profily jsou pro bezny uzivatele celkem nepouzitelny. Cekani na stazeni dat, kde nekolik giga delaji zabavny videa a tak, to se clovek taky prihlasi treba za dve minuty :) A ne, nepomuze, kdyz lidem reknete, ze si to maji ukladat na nejakej sitovej disk, aby se to netahalo s profilem.
    Delej si co chces, ale hlavne me s tim neotravuj. Ja na SW patenty neverim!
    29.7.2008 16:43 Kyosuke | skóre: 28 | blog: nalady_v_modre
    Rozbalit Rozbalit vše Re: Kerberos a SSO: Samba - pochybnosti o použitelnosti
    Tyhle věci nejdou zakázat? Já myslel, že i normální síťové domovské složky na SMB/CIFS se dají vytvářet.
    23.8.2008 19:57 Marv-CZ | skóre: 21
    Rozbalit Rozbalit vše Re: Kerberos a SSO: Samba - pochybnosti o použitelnosti
    To řeším jednoduše tak, že nastavím "Dokumenty" na síťový disk.
    spes avatar 10.8.2009 17:02 spes
    Rozbalit Rozbalit vše Re: Kerberos a SSO: Samba - pochybnosti o použitelnosti

    Zajimalo by me jak zajistit, aby se lokalni ucet vytvoril sam.

    27.7.2008 18:27 DNA
    Rozbalit Rozbalit vše Re: Kerberos a SSO: Samba
    super článek, jen ten lokalizovaný shell to kazí otazníky (i proto nepoužívám lokalizaci)...

    Založit nové vláknoNahoru

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.