Jump to content
Kaspersky Support Forum

Проблема авторизации с доменной учетной записью в ksc linux

Readkey11

By Readkey11
in Kaspersky Security Center

 Share
Go to solution Solved by Readkey11,

Recommended Posts

Readkey11

Readkey11

Posted
Posted

Добрый день! Пытаюсь подружить домен на samba с ksc 15.1 linux, опрос домена прошел успешно, подтянулись пользователи и пк. Выбрал доменную уз, назначил ей роль на ксц, но при попытке авторизации в веб-консоли, идет долгая загрузка и выходит сообщение "Недопустимые учетные данные. Пожалуйста, проверьте учетные данные и попробуйте войти снова."(данные вводятся корректно уз@домен)

389 порт открыт, принудительная проверка сертификата отключена, машина с ксц находится в том же домене.  Не подскажите, в чем может быть проблема, где могут лежать логи по данной проблеме.

mike 1

mike 1

Posted
Posted

Здравствуйте, а что используется в качестве службы активного каталога?

Readkey11

Readkey11

Posted
  • Author
Posted

У меня прямого доступа к домену нет, могу только сказать, что домен поднят на samba 

mike 1

mike 1

Posted
Posted

Если у вас ALD Pro, то его опрос пока не поддерживается в KSC Linux. 

Readkey11

Readkey11

Posted
  • Author
Posted

Вы имеете ввиду авторизацию в веб-консоли доменной учеткой? У меня опрос домена прошел успешно, подтянулись все учетки, группы, пк

mike 1

mike 1

Posted
Posted
3 часа назад, Readkey11 сказал:

Вы имеете ввиду авторизацию в веб-консоли доменной учеткой?

Нет. Уточните у блока ИТ какое решение используется для службы активного каталога. 

Readkey11

Readkey11

Posted
  • Author
Posted
12 часов назад, mike 1 сказал:

Нет. Уточните у блока ИТ какое решение используется для службы активного каталога. 

Samba dc 4

  • 2 weeks later...
  • Solution
Readkey11

Readkey11

Posted
  • Author
  • Solution
Posted

Добрый день, разобрался, помогло принудительное подкидывание корневого сертификата в хранилище сертификатов на нодах.

  • 2 months later...
RaffaelX

RaffaelX

Posted
Posted (edited)
В 27.08.2025 в 08:52, Readkey11 сказал:

Добрый день, разобрался, помогло принудительное подкидывание корневого сертификата в хранилище сертификатов на нодах.

Если идет речь об этом:

Чтобы включить доменную аутентификацию Kerberos:

  1. Выполните опрос контроллеров домена.
  2. В главном окне приложения перейдите в раздел Параметры  Единый вход.
  3. Включите параметр Аутентификация Kerberos.
  4. Загрузите файл keytab.
  5. Назначьте доменным пользователям роль, которая предоставляет доступ к Kaspersky Security Center Web Console

ТО у меня на втором пункте всё застревает и просто идет анимация загрузки и не загружается

image.thumb.png.a5b2b3de8ed1d1934304d2959c52957b.png

Edited by RaffaelX
RaffaelX

RaffaelX

Posted
Posted

Загрузил я keytab пользователя но вот так происходит image.thumb.png.fa71c39e895c885ab697644a94eb22b1.png

RaffaelX

RaffaelX

Posted
Posted (edited)

Помогите кто в теме. Что за сертификаты про которые писал Readkey11Если идет речь о keytab файле то на кого делать его с какими snp 

У меня все опрашивается, все объекты KSC видит, но прогруженный keytab толку не дает

Edited by RaffaelX
Readkey11

Readkey11

Posted
  • Author
Posted
1 час назад, RaffaelX сказал:

Помогите кто в теме. Что за сертификаты про которые писал Readkey11Если идет речь о keytab файле то на кого делать его с какими snp 

У меня все опрашивается, все объекты KSC видит, но прогруженный keytab толку не дает

