Вполне возможно, если врач скажет о вас правду. Знаете, почему у вас нога болит - просто вы туповатый неряшливый тип, не имеющий представлений о гигиене.
А можно сказать по другому, что причиной боли является инфекционное поражение ногтевой пластины.
Не могу назвать мою настройку неправильной, так как просто пользователь был создан до работы скрипта join-to-domain. В итоге я могу аутентифицироваться по ключу, по локальному паролю, по доменному паролю. Поэтому модель безопасности Linux радикально отличается от Windows, и сравнивать их нет смысла.
Для веселых экспериментов можно попробовать сделать "доменную" машину с пользовательской учетной записью вместо компьютерной или с MSA.
Насколько я знаю, компания RedHat является основным спонсором проекта
SSSD - часть FreeIPA. FreeIPA = upstream Red Hat Identity Management. The sssd-devel mailing list: sssd-devel@lists.fedorahosted.org
Как мне кажется, компьютер становится участником домена, когда ему создается отдельная учетная запись. Соглашусь с вами, что Linux-компьютер пользуется не всем доменным инструментарием, который использует Windows, но права доступа в домене у него точно такие же.
Это очень большое упрощение. Принципиальная разница, например в том, что Windows может быть присоединена к одному домену, а Linux может одновременно иметь учетную запись в нескольких доменах. При этом доверительные отношения доменов корректно обрабатываются в Windows, но не Linux.
Присоединение Windows к домену это не только привязка к учетной записи компьютера, но и применение общих политик безопасности. В Linux это как минимум опционально. Кроме политик, в Windows так же реализуется общая концепция безопасности, такая как добавление Domain Admins в локальных администраторов.
Локальные пользователи в Linux остаются локальными пользователями, только у них появляется возможность аутентификации из сторонней системы, а в Windows доменные пользователи это другая сущность.
В общем можно долго искать отличия, но наличие keytab (и обвязки adcli, sssd) ещё не делают Linux концептуально членом домена.
Всё верно, само слово "ненависть" предполагает эмоциональный подход. Является ли решение лучшим или худшим, пусть каждый для себя решит сам. Но, благодаря многим комментаторам сам стал лучше понимать проблему, за что им спасибо.
Starting with upcoming version 1.0.6, Notepad++ for Mac will be renamed to Nextpad++. The new name is a small nod to Mac history. Before returning to Apple in 1996, Steve Jobs founded NeXT, which became the foundation of what is now macOS.
Примеры - Kaspersky web traffic security, Kaspersky secure mail gateway, Kaspersky security center. Всё три сервиса поддерживают аутентификацию в своем веб интерфейсе по Kerberos, и каждый из них может ходить в ldap каталог для синхронизации групп и т.п.
Аналогичная ситуация скорее всего может возникать в linux с ssh gssapi и sssd. Сначала надо извлечь из билета principal, а потом в ldap выяснить применимые к нему политики входа.
Можно при помощи одной строки keytab и расшифровать билет, и аутентифицироваться - получить tgt. Эта возможность часто используется.
некоторый софт, такой как kswts, не принимает upn$
это поведение ktpass по умолчанию, позволяющее выпустить правильный keytab из коробки. К сожалению, разработчики не научили ее брать автоматом upn от -princ
Вкратце так и не заработает, если нужен upn равный spn. А он выглядит не как REALMusername. Для компьютерной учётки тоже не такая соль, но здесь ktpass не промахивается.
Отвечал на это вопрос в статье. Обычно это делается для того, что с одной строкой keytab можно было как расшифровать tgs, так и получать tgt, если сервис куда-то обращается. Но всё верно, можно красивее. Толко, к слову, Kaspersky KWTS принципиально не хочет обращаться к ldap с upn$@REALM. Понятие красоты им неизвестно.
Точно, невнимательно читал. Я начал ей пользоваться в основном для склейки keytab из разных realm.
Но.. Что касается примера от Kaspersky, то в Microsoft так не делают. В приведенной конфигурации было бы 3 учетные записи, по одной на узел кластера и общая с именем и SPN кластера. А вот keytab было бы два, server1 + clustername и server2 + clustername. Более того, почти всю эту красоту можно было бы сделать с adcli, подклеив только кластерный SPN. Но где красота, а где Kaspersky )
Если рабочим получался только последний SPN, это скорее всего результат отсутствия ключа -setupn. Буду рад, если всё получится. Добавлю ещё, что в Linux есть утилита ktutil, позволяющая склеивать несколько keytab, удалять отдельные строки. Не очень удобная, но примитивная.
Да, всё верно, об этом и написал. Причина работоспособности многих "кривых" файлов keytab - в рабочих нечуствительных к соли хешей NTLM, они же ключи RC4. Давайте повторим это в выводах.
