คำถามติดแท็ก authentication

เราใช้ทั้งเซิร์ฟเวอร์ Windows และ Linux ที่ บริษัท พัฒนาซอฟต์แวร์ของเรา หนึ่งในจุดฝืดของการตั้งค่านี้คือเราไม่มีวิธีการลงชื่อเข้าระบบครั้งเดียว การเป็นร้านค้า Microsoft มากกว่า Linux ที่เราต้องการรับรองความถูกต้องกับโฆษณา ฉันอ่านบทความออนไลน์สองสามฉบับและเข้าใจว่าเป็นไปได้ ขณะนี้เรากำลังใช้บริการต่อไปนี้บน Linux ที่ต้องใช้การรับรองความถูกต้อง: - เซิร์ฟเวอร์ git (ผ่าน SSH) - Sendmail - Apache เว็บเซิร์ฟเวอร์ปัจจุบันใช้ไฟล์. htaccess - การแชร์ไฟล์ SAMBA สิ่งที่ฉันอยากรู้คือการตั้งค่าประเภทนี้เป็นประโยชน์อย่างไร มันใช้งานได้จริงหรือว่าเป็นข้อผิดพลาดได้ง่าย?

18 linux  windows  authentication  single-sign-on 

กาลครั้งหนึ่งนานมาแล้วมีป่าเสมือนอันอบอุ่นในอเมริกาใต้และเซิร์ฟเวอร์ปลาหมึกอาศัยอยู่ที่นั่น นี่คือภาพการรับรู้ของเครือข่าย: <the Internet> | | A | B Users <---------> [squid-Server] <---> [LDAP-Server] เมื่อUsersคำขอเข้าถึงอินเทอร์เน็ตsquidให้ถามชื่อและหนังสือเดินทางของพวกเขารับรองความถูกต้องโดยLDAPและหาก ldap อนุมัติพวกเขาแล้วเขาก็อนุญาต ทุกคนมีความสุขจนกระทั่งนักดมกลิ่นบางคนขโมยหนังสือเดินทางในเส้นทางระหว่างผู้ใช้กับปลาหมึก [เส้นทาง A] ภัยพิบัติครั้งนี้เกิดขึ้นเพราะปลาหมึกใช้Basic-Authenticationวิธีการ คนในป่ารวมตัวกันเพื่อแก้ปัญหา กระต่ายบางตัวเสนอโดยใช้NTLMวิธีการ งูที่ต้องการDigest-Authenticationในขณะที่Kerberosแนะนำโดยต้นไม้ ท้ายที่สุดแล้วคำตอบมากมายที่นำเสนอโดยผู้คนในป่าและทั้งหมดก็สับสน! The Lion ตัดสินใจที่จะยุติสถานการณ์ เขาตะโกนกฎสำหรับการแก้ปัญหา: โซลูชันจะปลอดภัยหรือไม่! โซลูชันจะใช้งานได้กับเบราว์เซอร์และซอฟต์แวร์ส่วนใหญ่ (เช่นซอฟต์แวร์ดาวน์โหลด) จะแก้ปัญหาได้ง่ายและไม่ต้องการระบบย่อยขนาดใหญ่อื่น ๆ (เช่นเซิร์ฟเวอร์ Samba) วิธีนี้จะไม่ขึ้นอยู่กับโดเมนพิเศษ (เช่น Active Directory) จากนั้นวิธีแก้ปัญหาที่ชาญฉลาดและครอบคลุมเป็นอย่างมากที่นำเสนอโดยลิงทำให้เขากลายเป็นราชาองค์ใหม่แห่งป่า! คุณเดาได้ไหมว่าทางออกคืออะไร เคล็ดลับ: เส้นทางระหว่างsquidและLDAPได้รับการคุ้มครองโดยสิงโตดังนั้นวิธีการแก้ปัญหาจึงไม่ปลอดภัย หมายเหตุ:ขออภัยถ้าเรื่องราวน่าเบื่อและยุ่ง แต่ส่วนใหญ่เป็นเรื่องจริง! =) /~\/~\/~\ /\~/~\/~\/~\/~\ ((/~\/~\/~\/~\/~\)) …

17 security  authentication  ldap  squid  kerberos 

สมมติว่าฉันมีระบบรีโมตชื่อ "remotesystem" และบัญชีผู้ใช้ "foouser" บนระบบนั้น ฉันรู้ว่าในระบบท้องถิ่นของฉันฉันสามารถสร้างคู่คีย์ SSH เป็นผู้ใช้ท้องถิ่น "foouser" ใส่กุญแจสาธารณะในไฟล์ "/home/foouser/.ssh/authorized_keys" บน "remotesystem" เมื่อฉัน SSH เป็น "foouser" จากระบบโลคัลของฉันเป็น "remotesystem" SSH ใช้คู่คีย์เพื่อพิสูจน์ตัวตนฉัน แต่จะเกิดอะไรขึ้นถ้าชื่อผู้ใช้ในพื้นที่ของฉันไม่เหมือนกับชื่อผู้ใช้บนระบบระยะไกล นั่นคือถ้าฉันต้องการ SSH ในฐานะผู้ใช้ท้องถิ่น "baruser" ถึง "remotesystem" เห็นได้ชัดว่าฉันจะต้องสร้างคู่คีย์สำหรับ "baruser" และเพิ่มคีย์สาธารณะใน "/home/foouser/.ssh/authorized_keys" จากนั้นฉันควรจะสามารถ "ssh foouser @ remotesystem" ในขณะที่เข้าสู่ระบบในฐานะ "baruser" ในพื้นที่และ SSH จะใช้คู่คีย์เพื่อตรวจสอบสิทธิ์ใช่ไหม ฉันถามเพราะฉันกำลังพยายามทำให้การรับรองความถูกต้องที่สำคัญทำงานในสถานการณ์นี้โดยไม่ประสบความสำเร็จ ฉันไม่แน่ใจว่าเป็นเพราะชื่อผู้ใช้ไม่ตรงกันหรือปัญหาการกำหนดค่ากับเซิร์ฟเวอร์ SSH ในระบบระยะไกล

17 linux  ssh  authentication  solaris 

ฉันมีเว็บไซต์อินทราเน็ตไม่ใช่อินเทอร์เน็ตและเมื่อใดก็ตามที่ฉันไป http://mysite เว็บไซต์ยอมรับการตรวจสอบสิทธิ์แบบรวมของฉันของผู้ใช้ที่เข้าสู่ระบบบนคอมพิวเตอร์ / ไคลเอ็นต์ผ่าน IE ถ้าฉันไปที่ FQDN http://mysite.something.com ฉันได้รับแจ้งชื่อผู้ใช้และรหัสผ่านของฉัน มันเหมือนกันทั้งไซต์และหน้าเว็บ ฉันจะทำอย่างไรเพื่อให้ทั้งคู่ยอมรับข้อมูลประจำตัวของฉันจากผู้ใช้ IE / เข้าสู่ระบบ

16 windows-server-2003  iis  authentication 

ปิด. คำถามนี้เป็นคำถามปิดหัวข้อ ไม่ยอมรับคำตอบในขณะนี้ ต้องการปรับปรุงคำถามนี้หรือไม่ อัปเดตคำถามเพื่อให้เป็นหัวข้อสำหรับข้อบกพร่องของเซิร์ฟเวอร์ ปิดให้บริการใน7 ปีที่ผ่านมา คุณเคยใช้และจะแนะนำทางเลือกอื่นสำหรับ RSA SecurID สำหรับการตรวจสอบสิทธิ์แบบสองปัจจัยหรือไม่

