我知道在Linux世界中没有像Active Directory这样的标准,但是我假设有一些方法(或多种方法)来实现类似的系统。 那里有什么select? 我已经做了一些search,但到目前为止,我只是想出了将Linux集成到Active Directory环境中的东西。 主要需求是单点login和集中账户pipe理。 组策略types设置也是有用的。 我问的原因是因为我正在研究如何为新业务设置和维护所有的Linux环境。 我试图找出这种环境的成本,缺点和好处。
我正在照顾我公司的Windows服务器。 AFAIK,服务器是活动目录的成员。 我从任务pipe理器注意到,进程LSASS.exe需要大量的内存和CPU时间。 通过谷歌,我发现它可以修复一些更新的补丁。 只是好奇。 什么是LSASS.exe? 它有什么作用? 为什么需要大量的内存和CPU时间? 如果补丁不起作用,可以减less吗?
我有一个Windows 2003活动目录基础设施,有时候(比如终止一个员工),我希望在我的两个AD服务器上进行即时传播。 目前,我在两个地方都做了改变,我猜这是不健康的,但是我知道确保这个账户对每台机器都是禁用的。 有没有更好的办法? 我是否需要等待正常的传播时间才能收敛,还是有办法“强制”呢?
假设我们在ActiveDirectory域中有大约300台用于处理事物的Windows XP机器。 每个人都有一个在机器名称上图案化的帐户。 由于这些帐户被视为正常的域名帐户,因此每月需要更改密码。 我们有技术人员每个月都会经过并更改密码,但是这很乏味,容易出错,而且很耗时。 为了使其更好,我将开始以编程方式更改300多个帐户的密码。 但是,这存在一个问题。 机器以我们正在更改的用户帐户login,默认情况下,不更新caching的凭据,当它尝试访问networking上的位置时,最终会locking帐户。 有没有办法更新计算机上的caching的凭据没有locking/日志logging? 也许政策设置?
大多数IT人员认为,在Windows域中,如果成员服务器的时钟与其域控制器的时钟相差超过5分钟(或者您已经configuration了多长时间),则login和身份validation将失败。 但是这不一定是真的。 至less不是所有版本Windows上的所有身份validation过程。 例如,我可以设置我的时间在我的Windows 7客户端被倾斜到所有哎呀 – 注销/login仍然正常工作。 会发生什么是我的客户端发送一个AS_REQ(与他的时间戳)到域控制器,和DC响应与KRB_AP_ERR_SKEW。 但神奇的是,当DC响应上述的Kerberos错误时,DC还包括他的时间戳,客户端用来调整自己的时间并重新提交AS_REQ,然后被批准。 这种行为不被视为安全威胁,因为通信中仍然使用encryption和秘密。 这也不仅仅是微软的事情。 RFC 4430描述了这种行为。 所以我的问题是有人知道这个改变了吗? 为什么其他的东西都失败了? 例如,如果我的时钟开始漂移太远,Office Communicator会将我踢开。 我真的希望有更多的细节。 编辑:这里是我谈论的RFC 4430的一点: 如果服务器时钟和客户端时钟closures的不止 策略确定的时钟偏移限制(通常5分钟),服务器 必须返回一个KRB_AP_ERR_SKEW。 可选客户的时间在 KRB-ERROR应该填写完整。 如果服务器通过保护错误 添加Cksum字段并返回正确的客户端时间 客户端应该计算两者之间的差异(以秒为单位) 时钟基于包含在客户端和服务器中的时间 KRB-ERROR消息。 客户端应该存储这个时钟差异,并用它来调整后续消息中的时钟。 如果错误是 不受保护,客户端不得使用差异进行调整 随后的消息,因为这样做会允许攻击者 构build可用于安装重放攻击的身份validation器。
下午好。 我已经仔细阅读了各种关于让Linux系统使用AD进行身份validation的文章,但是还没有看到什么东西逼近我打我的头。 这里有很多设置,请耐心等待。 首先,我们的目标是让我们所有的Linux和Unix系统对AD进行身份validation。 这在数百个系统中不是可选的; 用户账户pipe理早已成为一个问题。 我们有几个AD实例:一个是所有系统pipe理员帐户应该存在的“pipe理AD”(“MAD”)。 MAD不相信其他域名。 所有其他域(“CAD”,“FAD”,“坏”)都相信MAD。 大多数系统将与CAD,FAD或BAD相关联。 只有内部系统将与MAD相关联。 主要的平台是RHEL,我有5,6,7的混合物.5不会很快消失,尽pipe在不到一年的时间里它会退出RH的支持,但是我仍然得到人口5与AD集成在一起。 任何解决scheme都需要在5,6和7的工作,因为我们不想支持多种方式的做事。 我的主要select(至less是我正在工作的)是Winbind和SSSD。 鉴于两者之间的select,我宁愿SSSD Winbind是“相当古老”。 还有一个要求是“组”和“id”产生的AD信息,因为我们打算使用openssh的“AllowGroups”function来限制login到特定的AD组。 我遵循每一个手册,每一个指导,每一个指导,当它归结于它时,总有一件似乎没有被有效logging的东西阻挡了我。 一般来说,我对unix / linux相当强大,但是我对AD,Kerberos或LDAP不够强大。 出于实验目的,我将从全新安装的ISO(kickstart,一些基本的configuration)开始,在KS中没有设置validation位。 第1步:同步时间。 完成。 第2步:安装/激活oddjob。 完成。 步骤3:确保目标系统有正向和反向DNS条目。 完成。 手动到目前为止,我不能依靠后面的步骤来解决问题。 我会应付的。 步骤4:configurationKerberos。 /etc/krb5.conf的消毒版本: includedir /var/lib/sss/pubconf/krb5.include.d/ [logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log [libdefaults] default_realm = CAD.LAB dns_lookup_realm = true dns_lookup_kdc = true ticket_lifetime […]
