linux vo svete windows - csirt.sk · konfigurácia ad ds 8 • nemôže byť „single-labeled“...
TRANSCRIPT
Linux vo svete Windows
Richard Ostertág
Linux vo svete WindowsRichard Ostertág
A. Prístup k Windows AD DS z Linuxu
3
Windows Server 2012 R2
4
Nastavenie mena počítača
5
Nastavenie mena počítača
5
Nastavenie mena počítača
5
Nastavenie mena počítača
5
Nastavenie pevnej IP adresy
6
Nastavenie pevnej IP adresy
6
Nastavenie pevnej IP adresy
6
Nastavenie pevnej IP adresy
6
Inštalácia Active Directory Domain Services
7
Inštalácia Active Directory Domain Services
7
Inštalácia Active Directory Domain Services
7
Inštalácia Active Directory Domain Services
7
Inštalácia Active Directory Domain Services
7
Inštalácia Active Directory Domain Services
7
Inštalácia Active Directory Domain Services
7
Inštalácia Active Directory Domain Services
7
Inštalácia Active Directory Domain Services
7
Inštalácia Active Directory Domain Services
7
Inštalácia Active Directory Domain Services
7
Inštalácia Active Directory Domain Services
7
Konfigurácia AD DS
8
• nemôže byť „single-labeled“
• nie „vasaorg“ ale „vasaorg.sk“
• nevytvárajte AD les s rovnakým menom, ako je
vaše externé DNS meno
• ak máte web stránku na http://vasaorg.sk,
vyberte si iné meno pre interný les, napríklad
corp.vasaorg.sk
Konfigurácia AD DS
8
• nemôže byť „single-labeled“
• nie „vasaorg“ ale „vasaorg.sk“
• nevytvárajte AD les s rovnakým menom, ako je
vaše externé DNS meno
• ak máte web stránku na http://vasaorg.sk,
vyberte si iné meno pre interný les, napríklad
corp.vasaorg.sk
Konfigurácia AD DS
8
• nemôže byť „single-labeled“
• nie „vasaorg“ ale „vasaorg.sk“
• nevytvárajte AD les s rovnakým menom, ako je
vaše externé DNS meno
• ak máte web stránku na http://vasaorg.sk,
vyberte si iné meno pre interný les, napríklad
corp.vasaorg.sk
Konfigurácia AD DS
8
• nemôže byť „single-labeled“
• nie „vasaorg“ ale „vasaorg.sk“
• nevytvárajte AD les s rovnakým menom, ako je
vaše externé DNS meno
• ak máte web stránku na http://vasaorg.sk,
vyberte si iné meno pre interný les, napríklad
corp.vasaorg.sk
Konfigurácia AD DS
8
• nemôže byť „single-labeled“
• nie „vasaorg“ ale „vasaorg.sk“
• nevytvárajte AD les s rovnakým menom, ako je
vaše externé DNS meno
• ak máte web stránku na http://vasaorg.sk,
vyberte si iné meno pre interný les, napríklad
corp.vasaorg.sk
Konfigurácia AD DS
8
• nemôže byť „single-labeled“
• nie „vasaorg“ ale „vasaorg.sk“
• nevytvárajte AD les s rovnakým menom, ako je
vaše externé DNS meno
• ak máte web stránku na http://vasaorg.sk,
vyberte si iné meno pre interný les, napríklad
corp.vasaorg.sk
Konfigurácia AD DS
8
• nemôže byť „single-labeled“
• nie „vasaorg“ ale „vasaorg.sk“
• nevytvárajte AD les s rovnakým menom, ako je
vaše externé DNS meno
• ak máte web stránku na http://vasaorg.sk,
vyberte si iné meno pre interný les, napríklad
corp.vasaorg.sk
Konfigurácia AD DS
8
• nemôže byť „single-labeled“
• nie „vasaorg“ ale „vasaorg.sk“
• nevytvárajte AD les s rovnakým menom, ako je
vaše externé DNS meno
• ak máte web stránku na http://vasaorg.sk,
vyberte si iné meno pre interný les, napríklad
corp.vasaorg.sk
Konfigurácia AD DS
8
• nemôže byť „single-labeled“
• nie „vasaorg“ ale „vasaorg.sk“
• nevytvárajte AD les s rovnakým menom, ako je
vaše externé DNS meno
• ak máte web stránku na http://vasaorg.sk,
vyberte si iné meno pre interný les, napríklad
corp.vasaorg.sk
Konfigurácia AD DS
8
• nemôže byť „single-labeled“
• nie „vasaorg“ ale „vasaorg.sk“
• nevytvárajte AD les s rovnakým menom, ako je
vaše externé DNS meno
• ak máte web stránku na http://vasaorg.sk,
vyberte si iné meno pre interný les, napríklad
corp.vasaorg.sk
Konfigurácia AD DS
8
• nemôže byť „single-labeled“
• nie „vasaorg“ ale „vasaorg.sk“
• nevytvárajte AD les s rovnakým menom, ako je
vaše externé DNS meno
• ak máte web stránku na http://vasaorg.sk,
vyberte si iné meno pre interný les, napríklad
corp.vasaorg.sk
Správa používateľov a počítačov v AD
9
Správa používateľov a počítačov v AD
9
Pohľad do obsahu LDAP
10
Pohľad do obsahu LDAP
10
Pohľad do obsahu LDAP
10
Pohľad do obsahu LDAP
10
Pohľad do obsahu LDAP
10
Dokončenie konfigurácie AD
• premenovanie štandardnej lokality
• Default-First-Site-Name
• synchronizácia času
• ...
• overenie funkčnosti DNS servera na radiči domény:tester@linwo:~$ dig srv _ldap._tcp.corp.vasaorg.sk
;; ANSWER SECTION:
_ldap._tcp.corp.vasaorg.sk. 600 IN SRV 0 100 389 winse.corp.vasaorg.sk.
;; ADDITIONAL SECTION:
winse.corp.vasaorg.sk. 3600 IN A 172.22.222.10
11
Otestovanie prístupu k LDAP
• sudo apt-get install ldap-utils
tester@linwo:~$ ldapsearch -LLL -H ldap://172.22.222.10 -x \-D "CORP\Administrator" -W -b "cn=Tester,cn=Users,dc=corp,dc=vasaorg,dc=sk"
Enter LDAP Password: dn: CN=Tester,CN=Users,DC=corp,DC=vasaorg,DC=skobjectClass: topobjectClass: personobjectClass: organizationalPersonobjectClass: usercn: TesterdistinguishedName: CN=Tester,CN=Users,DC=corp,DC=vasaorg,DC=skmemberOf: CN=Users,CN=Builtin,DC=corp,DC=vasaorg,DC=skmemberOf: CN=Administrators,CN=Builtin,DC=corp,DC=vasaorg,DC=skname: TesterobjectGUID:: Xib3K3fxPkajTHrN9gKcWQ==badPwdCount: 0primaryGroupID: 513objectSid:: AQUAAAAAAAUVAAAA3Mj+6DkA3oQy4yIz6QMAAA==sAMAccountName: TesterobjectCategory: CN=Person,CN=Schema,CN=Configuration,DC=corp,DC=vasaorg,DC=sk
12
Dekódovanie SID
• AQUAAAAAAAUVAAAA3Mj+6DkA3oQy4yIz6QMAAA==• base64 kódovanie
• po dekódovaní nasledovná postupnosť hex. bytov:
• 01 – revízia SID štruktúry (aktuálne vždy 1)
• 05 – počet „SubAuthority“ záznamov (5, max. 15)
• 00 00 00 00 00 05 – „IdentifierAuthority“ (5, NT SID authority)
• 15 00 00 00 – 1. „SubAuthority“ (21)
• DC C8 FE E8 – 2. „SubAuthority“ (3909011676)
• 39 00 DE 84 – 3. „SubAuthority“ (2229141561)
• 32 E3 22 33 – 4. „SubAuthority“ (857924402)
• E9 03 00 00 – 5. „SubAuthority“ (1 001) – RID
• S-1-5-21-3909011676-2229141561-857924402-1001
13
Samba
• open-source projekt, ktorého cieľom je integrácia medzi Windows a Unix prostredím
• umožňuje:• zdieľať súbory a tlačiarne medzi Windows a UNIX systémami
• implementácia SMB (CIFS) protokolu pre UNIX systémy
• emulovať radič domény na UNIX serveri
• UNIX počítačom využívať služby ponúkané AD DS
• autentifikácia, adresárové služby
• slobodný softvér pod licenciou GNU GPL v3• môže byť komerčne použitý
• autori nemôžu byť braní na zodpovednosť
• pozostáva z viacerých balíkov
14
Balík: samba
• obsahuje komponenty potrebné pre samostatný
• súborový server
• tlačový server
• radič domény (NT4 alebo AD)
• pre použitie v doméne je potrebný aj balík winbind
• tento balík nie je potrebný pre
• „interaktívne“ pripojenie k existujúcim súborovým alebo tlačovým
serverom na báze SMB/CIFS protokolu
• balík smbclient
• lokálne pripojenie vzdialeného súborového systému
• balík cifs-utils
15
Balík: winbind
• obsahuje winbindd démona, ktorý integruje do systému Linux doménové mechanizmy pre autentifikáciu a adresárové služby (vyhľadanie používateľov a skupín)• sprostredkováva komunikáciu medzi PAM a NSS subsystémom Linuxu
a adresárovými službami
• používa• Kerberos pre autentifikáciu voči adresárovým službám
• cez PAM (/etc/pam.d) vyžaduje balík libpam-winbind
• LDAP pre získanie informácií o používateľoch a skupinách
• cez NSS (/etc/nsswitch.conf) vyžaduje balík libnss-winbind
• poskytuje aj ďalšie služby:• lokalizáciu radiča domény pomocou algoritmu DC Locator
• vychádza z DNS SRV záznamov
• výhoda oproti PAM s Kerberosom (nutné napevno nastaviť adresu DC)
• zmena hesla v AD komunikáciou s DC cez RPC
16
Balíky: libnss-winbind a libpam-winbind
• balík libnss-winbind obsahuje:
• nss_winbind
• zásuvný modul pre NSS, ktorý cez lokálny winbind server poskytuje
systému vyhľadávanie používateľov a skupín
• nss_wins
• zásuvný modul pre NSS, ktorý poskytuje vyhľadávanie názvu hostiteľa
(hostname) cez NBNS a NetBIOS broadcast protokoly
• balík libpam-winbind obsahuje:
• pam_winbind
• zásuvný modul pre PAM, ktorý cez lokálny winbind server poskytuje
systému autentifikáciu používateľov vo Windows doméne
17
Balík: smbclient
• umožňuje „interaktívne“ pripojenie k existujúcim
