• 📣 БЕСПЛАТНЫЙ ВЕБИНАР WAPT & SQLiM: взламываем веб как профессионалы. Ждем вас 3 апреля 19:00 (МСК). регистрация здесь. Что разберём: Поиск уязвимостей через фаззинг, Реальные SQL- и командные инъекции (с выводом RCE), Эскалация привилегий после взлома, Разбор похожих задач из курсов WAPT и SQLiM.

    >>> Подробнее <<<

Помощь в настройке HCL Sametime

shodaner

Green Team
04.02.2022
116
9
BIT
224
Ребята, нид хелп!
Развернул на линукс серваке HCL Sametime 12.0.2FP2 докер. Всё по инструкции. Всё развернулось. МонгоДБ стоит на том же сервере. Порт стандартный. Домино для ЛДАП стоит на том же сервере. Порт стандартный. В настройках при развороте Самтайма прописал
Enter fully qualified Sametime server Name: **********
Enter server domain name [*********]:
Enter Mongo host []: 127.0.0.1
Enter Mongo port [27017]:
Enter Mongo admin user name: [] sametimeUser
Enter Mongo admin user password: []
Mongo connection URL is computed as [mongodb://sametimeUser:********@127.0.0.1:27017]. Would you like to override this (Y/N)? [N]:
What type of LDAP server are you using? (AD/Domino/Other LDAP) [Domino]:
Enter LDAP server host name or IP address: 127.0.0.1
Use TLS to access LDAP (Y/N)? [N]:
Enter LDAP server port [389]:
LDAP settings may be customized by making changes in custom.env
Enter the Base64 encoded JWT_SECRET from an existing Sametime deployment: [Empty to generate a new one]
TURN server address [None]:
Configure LTPA (Y/N) [N]:
Enter administrator email address: [] ************
Do you want to enable monitoring? (Y/N) [N]

Все порты открыты на фаерволл.
ports: 1352/tcp 2050/tcp 80/tcp 443/tcp 25/tcp 10050/tcp 1533/tcp 27017/tcp 389/tcp 4443/tcp 8000/tcp

Докер запущен, порты слушаются
tcp 0 0 0.0.0.0:1352 0.0.0.0:* LISTEN 1125/server
tcp 0 0 0.0.0.0:27017 0.0.0.0:* LISTEN 1414/mongod
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 945/sshd
tcp 0 0 0.0.0.0:4443 0.0.0.0:* LISTEN 490030/docker-proxy
tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN 489228/docker-proxy
tcp 0 0 0.0.0.0:1533 0.0.0.0:* LISTEN 7301/docker-proxy
tcp 0 0 0.0.0.0:8000 0.0.0.0:* LISTEN 489243/docker-proxy
tcp 0 0 0.0.0.0:10050 0.0.0.0:* LISTEN 967/zabbix_agentd
tcp 0 0 0.0.0.0:389 0.0.0.0:* LISTEN 2798/ldap
tcp6 0 0 :::22 :::* LISTEN 945/sshd
tcp6 0 0 :::4443 :::* LISTEN 490051/docker-proxy
tcp6 0 0 :::443 :::* LISTEN 489238/docker-proxy
tcp6 0 0 :::1533 :::* LISTEN 7312/docker-proxy
tcp6 0 0 :::8000 :::* LISTEN 489263/docker-proxy
tcp6 0 0 :::10050 :::* LISTEN 967/zabbix_agentd
udp 0 0 0.0.0.0:20000 0.0.0.0:* 490028/docker-proxy
udp 0 0 0.0.0.0:20001 0.0.0.0:* 490069/docker-proxy
*********

И тут начинаются непонятки. Захожу через браузер на урл chat - заходит. Пытаюсь подключиться под тестовыми пользаками - ноль реакции. Кнопка войти ничего не делает. Пытаюсь подключиться из-под самтайма по порту 1533 - ошибка, что сервер не доступен.

Тещу порт локально - всё гуд
telnet localhost 1533
Trying ::1...
Connected to localhost.
Escape character is '^]'.
Connection closed by foreign host.

