Pull to refresh
  • by relevance
  • by date
  • by rating

Сквозная авторизация из Windows в Linux

Lumber room
Захотелось мне как-то попадать на линуксовую машину через PuTTY не вводя пароль. Оказывается это можно сделать. Правда немного сложнее чем хотелось бы.
Итак.

Мы будем настраивать SSH доступ на хосте sshhost, который входит в домен kerberos DOMAN.LOCAL
Обратите внимание на заглавные буквы. Для кербероса это критично, поэтому везде где имеем с ним дело пишем имя домена заглавными.

Входные данные.
KDC (Key Distribution Centre), DNS сервер и контроллер AD совпадают: dc1.domain.local. Правами админа в нашем домене обладет пользователь Administrator. На машине sshhost установлена Gentoo Linux

Читать дальше →
Total votes 9: ↑8 and ↓1 +7
Views2.6K
Comments 11

GSSAPI и Firefox/Thunderbird для сквозной авторизации в Windows

Lumber room
Ваша машина находиться Windows домене и вы хотите использовать единую авторизацию например на прокси и почтовом сервере. Для того чтобы включить в Firefox использование сквозной авторизации вам нужно отредактировать 2 ключа на странице about:config.
  • network.negotiate-auth.delegation-uris = https://,http://
  • network.negotiate-auth.trusted-uris = https://,http://

Читать дальше →
Total votes 10: ↑9 and ↓1 +8
Views4.4K
Comments 13

В тылу врага. Внедрение

Configuring Linux
События происходят за садовым кольцом в стандартной фирме, использующей, в основном, решения от Microsoft, не выделяясь в этом плане на фоне остальных. С некоторых пор в фирме работает линуксоид, который терпеть не может работать в ОС Windows.

При всей нелюбви к юзабилити, предоставляемым продуктами небезызвестной корпорации, линуксоиду необходимо интегрироваться в сеть для осуществления деятельности, за которую он будет получать зарплату. В частности ему будет необходимо работать с почтой, обмениваться файлами через общие папки, открывать документы MS Office.

Как же выживают линуксоиды в таких условиях?
Total votes 96: ↑84 and ↓12 +72
Views3.9K
Comments 65

Безопасность SharePoint — Часть 2. Аутентификация пользователей

ECM
Для начинающих SharePoint представляется чем-то большим и непонятным. А между тем, SharePoint – обычное ASP.NET приложение, работающее на IIS. Это, безусловно, отражается и на системе безопасности, важным элементом которой является аутентификация пользователей.
Читать дальше →
Total votes 12: ↑6 and ↓6 0
Views4.3K
Comments 0

FreeBSD 8.2, Samba 3.4, Active Directory и кириллические логины

*nix
Sandbox
В нашей компании давно и успешно работает такая связка: Samba 3.x, установленная на FreeBSD (6.x или 7.x), для доступа к шарам использует аутентификацию пользователей в домене Active Directory. Все клиенты – Windows XP и выше. Домен AD – Windows 2003.
Все было хорошо, пока один из серверов FreeBSD не был обновлен до версии 8.2. После обновления пользователи с кириллическими логинами не смогли получить доступ к расшаренным ресурсам этого сервера. В то же время пользователи с логинами в латинице нормально аутентифицировались. Команды wbinfo -u и wbinfo -g как и положено показывали всех пользователей и группы AD, включая кириллические. Другой сервер FreeBSD 7.3 с такой же версией Samba – 3.4.9 и с таким же конфигом работал нормально с любыми логинами.
Читать дальше →
Total votes 30: ↑28 and ↓2 +26
Views8.1K
Comments 15

Настройка сервера аутентификации посредством связки Kerberos+LDAP на базе ROSA Enterprise Linux Server

Configuring LinuxSystem administration
Tutorial
Введение
Продолжение серии туториалов. Предыдущие части:
Развёртывание DNS/DDNS и DHCP сервера на ROSA Enterpise Linux Server за несколько минут
Почтовый сервер на базе ROSA Server Enterpise Linux за несколько минут
Простой домен на базе ROSA Enterprise Linux Server и Samba 3 с поддержкой перемещаемых профилей

