• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Используемый общий ключ не совпадает с заверенным

  • Автор темы rualex
  • Дата начала
R

rualex

Создается новый пользователь, все ок. При первой попытка подключения к серверу вижу такое сообщение.
Консоль сервера:
23.12.2010 13:25:56 CN=Vasya Pupkin/O=ORG failed to authenticate:
The public key that is being used does not match the one that was certified. Check the local log file for details.

Скрин клиента:

53c4609300b7.jpg


Перечитал много гугла. Все пишут что не совпадают публичные ключи ID юзера и адресной книги.
Но они идентичны. Куда копать?
 
S

slangID

Создается новый пользователь, все ок. При первой попытка подключения к серверу вижу такое сообщение.
Консоль сервера:
23.12.2010 13:25:56 CN=Vasya Pupkin/O=ORG failed to authenticate:
The public key that is being used does not match the one that was certified. Check the local log file for details.

Скрин клиента:

53c4609300b7.jpg


Перечитал много гугла. Все пишут что не совпадают публичные ключи ID юзера и адресной книги.
Но они идентичны. Куда копать?
у ТЕБЯ ПОЛЬЗОВАТЕЛЬ ПЫТАЕТСЯ ПОДКЛЮЧИТСЯ К ДРУГОМУ серверу Lotus. Что видно из собщения.
Возможные причины:
1) Пользователь ранее цеплялся со своего клиента к другому серверу и где то осталась запись, возможно Коннекшин по которому клиент пытается обратитя к другому серверу.
2) В самой БД есть что то где хранится запись о том что необходимо подключится к другому серверу. Например работал данный клиент с другим сервером и появились записи в notes.ini, а при подключении к БД осуществляется проверка подключения к серверу по записи из notes.ini. В итоге данное сообщение.
3) БД к которой клиент подключается ранее находилась на другом сервере и что определив реплику и имя старого сервера пытается к нему подключиться и не может т.к. или сервера нет или нет перекрестного сертификата.

Что то в этом роде. Во всяком случае у меня при подобных сообщениях причина во сновном была в том что я описал. Удачи!
 

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 933
609
BIT
177
может ещё локейшн попутал (в кот. др. ИД и настройки)
 
R

rualex

Локейшн я не перепутал. Просто лог скопировал неправильно. Правильно будет так:

Пользователь /O=UKSATSE failed to authenticate:
The public key that is being used does not match the one that was certified. Check the local log file for details.

Клиент настроен на локалхост (127.0.0.1). Другие клиенты, которые создавались здесь ранее работают как положено.
Меняю id на новосозданного - не могу авторизоваться на сервере.
Куда копать?
 

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 933
609
BIT
177
трэйс к серверу, что даёт? сервер (по имени) как резолвится (есть ли там "заглушка")?
 
R

rualex

<lmike> написал:
трэйс к серверу, что даёт? сервер (по имени) как резолвится (есть ли там "заглушка")?


Все вышеописанное происходит на локальном сервере.
Клиент пытается авторизоваться на той же машине.
При всем при том, что удаленные клиенты, создававшиеся ранее, подключаются и работают на этом сервере нормально.
 

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 933
609
BIT
177
вы не ответили на вопрос, а это достаточно важно
 
R

rualex

trace с другого сервера говорит:
Connected to server UKFK_MAIL_AIR/UKSATSE

Что такое "заглушка" я не знаю.
 

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 933
609
BIT
177
выж пущаете с клиента (соединение), кот. вас отваливает, вот с этого клиента и нужен трейс
заглушка - 127.0.0.1 онже locahost
серваки домины требуют правильного резолвинга
если имя сервера не резолвится в заглушку - то и подключиться будет невозможно
и сервер долже слушать на этом адресе
netstat -n -l

и в host файл д.б. прописан как
127.0.0.1 имя_сервера_домины
либо в неймс должна быть запись про нотес_порт на этом адресе
 
R

rualex

1. клиент не коннектится к серверу на локальной машине с айдишником новосозданного клиента
равно как и со всех удаленных по реальному айпи сервера

2. клиент успешно коннектится к серверу как на локальной машине, так и с удаленных машин по айпи сервера
но только при условии что пользователь не новый, а из старых, создававшихся месяц или более назад

3. в хостс дописал имя сервера, теперь оно сопоставляется с айпишником
только зачем я это делал - неясно. раньше все и так работало, да и работает, но со старыми клиентами.

