我的configuration包括:作为RADIUS服务器的Cisco ACS,MS AD,MS PKI,Cisco 2960G交换机。 工作站是95%的XP专业版SP3完全修补,一些7专业版完全修补。 计算机证书自动注册已启用并正在运行。 GPO为 从工作站上的GPO生成NIC设置: 交换机上的端口configuration如下: 交换机端口访问vlan 56 switchport模式访问 身份validation控制方向 身份validation事件失败操作授权vlan 66 身份validation事件服务器无效操作重新初始化vlan 56 身份validation事件无响应操作授权vlan 66 身份validation事件服务器活动重新初始化 validation主机模式多重validation authentication端口控制自动 authentication违规保护 马伯 dot1x paeauthentication 生成树portfast 我遇到的问题是,当机器启动时,他们试图用主机名而不是证书进行validation。 这失败了,但是一分钟后,他们使用计算机证书并且authentication成功。 configuration正在工作(大部分),但每隔一段时间,我得到一台计算机(到目前为止dot1x约250设置),试图validation主机名失败,然后停止。 如果我重新启动有线自动configuration服务,它完全validation,但重新启动重新创build问题。 这也是非常烦人的,这些错误出现在日志中,因为它们的频率阻止我设置警报,以通知我实际未授权的计算机已连接到networking。 即太多的误报。 我的问题是为什么当我configuration它使用其计算机证书时,工作站首先尝试使用其主机名进行身份validation? 在无线方面,一切工作都很完美。 思科AP和WLC。 编辑*我发现一个修复程序KB957931,指示XP SP3将在接收到身份validation失败消息后20分钟忽略dot1x通信。 此修复程序允许您创build一个registry项来修改此硬编码的设置。 我将这个补丁应用到工作站,并将修补时间改为1分钟(最低限度),现在,工作站在一分钟后进行身份validation,但不更新其IP。 一分钟等待是不理想的,也不是处理更新IP,所以我仍然对原来的问题仍然很好,这是为什么盒子select自己的名字,而不是证书? 更新* 1/11/12我今天再次遇到这个问题,并探出一些客户。 我注意到,在局域网连接的身份validation选项卡上,设置不再变成灰色,而是更改为使用密码而不是证书。 我知道本地组策略在启动时应用,不pipePC是否属于某个域,我知道我的域GPO覆盖了本地设置的任何内容。 当电脑由于某种原因(networking设备的电源故障)无法validation时,不再适用域策略,显然我的设置全部改变了。 我不知道为什么他们改变,因为没有configuration本地GPO。 因此,除了想知道为什么个人电脑在使用他们的证书之前用自己的主机名识别自己,我现在还有第二个问题。 如何使用dot1x设置(缺less可用的默认模板)在XP工作站上创build本地组策略,以及如何将这些策略推送到所有工作站? 我已经看过使用安全模板,但他们不包含我需要的设置。 我需要应用设置从计算机configuration – >策略 – […]
我已经在apacheconfiguration中使用这样的代码来保护密码的位置 <Location ~ "/admin.*"> AuthType Basic AuthName "Protected Area" AuthUserFile /home/user/public_html/.htpasswd Require valid-user </Location> 有没有办法使用htaccess文件做同样的事情? 我想要保护的位置在文件系统上并不存在,这是由mod_rewrite提供的可用位置
我已经build立了一个使用用户帐户的LDAP服务器。 我已经成功地configuration了一个Rails应用程序来对这个LDAP服务器进行身份validation。 我正在尝试configurationSSSD以对LDAP进行身份validation,但不喜欢单个用户的密码。 错误: $ su – leopetr4 Password: su: incorrect password SSSD识别用户,但不是密码: $ id leopetr4 uid=9583(leopetr4) gid=9583(leopetr4) groups=9583(leopetr4) 以下是用户logging的样子: # ldapsearch -x -W -D "cn=admin,dc=my_domain,dc=com" -H ldaps://my_hostname.my_domain.com "(uid=leopetr4)" Enter LDAP Password: # extended LDIF # # LDAPv3 # base <dc=my_domain,dc=com> (default) with scope subtree # filter: (uid=leopetr4) # requesting: ALL # # leopetr4, People, […]