В этой статье мы рассмотрим создание сервера для централизованной аутентификации пользователей посредством Kerberos, а также аутентификацию с помощью Kerberos с хранением информации о профилях в дереве каталогов LDAP. В качестве приятной мелочи — автоматическое создание профилей в домашнем каталоге при подключении.
Читать дальше →
Total votes 12: ↑10 and ↓2 +8
Views36.7K
Comments 10

Настройка Kerberos-аутентификации с использованием смарт-карт

«Актив»Information Security
Tutorial
В продолжение давней темы про использование двухфакторной аутентификации в ОС GNU/Linux позвольте рассказать про схему работы и настройку аутентификации с помощью Kerberos. В этой статье мы рассмотрим процесс настройки MIT Kerberos для аутентификации пользователей по сертификатам и ключевым парам, находящимся на USB-токене. Также материалы, изложенные в статье, можно использовать для настройки аутентификации в домене Windows.
Читать дальше →
Total votes 17: ↑15 and ↓2 +13
Views73.2K
Comments 2

Advanced Active Directory Services WS2012 – информация от Экс-Архитектора Microsoft

«Звезды и С»
Алексей Кибкало продолжает делиться секретами! Предлагаем посмотреть запись вебинара.


За два часа были освещены следующие темы:
Читать дальше →
Total votes 12: ↑8 and ↓4 +4
Views11.7K
Comments 11

Linux в домене Active Directory

System administration
Tutorial
Перед администраторами иногда встают задачи интеграции Linux серверов и рабочих станций в среду домена Active Directory. Обычно требуется:
1. Предоставить доступ к сервисам на Linux сервере пользователям домена.
2. Пустить на Linux сервер администраторов под своими доменными учётными данными.
3. Настроить вход на Linux рабочую станцию для пользователей домена, причём желательно, чтобы они могли при этом вкусить все прелести SSO (Я, например, не очень люблю часто вводить свой длинный-предлинный пароль).

Обычно для предоставления Linux системе пользователей и групп из домена Active Directory используют winbind либо настраивают библиотеки nss для работы с контроллером домена Active Directory по LDAP протоколу. Но сегодня мы пойдём иным путём: будем использовать PowerBroker Identity Services (Продукт известен также под именем Likewise).
Как ввести Linux машину в домен Active Directory
Total votes 28: ↑23 and ↓5 +18
Views184.2K
Comments 14

Установка сервера Openfire на Debian в домене AD2008 с прозрачной авторизацией пользователей

Instant Messaging
Sandbox
Tutorial
Здравствуйте!

Хочу поделиться опытом установки сервера Openfire на Debian в домене AD Windows Server 2008 с использованием SSO клиентом Spark.

Сама установка проста и занимает немного времени, основные сложности для меня возникли при настройке kerberos-авторизации всей связки ПО.

Инфраструктура:
Openfire 3.8.2 устанавливаем на Debian 7.0 «Wheezy» x64 с использованием СУБД MySQL.
Имя Debian-сервера: openfireserver.
Служба Active Directory развернута на Windows 2008 Server Standard (Kerberos использует шифрование RC4-HMAC-NT по умолчанию).
Домен realm.local.
Рабочие станции Windows XP Pro и Windows 7 Pro x32/x64 с установленным клиентом Spark 2.6.3.
Читать дальше →
Total votes 18: ↑15 and ↓3 +12
Views36.4K
Comments 36

SMB Hijacking. Kerberos не помеха

Information Security
Про SMBRelay (или если быть точным NTLM-Relay) написано и сказано довольно много. Совершенно нет желания
вспоминать подробности данной атаки. Напомню только то, что суть атаки сводится к манипуляциям с аутентификационными данными пользователя, которые затем могут быть перенаправлены на другой ресурс.
Такое перенаправление позволяет аутентифицироваться и получить доступ к третьему ресурсу, что обычно выливается в загрузку файла с его последующим запуском.
Читать дальше →
Total votes 21: ↑20 and ↓1 +19
Views22.6K
Comments 7