16 security  authentication  securid 

เราใช้เซิร์ฟเวอร์ MySQL ที่แตกต่างกันสองสามโหลสำหรับผู้ใช้ของเรา สิ่งเหล่านี้ใช้ MySQL รุ่นฟรี / โอเพนซอร์ซไม่ใช่เวอร์ชันเชิงพาณิชย์ การจัดการรหัสผ่านของบัญชีบนเซิร์ฟเวอร์เหล่านี้เป็นสิ่งที่เจ็บปวด มีปลั๊กอินใดบ้างที่จะอนุญาตให้เราใช้ LDAP เพื่อช่วยจัดการสิทธิพิเศษของ MySQL? อย่างน้อยที่สุดเราต้องการได้รับชื่อผู้ใช้และรหัสผ่านบางส่วนจากเซิร์ฟเวอร์ LDAP เราใช้ MySQL 5.1 และ 5.5 เราอาจเต็มใจอัพเกรดเป็น MySQL 5.6 หากจำเป็นเพื่อให้บรรลุการทำงานนี้ เราต้องการให้เครื่องมือใด ๆ เป็นพื้นฐานของ CLI และไม่ต้องการ GUI หรือเว็บอินเตอร์เฟส

15 mysql  ldap  authentication 

ฉันมีเซิร์ฟเวอร์ Linux samba และมีรายชื่อผู้ใช้ที่สามารถเข้าถึงโฟลเดอร์ได้อย่างชัดเจน ฉันได้กำหนดให้แซมบ้าสำเร็จแล้วเพื่อต้องการชื่อผู้ใช้และรหัสผ่านเมื่อเข้าถึงการแชร์จาก windows (โดยใช้ smbpasswd เป็นต้น) แต่ตอนนี้ฉันต้องการบังคับให้ล้างแคชรับรองความถูกต้องบนเครื่อง windows เช่นเมื่อฉันไปที่คอมพิวเตอร์ของเพื่อนร่วมงานฉันใช้บัญชีของฉันเพื่อเข้าถึงไฟล์ในการแชร์ที่มีการป้องกัน แต่ก่อนที่ฉันจะออกจากคอมพิวเตอร์ฉันจะต้องตรวจสอบให้แน่ใจว่าแคชการอนุญาตถูกล้างเพื่อให้เขาไม่สามารถเข้าถึงโฟลเดอร์นั้นได้ สิทธิของฉัน ฉันพบคำสั่งให้ใช้ในพรอมต์คำสั่ง windows บน google สองสามสัปดาห์ที่ผ่านมา แต่ฉันโง่ฉันไม่ได้บันทึก ... หวังว่าใครบางคนสามารถช่วยขอบคุณ! โอ้แซมบ้าได้รับการกำหนดค่าให้เป็นเวิร์กกรุ๊ปและไม่ใช่โดเมน (หากมีประโยชน์) - ดังนั้นผู้ใช้ windows จะไม่ลงชื่อเข้าใช้โดเมนเมื่อเริ่มต้นใช้งาน

15 windows  authentication  samba  cache 

ฉันมีเซิร์ฟเวอร์การตั้งค่าค่อนข้างน้อยและไม่อนุญาตให้ใช้การตรวจสอบรหัสผ่านโดยใช้คีย์เท่านั้น และแน่นอนมันไม่ได้ติดตั้ง Java ปกติผมไม่ให้ความสนใจใด ๆ นับพันของความพยายามของวัน kiddies สคริปต์ที่จะคาดเดารหัสผ่านของฉัน - ฉันคิดเวลาที่พวกเขาเสียในระบบของฉันเป็นเวลาที่พวกเขาจะไม่สูญเสียในระบบที่ทำช่วยให้ตรวจสอบรหัสผ่าน แต่ฉันเห็นข้อความนี้ใน /var/log/auth.log: Dec 7 13:43:43 hostname sshd[7412]: Received disconnect from 189.203.240.57: 3: com.jcraft.jsch.JSchException: Auth fail [preauth] พูดถึงสิ่งที่ดูเหมือนว่ามีข้อยกเว้น Java มาจากผู้โจมตีหรือว่ามาจากบางสิ่งในด้านของฉัน

