Perguntas[authentication](server)

Eu estava configurando um conjunto de réplicas locais do MongoDB que usa x.509 para autenticar membros do cluster, seguindo este guia .

As opções do arquivo de configuração incluíam dois parâmetros:

certificateKeyFile: <path to its TLS/SSL certificate and key file>
clusterFile: <path to its certificate key file for membership authentication>

Parece que o mongoDB (e, presumo, outros serviços semelhantes) oferece a opção de usar certificados/chaves diferentes para comunicação de servidor para cliente e de servidor para servidor (ou seja, interna).

Isso é comum em administração de rede? Se sim, por quê? Quais seriam as armadilhas (se houver) de usar o mesmo certificado para comunicação interna e de cliente ?

Temos um aplicativo que envia uma solicitação para uma API REST ObjectServer do servidor IBM Tivoli Netcool/OMNIbus 8.1. Ele envia uma solicitação GET http://1.2.3.4/objectserver/restapi/alerts/status?filter=Severity=5%20and%20Manager%20not%20like%20'^.*Watch$'com os seguintes cabeçalhos HTTP:

Authorization: Basic DHCteF92S53fhUY6jlF=
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Content-Type: application/json

A solicitação funciona bem em nosso ambiente de desenvolvimento e a API REST retorna as informações de alerta solicitadas. No entanto, em nosso ambiente de teste, a API REST retorna um erro “401 – Autorização necessária”.

O DHCteF92S53fhUY6jlF=valor no cabeçalho Authorization parece ser algum tipo de token de autenticação e está codificado em nosso aplicativo. O desenvolvedor que escreveu esse código já se foi e não tenho ideia de como esse valor é gerado. Talvez esteja incorreto para nosso ambiente de teste e, portanto, o erro 401. Como esse token de autenticação é gerado?

Recentemente, configuramos um servidor FreeIPA. Estamos usando-o para gerenciamento central de usuários, DNS e CA. Tem funcionado muito bem com uma exceção.

Algumas das estações de trabalho que se autenticam com este servidor FreeIPA estão a vários milhares de quilômetros de distância. O tempo de ida e volta é de cerca de 300 ms. Notamos algumas falhas de autenticação imprevisíveis nessas máquinas. Em um segundo, eles falharão em autenticar uma tentativa de login e, em seguida, conseguirão autenticar apenas alguns segundos depois. Estamos pensando que o atraso é o culpado.

Existe uma maneira de estender o tempo limite nos clientes? Como alternativa, estamos considerando a configuração de uma réplica IPA no local onde residem essas estações de trabalho. Como o link de alta latência afetaria a capacidade da réplica de replicar com o servidor primário?

Um servidor LDAP central fornece dados do usuário como posixAccount, em que os atributos homeDirectorye loginShellestão vazios. Eu quero permitir que os usuários neste servidor LDAP central acessem um sistema Linux.

Se eu usar syncreplpara replicar os dados para um servidor LDAP local, posso usar sssdpara definir o arquivo homeDirectory. Eu também poderia usar sssdpara definir todos loginShellcomo, digamos, /usr/bin/bash.

No entanto, eu gostaria de poder definir loginShelluma base por usuário, principalmente para permitir a configuração do shell /sbin/nologinpara bloquear usuários individuais fora do sistema.

É possível combinar dados replicados com dados locais dessa maneira? Se sim, como?

Estou executando um serviço IMAPS e os usuários são autenticados com um certificado X.509. Funciona bem usando o Thunderbird. Mas como posso me conectar ao serviço IMAPS manualmente usando openssl? Eu uso o mesmo certificado openssl s_clientque no Thunderbird, mas não estou autenticado.

$ openssl s_client -connect $myimapsserver:993 -key my.key -cert my.crt -quiet 
depth=2 C = US, O = Internet Security Research Group, CN = ISRG Root X1
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = R3
verify return:1
depth=0 CN = $myimapsserver
verify return:1
* OK [CAPABILITY IMAP4rev1 UIDPLUS CHILDREN NAMESPACE THREAD=ORDEREDSUBJECT THREAD=REFERENCES SORT QUOTA IDLE AUTH=PLAIN ACL ACL2=UNION AUTH=EXTERNAL ENABLE UTF8=ACCEPT] Courier-IMAP ready. Copyright 1998-2019 Double Precision, Inc.  See COPYING for distribution information.

