Tham gia Đăng nhập
Điểm:1
avatar Server

Ủy quyền hạn chế xuyên lĩnh vực

lá cờ pe
KrisVandenbergh

Tôi có Red Hat IdM trên RHEL8 với sự tin cậy hai chiều đối với AD trên Windows 2019. Những gì hiện đang hoạt động:

  • Ủy quyền hạn chế cho khách hàng NFS. Máy khách NFS có thể mạo danh người dùng từ lĩnh vực IdM (gssproxy).
  • Người dùng từ miền AD có thể đăng nhập vào máy chủ trong lĩnh vực IdM (sự tin cậy hoạt động).

Điều gì không hoạt động là ứng dụng khách NFS đang cố mạo danh người dùng AD. Nhận vé s4u2proxy dường như chỉ hoạt động đối với người dùng trong miền IdM:

$ knit -k
$ kvno -I user01@IDM.EXAMPLE.COM -P nfs/nfs.idm.example.com
nfs/nfs.idm.example.com@IDM.EXAMPLE.COM: kvno = 1
$ danh sách
Bộ đệm vé: KCM:0
Hiệu trưởng mặc định: host/client.idm.example.com@IDM.EXAMPLE.COM

Bắt đầu hợp lệ Hết hạn Dịch vụ chính
26/05/2022 15:15:22 27/05/2022 14:24:21 host/client.idm.example.com@IDM.EXAMPLE.COM
        dành cho khách hàng user01@IDM.EXAMPLE.COM
26/05/2022 15:14:54 27/05/2022 14:24:21 krbtgt/IDM.EXAMPLE.COM@IDM.EXAMPLE.COM
26/05/2022 15:15:22 27/05/2022 14:24:21 nfs/nfs.idm.example.com@IDM.EXAMPLE.COM
        dành cho khách hàng user01@IDM.EXAMPLE.COM

Sau đó, cố gắng mạo danh người dùng AD:

$khủy  
$ knit -k
$ kvno -I user02@AD.EXAMPLE.COM -P nfs/nfs.idm.example.com
kvno: TGT đã bị thu hồi trong khi lấy thông tin xác thực cho nfs/nfs.idm.example.com@IDM.EXAMPLE.COM
$ danh sách
Bộ đệm vé: KCM:0
Hiệu trưởng mặc định: host/client.idm.example.com@IDM.EXAMPLE.COM

Bắt đầu hợp lệ Hết hạn Dịch vụ chính
26/05/2022 15:15:37 27/05/2022 15:10:07 krbtgt/IDM.EXAMPLE.COM@IDM.EXAMPLE.COM
26/05/2022 15:15:50 27/05/2022 15:10:07 krbtgt/AD.EXAMPLE.COM@IDM.EXAMPLE.COM

krb5kdc.log có lẽ có một gợi ý. Khi mạo danh người dùng trong vương quốc của chính KDC (s4u2self):

Ngày 27 tháng 5 12:34:23 kerberos.idm.example.com krb5kdc[1732](info): TGS_REQ (6 etypes {aes256-cts-hmac-sha1-96(18), aes256-cts-hmac-sha384-192( 20), camellia256-cts-cmac(26), aes128-cts-hmac-sha1-96(17), aes128-cts-hmac-sha256-128(19), camellia128-cts-cmac(25)}) 192.168. 1.42: SỰ CỐ: authtime 1653647627, etypes {rep=aes256-cts-hmac-sha1-96(18), tkt=aes256-cts-hmac-sha1-96(18), ses=aes256-cts-hmac-sha1-96 (18)}, host/client.idm.example.com@IDM.EXAMPLE.COM cho máy chủ/client.idm.example.com@IDM.EXAMPLE.COM
Ngày 27 tháng 5 12:34:23 kerberos.idm.example.com krb5kdc[1732](info): ... CHUYỂN GIAO GIAO THỨC s4u-client=user01@IDM.EXAMPLE.COM
Ngày 27 tháng 5 12:34:23 kerberos.idm.example.com krb5kdc[1732](thông tin): đóng fd 12

Khi cố gắng mạo danh người dùng từ vương quốc "đáng tin cậy" từ xa (s4u2self):