Тещу nmap с другого сервака, но из той же сети где самтайм сервер - пишет порт 1533 закрыт
PORT STATE SERVICE
22/tcp open ssh
80/tcp closed http
389/tcp open ldap
443/tcp open https
1533/tcp closed virtual-places
4333/tcp filtered msql
8000/tcp open http-alt
27017/tcp open mongod

Процессы докера запущены

docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
31fc5acd7e60 hclcr.io/st/meetings-jvb:20241122-1800 "/init" 39 seconds ago Up 33 seconds 0.0.0.0:4443->4443/tcp, :::4443->4443/tcp, 0.0.0.0:10000->10000/udp, :::10000->10000/udp sametime-jvb-1
b8f215f7e7d2 hclcr.io/st/meetings-jibri:20241122-1800 "/init" 39 seconds ago Up 34 seconds sametime-jibri-1
3787ae6aeba1 hclcr.io/st/meetings-jicofo:20241122-1800 "/init" 39 seconds ago Up 35 seconds sametime-jicofo-1
97cfeb4917ad hclcr.io/st/meetings-jigasi:20241122-1800 "/init" 39 seconds ago Up 16 seconds 0.0.0.0:20000-20050->20000-20050/udp, :::20000-20050->20000-20050/udp sametime-jigasi-1
ca2c72c3e9e3 hclcr.io/st/meetings-prosody:20241122-1800 "/init" 46 seconds ago Up 9 seconds 5222/tcp, 5280/tcp, 5347/tcp sametime-prosody-1
1540d4ca1d30 hclcr.io/st/sametime-click2call.node:20241122-1800 "/bin/sh -c 'node se…" About a minute ago Up 14 seconds 8080/tcp sametime-click2call-1
a934bbc778d8 hclcr.io/st/meetings-status.node:20241122-1800 "/bin/sh -c 'node se…" About a minute ago Up 17 seconds 8080/tcp sametime-status-1
2c5165e2afc2 hclcr.io/st/meetings-auth.node:20241122-1800 "container-entrypoin…" About a minute ago Up 8 seconds 8080/tcp sametime-auth-1
813ca9100c14 hclcr.io/st/sametime-annotations.node:20241122-1800 "/bin/sh -c 'node se…" About a minute ago Up 14 seconds 8080/tcp sametime-annotations-1
391bd1255224 hclcr.io/st/meetings-web:20241122-1800 "/init" About a minute ago Up 37 seconds 80/tcp, 443/tcp, 0.0.0.0:443->4443/tcp, [::]:443->4443/tcp, 0.0.0.0:8000->8080/tcp, [::]:8000->8080/tcp sametime-nginx-1
cfc4f0bede2d hclcr.io/st/meetings-jibri-web:20241122-1800 "/init" About a minute ago Up 38 seconds 80/tcp, 443/tcp sametime-jibri-web-1
43a3b3c75bdc hclcr.io/st/meetings-persistence.node:20241122-1800 "/bin/sh -c 'node se…" About a minute ago Up 10 seconds 8080/tcp sametime-catalog-1
2cf62bb4d0bc hclcr.io/st/meetings-lobby.node:20241122-1800 "/bin/sh -c 'node se…" About a minute ago Up 5 seconds 8080/tcp sametime-lobby-1
795fcbf2a1ed hclcr.io/st/chat-proxy:20241122-1800 "/cnb/process/web" 17 hours ago Up About an hour sametime-proxy-1
f4346594b50f hclcr.io/st/chat-mux:20241122-1800 "/bin/sh -c 'sed -i …" 17 hours ago Up About an hour 0.0.0.0:1533->1533/tcp, :::1533->1533/tcp, 8001/tcp sametime-mux-1
64a36f6e77c7 hclcr.io/st/meetings-appregistry.node:20241122-1800 "/bin/sh -c 'node se…" 17 hours ago Up 6 seconds 8080/tcp sametime-app-registry-1
bf5523150ffe hclcr.io/st/chat-server:20241122-1800 "/bin/sh -c 'sed -i …" 17 hours ago Up About an hour 1533/tcp, 8001/tcp sametime-community-1
d4694497790f hclcr.io/st/chat-stwebclient:20241122-1800 "/cnb/process/web" 17 hours ago Up About an hour sametime-stwebclient-1
22cc59d55065 hclcr.io/st/meetings-backgrounds.node:20241122-1800 "/bin/sh -c 'node se…" 17 hours ago Up 9 seconds 8080/tcp sametime-backgrounds-1
bc1935959c04 hclcr.io/st/sametime-admin.node:20241122-1800 "/bin/sh -c 'node se…" 17 hours ago Up 10 seconds 8080/tcp sametime-admin-1
285f74cfad2a hclcr.io/st/meetings-webhook.node:20241122-1800 "/bin/sh -c 'node se…" 17 hours ago Up 19 seconds 8080/tcp sametime-webhook-1
7a7e8763aedd hclcr.io/st/meetings-activity.node:20241122-1800 "/bin/sh -c 'node se…" 17 hours ago Up 30 seconds 8080/tcp sametime-activity-1
0151c3c87250 hclcr.io/st/sametime-files.node:20241122-1800 "/bin/sh -c 'umask 0…" 17 hours ago Up 5 seconds 8080/tcp sametime-files-1
1adf6b7b7b84 hclcr.io/st/sametime-clamav:20241122-1800 "/usr/local/entrypoi…" 17 hours ago Up About an hour sametime-clamav-1
87663dd8988f hclcr.io/st/meetings-location.node:20241122-1800 "/bin/sh -c 'node se…" 17 hours ago Up 16 seconds 8080/tcp sametime-location-1
628f8886d6d1 hclcr.io/st/sametime-cron:20241122-1800 "/bin/sh -c 'crontab…" 17 hours ago Up About an hour sametime-cron-1
5cae948b1f37 hclcr.io/st/meetings-recordings.node:20241122-1800 "/bin/sh -c 'node se…" 17 hours ago Up 13 seconds 8080/tcp sametime-recordings-1


