Автор Тема: XRDP и доменная учетка  (Прочитано 17506 раз)

Оффлайн RNeftulaev

  • Начинающий
  • *
  • Сообщений: 18
XRDP и доменная учетка
« : 03.08.2018 14:38:50 »
Приветствую! Стоит домен на windows server 2008 r2, с машины с windows 7 пытаюсь подключиться к компьютеру с Alt Linux рабочая станция. Комп введен в домен и отлично работает с доменными учетками. Возник вопрос о подключении к машине с виндовой для решения проблем пользователя. Настроил sesman.ini, добавил группу доменных админов в группу tsusers. При подключении по RDP появляется окошко с запросом логина и пароля, но после ввода логина/пароля выдает ошибку: "login failed for display 0". Локальная учетка отрабатывает нормально. Логин пробовал в вариантах:

domain_user
DOMAIN\domain_user
domain_user@DOMAIN

Что ещё нужно докрутить?

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 19 401
    • Домашняя страница
    • Email
Re: XRDP и доменная учетка
« Ответ #1 : 03.08.2018 16:12:29 »
Смотреть pam для xrdp или использовать x2go.
Андрей Черепанов (cas@)

Оффлайн RNeftulaev

  • Начинающий
  • *
  • Сообщений: 18
Re: XRDP и доменная учетка
« Ответ #2 : 06.08.2018 16:06:34 »
Хочу сперва PAM домучить. Интернет говорит, что надо
"@include sesman" вписать в  /etc/pam.d/xrdp-sesman. Но в Альте другой формат файла. Как тут это вписать?

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 19 401
    • Домашняя страница
    • Email
Re: XRDP и доменная учетка
« Ответ #3 : 06.08.2018 17:33:39 »
Хочу сперва PAM домучить. Интернет говорит, что надо
"@include sesman" вписать в  /etc/pam.d/xrdp-sesman. Но в Альте другой формат файла. Как тут это вписать?
Зачем? xrdp-sesman использует системную аутентификацию (system-auth). На сервере, естественно. У Вас на сервере xrdp какая control system-auth (под root)?
И логи аутентификации смотреть. И уровень отладки sessman увеличивать.
Андрей Черепанов (cas@)

Оффлайн RNeftulaev

  • Начинающий
  • *
  • Сообщений: 18
Re: XRDP и доменная учетка
« Ответ #4 : 07.08.2018 09:51:00 »
control system-auth
sss

Уровень логирования - debug

xrdp-sessman.log

[20180807-08:15:48] [DEBUG] libscp initialized
[20180807-08:15:48] [DEBUG] Testing if xrdp-sesman can listen on 127.0.0.1 port
[20180807-08:15:48] [INFO ] starting xrdp-sesman with pid 624
[20180807-08:15:49] [INFO ] listening to port 3350 on 127.0.0.1
[20180807-08:15:48] [DEBUG] Closed socket 6 (AF_INET 127.0.0.1:3350)
[20180807-09:00:39] [INFO ] A connection received from 127.0.0.1 port 53704
[20180807-09:00:40] [INFO ] login denied for user ******
[20180807-09:00:40] [DEBUG] Closed socket 9 (AF_INET 127.0.0.1:3350)

