- Linux xrdp ошибка проверки подлинности
- Linux xrdp ошибка проверки подлинности
- Как выглядит ошибка credssp
- Назначение CredSSP
- Windows SSP
- Причины ошибки шифрования CredSSP
- Варианты исправления ошибки CredSSP
- Отключаем credssp в Windows через NLA
- Отключаем шифрование credssp через GPO
- Самый правильный метод, это установка обновлений
Linux xrdp ошибка проверки подлинности
Когда пытаюсь зайти из под Windows (Windows 7) на Ubuntu (Ubuntu 20.04) по rdp, то выдаётся такая ошибка:
Произошла ошибка проверки подлинности. Указанная функция не поддерживается Удаленный компьютер: 192.168.0.105
Выполнил команды по рекомендации:
REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2
REG ADD «HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp» /v SecurityLayer /t REG_DWORD /d 0
И всё равно ошибка осталась. Может для Ubuntu это не подходит?
Это лог на Ubuntu /var/log/xrdp.log
[20210410-09:05:16] [INFO ] address [192.168.0.105] port [3389] mode 4
[20210410-09:05:16] [INFO ] listening to port 3389 on 192.168.0.105
[20210410-09:05:16] [INFO ] xrdp_listen_pp done
[20210410-09:05:16] [DEBUG] Closed socket 7 (AF_INET 192.168.0.105:3389)
[20210410-09:05:18] [INFO ] starting xrdp with pid 2120
[20210410-09:05:18] [INFO ] address [192.168.0.105] port [3389] mode 4
[20210410-09:05:18] [INFO ] listening to port 3389 on 192.168.0.105
[20210410-09:05:18] [INFO ] xrdp_listen_pp done
[20210410-09:06:29] [INFO ] Socket 12: AF_INET connection received from 192.168.0.101 port 1549
[20210410-09:06:29] [DEBUG] Closed socket 12 (AF_INET 192.168.0.105:3389)
[20210410-09:06:29] [DEBUG] Closed socket 11 (AF_INET 192.168.0.105:3389)
[20210410-09:06:29] [INFO ] Using default X.509 certificate: /etc/xrdp/cert.pem
[20210410-09:06:29] [INFO ] Using default X.509 key file: /etc/xrdp/key.pem
[20210410-09:06:29] [DEBUG] TLSv1.3 enabled
[20210410-09:06:30] [DEBUG] TLSv1.2 enabled
[20210410-09:06:30] [DEBUG] Security layer: requested 3, selected 1
[20210410-09:06:30] [DEBUG] Closed socket 12 (AF_INET 192.168.0.105:3389)
Где настраивать нужно на Windows или в ubuntu?
| Оглавление |
1,5 |
| Сообщения | [Сортировка по времени | RSS] |
| 1. «Настройка Xrdp под Ubuntu 20.04» | + / – |  |
| Сообщение от ACCA (ok), 12-Апр-21, 03:00 | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
 | ||
| 2. «Настройка Xrdp под Ubuntu 20.04» | + / – |  |
Сообщение от korbnik (??), 12-Апр-21, 07:34 | ||
Хорошо. Но по ssh многие вещи не сделаешь. А тогда какой программой лучше управлять удалённым рабочим столом Ubuntu? Заранее благодарен. Борис. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 3. «Настройка Xrdp под Ubuntu 20.04» | + / – |  |
| Сообщение от Аноним (3), 12-Апр-21, 13:08 | ||
На 18.04, тигр без проблем работал; другие vnc были с нраблями или надо было подключать сторонние репы, что есть не правильно | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 4. «Настройка Xrdp под Ubuntu 20.04» | + / – | |
| Сообщение от fantom (??), 13-Апр-21, 13:02 | ||
Бадам. Это какие такие?? > А тогда какой программой лучше управлять удалённым рабочим столом Ubuntu? Если вам вот именно gui надо | ||
| Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору | ||
| 5 . «Настройка Xrdp под Ubuntu 20.04» | + / – | |
| Сообщение от BarS (??), 19-Апр-21, 03:32 | ||
