У меня rdesktopv1.9.0. Я пытаюсь подключиться к удаленному хосту Win10.
rdesktopпрерывается со следующей ошибкой:
rdesktop -v -x -z -E -d domain -u user user.domain.com
Autoselecting keyboard map 'en-us' from locale
is_wm_active(): WM name: awes
Connecting to server using NLA...
Core(warning): Certificate received from server is NOT trusted by this system, an exception has been added by the user to trust this specific certificate.
TLS Session info: (TLS1.2)-(ECDHE-X25519)-(RSA-SHA256)-(AES-256-GCM)
Failed to initialize NLA, do you have correct Kerberos TGT initialized ?
Failed to connect using NLA, trying with SSL
Failed to connect, CredSSP required by server (check if server has disabled old TLS versions, if yes use -V option).
Соединение идет внутри зашифрованного VPN-туннеля. Удаленный хост определенно доступен, и я абсолютно уверен, что удаленный сертификат доверенный (но может быть просрочен).
Я могу подключиться к той же машине с помощью приложения удаленного рабочего стола Windows (оно отображает то же предупреждение, но дает возможность проигнорировать проблему с сертификатом и продолжить подключение).
Я читал man rdesktopнесколько раз и пробовал разные варианты, связанные с шифрованием и сертификатами (например -E), ничего не помогает. Не помогает и поиск в интернете.
Как принудительно rdesktopустановить доверие к удаленному сертификату и продолжить подключение к удаленному хосту?
решение1
Нет, rdesktop прерывается по причинам, которыенечего делатьс сертификатом. (Он запоминает и «доверяет» отдельным сертификатам, как и другие клиенты, и ваш вывод говорит, что исключение уже добавлено.)
Проблема здесь в том, что rdesktop не полностью поддерживает NLA (CredSSP) — он не поддерживает механизм аутентификации NTLM, необходимый для входа по паролю, поэтому он не может запрашивать у вас учетные данные перед подключением, как это делает Windows MSTSC. (И его поддержка Kerberos также немного глючная.)
Другими словами, rdesktop работает только со старым процессом входа в систему XP/2003, где вы сначала устанавливаете соединение, а затем видите экран входа в систему сервера. FreeRDP — более подходящий клиент для подключения к современным хостам (Windows 7/8/10):
xfreerdp /bpp:32 /gfx +aero +fonts /d:domain /u:user /v:user.domain.com [/cert-...]
С помощью FreeRDP вы можете добавить опцию /cert-tofuдля реализации проверки сертификатов «доверие при первом подключении» (как в MSTSC) или можете /cert-ignoreполностью отключить проверку сертификатов.
Если выдолженпри использовании rdesktop вам придется отключить требование NLA («Network Level Authentication») на хосте Windows 10, хотя это обычно не рекомендуется из-за гораздо большей поверхности атаки.