Безопасное динамическое обновление DNS записей в Windows домене из Linux (GSS-TSIG)

Configuring LinuxSystem administration
Sandbox
Tutorial
Необходимость в таком обновлении возникла у меня в такой ситуации: на линуксе поднят openvpn сервер, к нему коннектятся удаленные клиенты. Openvpn сервер сам динамически выдает адреса клиентам и, хотелось бы, чтобы он и создавал dns записи с common name сертификата на DNS сервере, который интегрирован в Active Directory. Тут можно пойти простым путем, и поставить в свойстве зоны «Динамическое обновление» опцию «Небезопасные и безопасные», но тогда любой, кто имеет доступ к DNS серверу, сможет менять записи зоны – не комильфо. Если поставить «Только безопасные», то DNS сервер обязательно будет требовать аутентификацию по протоколу GSS-TSIG. Дальше пойдет речь о том, как это все настроить.
Читать дальше →
Total votes 13: ↑12 and ↓1 +11
Views13.6K
Comments 4

SSO на FreeIPA+Apache+Flask-Login+JWT

Information SecurityWebsite developmentPythonFlask
Всем привет.

В статье описывается разработка и развёртывание системы SSO-аутентификации, использующей Kerberos и JWT. Модуль аутентификации разработан с применением Flask, Flask-Login и PyJWT. Развёртывание выполнено с использованием веб-сервера Apache, сервера идентификации FreeIPA и модуля mod_lookup_identity на CentOS 6/7. В статье много текста, средне кода и мало картинок. В общем, будет интересно.

image
Читать дальше →
Total votes 9: ↑8 and ↓1 +7
Views10.7K
Comments 7

Интеграция OTRS v4 с Active Directory. Настройка сквозной (Single Sign On) аутентификации

Open source
Tutorial
Данное руководство предназначено для случая, когда уже есть настроенный сервер с установленной OTRS. Подробное руководство об установке OTRS v4 в Windows-среде можно прочитать в здесь .
image
Читать дальше →
Total votes 11: ↑9 and ↓2 +7
Views22.6K
Comments 13

OTRS 4.0.10. Ставим на Ubuntu + AD + Kerberos + SSO (Часть первая)

Open source
Sandbox
Вииду того, что статья и так получилась слишком большая, а к тому же хочеться добавить к ней её пару нюансов разбиваю её на несколько частей, и дальнейшие дополнения буду публиковать как отдельные части.

Часть первая: подготовка системы
Часть вторая: установка и настройка OTRS
Часть третья: исправляем косяки прикручиваем плюшки

Вместо введения


Любая достаточно крупная организация рано или поздно сталкивается с необходимостью внедрения системы тикетов или helpdesk. И наша организация не исключение, в связи с чем руководством была поставлена задача выбрать и внедрить систему.

Откровенно говоря сомнений по поводу выбора особых не было, по личным соображениям выбор пал на OTRS. Мощная и гибкая с огромным количеством отчётов, которые так любит руководство. Но как оказалось внедрить её совсем нетривиальная задача. Мучения продолжались две недели, были перелопачены тонны инофрмации, перепробовано куча различных мануалов, и складывалось впечатление, что я либо полный кретин, либо одно из двух, потому как во всех мануалах и в куче отзывов все в один голос утверждали что всё работает и отлично ставиться и настраивается, а у меня ни как.

На самом деле проблема всех этих мануалов в том, что всё вроде бы так же как у тебя, но где-то чуть-чуть не та версия пакета, чуть чуть не такая структура AD и т. д. Вот из-за всех этих чуть чуть и не складывается цветок каменный. Одним словом методом проб и ошибок, чтений документации и анализа мануалов был выработан свой, вполне рабочий метод, который я и хотел бы изложить.
Для тех кому интересно, добро пожаловать под кат
Total votes 16: ↑15 and ↓1 +14
Views50.8K
Comments 8

OTRS 4.0.10. Ставим на Ubuntu + AD + Kerberos + SSO (Часть вторая)

Open source
Продолжаю повествование о том, как собственно установить сего зверя на Ubuntu и настроить прозрачную доменную авторизацию, плюс о том, как прикрутить некоторые приятные плюшки, доступные в бесплатной версии OTRS.