súborovým alebo tlačovým serverom na báze SMB/CIFS
protokolu (či už Microsoft Windows alebo Samba)
• obsahuje príkazy
• smbclient – prístup k zdieľaným zdrojom (podobné ako FTP)
• smbspool – pošle súbor na zdieľanú tlačiareň
• smbtree – zobrazí sieťový strom
• nástroje pre lokálne pripojenie zdieľaných adresárov sa
nachádzajú
• v balíku cifs-utils
18
smbclient: Zoznam zdieľaných priečinkov
tester@ubuntu:~$ smbclient --list=winseEnter tester's password:
Domain=[CORP] OS=[Windows Server …] Server=[Win…]
Sharename Type Comment--------- ---- -------ADMIN$ Disk Remote AdminC$ Disk Default shareIPC$ IPC Remote IPCNETLOGON Disk Logon server shareSYSVOL Disk Logon server shareUsers Disk
…
19
smbclient: Chybové hlásenia
• používateľ nemá prístup k požadovaným údajom:
tester@ubuntu:~$ smbclient -U ric //winse/c$
Enter ric's password:
Domain=[CORP] OS=[Windows Server …] Server=[Windows Server …]
tree connect failed: NT_STATUS_ACCESS_DENIED
• používateľ zadá zlý názov zdieľaného priečinka:
tester@ubuntu:~$ smbclient //winse/neexistuje
Enter tester's password:
Domain=[CORP] OS=[Windows Server …] Server=[Windows Server …]
tree connect failed: NT_STATUS_BAD_NETWORK_NAME
20
smbclient: „FTP“ prístup k súborom
tester@ubuntu:~$ smbclient --user=Administrator //winse/c$
Enter Administrator's password:
Domain=[CORP] OS=[Windows Server …] Server=[Windows Server …]
smb: \> dir
$Recycle.Bin DHS 0 Tue Aug …
Boot DHS 0 Thu Aug …
bootmgr AHSR 404250 Sat Jun …
… 61435 blocks of size 524288. 29682 blocks available
smb: \> get bootmgr
getting file \bootmgr of size 404250 as bootmgr (1530.1 KiloBytes/sec) (average 1530.1 KiloBytes/sec)
smb: \> recurse
smb: \> mput *
Put directory Pictures? n
Put directory Pictures/foto1.jpg? n
21
smbclinet: Tlač na zdieľanú tlačiareň
• tlač na zdieľanú tlačiareň cez smbclient nie je moc pohodlná:
tester@ubuntu:~$ smbclient --user=Richard //velox/lexmark
Enter Richard's password:
Domain=[VELOX] OS=[Windows 7 …] Server=[Windows 7 …]
smb: \> print sprava.txt
putting file sprava.txt as sprava.txt (2.7 kb/s) (average 2.7 kb/s)
smb: \>
22
smbspool: Tlač na zdieľanú tlačiareň
• pohodlnejšia tlač z príkazového riadku
• smbspool [DEVICE_URI] job-id user title copies options [file]
• DEVICE_URI:
• smb://[username:password@][workgroup/]server[:port]/printer
• DEVICE_URI môže byť aj premenná prostredia
smbspool smb://richard:pass@velox/lexmark 3 Tester "title" 1 "" mail.txt
DEBUG: Connected with username/password...
23
Balík: cifs-utils
• lokálne pripojenie zdieľaných adresárov (CIFS protokol)
• vytvorenie bodu pripojenia:
tester@ubuntu:~$ sudo mkdir /mnt/cifs
• pripojenie zdieľaného adresára pomocou mount:
sudo mount -t cifs //winse/users /mnt/cifs/ \-o username=tester,password=tester
• pripojenie zdieľaného adresára pomocou mount.cifs:
sudo mount.cifs //winse/users /mnt/cifs \-o username=tester,password=tester
tester@ubuntu:~$ mount/dev/sda1 on / type ext4 (rw,errors=remount-ro)proc on /proc type proc (rw,nodev,noexec,nosuid)sysfs on /sys type sysfs (rw,nodev,noexec,nosuid)…//winse/users on /mnt/cifs type cifs (rw)
24
cifs-utils: Pripojenie bez hesla alebo mena
• pripojenie bez zadania hesla:
tester@ubuntu:~$ sudo mount.cifs //winse/users /mnt/cifs \
-o username=tester
Password for tester@//winse/users: ******
• pripojenie bez zadania mena a hesla:
tester@ubuntu:~$ sudo mount.cifs //winse/users /mnt/cifs
Password for root@//winse/users: ****
mount error(13): Permission denied
Refer to the mount.cifs(8) manual page (e.g. man mount.cifs)
• v zozname parametrov za -o môže byť aj• credentials=filename
25
formát súboru je:
username=value
password=value
domain=value
Doménová autentifikácia vo Windows
• doménový radič Windows NT poskytoval autentifikačné
služby klientom pomocou NT LAN Manager protokolu
• ukázalo sa, že NTLM protokol má bezpečnostné slabiny
• elegantne vyriešil problém s udržovaním duplicitných
používateľských účtov na rôznych serveroch v sieti
• od Windows 2000 Microsoft prešiel z NTLM protokolu na
Active Directory
• integruje v sebe Kerberos autentifikačné služby a LDAP
• Kerberos je podstatne bezpečnejší než NTLM
• Kerberos už bol štandardom používaným na UNIXe
26
Linux PAM
• Pluggable Authentication Modules• navrhnuté firmou Sun v roku 1995
• poskytuje• množinu autentifikačných programových rozhraní využiteľnú všetkými
aplikáciami
• správcom nastaviteľný spôsob poprepájania autentifikačných modulov do požadovanej autentifikačnej schémy (cez /etc/pam.d)
• väčšina distribúcií obsahuje niekoľko autentifikačných modulov• podporujú napríklad autentifikáciu na základe:
• LDAP adresára (pam_ldap.so)• umožňuje použiť ľubovoľný LDAP v2 alebo v3 server
• OpenLDAP, prípadne Microsoft Active Directory
• Kerberos protokolu (pam_krb5.so)• umožňuje použiť ľubovoľný Kerberos server
• MIT Kerberos, Heimdal Kerberos, prípadne Microsoft Active Directory
• radiča domény (pam_winbind.so)• /lib/x86_64-linux-gnu/security/pam_winbind.so
27
Linux NSS
• Name Service Switch poskytuje
• programové rozhranie pre získanie informácií o používateľoch, ...
• skrýva špecifiká rôznych zdrojov pred aplikáciou
• spája ich do jedného zdroja
• správcom konfigurovateľný spôsob poprepájania rôznych zdrojov
informácií (cez /etc/nsswitch.conf)
• špeciálne nás zaujíma konfigurácia spôsobov získavania informácie
o používateľoch a skupinách
• príklady zdrojov:• files – /lib/x86_64-linux-gnu/libnss_files.so.2
• winbind – /lib/x86_64-linux-gnu/libnss_winbind.so.2
• dajú sa konfigurovať aj iné informácie, napríklad:
• services – mapovanie názvu služby na port/protokol
28
Tri autentifikačné stratégie voči AD
• LDAP autentifikácia• najjednoduchšie, ale najmenej vyhovujúce riešenie
• Windows používa Kerberos, s núdzovým prechodom na NTLM, nie LDAP
• posiela po sieti meno a heslo v otvorenom tvare• toto riziko sa dá zmierniť vytvorením bezpečného kanálu
• napríklad pomocou SSL• to zas ale vyžaduje dodatočnú starostlivosť o SSL certifikáty na oboch koncoch
• autentifikácia pomocou LDAP a Kerberos• autentifikácia cez Kerberos pomocou PAM
• informácie o používateľoch a skupinách cez LDAP pomocou NSS
• nevyužíva DNS SRV záznamy, ktoré radič domény zverejňuje• je nutné vybrať konkrétne radiče domén pre autentifikáciu
• neposkytuje intuitívny spôsob správy expirujúcich hesiel
• autentifikácia pomocou winbind• PAM a NSS komunikujú s winbind démonom
• winbind preloží rôzne PAM a NSS požiadavky do zodpovedajúcich požiadaviek na doménový radič, použitím LDAP, Kerberos alebo RPC, podľa toho, čo je najvhodnejšie
29
Linux – konfigurácia siete
• Linux by mal používať DNS server domény, do ktorej sa pripája• vo väčšine prípadov sa asi používa DNS integrované do Active Directory
• potom radič domény prevádzkuje aj DNS
• /etc/network/interfaces:auto eth0iface eth0 inet static
address 172.22.222.30netmask 255.255.0.0gateway 172.22.0.1dns-search corp.vasaorg.skdns-nameservers 172.22.222.10
• meno počítača musí zodpovedať jeho menu v doméne• pokiaľ je iné, tak po pridaní počítača do domény sa môže vytvoriť v AD
nesprávny objekt pre počítač
• /etc/hostname: linwo
• /etc/hosts:172.22.222.30 linwo.corp.vasaorg.sk linwo
30
Linux – konfigurácia synchronizácie času
• Kerberos protokol vyžaduje, aby server a klient mali synchronizovaný čas • štandardne Active Directory povoľuje maximálny časový posun 5 minút
• pre zaistenie synchronizácie času medzi klientom a serverom treba nakonfigurovať Linux aby využíval službu NTP (Network Time Protocol) radiča domény
tester@linwo:~$ ntpdate winsetester@linwo:~$ sudo apt-get install ntp
• /etc/ntp.conf:server 172.22.222.10 iburst prefer
tester@linwo:~$ sudo service ntp reload
tester@linwo:~$ ntpdc -premote local st poll reach delay offset disp
========================================================================172.22.222.10 172.22.222.30 1 64 377 0.00072 0.007596 0.12845
• alebo:tester@linwo:~$ ntpq -p
31
Konfigurácia PAM – autentifikačné služby
• PAM poskytuje štyri autentifikačné služby:
• auth• umožňuje aplikácii overiť identitu používateľa (napr. zadaním hesla)
• získa poverenia účtu (UID, skupiny, ...)
• account• rieši dostupnosť účtu, ktorá priamo nesúvisí s autentifikáciou
• napríklad obmedzenie na základe:• času, kedy sa môže používateľ prihlásiť
• systémových zdrojov (napríklad maximálny počet používateľov)
• spôsobu pripojenia (napríklad root sa môže prihlásiť iba na konzole)
• password• umožňuje zmenu hesla
• napríklad pri expirácii alebo z vôle používateľa
• session• vykonáva úlohy spojené s vytvorením a likvidáciou sedenia
• napr.: logovanie, vytvorenie domovského adresára, pripojenie adresárov, ...
32
Konfigurácia PAM – formát súborov
• PAM má uložené konfiguračné súbory v adresári /etc/pam.d• obsahuje textový súbor pre každú aplikáciu, ktorá používa PAM pre
autentifikáciu
• napríklad /etc/pam.d/login
• každý riadok v PAM konfiguračnom súbore na nasledovný tvar:
<group> <control> <module> <params>
• <group> určuje jednu z autentifikačných služieb (auth, ...)
• každá skupina služieb má spravidla niekoľko záznamov
• PAM spracuje záznamy v poradí, v akom sú uvedené v súbore• zavolá uvedený modul <module> s parametrami <params>
• modul vráti návratovú hodnotu (success, ignore, ...) a PAM na základe nej a riadiacej časti <control> pokračuje v spracovaní
• @include súbor• vloží obsah uvedeného súboru a spracuje jeho záznamy
33
Konfigurácia PAM – hodnoty v <control>
• riadiaca časť <control> má tvar zoznamu priradení:
[hodnota1=akcia1 hodnota2=akcia2 …]
• hodnota je návratovou hodnotou z modulu, napríklad:
• success
• úspešné vykonanie funkcie
• new_authtok_reqd
• požadovaný nový autentifikačný token
• napríklad, keď bezpečnostná politika vyžaduje, aby sa zmenilo heslo
• lebo je prázdne alebo expirovalo
• ignore
• ignoruj návratovú hodnotu tohto modulu
• default (špeciálna hodnota)
• všetky hodnoty, ktoré neboli explicitne uvedené v zozname priradení
34
Konfigurácia PAM – akcie v <control>
• ignore• modul neovplyvní úspešnosť/neúspešnosť celkovej autentifikácie
• bad• indikuje, že modul zlyhal
• ak je to prvý modul, ktorý zlyhal, tak jeho stav bude stavom celej autentifikácie
• vyhodnocovanie pokračuje ďalej
• die• podobné ako bad, len s tým rozdielom, že vyhodnocovanie sa okamžite preruší
• ok• ak predošlý stav bol úspešný, tak návratová hodnota modulu ho prepíše
• ak predošlý stav bolo zlyhanie, tak sa tento stav nezmení
• vyhodnocovanie pokračuje ďalej
• done• podobné ako ok, len s tým rozdielom, že vyhodnocovanie sa okamžite preruší
• N (prirodzené číslo > 0)• podobné ako ok, len s tým rozdielom, že vyhodnocovanie preskočí nasledujúcich
N modulov
• reset• zahodí aktuálny stav a začne s ďalším modulom s čistým stavom
35
Konfigurácia PAM – riadiace kľúčové slová
• required [success=ok new_authtok_reqd=ok ignore=ignore default=bad]• ak modul uspeje, PAM pokračuje vyhodnocovaním zostávajúcich záznamov
• výsledok bude určený výsledkom ostatných modulov
• ak modul zlyhá, tak PAM pokračuje vo vyhodnocovaní, ale výsledkom bude zlyhanie
• requisite [success=ok new_authtok_reqd=ok ignore=ignore default=die]• ak modul uspeje, PAM pokračuje vyhodnocovaním zostávajúcich záznamov
• výsledok bude určený výsledkom ostatných modulov
• ak modul zlyhá, tak PAM zastaví vyhodnocovanie a výsledkom bude zlyhanie
• použiteľné napríklad na ochranu pred zadaním hesla cez nezabezpečené médium
• sufficient [success=done new_authtok_reqd=done default=ignore]• ak modul uspeje, tak PAM zastaví vyhodnocovanie a vráti úspech (ale len ak žiadny
predchádzajúci required modul nezlyhal)
• ak modul zlyhá, tak PAM pokračuje vo vyhodnocovaní• výsledok bude určený výsledkom ostatných modulov
• optional [success=ok new_authtok_reqd=ok default=ignore]• PAM ignoruje výsledok modulu (iba ak by to bol jediný modul v skupine)
36
Konfigurácia PAM
• v common-account zmeniť riadok:account [success=1 new_authtok_reqd=done default=ignore] pam_unix.so
• na riadky:account [success=2 new_authtok_reqd=done default=ignore] pam_unix.soaccount [success=1 new_authtok_reqd=done default=ignore] pam_winbind.so
• v common-auth zmeniť riadok:auth [success=1 default=ignore] pam_unix.so nullok_secure
• na riadky:auth [success=2 default=ignore] pam_unix.so nullok_secureauth [success=1 default=ignore] pam_winbind.so krb5_auth krb5_ccache_type=FILE
cached_login try_first_pass
• v common-password zmeniť riadok:password [success=1 default=ignore] pam_unix.so obscure sha512
• na riadky:password [success=2 default=ignore] pam_unix.so obscure sha512password [success=1 default=ignore] pam_winbind.so use_authtok try_first_pass
• v common-session (aj v c-s-noninteractive) za riadok:session required pam_unix.so
• vložiť riadok:session optional pam_winbind.so
37
Konfigurácia NSS
• keďže chceme, aby aplikácie vyhľadávali informácie o používateľoch
a skupinách v Active Directory použitím Winbind, musíme modifikovať
konfiguračný súbor NSS pridaním modulu winbind:
• /etc/nsswitch.conf:
passwd: compat winbind
group: compat winbind
shadow: compat
...
38
Interná reprezentácia objektov
• Windows:
• Security Identifier (SID)
• štruktúra s premenlivou dĺžkou
• SID obsahuje jednoznačný identifikátor domény
• Windows môže rozlíšiť objekty z rôznych domén
• Unix
• jednoduchšia schéma
• každý objekt má ID, ktoré je 32-bitové celé číslo
• ID je jednoznačné iba v rámci jedného počítača
• t.j. nič nezaručuje, že používateľ s UID 1234 na jednom počítači je
rovnaký používateľ s UID 1234 na inom počítači
39
winbind: Mapovanie SID na Unix ID
• SID nie je možné priamo použiť ako Unix ID
• winbind práve ako jednu zo svojich služieb poskytuje
mapovanie SID na Unix ID
• mapovanie môže robiť pomocou rôznych „backend“-ov:
• idmap_tdb
• idmap_rid
• idmap_ad
• ...
