Autentificare in Active Directory

    2012-03-27 15:46 | Автор: Vasile Chelban | Filed under: Vasile

    Stația mea de lucru în companie e integrată în Active Directory. Este posibil login cu login/parola din domeniu a oricărui coleg cu creare automată a dosarului de acasă, și preluare grupe utilizator din domeniu. Deși aceasta posibilitate a fost configurată de mult timp (mulțumesc Oleg, autorul articolului despre integrare), numai recent i-am găsit utilizare.

    Pe Ubuntu a colegului nu mai rula Eclipse cu motorul BIRT - motor de creare rapoarte pe baza setului arbitrar de date. La trecerea în mod previzualizare simplu "cădea". Cîteva încercări de a găsi capetele problemei au fost nereușite, iar lucru trebuie continuat. Îmi vine o soluție: să lansez Eclipse la mine pe calculator, iar el să-l opereze de pe Ubuntu. Se face simplu: ssh -Y username@hostname. Și după login orice aplicație grafică va fi pe ecranul tău, deși se execută pe computerul colegului - mod Trusted X11 Forwarding (vezi man ssh_config).

    Dar de aceasta dată acest mod nu a lucrat. Apărea mesaj de eroare: xauth can't lock .Xauthority file, și variabila DISPLAY nu era setată deloc. În scurt timp am aflat - SELinux bloca xauth de la crearea fișierului .Xauthority. Contextul SELinux pe dosarele /home/WORK/username (WORK - numele domeniului, respectiv username era de tip: WORK\username) era: home_root_t. Acesta normal se utilizează numai și numai pentru însăși dosarul /home și nu copiii acestuia.
    Am schimbat context pe cel corect:

    chcon --reference /home/vasile /home/WORK/*
    restorecon -R -v /home/WORK/*/.??* /home/WORK/*/*

    Imediat a început totul să lucreze corect. Pare a fi o problemă în SELinux policy - trebuie de reprodus și de scris în Bugzilla.

    1 Star2 Stars3 Stars4 Stars5 Stars (1 votes, average: 5,00 out of 5)
    Loading...

    Метки:

    3 комментария »


    комментария 3

    1. jekader:

      А я пользуюсь ssh -X, в чём разница с -Y?

      Лично мне приходилось вводить linux машины в Active Directory только для того, чтобы apache получил прозрачную NTLM аутентификацию пользователей. Так хомяки внутри корпоративной сети могут не вводить логин и пароль при входе на сайт.

    2. Vasile Chelban:

      Из man ssh:
      >> X11 forwarding should be enabled with caution. Users with the ability to bypass file permissions on the remote host (for the user’s X authorization database) can access the local X11 display through the forwarded connection. An attacker may then be able to perform activities such as keystroke monitoring.

      К тому же есть ограничение по времени X сессии.
      В случае в Trusted Forwarding (-Y) есть дополнительные проверки о недоступности X session cookie другим пользователям. Как-то так.

    3. jekader:

      спасибо, понятно.

      Я в основном для себя иксы пробрасываю, но буду знать. Попробую. Если эта «защищённая» функция не будет иметь побочных эффектов — буду пользоваться.

      Просто опцию -X запомнить гораздо проще 😀

    Leave a comment

    *