我有几个使用Active Directory进行身份validation的Web应用程序。 我想能够做的是提供一个简单的网页,允许用户更新他们的AD密码。 当大多数用户有连接到这个AD服务器的windows机器(并且可以通过ctrl-alt-del来更改密码)时,这不是问题,但是我们正在离开这个,而AD服务器主要是为web应用。 有没有一个简单的解决scheme,或者我在看大的LDAP经理?
假设你看到这个消息: FATAL: Ident authentication failed for user "…" 这个错误信息的原因是什么?
使用这样的随机字符构造的URL是否被认为是“安全的”? http://example.com/EU3uc654/Photos 我想把一些文件/图片画廊放在一个只能被一小群用户访问的networking服务器上。 我主要关心的是文件不应该被search引擎或者在我的网站上徘徊的好奇的高级用户所接受。 我build立了一个.htaccess文件,只是为了注意,点击http://user:pass@url/ links对一些浏览器/电子邮件客户端不起作用,提示对话框和警告消息,使我不知道计算机用户。
症状 在工作中,我们安装了OSX 10.7.3,每隔一段时间我会看到以下行为: 如果屏幕被locking,则不会接受同一用户/通行证的多次尝试。 如果屏幕解锁,然后打开一个新的bash术语可能会产生提示,如: `I have no name$` 要么 lkyrala$ ssh lkyrala@ah-lkyrala2u You don't exist, go away! 即使我们的Mac正常工作,这里的每个人都必须login两次。 开机后第一次总是失败,但是第二次(使用相同的密码,不改变任何东西,只需再按一次)就成功了。 奇怪的? 解决方法 有一些解决方法可以解决眼前的问题,但不要阻止它再次发生: 等待(也许一两个小时),问题有时会自行消失。 杀死“opendirectoryd”,让它重新启动。 (从苹果支持社区:用户ID(不是数据)突然删除? ) 按住电源button重置电脑 更新10/4/2012 我们的networkingpipe理员怀疑locking是牵连的。 locking显然使用UDP,当networking拥塞时,数据包丢失,导致挂起行为。 他们正在寻找步骤来减less拥堵。 如果有问题的文件访问碰巧是活动目录authentication句柄,那么所有这些不同的部分开始合在一起。 讨论 现在,上面的证据指出,我有些东西和opendirectory和login凭证。 其他人报告有这些login问题,但很难确定实际问题(Mac或networking环境?)。 我应该补充一点,大部分networking都是Windows机器,但是我们也有不lessMac和Linux机器,但是我不确定networkingauthentication是如何映射到各个域到其他的细节的。我知道的是,我们的networking证书在Windows域以及mac和linuxlogin中工作 – 所以有些东西是连接不同的系统,或者使用相同的全局authentication系统。 其他细节 不幸的是,我没有设置这个Mac,我们的IT部门,所以我不完全确定身份validation是如何工作的。 我知道这是一个networkinglogin(在我使用Mac的经验中是不寻常的,他们通常有本地帐户连接到外部资源),但在这里,我们的主文件夹在networking上,而不是本地。 在我的Linux安装,连接到networking涉及到YP / NIS,(这使我们能够从任何机器自动安装我们的networking文件系统的一部分),opendirectoryd.log似乎证实这是涉及… /var/log/opendirectoryd.log*显示: 2012-04-04 01:29:12.370 EDT – ddddd.dddddd.dddddd.dddddd – Client: automount, UID: […]
我正在configuration一个系统,其中所有IT资源都可以通过一个用户口令对访问,无论是访问服务器上的shell,login到Samba域,WiFi,OpenVPN,Mantis等(访问特定的服务pipe理按组成员身份或用户对象字段)。 由于我们在我们的networking中有个人数据,所以我们需要按照欧盟数据保护指令(或其波兰版本)执行密码老化。 问题是LDAP中的Samba和POSIX帐户使用不同的密码哈希和老化信息。 虽然同步密码本身很简单( smb.conf的ldap password sync = Yes ),但是将密码老化添加到混合中会破坏以下内容:Samba不更新shadowLastChange。 与obey pam restrictions = Yes一起obey pam restrictions = Yes创build一个Windows用户不能更改老化密码的系统,但是如果我不使用它,主目录将不会自动创build。 另一种方法是使用LDAP扩展操作来更改密码,但是smbk5pwd模块也没有设置它。 更糟糕的是,OpenLDAP的维护者不会更新/接受补丁,因为这个字段被认为是不赞成的。 所以,我的问题是,最好的解决scheme是什么? 他们有什么缺点? 使用LDAP ppolicy和内部LDAP密码老化? 它与NSS,PAM模块,samba,其他系统有什么关系? NSS和PAM模块是否需要特殊configuration才能使用ppolicy而不是shadow? GOsa²与ppolicy 一起工作吗? 是否有其他的pipe理工具,可以使用ppolicy LDAP? 共同修改更新LDAP中字段的更改密码脚本。 (留下用户自己更新密码而不更改密码的可能性)
在Windows平台上,是否有任何命令行实用程序,我可以通过username , password domain name来validation凭据(或可能提供一个错误,该帐户被禁用,不存在或过期)?
