URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 73498
[ Назад ]

Исходное сообщение
"Kerberos и OpenBSD"

Отправлено reset , 13-Апр-07 18:26 
Добрый день.
Может конечно и простой вопрос как настроить Kerberos аунтефикация в OpenBSD 4,но у меня как то не выходит.Поэтому прошу помощи
Ситуация такая.
Есть доиен на win2003.
настраиваю /etc/kerberosV/krb5.conf
[libdefaults]
    default_realm = VLG
    clockskew = 300
[realms]
    VLGIXB = {
        kdc = dc1.vlg.home.ru
            admin_server = dc1.vlg.home.ru    }
[domain_realm]
    .vlg.home.ru = VLG
[kadmin]
    default_keys = v5
[logging]
    kadmind = FILE:/var/heimdal/kadmind.log

подстраиваю время.Здесь похоже и есть проблема.
Как заставить OpenBSD перейти на летнее время?
Если UTC выставляю правильно,местное время на час убегает. и наоборот.
Но это так догадка.

пишу
kinit sas
sas@VLG password:ввожу правильный пароль
kinit: Password incorrect

Снял дамп трафа,Kerberos говорит PREAUTH_FAILED


Содержание

Сообщения в этом обсуждении
"Kerberos и OpenBSD"
Отправлено Mikhail , 13-Апр-07 22:55 
>подстраиваю время.Здесь похоже и есть проблема.

Время для kerberos'а критично, by default - 5 минут (кажется)

>пишу
>kinit sas
>sas@VLG password:ввожу правильный пароль
>kinit: Password incorrect
>
>Снял дамп трафа,Kerberos говорит PREAUTH_FAILED

PREAUTH_FAILED - в домене включена для пользователей, видимо. Можно и отключить... Эти вещи (время и требование PREAUTH) между собой не связаны, правда.

Вообще, там много разного интересного. Для общего понимания - рекомендовал бы книжку. "Живьем" и по-русски, правда, не видел.
http://forum.sysadmins.ru/11/155750/


"Kerberos и OpenBSD"
Отправлено geekkoo , 14-Апр-07 10:52 
>Добрый день.
>Может конечно и простой вопрос как настроить Kerberos аунтефикация в OpenBSD 4,но
>у меня как то не выходит.Поэтому прошу помощи
>Ситуация такая.
>Есть доиен на win2003.
>настраиваю /etc/kerberosV/krb5.conf
>[libdefaults]
> default_realm = VLG
> clockskew = 300
>[realms]
> VLGIXB = {
>  kdc = dc1.vlg.home.ru
>         admin_server = dc1.vlg.home.ru
>}
Ошибка? default_realm описан как VLG, а контроллер кербероса и административный сервер задан для realm-а VLGIXB.
>[domain_realm]
> .vlg.home.ru = VLG
>[kadmin]
> default_keys = v5
>[logging]
> kadmind = FILE:/var/heimdal/kadmind.log
>
>подстраиваю время.Здесь похоже и есть проблема.
>Как заставить OpenBSD перейти на летнее время?
>Если UTC выставляю правильно,местное время на час убегает. и наоборот.
>Но это так догадка.
>
Если бы из=за времени, то kinit так бы и написал "clock skew is larger than max(300)"
>пишу
>kinit sas
>sas@VLG password:ввожу правильный пароль
>kinit: Password incorrect
>
>Снял дамп трафа,Kerberos говорит PREAUTH_FAILED

Вряд ли это как-то связано. Может быть не удается найти общий алгоритм шифрования на клиенте и сервере? В openbsd, я слышал, с шифрованием строго, может быть какие-то алгоритмы оттуда повыкидывали, как ненадежные?


"Kerberos и OpenBSD"
Отправлено geekkoo , 14-Апр-07 10:56 
>Вряд ли это как-то связано. Может быть не удается найти общий алгоритм
>шифрования на клиенте и сервере? В openbsd, я слышал, с шифрованием
>строго, может быть какие-то алгоритмы оттуда повыкидывали, как ненадежные?


Линукс (Heimdal-7.1) при аутентификации на AD соглашается на: "Ticket etype: arcfour-hmac-md5"


"Kerberos и OpenBSD"
Отправлено reset , 18-Апр-07 17:56 
Поставил галочку
Без предварительной проверки подлинности Kerberos
но результат тот же
Incorrect password

Ethereal показывает что обмен идет,сообщение о ошибки pre_auth нет.
Вроде бы даже билет приходит



"Kerberos и OpenBSD"
Отправлено Mikhail , 18-Апр-07 18:45 
"Вроде бы" - или приходит?
Дебаг для kerberos (в AD) включен? Если нет - почему? Если да - что говорит?
Не помню точно, но, вроде бы, md5 AD не поддерживает. Если разрешить для клиента single-DES - тоже ошибка?

"Kerberos и OpenBSD"
Отправлено reset , 19-Апр-07 09:35 
Если ты про ключ в
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Registry Value: LogLevel
Value Type: REG_DWORD
Value Data: 0x1
, то да
Ошибок связанных с моим запросом нет.
Разрешил только DES в AD
в конфе
default_tgs_enctypes = des-cbc-crc
default_tkt_enctypes = des-cbc-crc
Ты это имел в виду?
в также (((
password incorrect

вот че показывает TCPDUMP
User Datagram Protocol, Src Port: 7453 (7453), Dst Port: kerberos (88)
Kerberos AS-REQ
    Pvno: 5
    MSG Type: AS-REQ (10)
    KDC_REQ_BODY
        Padding: 0
        KDCOptions: 00800000 (Renewable)
        Client Name (Principal): sas
        Realm: имя_доиена
        Server Name (Principal): krbtgt/имя_домена
        till: 2007-04-19 15:13:11 (Z)
        rtime: 2007-05-19 05:13:11 (Z)
        Nonce: 3705528132
        Encryption Types: des3-cbc-sha1 des3-cbc-sha rc4-hmac des-cbc-md5 des-cbc-md4 des-cbc-crc
            Encryption type: des3-cbc-sha1 (16)
            Encryption type: des3-cbc-sha (5)
            Encryption type: rc4-hmac (23)
            Encryption type: des-cbc-md5 (3)
            Encryption type: des-cbc-md4 (2)
            Encryption type: des-cbc-crc (1)
        HostAddresses: адрес клиента
            HostAddress адрес клиента
                Addr-type: IPv4 (2)
                IP Address: адрес клиента (адрес клиента)

User Datagram Protocol, Src Port: kerberos (88), Dst Port: 7453 (7453)
Kerberos AS-REP
    Pvno: 5
    MSG Type: AS-REP (11)
    padata: PA-PW-SALT
        Type: PA-PW-SALT (3)
            Value: 564F4C474F475241442E494D50455842...
    Client Realm: VOLGOGRAD.IMPEXBANK.RU
    Client Name (Principal): имя_клиента
        Name-type: Principal (1)
        Name: sas
    Ticket
        Tkt-vno: 5
        Realm: доменное имя клиента
        Server Name (Principal): krbtgt/домен
            Name-type: Principal (1)
            Name: krbtgt
            Name: домен
        enc-part rc4-hmac
            Encryption type: rc4-hmac (23)
            Kvno: 2
            enc-part: B69F0FD54BF2FFBAE8F4D4AAD45B3FCF...
    enc-part des-cbc-md5
        Encryption type: des-cbc-md5 (3)
        Kvno: 4
        enc-part: 767D58C25A56D25E5B9D4DA0215D71D2...


"Kerberos и OpenBSD"
Отправлено Mikhail , 19-Апр-07 13:57 
1) ты ответил не на все заданные вопросы
2) klist (-v) что говорит?
3) может, все-таки "password incorrect"? Попробуй упростить (лишние символы, кодировку). У меня так было - задал как-то слишком длинную строку.

"Kerberos и OpenBSD"
Отправлено reset , 19-Апр-07 14:11 
>1) ты ответил не на все заданные вопросы
>2) klist (-v) что говорит?
>3) может, все-таки "password incorrect"? Попробуй упростить (лишние символы, кодировку). У меня
>так было - задал как-то слишком длинную строку.


1)на какой?

2)
klist: No ticket file: /tmp/krb5cc_0

3)да пароль сложный,но верный.
  Но политика домена такая.

че то я совсем в тупике.
Подскажите а поле ticket в ответе не говорит о том что билет пришел.


"Kerberos и OpenBSD"
Отправлено reset , 20-Апр-07 11:11 
Все наконец-то.
Ура получилось.
Все просто до тошноты

[libdefaults]
    default_realm = VLG.HOME.RU
    clockskew = 300
[realms]
    VLG.HOME.RU= {
        # Specify KDC here
        kdc = DC1.VLG.HOME.RU
        # Administration server, used for creating users etc.
        admin_server = DC1.VLG.HOME.RU
    }

Огромное спасибо всем за помощь.Особенно Mikhail!