Автор Тема: ALT SP + IPA  (Прочитано 5193 раз)

Оффлайн reiss

  • Завсегдатай
  • *
  • Сообщений: 21
ALT SP + IPA
« : 04.12.2020 07:34:28 »
Имею честно купленную в контору ALT SP Workstation
Данную систему мне необходимо прикрутить к серверу IPA
Поелику сервера АЛЬТ 9 мне никто не купил, то IPA стоит на CentOS 7
При настройке ИПА сервера использовалась эта инструкция
https://www.dmosk.ru/miniinstruktions.php?mini=freeipa-centos
При настройке ИПА клиента - инструкция с АЛЬТ вики.
В результате клиентский комп заходит в домен как в масло, без проблем
Заходит, получает сертификат, замечательно виден в панели управления.
Авторизация пользователя домена на сервере по ссш - замечательно.
kinit на клиенте отрабатывает на ура. А вот интерактивного входа по логину/паролю в клиентскую машину - никак.
Неверный, говорит, пароль. Сначала грешил на то, что система не видит юзера сервера.
Завел adduser'ом пользователя, завел его с тем же паролем на сервере. Эмоций ноль.
В логах кербероса такое:
дек 04 10:38:02 gkb34dc.gkb34.ipa krb5kdc[2841](info): TGS_REQ (6 etypes {aes256-cts-hmac-sha1-96(18), aes128-cts-hmac-sha1-96(17), UNSUPPORTED:des3-hmac-sha1(16), DEPRECATED:arcfour-hmac(23), camellia128-cts-cmac(25), camellia256-cts-cmac(2
6)}) 10.174.39.43: ISSUE: authtime 1607053082, etypes {rep=aes256-cts-hmac-sha1-96(18), tkt=aes256-cts-hmac-sha1-96(18), ses=aes256-cts-hmac-sha1-96(18)}, host/comp01.gkb34.ipa@GKB34.IPA for ldap/gkb34dc.gkb34.ipa@GKB34.IPA
дек 04 10:38:02 gkb34dc.gkb34.ipa krb5kdc[2841](info): closing down fd 12
Подозреваю, что он не поддерживает какого-то шифрования, потому не принимает пароль. А по ссш проверяет не сервер, а система, потому ок.
Как это лечить?

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 18 121
    • Домашняя страница
    • Email
Андрей Черепанов (cas@)

Оффлайн reiss

  • Завсегдатай
  • *
  • Сообщений: 21
Re: ALT SP + IPA
« Ответ #2 : 07.12.2020 04:24:14 »
Не помогло. Еще идеи есть?
И проблема, НЯП, в IPA
Потому что доменного .зера пропускает по ssh
Потому как валидность по ССШу проверяет система,
а по интерактиве - IPA
Хотя системы шифрования -  вопрос таки к системе.
Голова уже кругом, подскажите
« Последнее редактирование: 07.12.2020 07:37:31 от reiss »

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 18 121
    • Домашняя страница
    • Email
Re: ALT SP + IPA
« Ответ #3 : 07.12.2020 12:10:42 »
Не помогло. Еще идеи есть?
И проблема, НЯП, в IPA
Потому что доменного .зера пропускает по ssh
Потому как валидность по ССШу проверяет система,
а по интерактиве - IPA
Хотя системы шифрования -  вопрос таки к системе.
Голова уже кругом, подскажите
Не используйте FreeIPA.
Андрей Черепанов (cas@)

Оффлайн yaleks

  • Мастер
  • ***
  • Сообщений: 5 529
Re: ALT SP + IPA
« Ответ #4 : 07.12.2020 16:26:49 »
А рассинхрона по времени нет?

Оффлайн reiss

  • Завсегдатай
  • *
  • Сообщений: 21
Re: ALT SP + IPA
« Ответ #5 : 08.12.2020 04:33:10 »
Не используйте FreeIPA.
Обрежьте провода и выкиньте комп...
А рассинхрона по времени нет?
Нету. Я на сервере спецом поднял ntp. Синхронизация есть.

Условия несколько поменялись. Скачал я с сайта этот 9й сервер, поставил его
Инструкция по настройке так же официальная:
https://www.altlinux.org/FreeIPA#Установка_сервера_FreeIPA
Данная технология включена в состав сервера, есть отдельным пунктом при установке.
Результат ровно тот же. Клиентский пк влетает пулей, а логина никак.
Что не дописано в инструкции? Или что не так?
Что свой сервер не логинит своих же клиентов - у меня слов нет.

