有一个奇怪和混乱(对我和用户)问题困扰authentication。 我不知道发生了多久,但我相信这是相当长的一段时间。 直到最近,通过使用帐户locking工具,我才意识到这些身份validation问题有时是由系统中的小故障引起的,而不是用户错误。 会发生什么是用户authentication正确,但系统拒绝他们的密码。 我想重复一遍:他们使用正确的用户名,密码和域login。 这不是胖胖的; 这不是客户问题; 这不是用户错误; 它不是一个过期的密码; 它不是特定于任何服务。 用户正确authentication的行为是DC将“失败的login”计数重置为0.当它们失败时,它将增加它并设置“最后失败”时间。 但是当这个故障发生时,两个都不会发生。 authentication尝试被拒绝,但计数不会增加1,也不会重置,并且最后的失败时间不会改变。 这个问题发生在多个设备和服务上。 今天,我有一个学生无法login多台电脑,以及networking邮箱。 我比较了计算机和DC的事件日志; 当用户错误地被拒绝(而且失败次数没有增加)以及当她被正确拒绝时,我认为没有什么区别,因为我有意错误input密码。 我自己做了这个,尝试login到学生刚创build的帐户(使用已知的密码scheme)。 我曾遇到许多通过AD进行身份validation的服务的用户。 这发生在工作人员,教师和学生。 据我所知,这是直接在区议会上的authentication问题; 有些东西不能用帐号,但不是过期密码,禁用等典型的罪魁祸首。 重置密码可以解决问题。 问题就此消失。 但是这个问题的发生频率(本周只有8-10个例子,最多100个networking密码重置)导致我认为这是一个严重的问题。 我不知道这个问题发生了多久。 如果不使用帐户locking工具,我将永远不会看到错误计数未能增加,因此认为用户错误地知道密码。 我发生过很多用户发誓他们知道他们的login事件,而且“昨天工作”。 如果有的话,我不知道有多less次是真的。 即使拿到了这个工具,也已经发生了多起事件,几个月之后,我才相信这是一个真正的问题。 直到我真的遇到了这种情况,input了学生的初始密码,看到失败数字没有上升,我真的相信了。 我们的AD环境大多在Windows Server 2008上。一些DC仍然是Server 2003.环境是单个域。 如果还有任何其他相关的技术细节需要排除故障,请让我知道。 编辑 :正如接受的答案显示,它确实是用户错误 。 事实certificate,这是一个真正的问题,当我login到一个新创build的帐户,它没有增加错误的密码计数失败。 我们有新帐户的标准以及重置密码的标准。 有可能另一个pipe理员忽略了标准,并将此用户的密码重置为其他内容。 当我试图login到新用户,并且错误的密码未能增加(但我被拒绝),我认为这是一个问题的certificate。 很多谷歌search未能find一个页面描述的情况下,密码错误计数不能上升…希望这个答案将有助于未来的其他人。
我有一个运行sssd的Linux域,我们称之为域NJ。 我希望NJ域上的机器能够对位于防火墙后面的不同域(称为NY)上的Active Directory ldap服务器进行身份validation。 只允许两个域之间的端口389是足够的,还是有任何其他端口所需的,以便NJ域上的机器对NY域中的ldap服务器进行身份validation?
我有一个Web应用程序,我想通过使用传递NTLM进行身份validation进行身份validation。 然而,有一个问题,NTLMv2显然不能在这种情况下工作(没有应用程序存储相同的密码哈希)。 我使用本地组策略:计算机 – > Windows设置 – >安全设置 – >networking安全:LANpipe理器身份validation级别在一台客户端计算机(Vista)上启用NTLMv1。 我将其更改为发送LM和NTLM – 如果协商使用NTLMv2会话安全性。 这工作,我可以使用NTLMlogin到Web应用程序。 现在这个应用程序将被所有的客户端机器使用…所以我想知道如果我把这个策略推送给所有的人(但不是域控制器本身),安全风险是什么?
