假设我有一个名为“远程系统”的远程系统,并在该系统上有一个用户帐户“foouser”。 我知道在我的本地系统上,我可以生成一个SSH密钥对作为本地用户“foouser”,把公钥放在“远程系统”的“/home/foouser/.ssh/authorized_keys”文件中。 当我从本地系统SSH“foouser”到“远程系统”,SSH使用密钥对来validation我。 但是,如果我的本地用户名与远程系统上的用户名不一样呢? 也就是说,如果我想SSH作为本地用户“baruser”到“远程系统”? 显然,我需要为“baruser”生成密钥对,并将公钥添加到“/home/foouser/.ssh/authorized_keys”。 然后,我应该可以在本地以“baruser”身份login时使用“ssh foouser @ remotesystem”,SSH将使用密钥对进行身份validation,对吧? 我问,因为我正在尝试在这种情况下获得密钥身份validation,没有成功。 我不确定是由于用户名不匹配还是远程系统上的SSH服务器的configuration问题。
首先,我不是现场的ADpipe理员,但是我的经理要求我尝试让我的个人Redmine安装与ActiveDirectory集成,以便对其进行大规模部署testing。 我们的AD服务器在主机:端口ims.example.com:389 ,我有一个用户IMS/me 。 现在,我也有一个使用本地身份validation的Redmine用户。 我在RedMine中使用以下参数创build了ActiveDirectory LDAP身份validation方法: Host: ims.example.com Port: 389 Base DN: cn=Users,dc=ims,dc=example,dc=com On-The-Fly User Creation: YES Login: sAMAccountName Firstname: givenName Lastname: sN Email: mail testing这个连接工作得很好。 但是,我没有成功通过身份validation。 我已经创build了一个备份pipe理员用户,这样我可以返回到me帐户,如果我打破了事情,然后我试着改变me使用ActiveDirectory凭据。 但是,一旦我这样做,没有任何工作login。我已经尝试所有这些login名称选项: me IMS/me IMS\me 我用我已知的域密码,但没有喜悦。 那么,我有什么设置错误,或者我需要获得哪些信息才能完成这项工作?
我们正在使用Apache和mod_svn服务颠覆回购。 Apache挂接到LDAP服务器,所有用户都可以使用他们的域密码。 为了生成机器能够结帐,我想要一个额外的用户,但我不能通过LDAP添加。 我可以创build一个用户/ pwd必须匹配LDAP服务器或htpasswd文件的设置吗?
我有一个小而不断增长的Linux服务器networking。 理想情况下,我想要一个中心位置来控制用户访问,更改密码等…我已经读了很多有关LDAP服务器,但我仍然对select最佳的身份validation方法感到困惑。 TLS / SSL足够好吗? Kerberos有什么好处? 什么是GSSAPI? 等…我还没有find一个明确的指导,解释这些不同的方法的优点/缺点。 感谢您的帮助。
相关: 如何在Windows 7 / 2k8上启用无线域名authentication? 为了testing通过无线连接function的域名login,我试图在上面的问题中设置,我需要一个没有在本地系统上caching域名凭证的账户。 不幸的是,在我的办公室里只有很多人可以帮我testing一下,即使这样,我也不想为此烦恼。 所以,我希望能够在每次login后清除自己的caching凭据。 如何清除本地caching,同时仍然保留将来caching凭据的function?
我在我的个人VPS上设置了LDAP身份validation,而Ubuntu有两个软件包用于同样的目的: libpam-ldap和libpam-ldapd 。 我应该用哪个?
我使用双因素身份validationpipe理服务器。 input正常的服务器密码后,我必须使用Google Authenticator iPhone应用程序才能取得6位validation码。 设置在这里描述: http : //www.mnxsolutions.com/security/two-factor-ssh-with-google-authenticator.html 我想要一个方法来使用只是我的笔记本电脑,而不是从我的iPhonevalidation码。 必须有一种方法来生成一个命令行应用程序,生成这些validation码,并为您提供当前30秒窗口的代码。 有没有一个程序可以做到这一点?
