Score:1

การมอบหมายข้ามขอบเขตที่จำกัด

ธง pe

ฉันมี Red Hat IdM บน RHEL8 ด้วยความไว้วางใจแบบสองทางไปยัง AD บน Windows 2019 ปัจจุบันทำงานอะไร:

  • การมอบหมายที่มีข้อจำกัดสำหรับไคลเอนต์ NFS ไคลเอนต์ NFS สามารถเลียนแบบผู้ใช้จากขอบเขต IdM (gssproxy)
  • ผู้ใช้จากโดเมน AD สามารถเข้าสู่ระบบโฮสต์ในขอบเขต IdM (ความน่าเชื่อถือใช้งานได้)

วัดไม่ได้ผลคือไคลเอนต์ NFS พยายามเลียนแบบผู้ใช้ AD การรับตั๋ว s4u2proxy ดูเหมือนจะใช้ได้กับผู้ใช้ภายในโดเมน IdM เท่านั้น:

$kinit-k
$ kvno -I [email protected] -P nfs/nfs.idm.example.com
nfs/[email protected]: kvno = 1
$klist
แคชตั๋ว: KCM:0
หลักเริ่มต้น: host/[email protected]

หลักการเริ่มต้นบริการหมดอายุที่ถูกต้อง
26/05/2022 15:15:22 27/05/2022 14:24:21 host/[email protected]
        สำหรับลูกค้า [email protected]
05/26/2022 15:14:54 27/05/2022 14:24:21 krbtgt/[email protected]
26/05/2022 15:15:22 27/05/2022 14:24:21 nfs/[email protected]
        สำหรับลูกค้า [email protected]

จากนั้นพยายามปลอมตัวเป็นผู้ใช้ AD:

$kทำลาย  
$kinit-k
$ kvno -I [email protected] -P nfs/nfs.idm.example.com
kvno: TGT ถูกเพิกถอนในขณะที่รับข้อมูลรับรองสำหรับ nfs/[email protected]
$klist
แคชตั๋ว: KCM:0
หลักเริ่มต้น: host/[email protected]

หลักการเริ่มต้นบริการหมดอายุที่ถูกต้อง
05/26/2022 15:15:37 27/05/2022 15:10:07 krbtgt/[email protected]
05/26/2022 15:15:50 27/05/2022 15:10:07 krbtgt/[email protected]

krb5kdc.log อาจมีคำใบ้ เมื่อปลอมตัวเป็นผู้ใช้ภายในขอบเขตของ KDC เอง (s4u2self):

27 พฤษภาคม 12:34:23 น. kerberos.idm.example.com krb5kdc[1732](ข้อมูล): TGS_REQ (6 etypes {aes256-cts-hmac-sha1-96(18), aes256-cts-hmac-sha384-192( 20), ดอกเคมีเลีย256-cts-cmac(26), aes128-cts-hmac-sha1-96(17), aes128-cts-hmac-sha256-128(19), ดอกเคมีเลีย128-cts-cmac(25)}) 192.168. 1.42: ปัญหา: authtime 1653647627, etypes {rep=aes256-cts-hmac-sha1-96(18), tkt=aes256-cts-hmac-sha1-96(18), ses=aes256-cts-hmac-sha1-96 (18)}, host/[email protected] สำหรับ host/[email protected]
27 พฤษภาคม 12:34:23 น. kerberos.idm.example.com krb5kdc[1732](ข้อมูล): ... PROTOCOL-TRANSITION [email protected]
27 พฤษภาคม 12:34:23 kerberos.idm.example.com krb5kdc[1732](ข้อมูล): ปิด fd 12

เมื่อพยายามปลอมตัวเป็นผู้ใช้จากขอบเขต "เชื่อถือได้" ระยะไกล (s4u2self):