以下是我在本地计算机上执行的步骤: ssh-keygen -t rsa cat ~/.ssh/id_rsa | ssh [email protected] -p 1234 "cat > ~/.ssh/authorized_keys" 当我做一个ssh [email protected] -p 1234它仍然要求input密码:o [email protected]'s password: 为什么这样? 我已经将它添加到授权密钥,但它仍然要求input密码。 sshd_config中: Port 1234 Protocol 2 SyslogFacility AUTHPRIV PubkeyAuthentication yes AuthorizedKeysFile .ssh/authorized_keys PasswordAuthentication yes ChallengeResponseAuthentication no GSSAPIAuthentication yes GSSAPICleanupCredentials yes UsePAM no AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES AcceptEnv LC_PAPER LC_NAME LC_ADDRESS […]
我在PXA270平台(armv5tel)上运行Linux版本2.6.27-vpac2我有一个版本的OpenSSH 3.8.1 p1(Debian-8.sarge.4)试图运行它。 我已经运行-ddd格式的sshd进行debugging,下面是我尝试连接时的结果: root@thisslave:~/.ssh$ /usr/sbin/sshd -ddd -f /etc/ssh/sshd_config debug2: read_server_config: filename /etc/ssh/sshd_config debug1: sshd version OpenSSH_3.8.1p1 Debian-8.sarge.4 debug1: private host key: #0 type 0 RSA1 debug3: Not a RSA1 key file /etc/ssh/ssh_host_rsa_key. debug1: read PEM private key done: type RSA debug1: private host key: #1 type 1 RSA debug3: Not a RSA1 key file […]
在我们的校园里,我们有大约60个Macjoin到我们的Active Directory域。 只要帐号configuration正确,大多数用户login到Mac都没有问题。 但是,我们有一个特定用户无法login到某些 Mac。 他对大多数人没有任何问题,但是他们中有一组(他们都是用相同的图片构build的)他无法login。 有问题的机器正在运行OS X 10.6.2。 下面是来自secure.log的相关条目,主机名和用户名被编辑。 Aug 16 10:32:43 hostname SecurityAgent[4411]: Could not get the user record for username from DirectoryServices. Aug 16 10:32:43 hostname SecurityAgent[4411]: Will sleep 1 seconds and try again (retryCount = 4) Aug 16 10:32:44 hostname SecurityAgent[4411]: Could not get the user record for username from DirectoryServices. […]
我试图通过目标DNS名称( corp.example.com)尝试进行AD身份validation的Linux客户端有问题。 我有两个域控制器服务器DC1(10.0.0.3/24) , DC2(10.1.0.3/24)两个域控制器corp.example.com 。 在开始之前,每个Linux客户端都有两个AD服务器中的一个IP地址在其上明确定义。 我接着用IP地址replace了域名(corp.example.com),如下图所示。 testing它,它工作得很好。 但是,通过closures某个Dome Controller服务器来testing故障转移会导致某些Linux客户端无法进行身份validation和超时。 当我认为这是一个networking问题时,请参阅DC / DNS故障转移与全球/常见的DNS roundrobin为我原来的职位。 在Linux客户端上: /etc/openldap/ldap.conf中 uri ldap://DC1 ldap://DC2 base dc=corp,dc=example,dc=com 的/etc/krb5.conf [libdefaults] default_realm = corp.example.com clockskew = 300 dns_lookup_kdc # default_realm = EXAMPLE.COM [realms] corp.example.com= { kdc = corp.example.com default_domain = corp.example.com kpasswd_server = corp.example.com admin_server = corp.example.com } # EXAMPLE.COM = { […]
我是ModSecurity的新手,在服务器上工作得很好,但我想控制它logging事物的方式。 例如,因为我正在解决我的网站,以便白名单或更正php编码问题,以便我可以有一个干净的modsec_audit.log当一切正常工作,我碰到以下内容。 每当我通过basic或者htdigestauthentication请求一个受密码保护的url时,ModSecurity将它logging在modsec_audit.log ,如下所示: htdigestauthentication: –838e7b1b-A– [17/Nov/2013:19:13:51 +0200] Uoj5T8CoAWQAABfMVE0AAAAA xxx.xxx.xxx.xxx XXXXX xxx.xxx.xxx.xxx XXXXX –838e7b1b-B– GET / HTTP/1.1 Host: XXX.XXX.com:XXXX User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:25.0) Gecko/20100101 Firefox/25.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-us,en;q=0.5 Accept-Encoding: gzip, deflate DNT: 1 Connection: keep-alive –838e7b1b-F– HTTP/1.1 401 Authorization Required WWW-Authenticate: Digest realm="Members Only", nonce="XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX", algorithm=MD5, qop="auth" Vary: Accept-Encoding Content-Encoding: gzip […]
我试图在FreeBSD 10.0中使用nslcd(nss-pam-ldapd-sasl package)在Active Directory中设置身份validation,并希望允许sAMAccountName和userPrincipalName作为服务器中的有效login属性。 我不知道是否可以使用这个特定的configuration。 这是我在/usr/loca/etc/nslcd.conf实际映射 # Do not allow uids lower than 1000 to login (aka Administrator) nss_min_uid 1000 # Disallow disabled accounts to login pam_authz_search (!(userAccountControl:1.2.840.113556.1.4.803:=2)) #filter passwd (&(objectClass=user)(!(objectClass=computer))) #map passwd uid sAMAccountName filter passwd (&(objectClass=user)(userPrincipalName=*)(!(objectClass=computer))) map passwd uid userPrincipalName map passwd uidNumber objectSid:S-1-5-21-NULL-NULL-NULL map passwd gidNumber primaryGroupID map passwd gecos displayName map […]
我有Apache作为内部服务器的反向代理运行。 用户点击代理需要使用客户端证书。 在内部服务器上,有一个Web应用程序可以使用HTTP标头来validation用户。 我希望代理提供基于客户端证书的头。 标题值是用户的ID。 理想情况下,我会有一个文本文件映射用户ID证书。 据我所知,我需要RewriteMap而不是头文件。 # Somehow lookup USERID given SSL_CLIENT_S_DN RequestHeader set X-User-ID %{USERID} 我想避免一大堆SetEnvIf需要重新启动服务器来更改,例如: SetEnvIf SSL_CLIENT_S_DN [User 1's SSL_CLIENT_S_DN] USERID=12 SetEnvIf SSL_CLIENT_S_DN [User 2's SSL_CLIENT_S_DN] USERID=34 SetEnvIf SSL_CLIENT_S_DN [User 3's SSL_CLIENT_S_DN] USERID=56 … 有没有一种好的方法可以避免用户需要进行两次实质性的validation?