我需要为特定用户设置一个例外,这样他的失败login不会被pam_tally2计算出来,而且这不是一个root帐户(我会使用magic_root )。 它可行吗?
我有一个Cisco路由器,提供一个SSL VPN服务器,与freeradius通信,freeradius又使用pam和两个pam模块(sss&yubico)为VPN提供双因素身份validation。 一切都是在世界上很好,它的工作, 除了这个工作,我需要连接用户的密码和yubikey令牌一起成为一个响应。 我的用户更喜欢两个阶段的密码和挑战反应(主要是因为“太混乱”)。 可以这样做吗? 目前我有一个radiusauthenticationconfiguration部分,指定使用pam radius模块作为后端。 我对radius 很陌生,但是我认为我可以在两个单独的“阶段”中两次使用pam模块,并且每次给出不同的pam_auth,以便使用两个不同的pamconfiguration文件,每个configuration文件都备份到一个pam模块IPA上的一个,yubikey上)? 我会依靠两次pam,因为freeradius既不支持yubikey也不支持sss(我知道它支持ldap,但是我希望获得DNS SRVlogging故障转移等)。 我不确定这是否有可能,而且我还没有find有logging的地方的运气。 freeradius显然有很多configuration文件,但如果有任何关键的知道我可以发布。
我正在尝试为OpenSSH实现双因素身份validation。 环境是CentOS 7(内核:3.10.0-229.1.2.el7.x86_64),OpenSSH_6.6.1p1,OpenSSL 1.0.1e-fips 2013年2月11日。我们已经部署了Active Directory(LDAP)+ Kerberos。 规范如下: 具有现有的有效Kerberos票证的用户只能被要求提供第二个因素 必须要求没有现有有效Kerberos票证的用户input其密码和第二个因素 本地用户(无LDAPauthentication)应该能够使用本地密码进行authentication 第二个因素不能在第一个之前提供 除了Kerberos之外,如果可用的话,公钥authentication也应该被接受为第一要素 该function应该能够限制在一组用户 – 其他人只是让他们的密码 为了执行第二个因素的身份validation过程,第三方有一个对Kerberos一无所知的PAM模块。 所以这就是我所做的: 把这些行放到/ etc / ssh / sshd_config中: # To enable PAM – this will make sshd use PAM with configuration /etc/pam.d/sshd UsePam yes ChallengeResponseAuthentication yes # To enable Kerberos and public key authentication – it will let sshd […]
我需要允许域用户(用户名和密码)访问Centos 7服务器以及本地用户(SSH密钥/无密码)。 我已经configuration了AllowUsers和AllowGroups的sshd_config,并假设如果我添加了本地用户应该工作。 但是,本地用户尝试login时出现错误: sshd[23906]: pam_sss(sshd:account): Access denied for user datahub_push: 10 (User not known to the underlying authentication module) sshd[23906]: fatal: Access denied for user datahub_push by PAM account configuration [preauth] 域用户工作得很好,并在sshd_config中的AllowGroups下有一个条目。 一些Googlesearch后,有一个build议,我需要修改: /etc/pam.d/sshd …但我不知道要改变什么,编辑该文件是否是最佳做法? 即应该使用authconfig工具。 任何帮助极大的赞赏。
我有一个拥有大约900个组的用户(其中一些嵌套,所以我怀疑有大约1000个组),他不能login返回的错误,说明有太多的ID。 我已经运行一个脚本来计算他的令牌大小,结果是约24K。 我们已经设置了64K的限制。 用户在SID历史中没有任何东西,因为他从未迁移过。 脚本: https : //gallery.technet.microsoft.com/scriptcenter/Check-for-MaxTokenSize-520e51e5 我也读过这个演习: https : //support.microsoft.com/en-us/help/327825/problems-with-kerberos–authentication-when-a-user-belongs-to-many-grou 但首先它说每个用户有固定数量的组,但是它说,如果我们将MaxTokenSize设置为64K,则每个用户可以拥有1600个域本地组。 我只是想知道在允许用户使用的AD组的最大数量时,设置MaxTokenSize的意义是什么? 我想我在这里错过了一些东西
寻找符合以下要求的指纹识别器build议: 可用于域上的机器login(排除MS指纹识别器) 存储使用IE和Firefoxlogin网站的密码 API支持(用于自定义应用程序/读取) USB
在我的Mac上,我使用Authoxy来避免不断地对客户端的代理服务器进行身份validation。 它的工作原理是这样的:我给Authoxy我的凭据和PAC文件的位置。 它运行在某些端口(比如说8888)和任何需要指定代理服务器的程序本地运行,我把127.0.0.1:8888。 该程序连接到Authoxy,并连接到真正的代理服务器。 我不必在任何地方复制身份validation信息,始终重新input凭据等等。非常好。 更重要的是,太愚蠢的应用程序不支持代理身份validation或不支持PAC文件可以连接到Authoxy,而我与正常的代理拧紧。 我需要在Windows XP中完成同样的事情。
我正在Windows Server 2003计算机上运行IIS 6 FTP服务器(让我们称之为FTPPC),连接到域(让我们称之为DOMAIN)。 允许匿名连接closures,所以用户需要一个域帐户连接到FTP。 用户使用DOMAIN \ USERNAME连接到ftp ftp的根目录是E:\ FTP-ROOT \,里面有2个文件夹:\ PATH1 \ \ PATH2 \ 有一个名为PATH1的虚拟目录指向域(称为DOMAINPC)上的另一台PC上的UNC共享,设置为“始终使用经过身份validation的用户凭据”。 当连接到ftp时,用户可以浏览到这个,并会成功地看到内容。 还有一个名为PATH2的虚拟目录指向一个未连接到域名(称为NODOMAINPC)的PC上的UNC共享。 我在NODOMAINPC上创build了一个名为USER1的用户,并在两个帐户上使用相同的密码在FTPPC上创build了完全相同的用户名。 在PATH2虚拟目录的“connect as”部分,我尝试了多种不同的结果: 将用户名设置为FTPPC \ USER1 – 尝试通过ftp浏览虚拟目录时,错误为“Access is denied”将用户名设置为NODOMAINPC \ USER1 – 尝试通过ftp浏览虚拟目录时,错误为“login失败:未知用户或密码错误“将用户名设置为USER1 – 尝试通过ftp浏览虚拟目录时,错误为”访问被拒绝“ 可以这样做吗? 如果是这样,我哪里错了? 我可以通过Windows连接到UNCpath,而不是通过ftp。 谢谢
我正在尝试在Apache中设置一个反向代理。 用户将被要求login,然后将被发送一个cookie。 我希望Apache检查cookie。 有没有办法做到这一点? EG,现在我的configuration看起来像这样: <VirtualHost *:82> # username:password sent on to endpoint RequestHeader set Authorization "Basic cm9vdjfjDJaGRvYa==" ProxyPass /monitors/2/ http://192.168.1.6/foo.cgi ProxyPassReverse /monitors/2/ http://192.168.1.6/foo.cgi </VirtualHost> 我可以在VirtualHost中添加一些东西来限制基于cookie的访问吗?
我已经为OpenLDAPconfigurationppolicy覆盖以启用密码策略。 这些东西工作: 密码locking失败的尝试太多 一旦pwdReset = TRUE添加到用户input,需要更改密码 密码过期 如果由于入侵企图(太多错误密码)或时间(到期时间命中)而导致帐户被locking,则该帐户必须由pipe理员重置。 但是,当pipe理员在configuration文件中设置pwdReset = TRUE时,这似乎也覆盖了过期策略。 所以,pipe理员发出的密码(应该是临时密码)永久有效。 OpenLDAP中有没有办法让密码必须改变,但也必须过期?