Ngày 27 tháng 5 12:34:47 kerberos.idm.example.com krb5kdc[1732](info): TGS_REQ (6 etypes {aes256-cts-hmac-sha1-96(18), aes256-cts-hmac-sha384-192( 20), camellia256-cts-cmac(26), aes128-cts-hmac-sha1-96(17), aes128-cts-hmac-sha256-128(19), camellia128-cts-cmac(25)}) 192.168. 1.42: SỰ CỐ: authtime 1653647627, etypes {rep=aes256-cts-hmac-sha1-96(18), tkt=aes256-cts-hmac-sha1-96(18), ses=aes256-cts-hmac-sha1-96 (18)}, host/client.idm.example.com@IDM.EXAMPLE.COM cho krbtgt/AD.EXAMPLE.COM@IDM.EXAMPLE.COM
Ngày 27 tháng 5 12:34:47 kerberos.idm.example.com krb5kdc[1732](thông tin): đóng fd 12
Ngày 27 tháng 5 12:34:47 kerberos.idm.example.com krb5kdc[1732](Lỗi): Sự cố PAC: PAC có SID khác với những gì người yêu cầu PAC tuyên bố. PAC [S-1-5-21-2772319413-1696261159-756038808-1602] so với người yêu cầu PAC [S-1-5-21-956857513-2416212418-705989587-515]
Ngày 27 tháng 5 12:34:47 kerberos.idm.example.com krb5kdc[1732](thông tin): TGS_REQ : handle_authdata (-1765328364)
Ngày 27 tháng 5 12:34:47 kerberos.idm.example.com krb5kdc[1732](info): TGS_REQ (6 etypes {aes256-cts-hmac-sha1-96(18), aes256-cts-hmac-sha384-192( 20), camellia256-cts-cmac(26), aes128-cts-hmac-sha1-96(17), aes128-cts-hmac-sha256-128(19), camellia128-cts-cmac(25)}) 192.168. 1.42: HANDLE_AUTHDATA: authtime 1653647627, etypes {rep=UNSUPPORTED:(0)} host/client.idm.example.com@IDM.EXAMPLE.COM cho host/client.idm.example.com@IDM.EXAMPLE.COM, TGT đã bị thu hồi
Ngày 27 tháng 5 12:34:47 kerberos.idm.example.com krb5kdc[1732](info): ... CHUYỂN GIAO GIAO THỨC s4u-client=user02@AD.EXAMPLE.COM
Ngày 27 tháng 5 12:34:47 kerberos.idm.example.com krb5kdc[1732](thông tin): đóng fd 12

knvo hiển thị điều này trong chế độ gỡ lỗi:

[root@client ~]# kvno -I user02@AD.EXAMPLE.COM host/client.idm.example.com
[8389] 1653672526.395590: Nhận thông tin đăng nhập user02@AD.EXAMPLE.COM -> host/client.idm.example.com@IDM.EXAMPLE.COM bằng ccache KCM:0
[8389] 1653672526.395591: Đang truy xuất máy chủ/client.idm.example.com@IDM.EXAMPLE.COM -> krb5_ccache_conf_data/start_realm@X-CACHECONF: từ KCM:0 với kết quả: -1765328243/Không tìm thấy thông tin xác thực phù hợp
[8389] 1653672526.395592: Đang truy xuất user02@AD.EXAMPLE.COM -> host/client.idm.example.com@IDM.EXAMPLE.COM từ KCM:0 với kết quả: -1765328243/Không tìm thấy thông tin xác thực phù hợp
[8389] 1653672526.395593: Nhận thông tin đăng nhập host/client.idm.example.com@IDM.EXAMPLE.COM -> krbtgt/AD.EXAMPLE.COM@IDM.EXAMPLE.COM bằng ccache KCM:0
[8389] 1653672526.395594: Đang truy xuất máy chủ/client.idm.example.com@IDM.EXAMPLE.COM -> krb5_ccache_conf_data/start_realm@X-CACHECONF: từ KCM:0 với kết quả: -1765328243/Không tìm thấy thông tin đăng nhập phù hợp
[8389] 1653672526.395595: Đang truy xuất máy chủ/client.idm.example.com@IDM.EXAMPLE.COM -> krbtgt/AD.EXAMPLE.COM@IDM.EXAMPLE.COM từ KCM:0 với kết quả: -1765328243/Không tìm thấy thông tin xác thực phù hợp
[8389] 1653672526.395596: Đang truy xuất máy chủ/client.idm.example.com@IDM.EXAMPLE.COM -> krbtgt/IDM.EXAMPLE.COM@IDM.EXAMPLE.COM từ KCM:0 với kết quả: 0/Thành công
[8389] 1653672526.395597: Bắt đầu với TGT cho lĩnh vực máy khách: host/client.idm.example.com@IDM.EXAMPLE.COM -> krbtgt/IDM.EXAMPLE.COM@IDM.EXAMPLE.COM
[8389] 1653672526.395598: Yêu cầu vé cho krbtgt/AD.EXAMPLE.COM@IDM.EXAMPLE.COM, giới thiệu trên
[8389] 1653672526.395599: Đã tạo khóa con cho yêu cầu TGS: aes256-cts/4F09
[8389] 1653672526.395600: etypes được yêu cầu trong yêu cầu TGS: aes256-cts, aes256-sha2, camellia256-cts, aes128-cts, aes128-sha2, camellia128-cts
[8389] 1653672526.395602: Mã hóa phần thân và dữ liệu yêu cầu thành yêu cầu NHANH CHÓNG
[8389] 1653672526.395603: Đang gửi yêu cầu (1941 byte) tới IDM.EXAMPLE.COM
[8389] 1653672526.395604: Bắt đầu kết nối TCP với luồng 192.168.1.40:88
[8389] 1653672526.395605: Gửi yêu cầu TCP tới luồng 192.168.1.40:88
[8389] 1653672526.395606: Đã nhận câu trả lời (1860 byte) từ luồng 192.168.1.40:88
[8389] 1653672526.395607: Chấm dứt kết nối TCP với luồng 192.168.1.40:88
[8389] 1653672526.395608: Phản hồi từ master KDC
[8389] 1653672526.395609: Giải mã phản hồi NHANH CHÓNG
[8389] 1653672526.395610: Phím trả lời NHANH: aes256-cts/7017
[8389] 1653672526.395611: Trả lời TGS dành cho máy chủ/client.idm.example.com@IDM.EXAMPLE.COM -> krbtgt/AD.EXAMPLE.COM@IDM.EXAMPLE.COM với khóa phiên aes256-cts/D9C7
[8389] 1653672526.395612: Kết quả yêu cầu TGS: 0/Thành công
[8389] 1653672526.395613: Đã nhận tín dụng cho dịch vụ mong muốn krbtgt/AD.EXAMPLE.COM@IDM.EXAMPLE.COM
[8389] 1653672526.395614: Lưu trữ máy chủ/client.idm.example.com@IDM.EXAMPLE.COM -> krbtgt/AD.EXAMPLE.COM@IDM.EXAMPLE.COM trong KCM:0
[8389] 1653672526.395615: Nhận tín dụng qua TGT krbtgt/AD.EXAMPLE.COM@IDM.EXAMPLE.COM sau khi yêu cầu máy chủ\/client.idm.example.com\@IDM.EXAMPLE.COM@AD.EXAMPLE.COM (chuẩn hóa trên )
[8389] 1653672526.395616: Đã tạo khóa con cho yêu cầu TGS: aes256-cts/4CB0
[8389] 1653672526.395617: etypes được yêu cầu trong yêu cầu TGS: aes256-cts, aes256-sha2, camellia256-cts, aes128-cts, aes128-sha2, camellia128-cts
[8389] 1653672526.395619: Mã hóa phần thân và dữ liệu yêu cầu thành yêu cầu NHANH CHÓNG
[8389] 1653672526.395620: Đang gửi yêu cầu (2303 byte) tới AD.EXAMPLE.COM
[8389] 1653672526.395621: Đang gửi truy vấn URI DNS cho _kerberos.AD.EXAMPLE.COM.
[8389] 1653672526.395622: URI trả lời: 0 100 "krb5srv:m:udp:belfast.ad.home."
[8389] 1653672526.395623: URI trả lời: 0 100 "krb5srv:m:tcp:belfast.ad.home."
[8389] 1653672526.395624: Đang phân giải tên máy chủ belfast.ad.home.
[8389] 1653672526.395625: Đang phân giải tên máy chủ belfast.ad.home.
[8389] 1653672526.395626: Bắt đầu kết nối TCP với luồng 192.168.1.50:88
[8389] 1653672526.395627: Gửi yêu cầu TCP tới luồng 192.168.1.50:88
[8389] 1653672526.395628: Đã nhận được câu trả lời (1852 byte) từ luồng 192.168.1.50:88
[8389] 1653672526.395629: Chấm dứt kết nối TCP với luồng 192.168.1.50:88
[8389] 1653672526.395630: Phản hồi từ master KDC
[8389] 1653672526.395631: Giải mã phản hồi NHANH CHÓNG
[8389] 1653672526.395632: Phím trả lời NHANH: aes256-cts/9CCA
[8389] 1653672526.395633: Máy chủ trả lời krbtgt/IDM.EXAMPLE.COM@AD.EXAMPLE.COM khác với máy chủ được yêu cầu\/client.idm.example.com\@IDM.EXAMPLE.COM@AD.EXAMPLE.COM
[8389] 1653672526.395634: Trả lời TGS dành cho máy chủ/client.idm.example.com@IDM.EXAMPLE.COM -> krbtgt/IDM.EXAMPLE.COM@AD.EXAMPLE.COM với khóa phiên aes256-cts/F05E
[8389] 1653672526.395635: Got tín dụng; 0/Thành công
[8389] 1653672526.395636: Nhận tín dụng qua TGT krbtgt/IDM.EXAMPLE.COM@AD.EXAMPLE.COM sau khi yêu cầu host/client.idm.example.com@IDM.EXAMPLE.COM (bật chuẩn hóa)
[8389] 1653672526.395637: Đã tạo khóa con cho yêu cầu TGS: aes256-cts/3CAC
[8389] 1653672526.395638: etypes được yêu cầu trong yêu cầu TGS: aes256-cts, aes256-sha2, camellia256-cts, aes128-cts, aes128-sha2, camellia128-cts
[8389] 1653672526.395640: Mã hóa phần thân và dữ liệu yêu cầu thành yêu cầu NHANH CHÓNG
[8389] 1653672526.395641: Đang gửi yêu cầu (2128 byte) tới IDM.EXAMPLE.COM
[8389] 1653672526.395642: Bắt đầu kết nối TCP với luồng 192.168.1.40:88
[8389] 1653672526.395643: Gửi yêu cầu TCP tới luồng 192.168.1.40:88
[8389] 1653672526.395644: Đã nhận được câu trả lời (432 byte) từ luồng 192.168.1.40:88
[8389] 1653672526.395645: Chấm dứt kết nối TCP với luồng 192.168.1.40:88
[8389] 1653672526.395646: Phản hồi từ master KDC
[8389] 1653672526.395647: Giải mã phản hồi NHANH CHÓNG
[8389] 1653672526.395648: Giải mã phản hồi NHANH CHÓNG
[8389] 1653672526.395649: Got tín dụng; -1765328364/TGT đã bị thu hồi
kvno: TGT đã bị thu hồi trong khi lấy thông tin đăng nhập cho host/client.idm.example.com@IDM.EXAMPLE.COM