27 พฤษภาคม 12:34:47 น. kerberos.idm.example.com krb5kdc[1732](ข้อมูล): TGS_REQ (6 etypes {aes256-cts-hmac-sha1-96(18), aes256-cts-hmac-sha384-192( 20), ดอกเคมีเลีย256-cts-cmac(26), aes128-cts-hmac-sha1-96(17), aes128-cts-hmac-sha256-128(19), ดอกเคมีเลีย128-cts-cmac(25)}) 192.168. 1.42: ปัญหา: authtime 1653647627, etypes {rep=aes256-cts-hmac-sha1-96(18), tkt=aes256-cts-hmac-sha1-96(18), ses=aes256-cts-hmac-sha1-96 (18)}, host/[email protected] สำหรับ krbtgt/[email protected]
27 พฤษภาคม 12:34:47 น. kerberos.idm.example.com krb5kdc[1732](ข้อมูล): ปิด fd 12
27 พฤษภาคม 12:34:47 kerberos.idm.example.com krb5kdc[1732](ข้อผิดพลาด): ปัญหา PAC: PAC มี SID แตกต่างจากที่ผู้ร้องขอ PAC อ้างสิทธิ์ PAC [S-1-5-21-2772319413-1696261159-756038808-1602] vs ผู้ร้องขอ PAC [S-1-5-21-956857513-2416212418-705989587-515]
27 พฤษภาคม 12:34:47 น. kerberos.idm.example.com krb5kdc[1732](ข้อมูล): TGS_REQ : handle_authdata (-1765328364)
27 พฤษภาคม 12:34:47 น. kerberos.idm.example.com krb5kdc[1732](ข้อมูล): TGS_REQ (6 etypes {aes256-cts-hmac-sha1-96(18), aes256-cts-hmac-sha384-192( 20), ดอกเคมีเลีย256-cts-cmac(26), aes128-cts-hmac-sha1-96(17), aes128-cts-hmac-sha256-128(19), ดอกเคมีเลีย128-cts-cmac(25)}) 192.168. 1.42: HANDLE_AUTHDATA: authtime 1653647627, etypes {rep=UNSUPPORTED:(0)} host/[email protected] สำหรับ host/[email protected], TGT ถูกเพิกถอน
27 พฤษภาคม 12:34:47 น. kerberos.idm.example.com krb5kdc[1732](ข้อมูล): ... PROTOCOL-TRANSITION [email protected]
27 พฤษภาคม 12:34:47 น. kerberos.idm.example.com krb5kdc[1732](ข้อมูล): ปิด fd 12

knvo แสดงสิ่งนี้ในโหมดดีบัก:

[root@client ~]# kvno -I [email protected] host/client.idm.example.com
[8389] 1653672526.395590: รับข้อมูลประจำตัว [email protected] -> host/[email protected] โดยใช้ ccache KCM:0
[8389] 1653672526.395591: กำลังเรียกโฮสต์/[email protected] -> krb5_ccache_conf_data/start_realm@X-CACHECONF: จาก KCM:0 พร้อมผลลัพธ์: -1765328243/ไม่พบข้อมูลประจำตัวที่ตรงกัน
[8389] 1653672526.395592: กำลังดึง [email protected] -> host/[email protected] จาก KCM:0 พร้อมผลลัพธ์: -1765328243/ไม่พบข้อมูลประจำตัวที่ตรงกัน
[8389] 1653672526.395593: รับข้อมูลประจำตัว host/[email protected] -> krbtgt/[email protected] โดยใช้ ccache KCM:0
[8389] 1653672526.395594: กำลังเรียกโฮสต์/[email protected] -> krb5_ccache_conf_data/start_realm@X-CACHECONF: จาก KCM:0 พร้อมผลลัพธ์: -1765328243/ไม่พบข้อมูลประจำตัวที่ตรงกัน
[8389] 1653672526.395595: กำลังเรียกโฮสต์/[email protected] -> krbtgt/[email protected] จาก KCM:0 พร้อมผลลัพธ์: -1765328243/ไม่พบข้อมูลประจำตัวที่ตรงกัน
[8389] 1653672526.395596: กำลังดึงข้อมูล host/[email protected] -> krbtgt/[email protected] จาก KCM:0 พร้อมผลลัพธ์: 0/สำเร็จ
[8389] 1653672526.395597: เริ่มต้นด้วย TGT สำหรับขอบเขตไคลเอนต์: host/[email protected] -> krbtgt/[email protected]
[8389] 1653672526.395598: ขอตั๋วสำหรับ krbtgt/[email protected] การอ้างอิงบน
[8389] 1653672526.395599: สร้างคีย์ย่อยสำหรับคำขอ TGS: aes256-cts/4F09
[8389] 1653672526.395600: etypes ที่ร้องขอในคำขอ TGS: aes256-cts, aes256-sha2, camellia256-cts, aes128-cts, aes128-sha2, camellia128-cts
[8389] 1653672526.395602: การเข้ารหัสเนื้อหาคำขอและ padata ลงในคำขอ FAST
[8389] 1653672526.395603: กำลังส่งคำขอ (1941 ไบต์) ไปยัง IDM.EXAMPLE.COM
[8389] 1653672526.395604: กำลังเริ่มต้นการเชื่อมต่อ TCP เพื่อสตรีม 192.168.1.40:88
[8389] 1653672526.395605: กำลังส่งคำขอ TCP เพื่อสตรีม 192.168.1.40:88
[8389] 1653672526.395606: ได้รับคำตอบ (1860 ไบต์) จากสตรีม 192.168.1.40:88
[8389] 1653672526.395607: ยุติการเชื่อมต่อ TCP เพื่อสตรีม 192.168.1.40:88
[8389] 1653672526.395608: คำตอบมาจากมาสเตอร์ KDC
[8389] 1653672526.395609: ถอดรหัสการตอบสนองที่รวดเร็ว
[8389] 1653672526.395610: รหัสตอบกลับด่วน: aes256-cts/7017
[8389] 1653672526.395611: การตอบกลับ TGS สำหรับ host/[email protected] -> krbtgt/[email protected] พร้อมคีย์เซสชัน aes256-cts/D9C7
[8389] 1653672526.395612: ผลลัพธ์คำขอ TGS: 0/สำเร็จ
[8389] 1653672526.395613: ได้รับเครดิตสำหรับบริการที่ต้องการ krbtgt/[email protected]
[8389] 1653672526.395614: กำลังจัดเก็บ host/[email protected] -> krbtgt/[email protected] ใน KCM:0
[8389] 1653672526.395615: รับเครดิตผ่าน TGT krbtgt/[email protected] หลังจากขอ host\/client.idm.example.com\@[email protected] (เปิดใช้บัญญัติ )
[8389] 1653672526.395616: สร้างคีย์ย่อยสำหรับคำขอ TGS: aes256-cts/4CB0
[8389] 1653672526.395617: etypes ที่ร้องขอในคำขอ TGS: aes256-cts, aes256-sha2, camellia256-cts, aes128-cts, aes128-sha2, camellia128-cts
[8389] 1653672526.395619: การเข้ารหัสเนื้อหาคำขอและ padata ลงในคำขอ FAST
[8389] 1653672526.395620: กำลังส่งคำขอ (2303 ไบต์) ไปยัง AD.EXAMPLE.COM
[8389] 1653672526.395621: กำลังส่งการค้นหา DNS URI สำหรับ _kerberos.AD.EXAMPLE.COM
[8389] 1653672526.395622: URI คำตอบ: 0 100 "krb5srv:m:udp:belfast.ad.home"
[8389] 1653672526.395623: คำตอบ URI: 0 100 "krb5srv:m:tcp:belfast.ad.home"
[8389] 1653672526.395624: กำลังแก้ไขชื่อโฮสต์ belfast.ad.home
[8389] 1653672526.395625: กำลังแก้ไขชื่อโฮสต์ belfast.ad.home
[8389] 1653672526.395626: กำลังเริ่มต้นการเชื่อมต่อ TCP เพื่อสตรีม 192.168.1.50:88
[8389] 1653672526.395627: กำลังส่งคำขอ TCP เพื่อสตรีม 192.168.1.50:88
[8389] 1653672526.395628: ได้รับคำตอบ (1852 ไบต์) จากสตรีม 192.168.1.50:88
[8389] 1653672526.395629: ยุติการเชื่อมต่อ TCP เพื่อสตรีม 192.168.1.50:88
[8389] 1653672526.395630: คำตอบมาจากมาสเตอร์ KDC
[8389] 1653672526.395631: ถอดรหัสการตอบสนองอย่างรวดเร็ว
[8389] 1653672526.395632: รหัสตอบกลับด่วน: aes256-cts/9CCA
[8389] 1653672526.395633: เซิร์ฟเวอร์ตอบกลับ krbtgt/[email protected] แตกต่างจากที่ร้องขอ host\/client.idm.example.com\@[email protected]
[8389] 1653672526.395634: การตอบกลับ TGS สำหรับ host/[email protected] -> krbtgt/[email protected] พร้อมคีย์เซสชัน aes256-cts/F05E
[8389] 1653672526.395635: ได้รับเครดิตแล้ว; 0/สำเร็จ
[8389] 1653672526.395636: รับเครดิตผ่าน TGT krbtgt/[email protected] หลังจากขอ host/[email protected] (เปิดใช้งานบัญญัติ)
[8389] 1653672526.395637: สร้างคีย์ย่อยสำหรับคำขอ TGS: aes256-cts/3CAC
[8389] 1653672526.395638: etypes ที่ร้องขอในคำขอ TGS: aes256-cts, aes256-sha2, camellia256-cts, aes128-cts, aes128-sha2, camellia128-cts
[8389] 1653672526.395640: การเข้ารหัสเนื้อหาคำขอและ padata ลงในคำขอ FAST
[8389] 1653672526.395641: กำลังส่งคำขอ (2128 ไบต์) ไปยัง IDM.EXAMPLE.COM
[8389] 1653672526.395642: กำลังเริ่มต้นการเชื่อมต่อ TCP เพื่อสตรีม 192.168.1.40:88
[8389] 1653672526.395643: กำลังส่งคำขอ TCP เพื่อสตรีม 192.168.1.40:88
[8389] 1653672526.395644: ได้รับคำตอบ (432 ไบต์) จากสตรีม 192.168.1.40:88
[8389] 1653672526.395645: ยุติการเชื่อมต่อ TCP เพื่อสตรีม 192.168.1.40:88
[8389] 1653672526.395646: คำตอบมาจากมาสเตอร์ KDC
[8389] 1653672526.395647: ถอดรหัสการตอบสนองที่รวดเร็ว
[8389] 1653672526.395648: ถอดรหัสการตอบสนองที่รวดเร็ว
[8389] 1653672526.395649: ได้รับเครดิตแล้ว; -1765328364/TGT ถูกเพิกถอนแล้ว
kvno: TGT ถูกเพิกถอนขณะรับข้อมูลประจำตัวสำหรับ host/[email protected]