Вполне возможно, если врач скажет о вас правду. Знаете, почему у вас нога болит - просто вы туповатый неряшливый тип, не имеющий представлений о гигиене.
А можно сказать по другому, что причиной боли является инфекционное поражение ногтевой пластины.
Он есть
Для человека нет ничего более оскорбительного, чем правда.
Так ведь по просьбам трудящихся.
Не могу назвать мою настройку неправильной, так как просто пользователь был создан до работы скрипта join-to-domain. В итоге я могу аутентифицироваться по ключу, по локальному паролю, по доменному паролю. Поэтому модель безопасности Linux радикально отличается от Windows, и сравнивать их нет смысла.
Для веселых экспериментов можно попробовать сделать "доменную" машину с пользовательской учетной записью вместо компьютерной или с MSA.
Допускаю, что всё так, но
SSSD - часть FreeIPA. FreeIPA = upstream Red Hat Identity Management. The sssd-devel mailing list: sssd-devel@lists.fedorahosted.org
Это очень большое упрощение. Принципиальная разница, например в том, что Windows может быть присоединена к одному домену, а Linux может одновременно иметь учетную запись в нескольких доменах. При этом доверительные отношения доменов корректно обрабатываются в Windows, но не Linux.
Присоединение Windows к домену это не только привязка к учетной записи компьютера, но и применение общих политик безопасности. В Linux это как минимум опционально.
Кроме политик, в Windows так же реализуется общая концепция безопасности, такая как добавление Domain Admins в локальных администраторов.
Локальные пользователи в Linux остаются локальными пользователями, только у них появляется возможность аутентификации из сторонней системы, а в Windows доменные пользователи это другая сущность.
В общем можно долго искать отличия, но наличие keytab (и обвязки adcli, sssd) ещё не делают Linux концептуально членом домена.
Всё верно, само слово "ненависть" предполагает эмоциональный подход. Является ли решение лучшим или худшим, пусть каждый для себя решит сам. Но, благодаря многим комментаторам сам стал лучше понимать проблему, за что им спасибо.
Не уверен, что слово "ровно" в этом случае уместно.
Вам не стыдно этим заниматься?
https://habr.com/ru/users/maks0077/comments/
Где же ответ на этот вопрос?
Разработчиков RedHat.
Linux-компьютер не является членом домена так, как это понимается в Windows.
Примеры - Kaspersky web traffic security, Kaspersky secure mail gateway, Kaspersky security center. Всё три сервиса поддерживают аутентификацию в своем веб интерфейсе по Kerberos, и каждый из них может ходить в ldap каталог для синхронизации групп и т.п.
Аналогичная ситуация скорее всего может возникать в linux с ssh gssapi и sssd. Сначала надо извлечь из билета principal, а потом в ldap выяснить применимые к нему политики входа.
Потому что
Можно при помощи одной строки keytab и расшифровать билет, и аутентифицироваться - получить tgt. Эта возможность часто используется.
некоторый софт, такой как kswts, не принимает upn$
это поведение ktpass по умолчанию, позволяющее выпустить правильный keytab из коробки. К сожалению, разработчики не научили ее брать автоматом upn от -princ
Вкратце так и не заработает, если нужен upn равный spn. А он выглядит не как REALMusername. Для компьютерной учётки тоже не такая соль, но здесь ktpass не промахивается.
Отвечал на это вопрос в статье. Обычно это делается для того, что с одной строкой keytab можно было как расшифровать tgs, так и получать tgt, если сервис куда-то обращается. Но всё верно, можно красивее. Толко, к слову, Kaspersky KWTS принципиально не хочет обращаться к ldap с upn$@REALM. Понятие красоты им неизвестно.
Точно, невнимательно читал. Я начал ей пользоваться в основном для склейки keytab из разных realm.
Но.. Что касается примера от Kaspersky, то в Microsoft так не делают. В приведенной конфигурации было бы 3 учетные записи, по одной на узел кластера и общая с именем и SPN кластера. А вот keytab было бы два, server1 + clustername и server2 + clustername. Более того, почти всю эту красоту можно было бы сделать с adcli, подклеив только кластерный SPN. Но где красота, а где Kaspersky )
Написал вам в личку, если хотите сделаем.
Если рабочим получался только последний SPN, это скорее всего результат отсутствия ключа -setupn. Буду рад, если всё получится. Добавлю ещё, что в Linux есть утилита ktutil, позволяющая склеивать несколько keytab, удалять отдельные строки. Не очень удобная, но примитивная.
Спасибо, проверю и исправлю.
Да, всё верно, об этом и написал. Причина работоспособности многих "кривых" файлов keytab - в рабочих нечуствительных к соли хешей NTLM, они же ключи RC4. Давайте повторим это в выводах.