xrdp.log

[20180807-09:12:14] [DEBUG] Closed socket 12 (AF_INET *.*.*.*:3389)
[20180807-09:12:14] [INFO ] Socket 12: AF_INET connection received from *.*.*.* port 49688
[20180807-09:12:14] [ERROR] Listening socket is in wrong state, terminating list
[20180807-09:12:14] [DEBUG] Closed socket 11 (AF_INET 0.0.0.0:3389)
[20180807-09:12:14] [DEBUG] Closed socket 12 (AF_INET *.*.*.*:3389)
[20180807-09:12:14] [CORE ] shutting down log subsystem...
[20180807-09:12:14] [INFO ] Using default X.509 certificate: /etc/xrdp/cert.pem
[20180807-09:12:14] [INFO ] Using default X.509 key file: /etc/xrdp/key.pem
[20180807-09:12:14] [DEBUG] TLSv1.2 enabled
[20180807-09:12:14] [DEBUG] TLSv1.1 enabled
[20180807-09:12:14] [DEBUG] TLSv1 enabled
[20180807-09:12:14] [DEBUG] Security layer: requested 11, selected 1
[20180807-09:12:14] [INFO ] connected client computer name: *****
[20180807-09:12:14] [INFO ] TLS connection established from *.*.*.* port 49688: TLSv1.2 with cipher AES256-GCM-SHA384
[20180807-09:12:14] [DEBUG] xrdp_00000429_wm_login_mode_event_00000001
[20180807-09:12:14] [INFO ] Loading keymap file /etc/xrdp/km-00000409.ini
[20180807-09:12:14] [WARN ] local keymap file for 0x00000409 found and doesn't match built in keymap, using local keymap file
[20180807-09:12:40] [DEBUG] xrdp_wm_log_msg: connecting to sesman ip 127.0.0.1 port 3350
[20180807-09:12:41] [INFO ] xrdp_wm_log_msg: sesman connect ok
[20180807-09:12:41] [DEBUG] xrdp_wm_log_msg: sending login info to session manager, please wait...
[20180807-09:12:41] [DEBUG] return value from xrdp_mm_connect 0
[20180807-09:00:40] [INFO ] xrdp_wm_log_msg: login failed for display 0
[20180807-09:00:40] [DEBUG] xrdp_mm_module_cleanup
[20180807-09:00:40] [DEBUG] Closed socket 18 (AF_INET 127.0.0.1:53704)
[20180807-09:00:44] [DEBUG] Closed socket 12 (AF_INET *.*.*.*:3389)
[20180807-09:00:44] [DEBUG] xrdp_mm_module_cleanup
[20180807-09:00:44] [ERROR] Listening socket is in wrong state, terminating listener
[20180807-09:00:44] [CORE ] shutting down log subsystem...
[20180807-09:12:13] [INFO ] Socket 12: AF_INET connection received from *.*.*.* port 49688
[20180807-09:12:13] [DEBUG] Closed socket 12 (AF_INET *.*.*.*:3389)
[20180807-09:12:13] [DEBUG] Closed socket 11 (AF_INET 0.0.0.0:3389)
[20180807-09:12:13] [INFO ] Using default X.509 certificate: /etc/xrdp/cert.pem
[20180807-09:12:13] [INFO ] Using default X.509 key file: /etc/xrdp/key.pem
[20180807-09:12:13] [DEBUG] TLSv1.2 enabled
[20180807-09:12:14] [DEBUG] TLSv1.1 enabled
[20180807-09:12:14] [DEBUG] TLSv1 enabled
[20180807-09:12:14] [DEBUG] Security layer: requested 11, selected 1
[20180807-09:12:14] [DEBUG] Closed socket 12 (AF_INET *.*.*.*:3389)
[20180807-09:12:14] [INFO ] Socket 12: AF_INET connection received from *.*.*.* port 49688
[20180807-09:12:14] [ERROR] Listening socket is in wrong state, terminating listener
[20180807-09:12:14] [DEBUG] Closed socket 11 (AF_INET 0.0.0.0:3389)
[20180807-09:12:14] [DEBUG] Closed socket 12 (AF_INET *.*.*.*:3389)
[20180807-09:12:14] [CORE ] shutting down log subsystem...


Пользователь, под которым подключаюсь, входит в группу wheel

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 19 401
    • Домашняя страница
    • Email
Re: XRDP и доменная учетка
« Ответ #5 : 07.08.2018 12:25:42 »
Надо не в группу wheel. Надо в группу tsusers. Или закомментировать в /etcxrdp/sesman.ini строку
TerminalServerUsers=tsuers
Андрей Черепанов (cas@)

Оффлайн RNeftulaev

  • Начинающий
  • *
  • Сообщений: 18
Re: XRDP и доменная учетка
« Ответ #6 : 07.08.2018 12:51:06 »
Да, учетка добавлена в группы tsusers и tsadmins

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 19 401
    • Домашняя страница
    • Email
Re: XRDP и доменная учетка
« Ответ #7 : 07.08.2018 16:16:51 »
https://askubuntu.com/questions/773626/xrdp-login-failed

Увеличивайте MaxLoginRetry=4 в /etc/xrdp/sesman.ini
Андрей Черепанов (cas@)