Источник Linux xrdp ошибка проверки подлинностиДобрый день! Уважаемые читатели и гости IT блога Pyatilistnik.org, в прошлый раз мы с вами чинили HDD с поврежденной файловой системой и состоянием RAW уверен, что вам удалось это сделать. Сегодня я в очередной раз переведу наш вектор траблшутера в сторону терминальных столов, а именно мы рассмотрим ситуацию, что когда вы пытаетесь подключиться к удаленному серверу по RDP протоколу, а у вас после ввода логина и пароля, выскакивает ошибка, что вы не прошли проверку подлинности и причиной ошибки может быть исправление шифрования CredSSP. Давайте разбираться, что за зверь, этот CredSSP и как вам получить доступ к вашему серверу. Как выглядит ошибка credsspПеред тем, как я покажу вам известные мне методы ее устранения, я бы как обычно хотел подробно описать ситуацию. Вчера при попытке подключиться к своему рабочему компьютеру, работающему на Windows 10 1709, с терминального стола, входящего в RDS ферму на Windows Server 2012 R2, я получил ошибку после ввода логина и пароля:
Ну и конечно в русском исполнении:
Получается двоякая ситуация, что RDP как бы работает, но вот по какой-то причине ваши учетные данные на принимающей стороне не соответствуют, каким-то критериям, давайте разбираться, что это за зверь CredSSP. Назначение CredSSPЧто такое CredSSP — это Win32 API, используемый системами Microsoft Windows для выполнения различных операций, связанных с безопасностью, таких как аутентификация. SSPI функционирует, как общий интерфейс для нескольких поставщиков поддержки безопасности (SSP). Поставщик поддержки безопасности — это библиотека динамической компоновки (DLL), которая делает один или несколько пакетов безопасности доступными для приложений. C redSSP позволяет приложению делегировать учетные данные пользователя от клиента целевому серверу для удаленной аутентификации. CredSSP предоставляет зашифрованный канал протокола безопасности транспортного уровня . Клиент проходит проверку подлинности по зашифрованному каналу с использованием протокола SPNEGO (Simple and Protected Negotiate) с Microsoft Kerberos или Microsoft NTLM. После проверки подлинности клиента и сервера клиент передает учетные данные пользователя на сервер. Учетные данные дважды шифруются с использованием ключей сеанса SPNEGO и TLS. CredSSP поддерживает вход в систему на основе пароля, а также вход в систему с использованием смарт-карт на основе X.509 и PKINIT. Windows SSPСледующие поставщики общих служб устанавливаются вместе с Windows:
Причины ошибки шифрования CredSSPВ марте 2018 года, компания Microsoft выпустила обновление безопасности для устранения уязвимостей для протокола поставщика поддержки безопасности учетных данных (CredSSP) под именем CVE-2018–0886 (https://support.microsoft.com/en-us/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018), используемого подключениями по протоколу удаленного рабочего стола (RDP) для клиентов Windows и Windows Server. Как только пользователи и системные администраторы произвели установку апдейтов, то по всему миру начались массовые жалобы, что люди не могут подключаться по протоколу RDP к серверам, компьютерам, получая ошибку, что причиной ошибки может быть шифрование CredSSP. К сожалению 99% людей и администраторов совершают одну и туже ошибку, они сразу ставят обновления, не дождавшись пары дней после их выхода. Обычно этого времени хватает, чтобы вендор определил проблемы и отозвал глючное обновление.
Под раздачу попали буквально все, клиентские ОС Windows 7, Windows 8.1, Windows 10 с которых были попытки подключиться к RDS ферме или RemoteApp приложениям работающим на Windows Server 2008 R2 и выше. Если бы вы читали ветки обсуждений в эти дни, то вы бы поняли все негодование людей, особенно с запада. Варианты исправления ошибки CredSSPНа самом деле вариантов много, есть правильные, есть и временные и обходные, которые нужно сделать быстро, чтобы хоть как-то работало, так как бизнес может в этот момент простаивать и терять деньги.