Апдейт 2:
Из графической утилиты (почему-то не из инструкции) узнал, что не поставлен пакет
task-auth-freeipa
В репозитории его нет. Выматерился. Подключил репозиторий, поставил пакет. Кстати, можно ли так делать на сертифицированной системе?
Пакет установился, авторизации как не было, так и нет. Не верным, мать ему, пароль.
Что интересно. Когда на сервере сбрасываешь пасс и делаешь на клиенте kinit,
то он говорит, что пароль надо заменить. То есть! До сервера он достучался, пасс увидел, понял, что пасс просрочен. Связь есть.
А когда пытаешься залогиниться вделанным в ИПА админом, ругается по-другому - "не удалось выполнить вход"
То есть пасс съело.
Товарищи, помогите, меня ж за глотку возьмут :)
« Последнее редактирование: 08.12.2020 05:19:05 от reiss »

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 18 121
    • Домашняя страница
    • Email
Re: ALT SP + IPA
« Ответ #6 : 08.12.2020 12:34:05 »
Не используйте FreeIPA.
Обрежьте провода и выкиньте комп...
А рассинхрона по времени нет?
Нету. Я на сервере спецом поднял ntp. Синхронизация есть.

Условия несколько поменялись. Скачал я с сайта этот 9й сервер, поставил его
Инструкция по настройке так же официальная:
https://www.altlinux.org/FreeIPA#Установка_сервера_FreeIPA
Данная технология включена в состав сервера, есть отдельным пунктом при установке.
Результат ровно тот же. Клиентский пк влетает пулей, а логина никак.
Что не дописано в инструкции? Или что не так?
Что свой сервер не логинит своих же клиентов - у меня слов нет.

Апдейт 2:
Из графической утилиты (почему-то не из инструкции) узнал, что не поставлен пакет
task-auth-freeipa
В репозитории его нет. Выматерился. Подключил репозиторий, поставил пакет. Кстати, можно ли так делать на сертифицированной системе?
Пакет установился, авторизации как не было, так и нет. Не верным, мать ему, пароль.
Что интересно. Когда на сервере сбрасываешь пасс и делаешь на клиенте kinit,
то он говорит, что пароль надо заменить. То есть! До сервера он достучался, пасс увидел, понял, что пасс просрочен. Связь есть.
А когда пытаешься залогиниться вделанным в ИПА админом, ругается по-другому - "не удалось выполнить вход"
То есть пасс съело.
Товарищи, помогите, меня ж за глотку возьмут :)
Вы знали не что идти.
Пишите в техподдержку, если не готовы общаться по-человечески и ленитесь читать документацию по FreeIPA.
Андрей Черепанов (cas@)

Оффлайн reiss

  • Завсегдатай
  • *
  • Сообщений: 21
Re: ALT SP + IPA
« Ответ #7 : 08.12.2020 13:08:00 »
Пишите в техподдержку, если не готовы общаться по-человечески
Не вполне понимаю суть претензий. Я, по-моему, пишу нормально. Описываю все предпринимаемые мной шаги и результаты их выполнения.
Не используйте FreeIPA.
А это вы считаете нормальным ответом?
Не могу не использовать, понимаете? Нету у меня сервера для MS AD и никто мне его не купит.
Вопрос - как сделать.
и ленитесь читать документацию по FreeIPA.
Как раз не ленюсь. Но вот моей ситуации нет ни в одной инструкции.
Кстати, буду вам весьма признателен, если дадите вменяемую инструкцию по IPA.
По его возможностям и инструкцию по хотя бы базовым функциям.
Офсайт читал. Первые 5 страниц яндекса тоже.
В настоящий момент сижу перед его веб-интерфейсом и пытаюсь освоить методом тыка,
потому как инструкций по нему так же нет в природе.

