Dessa Simpson's questions

Estamos prestes a usar o Active Directory para autenticar nossos usuários no Jira e no Confluence. Atualmente, o Confluence usa o diretório de usuários do Jira. Há apenas um problema que eu posso ver. Um usuário tem um nome de usuário incompatível - no Jira, ele é firstname.l, onde l é a última inicial. No AD, eles são apenas o primeiro nome. Qual é a maneira mais fácil de alterar o nome de usuário para (ou mover todas as suas coisas para um novo usuário chamado) nome?

Estou lutando com isso há cerca de uma semana. Estou tentando obter um servidor RADIUS para autenticar em nosso Active Directory baseado em Samba, mas não consigo fazê-lo funcionar. Por causa de nossa infraestrutura, o PAP não funcionará. Como o AD não oferece uma boa senha de texto simples conhecida, o CHAP não funcionará. Então isso deixa MSCHAP.

O servidor RADIUS está em sua própria VM. A referida VM está vinculada ao domínio com o Winbind. Eu tenho o seguinte /etc/raddb/mods-available/mschap:

$ cat /etc/raddb/mods-available/mschap|grep -Ev '^\s*(#|$)'
mschap {
    ntlm_auth = "/usr/bin/ntlm_auth --request-nt-key --username=%{%{Stripped-User-Name}:-%{%{User-Name}:-None}} --challenge=%{%{mschap:Challenge}:-00} --nt-response=%{%{mschap:NT-Response}:-00}"
    winbind_username = "%{mschap:User-Name}"
    winbind_domain = "[domain]"
    winbind_retry_with_normalised_username = yes
    pool {
            start = ${thread[pool].start_servers}
            min = ${thread[pool].min_spare_servers}
            max = ${thread[pool].max_servers}
            spare = ${thread[pool].max_spare_servers}
            uses = 0
            retry_delay = 30
            lifetime = 86400
            cleanup_interval = 300
            idle_timeout = 600
    }
}

Quando tenho uma tentativa de autenticação do cliente, a radiusd -Xsaída relevante é:

Listening on auth address * port 1812 bound to server default
Listening on acct address * port 1813 bound to server default
Listening on auth address :: port 1812 bound to server default
Listening on acct address :: port 1813 bound to server default
Listening on auth address 127.0.0.1 port 18120 bound to server inner-tunnel
Ready to process requests
(0) Received Access-Request Id 22 from 192.168.6.179:43922 to 192.168.6.192:1812 length 180
(0)   Service-Type = Framed-User
(0)   Framed-Protocol = PPP
(0)   NAS-Port = 15728668
(0)   NAS-Port-Type = Virtual
(0)   User-Name = "duncan"
(0)   Calling-Station-Id = "192.168.6.100"
(0)   Called-Station-Id = "192.168.6.179"
(0)   MS-CHAP-Challenge = 0x7fd91ada13b38b1800f2f5c1b9a107e4
(0)   MS-CHAP2-Response = 0x01000ff84b43a7f4d54b20da108b5f6a76480000000000000000b366008c649fc36a4a9bfb044f65dc8daf3aee10ad679141
(0)   NAS-Identifier = "MikroTik"
(0)   NAS-IP-Address = 192.168.6.179
(0) # Executing section authorize from file /usr/local/etc/raddb/sites-enabled/default
(0)   authorize {
(0)     policy filter_username {
(0)       if (&User-Name) {
(0)       if (&User-Name)  -> TRUE
(0)       if (&User-Name)  {
(0)         if (&User-Name =~ / /) {
(0)         if (&User-Name =~ / /)  -> FALSE
(0)         if (&User-Name =~ /@[^@]*@/ ) {
(0)         if (&User-Name =~ /@[^@]*@/ )  -> FALSE
(0)         if (&User-Name =~ /\.\./ ) {
(0)         if (&User-Name =~ /\.\./ )  -> FALSE
(0)         if ((&User-Name =~ /@/) && (&User-Name !~ /@(.+)\.(.+)$/))  {
(0)         if ((&User-Name =~ /@/) && (&User-Name !~ /@(.+)\.(.+)$/))   -> FALSE
(0)         if (&User-Name =~ /\.$/)  {
(0)         if (&User-Name =~ /\.$/)   -> FALSE
(0)         if (&User-Name =~ /@\./)  {
(0)         if (&User-Name =~ /@\./)   -> FALSE
(0)       } # if (&User-Name)  = notfound
(0)     } # policy filter_username = notfound
(0)     [preprocess] = ok
(0) mschap: Found MS-CHAP attributes.  Setting 'Auth-Type  = mschap'
(0)     [mschap] = ok
(0)     [digest] = noop
(0) files: users: Matched entry DEFAULT at line 181
(0)     [files] = ok
(0)     [expiration] = noop
(0)     [logintime] = noop
(0) pap: WARNING: No "known good" password found for the user.  Not setting Auth-Type
(0) pap: WARNING: Authentication will fail unless a "known good" password is available
(0)     [pap] = noop
(0)   } # authorize = ok
(0) Found Auth-Type = mschap
(0) # Executing group from file /usr/local/etc/raddb/sites-enabled/default
(0)   authenticate {
(0) mschap: Creating challenge hash with username: duncan
(0) mschap: Client is using MS-CHAPv2
(0) mschap: Executing: /usr/bin/ntlm_auth --request-nt-key --username=%{%{Stripped-User-Name}:-%{%{User-Name}:-None}} --challenge=%{%{mschap:Challenge}:-00} --nt-response=%{%{mschap:NT-Response}:-00}:
(0) mschap: EXPAND --username=%{%{Stripped-User-Name}:-%{%{User-Name}:-None}}
(0) mschap:    --> --username=duncan
(0) mschap: Creating challenge hash with username: duncan
(0) mschap: EXPAND --challenge=%{%{mschap:Challenge}:-00}
(0) mschap:    --> --challenge=6c2a06548de859d5
(0) mschap: EXPAND --nt-response=%{%{mschap:NT-Response}:-00}
(0) mschap:    --> --nt-response=b366008c649fc36a4a9bfb044f65dc8daf3aee10ad679141
(0) mschap: ERROR: Program returned code (1) and output 'Logon failure (0xc000006d)'
(0) mschap: External script failed
(0) mschap: ERROR: External script says: Logon failure (0xc000006d)
(0) mschap: ERROR: MS-CHAP2-Response is incorrect
(0)     [mschap] = reject
(0)   } # authenticate = reject
(0) Failed to authenticate the user
(0) Using Post-Auth-Type Reject
(0) # Executing group from file /usr/local/etc/raddb/sites-enabled/default
(0)   Post-Auth-Type REJECT {
(0) attr_filter.access_reject: EXPAND %{User-Name}
(0) attr_filter.access_reject:    --> duncan
(0) attr_filter.access_reject: Matched entry DEFAULT at line 11
(0)     [attr_filter.access_reject] = updated
(0)   } # Post-Auth-Type REJECT = updated
(0) Delaying response for 1.000000 seconds
Waking up in 0.6 seconds.
Waking up in 0.3 seconds.
(0) Sending delayed response
(0) Sent Access-Reject Id 22 from 192.168.6.192:1812 to 192.168.6.179:43922 length 103
(0)   MS-CHAP-Error = "\001E=691 R=1 C=06f7ce6fa5be464d72e8def2f9634910 V=3 M=Authentication rejected"
Waking up in 3.9 seconds.
(0) Cleaning up request packet ID 22 with timestamp +8
Ready to process requests

E a saída do nível 5 do log do samba:

[2018/03/19 11:13:13.166062,  3] ../libcli/auth/schannel_state_tdb.c:190(schannel_fetch_session_key_tdb)
  schannel_fetch_session_key_tdb: restored schannel info key SECRETS/SCHANNEL/GS-RADIUS
[2018/03/19 11:13:13.166160,  3] ../source4/auth/ntlm/auth.c:271(auth_check_password_send)
  auth_check_password_send: Checking password for unmapped user [AD]\[duncan]@[\\GS-RADIUS]
[2018/03/19 11:13:13.166171,  5] ../source4/auth/ntlm/auth_util.c:57(map_user_info_cracknames)
  map_user_info_cracknames: Mapping user [AD]\[duncan] from workstation [\\GS-RADIUS]
  auth_check_password_send: mapped user is: [AD]\[duncan]@[\\GS-RADIUS]
[2018/03/19 11:13:13.166994,  5] ../source4/auth/ntlm/auth.c:67(auth_get_challenge)
  auth_get_challenge: returning previous challenge by module netr_LogonSamLogonWithFlags (normal)
[2018/03/19 11:13:13.167006,  5] ../lib/util/util.c:555(dump_data)
  [0000] 2D F2 C3 E3 15 05 ED 58                             -......X
[2018/03/19 11:13:13.167502,  2] ../libcli/auth/ntlm_check.c:424(ntlm_password_check)
  ntlm_password_check: NTLMv1 passwords NOT PERMITTED for user duncan
[2018/03/19 11:13:13.167518,  3] ../libcli/auth/ntlm_check.c:431(ntlm_password_check)
  ntlm_password_check: NEITHER LanMan nor NT password supplied for user duncan
[2018/03/19 11:13:13.167630,  5] ../source4/dsdb/common/util.c:5252(dsdb_update_bad_pwd_count)
  Not updating badPwdCount on CN=duncan,CN=Users,DC=ad,DC=goldblattsystems,DC=com after wrong password
[2018/03/19 11:13:13.167656,  2] ../source4/auth/ntlm/auth.c:430(auth_check_password_recv)
  auth_check_password_recv: sam_ignoredomain authentication for user [AD\duncan] FAILED with error NT_STATUS_WRONG_PASSWORD
[2018/03/19 11:13:13.348906,  3] ../source4/smbd/service_stream.c:66(stream_terminate_connection)
  Terminating connection - 'ldapsrv_call_loop: tstream_read_pdu_blob_recv() - NT_STATUS_CONNECTION_DISCONNECTED'
[2018/03/19 11:13:13.348929,  3] ../source4/smbd/process_single.c:114(single_terminate)
  single_terminate: reason[ldapsrv_call_loop: tstream_read_pdu_blob_recv() - NT_STATUS_CONNECTION_DISCONNECTED]

