想问一下,特别是那些运行大量用户的大环境,如果有任何标准化或行业推荐的方式来安全地向远程用户分发validation码和/或强制用户重新运行谷歌validation器他们通过sshlogin到一个configuration了libpam模块的Linux主机,每次通过sshlogin时都要求用户inputunix密码和validation码。 假设系统pipe理员设置帐户,是否有办法; (a)首次login时不要求google-authenticator强制他们运行它,以便他们可以安全地检索他们的validation代码 – 或者(b)系统pipe理员为他们运行它作为创build帐户的一部分,并安全地(很容易,因为可能有很多用户)分发代码加上unix密码给用户? 请注意,系统pipe理员可以使用“chage”命令强制用户在首次login时更改其unix密码。 我对所有的实际解决scheme感兴趣,特别是那些在大型环境中成功实施的解决scheme。 你如何得到新用户的双因素代码? 通过txt消息发送到他们的手机? 把它写在纸上,交给他们? ….?
我有一个公共和私有子网的VPC 。 公有子网包含我的Nating和Bastion实例 私有子网包含我的应用程序服务器(运行tomcat7的3个ec2实例和我的项目战争文件)。 这三个实例都是ELB 每当我想更新战争文件,我可以用两种方法做到这一点。 手册 我上传新的战争文件到S3桶 SSH到Bastion服务器(只有这个可以SSH) 从这里SSH到私有实例 从S3下载war文件,停止tomcat7replace旧的war(并删除目录) 启动tomcat 我重复上述步骤为每个实例(目前3个实例) 半手动这是步骤 上传新的战争到S3桶 杀死一个实例(从AWS网站的控制面板) 缩放和启动configuration会自动启动以保持最小实例数量。 这启动一个新的实例,执行一个脚本,实际上从S3下载战争和其他一些环境设置和文件夹等 当我看到新的实例被创build,启动并运行,并添加到ELB,我杀死了另一个旧的实例。 这样我就一个接一个地杀死了所有旧的实例,并用最新升级的新实例replace掉了。 第一种方法很快,但很多手动步骤。 SSH进出的实例(实例上的SSH只允许从BASTION服务器)。 下载,停止,replace,启动。 第二种方法很慢,而不是实际上自动的。 旧实例终止时间+新实例启动时间+部署新战争 我想实现以下的事情 自动升级过程(点击button) 非开发人员像QA和支持人员可以升级而无需访问AWS网站或SSH密钥 快速升级 在发生故障的情况下回滚 有人可能会想,为什么我不使用Beanstalk,它简单,只是上传新的战争文件,自动升级所有与回滚function的实例,如果有什么问题? 这是我的原因(有些事情可能只是我的假设或缺乏知识)。 该应用程序的总体架构非常复杂 ,VPC包含9个子网,以及私有和公有子网中的大量ec2实例。 以及使用安全组的复杂安全configuration 我自己的子网(Public_Subnet_A,Public_Subnet_B,Private_WEB_A,Private_WEB_B,Private_API_A,SG_GLOBAL,SG_BASTION,SG_BASTION等)的命名约定 。 我在ElasticBeanstalk中看不到这样做。 Beanstalk仅支持预定义环境的有限预定义模板 。 就像我想要基于Ubuntu的实例一样,使用Tomcat7,运行Java6或7以及其他几个。 Beanstalk for Java应用程序运行tomcat8,amazon-instance,它也将tomcat保留在Apache之后(我认为桥接是通过mode_jk完成的),然后这个Apache在ELB之后。 而我认为ELB-> Apache-mode_jk-> tomcat的东西有点矫枉过正(我错了)。 我正在使用ELB-> tomcat进行 我的外部stream量是通过NATing服务器,外部世界没有办法(理论上)知道实例。 在beanstalk实例中可以直接访问。 但在我的环境中,它是不可能的,你只能使用ssh-key和一些sudo-random用户名(特别是我很难猜到)从特定IP地址ssh BASTION实例,私有实例只能通过BASTION进行SSH(自定义安全组组态)。 同样,我的RDS实例也在我指定的专用子网之一中,只有应用程序的API实例可以连接到数据库(告诉你很多自定义configuration)。 还有一些其他的。 […]
我在尝试让我的Sharepoint站点使用表单身份validation时遇到了困难。 我已经尝试使用ActiveDirectoryMembershipProvder和LDAP等效,但他们都似乎绝对无法findActiveDirectory任何“peoplefinder”types的任何用户types。 在pipe理部分的Web.config中,我有这样的: <membership defaultProvider="ADMembershipProvider"> <providers> <add name="ADMembershipProvider" type="System.Web.Security.ActiveDirectoryMembershipProvider, System.Web, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a" connectionStringName="ADConnectionString" /> </providers> </membership> 稍后再说: <connectionStrings> <add name="ADConnectionString" connectionString="LDAP://dc.ourcompany.com/dc=ourcompany,dc=com,ou=Ourcompany,ou=UK,ou=Townville,ou=Users" /> </connectionStrings> 连接string的内容与ADExplorer是一样的,但不pipe它是否正确,我都不知道,AD不是我的专长。 我曾尝试让用户在<provider>标签中指定,而不是,这两者似乎都没有造成问题。 当我尝试将用户添加到我正在configuration此身份validation的站点上时,我无法使其find域中的任何人。 我已经尝试了以下方式来说: ADMembershipProvider:用户名 ADMembershipProvider:[email protected] ADMembershipProvider:我们公司面试\用户名 [email protected] 我们公司面试\用户名 用户名 这些似乎没有任何区别。 真正令人沮丧的是,Sharepoint的日志(设置为Verbose和他的意思)或系统事件日志似乎都没有提供任何问题的迹象,他们只是没有做任何事情。 这里是否有一个明显的问题,如果没有,是否有一个简单的方法,我可以分解一些东西,找出在哪里失败的过程?