背景 我试图收集更好地了解OS Xlogin过程,以决定实现VPN单点login的最佳方式。 如果我错了,请纠正我,但我相信 – launchd(8)调用gettyent(3) ,从而决定从ttys(5)为/dev/console执行loginwindow.app 。 loginwindow.app尝试获取system.login.console授权权限,授权数据库为其指定以下机制(与我对其function的理解一起列出); 那些在authd进程中运行的特权(以root身份),而那些在SecurityAgent进程中没有特权的进程(如_securityagent): builtin:policy-banner (显示login窗口横幅 ,如果设置)。 loginwindow:login (提示input凭证)。 builtin:login-begin builtin:reset-password,privileged ( 使用Apple ID执行密码重置 )。 builtin:forward-login,privileged (在启动时从EFI转发凭据)。 builtin:auto-login,privileged (启动时应用自动login凭据)。 builtin:authenticate,privileged (为authorization服务调用pam_authenticate(3) ;设置“uid”上下文值)。 PKINITMechanism:auth,privileged (通过获取TGT来初始化Kerberos)。 builtin:login-success loginwindow:success (确保login会话不受未经授权的远程访问;将loginlogging在系统的utmp和utmpx数据库中;设置控制台terminal的所有者和权限)。 HomeDirMechanism:login,privileged (挂载用户的主目录)。 HomeDirMechanism:status (显示主目录挂载的进度)。 MCXMechanism:login (应用configuration文件)。 loginwindow:done (重置用户的首选项以包含全局系统默认值;使用用户的首选项configuration鼠标,键盘和系统声音;设置用户的组权限;从目录服务检索用户logging并将该信息应用于会话;用户的计算环境 – 包括首选项,环境variables,设备和文件权限,钥匙串访问等等;启动Dock,Finder和SystemUIServer;启动用户的login项目。 问题 我非常想确认我对每个机制function的理解: 他们的源代码是否公开? 我知道非builtin机制是通过可以在/System/Library/CoreServices/SecurityAgentPlugins下find的插件来定义的,但是我找不到它们的来源。 我也不能findbuiltin机制的定义。 如果来源不可用,是否在任何地方logging了机制? 意见 loginwindow:login如果在 builtin:forward-login 之前调用loginwindow:login , loginwindow:login提示input凭证builtin:forward-login和builtin:auto-login […]
所以,我有一个相当奇怪的问题。 我有一个服务器,当我尝试SSH进入,立即closures连接,如果我在第一次尝试input正确的密码。 但是,如果我在第一次尝试时有目的地input了错误的密码,然后在第二次或第三次提示时input了正确的密码,它会成功将我login到计算机中。 同样,当我尝试使用公钥authentication时,我立即closures了连接。 但是,如果我为密钥文件input了错误的密码,并且一旦它恢复为密码validation后又input了错误的密码,则只要在第二个或第三个提示中提供了正确的密码,我就可以成功login。 该机器正在运行红帽企业Linux服务器版本6.2(圣地亚哥),并使用LDAP和PAM进行身份validation。 任何想法在哪里开始debugging这一个? 让我知道我需要提供什么configuration文件,我会很乐意这样做。 这里有一些debugging信息。 下面的代码块代表这三种情况:1)第一次尝试更正私钥密码,2)跳过私钥,第一次尝试修改正常密码,3)跳过私钥,故意input错误的密码,然后进入好的一个…这是唯一的情况,实际上让我连接。 OpenSSH_5.9p1 Debian-5ubuntu1, OpenSSL 1.0.1 14 Mar 2012 debug1: Reading configuration data /etc/ssh/ssh_config debug1: /etc/ssh/ssh_config line 19: Applying options for * debug2: ssh_connect: needpriv 0 debug1: Connecting to [removed for privacy]. debug1: Connection established. debug3: Incorrect RSA1 identifier debug3: Could not load "/home/trevor/.ssh/id_rsa" as a RSA1 […]
我正在为我的团队build立一个小局域网。 对于所有意图和目的而言,它不会连接到任何外部networking。 我希望它能够集中控制用户帐户(至less,我想我喜欢这个;我也在考虑使用puppet,所以理论上我可以只推送/ etc / passwd更改,或者其他)。 机器的数量是固定的,但不是很小。 大多数情况下,他们“附加”到一个用户,但有时候人们远程工作在别人的盒子上; 还有一些服务器。 我已经读过这个问题 ,但是我的情况要简单得多(甚至比这个问题还要简单),而且我想快速地做一些事情,没有太多麻烦,但不是一个完全不安全的黑客。 NIS与我的情况有关吗? 如果没有,那么设置LDAP(或LDAP + Kerberos)来实现相同的最简单的方法是什么? 笔记: 我没有设置NIS或LDAP的经验。 我们使用Debian风格的Linux发行版,主要是Kubuntu 12.04(不是我的select,但是就是这样)。