Tengo rdesktopla v1.9.0. Estoy intentando conectarme a un host Win10 remoto.
rdesktopse cancela con el siguiente error:
rdesktop -v -x -z -E -d domain -u user user.domain.com
Autoselecting keyboard map 'en-us' from locale
is_wm_active(): WM name: awes
Connecting to server using NLA...
Core(warning): Certificate received from server is NOT trusted by this system, an exception has been added by the user to trust this specific certificate.
TLS Session info: (TLS1.2)-(ECDHE-X25519)-(RSA-SHA256)-(AES-256-GCM)
Failed to initialize NLA, do you have correct Kerberos TGT initialized ?
Failed to connect using NLA, trying with SSL
Failed to connect, CredSSP required by server (check if server has disabled old TLS versions, if yes use -V option).
La conexión se realiza dentro de un túnel VPN cifrado. El host remoto definitivamente está disponible y estoy absolutamente seguro de que el certificado remoto es confiable (pero puede estar vencido).
Puedo conectarme a la misma máquina usando la aplicación de escritorio remoto de Windows (me muestra la misma advertencia, pero me da la opción de ignorar el problema del certificado y continuar con la conexión).
Leí man rdesktopvarias veces y probé varias opciones relacionadas con el cifrado y los certificados (por ejemplo -E), nada parece ayudar. Tampoco ayuda a la búsqueda en Internet.
¿Cómo fuerzo rdesktopconfiar en el certificado remoto y continuar la conexión al host remoto?
Respuesta1
No, rdesktop se cancela por motivos que tienenNada que hacercon el certificado. (Recuerda y "confía" en los certificados individuales como lo hacen otros clientes, y su resultado dice que ya se ha agregado una excepción).
El problema aquí es que rdesktop tiene soporte NLA (CredSSP) incompleto: no admite el mecanismo de autenticación NTLM requerido para inicios de sesión basados en contraseña, por lo que no puede solicitarle credenciales antes de conectarse como lo hace Windows MSTSC. (Y su compatibilidad con Kerberos también tiene algunos errores).
En otras palabras, rdesktop sólo funciona con el proceso de inicio de sesión anterior de XP/2003, donde primero se establecía una conexión y luego se veía la pantalla de inicio de sesión del servidor. FreeRDP es un cliente más adecuado para conectarse a hosts modernos (Windows 7/8/10):
xfreerdp /bpp:32 /gfx +aero +fonts /d:domain /u:user /v:user.domain.com [/cert-...]
Con FreeRDP puede agregar la opción /cert-tofupara implementar la verificación de certificados de "confianza en la primera conexión" (como en MSTSC), o puede usarla /cert-ignorepara deshabilitar completamente la verificación de certificados.
Si usteddebeSi usa rdesktop, tendrá que desactivar el requisito NLA ("Autenticación a nivel de red") en el host de Windows 10, aunque esto generalmente no se recomienda debido a una superficie de ataque mucho mayor.