Где я туплю?
 
Последнее редактирование модератором:
докер имеет изоляцию по сети и дб проброс портов/адресов
127.0.0.1 - это, формально , адрес хоста
может на мысль натолкнёт
и ещё... "снаружи" происходит подключение к хосту, к докеру нужны телодвижения (проброс портов в рулсах и форвардинг)
по портам смотреть netstat на хосте
контейнеры не имеют, умолчально, маршрутизации через хост во вне
 
  • Нравится
Реакции: shodaner
докер имеет изоляцию по сети и дб проброс портов/адресов
127.0.0.1 - это, формально , адрес хоста
может на мысль натолкнёт
и ещё... "снаружи" происходит подключение к хосту, к докеру нужны телодвижения (проброс портов в рулсах и форвардинг)
по портам смотреть netstat на хосте
контейнеры не имеют, умолчально, маршрутизации через хост во вне
Пошёл читать умную книжку про Дохер.

П.С. Получается, надо было указывать не айпи 127..., а имя хоста? Если кто знает, как изменить настрройку, которую самтайм запрашивает при установке, подскажите.
 
Пошёл читать умную книжку про Дохер.

П.С. Получается, надо было указывать не айпи 127..., а имя хоста? Если кто знает, как изменить настрройку, которую самтайм запрашивает при установке, подскажите.
по сути - да, надо было имя указывать
ток проверить - что правильно резолвится (в адрес докера)
это правило в контейнерах вообще (докер - это "простенькая" оркестровка над ними)
+ можно сделать адрес статичным, для контейнера, но это претит логике
к этому же - можно связь делать через прокси (например harproxy)
единственный момент: с haproxy я не смог получать оригинальный адрес клиента
 
Последнее редактирование:
Получилось запустить после переустановки контейнеров и используя доменное имя, а не 127.... Чат работает норм, а вот собрания с видео и звуком отказываются. Вроде собрание начинается, но видео и звука нет. Иногда пишет, что Видео для Юзер приостоновлено из-за низкой пропускной способности. Что это может быть? Антивир отключали, сетевики божатся, что никаких блокировок между сетями с лок машинами и тестовым сервером нет. Нагрузка в момент собрания на сервере мизерная. Сетевой трафик ДО пары сотен кбсек в обе стороны. Файрволл от греха на тестовом сервере тоже убрали. Ничего пока не помогло. Может кто сталкивался?
 
Добавлю, что записали tcp-dump на лок машине во время запущенной конференции.
Во всех сессиях tcp встречаются 10-секундные провалы. Сервер делает паузу, а потом сам же рвёт соединение. FIN прилетает первым от него, а не от локального ПК
Может есть идеи куда смотреть?
 