มีใครบ้างที่รู้ว่า Red Hat IdM สามารถเลียนแบบผู้ใช้จากอาณาจักร "อื่น" ได้หรือไม่? ฉันไม่แน่ใจว่าคุณลักษณะนี้รองรับหรือไม่ หากได้รับการสนับสนุน มันต้องการอะไรนอกเหนือจากความเชื่อถือสองทางหรือไม่?

Calchas avatar
br flag
การดูบันทึก KDC (จากทั้ง Windows และ MIT KDC) จะเป็นประโยชน์ และบันทึกไคลเอ็นต์ (ตั้งค่า KRB5_TRACE=/dev/stderr ในสภาพแวดล้อม)
mx flag
คำตอบอาจอยู่ในบรรทัด "[8389] 1653672526.395633" ทำไม "การขอโฮสต์\/client.idm.example.com" มีแบ็กสแลช \ ในสตริง
pe flag
เห็นได้ชัดว่าพบปัญหาที่นี่เช่นกัน: https://pagure.io/freeipa/issue/9124 วิธีอื่นในการทริกเกอร์ "ปัญหา PAC: PAC มี SID แตกต่างจากที่ผู้ขอ PAC เรียกร้อง" ใน krb5kdc.log คือการเรียกใช้ "ipa-print-pac impersonate" สำหรับผู้ใช้ในโดเมนระยะไกล
Score:0
ธง ng

ฟังดูเหมือน https://pagure.io/freeipa/issue/9031 ซึ่งควรแก้ไขใน ipa-4.9.6-10 ใน RHEL 8.5+

27 พฤษภาคม 12:34:47 kerberos.idm.example.com krb5kdc[1732](ข้อผิดพลาด): ปัญหา PAC: PAC มี SID แตกต่างจากที่ผู้ร้องขอ PAC อ้างสิทธิ์ PAC [S-1-5-21-2772319413-1696261159-756038808-1602] vs ผู้ร้องขอ PAC [S-1-5-21-956857513-2416212418-705989587-515]

นี่อาจเป็นปัญหาในการแก้ไขแม้ว่า โปรดสร้างปัญหาที่ https://pagure.io/freeipa/new_issue พร้อมรายละเอียดของคุณ

pe flag
ขอบคุณ abbra ฉันใช้ RHEL 8.5 กับ IPA 4.9.8-7 ฉันบันทึกปัญหาบน pagure.io

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา