Получить Fedora
Метки
amd bittorrent bug centos debian enlightenment fedora fedora 8 fedora 9 fedora 10 fedora 11 fedora 12 fedora 13 fedora 15 fedora 16 FedoraMD fglrx firefox flash player gnome google intel interview java kde kernel linux livecd migrate moldova nvidia openoffice OpenStreetMap opera Orange ovirt radeon red hat rpmfusion Sandel skype video virtualisation vmware wine
Autentificare in Active Directory
2012-03-27 15:46 | Автор: Vasile Chelban | Filed under: Vasile
Stația mea de lucru în companie e integrată în Active Directory. Este posibil login cu login/parola din domeniu a oricărui coleg cu creare automată a dosarului de acasă, și preluare grupe utilizator din domeniu. Deși aceasta posibilitate a fost configurată de mult timp (mulțumesc Oleg, autorul articolului despre integrare), numai recent i-am găsit utilizare.
Pe Ubuntu a colegului nu mai rula Eclipse cu motorul BIRT - motor de creare rapoarte pe baza setului arbitrar de date. La trecerea în mod previzualizare simplu "cădea". Cîteva încercări de a găsi capetele problemei au fost nereușite, iar lucru trebuie continuat. Îmi vine o soluție: să lansez Eclipse la mine pe calculator, iar el să-l opereze de pe Ubuntu. Se face simplu: ssh -Y username@hostname. Și după login orice aplicație grafică va fi pe ecranul tău, deși se execută pe computerul colegului - mod Trusted X11 Forwarding (vezi man ssh_config).
Dar de aceasta dată acest mod nu a lucrat. Apărea mesaj de eroare: xauth can't lock .Xauthority file, și variabila DISPLAY nu era setată deloc. În scurt timp am aflat - SELinux bloca xauth de la crearea fișierului .Xauthority. Contextul SELinux pe dosarele /home/WORK/username (WORK - numele domeniului, respectiv username era de tip: WORK\username) era: home_root_t. Acesta normal se utilizează numai și numai pentru însăși dosarul /home și nu copiii acestuia.
Am schimbat context pe cel corect:
chcon --reference /home/vasile /home/WORK/*
restorecon -R -v /home/WORK/*/.??* /home/WORK/*/*
Imediat a început totul să lucreze corect. Pare a fi o problemă în SELinux policy - trebuie de reprodus și de scris în Bugzilla.
(1 votes, average: 5,00 out of 5)
Loading...
Метки: bug
28, 2012 7:56
А я пользуюсь ssh -X, в чём разница с -Y?
Лично мне приходилось вводить linux машины в Active Directory только для того, чтобы apache получил прозрачную NTLM аутентификацию пользователей. Так хомяки внутри корпоративной сети могут не вводить логин и пароль при входе на сайт.
28, 2012 13:47
Из man ssh:
>> X11 forwarding should be enabled with caution. Users with the ability to bypass file permissions on the remote host (for the user’s X authorization database) can access the local X11 display through the forwarded connection. An attacker may then be able to perform activities such as keystroke monitoring.
К тому же есть ограничение по времени X сессии.
В случае в Trusted Forwarding (-Y) есть дополнительные проверки о недоступности X session cookie другим пользователям. Как-то так.
28, 2012 19:53
спасибо, понятно.
Я в основном для себя иксы пробрасываю, но буду знать. Попробую. Если эта «защищённая» функция не будет иметь побочных эффектов — буду пользоваться.
Просто опцию -X запомнить гораздо проще 😀