Отключаем credssp в Windows через NLAДанный метод выхода из ситуации я бы рассматривал, как быстрое, временное решение, до того, как вы установите обновления безопасности. Чтобы разрешить удаленное подключение к серверу и избегать ситуации, что произошла ошибка при проверке подлинности credssp, сделайте вот что. Откройте свойства моего компьютера, попав в систему, так же можно нажать одновременно WIN+Pause Breake или как вариант в командной строке ввести control /name Microsoft.System. В окне «Система» находим пункт меню «Настройка удаленного доступа»
Снимите галку «Разрешить подключение только с компьютеров, на которых работает удаленный рабочий стол с проверкой подлинности на уровне сети»
После этого вы легко сможете подключиться к данному компьютеру или серверу, но как быть что вы не можете туда попасть и снять эту галку, тут нам на помощь придет реестр Windows. Вы можете удаленно создать нужные ключи реестра, которые отключат галку NLA или политику CredSSP. Для этого вы можете пойти двумя путями:
Давайте попробуем через удаленный реестр, для этого открываем Regedit, через окно «Выполнить».
Из меню «Файл» выберите пункт «Подключить сетевой реестр», далее найдите нужный вам сервер.
У вас подключится дополнительный реестр с двумя кустами. Переходите по пути (Если у вас не будет CredSSP\Parameters, то нужно будет их создать): Тут вам необходимо создать REG_DWORD ключ с именем AllowEncryptionOracle и значением 2. В данном варианте политика CredSSP выставит Уязвимый уровень — это самый низкий уровень защиты. Это позволит вам подключаться к серверам удаленно, используя RDP. Однако это подвергнет серверы атакам.
Или можно так же отключить NLA, для этого найдите ветку реестра: Найдите там ключ SecurityLayer и выставите ему значение 0, чтобы деактивировать Network Level Authentication. Теперь то же самое вы можете выполнить и через PsExec.exe, выставив для CredSSP минимальный уровень защиты или же отключить NLA, для этого находясь в cmd в режиме администратора введите команду: w10-cl01 — это имя компьютера.
Далее имея запущенный сеанс cmd для удаленного компьютера, выполните команду:
Аналогично можно сделать и для отключения Network Level Authentication, команда будет такой: Еще раз обращаю ваше внимание, что данный метод временный и самый не безопасный, применяемый в случаях, когда уже ничего сделать нельзя или дольше, а нужно уже вчера, обязательно установите все нужные обновления. Отключаем шифрование credssp через GPOЕсли у вас большая инфраструктура, в которой сотни компьютеров и сотни серверов, то вы можете до установки нужных обновлений в вечернее время, временно отключить новый уровень шифрования CredSSP и убрать ошибку «Удаленный компьютер имя. Причиной ошибки может быть исправление шифрования CredSSP». Для этого мы можем воспользоваться всеми плюсами доменной инфраструктуры Active Directory. Тут два варианта, вы можете создать массовую политику для распространения ее на нужные OU или если у вас требование для одного или двух локальных компьютеров, то на них можно запустить локальный редактор групповых политик, тем самым внеся изменения только на них. Напоминаю, что оснастку управление групповой политикой вы можете найти на контроллере домена или компьютере с установленным пакетом RSAT, открыть ее можно через команду в окне «Выполнить» gpmc.msc. Если нужно открыть локальный редактор групповых политик, то в окне «Выполнить» введите gpedit.msc.
Вам необходимо перейти в ветку:
Открываем настройку «Исправление уязвимости шифрующего оракула (Encryption Oracle Remediation)». Включаем политику, у вас активируется опция «Уровень защиты», на выбор будет три варианта:
Выбираем на время пункт «Оставить уязвимость (Vulnerable)». Сохраняем настройки.
После чего вам нужно обновить политику, для этого откройте командную строку и введите gpupdate /force. Если у вас не доменный компьютер, да и еще Windows 10 Home, которая не имеет встроенного локального редактора политик, то вам как я описывал выше, нужно производить правку реестра На просторах интернета ходит скрипт PowerShell, который поможет включить данную политику на всех компьютерах в Active Directory
Самый правильный метод, это установка обновленийКогда вам удалось везде подключиться и подошло время обслуживания ваших серверов, быстренько производим установку обновлений закрывающих брешь (CVE-2018-0886 | CredSSP Remote Code Execution Vulnerability). Раньше были вот такие KB, но они со временем могут меняться свой номер, поэтому пройдите по ссылке выше, так будет надежнее.
Источник  концепция памяти в linux. дефрагментация памяти. здравствуйте все! detector | ||
