我试图重buildnwaller的sssd傀儡模块 ,完全基于LDAP,并有点干净。 其中我们有一个为表单的每个validation域定义的资源 define sssd::domain ( $domain = $name, $domain_description = '', $domain_type, $ldap_uri = 'ldap://example.com', $ldap_search_base = 'dc=example,dc=com', $simple_allow_groups, …. ) 然后这个定义作为一个concat::fragment被传递,填充一个模板来构build最终的sssd.conf 。 如果我在每个节点中定义LDAP服务器,这一切都很好,如下所示: nodes.pp node "node1.systems.private" { include "puppet::client" class { 'sssd': domains => [ 'LDAP' ], make_home_dir => true; } sssd::domain { 'LDAP': domain_type => 'ldap', ldap_uri => 'ldaps://ldap.site.com:636', ldap_search_base => 'DC=site,DC=com', […]
我正在寻找开源2因素authentication服务。 (现在我们正在使用openLDAP。) 我们只是使用Linux服务器。 这就是为什么这个服务应该和PAM Linux一起工作的原因。 对戴尔的iDrac和思科提供2因素身份validation支持也不错。 在此先感谢您的任何链接:-)
我有一个域计算机设置为唤醒时不需要密码。 这是我知道的一个奇怪的情况,但我们希望用户不必login到计算机,除非他特别注销或重新启动计算机。 这本身起作用,但是当用户第二天返回到计算机并且仍然login时,计算机似乎已经失去了与服务器的身份validation,并且当试图打开共享驱动器和文件夹时,用户被要求input用户名密码。 除了input我们不希望他必须做的凭证外,唯一修复的是重新启动。 会话是否在服务器上到期,我们如何解决这个问题?
如何从客户端机器(在全局组)(也是本地pipe理员)中检查域控制器是否使用NTLM或Kerberosvalidation了对域的login请求? 我知道默认情况下启用了Kerberos,但域Admin始终可以强制客户端使用其他协议进行authentication。 所以我只是想确定他们正在使用哪个协议。 有什么方法可以检查吗? 任何帮助,将不胜感激
我正在通过一个强化我的服务器安全性的过程来防止将服务器附加到IP并给它一个域名时出现的每日黑客攻击。 我可以每天从1到8次的暴力破解试图以root身份或者蛮力尝试不同的名字来访问SSH,而这是在没有公开声誉的服务器上运行(它没有运行任何大型网站等)。 由于我configuration了我的SSH服务器的方式,我敢肯定,这些尝试也将失败,但我真的不喜欢让别人尝试。 当然,我也为包括SSH在内的更敏感的服务设置了连接速率限制。 我现在在做什么: 我可以从我的auth.log中看到, PAM确实获得了那些试图login的远程IP地址,而且我正在使用一个脚本,它定期扫描这些失败的尝试,并添加一个IP阻止防火墙。 我想要做什么: 我想要做的是使这个IP禁止过程更快地做出回应。 这不是等待轮询脚本来接收它,我想要一个PAM模块来计算从IP(而不是服务或用户)连续失败的尝试,并采取一些行动,如: 拒绝来自该IP的所有未来login尝试 发出一个命令,将添加一个规则到防火墙,以完全禁止IP 问题: 是否已经有一个很好的PAM模块可以注意到IPauthentication失败,或者我需要自己写吗?
使用Active Directory在Linux(Debian)框中validation用户的最佳做法是什么? 我希望它的工作方式是将AD用户添加到一个组 – 比如说Linuxpipe理员或者Linuxnetworking服务器 ,并且根据他们的组成员身份,他们将/不会被授予对特定服务器的访问权限。 理想情况下,根帐户将是唯一以标准方式维护的帐户。 我这样做的目标如下: 允许在一个地方更改密码 自动授予某些人使用他们的AD证书访问Linux服务器 将我们所有的用户信息整合到一个数据库中 我想避免的事情是: 任何困难/反直觉为我们的活动目录pipe理员pipe理 如果AD服务器由于某种原因而无法访问,则将用户locking(即,它需要以某种方式caching凭证) 任何太复杂或者不标准的东西,下次我升级服务器时都会中断。
我只是在我的电脑上安装了Ubuntu 9.10,并且试图找出如何避免在每个需要sudo权限的操作上input密码。 我只想在login时input一次密码,并在整个会话中拥有所有权限。 此外,我宁愿不作为根login,但使用我自己的用户名和设置。 谢谢。
有没有一种方法来configurationSSH来检查多个用户的单个authorized_keys文件? 我知道我可以将公钥复制到每个用户的authorized_keys文件中,但为了便于pipe理,我希望为pipe理员提供一个允许他们login到所有用户(或特定用户组)的其他authorized_keys文件。
我目前正在编写一个puppet模块来自动化将RHEL服务器连接到AD域的过程,并支持Kerberos。 目前,我有通过kinit自动获取和cachingKerberos票证授予票证的问题。 如果这是手动完成,我会这样做: kinit [email protected] 这会提示inputAD用户密码,因此在自动执行此操作时出现问题。 我该如何自动化? 我发现一些post提到使用kadmin创build一个AD用户密码的数据库,但我没有运气。
所以我用插件运行Jenkins-CI: 证书 凭证绑定 混帐 首先,我为了使用远程存储库validationGit所做的工作,是否将服务器的凭据添加到没有域的全局范围。 但是,这允许我的Jenkins服务器上的任何用户使用这些相同的凭据,从而与我的Git远程存储库进行交互。 所以我试着去: Jenkins – > People – > [Username] – > Credentials 我试了两个补充: 没有域的凭证(“全局(无限制)”,但仍然是我的个人凭证而不是服务器范围的凭证) 添加一个凭证域,并以这种方式添加我的Git远程用户名和密码。 然而,当我进入Jobs – > [Job] – > Configure – > Source Code Management – > Git – > Credentials ,它只列出了服务器范围的证书,而不是我注册到我的帐户的证书。 所以我的问题是:我如何使用不可用于Jenkins服务器的其他证书,并在Job的SCM证书中使用它们?