14 ssh  authentication 

ฉันมีเครือข่ายเซิร์ฟเวอร์ลินุกซ์ขนาดเล็ก แต่กำลังเติบโต เป็นการดีที่ฉันต้องการเป็นศูนย์กลางในการควบคุมการเข้าถึงของผู้ใช้เปลี่ยนรหัสผ่าน ฯลฯ ... ฉันได้อ่านเกี่ยวกับเซิร์ฟเวอร์ LDAP มากมาย แต่ฉันก็ยังสับสนเกี่ยวกับการเลือกวิธีการรับรองความถูกต้องที่ดีที่สุด TLS / SSL ดีเพียงพอหรือไม่ Kerberos มีประโยชน์อย่างไร? GSSAPI คืออะไร อื่น ๆ ... ฉันไม่พบคำแนะนำที่ชัดเจนที่อธิบายข้อดี / ข้อเสียของวิธีการต่าง ๆ เหล่านี้ ขอบคุณสำหรับความช่วยเหลือ

14 linux  authentication  ldap  kerberos  authorization 

อินสแตนซ์เซิร์ฟเวอร์ใหม่ของฉันถูกกำหนดค่าให้ล็อกอินบนรูทผ่าน ssh ด้วยรหัสผ่าน ฉันต้องการให้ Ansible playbook กำหนดค่าใหม่ให้ใช้กุญแจแทนและปิดใช้งานการเข้าสู่ระบบด้วยรหัสผ่านเมื่อเปิดใช้งานครั้งแรกดังนั้นฉันต้องการสิ่งนี้: ลองเข้าสู่ระบบด้วยรหัส หากไม่สามารถเข้าสู่ระบบด้วยรหัส: เข้าสู่ระบบด้วยรหัสผ่าน เพิ่มรหัสไปที่ authorized_keys ปิดใช้งานการเข้าสู่ระบบด้วยรหัสผ่าน เลือกที่จะเชื่อมต่อใหม่โดยใช้รหัส ทำงานอื่น ๆ ฉันจะทำให้สำเร็จได้อย่างไร แก้ไข : เพื่อความชัดเจนฉันไม่ได้ถามวิธีเพิ่มคีย์หรือปิดใช้งานรูทนั่นเป็นเพียงบริบท ฉันถามวิธีสำรองทางรหัสผ่านหากไม่สามารถตรวจสอบสิทธิ์ด้วยรหัส ด้วย--ask-passหรือansible_ssh_passตั้งค่า Ansible จะไม่พยายามใช้การรับรองความถูกต้องของรหัสสาธารณะ

14 ssh  authentication  ansible 

พื้นหลัง ฉันพยายามที่จะรวบรวมความเข้าใจที่ดีขึ้นของการเข้าสู่ระบบ OS X, เพื่อที่จะตัดสินใจวิธีที่ดีที่สุดเพื่อให้บรรลุVPN Single Sign On โปรดแก้ไขให้ฉันด้วยถ้าฉันผิด แต่ฉันเชื่อว่า - launchd(8)เรียกgettyent(3)จึงกำหนดจากttys(5)การดำเนินการสำหรับloginwindow.app/dev/console loginwindow.appพยายามที่จะได้รับsystem.login.consoleสิทธิ์การอนุญาตซึ่งฐานข้อมูลการอนุญาตระบุกลไกต่อไปนี้ (แสดงพร้อมกับความเข้าใจในการทำงานของพวกเขา); ผู้ที่มีสิทธิ์ใช้งานภายในauthdกระบวนการ (เป็น root) ในขณะที่รายการที่ไม่ได้รับสิทธิ์ให้ดำเนินการภายในSecurityAgentกระบวนการ (เป็น _securityagent): builtin:policy-banner(แสดงแบนเนอร์หน้าต่างเข้าสู่ระบบหากตั้งค่าไว้) loginwindow:login (แจ้งขอข้อมูลประจำตัว) builtin:login-begin builtin:reset-password,privileged(ทำการรีเซ็ตรหัสผ่านโดยใช้ Apple ID ) builtin:forward-login,privileged (ส่งต่อข้อมูลประจำตัวจาก EFI เมื่อบูต) builtin:auto-login,privileged (ใช้ข้อมูลรับรองการเข้าสู่ระบบอัตโนมัติเมื่อบูต) builtin:authenticate,privileged(จะเรียกpam_authenticate(3)สำหรับauthorizationบริการชุด "โพสต์" ค่าบริบท) PKINITMechanism:auth,privileged (เริ่มต้น Kerberos โดยรับ TGT) builtin:login-success loginwindow:success (รักษาความปลอดภัยเซสชั่นเข้าสู่ระบบจากการเข้าถึงระยะไกลที่ไม่ได้รับอนุญาตบันทึกการเข้าสู่ระบบในฐานข้อมูล utmp และ utmpx ของระบบตั้งค่าเจ้าของและสิทธิ์สำหรับเทอร์มินัลคอนโซล) HomeDirMechanism:login,privileged …

13 security  mac-osx  authentication  login  pam 

ดังนั้นฉันมีปัญหาค่อนข้างแปลก ฉันมีเซิร์ฟเวอร์ที่เมื่อฉันพยายามที่จะ SSH เข้าปิดการเชื่อมต่อทันทีถ้าฉันพิมพ์รหัสผ่านที่ถูกต้องในความพยายามครั้งแรก อย่างไรก็ตามถ้าฉันตั้งใจป้อนรหัสผ่านผิดในครั้งแรกจากนั้นป้อนรหัสผ่านที่ถูกต้องที่การแจ้งเตือนครั้งที่สองหรือครั้งที่สามมันจะบันทึกฉันลงในคอมพิวเตอร์สำเร็จ ในทำนองเดียวกันเมื่อฉันพยายามใช้การตรวจสอบสิทธิ์กุญแจสาธารณะฉันจะได้รับการเชื่อมต่อที่ปิดทันที อย่างไรก็ตามหากฉันป้อนรหัสผ่านผิดสำหรับไฟล์คีย์ของฉันแล้วตามด้วยรหัสผ่านผิดพลาดอีกครั้งเมื่อย้อนกลับไปใช้การตรวจสอบรหัสผ่านฉันสามารถล็อกอินได้สำเร็จตราบใดที่ฉันระบุรหัสผ่านที่ถูกต้องในพรอมต์ที่สองหรือสาม เครื่องกำลังเรียกใช้ Red Hat Enterprise Linux Server รีลีส 6.2 (Santiago) และใช้ LDAP และ PAM สำหรับการตรวจสอบความถูกต้อง มีแนวคิดใดบ้างที่จะเริ่มแก้ไขข้อบกพร่องนี้ แจ้งให้เราทราบว่าไฟล์ config ใดที่ฉันต้องการให้และฉันยินดีที่จะทำเช่นนั้น นี่คือข้อมูลการดีบักบางส่วน บล็อครหัสต่อไปนี้แสดงถึง 3 สถานการณ์ตามลำดับ: 1) แก้ไขรหัสผ่านส่วนตัวในครั้งแรก 2) ข้ามรหัสส่วนตัวแก้ไขรหัสผ่านปกติเมื่อลองครั้งแรก 3) ข้ามรหัสส่วนตัวใส่รหัสผ่านไม่ถูกต้องแล้ว ใส่สิ่งที่ดี ... นี่เป็นสถานการณ์เดียวที่จริง ๆ แล้วฉันจะเชื่อมต่อ OpenSSH_5.9p1 Debian-5ubuntu1, OpenSSL 1.0.1 14 Mar 2012 debug1: Reading configuration …

13 ssh  ldap  authentication  openldap  pam 

อาการ ที่ทำงานเราได้ติดตั้ง OSX 10.7.3 และทุกครั้งที่ฉันจะเห็นพฤติกรรมดังต่อไปนี้: หากหน้าจอถูกล็อคจะไม่ยอมรับการพยายามผู้ใช้ / รหัสผ่านเดียวกันหลายครั้ง หากหน้าจอถูกปลดล็อคการเปิดเทอม bash ใหม่อาจทำให้เกิดข้อความเตือนเช่น: `I have no name$` หรือ lkyrala$ ssh lkyrala@ah-lkyrala2u You don't exist, go away! แม้ว่า Macs ของเราจะทำงานได้ตามปกติทุกคนที่นี่ต้องเข้าสู่ระบบสองครั้ง ครั้งแรกหลังจากการบู๊ตล้มเหลวเสมอแต่ครั้งที่สอง (ด้วยรหัสผ่านเดียวกันไม่เปลี่ยนแปลงอะไรเลยเพียงกด Enter อีกครั้ง) สำเร็จ แปลก? วิธีการแก้ปัญหา มีวิธีแก้ไขปัญหาบางอย่างที่แก้ไขปัญหาได้ทันที แต่ไม่ป้องกันไม่ให้เกิดขึ้นอีก: รอ (อาจจะหนึ่งหรือสองชั่วโมง) และบางครั้งปัญหาก็หายไปเอง ฆ่า 'opendirectoryd' และปล่อยให้มันรีสตาร์ท (จากชุมชนการสนับสนุนของ Apple: ID ผู้ใช้ (ไม่ใช่ข้อมูล) ถูกลบโดยทันทีหรือไม่ ) กดปุ่มเปิด …