Часть первая: подготовка системы
Часть вторая: установка и настройка OTRS
Часть третья: исправляем косяки прикручиваем плюшки

6. Установка и настройка OTRS


Ну вот, система полностью подготовлена, даже более чем и мы с чистой совестью и легким сердцем приступаем к установке непосредственно OTRS.

6.1. Суть предлагаемого метода и необходимые пакеты

Ставить мы будем последнюю стабильную версию, на данный момент это 4.0.10, на самом деле это не существенно, потому как мы изначально пошли канонически правильным путем и не стали использовать всякие прокладки и костыли типа адамтеров NTLM, SSPI и прочего, а подняли полноценную Kerberos аутентификацию. А за неё в OTRS отвечает модуль HTTPBasicAuth, который не претерпел существенных изменений, поэтому описываемый способ будет работать на всех версиях системы начиная как минимум с 3.1.1.

В чем собственно суть способа? А вся суть заключается в том, что OTRS вообщем то и не проводит никакой авторизации и аутентификации пользователя, а просто берёт имя залогиневшегося пользователя из переменной окружения $_ENV['Remote_User'] ищет его в своей базе и если находит, то открывает для него интерфейс Кустомера в залогиненом виде. То есть вся нагрузка по верификации пользователя ложится на плечи Apache, который механизмом Kerberos аутентифицирует пользователя и если ему это удалось, то загоняет его логин в переменную окружения. Откуда его и подхватывает OTRS, считая, что если там что-то есть, то аутентификация уже прошла успешно. Итак, приступим.

Для тех кому интересно, добро пожаловать под кат
Total votes 9: ↑9 and ↓0 +9
Views27.4K
Comments 18

OTRS 4.0.10. Ставим на Ubuntu + AD + Kerberos + SSO (Часть третья)

Open source
Третья часть статьи по установки и настройке OTRS на UbuntuServer в среде MS AD. Теперь поговорим об исправлениях различных косяков и прикручивании полезных плюшек. Первые две статьи более меняться не будут, а все остальны мои наработки будут дописываться в эту статью, получится такой неплохой howto.

Часть первая: подготовка системы
Часть вторая: установка и настройка OTRS
Часть третья: исправляем косяки прикручиваем плюшки

Как обычно, кому интересно, добро пожаловать под кат
Total votes 6: ↑6 and ↓0 +6
Views14.3K
Comments 0

Безопасное динамическое обновление записей на MS DNS из Linux

DNS
Sandbox

Введение


В процессе настройки клиентов службы AD под управлением ОС Ubuntu Linux, я столкнулся с несвоевременным обновлением записей на DNS сервере средствами Samba, а также с некорректной работой команды «net ads dns register». Что вызывает сопуствующие проблемы при работе с доменными компьютерами.

Например, наличие двух DNS серверов в dhclient.conf приводит к появлению ошибки «ERROR_DNS_GSS_ERROR» после выполнения «net ads dns register -P».

В поисках решения этой проблемы я перечитал много статей и баг-репортов, и наткнулся на статью Warlock_ua «Безопасное динамическое обновление DNS записей в Windows домене из Linux (GSS-TSIG)». Идея показалась мне интересной. Но мне не понравилось решение с созданием отдельной учетной записи пользователя домена, которая имеет права на изменение всех записей DNS-зоны. Во-первых, это потенциально небезопасно. Во-вторых, в Windows уже существуют готовое решение: каждая учетная запись компьютера имеет право изменять свою запись на DNS. Почему бы этим не воспользоваться?

За основу я взял скрипт learn-address.sh от Warlock_ua, и доработал его с учетом своих нужд.
Читать дальше →
Total votes 12: ↑12 and ↓0 +12
Views14.4K
Comments 2