Оффлайн RNeftulaev

  • Начинающий
  • *
  • Сообщений: 18
Re: XRDP и доменная учетка
« Ответ #8 : 07.08.2018 17:38:30 »
По ходу не  работает подключение групп домена в группы локального компьютера
Удалось подключиться лишь закомментировав строки с tsusers и tsdmins

а ведь система видит меня в нужной группе:

id *****
uid=842001107(*****) gid=842000513(пользователи домена) группы=842000513(пользователи домена),842000512(администраторы домена)100(users),80(cdwriter),22(cdrom),81(audio),468(video),19(proc),83(radio),480(camera),71(floppy),498(xgrp),499(scanner),14(uucp),492(vboxusers),466(fuse),456(localadmins),10(wheel),455(remote),7(lp),3(sys),453(tsadmins),454(tsusers)

И почему-то рабочий стол показывается без панелей

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 19 401
    • Домашняя страница
    • Email
Re: XRDP и доменная учетка
« Ответ #9 : 08.08.2018 03:36:20 »
На странице altlinux.org/ActiveDirectory/Login написано о настройке маппирования доменных групп на локальные.
Андрей Черепанов (cas@)

Оффлайн RNeftulaev

  • Начинающий
  • *
  • Сообщений: 18
Re: XRDP и доменная учетка
« Ответ #10 : 08.08.2018 08:32:08 »
Не поверите, но конфигурировал систему именно по этому мануалу. Я ж говорю: логинюсь с доменной учеткой на ура, спокойно использую с ней sudo и отлично монтирую шары. Кстати, даже на диалог о вводе логина не мог зайти, пока не нашел на этом форуме Ваши слова о группах tsusers и tsadmins. Поэтому, собственно, встал вопрос: где косяк с XRDP, если все остальное практически не имеет нареканий.

Оффлайн RNeftulaev

  • Начинающий
  • *
  • Сообщений: 18
Re: XRDP и доменная учетка
« Ответ #11 : 13.08.2018 14:11:01 »
В общем, перерыв интернет вдоль и поперек, обнаружил 2 мнения:

1. надо докручивать в pam.d\xrdp-session
2. пакет собран с не той поддержкой аутентификации.

Плюнул на это и поставил, собственно, x2go. Тут уже доменная учетка прошла, но во-первых он каждый раз ругается на звук, и снятие галочки в media его убеждает только на один раз, а во-вторых весь вопрос был не сколько в подключении в терминальной сессии к машине, а подключение к рабочему столу юзера. То бишь случилась у него большая беда, он звонит мне и горестно плакает, что все пропало. Моя задача - подключиться к нему и посмотреть, что у него пропало и в чем это выражается. Особенно это важно при внедрении продукта в компании, ибо спотыкаться будут часто и с удовольствием, а мотаться по филиалам замучаешься.

Оффлайн yaleks

  • Мастер
  • ***
  • Сообщений: 6 154
Re: XRDP и доменная учетка
« Ответ #12 : 13.08.2018 15:24:28 »
подключение к рабочему столу юзера. То бишь случилась у него большая беда, он звонит мне и горестно плакает, что все пропало. Моя задача - подключиться к нему и посмотреть, что у него пропало и в чем это выражается. Особенно это важно при внедрении продукта в компании, ибо спотыкаться будут часто и с удовольствием, а мотаться по филиалам замучаешься.
В RHEL6, Mint и Gentoo сессии типа shadow работают достаточно надежно даже в случае многомониторных конфигураций.

Можно ещё x11vnc попробовать для этого дела (через reverse ssh), но оно без красивых менюшек.

Оффлайн RNeftulaev

  • Начинающий
  • *
  • Сообщений: 18
Re: XRDP и доменная учетка
« Ответ #13 : 13.08.2018 15:38:25 »
Большое спасибо за ответ, буду разбираться!) Единственное, не хотелось заморачиваться с vnc, ибо, по рассказам очевидцев,  трафик кушает безумно.

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 19 401
    • Домашняя страница
    • Email
Re: XRDP и доменная учетка
« Ответ #14 : 13.08.2018 16:26:47 »
В общем, перерыв интернет вдоль и поперек, обнаружил 2 мнения:

1. надо докручивать в pam.d\xrdp-session
2. пакет собран с не той поддержкой аутентификации.
Оба неправильные.
Андрей Черепанов (cas@)