Решено включение SSH

[Doctor]

Добрый день! Коллеги нужна помощь с Kaspersky Secure Email Gateway 2.0
Как в нем включить доступ через SSH ? Когда пытаюсь подключиться по SSH появляется ошибка:

No supported authentication methods available (server sentublickey)

Нашел в веб морде где настраивается доступ по SSH. Что бы его включить нужно туда загрузить открытый ключ SSH (Добавьте открытый ключ SSH)
Как мне его сгенерировать и туда залить ?

 

[BSD]

Можно через openssl командой
ssh-keygen -f ssh-key

 

[Doctor]

Можно через openssl командой
ssh-keygen -f ssh-key

Ок спасибо, попробую позже. Подскажите как настроить LDAP интеграцию и что такое файл keytab ?
Keytab-файлы используются в системах, поддерживающих протокол Kerberos, для аутентификации пользователей без ввода пароля.

 

[Surf_rider]

Создание keytab-файла

support.kaspersky.com

Чтобы создать keytab-файл, используя одну учетную запись:

1. На сервере контроллера домена в оснастке Active Directory Users and Computers создайте учетную запись пользователя (например, с именем control-user).
2. Если вы хотите использовать алгоритм шифрования AES256-SHA1, то в оснастке Active Directory Users and Computers выполните следующие действия:
   1. Откройте свойства созданной учетной записи.
   2. На закладке Account установите флажок This account supports Kerberos AES 256 bit encryption.
3. Создайте keytab-файл для пользователя control-user с помощью утилиты ktpass. Для этого в командной строке выполните следующую команду:
   C:\Windows\system32\ktpass.exe -princ HTTP/<полное доменное имя (FQDN) Управляющего узла>@<realm имя домена Active Directory в верхнем регистре> -mapuser control-user@<realm имя домена Active Directory в верхнем регистре> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * +dumpsalt -out <путь к файлу>\<имя файла>.keytab
   Утилита запросит пароль пользователя control-user в процессе выполнения команды.
   В созданный keytab-файл будет добавлено SPN Управляющего узла. На экране отобразится сгенерированная соль: Hashing password with salt "<хеш-значение>".
4. Для каждого узла кластера добавьте в keytab-файл запись SPN. Для этого выполните следующую команду:
   C:\Windows\system32\ktpass.exe -princ HTTP/<полное доменное имя (FQDN) узла>@<realm имя домена Active Directory в верхнем регистре> -mapuser control-user@<realm имя домена Active Directory в верхнем регистре> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -in <путь и имя ранее созданного файла>.keytab -out <путь и новое имя>.keytab -setupn -setpass -rawsalt "<хеш-значение соли, полученное при создании keytab-файла на шаге 3>"
   Утилита запросит пароль пользователя control-user в процессе выполнения команды.

Keytab-файл будет создан. Этот файл будет содержать все добавленные SPN узлов кластера.

Пример: Например, вам нужно создать keytab-файл, содержащий SPN-имена 3 узлов: control-01.test.local, secondary-01.test.local и secondary-02.test.local. Чтобы создать в папке C:\keytabs\ файл под названием filename1.keytab, содержащий SPN Управляющего узла, требуется выполнить команду: C:\Windows\system32\ktpass.exe -princ HTTP/control-01.test.local@TEST.LOCAL -mapuser control-user@TEST.LOCAL -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * +dumpsalt -out C:\keytabs\filename1.keytab Допустим, вы получили соль "TEST.LOCALHTTPcontrol-01.test.local". Для добавления еще одного SPN необходимо выполнить следующую команду: C:\Windows\system32\ktpass.exe -princ HTTP/secondary-01.test.local@TEST.LOCAL -mapuser control-user@TEST.LOCAL -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -in C:\keytabs\filename1.keytab -out C:\keytabs\filename2.keytab -setupn -setpass -rawsalt "TEST.LOCALHTTPcontrol-01.test.local" Для добавления третьего SPN необходимо выполнить следующую команду: C:\Windows\system32\ktpass.exe -princ HTTP/secondary-02.test.local@TEST.LOCAL -mapuser control-user@TEST.LOCAL -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -in C:\keytabs\filename2.keytab -out C:\keytabs\filename3.keytab -setupn -setpass -rawsalt "TEST.LOCALHTTPcontrol-01.test.local" В результате будет создан файл с именем filename3.keytab, содержащий все три добавленные SPN.

 

[Doctor]

Вот такую ошибку выдает

Failed to set property 'servicePrincipalName' to 'HTTP/mx.domen.ru' on Dn 'CN=AdminKasperUser,OU=NAME,DC=DOMEN,DC=Local': 0x32.
WARNING: Unable to set SPN mapping data.
If adminkasper already has an SPN mapping installed for HTTP/mx.domen.ru, this is no cause for concern.
Password set failed! 0x00000032
Aborted.

 

[UEF]

Чудной он этот шлюз на всю голову, напишите чем все закончится - интересно. Возможно тоже придется переезжать

 

[CheBuRek]

Вот такую ошибку выдает

Попробуй вот по этому мануалу по KSEG 2.0

 

[Surf_rider]

В данном решении авторизация возможна только по ключу.

Для этого необходимо:

1. с помощью PuTTYgen сгенерировать пару открытый\закрытый ключ;
2. открытый ключ загрузить в веб-консоль KSMG в разделе Параметры - Доступ к программе - Доступ SSH;
3. закрытый ключ указывать при подключении в Putty на вкладке SSH – Auth;

 

[Doctor]

В данном решении авторизация возможна только по ключу.

Для этого необходимо:

1. с помощью PuTTYgen сгенерировать пару открытый\закрытый ключ;
2. открытый ключ загрузить в веб-консоль KSMG в разделе Параметры - Доступ к программе - Доступ SSH;
3. закрытый ключ указывать при подключении в Putty на вкладке SSH – Auth;

Это заработало, но только нужно использовать УЗ root, всем спасибо!

 

[KonstantinBer]

Добрый день, коллеги. С наступающим праздником сисадмина, Не подскажете, как на KSMG зайти в bash, а то надо кое-какие конфиги поправить. Или как задать или поменять пароль от root?

 

[KonstantinBer]

Добрый день, коллеги. С наступающим праздником сисадмина, Не подскажете, как на KSMG зайти в bash, а то надо кое-какие конфиги поправить. Или как задать или поменять пароль от root?

Сам задал и сам нашёл ответ - https://support.kaspersky.ru/12300?ysclid=l654afwi7d707293227

 

[UEF]

Отлично!

 

[ExchAdm]

Попытался через PuttyGen сгенерировать private/public ключи с типом ключа SSH-1 (RSA) но KSMG такой тип ключа не принимает.
Опытным путём выяснил, что точно подходит просто RSA с длиной 4096 бит.