我configuration了一个启用SSL和SSL客户端身份validation的VirtualHost,所有这些都在apache2 2.2.8(ubuntu server 8.04)上。 所有SSL证书(CA,服务器证书,客户端证书,CRL)都是使用openssl命令行生成的。 如果客户端证书无效(不存在,过期或撤销),我想将用户redirect到自定义错误页面。 这是我的虚拟主机的configuration: <VirtualHost *:443> ServerName myserv.example.com DocumentRoot /var/www/myserv/ CustomLog /var/log/apache2/myserv.access.log combined ErrorLog /var/log/apache2/myserv.error.log LogLevel warn SSLEngine on SSLOptions +StdEnvVars +ExportCertData SSLCertificateFile "/etc/apache2/ssl/certs/servcrt.pem" SSLCertificateKeyFile "/etc/apache2/ssl/private/servkey.pem" SSLCACertificateFile "/etc/apache2/ssl/certs/ca.pem" SSLCARevocationPath "/etc/apache2/ssl/crl/" SSLCARevocationFile "/etc/apache2/ssl/crl/crl.pem" <Directory /var/www/myserv/> Options Indexes FollowSymLinks MultiViews AllowOverride None Order allow,deny Allow from all SSLVerifyClient optional SSLVerifyDepth 1 RewriteEngine on RewriteCond […]
我的组织有一个Cisco ASA 5510,我已经作为我们办公室的防火墙/网关。 远程用户会寻找的大部分资源都存在于里面。 我已经实施了一般的交易 – 基本内部networking与出站NAT,一个主要的外部接口与公共服务的PAT池中的一些辅助公共IP,一对站点到另一个分支的站点到站点IPSec链接等。而我正在使用VPN。 我有WebVPN(无客户端SSL VPN)工作,甚至遍历站点到站点的链接。 目前,我正在离开一个传统的OpenVPN AS来实现胖客户端VPN。 我想要做的是对所有VPN的身份validation方法进行标准化,然后切换到Cisco的IPSec厚VPN服务器。 我想弄清楚这些VPN用户(胖客户端和无客户端)的身份validation的真正可能性。 我的组织使用Google Apps,我们已经使用dotnetopenauth来validation用户的内部服务。 我希望能够为瘦和厚的VPN做同样的事情。 或者,使用RSA公钥对(ssh-keygentypes)的基于签名的解决scheme将有助于识别用户@硬件。 我试图摆脱传统的用户名/密码身份validation,特别是如果它是思科内部(只是另一个密码设置pipe理,用户忘记)。 我知道我可以映射到现有的LDAP服务器上,但是我们只有大约10%的用户群(主要是Linux shell访问的开发者)创build了LDAP帐户。 我想我正在寻找的是一个中间件,思科认为它是一个LDAP服务器,但将与用户现有的OpenID标识接口。 我在思科看到的任何东西都表明它可以在本地完成这一任务。 但RSA公钥将是亚军,并且比独立的甚至LDAPauthentication要好得多。 这里真的有用吗?
