Posts Tagged ‘ Win2k8

Debian — xfreerdp и ошибка «SSL_read: Failure in SSL library (protocol error?)»

Работало-работало … и на тебе — перестало 🙂
Чтото видать накрутили виндоадмины, и в результате вот:

black@deb ~ $ rdp_client 10.0.0.55
connected to 10.0.0.55:3389
creating directory /home/black/.freerdp/certs
Password:
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@           WARNING: CERTIFICATE NAME MISMATCH!           @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
The hostname used for this connection (10.0.0.55)
does not match the name given in the certificate:
SRV-TS.my.loc
A valid certificate for the wrong name should NOT be trusted!
Certificate details:
        Subject: CN = SRV-TS.my.loc
        Issuer: CN = SRV-TS.my.loc
        Thumbprint: 37:03:73:4e:25:ae:a8:ab:c6:b4:87:13:d5:d5:1b:3a:38:9a:88
The above X.509 certificate could not be verified, possibly because you do not have the CA certificate in your certificate store, or the certificate has expired. Please look at the documentation on how to create local certificate store for a private CA.
Do you trust the above certificate? (Y/N) Y
SSL_read: Failure in SSL library (protocol error?)
Authentication failure, check credentials.
If credentials are valid, the NTLMSSP implementation may be to blame.
black@deb ~ $

Опции, прописанные в bash alias rdp_client вот такие:

black@deb ~ $ alias
alias rdp_client='xfreerdp -g 1440x900 -d my.loc -k en-us -u my_ad_login'
black@deb ~ $

Покопавшись по ману, эмпирическим путем выяснил что с вот такой опцией работает:

black@deb ~ $ rdp_client --no-nla 10.0.0.55
connected to 10.0.0.55:3389
black@deb ~ $

Достаточно добавить опцию —no-nla в alias и все будет ok.

Хай щастить!

Debian 6.0.3 как гостевая OS в Hyper-V

Как создать внутри Hyper-V виртуальную машину и прочую ерунду я рассказывать небуду. Но вот про особенность установки стабильного Debian как гостевой OS я хотел бы сказать пару слов. Особенность эта заключается в том, что стабильный на данный момент Debian Squeeze с ядром 2.6.32-5 не поддерживает сеть со стандартным сетевым адаптером Hyper-V. Реально сетевой интерфейс в VM появляется только тогда когда в настройках VM добавить «Legacy Network Adapter». Но оставлять так настроенную сеть не есть хорошо, так как все равно сетевая карта в VM будет вести себя нестабильно. И вообще ядро 2.6.32 в принципе старовато и не имеет никаких упоминаний о работе в виде гостевой ОС под Hyper-V. Поддержка плюшек Hyper-V реализована (хоть и на стадии Experimental) в ядре 2.6.38, которое доступно из backports репозитариев Debian.
Итак, сначала я попробовал просто поставить из backports ядро 2.6.38. Читать полностью

Вводим Debian в домен под управлением Win2k8 Server

Задание: дать доменным пользователям из групп «domain users» и «domain admins» на работе доступ на свою машину по samba.

Дополнительные начальные данные:

  • на моей «рабочей лошадке» стоит Debian Lenny
  • пользователи которых я хочу пустить к себе по samba работают под WinXP с авторизацией через домен my.domain поднятый на Win2k8 (контроллер домена — controller.my.domain)
  • права на запись в моих шарах должны иметь только некоторые доменные админские группы, остальным — только чтение
  • учетная запись доменного админа Admin (он может ввести машину в домен)
  • рабочая группа — WORK ( наследство от давно почившего контроллера домена под Win NT 4)
  • имя моей машины — black

Итак, начнем! Сначала ставим необходимые пакетики:

black:~# aptitude install krb5-user winbind samba

Начинаем веселиться — вот такие у меня конфиги:

black:~# cat /etc/krb5.conf |grep -v ^#
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = MY.DOMAIN
 krb4_config = /etc/krb.conf
 krb4_realms = /etc/krb.realms
 kdc_timesync = 1
 ccache_type = 4
 forwardable = true
 proxiable = true

v4_instance_resolve = false
v4_name_convert = {
host = {
 rcmd = host
 ftp = ftp
}
plain = {
 something = something-else
}
}
fcc-mit-ticketflags = true

[realms]
MY.DOMAIN = {
 kdc = controller.my.domain
 admin_server = controller.my.domain
}
[domain_realm]
 .my.domain = MY.DOMAIN
 my.domain = MY.DOMAIN
[login]
 krb4_convert = true
 krb4_get_tickets = false

Минимально необходимый конфиг samba выглядит вот так:

black:~# cat /etc/samba/smb.conf |grep -v ^#
[global]
 realm = MY.DOMAIN
 workgroup = WORK
 netbios name = black
 disable spoolss = Yes
 show add printer wizard = No
 security = ads
 idmap uid = 10000-20000
 idmap gid = 10000-20000
 template shell = /bin/bash
 template homedir = /home/%D/%U
 winbind use default domain = yes

[share]
 comment = Write for Domain Users
 path = /media/samba/share
 browseable = yes
 writable = yes
 create mask = 0664
 directory mask = 0777
 valid users = @"WORK\domain admins", @"WORK\domain users"
 write list = @"WORK\domain admins", @"WORK\domain users"

После того как настроили samba, надо бы ее перегрузить:

black:~# /etc/init.d/samba restart

И winbind не помешает передернуть:

black:~# /etc/init.d/winbind restart

Правим nsswitch.conf примерно до такого вида:

black:~# cat /etc/nsswitch.conf |grep -v ^#

passwd:         files winbind
group:          files winbind
shadow:         files winbind

hosts:          files mdns4_minimal [NOTFOUND=return] dns mdns4 winbind
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis

Чтобы вступили в силу изменения в конфиге /etc/nsswitch.conf без перегарузки, нужно от рута дать команду:

black:~# ldconfig

Перед тем как вводить машину в домен нужно сначала синхронизировать время с домен-контроллером:

black:~# ntpdate controller.my.domain

После удачной синхронизации времени мы готовы стать полноценным участником домена my.domain. Чтобы войти в домен выполняем от рута:

black:~# net ads join -W my.domain -S master -U Admin

password for Admin:

Admin— доменный администратор который имеет право ввести комп в домен

В ответ на это нас должны спросить доменный пароль для доменного пользователя Admin. После ввода пароля — МЫ В ДОМЕНЕ!!! Если конечно не вывалилась какаято ошибка. Проверить то что мы таки вошли в домен можно например набрав команду:

black:~# wbinfo -u

audit1

audit2

test_1

test_2

..........

В ответ на которую мы должны увидеть перечень доменных пользователей.

Для того чтобы в нашу систему можно было логиниться под доменными аккаунтами нужно привести конфиги PAM к такому виду:

black:~# cat /etc/pam.d/common-account
account sufficient pam_winbind.so
account required pam_unix.so

black:~# cat /etc/pam.d/common-auth
auth sufficient pam_winbind.so
auth required pam_unix.so use_first_pass

black:~# cat /etc/pam.d/common-session

session required pam_mkhomedir.so skel=/etc/skel/ umask=0022
session sufficient pam_winbind.so
session required pam_unix.so

Вот и все! Можно пробовать зайти, например, по ssh или samba на наш компьютер. Пользователей входящих в группы «domain admins» и «domain users» должно пускать без проблем (даже не спрашивая пароль).

всегото чуток поправить умолчательный конфиг. Привожу свой с небольшими коментариями:
всегото чуток поправить умолчательный конфиг. Привожу свой с небольшими коментариями: