Автор Тема: xfreerdp и аутентификация на windows server 2016 внутри домена  (Прочитано 824 раз)

Оффлайн sirares

  • Давно тут
  • **
  • Сообщений: 201
Здравствуйте, не работает xfreerdp аутентификация на контроллере домена Windows Server 2016 внутри домена, при этом на простые рабочие станции на W10 и Альтлинукс - все нормально, даже не на контроллере домена W2016 - все ОК.
Поиск по просторам интернета говорит, на RedOS  что необходимы дополнительные пакеты freerdp-krb - это ссылка на документацию. Самого пакета я так и не нашел, нет его и в CentOS.
это ошибка соединения
Спойлер
Цитировать
[AVHWDeviceContext @ 0x7fa47031cac0] Failed to initialise VAAPI connection: -1 (unknown libva error).
[10:20:34:093] [18692:18693] [ERROR][com.freerdp.codec] - Could not initialize hardware decoder, falling back to software: Ошибка ввода/вывода
[10:20:34:272] [18692:18693] [WARN][com.freerdp.crypto] - Certificate verification failure 'unable to get local issuer certificate (20)' at stack position 1
[10:20:34:272] [18692:18693] [WARN][com.freerdp.crypto] - DC = XX, DC = XXXXXX, CN = RG Main CA
Password:
[10:20:47:789] [18692:18693] [WARN][com.freerdp.core.nla] - SPNEGO received NTSTATUS: STATUS_ACCOUNT_RESTRICTION [0xC000006E] from server
[10:20:47:789] [18692:18693] [ERROR][com.freerdp.core] - nla_recv_pdu:freerdp_set_last_error_ex ERRCONNECT_ACCOUNT_RESTRICTION [0x00020017]
[10:20:47:789] [18692:18693] [ERROR][com.freerdp.core.rdp] - rdp_recv_callback: CONNECTION_STATE_NLA - nla_recv_pdu() fail
[10:20:47:789] [18692:18693] [ERROR][com.freerdp.core.transport] - transport_check_fds: transport->ReceiveCallback() - -1

это удачное соединение на W2016 и выход из него
Спойлер
Цитировать
[AVHWDeviceContext @ 0x7f152c31cac0] Failed to initialise VAAPI connection: -1 (unknown libva error).
[10:32:19:589] [19681:19682] [ERROR][com.freerdp.codec] - Could not initialize hardware decoder, falling back to software: Ошибка ввода/вывода
[10:32:19:602] [19681:19682] [WARN][com.freerdp.core.nego] - Error: SSL_NOT_ALLOWED_BY_SERVER
[10:32:19:613] [19681:19682] [WARN][com.freerdp.core.nego] - Error: SSL_NOT_ALLOWED_BY_SERVER
[10:32:20:529] [19681:19682] [ERROR][com.winpr.timezone] - Unable to get current timezone rule
[10:32:20:930] [19681:19682] [INFO][com.freerdp.gdi] - Local framebuffer format  PIXEL_FORMAT_BGRX32
[10:32:20:931] [19681:19682] [INFO][com.freerdp.gdi] - Remote framebuffer format PIXEL_FORMAT_BGRA32
[10:32:20:964] [19681:19682] [INFO][com.freerdp.channels.rdpsnd.client] - [static] Loaded fake backend for rdpsnd
[10:32:20:965] [19681:19682] [INFO][com.freerdp.channels.drdynvc.client] - Loading Dynamic Virtual Channel rdpgfx
[10:32:48:898] [19681:19681] [ERROR][com.freerdp.core] - freerdp_abort_connect:freerdp_set_last_error_ex ERRCONNECT_CONNECT_CANCELLED [0x0002000B]
подскажите куда копать нужно, пожалуйста
перебор параметров sec  - улучшения не дает
параметр /cert-tofu - то-же мимо.
При первой попытке соединения был запрошен сертификат и согласился его принять.
следующая строка за сертификатом - пароль, т.е. сервер запрашивает пароль и ждет ответа - пароль верный, а вот дальше ни в какую нет соединения - затык на строке
[10:20:47:789] [18692:18693] [ERROR][com.freerdp.core.rdp] - rdp_recv_callback: CONNECTION_STATE_NLA - nla_recv_pdu() fail
соединение со станции на W10  нормальное, но его приходится использовать как  прослойку  для соединения с контроллером.
Подскажите, пожалуйста, куда смотреть дальше