40
Mapovanie ID – idmap_tdb
• postupne ako winbind vyhľadáva používateľov a skupiny
na serveri, tak mapuje ich SID na Unix ID z vybraného
rozsahu a ukladá ich do tdb databázy
• toto sa deje v poradí, v akom prichádzajú požiadavky
• všetci používatelia (skupiny) budú namapovaní akonáhle klient
vykoná príkaz na enumeráciu používateľov (skupín)
• Pozor:
• tdb databáza je jediné miesto, kde je mapovanie uložené
• ak sa poškodí alebo zmaže, tak sa nedá zistiť ktoré SID bolo
mapované na ktoré Unix ID
• na rôznych počítačoch môžu vzniknúť rôzne mapovania
41
Mapovanie ID – idmap_rid
• časť SID, ktorá jednoznačne určuje objekt v rámci
domény sa volá: Relative Identifier (RID)
• RID je 32-bitové celé číslo, rovnako ako Unix ID
• je to posledný „SubAuthority“ záznam v reťazci
• winbind môže jednoducho vybrať RID zo SID a použiť
RID ako Unix ID
• winbind označuje túto stratégiu ako „RID mapping“
• nepoužiteľné pre prostredie s viacerými doménami
• dvaja používatelia s rôznym SID môžu mať rovnaké RID
42
CN=Tester,CN=Users,DC=corp,…• sAMAccountName: Tester
• objectSid: S-1-5-21-1409194518-899342298-2743070129-1001
winbind UID = 1001
Mapovanie ID – idmap_ad
• pre každého používateľa a skupinu sa v prislúchajúcom
objekte v Active Directory uloží jeho Unix ID
• keď winbind autentifikuje používateľa, vyhľadá jeho Unix
ID v AD a poskytne ho Linux-u ako interný identifikátor
• winbind označuje túto stratégiu ako „Active Directory ID mapping“
• nevýhodou tohto riešenia je, že je nutné toto mapovanie v
AD udržiavať a zaručiť, že je v celom lese jednoznačné
43
CN=Tester,CN=Users,DC=corp,…
• sAMAccountName: Tester
• uidNumber: 10000
• gidNumber: 10000
winbind UID = 10000
Identity Management for UNIX
• obsahuje sadu nástrojov pre synchronizáciu hesiel, integráciu NIS, rozširuje AD o RFC 2307 atribúty a UI na ich správu
• pohodlné (obsahuje UI), ale zastarané
• Windows Server 2012 R2 tieto atribúty už obsahuje
• pre inštaláciu na Windows Server 2012 treba použiť DSIM (Deployment Image Servicing and Management tool)
• spúšťať z príkazového riadku spusteného ako správca
• DISM /Online /Enable-Feature /FeatureName:adminui /All• /Online
• cieľom je bežiaci operačný systém
• /Enable-Feature
• povolí špecifikovanú vlastnosť v obraze
• /All
• povolí aj všetky nadradené vlastnosti k uvedenej vlastnosti
44
Inštalácia Identity Management for UNIX
• Administrátorské rozhranie
PS> DISM /Online /Enable-Feature /FeatureName:adminui /All
Deployment Image Servicing and Management tool
Version: 6...
Image Version: 6...
Enabling feature(s)
[==========================100.0%==========================]
The operation completed successfully.
Restart Windows to complete this operation.
Do you want to restart the computer now? (Y/N)
• Server for NIS (treba pre zobrazenie záložky UNIX Attributes)
PS> DISM /Online /Enable-Feature /FeatureName:nis /All
• Password Synchronization (pre UI netreba)
PS> DISM /Online /Enable-Feature /FeatureName:psync /All
45
UI pre správu UNIX-ových atribútov
46
UI pre správu UNIX-ových atribútov
46
UI pre správu UNIX-ových atribútov
46
Samba – konfigurácia 1/2
• smb.conf (v časti [global])realm = corp.vasaorg.sksecurity = ADS
• správa sa ako člen domény vo vyššie uvedenom ADS realm
server role = member server• overuje používateľov cez ADS (server najprv musí byť pridaný do domény)
winbind enum users = yeswinbind enum groups = yes
• hodnota „no“ by zakázala enumerovanie (vhodné pre veľké systémy)
winbind nss info = rfc2307• schéma pre vyhľadávanie informácií
template homedir = /home/%D/%Utemplate shell = /bin/bash
• štandardný domovský adresár a shell (pokiaľ sa nešpecifikuje v AD iný)
idmap cache time = 1idmap negative cache time = 1winbind cache time = 1
• ak chceme rýchlu reakciu na zmenu údajov v AD
47
Samba – konfigurácia 2/2
• smb.conf (v časti [global])
idmap config * : backend = tdb
idmap config * : range = 1000000-1999999
• slúži ako záložný mapovací spôsob, pokiaľ sa nedá aplikovať nasledovný:
idmap config CORP : backend = ad
idmap config CORP : range = 10000-999999
• range pracuje ako filter, t.j ak je ID v AD mimo rozsah, tak je ignorované a
nepoužije sa na mapovanie (použije sa tdb)
• ochrana pred nechceným prekryvom medzi lokálnymi a vzdialenými ID
idmap config CORP : schema_mode = rfc2307
• určuje schému, ktorú idmap_ad použije pri vyhľadávaní informácií o
používateľoch a skupinách v AD
• sfu: Windows Services for UNIX
• rfc2307: An Approach for Using LDAP as a Network Information Service
• Services for UNIX sú staršie ako RFC 2307
48
Automatické vytvorenie domovského adresára
• keď sa do Linuxu prihlási používateľ, tak systém očakáva, že bude mať vytvorený domovský adresár
• keďže používateľov vytvárame v AD, Linux automaticky nevytvorí ich domovské adresáre pri ich pridaní
• našťastie, PAM je možné nakonfigurovať tak, aby domovský adresár vytvorilo ako súčasť prípravy sedenia
• v /etc/pam.d/common-session za riadok:session optional pam_umask.so
• pridať riadok:session optional pam_mkhomedir.so skel=/etc/skel
• tento riadok zabezpečí vytvorenie domovského adresára,
pokiaľ už neexistuje
49
Pridanie Samba servera do domény
tester@linwo:~$ sudo net rpc join -U Administrator MEMBER
Enter Administrator's password:
Joined domain CORP.
• spustenie služby winbind:
tester@linwo:~$ sudo service winbind start
50
Používatelia a skupiny z AD
tester@linwo:~$ wbinfo -u
CORP\administrator
CORP\guest
CORP\tester
CORP\krbtgt
tester@linwo:~$ wbinfo -g
CORP\domain computers
CORP\domain controllers
CORP\schema admins
CORP\enterprise admins
CORP\domain admins
CORP\domain users
CORP\domain guests
…
51
Integrácia lokálnych a AD používateľov
tester@linwo:~$ getent passwd
...
tester:x:1000:1000:Tester,,,:/home/tester:/bin/bash
CORP\tester:*:10001:10001:Tester:/home/Tester:/bin/sh
CORP\ric:*:10002:10001:Richard Ostertag:/home/ric:/bin/sh
52
Prihlásenie používateľa z AD
tester@linwo:/etc$ ssh CORP\\ric@localhost
CORP\ric@localhost's password:
Creating directory '/home/ric'.
Welcome to Ubuntu 14.10 (GNU/Linux 3.16.0-25-generic x86_64) ...
CORP\ric@linwo:~$ ls -la
total 36
drwxr-xr-x 3 CORP\ric CORP\domain users 4096 Aug 30 14:07 .
drwxr-xr-x 4 root root 4096 Aug 30 14:07 ..
-rw-r--r-- 1 CORP\ric CORP\domain users 220 Aug 30 14:07 .bash_logout
-rw-r--r-- 1 CORP\ric CORP\domain users 3760 Aug 30 14:07 .bashrc
drwx------ 2 CORP\ric CORP\domain users 4096 Aug 30 14:07 .cache
-rw-r--r-- 1 CORP\ric CORP\domain users 8980 Aug 30 14:07 examples.desktop
-rw-r--r-- 1 CORP\ric CORP\domain users 675 Aug 30 14:07 .profile
CORP\ric@linwo:~$ id
uid=10002(CORP\ric) gid=10001(CORP\domain users) ...
