我怎样才能限制(RDP)访问Windows服务器不仅通过用户名/密码,而且还与客户端证书? 想象一下,创build一个证书并将其复制到我想从中访问服务器的所有计算机。 这不会像基于IP的规则那样受到限制,反而会增加一些灵活性,因为不是每个电脑/笔记本电脑都处于某个域或修复IP范围。
(被编辑以符合对答案的理解 – 作者 – 新的,新鲜的,干净的问题张贴在这里: 活动目录+谷歌身份validation – 在Windows Server本地支持? ) 目前的研究已经完成 有关于如何使用谷歌身份validation与Active Directory联合服务(AD FS)的TechNet文章: https : //blogs.technet.microsoft.com/cloudpfe/2014/10/26/using-time-based-one-time -passwords换多因子authentication在-AD-FS-3-0 / 奇怪的是,它似乎是一个开发项目,需要一些代码和自己的SQL DB。 我们在这里不是专门针对AD FS的。 我们正在寻找2FA的解决scheme,并支持内置于AD的Google Authenticator RFC。
我使用基于密钥的身份validation访问一些我的服务器的Windows上使用腻子。 它工作完全正常〜3700位密钥,但〜17000位密钥认为在客户端20秒,然后只是说“访问被拒绝”,并要求input密码。 在基于密钥的身份validation中,OpenSSH中是否有任何密钥长度限制或超时? 我明白,使用这样的大键没有太多的实际意义,尤其是当看着这20秒的计算,只是试图解决我所面临的任何问题: – )…
我已经build立了一个Rails包的Ubuntu实例,部署我的应用程序,它工作正常。 但是当我尝试做SSH时,它不允许我进行远程login,并抛出如下错误: Host key verification failed 。 这个问题似乎是持久的。 我已经附加弹性IP到这个实例,我无法看到公共DNS。 我的实例正在新加坡地区运行。 sshdebugging输出: OpenSSH_5.8p1 Debian-7ubuntu1, OpenSSL 1.0.0e 6 Sep 2011 debug1: Reading configuration data /etc/ssh/ssh_config debug1: Applying options for * debug1: Connecting to 46.137.253.231 [46.137.253.231] port 22. debug1: Connection established. debug1: identity file st.pem type -1 debug1: identity file st.pem-cert type -1 debug1: Remote protocol version 2.0, […]
远程用户使用SSH通过互联网连接到我们主要办公室的多个服务。 SSH密码与其LAN A / D帐户同步。 如果用户使用类似CD或纸张的方式将SSH密钥的副本带回家,比使用户input密码更安全? 或者我应该同时需要? 我的问题可能会重新制定如下:SSH的密码authentication协议是否存在漏洞? 正是这个信息让我怀疑: The authenticity of host 'xxx.xxx.xxx.xxx (xxx.xxx.xxx.xxx)' can't be established. RSA key fingerprint is xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:. Are you sure you want to continue connecting (yes/no)?
对Apache2 / Linux上运行的PHP Web应用程序启用集成Windows身份validation的最佳方法是什么? networking中有一个Windows域控制器用于authentication。 我发现这些apache模块: mod_auth_kerb所 mod_auth_ntlm_winbind 但是这些模块似乎已经过时了(最近更新了2007/2008)。 有没有更好的,更新的方法来做到这一点?
我正在search有关如何将U2F(使用YubiKey或类似设备)集成到Active Directory Windows域(将成为Windows 2016服务器)的信息。 特别是我有兴趣确保Windowslogin到工作站/服务器需要一个U2F令牌作为第二个因素(密码只应该不起作用)。 简而言之,目标是通过密码+ U2F令牌或者使用Kerberos令牌来完成每个authentication。 任何提示可以find关于这个特定场景或经验教训的进一步信息。
我有一个由2个森林组成的Active Directory设置: 1个具有1个森林根域的多域森林,以及2个直接子域 1个单域森林用于DMZ发布目的 我已经在DMZ域中创build了3个传出信任,对森林根域创build了1个传递森林信任,还创build了2个外部非传递信任(又名快捷信任)。 所有四个域中的所有DC都是全局编录服务器。 我试图在下面看到它: 现在,这是问题。 当我将dmzRoot.tld的资源的访问权限授予childA域中的安全组时,它适用于属于安全组的成员childA中的用户,但不适用于childB域中的用户,即使他们是安全组在childA 。 比方说,我想让本地pipe理员访问dmzRoot.tld的成员服务器。 我将childA.ForestRoot.tld\dmzAdministrators添加到成员服务器上的本地内置pipe理员组。 childA.ForestRoot.tld\dmzAdministrators有以下成员: childA \ dmzAdmin childB \ SUPERUSER 现在,如果我以childA\dmzAdmin身份validation,则可以以本地pipe理员身份login到成员服务器,如果查看whoami /groups的输出,则会清楚地列出childA.ForestRoot.tld\dmzAdministrators组。 但是,如果我通过了childB\superUser身份validation, childB\superUser收到该帐户未被授权进行远程login的消息。 如果我检查childB\superUser帐户的whoami /groups ,则不会列出childA.ForestRoot.tld\dmzAdministrators组。 几乎看起来像childA组SID在validationchildB用户时从未包含在PAC中,即使所有的DC都是GC的。 我在dmzRoot.tld的机器上禁用了PACvalidation,我testing了它,但这没有帮助。 有关如何有效地解决这个问题的任何build议? 我如何遵循身份validation的path来确定失败的位置?
我正在尝试将SonicWALLconfiguration为允许VPN用户进行LDAP身份validation。 我之前用另一个设备完成了这个,我记得它非常简单。 但是这一次我无法为了我的生活而工作。 当启用“LDAP +本地用户”模式时,inputLDAP服务器信息和AD组名称,我经常得到“LDAP身份validation失败”或“凭据在LDAP服务器上无效”错误。 我已经尝试了所有对我有意义的设置的不同排列,结果相同。 到目前为止,SonicWALL支持绝对没有帮助。 我已经按照手册的说明去了T,没有解决办法。 这里有没有人有这样的情况? 我觉得我错过了某个地方的设置…
我偶尔发现自己处于一个不受支持的系统有一个账户被locking的情况。 问题在于,有多种方式可以locking帐户,每个帐户都有自己的解锁方法。 这并不是说账户被意外locking的不正确,而是find正确的locking来重置是困难的。 我最近对这个问题的攻击是在SUSE系统上,结果certificate密码已经过期(最初并不知道,因为login尝试不是通过提供这种反馈的系统),然后也被locking由于login尝试失败。 是否有一个列表中的所有不同的可能的帐户locking以及如何禁用它们? 我打算实际的破碎,如主目录访问问题,腐败PAM库等,超出了这个问题的范围。