13 networking  mac-osx  authentication  opendirectory 

ฉันจะ จำกัด การเข้าถึง (RDP) ให้กับ Windows Server ไม่เพียง แต่ด้วยชื่อผู้ใช้ / รหัสผ่าน แต่ด้วยใบรับรองไคลเอ็นต์? ลองนึกภาพการสร้างใบรับรองและคัดลอกสิ่งนี้ไปยังคอมพิวเตอร์ทุกเครื่องที่ฉันต้องการเข้าถึงเซิร์ฟเวอร์จาก สิ่งนี้จะไม่ถูก จำกัด ตามกฎ IP แต่จะเพิ่มความยืดหยุ่นบางอย่างในขณะที่คอมพิวเตอร์ / แล็ปท็อปทุกเครื่องไม่อยู่ในโดเมนที่แน่นอนหรือแก้ไขช่วง IP

13 security  authentication  rdp  certificate 

ฉันกำลังกำหนดค่าระบบที่ใช้ทรัพยากรไอทีทั้งหมดผ่านคู่ผู้ใช้ - รหัสผ่านเดียวไม่ว่าจะเป็นการเข้าถึงเชลล์บนเซิร์ฟเวอร์การเข้าสู่ระบบโดเมน Samba, WiFi, OpenVPN, Mantis ฯลฯ (ด้วยการเข้าถึงบริการเฉพาะที่ควบคุม ตามความเป็นสมาชิกกลุ่มหรือฟิลด์วัตถุผู้ใช้) เนื่องจากเรามีข้อมูลส่วนบุคคลในเครือข่ายของเราเราจำเป็นต้องใช้การกำหนดอายุรหัสผ่านตามคำสั่งการคุ้มครองข้อมูลของสหภาพยุโรป (หรือค่อนข้างเป็นเวอร์ชั่นโปแลนด์) ปัญหาคือบัญชี Samba และ POSIX ใน LDAP ใช้ข้อมูลการแฮชรหัสผ่านและข้อมูลอายุที่แตกต่างกัน ในขณะที่การซิงโครไนซ์รหัสผ่านด้วยตนเองนั้นเป็นเรื่องง่าย ( ldap password sync = Yesในsmb.conf) การเพิ่มอายุรหัสผ่านให้กับการมิกซ์: Samba ไม่ได้ปรับปรุง shadowLastChange ร่วมกับobey pam restrictions = Yesสร้างระบบที่ผู้ใช้ windows ไม่สามารถเปลี่ยนรหัสผ่านเก่า แต่ถ้าฉันไม่ได้ใช้ไดเรกทอรีบ้านจะไม่ถูกสร้างขึ้นโดยอัตโนมัติ ทางเลือกคือใช้ใช้การทำงานแบบขยายของ LDAP สำหรับการเปลี่ยนรหัสผ่าน แต่smbk5pwdโมดูลไม่ได้ตั้งค่าไว้ สิ่งที่แย่กว่านั้นคือผู้ดูแล OpenLDAP จะไม่อัปเดต / ยอมรับแพตช์ ดังนั้นคำถามของฉันคือทางออกที่ดีที่สุดคืออะไร อะไรขึ้นและลงของพวกเขาคืออะไร? ใช้ …

13 domain  authentication  samba  ldap  pam