O que está causando isso? Como posso corrigi-lo?

Estou tentando usar o módulo LDAP para autenticar clientes radius no diretório ativo, então preciso que ele realmente use o LDAP como autenticador. No entanto, parece que a senha do usuário não está sendo definida. Em primeiro lugar, a senha do usuário deve ser enviada pelo cliente ou pelo servidor de backend? Minha principal dúvida é: o que estou fazendo de errado?

E sim, estou ciente de que os logs estão gritando "não faça isso" para mim, mas lendo o leia-me parece que geralmente é um bom conselho, mas o AD exige isso.

Estou tentando configurar um servidor radius para autenticar no LDAP, mas estou enfrentando um problema estranho:

rlm_ldap (ldap): Bind with radiusd@[domain] to ldaps://localhost:636 failed: Strong(er) authentication required
rlm_ldap (ldap): Server said: BindSimple: Transport encryption required..

Como você pode ver por ldaps://, ele está usando segurança de transporte. O que está acontecendo aqui? Como posso consertar isso?

EDIT: pensei em tentar com starttls. Não resolveu nada:

rlm_ldap (ldap): Bind with radiusd@[domain] to ldap://localhost:389 failed: Strong(er) authentication required
rlm_ldap (ldap): Server said: BindSimple: Transport encryption required..

EDIT 2: O inferno? Até faz isso quando eu o canalizo através do stunnel.

rlm_ldap (ldap): Bind with radiusd@[domain] to ldap://localhost:3636 failed: Strong(er) authentication required
rlm_ldap (ldap): Server said: BindSimple: Transport encryption required..

Acabei de vincular minha estação de trabalho Arch Linux ao Samba AD que configurei para nossa empresa. Eu testei e funcionou, ou assim eu pensei. Aceitou minha senha, criou meu homedir e tudo mais, e me conectou. O que esqueci de testar foi o que não aceitava. Acontece que, desde que o nome de usuário seja válido (AD ou local, não importa), ele aceitará qualquer senha. Alguém pode me indicar o que fiz de errado?

Estou usando SSSD para gerenciar a conexão AD. Aqui está o meu /etc/pam.d/system-auth:

#%PAM-1.0

auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        sufficient    pam_sss.so use_first_pass
auth        required      pam_env.so

account     required      pam_unix.so
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     [default=bad success=ok user_unknown=ignore] pam_sss.so
account     required      pam_permit.so

password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password    sufficient    pam_sss.so use_authtok
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     optional      pam_mkhomedir.so umask=0077
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
session     optional      pam_sss.so

Estou tentando configurar a replicação entre dois bancos de dados MariaDB, mas recebo o seguinte erro no phpMyAdmin:

Error 'Character set '#610' is not a compiled character set and is not specified in the '/usr/share/mysql/charsets/Index.xml' file' 

Eu verifiquei mysqld --verbose --helpe ambos têm UTF-8 como seus conjuntos de caracteres padrão.

Parece que deve ser simples, mas não consigo encontrar nenhuma informação real: é possível ter dois servidores separados, um executando dnsmasq fazendo DHCP enquanto o servidor TFTP (ou HTTP) está sendo executado em uma máquina separada?