Добрый день, у меня была проблема, что на сервере, где развернут ксц, команда ldapsearch отрабатывала с ошибкой ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1), при этом, если  отключить проверку сертификата, установив переменную окружения 

export LDAPTLS_REQCERT=never
То команда проходит. 
Я подгрузил корневой серт домена на ноды в хранилище сертов и авторизация в веб -консоль ксц прошла
 

у меня использовался ksc 15.4 linux на ос астра linux 1.8, авторизация в веб консоль проходила путем ввода доменного логина и пароля в окно авторизации веб консоли, без использования сквозной аутентификации (она на линуксовом ксц не работает)

RaffaelX

RaffaelX

Posted
Posted
6 часов назад, Readkey11 сказал:

Я подгрузил корневой серт домена на ноды в хранилище сертов и авторизация в веб -консоль ксц прошла

У вас есть свой CA (центр сертификации)? О каких НОДах идет речь? Для успешной авторизации по доменному пользователю нужно, чтобы работало ssl шифрование? image.png.f40217328e34270531e947c43670bc2f.png

RaffaelX

RaffaelX

Posted
Posted (edited)

В общем разобрался!

Исходные данные:

Система на котором KSC64 и Web Console: Debian 12 СУБД PostgreSQL 17 (на Debian 13 не работает, но хоть в требованиях честно написано только о Debian 11 и Debian 12)

Домен на Debian 12 Samba AD DC с Bind9_DLZ

Проблема с доменной аутентификации с единым входом (SSO)

Проблема возникла из-за, во-первых, нечёткой инструкции по настройке и, во-вторых, из-за "дискриминации по языковому признаку" 😊,

Начну с 2, именно почему-то в англоязычной инструкции чётко всё описано c какими параметрами SPN выпустить keytab на контроллере домена, причем почти для всех разновидностей: FreeIPA, AldPro, Microsoft Active Directory и Samba. А в русскоязычной инструкции просто: «Загрузите файл keytab.»

Русскоязычная инструкция:

https://support.kaspersky.ru/ksc-linux/16/310242

image.thumb.png.82ba51973882ad1647db4d7a1ba008b3.png

Английская:

https://support.kaspersky.com/ksc-linux/16/310242

Причем id документа идентичный:

image.thumb.png.3ed3bb789c4a679f2370eb6f3eae42a8.png

 

По 1 пункту: всё как-то кусками, ссылка на ссылке. И как мне показалось, что если уж всё настроено, то нужно вход по SSO производить с учетки на которую выпущен keytab, т.е. вы должны находится вошедшим в системе того пользователя, с браузера которого заходите на web консоль по SSO (в инструкции я не нашел). Да возможно и работает с других учеток путем ввода учетных данных, но вероятность глюков больше. Нет в инструкции (я не нашел), как выглядит авторизация по SSO, когда все работает, как выходят диалоговые окна, что вводить в данных учётки с доменным именем или нет и т.д. А вот тут очень даже интересно. Браузер неправильную комбинацию запоминает и всё. Вы будете делать опрос домена, искать ошибки в выдачи ролей, заново грузить keytab новый еще что-то .... НО дело будет в том, что браузер запомнил предыдущее и нужно почистить кеш.  Дальше будут скрины. Не совсем наверное понятно написал 🙂

После опроса домена и выдачи роли доменному пользователю нужно сделать загрузку keytab файла, сделанного с SPN как в англоязычной инструкции. (кстати этот раздел «единый вход» тоже иногда подвисает)

image.thumb.png.150b023f283ed09a18d0b6c208f64fbb.png

Далее входим по «использовать доменную аутентификацию»

image.thumb.png.535f2a15e59ce5c27d44d0453527006e.png

Дальше обязательно вводить учетку ввида user@example.com, а не просто user (хотя должно быть и так понятно мы же keytab грузили и роль выдавали после опроса домена). Вот тут и начинаются глюки, если ввести первый раз неправильно, то ошибка так будет выходить пока не почистить кеш, а вы будете искать причину в другом

image.thumb.png.dccd0c90656a19276f05f17897f57def.png

image.thumb.png.97de59ab1567899023c088a345b126ae.png

Edited by RaffaelX

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now
 Share
Go to topic listing


×
×
  • Create New...