Meus mapas do Active Directory nos sistemas Ubuntu são muito longos comparados aos meus IDs CentOS Os últimos 4 dígitos correspondem, mas o Ubunutu parece estar adicionando muito mais ao início.

No winbind/samba do CentOS, usei um intervalo para obter os IDs necessários:

    idmap config * : range = 10000-20000
    idmap config * : backend = tdb
    idmap config MYDOMAIN : default = yes
    idmap config MYDOMAIN : range = 10000-24999999
    idmap config MYDOMAIN : backend = rid

O que produziria um ID como 1 1695 no Centos

O Ubuntu 20.04 produz guid/uid de 155880 1695 , que adiciona 155880 e remove o 1 líder de 11695.

Como posso formatar a configuração sssd do Ubuntu para me fornecer o que preciso. Todos os meus arquivos e pastas estão marcados com os IDs do Centos e o CentOS não reconhece esses mais longos?

Espero ter explicado isso ok.

Obrigado :)

Precisa de ajuda para autenticar o servidor linux (Ubuntu) que ingressou no domínio filho. Posso ver o nome do servidor no controlador de domínio e executar o teste de autenticação com êxito, mas não consigo fazer login com minha conta de domínio. Parece que as configurações de configuração em algum lugar para a configuração do SSSD ou KRB5 precisam especificar o domínio filho. Além disso, não é um problema de confiança de domínio, pois os servidores Windows ingressados ​​no domínio filho estão aceitando credenciais das contas pai.

kinit -V [email protected]
Authenticated to Kerberos v5

root@SERVER:/var/log/sssd# systemctl status sssd

Oct 22 17:55:09 SERVER [sssd[ldap_child[27928]: Failed to initialize credentials using keytab [MEMORY:/etc/krb5.keytab]: Client '[email protected]' not found in Kerberos database. Unable to create GSSAPI-encrypted LDAP connection.

ERRO no arquivo de log SSSD

Fri Oct 22 17:32:51 2021) [sssd[be[DOMAIN.SYS]]] [confdb_get_domain_internal] (0x0010): Unknown domain [CHILD.DOMAIN.SYS]
(Fri Oct 22 17:32:51 2021) [sssd[be[DOMAIN.SYS]]] [confdb_get_domains] (0x0010): Error (2 [No such file or directory]) retrieving domain [CHILD.DOMAIN.SYS], skipping!

CONFIGURAÇÃO DE SSSD

root@SERVER:cat /etc/sssd/sssd.conf
[sssd]
services = nss, pam
config_file_version = 2
domains = DOMAIN.SYS, CHILD.DOMAIN.SYS

[nss]
default_shell = /bin/bash

[domain/DOMAIN.SYS]
id_provider = ad
access_provider = ad
override_homedir = /home/%d/%u

ad_hostname = server.child.domain.sys
#ad_server = dc.child.domain.sys
#ad_domain = DOMAIN.SYS

CONFIGURAÇÃO KRB5

root@SERVER: cat /etc/krb5.conf
[libdefaults]
        default_realm = DOMAIN.SYS
        ticket_lifetime = 24h #
        renew_lifetime = 7d
        rdns = false

The following krb5.conf variables are only for MIT Kerberos.
        kdc_timesync = 1
        ccache_type = 4
        forwardable = true
        proxiable = true

Eu tenho uma nova implementação do ADFS em execução no Server 2019. Após a instalação, testei a autenticação para várias contas de usuário usando o /adfs/ls/IdpInitiatedSignon.aspx. A maior parte da conta que testei funcionou bem sem problemas. Existem algumas contas, no entanto, que exibem o seguinte comportamento:

• Entrar com um nome de usuário/senha incorretos resulta em uma mensagem de erro indicando que o nome de usuário/senha está incorreto. Isso é esperado e desejável.
• Fazer login com o nome de usuário/senha corretos resulta em uma atualização de página, exibindo o formulário de login novamente. Não há nenhuma mensagem de erro. Vou chamar isso de "atualizar login" .