我有一个相当小的安装服务器,它不允许密码authentication,只使用密钥。 而且它绝对没有安装Java。 通常我不会注意脚本小子猜测我的密码的每天数以千计的尝试 – 我想他们浪费在我的系统上的时间是他们不浪费在允许密码authentication的系统上。 但是我在/var/log/auth.log中看到这个消息: Dec 7 13:43:43 hostname sshd[7412]: Received disconnect from 189.203.240.57: 3: com.jcraft.jsch.JSchException: Auth fail [preauth] 提到的是来自攻击者的Javaexception,还是来自我身边的东西?
曾几何时,南美有一个美丽的温暖的虚拟丛林,还有一个鱿鱼服务器住在那里。 这里是networking的感性形象: <the Internet> | | A | B Users <———> [squid-Server] <—> [LDAP-Server] 当Users请求访问Internet时, squid询问他们的名字和护照,通过LDAP他们进行身份validation,如果ldap批准他们,则授予他们。 大家都很开心,直到有些嗅探者偷走了用户和鱿鱼之间的通行证[pathA]。 这个灾难发生是因为squid使用了Basic-Authentication方法。 丛林里的人聚集在一起解决这个问题。 一些兔子提供使用NTLM的方法。 蛇喜欢Digest-Authentication而Kerberos推荐的树木。 毕竟,丛林的人和所有人提供的解决scheme很困惑! 狮子决定结束这个情况。 他高呼解决scheme的规则: 解决scheme是安全的! 该解决scheme适用于大多数浏览器和软件(例如下载软件) 该解决scheme是简单的,不需要其他庞大的子系统(如桑巴服务器) 该方法不是取决于特殊的领域。 (例如Active Directory) 然后,一只猴子提供了一个非常合理的,全面的,聪明的解决scheme,使他成为丛林的新国王! 你能猜到什么是解决scheme? 提示: squid和LDAP之间的path受到狮子的保护,因此解决scheme无法保护它。 注意:如果故事是无聊和杂乱的,但是大部分是真的! =) /~\/~\/~\ /\~/~\/~\/~\/~\ ((/~\/~\/~\/~\/~\)) (/~\/~\/~\/~\/~\/~\/~\) (//// ~ ~ \\\\) (\\\\( (0) (0) )////) (\\\\( __\-/__ )////) (\\\( /-\ )///) (\\\( […]
我有一个内联网网站,而不是互联网,每当我去 http://mysite 该网站通过IE接受我在计算机/客户端login的用户的综合authentication。 如果我去FQDN http://mysite.something.com 我得到提示input我的用户名和密码。 他们是相同的,网站和网页。 我能做些什么来使他们都接受我的凭据从IE /login用户?
我使用Ubuntu 14.04.1(OpenSSH 6.6和libpam-google-authenticator 20130529-2)。 我正在尝试设置公钥authentication的SSHlogin(无密码),并提示用户input来自Google Authenticator的代码。 遵循/适应这些说明已经得到了我的密码提示以及Google身份validation提示: https://scottlinux.com/2013/06/02/use-google-authenticator-for-two-factor-ssh-authentication-in-linux/ http://www.howtogeek.com/121650/how-to-secure-ssh-with-google-authenticators-two-factor-authentication/ https://wiki.archlinux.org/index.php/Google_Authenticator和https://wiki.archlinux.org/index.php/SSH_keys#Two-factor_authentication_and_public_keys https://www.digitalocean.com/community/tutorials/how-to-protect-ssh-with-two-factor-authentication 我已经安装了软件包,编辑了我的/etc/ssh/sshd_config和/etc/pam.d/ssh文件 在/etc/ssh/sshd_config : ChallengeResponseAuthentication yes AuthenticationMethods publickey,keyboard-interactive UsePAM yes 并在/etc/pam.d/ssh的底部: auth required pam_google_authenticator.so nullok # (I want to give everyone a chance to set up their 2FA before removing "nullok") 我知道PAM是顺序依赖的,但也是sshd_config ? 我究竟做错了什么? 任何帮助,将不胜感激。