我有几台使用PowerBroker Open的Linux机器来对AD进行身份validation。 我注意到,对于一些用户来说,它工作得很好(authentication和所有),但对于其他用户来说,它并不authentication(显然,authentication不是由于下面要求的成员资格,但是即使组的用户名也只显示一个组,即使用户在多个组中)。 我已经缩小了它的身份validation和组列表适用于在/opt/pbis/bin/config RequireMembershipOf命令中给出的组中的所有用户。 我进一步发现,做/opt/pbis/bin/enum-groups –level 1修复了这个问题,直到下一次重启(相对于–level 0 ,默认,1级也显示了组成员)。 但是这给我留下了几个问题,我正在努力寻找答案: 如何在不执行常规枚举组命令的情况下使此行为持续存在? 究竟是什么使得这个修复工作,究竟是什么修复? 这是在RJEL 6.7,pbis-open 8.2.1-2979。
我试图提供一个冗余的LDAP身份validation到我的networking服务器。 ScriptAlias /nagios/cgi-bin "/usr/local/nagios/sbin" <AuthnProviderAlias ldap ldap-one> AuthLDAPBindDN "search@domain" AuthLDAPBindPassword "pass" AuthLDAPURL "ldap://###.###.###.###/dc=domain,dc=local?sAMAccountName?sub" NONE </AuthnProviderAlias> <AuthnProviderAlias ldap ldap-two> AuthLDAPBindDN "search@domain" AuthLDAPBindPassword "pass" AuthLDAPURL "ldap://###.###.###.###/dc=domain,dc=local?sAMAccountName?sub" NONE </AuthnProviderAlias> <Directory "/usr/local/nagios/sbin"> Order deny,allow Allow from all AuthBasicProvider ldap-one ldap-two AuthType Basic AuthName "Authentication" Require valid-user </Directory> Alias /nagios "/usr/local/nagios/share" <Directory "/usr/local/nagios/share"> Order deny,allow Allow from all AuthBasicProvider ldap-one […]
我最近从优胜美地将我公司的Mac Mini设备升级到El Capitan,并在升级过程中遇到了几个问题。 我已经解决了他们中的大部分,但仍然失败的是SSH连接。 该机器能够SSH到其他设备,但它能够接收传入的SSHD连接似乎被部分破坏。 密码authentication不再在机器上运行。 我已经多次确认用户名和密码是正确的。 我可以在本地login,没有任何问题相同的凭据。 我认为这与sshd_config中的UsePAM设置有关,因为当我closures这个function时,公共密钥authentication开始工作,但是当它打开的时候它不会。 但是,在这两种情况下,密码validation都会在100%的时间内失败。 我已经尝试将Mac上的OpenSSH版本升级到7.1p2,但是这完全破坏了公钥authentication,密码仍然失败。 Mac版本仍然是6.9,因为这是唯一可以访问系统的版本。 我包括我能想到的所有日志输出,但我完全损失。 sshd_config中: # $OpenBSD: sshd_config,v 1.89 2013/02/06 00:20:42 dtucker Exp $ # This is the sshd server system-wide configuration file. See # sshd_config(5) for more information. # This sshd was compiled with PATH=/usr/bin:/bin:/usr/sbin:/sbin # The strategy used for options in the default sshd_config […]
//对于像Hashicorp Vault for Linux这样的密码pipe理器, 密码似乎有点“鸡与蛋”的问题。 在对一些Linux服务器进行研究时,有人聪明地问道: “如果我们把所有的秘密都存储在秘密存储服务中,那么我们在哪里存储秘密存储服务的访问秘密?在我们的秘密存储服务中? ‡ 我吃了一惊,因为如果所有的Linux服务器都存储访问令牌,那么使用单独的秘密存储服务是没有意义的。 例如,如果我将秘密移动到Vault,那么我是否仍然需要将机密信息存储在Linux服务器上的某个地方访问Hashicorp Vault? 有人谈论以某种创造性的方式来解决这个问题,至less做得比现在更好。 我们可以根据CIDR或密码混搭来做类似auth的聪明事情。 但是安全性仍然存在这种权衡。例如,如果黑客获得了访问我的机器的权限,那么如果访问权限是基于CIDR的话,他们可以访问保险库。 这个问题可能没有答案,在这种情况下,答案是“不,这没有普遍接受的银弹解决scheme,去创造性的,find你的权衡bla bla bla” 我想要回答以下具体问题: 在现代Linux服务器上,有一个被普遍接受的方式来将密码保护到远程自动化秘密存储,如Hashicorp Vault? 显然,明文是不可能的。 有没有规范的答案呢? 我甚至在正确的地方问这个吗? 我也考虑过security.stackexchange.com,但是这似乎特定于为Linux服务器存储秘密的方式 。 我知道这可能看起来太笼统了,或者是基于观点,所以我欢迎任何你可能需要避免的编辑build议。 ‡ 我们笑了,但我在这里得到的答案很可能是“跳槽”。 :/例如,一个Jenkins服务器或其他东西有一个6个月的可更新密码,它用来生成一次性使用的令牌,然后他们可以使用它来获得从保险库中生成的一个短暂的(会话有限)密码,这让他们获得了一段信息 。 像这样的东西似乎是一样的,虽然它只是解决scheme的一部分: 使用Puppetpipe理服务密码
对于每个客户端,我都build立了一个主文件夹和服务子文件夹。 这些文件夹启用了基于访问的代码(ABE),属于正确安全组(SG)的用户可以查看和访问允许的文件夹,而其他文件夹由于ABE而被隐藏。 但是,我已经达到了拥有超过800个客户的程度,每个客户有2-3个服务,导致一些用户超过了1010个SG。 这导致这些用户无法login,如https://support.microsoft.com/en-us/kb/328889中所述 。 那么,如果我们不能以可扩展的方式使用SG和ABE,还有哪些其他方法更好? 这不是通过增加MaxTokenSize,因为它对LSA /login部分没有影响。 我已经把它增加到48000,并没有帮助。 问候, 约翰·巴比特 系统pipe理员
在我的环境中,外部实体提供根CA和中间CA. 他们发行数千个带有PKI证书的智能卡进行身份validation。 它们在扩展密钥用法中提供了客户端authentication(OID 1.3.6.1.5.5.7.3.2),使用替代名称字段。 这包含用户的唯一ID号码,例如[email protected],其目的是作为用户的Active Directory userPrincipalName(UPN)。 这些智能卡可以发行30天或3年,利用UPN进行身份validation,用户可以在智能卡过期/中断时保持访问,并获得新的智能卡,将其证书关联到Active Directory中。 上述authenticationscheme在Windows工作站,服务器,Linux服务器上工作,并且是不可变的(不受控制)。 现在,我们正在尝试使用SSL / TLS客户端身份validation来设置HTTPD以使用其PKI证书对这些用户进行身份validation。 在对用户进行身份validation的基本级别,如果他们具有由中间体签名的PKI令牌,并且不会被CRL或OCSP工作撤销。 我们所要做的就是将他们的PKI会话与他们的活动目录帐户相关联,因此我们可以根据Active Directory安全组成员进行授权。 我们可以提取UPN,但似乎没有办法将mod_ssl客户端身份validation桥接到mod_authnz_ldap授权scheme中。 以下是我们对httpdconfiguration概念的certificate。 Listen 443 https <VirtualHost _default_:443> SSLEngine on …. standard SSL options …. <Location /secure-pki> SSLVerifyClient require SSLVerifyDepth 2 # How do we map the SSL_CLIENT_SAN_OTHER_msUPN_0 environment variable so mod_authnz_ldap uses it? AuthLDAPBindDN "[email protected]" AuthLDAPBindPassword "apassword" AuthLDAPURL "ldaps://ldap1.example.com […]
对我来说这真是一种莫名其妙的感觉。 我通常使用无密码RSA身份validationlogin到我的远程* nix服务器与ssh和sftp。 从来没有任何问题,直到现在。 我无法连接到Ubuntu 9.10机器: user@myclient$ ssh -i .ssh/Ganymede_key [email protected] […] debug1: Host 'ganymede.server.com' is known and matches the RSA host key. debug1: Found key in /home/user/.ssh/known_hosts:14 debug2: bits set: 494/1024 debug1: ssh_rsa_verify: signature correct debug2: kex_derive_keys debug2: set_newkeys: mode 1 debug1: SSH2_MSG_NEWKEYS sent debug1: expecting SSH2_MSG_NEWKEYS debug2: set_newkeys: mode 0 debug1: SSH2_MSG_NEWKEYS received […]
我想要将Squid代理与Active Directory域集成,以便实现以下function: 我可以授予/拒绝访问基于用户帐户和/或组的网站。 域用户在访问代理时不需要显式authentication,即他们自动使用他们的Windowslogin凭证。 未经身份validation的用户仍然可以被授予访问权限(到特定的目的地)。 最后两点是我最关心的问题。 我知道Squid可以根据AD对用户进行身份validation,但是我不知道它是否可以同时pipe理经过身份validation和匿名的用户,以及是否可以使用透明身份validation,即不需要用户明确login到代理服务器。 另外,我知道有两种方法可以将Squid与AD结合:WinBind和LDAP。 哪一个更适合这种情况? 我不需要Squid成为一个透明的代理。 已经有一个GPO,为所有域用户configurationIE代理设置。 奖金的问题:所有这些工作,当SquidGuard也参与?
我有一个域约300台Windows 7和XP机器,域控制器运行Server 2003。 有时,我失去了与某些机器进行通信/validation的能力,直到我重新启动计算机。 这也发生在其他计算机上,无论用户帐号和操作系统如何。 换句话说,假设我在ComputerA上 ,而且我无法连接到ComputerX 。 我可以到ComputerB并连接到ComputerX ,但ComputerB可能无法连接到ComputerY 。 如果您重新启动ComputerA ,那么它将能够再次连接到ComputerX 。 以下是各种实用程序的一些消息: sc :[SC] OpenSCManager失败1722:RPC服务器不可用。 mmc (compmgmt.msc) :无法pipe理计算机(计算机名称)。 找不到networkingpath。 资源pipe理器 (\\ computer) :Windows无法访问\\(计算机名称)。 ping :数据包:发送= 4,收到= 4,丢失= 0(0%损失)/平均= 1ms 更新: netdomvalidation :未findnetworkingpath。 该命令未能成功完成。 (请注意,这在networking上的其他计算机上成功)
我们最近有一个问题,我重启了我们的EC2实例(Ubuntu x86_64,版本9.10服务器),并且由于EC2问题,实例需要停止并closures了几天。 现在我已经能够使实例重新联机,我无法使用之前工作的密钥对连接到SSH。 不幸的是SSH是进入这个服务器的唯一方法,而当我有另一个系统运行在它的位置时,我想尝试从机器中检索许多事情。 在详细模式下运行SSH会产生以下结果: [Broc-MBP.local]: Broc:~/.ssh → ssh -i ~/.ssh/EC2Keypair.pem -l ubuntu ec2-xxx.compute-1.amazonaws.com -vvv OpenSSH_5.2p1, OpenSSL 0.9.8l 5 Nov 2009 debug1: Reading configuration data /Users/Broc/.ssh/config debug1: Reading configuration data /etc/ssh_config debug2: ssh_connect: needpriv 0 debug1: Connecting to ec2-xxx.compute-1.amazonaws.com [184.73.109.130] port 22. debug1: Connection established. debug3: Not a RSA1 key file /Users/Broc/.ssh/EC2Keypair.pem. debug2: key_type_from_name: unknown […]