No log de eventos de segurança no servidor ADFS, vejo os três eventos a seguir relacionados à "atualização de entrada":

• Evento 4648 - Foi tentado um logon usando credenciais explícitas.
• Evento 4624 - Uma conta foi conectada com sucesso.
• Evento 4625 - Uma conta falhou ao fazer logon (motivo da falha: nome de usuário desconhecido ou senha incorreta)

Algumas informações:

• O ADFS está configurado para usar uma conta de serviço gerenciada por grupo chamada FsGmsa. É membro do Grupo de Acesso de Autorização do Windows.
• "Formulários" e "Autenticação do Microsoft Passport" estão habilitados como os principais métodos de autenticação. Eventualmente, adicionarei o Azure MFA.
• Todos os testes foram executados na intranet.
• Todos os certificados são válidos e não expiraram.
• Obtenho os mesmos resultados para os mesmos usuários, independentemente do computador/dispositivo usado.
• Não consigo encontrar semelhanças ou diferenças entre as contas que funcionam e as contas que não funcionam.

Eu preciso fazer upload e download de arquivos programaticamente por meio de uma conexão sftp para um servidor remoto. Meu nome de usuário tem permissão para acessar um determinado diretório remoto por meio de uma senha, mas não o diretório .ssh. Na verdade, não consigo ssh no servidor remoto. Eu recebo a resposta:

This service allows sftp connections only.
Connection to www.example.com closed.

Mas para o propósito desta pergunta, digamos que eu simplesmente não tenha permissão para copiar minha chave privada no diretório .ssh remoto. Então minha pergunta é:

Como posso configurar meu arquivo local /.ssh/config , para evitar ser solicitado a autenticação de senha?

Obviamente, não posso copiar um par de chaves recém-gerado para o diretório remoto, como sugerido aqui , pelos motivos mencionados acima. Mas devo ter uma chave privada na minha máquina local para a conexão ssh em algum lugar, certo? Não posso simplesmente passar o diretório desse arquivo para a opção IdentityFile?

Aqui está a configuração do módulo Apache HTTP Kerberos em /etc/apache2/sites-available/my.server.tld.conf:

# ...
<Location />
  Authname "SSO Authentication"
  AuthType Kerberos
  KrbAuthRealms MY.DOMAIN.TLD
  KrbServiceName HTTP/[email protected]
  Krb5Keytab /etc/apache2/kerb5.my.server.tld.ktab
  KrbMethodNegotiate On
  KrbMethodK5Passwd On
  Require valid-user
</Location>
# ...

E a configuração do Kerberos em /etc/krb5.conf:

[libdefaults]
  default_realm = MY.DOMAIN.TLD

# ...

[realms]
  MY.DOMAIN.TLD = {
    kdc = my.ad.server.1.tld
    kdc = my.ad.server.2.tld
    admin_server = my.ad.server.1.tld
  }

# ...

[domain_realm]
  friendly.domain.tld = MY.DOMAIN.TLD
  .friendly.domain.tld = MY.DOMAIN.TLD

# ...

O servidor web Apache HTTP está instalado em um Debian GNU/Linux 10.

O arquivo keytab foi gerado no my.ad.server.1.tld, que é um Windows Server, com o ktpasscomando.
Com essa configuração, tudo funciona bem no Edge e no Firefox em máquinas Windows no MY.DOMAIN.TLDdomínio.

Meu problema vem de clientes que usam o Microsoft Edge (o novo com mecanismo Chromium) ou o Google Chrome em máquinas Windows fora do domínio.

Na primeira conexão com my.server.tld, o navegador recebe os cabeçalhos WWW-Authenticate: Negotiatee .WWW-Authenticate: Basic realm="SSO Authentication"

Com o Microsoft Edge, e ao contrário do Firefox, a caixa de diálogo de autenticação que aparece WWW-Authenticate: Negotiatenão é a do navegador, mas uma caixa de diálogo de autenticação do Windows, e não funciona, independentemente do que digitarmos.