这个问题与这个问题几乎是一样的,但区别在于,authentication服务器是Ubuntu上的freeRADIUS,接入点是DD-WRT。 此外,我想知道是否有任何风险禁用TTLS(从我所了解的身份validation过程中需要证书的部分)或者甚至是一个选项。 我现在明白,TLS和TTLS是有区别的。 我想使用TTLS,因为它不需要客户端configuration。 我已经为下面的post分配了答案,因为它帮助我们实现了这一点,并且我已经编辑了标题以更好地反映他的结论。
我正在研究跨多台计算机为用户提供单一身份的软件。 也就是说,用户应该在每台计算机上具有相同的权限,并且用户应该可以访问每台计算机上的所有文件(漫游主目录)。 对于这个总体思路似乎有很多解决scheme,但是我正在努力为我确定最好的一个。 以下是一些细节和要求: 机器networking是运行Ubuntu的Amazon EC2实例。 我们用SSH访问这些机器。 此局域网中的一些机器可能有不同的用途,但我只讨论机器的某种用途(运行多租户平台)。 系统不一定会有一定数量的机器。 我们可能需要永久或暂时改变运行的机器数量。 这就是我正在研究集中authentication/存储的原因。 这个效果的实施应该是一个安全的。 我们不确定用户是否可以直接访问shell,但是他们的软件可能会在我们的系统上运行(当然是受限于Linux用户名),这与直接shell访问一样好。 假设他们的软件为了安全起见可能是恶意的。 我听说过几种技术/组合来实现我的目标,但是我不确定每个技术的影响。 一个较旧的ServerFault文章推荐使用NFS和NIS,但根据赛门铁克的这篇旧文章,这个组合存在安全问题。 这篇文章build议移植到NIS +,但是由于这篇文章比较陈旧,所以这篇维基百科文章引用了一些陈述,表明Sun将会从NIS +中走出来。 推荐的replace是我听说过的另一件事… LDAP。 它看起来像LDAP可以用来将用户信息保存在networking上的一个集中位置。 NFS仍然需要用来覆盖“漫游家庭文件夹”的要求,但我看到他们一起使用的引用。 由于赛门铁克的文章指出了NIS和NFS的安全问题,有没有软件可以取代NFS,还是应该留意这篇文章的build议,以便将其locking? 我倾向于使用LDAP,因为我们体系结构的另一个基本部分RabbitMQ具有LDAP的身份validation/授权插件。 RabbitMQ将以受限制的方式访问系统上的用户,所以我想尽可能将安全系统连接在一起。 Kerberos是我听说过的另一个安全authentication协议。 几年前我在一个密码学课上了解了一些,但是不记得太多。 我在网上看到了一些build议,可以通过几种方式与 LDAP结合使用 。 这是必要的吗? 没有Kerberos的LDAP有哪些安全风险? 我还记得在卡内基梅隆大学开发的另一个软件中使用了Kerberos。 安德鲁文件系统,或AFS。 OpenAFS可以使用,虽然它的设置似乎有点复杂。 在我的大学,AFS提供了两个要求…我可以login到任何机器,并且我的“AFS文件夹”始终可用(至less在获得AFS令牌时)。 除了build议我应该研究哪条路,有没有人有任何指导,特别有用? 正如大胆的文字指出的那样,LDAP看起来是最好的select,但是我对安全性方面的实现细节(Keberos?NFS?)特别感兴趣。
我需要为EC2上的金融机构提供东西。 银行希望完成双因素身份validation,就像使用密码的密钥SSH一样。 像SecureID或类似的东西会很好。 如何通过SSH有效地创build双重身份validation到我的EC2环境? 我也可以考虑将OpenVPN作为双因子encryption的一部分吗?
我正在向用户分配一个新的数据库。 用户作为默认的dbo用户与将其作为db_ownerangular色成员进行login相比有什么不同?
我们在DMZ中有很less的客户端服务器也有用户帐号,所有帐号都在shadow密码文件中。 我正在尝试整合用户login并考虑让LAN用户对Active Directory进行身份validation。需要身份validation的服务是Apache,Proftpd和ssh。 在咨询安全小组之后,我已经设置了具有LDAPS代理的DMZ,该代理反过来联系局域网中的另一个LDAPS代理(代理2),并且这个代理将authentication信息通过LDAP(作为LDAP绑定)传递给AD控制器。仅需要第二个LDAP代理,因为AD服务器拒绝用我们安全的LDAP实现说TLS。 这适用于使用适当的模块的Apache。在稍后阶段,我可能会尝试将客户帐户从服务器移动到LDAP代理,以便它们不分散在服务器周围。 对于SSH,我将proxy2joinWindows域,以便用户可以使用他们的Windows凭据login。然后,我创build了ssh密钥,并使用ssh-copy将它们复制到DMZ服务器,以便在用户通过身份validation后启用无密码login。 这是实施这种SSO的好方法吗?我错过了这里的任何安全问题,或者有更好的方法来实现我的目标?
我们正在开发一个.net应用程序,并且正在为其添加身份validation。 我们希望使用Active Directory来实现这一点,但是我们的目标是尽可能简化用于开发的testing服务器。 启动并运行Active Directory需要做些什么? 我可以在我的Win7安装本地运行它吗? 我听说过ADAM和AD LDS,但除了知道它们是轻量级实现之外,并不知道细节。 所以; 什么是testing工作Active Directory最简单的方法?
如何检查我的IIS站点是否使用NTLM或Kerberos? 我怎样才能将身份validation从Kerberos更改为NTLM? 我正在使用IIS 7.5,我找不到任何回答这个问题,可以帮我一下吗?