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 18 121
    • Домашняя страница
    • Email
Re: ALT SP + IPA
« Ответ #8 : 08.12.2020 13:59:12 »
Пишите в техподдержку, если не готовы общаться по-человечески
Не вполне понимаю суть претензий. Я, по-моему, пишу нормально. Описываю все предпринимаемые мной шаги и результаты их выполнения.
Вы изначально взяли неверное целеполагание и выбор инструмента. Как результат — пытаетесь решать те проблемы, которые обусловлены неверным начальным выбором.
Цитировать
Не используйте FreeIPA.
А это вы считаете нормальным ответом?
Не могу не использовать, понимаете? Нету у меня сервера для MS AD и никто мне его не купит.
Что мешает использовать samba-dc (https://www.altlinux.org/ActiveDirectory/DC) с несопоставимо меньшим количеством проблем?
А мой совет основывается на опыте стендирования FreeIPA в Газпроме и РЖД.
Цитировать
и ленитесь читать документацию по FreeIPA.
Как раз не ленюсь. Но вот моей ситуации нет ни в одной инструкции.
Кстати, буду вам весьма признателен, если дадите вменяемую инструкцию по IPA.
По его возможностям и инструкцию по хотя бы базовым функциям.
Офсайт читал. Первые 5 страниц яндекса тоже.
В настоящий момент сижу перед его веб-интерфейсом и пытаюсь освоить методом тыка,
потому как инструкций по нему так же нет в природе.
Неужели? https://www.freeipa.org/page/Documentation
Вторая ссылка в выдаче Google. Вы мне вот после этого будете говорить «не ленюсь»?
Андрей Черепанов (cas@)

Оффлайн reiss

  • Завсегдатай
  • *
  • Сообщений: 21
Re: ALT SP + IPA
« Ответ #9 : 09.12.2020 04:32:55 »
Вы изначально взяли неверное целеполагание и выбор инструмента.
Хорошо. Давайте начнем сначала.
на опыте стендирования FreeIPA в Газпроме и РЖД.
О как. не знал, что у вас настолько серьезный опыт. Тогда может подскажете.
Изначальная цель - создать аналог АД. Потому что, как сказано, нам сервер от MS никто не купит.
Что мы хотим видеть, помимо централизованного хранилища паролей?
1. Наличие аналога групповых политик. Возможность удаленно запускать скрипты и регулировать переменные окружения
2. Возможность централизованного обновления программ
3. Возможность создания динамических профилей. Чтобы человек, залогинившись с любого ПК, получил свой рабочий стол, ярлыки, настройки и пассы браузера

Честно вам скажу, про само существование IPA узнал неделю назад.
Не, с линуксом я имею дело с 2004 г, но вот на уровне сетей и доменов не приходилось.
Максимум, как шлюз инета, апач, днс и прочее.
Реализуем ли такой функционал в принципе на свободной платформе? Не важно, ИПА или Самба.

Неужели?
Ужели. Я вот там, допустим, не дочитался, как через ИПА дать юзеру права на sudo

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 18 121
    • Домашняя страница
    • Email
Re: ALT SP + IPA
« Ответ #10 : 09.12.2020 08:14:47 »
« Последнее редактирование: 09.12.2020 14:48:52 от Skull »
Андрей Черепанов (cas@)

Оффлайн reiss

  • Завсегдатай
  • *
  • Сообщений: 21
Re: ALT SP + IPA
« Ответ #11 : 09.12.2020 12:28:48 »
На Samba реализуется.
А на ИПА, я так понимаю, не реализуется?
А что про профили? Такое реализуемо?

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 18 121
    • Домашняя страница
    • Email
Re: ALT SP + IPA
« Ответ #12 : 09.12.2020 14:49:29 »
На Samba реализуется.
А на ИПА, я так понимаю, не реализуется?
А что про профили? Такое реализуемо?
Roaming profiles уже много лет.
Андрей Черепанов (cas@)

Оффлайн reiss

  • Завсегдатай
  • *
  • Сообщений: 21
Re: ALT SP + IPA
« Ответ #13 : 10.12.2020 07:33:06 »
Roaming profiles уже много лет.
Если можно, дайте ссылку, как это сделать. Привязав при этом к Samba DC
Или данный функционал туда уже включен?
Тогда поподробнее, как это реализовать и как оно работает?

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 18 121
    • Домашняя страница
    • Email
Re: ALT SP + IPA
« Ответ #14 : 10.12.2020 09:30:53 »
Roaming profiles уже много лет.
Если можно, дайте ссылку, как это сделать. Привязав при этом к Samba DC
Или данный функционал туда уже включен?
Тогда поподробнее, как это реализовать и как оно работает?
https://wiki.samba.org/index.php/Roaming_Windows_User_Profiles
Андрей Черепанов (cas@)