53
smbclinet: Autentifikácia cez AD
• prihlásenie do systému ako doménový používateľtester@linwo:~$ ssh CORP\\ric@localhost
CORP\ric@localhost's password:
• vyžaduje hesloCORP\ric@linwo:~$ smbclient //winse/users
Enter CORP\ric's password:
Domain=[CORP] OS=[Windows Server …] Server=[Windows Server …]
smb: \>
• nevyžaduje hesloCORP\ric@linwo:~$ smbclient --kerberos //winse/users
Domain=[CORP] OS=[Windows Server …] Server=[Windows Server …]
smb: \>
54
Zmena hesla v AD
CORP\ric@linwo:~$ passwd
Changing password for CORP\ric
(current) NT password:
Enter new NT password:
Retype new NT password:
passwd: password updated successfully
#password [success=1 default=ignore] pam_winbind.so use_authtok try_first_pass
password [success=1 default=ignore] pam_winbind.so try_first_pass
• use_authtok• nastaví nové heslo na heslo poskytnuté predošlým „password“
modulom
• ak táto možnosť nie je nastavená, tak pam_winbind sa opýta používateľa na nové heslo
55
B. Samba 4 ako radič domény AD na Linuxe
56
Konfigurácia siete
• /etc/NetworkManager/system-connections/Wired connection 1:
[ipv4]
method=manual
dns=172.22.0.1;
address1=172.22.222.11/16,172.22.0.1
• /etc/NetworkManager/NetworkManager.conf zakomentovať:
#dns=dnsmasq
• /etc/hostname: linse
• /etc/hosts: namiesto riadku
127.0.1.1 linse• vložiť riadok:
172.22.222.30 linse.corp.vasaorg.sk linse
• sudo apt-get purge avahi-autoipd avahi-daemon avahi-utils• zbytočné pre server s dobre nakonfigurovanou sieťou
57
Odporúčania pre Samba AD DC
• pri väčšom počte používateľov sa odporúča prevádzkovať
viac DC
• odporúča sa prevádzkovať súborový server ako
samostatný členský server
• oddelenie umožňuje aktualizovať DC a FS samostatne, bez
narušenia činnosti druhého servera
• problémy s winbind integrovaným do DC
• Samba má svoju implementáciu Kerberos a LDAP
• neodporúča sa používať externé implementácie
58
Základná inštalácia
• súborový systém s podporou rozšírených atribútov
• Tam, kde budú zdieľané priečinky (/var/lib/samba/sysvol)
• cat /boot/config-3.16.0-25-generic | grep "EXT._FS_"
CONFIG_EXT4_FS_XATTR=y
CONFIG_EXT4_FS_POSIX_ACL=y
CONFIG_EXT4_FS_SECURITY=y
• v súbore /etc/fstab, pridať k správnemu FS: user_xattr,acl,barrier=1
• barrier=1: zaistí, že tdb transakcie zvládnu neočakávaný výpadok napájania
• sudo apt-get install krb5-userDefault Kerberos version 5 realm: CORP.VASAORG.SK
Kerberos servers for your realm: linse.corp.vasaorg.sk
Administrative server for your Kerberos realm: linse.corp.vasaorg.sk
• sudo apt-get install samba
• momentálne je v Ubuntu 14.10 samba verzia 4.1.11
59
Zriadenie domény (DCPROMO)
• vytvorí Active Directory databázu
• najprv zmazať /etc/samba/smb.conf
• ak existuje
• sudo samba-tool domain provision --use-rfc2307 --interactive \--option="interfaces=lo eth0" --option="bind interfaces only=yes" \--function-level=2008_R2
• --use-rfc2307
• RFC 2307 (An Approach for Using LDAP as a Network Information Service)
• doplní do schémy AD rozšírenie o atribúty ako uidNumber
• bez tohto parametra sa rozšírené atribúty nepridajú
• --interactive
• samba-tool sa bude interaktívne pýtať na potrebné parametre
• preddefinované hodnoty budú v hranatých zátvorkách
• pre ich použitie stačí stlačiť ⏎
60
Ďalšie parametre
• --function-level=2008_R2
• funkčná úroveň domény a celého lesa
• možnosti sú: 2000, 2003, 2008, 2008_R2
• preddefinovaná hodnota je 2003
• --site=SITENAME
• nastaví meno fyzickej lokality
• --option=OPTION
• pridá OPTION do smb.conf
• --option="interfaces=lo eth0"
• --option="bind interfaces only=yes"
• niekedy je vhodné obmedziť rozhrania, kde bude Samba počúvať
• napríklad keď je server priamo pripojený na Internet
61
Interakcia so samba-tool domain provision
Realm: CORP.VASAORG.SK
Domain [corp]: CORP
Server Role (dc, member, standalone) [dc]: dc
DNS backend (…) [SAMBA_INTERNAL]: SAMBA_INTERNAL
DNS forwarder IP address (…) [127.0.1.1]: 172.22.0.1
Administrator password: ****
Retype password: ****
Looking up IPv4 addresses
Looking up IPv6 addresses
No IPv6 address will be assigned
Setting up share.ldb
Setting up secrets.ldb
Setting up the registry
Setting up the privileges database
Setting up idmap db
Setting up SAM db
Setting up sam.ldb partitions and settings
Setting up sam.ldb rootDSE
Pre-loading the Samba 4 and AD schema
Adding DomainDN: DC=corp,DC=vasaorg,DC=sk
Adding configuration container
Setting up sam.ldb schema
Setting up sam.ldb configuration data
Setting up display specifiers
Modifying display specifiers
Adding users container
Modifying users container
Adding computers container
Modifying computers container
Setting up sam.ldb data
Setting up well known security principals
Setting up sam.ldb users and groups
Setting up self join
Adding DNS accounts
Creating CN=MicrosoftDNS,CN=System,DC=corp,DC=vasaorg,DC=sk
Creating DomainDnsZones and ForestDnsZones partitions
Populating DomainDnsZones and ForestDnsZones partitions
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has beengenerated at /var/lib/samba/private/krb5.conf
Setting up fake yp server settings
Once the above files are installed, your Samba4 serverwill be ready to use
Server Role: active directory domain controller
Hostname: linse
NetBIOS Domain: CORP
DNS Domain: corp.vasaorg.sk
DOMAIN SID: S-1-5-21-2144280183-3080654876-3525390984
62
Význam parametrov 1/2
• Realm: corp.vasaorg.sk• Kerberos realm (oblasť)
• automaticky sa použije aj ako AD DNS meno
• malo by byť veľkými písmenami
• Domain [corp]: corp• meno domény
• obyčajne prvá časť AD DNS mena
• veľkými písmenami
• Server Role (dc, member, standalone) [dc]: dc• dc ako Domain Controller
• DNS backend (…) [SAMBA_INTERNAL]: SAMBA_INTERNAL• SAMBA_INTERNAL – interný DNS server
• preddefinovaná a najlepšia voľba (pokiaľ nie sú kladené špeciálne požiadavky na DNS)
• nevyžaduje žiadne ďalšie konfigurovanie
• BIND9 – pre komplexnejšie požiadavky na DNS• BIND9_DLZ – informácie o zónach sú uložené v AD, odporúčané
• BIND9_FLATFILE – textová databáza pre BIND9, nepoužívať• nedokumentované, nepodporované
63
Význam parametrov 2/2
• DNS forwarder IP address (…) [127.0.1.1]: 172.22.0.1• nastaviteľné iba ak sa používa interná DNS
• definuje IP adresu jedného DNS servera, kam sa posielajú požiadavky, pre ktoré interný server nie je autoritatívny
• Administrator password: ****• musí mať aspoň 8 znakov a obsahovať aspoň tri z nasledujúcich
skupín znakov:
• veľké písmená
• malé písmená
• číslice
• symboly
• všetky znaky na klávesnici, ktoré nie sú definované ako písmená alebo číslice
• ak heslo nespĺňa tieto požiadavky, zriadenie domény sa nepodarí:
ERROR(ldb): uncaught exception - 0000052D: Constraint violation
- check_password_restrictions: the password is too short.
It should be equal or longer than 7 characters!
64
Vytvorený konfiguračný súbor
• /etc/samba/smb.conf: (samba-tool testparm)
[global]workgroup = CORP
• meno domény
realm = CORP.VASAORG.SK• názov Kerberos oblasti
netbios name = LINSE• NetBIOS meno Samba servera (štandardne prvá časť DNS mena počítača)
interfaces = lo, eth0bind interfaces only = Yesserver role = active directory domain controller
• standalone, member server, classic primary alebo netbios backup domain controller
dns forwarder = 172.22.0.1• používa sa iba pri internom DNS serveri pre preposielanie požiadaviek pre ktoré samotná Samba nie
je autoritatívny server
idmap_ldb:use rfc2307 = yes• zabuduje do LDAP rozšírené atribúty z RFC 2307 (ako napr. uid)
[netlogon]path = /var/lib/samba/sysvol/corp.vasaorg.sk/scriptsread only = No
[sysvol]path = /var/lib/samba/sysvolread only = No
65
Konfiguračný súbor – implicitné parametre
• samba-tool testparm vs. testparmpassdb backend = samba_dsdb
• Samba directory services database
rpc_server:tcpip = no # yes je momentálne iba pre testovanie
rpc_daemon:spoolssd = embedded
rpc_server:spoolss = embedded # Network Printing Spooler
rpc_server:winreg = embedded # Remote Registry Service
rpc_server:ntsvcs = embedded # Plug and Play Services
rpc_server:eventlog = embedded # Event Logger
rpc_server:srvsvc = embedded # Remote Server Services
