Série: Ferramentas para Gerenciamento de Ambientes Windows e Linux - Parte 15 (problemas de rede com Ethereal)

  • Article

 

A Ethereal é uma ferramenta de análise de protocolos de código aberto disponível em versões para Windows e UNIX em https://www.ethereal.com.

Ao contrário do Network Monitor, o Ethereal pode ser usado para ler arquivos de rastreamento gerados por muitos outros aplicativos, incluindo a ferramenta de sniffing Solaris. Para soluções Solaris, pode ser útil usar o comando de sniffing Solaris no cliente UNIX e então ler o arquivo de sniffing com o Ethereal.

Para Estados Finais 1 e 2, cada tentativa de logon com pam_krb5 gera até três solicitações com respostas associadas:

1. Uma solicitação inicial para um TGT. Essa solicitação não é acompanhada por dados de pré-autenticação e pode gerar uma resposta do servidor de que são exigidos dados pré-autenticados. Para a maioria das configurações e logins, dados pré-autenticados são requeridos. Se esse for o caso, a primeira solicitação receberá uma resposta de erro de KRB5KDC_ERR_PREAUTH_REQUIRED. Se o usuário foi configurado com o marcador "Não requer pré-autenticação Kerberos" (requerido para logon Estado Final 2 para nativo Solaris via dtlogin devido a algum bug no sistema operacional), o ticket será concedido neste estágio e a solicitação 2 será pulada.

2. Uma segunda solicitação para um TGT acompanhada de dados de pré-autenticação. Se o nome e senha do usuário fornecidos estiverem corretos, o TGT será concedido.

3. Uma solicitação de ticket de serviço para o servidor alvo — entidade host/hostname@REALM, onde hostname é o nome de domínio totalmente qualificado (FQDN) do computador cliente UNIX.

Algumas implementações não pedem ou exigem um ticket de serviço. Se a implementação exige o ticket e o ponto de falha de logon é o pedido de ticket de serviço, o Ethereal deve mostrar uma solicitação com um erro na resposta.

Em algumas configurações, dois grupos destas mensagens podem aparecer no rastreamento — uma mensagem para krbtgt/REALM para autenticação básica e outra mensagem para suporte a mudança de senha kadmin/changepw.

Se nenhum pacote Kerberos for visto no rastreamento, o cliente UNIX não está tentando enviar uma solicitação Kerberos ou o servidor Active Directory não recebeu a solicitação (considerando-se que a ferramenta de rastreamento de pacote esteja rodando no servidor Active Directory). Para soluções Solaris, pode ser bom usar o comando de sniffing Solaris no cliente UNIX para determinar se os pacotes estão sendo solicitados.