我正在寻找客户在办公室远程办公时使用的外部服务。 假设:我的办公室IP和客户办公室IP都是静态的。 我希望允许我的客户访问服务,例如HTTP基本身份validation安全pipe理应用程序。 在Apache Basic Auth中有没有办法创build基于User @ IP的限制? 我想要: 我@ my_office 我@ my_home client1 @ their_office1 client2 @ their_office2 为了testing,我尝试了这个代码: <Location /> Satisfy All AuthType Basic AuthName "Authorisation" AuthUserFile /etc/apache2/passwd Order deny,allow Deny from all Allow from 10.0.0.1/32 Require user me Order deny,allow Deny from all Allow from 10.0.0.2/32 Require user client1 </Location> 用[[email protected]]testing允许访问,成功。 用[[email protected]]testing允许访问,失败。 […]
例如,如果我使用AD帐户在Windows 7和Windows 8上login,那么默认情况下是否能够在日志中设置? 如果不是默认情况下,我将如何设置此logging?
背景: 全球公司拥有多个地点和不同的networking和IT系统。 大多数networking都是基于Windows的并运行Active Directory,有些则通过ADFS连接。 有些是纯粹的MACnetworking。 一个位置没有networking或域控制器。 在LAMP环境(Centos 6,Apache 2.2,MySQL 5.1,PHP 5.3)上托pipe的外部网站充当公司内联网。 目前,用户必须使用不同的凭证集login到Intranet,才能访问其域帐户。 场景: Web团队希望使用户能够享受无缝身份validation,以便在从任何公司networking内部访问时不需要login到Intranet,而是在从本地或外部访问站点时使其能够使用他们的域凭据办公室。 其他用户将继续有一个单独的用户名和密码。 审议: 用户可以select浏览器 英国公司IT支持只有Windows Web团队是基于最less的IIS知识的LAMP 如果英国成功,该系统将扩展到所有其他国家 另一个项目正在使用ADFS来连接公司内的所有Windowsnetworking,但是这个项目在6个月内还不能完成 我已经通过论坛,发现了一些post和答案,但我仍然有几个问题,主要是: 我们可以实现企业用户在外部网站的无缝validation? 一些我已经审查的职位 AD单点login… 自动validationWindows用户… 使用LDAP检查AD用户… 微软的AD和PHP … 对于任何遇到这个post的人,我们做了以下几点: 在Web服务器和AD林中的DC之间创buildVPN隧道 编辑/ etc / hosts文件为森林中的每个域kdc添加映射 编辑/etc/krb5.conf以指定领域及其kdcs,并为每个领域添加域领域映射 为网站编辑虚拟主机文件以添加需要Kerberos身份validation的位置(可以使用目录块)。 增加了所有领域的空格分隔列表到位置块 为每个域生成keytab文件并将其安装在Linux服务器上 可能不理想,但它的作品。 在Web服务器之间build立一个VPN
我有一个使用端口9200和9292(用于logstash)的http服务器。 由于服务器不支持身份validation,我想设置一个nginx反向代理来处理身份validation。 这是我使用的configuration: server { listen 9292 default_server; server_name proxy_host; location / { proxy_pass http://logstash_server:9292; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; auth_basic "Restricted"; auth_basic_user_file /etc/nginx/.htpasswd; } } server { listen 9200 default_server; server_name proxy_host; location / { proxy_pass http://logstash_server:9200; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; auth_basic "Restricted"; auth_basic_user_file /etc/nginx/.htpasswd; […]
我已经安装了FreeRADIUS,PAM和Google Authtenicator。 FreeRADIUS调用PAM,然后PAM调用Google pam_google_authenticator.so库。 这一切都成功。 但是,这不是真正的双因素validation,因为所有需要的是来自Google App的OTP。 要获得两个2FA,我想使用本地Linux密码。 由于这是通过RADIUS,我不能提示这两个密码,并需要将它们合并为一个。 根据Google Auth README和我发现的各种博客,我应该在PAM中这样做: auth requisite pam_google_authenticator.so forward_pass auth required pam_unix.so use_first_pass 然后我可以在相同的提示下input密码和OTP,例如MyPass123456 但它从来没有工作。 通过debugging,我可以看到,pam_unix.so检查并接受来自用户的密码,但仍然失败。 如果我删除第二行,或者将“auth”改为“account”(我发现了一个build议),auth就起作用,但是本地密码被忽略。 我在我的PAMconfiguration中丢失了什么?
我目前在访问Windows Server上的共享文件夹时遇到问题。 架构: 带有2个Windows服务器(2008 R2 SP1)和2个Windows客户端(Windows 7 SP1 64位)的平面独立networking。 所有机器都configuration有一个静态IP地址,configuration在一个工作组(即没有DC)。 每台机器只configuration一个用户(pipe理员),并且都具有相同的密码。 问题: 客户端1无法使用地址中的主机名访问服务器1上的共享文件夹。 但是,如果使用机器的IP地址,则可以访问它们。 我们收到的错误是“ The Specified network password is not correct ”(正在使用正确的细节)。 客户端1可以毫无问题地访问服务器2上的共享文件夹。 客户端2和服务器2可以毫无问题地访问服务器1上的共享文件夹。 如果我们ping主机名,我们会得到一个有效的响应。 已经尝试过了: 时间是同步的 GPO设置 – Network Security: LAN Manager Authentication Level设置为“ Send LM & NTLM – use NTLMv2 session security if negotiated ”系统范围。 GPO设置 – Network access:Sharing and Security model […]
思科ASA具有一项function,可以将阻止的HTTP请求redirect到ASA本身托pipe的网页,以便networking用户向ASAauthentication自己,并取消阻止请求。 这是使用configurationAAA for Network Access中logging的aaa authentication listener http <interface> redirect命令configuration的 。 用户被redirect到的页面是通用的和丑陋的。 有什么办法让页面看起来不一样吗? 我可以想象的事情包括可以修改的ASA上的模板,将该页面embedded到另一个网页中的方法,或某种CSS插入。 不过,我对任何事情都是开放的。 或者,如果有人知道一个更可configuration的方式来实现在authentication之前阻止网页访问网页的相同目标,我也很乐意考虑这一点。
OpenSSH支持使用证书颁发机构对用户密钥进行签名。 从man ssh-keygen : ssh-keygen supports signing of keys to produce certificates that may be used for user or host authentication. Certificates consist of a public key, some identity information, zero or more principal (user or host) names and a set of options that are signed by a Certification Authority (CA) key 在纯Linux环境中,SSH证书非常易于使用。 没有问题的服务器部分( TrustedUserCAKeys […]
我们的Microsoft SQL Server在Windows服务器上运行,这些服务器是Active Directory域的一部分。 为了便于用户pipe理,我们的SQL授权通过使用Active Directory用户组进行设置,如本文所述。 现在这个工作正常,只要每个人都在域内工作。 用户使用他们的AD证书login到他们的计算机,并可以通过使用“Windows身份validation”连接到SQL服务器。 问题是我们的用户也将在不属于Active Directory域的其他客户端计算机上工作(并且将它们添加到域中不是一个选项)。 我希望他们可以简单地继续使用他们的AD凭证login到服务器,通过使用SQL Serverlogin屏幕中提到的AD身份validation。 但是,这似乎并没有工作。 使用“活动目录密码身份validation”进行login会导致证书问题。 错误:“证书链是由不受信任的权限颁发的。” Cannot connect to xxxx =================================== A connection was successfully established with the server, but then an error occurred during the login process. (provider: SSL Provider, error: 0 – The certificate chain was issued by an authority that is not trusted.) […]
在使用IIS 6的Windows 2003上,我们正在尝试设置Kerberos身份validation。 这在一定程度上起作用。 我已经build立一个单独的应用程序池与服务帐户。 当我使用这个应用程序池与pplinfo服务帐户时,用户将不会激活目录进行身份validation。 任何帮助将是伟大的。