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 19 956
    • Домашняя страница
    • Email
Используйте Альт вместо RedOS.
Андрей Черепанов (cas@)

Оффлайн sirares

  • Давно тут
  • **
  • Сообщений: 201
Так Альт и используется, это уже поиском туда пришел, может у кого-нибудь проблема решена.
В Альте и не работает, и нет дополнительных опций для проверки NLA и Kerberos - их ни у кого нет.
Это единственное, что нашел в других местах. Оказывается это проблема в связи с w2016 и более поздних, при установке дополнительных проверок на сервере rdp с линукса не соединяется, не соединяется ни Ubuntu, ни Debian, ни Centos c Fedora - у всех подобные выхлопы, может я чего-то не так перевожу, но однозначного решения нет, та ссылка в никуда - единственное упоминание о решении!
Поэтому и спросил здесь напрямик, после поисков на форуме - может кто-нибудь знает больше...
А в Альте что-нибудь похожее на freerdp-krb - отсутствует(я его не нашел и в RedOS ;-D)
PS говорят в rdesktop есть аутентификация kerberos, но я тоже не нашел в справке rdesktop --help пока только попытки прикрутить SSPI к xfreerdp

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 19 956
    • Домашняя страница
    • Email
Я собрал freerdp3 с поддержкой Kerberos.
Андрей Черепанов (cas@)

Оффлайн sirares

  • Давно тут
  • **
  • Сообщений: 201
Спасибо, буду пробовать!!! Обратную связь обещаю

Оффлайн sirares

  • Давно тут
  • **
  • Сообщений: 201
Пока не получилось поставить. (
В ветке P10 пакета нет
Спойлер
# # apt-get install xfreerdp3
Чтение списков пакетов... Завершено
Построение дерева зависимостей... Завершено

E: Невозможно найти пакет xfreerdp3
При переходе на Sisyphus он находится, но не ставится
Спойлер
# apt-repo rm all
# apt-repo add 'rpm [alt] http://ftp.altlinux.org/pub/distributions/ALTLinux/Sisyphus x86_64 classic'
# apt-repo add 'rpm [alt] http://ftp.altlinux.org/pub/distributions/ALTLinux/Sisyphus noarch classic'
# apt-get update
Получено: 1 http://ftp.altlinux.org ALTLinux/Sisyphus/x86_64 release [4233B]
Получено: 2 http://ftp.altlinux.org ALTLinux/Sisyphus/noarch release [2854B]
Получено 7087B за 0s (28,0kB/s).
Получено: 1 http://ftp.altlinux.org ALTLinux/Sisyphus/x86_64/classic pkglist [24,7MB]
Получено: 2 http://ftp.altlinux.org ALTLinux/Sisyphus/x86_64/classic release [147B]
Получено: 3 http://ftp.altlinux.org ALTLinux/Sisyphus/noarch/classic pkglist [7307kB]
Получено: 4 http://ftp.altlinux.org ALTLinux/Sisyphus/noarch/classic release [147B]
Получено 32,0MB за 30s (1055kB/s).
Чтение списков пакетов... Завершено
Построение дерева зависимостей... Завершено
# apt-get install xfreerdp3
Чтение списков пакетов... Завершено
Построение дерева зависимостей... Завершено
Некоторые пакеты установить невозможно. Это может означать, что Вы
потребовали невозможного, либо пользуетесь нестабильным репозиторием.
Часть необходимых пакетов либо ещё не создана, либо была удалена
из каталога 'Входящие'.