Получилось запустить после переустановки контейнеров и используя доменное имя, а не 127.... Чат работает норм, а вот собрания с видео и звуком отказываются. Вроде собрание начинается, но видео и звука нет. Иногда пишет, что Видео для Юзер приостоновлено из-за низкой пропускной способности. Что это может быть? Антивир отключали, сетевики божатся, что никаких блокировок между сетями с лок машинами и тестовым сервером нет. Нагрузка в момент собрания на сервере мизерная. Сетевой трафик ДО пары сотен кбсек в обе стороны. Файрволл от греха на тестовом сервере тоже убрали. Ничего пока не помогло. Может кто сталкивался?
может требуется UDP и/или диапазон портов + бродкаст
не знаю как работает СТ, но для видеостримов - это не редкая практика
 
как я и предолагал
https://ds_infolib.hcltechsw.com/ldd/stwiki.nsf/dx/Sametime_Deployments_and_Ports#Ports
 
Как оказалось, решение - отключить Google STUN. Об этом пишет тут Даниель
 
Продолжаем танцы с бубнами. Помогите понять, как настроить вход пользователей Notes во встроенный самтайм без ввода логина и пароля, а по уже прошедшей аутентификации для Notes. Я так понимаю, что нужно настроить SSO и LTPA. Однако из-за того, что сейчас самтайм по сути не является домино сервером, ему надо подбрасывать сторонний лтпа ключ (в инструциях рекомендуют от вебсферы). Однако текущая моя настройка не работает. На клиенте в зависимости от варианта метода тыка выскакивает ошибка unable to log in to community server because the authentication token could not be retrieved или введите корректный логин и пароль.
Я добавил контейнер вебсферы. Далее скопировал ключ сюда
docker cp 70a0c1acecdd:/output/resources/security/ltpa.keys /local/data/sametime/ltpa-config/

Потом остановил самтайм и прописал следующие настройки
vim /local/data/sametime/.env

ENABLE_LTPA=true
LTPA_KEYS=/ltpa-config/ltpa.keys
LTPA_KEYS_PASSWORD=WebAS
LTPA_DURATION_MINUTES=30

vim /local/data/sametime/custom.env

STI__ST_BB_NAMES__ST_AUTH_TOKEN=Fork:Jwt,Ltpa

vim /local/data/sametime/docker-compose.yml

SAMETIME_EXTERNAL_WARINTEGRATION=true

После этого скопировал на локальный комп этот же ключ лтпа и создал Web SSO Configuration на админ сервере server/xxx, который также выступает почтовым и LDAP. В док импортировал ключ с паролем и прописал
Token Configuration Token Expiration
Configuration Name: ltpatoken Expiration (minutes): 30
Organization: xxx
DNS Domain: yyy
Map names in Ltpa tokens: Disabled
Require TLS protected communication (HTTPS): Disabled
Restrict use of the SSO token to HTTP/HTTPS: Disabled
SameSite cookie attribute: Use browser default or INI setting

Participating Servers
Domino Server Names: server/xxx
Windows single sign-on integration (if available): Disabled

WebSphere Information
Token Format: LtpaToken and LtpaToken2 (compatible with all releases of Domino)
LDAP Realm: defaultRealm
Ltpa Version: 1,0
Ltpa Token Custom Cookie name:
Ltpa Token2 Custom Cookie name:

В настройках сервера server.xxx в Internet protocols - Domino Web Engine
Session authentication: Multiple Servers (SSO)
Web SSO Configuration: LtpaToken

В настройках на клиенте Notes прописал
Server community name: server-smt.yyy
Use token-based single sign-on - yes
Authentication server: server.yyy
Authentication type: Domino Single Sign On

Host server: server-smt.yyy
Server community port: 1533

Direct Connection

Use canonical names for status lookup

При этом когда я прописываю настройки сюда /local/data/sametime/.env отваливается авторизация по http паролю (просто не реагирует кнопка) в браузере. Через Нотес и втроенный самтайм авторизоваться по http паролю всё ещё можно.
 
Последнее редактирование:
Внезапно решилось чистой установкой БЕЗ пропуска конфигурирования LTPA. Тогда он сам генерирует ключи (вебсфера не требуется) и сам прописывает необходимые настройки. Также убрал строку Organization в доке Web SSO, токен оставил LtpaToken2, и убедился в том, что server/xxx доступен по http.
 
Последнее редактирование:
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!