我有一个Win2k8R2服务器configuration为PDC和terminal服务(是的,我知道。)。 我的经理希望用户能够使用开始菜单 – > Windows安全 – >更改密码来重置自己的密码。 原则上我不这样认为。 他试图改变自己的密码,只能遇到“你的密码不符合复杂性规则”的消息。 我已经从另一个帐户testing相同的方式,也不能更改无特权用户的密码。 我可以通过使用Active Directory用户和计算机作为我的帐户(pipe理员,以及企业和域pipe理员)login,然后重置其密码来更改用户的密码。 如果他们想重新设置密码,我很高兴他们来这样做,我们是一个8人左右的小团队,这不是一个大任务。 但是,即使通过编辑组策略禁用密码复杂性,用户仍然不能更改自己的密码。 问题: 我错过了什么魔法设置来允许他们更改自己的密码? 这是正常的用户必须访问pipe理员密码重置? (这是在我工作过的其他几家公司工作过的) 有一个更好的方法吗? 我不喜欢有不安全的密码。
我正在使用samba / winbind / PAM路由从我们的Active Directory域对我们的Linux服务器上的用户进行身份validation。 一切正常,但我想限制哪些AD组被允许进行身份validation。 Winbind / PAM当前允许在活动目录中启用任何用户帐户,并且pam_winbind.so似乎没有注意require_membership_of=MYDOMAIN\\mygroup参数。 如果将其设置在/etc/pam.d/system-auth或/etc/security/pam_winbind.conf文件中,则无关紧要。 如何强制winbind来履行require_membership_of设置? 使用CentOS 5.5和最新的软件包。 更新:事实certificate,PAM总是允许root通过auth,凭借它的根。 所以只要帐号存在,root就会通过validation。 任何其他帐户都受到身份validation约束。 更新2: require_membership_of似乎正在工作,除了请求用户具有根用户标识符时。 在这种情况下,不piperequire_membership_of设置如何,login都会成功。 这对任何其他帐户都不是问题。 即使当前用户是root用户,如何configurationPAM来强制进行require_membership_of检查? 目前的PAMconfiguration如下: auth sufficient pam_winbind.so auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 500 quiet auth required pam_deny.so account sufficient pam_winbind.so account sufficient pam_localuser.so account required pam_unix.so broken_shadow password ….. (excluded for […]
背景 试图降级Windows 2012域控制器时,遇到以下警告: 没有其他域控制器可以联系,但其他域控制器对象在目录中。 如果您确定这是域的最后一个域控制器并且想要继续,请确认这是该域中的域控制器。 但是,这不是域的最后一个域控制器。 如果我检查Force the removal of this domain controller我会收到警告: 除非这是域中的最后一个域控制器,否则必须在删除后手动执行元数据清理。 题 如何安全降级此域控制器? 为什么它声称它不能联系其他域控制器? 用“手动”元数据清理强制删除有多安全? 更新 追踪来自dcdiag消息,我发现当前拥有PDCeangular色的其他DC没有任何SYSVOL共享,并且\Windows\SYSVOL\sysvol\domain.example.com为空。 我相信这是造成这个问题的原因,但我不确定如何继续。 更多细节 DomainMode:Windows2012Domain ForestMode:Windows2003Forest 此域控制器是域的第一个域控制器,因此具有InfrastructureMaster,PDCEmulator和RIDMasterangular色。 但是,在进行任何降级尝试之前,这些angular色都使用Move-ADDirectoryServerOperationMasterRole转移到另一个域控制器,而没有明显的事件发生。 域控制器是一个全局编录和一个AD DNS服务器,就像其他域控制器一样,它现在拥有FSMOangular色,森林的域控制器也是如此。 其他域控制器上不会触发相同的警告。 repadmin /replsummary显示没有明显的问题。 没有定制Windows防火墙。 域控制器在同一个VLAN上,并且没有沿其path应用特定于接口的ACL。
我在这里为Synology Diskstation DS412 +configuration了共享文件夹上的Active Directoryvalidation。 我有一个共享文件夹,我们的备份软件将备份写入(如此,CIFS)。 这一切都正常工作正常的日常基础上。 备份软件使用专用的用户帐户,一切正常。 但是,我每个月都会修补并重新启动我们的域控制器。 一次只能重新启动一个,以维护Active Directory而不会造成中断。 作为所有这一切的副作用,当备份软件访问该文件夹时,它会得到错误There are no logon servers available to service the logon request并失败。 当我访问UNCpath时,我也收到相同的消息。 当我重启NAS时,服务恢复正常。 我的问题是,我如何解决这个错误不会发生的开始? 重新启动并不是最好的解决scheme,因为它会导致我们正在努力进行的集群服务中的停机。 编辑:甚至陌生人,我的pipe理会议(这是使用我的AD用户)工作正常。