rpc_server:svcctl = embedded # Service Control
rpc_server:default = external
idmap config * : backend = tdb
map archive = No # nepoužíva špeciálne mapovanie týchto atribútov
map readonly = no # do štandardných UNIX atribútov, ale používa
store dos attributes = Yes # mapovanie DOS atribútov (S,H,A,RO) do
# rozšíreného atribútu FS s názvom user.DOSATTRIB
vfs objects = dfs_samba4, acl_xattr
# dfs_samba4: Distributed File System založený na doméne
# acl_xattr: ukladá NTFS ACL do rozšíreného atribútu security.NTACL
66
Spustenie a kontrola Samba AD-DC procesov
• zlý stavtester@linse:~$ ps axf | grep -E "samba|smbd|nmbd|winbindd"3949 ? Ss 0:00 smbd -F4028 ? S 0:00 \_ smbd -F3989 ? Ss 0:00 nmbd –D
tester@linse:~$ sudo service smbd stopsmbd stop/waitingtester@linse:~$ sudo service nmbd stopnmbd stop/waiting
• dobrý stavtester@linse:~$ ps axf | grep -E "samba|smbd|nmbd|winbindd"4445 ? Ss 0:00 samba -D4484 ? S 0:00 \_ samba -D4489 ? Ss 0:00 | \_ /usr/sbin/smbd -D --option=server role check:inhibit=yes --foreground4501 ? S 0:00 | \_ /usr/sbin/smbd -D --option=server role check:inhibit=yes --foreground4485 ? S 0:00 \_ samba -D4486 ? S 0:00 \_ samba -D4487 ? S 0:00 \_ samba -D4488 ? S 0:00 \_ samba -D4490 ? S 0:00 \_ samba -D4491 ? S 0:00 \_ samba -D4492 ? S 0:00 \_ samba -D4493 ? S 0:00 \_ samba -D4494 ? S 0:00 \_ samba -D4495 ? S 0:00 \_ samba -D4496 ? S 0:00 \_ samba -D4497 ? S 0:00 \_ samba -D
67
• spustenietester@linse:~$ sudo service samba startnmbd start/runningsmbd start/running, process 4429samba-ad-dc start/running, process 4445
Kontrola portovtester@linse:~$ sudo netstat -tulpn | egrep "samba|smbd|nmbd|winbindd"tcp 0 0 172.22.222.11:1024 0.0.0.0:* LISTEN 1410/sambatcp 0 0 127.0.0.1:1024 0.0.0.0:* LISTEN 1410/samba…
68
TCP UDP Local Address Port Service PID Program
✔ ✔
127.0.0.1 / 172.22.222.11
53 DNS 1454 samba
✔ ✔ 88 Kerberos 1434 samba
✔ 135End Point Mapper
DCE/RPC Locator Service1410 samba
✔ 127.0.0.1 / 127.255.255.255
172.22.222.11 / 172.22.255.255
137 NetBIOS Name Service 1411 samba
✔ 138 NetBIOS Datagram 1411 samba
✔
127.0.0.1 / 172.22.222.11
139 NetBIOS Session 1412 smbd
✔ ✔ 389 LDAP 1429 samba
✔ 445 SMB over TCP 1412 smbd
✔ ✔ 464 Kerberos kpasswd 1434 samba
✔ 636 LDAPS 1429 samba
✔ 1024 Dynamic RPC Ports (1024-5000) 1410 samba
✔ 3268 Global Catalog 1429 samba
✔ 3269 Global Catalog SSL 1429 samba
Kontrola konfigurácie zdieľaných priečinkov
• kontrola, či AD DC poskytuje priečinky netlogon a sysvol
• sudo apt-get install smbclient
• -Uusername[%password]
tester@linse:~$ smbclient --list localhost -UGuest%
Domain=[CORP] OS=[Unix] Server=[Samba 4.1.11-Ubuntu]
Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service (Samba 4.1.11-Ubuntu)
Domain=[CORP] OS=[Unix] Server=[Samba 4.1.11-Ubuntu]
Server Comment
--------- -------
Workgroup Master
--------- -------
69
Kontrola autentifikácie
tester@linse:~$ smbclient //localhost/sysvol -UGuest% -c 'ls'
Anonymous login successful
Domain=[CORP] OS=[Unix] Server=[Samba 4.1.11-Ubuntu]
tree connect failed: NT_STATUS_ACCESS_DENIED
tester@linse:~$ smbclient //localhost/sysvol -UAdministrator -c 'ls'
Enter Administrator's password:
Domain=[CORP] OS=[Unix] Server=[Samba 4.1.11-Ubuntu]
. D 0 Fri …
.. D 0 Fri …
corp.vasaorg.sk D 0 Fri …
38043 blocks of size 524288. 26251 blocks available
70
Konfigurácia DNS a kontrola funkčnosti
• pre správnu činnosť AD je nutná korektná funkčnosť DNS
• napríklad bez správnych záznamov nebude pracovať Kerberos
• /etc/NetworkManager/system-connections/Wired connection 1:
[ipv4]
method=manual
dns=172.22.222.11;
dns-search=corp.vasaorg.sk;
address1=172.22.222.11/16,172.22.0.1
• sudo service network-manager restart
• host -t SRV _ldap._tcp.corp.vasaorg.sk.
• _ldap._tcp.corp.vasaorg.sk has SRV record 0 100 389 linse.corp.vasaorg.sk.
• host -t SRV _kerberos._udp.corp.vasaorg.sk.
• _kerberos._udp.corp.vasaorg.sk has SRV record 0 100 88 linse.corp.vasaorg.sk.
• host -t A linse.corp.vasaorg.sk
• linse.corp.vasaorg.sk has address 172.22.222.11
71
Konfigurácia Kerberos
• Kerberos je dôležitou súčasťou AD
• počas zriadenia domény vznikla konfigurácia pre používateľské programy Kerberosu, preto treba nahradiť /etc/krb5.conf súborom /var/lib/samba/private/krb5.conf:
[libdefaults]
default_realm = CORP.VASAORG.SK
dns_lookup_realm = false
dns_lookup_kdc = true
• sudo ln -sf /var/lib/samba/private/krb5.conf /etc/krb5.conftester@linse:~$ kinit Administrator
Password for [email protected]:
Warning: Your password will expire in 41 days on …
tester@linse:~$ klist -fe
Ticket cache: FILE:/tmp/krb5cc_1000
Default principal: [email protected]
Valid starting Expires Service principal
… … krbtgt/[email protected]
renew until …, Flags: RIA
Etype (skey, tkt): aes256-cts-hmac-sha1-96, aes256-cts-hmac-sha1-96
72
Test pripojenia cez Kerberos
tester@linse:~$ smbclient //linse/sysvol --kerberos -c 'ls'
Domain=[CORP] OS=[Unix] Server=[Samba 4.1.11-Ubuntu]
. D 0 Fri …
.. D 0 Fri …
corp.vasaorg.sk D 0 Fri …
38043 blocks of size 524288. 26128 blocks available
tester@linse:~$ klist -fe
Ticket cache: FILE:/tmp/krb5cc_1000
Default principal: [email protected]
Valid starting Expires Service principal
… … krbtgt/[email protected]
renew until …, Flags: RIA
Etype (skey, tkt): aes256-cts-hmac-sha1-96, aes256-cts-hmac-sha1-96
… … cifs/[email protected]
renew until …, Flags: RATO
Etype (skey, tkt): aes256-cts-hmac-sha1-96, aes256-cts-hmac-sha1-96
73
NTP server pre AD
• AD vyžaduje synchronizáciu času s klientmi• pre riešenie konfliktov pri replikácii
• pre zabránenie útokov opakovaním v Kerberos protokole
• maximálny povolený časový rozdiel je štandardne 5 minút
• Windows klienti požadujú NTP server s podporou MS-SNTP• Network Time Protocol (NTP) Authentication Extensions
• špecifikácia Windows protokolov (≈ 400 PDF, ≈ 900 MB)• http://go.microsoft.com/fwlink/?LinkId=389156
• Samba štandardne poskytuje pre ntpd podpisovanie paketov• aby NTP server nemusel riešiť, odkiaľ má získať kľúč
• server services = +ntp_signd
• pre komunikáciu s ntpd používa socket• ntp signd socket directory = /var/lib/samba/ntp_signd
• ntpd vo verzii aspoň 4.2.6 s podporou ntp_signd• --enable-ntp-signd
• sudo apt-get install ntp
74
Konfigurácia NTP servera
• chown root:ntp /var/lib/samba/ntp_signd
• chmod 750 /var/lib/samba/ntp_signd
• /etc/ntp.conf:driftfile /var/lib/ntp/ntp.drift
ntpsigndsocket /var/lib/samba/ntp_signd # without /socket !
# Specify one or more NTP servers.
server 0.ubuntu.pool.ntp.org iburst prefer
…
# Local clock pseudo IP (used in case of network problems).
server 127.127.1.0
fudge 127.127.1.0 stratum 10
# By default, exchange time with everybody (incl. MS-SNTP), but don't allow configuration.
restrict default notrap nomodify noquery nopeer mssntp
# Local users may interrogate the ntp server more closely, allow everything.
restrict 127.0.0.1
restrict ::1
# For time servers allow queries.
restrict 0.ubuntu.pool.ntp.org notrap nomodify nopeer
…
75
samba-tool fsmo
• FSMO – Flexible Single Master Operations
tester@linse:~$ sudo samba-tool fsmo show
InfrastructureMasterRole owner: ...
RidAllocationMasterRole owner: ...
PdcEmulationMasterRole owner: ...
DomainNamingMasterRole owner: ...
SchemaMasterRole owner: ...
• kde ... sú:
CN=NTDS Settings,CN=LINSE,CN=Servers,
CN=Default-First-Site-Name,CN=Sites,CN=Configuration,
DC=corp,DC=vasaorg,DC=sk
76
Kontrola lokálnej AD databázy
tester@linse:~$ sudo samba-tool dbcheck
Checking 265 objects
Checked 265 objects (0 errors)
77
Zoznam všetkých používateľov domény
tester@linse:~$ sudo samba-tool user list
Administrator
krbtgt
Guest
78
Zmena funkčnej úrovne domény a lesa
tester@linse:~$ sudo samba-tool domain level show
Domain and forest function level for domain 'DC=corp,DC=vasaorg,DC=sk'
Forest function level: (Windows) 2003
Domain function level: (Windows) 2003
Lowest function level of a DC: (Windows) 2008 R2
tester@linse:~$ sudo samba-tool domain level raise --forest-level=2008_R2 \
--domain-level=2008_R2
Domain function level changed!
Forest function level changed!
All changes applied successfully!
tester@linse:~$ sudo samba-tool domain level show
Domain and forest function level for domain 'DC=corp,DC=vasaorg,DC=sk'
Forest function level: (Windows) 2008 R2
Domain function level: (Windows) 2008 R2
Lowest function level of a DC: (Windows) 2008 R2
79
Zobrazenie politiky hesiel v doméne
tester@linse:~$ sudo samba-tool domain passwordsettings show
Password informations for domain 'DC=corp,DC=vasaorg,DC=sk'
Password complexity: on
Store plaintext passwords: off
Password history length: 24
Minimum password length: 7
Minimum password age (days): 1
Maximum password age (days): 42
80
Pridanie Windows do domény – predpoklady
• správna edícia Windows:• Windows 8 / 8.1 Pro, Enterprise
• Windows 7 Professional, Ultimate, Enterprise
• Windows Vista Business, Ultimate, Enterprise
• práva lokálneho správcu (na PC, ktoré sa pripája)
• znalosť mena a hesla doménového účtu, ktorý má oprávnenie pridávať počítače do domény• Domain Administrator
• DNS nastavené tak, aby sa dala zistiť IP adresa pre DC, LDAP, Kerberos, ...• v našom prípade DNS nastavíme priamo na DC
• správny čas• synchronizácia s PDC sa nastaví automaticky po pripojení do
domény
81
Pridanie Windows do domény
82
Pridanie Windows do domény
82
Pridanie Windows do domény
82
Pridanie Windows do domény
82
Pridanie Windows do domény
82
Pridanie Windows do domény
82
Pridanie Windows do domény
82
Pridanie Windows do domény
82
Pridanie Windows do domény
82
Pridanie Windows do domény
82
Kontrola synchronizácie času
PS C:\Users\Administrator.CORP> w32tm /resync
Sending resync command to local computer
The computer did not resync because no time data was available.
• pozrieť či náhodou v /var/log/syslog nie je niečo ako:… linse kernel: … apparmor="DENIED" operation="open"
profile="/usr/sbin/ntpd" … requested_mask="r" denied_mask="r" …
• ak áno, tak AppArmor má zlý záznam v /etc/apparmor.d/usr.sbin.ntpd:# samba4 ntp signing socket
/{,var/}run/samba/ntp_signd/socket rw,
• opraviť pridaním riadku do /etc/apparmor.d/local/usr.sbin.ntpd# Site-specific additions and overrides for usr.sbin.ntpd.
# For more details, please see /etc/apparmor.d/local/README.
/var/lib/samba/ntp_signd/socket rw,
• správna synchronizácia času:PS C:\Users\Administrator.CORP> w32tm /resync
Sending resync command to local computer
The command completed successfully.
83
Prihlásenie ako používateľ domény
84
Prihlásenie ako používateľ domény
84
Inštalácia RSAT
• RSAT – Remote Server Administration Tools
• najjednoduchší spôsob, ako spravovať Samba doménu
• nástroje priamo od Microsoftu
• dobrá dokumentácia
• samba-tool ešte nie je ich plnohodnotnou náhradou
• Remote Server Administration Tools for Windows 8.1
• http://www.microsoft.com/en-us/download/details.aspx?id=39296
• Windows8.1-KB2693643-x64.msu (67,6 MB)
• Remote Server Administration Tools for Windows 7 (SP1)
• http://www.microsoft.com/en-us/download/details.aspx?id=7887
• Windows6.1-KB958830-x64-RefreshPkg.msu (239,5 MB)
85
Inštalácia RSAT
86
Inštalácia RSAT
86
Inštalácia RSAT
86
Inštalácia RSAT
86
Inštalácia RSAT
86
ADSI Edit
87
ADUC – pridanie nového používateľa
88
ADUC – pridanie nového používateľa
88
ADUC – pridanie nového používateľa
88
ADUC – pridanie nového používateľa
88
ADUC – pridanie nového používateľa
88
ADUC – pridanie nového používateľa
88
ADUC – pridanie nového používateľa
88
Expirované heslo
tester@linse:~$ kinit ric
Password for [email protected]:
Password expired. You must change it now.
Enter new password:
Enter it again:
Password change rejected: Try a more complex password, or contact your administrator.. Please try again.
Enter new password:
Enter it again:
Warning: Your password will expire in 24 hours on …
89
Samba 4 – skupinové politiky
• vie obsluhovať skupinové politiky (GPO) pre klientov
• ignoruje nastavenia GPO, ktoré by boli pre ňu aplikovateľné
• napríklad minimálna dĺžka hesla
• existuje projekt, ktorého cieľom je, aby
• Samba 4 DC vedel o GPO, ktoré sú na neho aplikovateľné
• aplikoval na seba uvedené nastavenie
• pravidelne (nie len pri štarte)
• s ohľadom na hierarchiu GPO
90
Group Policy Management
91
Group Policy Management
91
List all GPOs
tester@linse:~$ sudo samba-tool gpo listall
GPO : {31B2F340-016D-11D2-945F-00C04FB984F9}
display name : Default Domain Policy
path : \\corp.vasaorg.sk\sysvol\corp.vasaorg.sk\Policies\
{31B2F340-016D-11D2-945F-00C04FB984F9}
dn : CN={31B2F340-016D-11D2-945F-00C04FB984F9},
CN=Policies,CN=System,DC=corp,DC=vasaorg,DC=sk
version : 0
flags : NONE
GPO : {6AC1786C-016F-11D2-945F-00C04FB984F9}
display name : Default Domain Controllers Policy
path : ...\{6AC1786C-016F-11D2-945F-00C04FB984F9}
dn : CN={6AC1786C-016F-11D2-945F-00C04FB984F9},...
version : 0
flags : NONE
92
Vytvorenie nového GPO
93
Vytvorenie nového GPO
93
Vytvorenie nového GPO
93
Vytvorenie nového GPO
93
Vytvorenie nového GPO
93
Editácia obsahu GPO
94
Editácia obsahu GPO
94
Vyvorenie prihlasovacieho skriptu
95
Vyvorenie prihlasovacieho skriptu
95
Vyvorenie prihlasovacieho skriptu
95
Vyvorenie prihlasovacieho skriptu
95
Vyvorenie prihlasovacieho skriptu
95
Vyvorenie prihlasovacieho skriptu
95
Vyvorenie prihlasovacieho skriptu
95
Vyvorenie prihlasovacieho skriptu
95
Vyvorenie prihlasovacieho skriptu
95
Nové politiky z pohľadu samba-tool
tester@linse:~$ sudo samba-tool gpo listall
GPO : {31B2F340-016D-11D2-945F-00C04FB984F9}
...
GPO : {6AC1786C-016F-11D2-945F-00C04FB984F9}
...
GPO : {BC83D076-EA0A-436C-BFEC-5FEA5E58E042}
display name : no recycle bin
path : \\corp.vasaorg.sk\SysVol\corp.vasaorg.sk\Policies\{BC83D076-EA0A-436C-BFEC-5FEA5E58E042}
dn : CN={BC83D076-EA0A-436C-BFEC-5FEA5E58E042},CN=Policies,CN=System,DC=corp,DC=vasaorg,DC=sk
version : 65536
flags : NONE
GPO : {22CC4007-CEED-45BE-9896-9D1C65A833A7}
display name : logon script
path : \\corp.vasaorg.sk\SysVol\corp.vasaorg.sk\Policies\{22CC4007-CEED-45BE-9896-9D1C65A833A7}
dn : CN={22CC4007-CEED-45BE-9896-9D1C65A833A7},CN=Policies,CN=System,DC=corp,DC=vasaorg,DC=sk
version : 65536
flags : NONE
96
Nové politiky z pohľadu samba-tool
tester@linse:~$ sudo samba-tool gpo listall
GPO : {31B2F340-016D-11D2-945F-00C04FB984F9}
...
GPO : {6AC1786C-016F-11D2-945F-00C04FB984F9}
...
GPO : {BC83D076-EA0A-436C-BFEC-5FEA5E58E042}
display name : no recycle bin
path : \\corp.vasaorg.sk\SysVol\corp.vasaorg.sk\Policies\{BC83D076-EA0A-436C-BFEC-5FEA5E58E042}
dn : CN={BC83D076-EA0A-436C-BFEC-5FEA5E58E042},CN=Policies,CN=System,DC=corp,DC=vasaorg,DC=sk
version : 65536
flags : NONE
GPO : {22CC4007-CEED-45BE-9896-9D1C65A833A7}
display name : logon script
path : \\corp.vasaorg.sk\SysVol\corp.vasaorg.sk\Policies\{22CC4007-CEED-45BE-9896-9D1C65A833A7}
dn : CN={22CC4007-CEED-45BE-9896-9D1C65A833A7},CN=Policies,CN=System,DC=corp,DC=vasaorg,DC=sk
version : 65536
flags : NONE
96
Rozšírené atribúty súborov
tester@linse:~$ sudo getfattr -m- /var/lib/samba/sysvol/corp.vasaorg.sk/Policies/
{BC83D076-EA0A-436C-BFEC-5FEA5E58E042}/User/Registry.pol
getfattr: Removing leading '/' from absolute path names
# file: var/lib/samba/sysvol/corp.vasaorg.sk/Policies/
{BC83D076-EA0A-436C-BFEC-5FEA5E58E042}/User/Registry.pol
security.NTACL
system.posix_acl_access
user.DOSATTRIB
tester@linse:~$ sudo getfattr -n security.NTACL /var/lib/samba/sysvol/corp.vasaorg.sk/Policies/
{BC83D076-EA0A-436C-BFEC-5FEA5E58E042}/User/Registry.pol
getfattr: Removing leading '/' from absolute path names
# file: var/lib/samba/sysvol/corp.vasaorg.sk/Policies/
{BC83D076-EA0A-436C-BFEC-5FEA5E58E042}/User/Registry.pol
security.NTACL=0sBAAEAAAAAgAEAAIAAQDHJo3bocwWXCSwtThCodEAGTuLcpqEAN6n31Xa7yJo1gAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAcG9zaXhfYWNsABTBJxfLEtABesnBiD0TEekl+JDvtnA3/bC0GPPrAtJpZKHDeQ043fcAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAEABIS0AAAAxAAAAAAAAADgAAAAAQIAAAAAAAUgAAAAIAIAAAEFAAAA
AAAFFQAAAHcez38cEJ+3iDIh0gECAAACAKQABgAAAAAQJAD/AR8AAQUAAAAAAAUVAAAAdx7PfxwQn7eIMiHSAAIAAAAQJAD
/AR8AAQUAAAAAAAUVAAAAdx7PfxwQn7eIMiHSBwIAAAAQGAD/AR8AAQIAAAAAAAUgAAAAIAIAAAAQFAD/AR8AAQEAAAAAAA
USAAAAABAUAKkAEgABAQAAAAAABQsAAAAAEBQAqQASAAEBAAAAAAAFCQAAAA==
97
C. Cygwin
98
Cygwin
• Cygwin poskytuje pre Windows• veľkú zbierku štandardných GNU a Open Source nástrojov
• ktoré sú bežné pre mnohé Unixové distribúcie
• knižnicu (DLL) implementujúcu POSIX API
• systémové volania a prostredie, ktoré Unixové aplikácie očakávajú
• vďaka tomu je možné portovať mnohé Unixové programy na Windows bez výrazných zmien v zdrojovom kóde
• Cygwin neumožňuje:• spúšťať „binárky“ Linuxových aplikácií na Windows
• aplikácie treba minimálne prekompilovať zo zdrojových súborov s použitím Cygwin knižnice
• domovská stránka Cygwin projektu: https://www.cygwin.com
• k dispozícii zadarmo v podstate pod GPL licenciou• pre portovanie proprietárnej aplikácie (bez zverejnenia zdrojových
kódov) na Windows s pomocou Cygwin je potrebné zakúpiť špeciálnu licenciu od firmy Red Hat
99
Cygwin – inštalácia
• stiahnuť inštalačný súbor
• http://cygwin.com/setup-x86_64.exe
• kedykoľvek možné spustiť pre inštaláciu alebo
aktualizáciu
• možná aj bez administrátorských oprávnení
• tie sú potrebné len pre inštaláciu pre všetkých používateľov na PC
• setup-x86_64.exe --no-admin
100
Cygwin – inštalácia
101
Cygwin – inštalácia
101
Cygwin – inštalácia
101
Cygwin – inštalácia
101
Cygwin – inštalácia
101
Cygwin – inštalácia
101
Cygwin – inštalácia
101
Cygwin – inštalácia
101
Cygwin – inštalácia
101
Cygwin – inštalácia
101
Cygwin – inštalácia
101
Cygwin – inštalácia
101
Cygwin – inštalácia
101
Cygwin – inštalácia
101
Cygwin – ssh
102
Cygwin – ssh
102
Cygwin – ssh
102
Cygwin – ssh
102
Cygwin – ssh
102
Cygwin – ssh
102
Cygwin – ssh
102
Cygwin – ssh
102
Cygwin – ssh
102
Cygwin – ssh
102
Cygwin – ssh
102
Cygwin – ssh
102
Cygwin/X - inštalácia
103
Cygwin/X - inštalácia
103
Cygwin/X - inštalácia
103
Cygwin/X - inštalácia
103
Cygwin/X - inštalácia
103
Cygwin/X - inštalácia
103
Cygwin/X - inštalácia
103
Cygwin/X - inštalácia
103
Cygwin/X - inštalácia
103
Cygwin/X - inštalácia
103
Cygwin/X - inštalácia
103
Cygwin/X - inštalácia
103
Cygwin/X - inštalácia
103
Cygwin/X - inštalácia
103
Cygwin/X - inštalácia
103
Cygwin/X - inštalácia
103
Cygwin/X – integrácia s Windows
• integrácia schránok (clipboard)
• umožňuje kopírovať medzi Windows oknami a X oknami
• windowing mode
• rooted mode
• každá X obrazovka (screen) sa zobrazí ako jedno Windows okno
• všetky X okná tejto obrazovky sa zobrazujú v rámci tohto okna
• je možné si zvoliť vlastného správcu okien (window manager)
• napríklad /usr/bin/fvwm2
• multiwindow mode
• interný správca okien (window manager)
• každé „top-level“ X okno je samostatné Windows okno
• rootless mode
• koreňové (root) X okno sa nezobrazuje, ale zobrazujú sa „top-level“ okná
• umožňuje integráciu s Windows ale s použitím vybraného správcu okien
104
Cygwin/X – spustenie
• mutiwindow mode• startxwin (z terminálového okna)
• XWin Server (zo štart menu)
• možné prispôsobiť cez ~/.startxwinrc
• cp /etc/X11/xinit/startxwinrc ~/.startxwinrc
• server beží aj po skončení skriptu
• rooted mode• startx – hneď skončí (lebo štandardne nič nespúšťa)
• startx /usr/bin/fvwm2
• keď chceme spustiť iba jeden program (napr. správcu okien)
• konfigurovateľné cez ~/.xinitrc
• cp /etc/X11/xinit/xinitrc ~/.xinitrc
• startx skončí, keď ~/.xinitrc skript skončí
• XLaunch (zo štart menu)• konfigurovateľné cez dialógové okno
105
Cygwin/X – XWin Server
• spustiť XWin Server
• spustiť Cygwin64 Terminal alebo použiť xterm
• nastaviť premennú prostredia DISPLAY:
• export DISPLAY=:0.0
• tento krok nie je potrebný, pokiaľ sa používa xterm
• premenná DISPLAY totiž už musí byť nastavená
• spustiť v termináli ssh pripojenie na vzdialený server:• ssh -Y tester@linse
• spustiť aplikáciu na vzdialenom počítači:
• xcalc &
• pokiaľ vzdialený SSH server nedovoľuje preposielanie
• /etc/ssh/sshd_config: X11Forwarding yes
106
Cygwin/X – XWin Server
107
Cygwin/X – startx /usr/bin/fvwm2
108
Cygwin/X – startx /usr/bin/fvwm2
108
Cygwin/X – startx /usr/bin/fvwm2
108
Cygwin/X – startx /usr/bin/fvwm2
108
Cygwin/X – XLaunch
109
Cygwin/X – XLaunch
109
Cygwin/X – XLaunch
109
Cygwin/X – XLaunch
109
Cygwin/X – XLaunch
109
Cygwin/X – XLaunch
109
PuTTY
• PuTTY: A Free Telnet/SSH Client (484 kB, MIT licencia)
• http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
110
PuTTY
• PuTTY: A Free Telnet/SSH Client (484 kB, MIT licencia)
• http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
110
PuTTY
• PuTTY: A Free Telnet/SSH Client (484 kB, MIT licencia)
• http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
110
PuTTY
• PuTTY: A Free Telnet/SSH Client (484 kB, MIT licencia)
• http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
110
PuTTY
• PuTTY: A Free Telnet/SSH Client (484 kB, MIT licencia)
• http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
110
PuTTY
• PuTTY: A Free Telnet/SSH Client (484 kB, MIT licencia)
• http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
110
PuTTY
• PuTTY: A Free Telnet/SSH Client (484 kB, MIT licencia)
• http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
110
D. RDP – pripojenie vzdialenej pracovnej
plochy Windows na Linuxe
111
rdesktop
• natívny Windows RDP klient pre Linux
• nepodporuje Network Level Authentication (NLA)
• zavedené s Windows Vista
• sudo apt-get install rdesktop
• 1.7.1-1ubuntu2
• tester@linse:~$ rdesktop -u tester -z -x l winwo
• -u meno používateľa
• -d doména
• -z povolí kompresiu dátového toku
• -x nastaví šírku dátového toku (l[an], b[roadband], m[oden])
112
Vypnutie vynucovania NLA
113
Vypnutie vynucovania NLA
113
Pripojenie cez rdesktop bez NLA
114
Pripojenie cez rdesktop bez NLA
114
FreeRDP
• sudo apt-get install freerdp-x11
• 1.0.2-2ubuntu1 (na githube je 1.2)
• podporuje NLA
• xfreerdp -u tester -z -x 0 --rfx --sec nla winwo.corp.vasaorg.sk
• -u meno používateľa
• -d doména
• -z povolí kompresiu dátového toku
• -x nastaví šírku dátového toku
• l[an] = 0, b[roadband] = 1, m[oden] = 15
• --rfx povolí RemoteFX
• technológia pre zlepšenie vizuálneho zážitku pri RDP
• --sec nla vynúti použitie NLA
115
Prepojenie cez FreeRDP s NLA
• sudo apt-get install freerdp-x11• 1.0.2-2ubuntu1 (na github verzia 1.2)
• podporuje NLA
tester@linse:~$ xfreerdp -u tester -z -x 0 --rfx --sec nla winwo.corp.vasaorg.sk
connected to winwo.corp.vasaorg.sk:3389
creating directory /home/tester/.freerdp/certs
Password:
Certificate details:
Subject: CN = winwo.corp.vasaorg.sk
Issuer: CN = winwo.corp.vasaorg.sk
Thumbprint: fd:e7:f3:3a:59:40:08:62:8b:3a:e3:8d:be:35:d9:6e:06:ff:a9
The above X.509 certificate could not be verified, possibly because you do not have the CA
certificate in your certificate store, or the certificate has expired. Please look at the
documentation on how to create local certificate store for a private CA.
Do you trust the above certificate? (Y/N) y
tester@linse:~/.freerdp$ cat known_hosts
winwo.corp.vasaorg.sk fd:e7:f3:3a:59:40:08:62:8b:3a:e3:8d:be:35:d9:6e:06:ff:a9
116
Prepojenie cez FreeRDP s NLA
117
Ďakujem za pozornosť
118