Bất kỳ ai biết liệu Red Hat IdM có thể mạo danh người dùng từ vương quốc "khác" không? Tôi thực sự không chắc liệu đây có phải là một tính năng được hỗ trợ hay không. Nếu nó được hỗ trợ, nó có yêu cầu gì ngoài sự tin tưởng hai chiều không?

58
0 + 0
idm
Calchas avatar
lá cờ br
Calchas
Sẽ rất hữu ích khi xem nhật ký KDC (từ cả Windows và MIT KDC) và nhật ký máy khách (đặt KRB5_TRACE=/dev/stderr trong môi trường).
0
Hồi đáp
lá cờ mx
strongline
câu trả lời có thể nằm trong dòng "[8389] 1653672526.395633". Tại sao "requesting host\/client.idm.example.com" lại có dấu gạch chéo ngược \ trong chuỗi?
0
Hồi đáp
lá cờ pe
KrisVandenbergh
Vấn đề rõ ràng cũng được quan sát thấy ở đây: https://pagure.io/freeipa/issue/9124. Một cách khác để kích hoạt "Sự cố PAC: PAC có SID khác với những gì người yêu cầu PAC yêu cầu." trong krb5kdc.log là chạy "ipa-print-pac mạo danh" cho người dùng trong miền từ xa.
0
Hồi đáp
Điểm:0
avatar Server
lá cờ ng
abbra

Điều này nghe có vẻ như https://pagure.io/freeipa/issue/9031 cái này sẽ được sửa trong ipa-4.9.6-10 trong RHEL 8.5+.

Ngày 27 tháng 5 12:34:47 kerberos.idm.example.com krb5kdc[1732](Lỗi): Sự cố PAC: PAC có SID khác với những gì người yêu cầu PAC tuyên bố. PAC [S-1-5-21-2772319413-1696261159-756038808-1602] so với người yêu cầu PAC [S-1-5-21-956857513-2416212418-705989587-515]

Đây có thể là một vấn đề trong sửa chữa, mặc dù. Vui lòng tạo một vấn đề tại https://pagure.io/freeipa/new_issue với các chi tiết của bạn.

0 + 0
lá cờ pe
KrisVandenbergh
Cảm ơn abbra, tôi đang dùng RHEL 8.5 với IPA 4.9.8-7. Tôi đã ghi lại sự cố trên pagure.io.
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.