Так как для выполнения Вашего запроса достаточно одной операции, то
скорее всего этот пакет просто невозможно установить. Сообщите, пожалуйста,
об этом как о найденной ошибке в пакете.
Эти сведения могут помочь найти выход из ситуации:

Следующие пакеты имеют неудовлетворенные зависимости:
  xfreerdp3: Depends: libfreerdp3 (= 3.4.0-alt1:sisyphus+336453.1500.10.1)
E: Извините, `битые' пакеты
#
При попытке установить библиотеку выдает следующее
Спойлер
apt-get install libfreerdp3
Чтение списков пакетов... Завершено
Построение дерева зависимостей... Завершено
Некоторые пакеты установить невозможно. Это может означать, что Вы
потребовали невозможного, либо пользуетесь нестабильным репозиторием.
Часть необходимых пакетов либо ещё не создана, либо была удалена
из каталога 'Входящие'.

Так как для выполнения Вашего запроса достаточно одной операции, то
скорее всего этот пакет просто невозможно установить. Сообщите, пожалуйста,
об этом как о найденной ошибке в пакете.
Эти сведения могут помочь найти выход из ситуации:

Следующие пакеты имеют неудовлетворенные зависимости:
  libfreerdp3: Depends: libavcodec.so.60()(64bit) (>= set:lgKoZ74FgYLY4FeTZErV3Z8VAOtwch1KBVUuTXgApgDJ)
               Depends: libavcodec.so.60(LIBAVCODEC_60)(64bit)
               Depends: libavutil.so.58()(64bit) (>= set:njfHiurMh5U05miiphZ0lAoZDqccbiMOdhVZte1F3K5C)
               Depends: libavutil.so.58(LIBAVUTIL_58)(64bit)
               Depends: libopenh264.so.7()(64bit) (>= set:olSyCJTJbDZ1hzTfSe1)
               Depends: libswresample.so.4()(64bit) (>= set:ifc6Ap1LhHlkUNIp)
               Depends: libswresample.so.4(LIBSWRESAMPLE_4)(64bit)
               Depends: libswscale.so.7()(64bit) (>= set:igBL8r4Jw0)
               Depends: libswscale.so.7(LIBSWSCALE_7)(64bit)
               Depends: libwinpr3 (= 3.4.0-alt1:sisyphus+336453.1500.10.1)
E: Извините, `битые' пакеты
рабочую машину ломать пока не буду, сделаю сегодня подопытного кролика :-)

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 19 956
    • Домашняя страница
    • Email
Проверяйте на Sisyphus или ждите p11 или пересоберите самостоятельно.
Андрей Черепанов (cas@)

Оффлайн gosts 87

  • Завсегдатай
  • *
  • Сообщений: 2 725
  • Дмитрий/Dmitry/德米特里/दिमित्री
При переходе на Sisyphus он находится, но не ставится
И не установится. Пересобирать для p10 надо.

Оффлайн NecroJoke

  • Давно тут
  • **
  • Сообщений: 456
    • Email
Добрый день!
Тоже заинтересовался функционалом, сейчас использую xfreerdp3-3.5.1-alt1.x86_64 из p11, машина у меня введена в домен. Но не удалось добиться прозрачной авторизации. Продолжает запрашивать пароль.
Нашел такое обсуждение, но оно протухшее и быть может уже что то изменилось
https://github.com/FreeRDP/FreeRDP/discussions/8553
А вот тут коллега уточняет функционал, может ему ответят
https://github.com/FreeRDP/FreeRDP/discussions/10216

 

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 19 956
    • Домашняя страница
    • Email
Добрый день!
Тоже заинтересовался функционалом, сейчас использую xfreerdp3-3.5.1-alt1.x86_64 из p11, машина у меня введена в домен. Но не удалось добиться прозрачной авторизации. Продолжает запрашивать пароль.
Нашел такое обсуждение, но оно протухшее и быть может уже что то изменилось
https://github.com/FreeRDP/FreeRDP/discussions/8553
А вот тут коллега уточняет функционал, может ему ответят
https://github.com/FreeRDP/FreeRDP/discussions/10216
Надо включать полную отладку и смотреть. Я включал в 3-ей версии.
Андрей Черепанов (cas@)