我在Samba 3.5.4上运行Linux CentOS 5.4上的Squid代理(最新版本,3.1.4),以便为域用户提供authentication的Web访问; 一切工作正常,甚至Windows 7客户端都完全支持。 对于域用户来说,身份validation是透明的,而对于非域用户则是明确要求的,并且如果用户可以提供有效的域凭证,则它是有效的。 一切都很好,很好。 然后,Outlook Anywhere进入,痛苦和痛苦随之而来。 当Outlook(不论是2007年还是2010年,无所谓)在Windows XP客户端上运行时,它通过Squid代理优雅地连接到远程Exchange服务器。 当它在Windows 7上运行时,它不会。 如果authentication需求从代理中解除,那么所有的工作都在Windows 7上运行,所以这个问题显然与使用Squid的NTLMauthentication有关。 深入挖掘(WireShark),我发现Outlook Anywhere在Windows 7上运行时使用HTTP 1.1,而在Windows XP上使用HTTP 1.0。 而且,即使在最新的版本中,Squid看起来仍然存在一些严重的问题, 尤其是在SSL和代理身份validation混淆的情况下。 在等待Squid完全正式支持HTTP 1.1(看起来这可能需要相当长的时间)的同时,我正在寻找以下解决scheme之一: 如果可能的话,让鱿鱼正确处理。 识别Outlook无处不在的连接,并让鱿鱼不需要validation他们。 但是这并不容易:在Windows XP和Windows 7上运行时,Outlook的行为也会有所不同,而在Windows XP上,Outlook发送一个非常好的用户代理string“MSRPC”,而在Windows 7上它不会发送任何(为什么? 为什么 ?!?)。 即使在Windows 7上运行,强制Outlook Anywhere也使用HTTP 1.0。不,这不像在Internet Explorer中取消select“使用HTTP 1.1”那么简单,看起来像Outlook忽略了该设置,并自行select使用哪种协议。 任何其他可行的解决scheme,不涉及到白名单特定的目标Exchange服务器,这是我试图避免的最后一个解决scheme。
原谅我缺乏IIS的经验,但我有一个用户在托pipe服务器上运行与Plesk的IIS。 他使用受保护的文件夹,我正在寻找一种方法来: 允许他使用简单的用户名/密码组合来保护文件夹 将静态IP列入白名单,以便无需从该服务器授权即可访问该文件夹 它不必 – 也不会 – 是一个Plesk唯一的解决scheme。 如果有一种方法可以通过web.config来实现,那就更好了。 我基本上是寻找一个Apache的htaccess / htpasswd身份validation的IIS相当于:) 谢谢!
有没有人设置这样的configuration? 这不适合我 我已经在Ubuntu 12.04上安装了nginx-extras(它是用PAM模块构build的),并添加到站点configuration中: location ^~ /restricted_place/ { auth_pam "Please specify login and password from main_site"; auth_pam_service_name "nginx"; } 之后,在/etc/pam.d/nginx : auth required pam_script.so dir=/path/to/my/auth_scripts 并写了最简单/path/to/my/auth_scripts/pam_script_auth (也试图编写复杂的脚本) #!/bin/sh exit 0 # should allow anyone 不起作用。 脚本启动(我写了全function的脚本,成功执行,检查凭据,写入自己的日志,并返回正确的退出代码,并执行明显长)。 但是没有访问权限,只有被拒绝。 在/var/log/nginx/error.log出现这一行: 2012/09/13 10:44:42 [alert] 1666#0: waitpid() failed (10: No child processes) 如果我在/etc/pam.d/nginx指定: auth required pam_unix.so 并授予www-data用户读取/etc/shadow权限,unix授权正常工作。 但脚本身份validation不起作用。 我不明白,麻烦在哪里。 […]
我们有一个Meraki MR16云pipe理AP,它断开某些客户端。 使用英特尔无线网卡的客户端无需任何断开连接。 Meraki在其事件日志中报告了以下内容: Sep 4 09:55:47 WPA authentication Sep 4 09:55:47 802.11 association channel: 11, rssi: 64 Sep 4 09:55:38 802.11 disassociation client has left AP Sep 4 09:55:38 WPA deauthentication vap: 0, radio: 0, aid: 1633956416 Meraki断开连接的示例无线网卡是Realtek RTL8191SE 802.11b / g / n WiFi适配器。 realtek笔记本电脑离AP有2米远,信号很多,Meraki报告的干扰很小。 任何想法,为什么它断开非英特尔无线网卡?
在我的VPS上运行Debian 7,我在默认端口22上启用了ssh,只启用了私钥authentication,所有其他端口都使用iptables进行过滤。 我经常在伪造用户名的情况下获得来自中国的login尝试,例如“plesk”或“r00t”,显示在我的/var/log/auth.log 唯一的问题是authentication尝试不提供私钥,并尝试在有效的用户名下login,日志中出现的唯一行 sshd [4364]:连接closures了123.45.67.89 [preauth] 当sshd日志logging级别设置为VERBOSE时,会打印一条附加行,指出连接的用户和他们连接的端口。 有什么办法让sshd日志,它断开用户,因为他们缺less一个私钥?