Кто-то на форумах айбиэма писал о шаблонах и структурах баз создаваемых новых пользователей.
На эту тему есть идеи?
 

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 933
609
BIT
177
еще раз:
-серверу плевать откуда к нему подключаются, ему важен правильный резолвинг имени
-резолвинг достигается: на клиенте (коннекшн), хост-файл, документ сервера - нотес порты
ещё, в винде, есть всякие костыли нетбью и прочая хня, кот. могет делать преобразования из имени в адрес и обратно

если с сертификатом ничё не напутали (при создании ИД) и подключение идет к нужному серверу - проблем не будет (я не сталкивался, с 97 года)
-если есть процесс CA - нужно ещё пнуть административняй процесс (но сообщение д.б. другое)
-если лезли руками в запись юзера и попортили публичный ключ - будут подобные траблы
-если к-л софт (виндовый) лезет в АК - тоже могет похачить ключ
-если реплика "прилетела" с сервера, с др. ключом - тоже будет сбой

Добавлено: ЗЫ: если сами не справляетесь - наймите грамотного админа
 
R

rualex

итак, по существу:
1. с сертификатом ничего не напутали и коннекты идут к нужному серверу.
2. публичный ключ айди клиента и соответствующая запись адресной книги сервера совпадают.
3. резолв не причем, так как старые клиенты подключаются нормально и айпишник явно указан в Файл-Подключение-Серверы на каждом клиенте.
4. реплик с другими серверами нет.
5. советы типа "найдите админа" считаю офтопом. не можете ответить, так и скажите.
 

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 933
609
BIT
177
советы типа "найдите админа" считаю офтопом. не можете ответить, так и скажите.
я настраивал множество серверов, на протяжении большого переиода времени, в разных топологиях сетей, и версии клиентов, серверов, ОС были разные...
в вашем случае имеем "чудо", кот. может быть связано с невнимательностью/отсут. знаний
 
R

rualex

"чудес" не бывает. проявите профессионализм, решите проблему.
я тоже не вчера родился. ведь в форумах не письками меряются, а отвечают на вопросы.
если могут конечно...
 

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 933
609
BIT
177
давайте консольк серверу назначайте цену - договоримся :)
 
R

rualex

В консольку из мира не попасть. Еще несколько умных человек также не могут ничего ответить.
...пойду в айбиэм пообщаюсь.
 

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 933
609
BIT
177
не забудьте посмотреть на ключ (какой длины) и тип его: мерикосовскаий аль интернэйшнл (лайсенс тайп)
в этом тоже может быть засада
 
R

rualex

на сегодняшний день следующая картина:
Вчера вечером, путем опытов и ошибок был добавлен пользователь который смог авторизоваться и получил доступ к своей базе.
Нужно оговориться, что версия сервера, о котором идет речь - 5.0.10. Пользователь был создан клиентом версии 8.5.
На локальном компьютере (там где установлен сервер), клиент из дистрибутива - версии 5.
Пробовали добавлять пользователей на вышеописанный сервер разными клиентами и разными администраторами-
правильно создается только одним человеком (одной учетной записью) с удаленного хоста.

Всеми другими учетными записями пользователь регистрируется без ошибок, добавляется в адресную книгу, создается база,
но сам пользователь не может получить доступ к серверу на уровне общего ключа, который таки совпадает из его учетной записи с соответствующей записью адресной книги сервера.
Чем это администраторы или хосты с которых добавляется пользователь, могут отличаться? Есть идеи?
 

puks

Lotus Team
03.02.2007
1 919
55
BIT
3
Я надеюсь, что типы создаваемого id использовались одинаковые разными админами при создании нового пользователя?
А политики применяются? Если да, то кем они подписаны?
 
R

rualex

Типы id создаются одинаковые. Более того, в Администраторе версии 5 нельзя выбрать длину ключа.
Выбрать можно только тип "Универсальный" или "Для Северной Америки".
Про применяемые политики не в курсе. Где смотреть?
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!