Após uma primeira tentativa de login com falha, uma segunda solicitação é emitida pelo navegador, e desta vez ele recebe apenas o WWW-Authenticate: Basic realm="SSO Authentication"cabeçalho. A caixa de diálogo de autenticação do navegador aparece e funciona. A navegação adicional dentro my.server.tldgerará muitas caixas de diálogo de autenticação do Windows em segundo plano. Por exemplo, se houver uma imagem em uma página, ela mostrará uma caixa de diálogo de autenticação para ela.

Percebi que se a máquina Windows estiver conectada na rede interna de MY.DOMAIN.TLDe especificarmos explicitamente o domínio na caixa de diálogo de autenticação do Windows, ela também funcionará bem (ou seja [email protected], como o nome de usuário).

Com tudo isso em mente, agora me pergunto...

• É realmente possível fazê-lo funcionar com a caixa de diálogo Autenticação Integrada do Windows em máquinas Windows?
• Existe uma maneira de "forçar" o domínio a ser usado para a autenticação, para anular a necessidade de especificá-lo explicitamente como [email protected]para máquinas fora do MY.DOMAIN.TLDdomínio?

Eu já tentei adicionar default_domain = my.domain.tlddentro da configuração do reino Kerberos ou obter um Kerberos TGT kinitno servidor Debian GNU/Linux 10 sem sucesso.

Lendo os logs do Apache HTTP com LogLevel trace8cada situação, parece que enquanto uma caixa de diálogo de autenticação do Windows aparece, um token NTLM é retornado, o que faz com que não funcione corretamente.

Quando funciona

Em qualquer lugar com Firefox
OU
Com um computador dentro do domínio, rede interna (Edge ou Chrome)
OU
Com um computador fora do domínio, rede externa e usando [email protected](Edge ou Chrome):

mod_authz_core.c(820): AH01626: authorization result of Require valid-user : denied (no authenticated user yet)
mod_authz_core.c(820): AH01626: authorization result of <RequireAny>: denied (no authenticated user yet)
src/mod_auth_kerb.c(1963): kerb_authenticate_user entered with user (NULL) and auth_type Kerberos
src/mod_auth_kerb.c(1296): Acquiring creds for HTTP/my.server.tld
src/mod_auth_kerb.c(1719): Verifying client data using KRB5 GSS-API
src/mod_auth_kerb.c(1735): Client didn't delegate us their credential
src/mod_auth_kerb.c(1754): GSS-API token of length 180 bytes will be sent back
mod_authz_core.c(820): AH01626: authorization result of Require valid-user : granted
mod_authz_core.c(820): AH01626: authorization result of <RequireAny>: granted

Quando não funciona

Com um computador fora do domínio, rede externa (Edge ou Chrome):

mod_authz_core.c(820): AH01626: authorization result of Require valid-user : denied (no authenticated user yet)
mod_authz_core.c(820): AH01626: authorization result of <RequireAny>: denied (no authenticated user yet)
src/mod_auth_kerb.c(1963): kerb_authenticate_user entered with user (NULL) and auth_type Kerberos
src/mod_auth_kerb.c(1296): Acquiring creds for HTTP/my.server.tld
src/mod_auth_kerb.c(1719): Verifying client data using KRB5 GSS-API
src/mod_auth_kerb.c(1735): Client didn't delegate us their credential
src/mod_auth_kerb.c(1763): Warning: received token seems to be NTLM, which isn't supported by the Kerberos module. Check your IE configuration.
src/mod_auth_kerb.c(1156): GSS-API major_status:00010000, minor_status:00000000
gss_accept_sec_context() failed: An unsupported mechanism was requested (, Unknown error)

A parte chata de tudo isso é que funciona perfeitamente no Firefox, mas não em navegadores com um mecanismo Chromium recente. É porque ele volta para uma autenticação NTLM em vez de uma básica?