当我使用samba对现有的Windows域控制器进行用户身份validation时,是否必须使用winbind并将winbind添加到/etc/nsswitch.conf ? 有没有办法做到这一点,而不必使用/etc/nsswitch.conf ? 我只是想对Windows服务器进行身份validation,没有别的:-) 我想要避免的主要问题是让所有域用户/组显示在getent passwd或getent group 。
Im使用AWS api网关和Lambda函数实现自定义身份validation。 在Chalice文档中,它声明我需要一个authorizer_id来链接lambda函数和所需的authentication。 @app.route('/authenticated', methods=['GET'], authorization_type='CUSTOM', authorizer_id='ab12cd') def authenticated(): return {"secure": True} 问题:我在哪里可以find我的自定义授权者的authorizer_id?
我知道这个问题很笨拙,而且我也意识到在这个问题上会有多重因素,不会导致一个明确的答案。 我似乎回忆起过去曾经启动的服务,并坦率地说“只是继续运行”,直到服务(或服务器)重新启动 – 才发现我们错过了更新密码。 我正在研究最近发生的Windows服务失败的事件。 根据其他有问题的信息,其中一个假设是对服务帐户进行密码更改,并且当密码更改发生时,导致服务失败。 清除这个问题的一个问题是,我被引入这个日子后,当许多主日志(Windows事件日志,域控制器日志)不再是直接可用的,我们依靠下游日志(SIEM)并不总是可靠的。 我试图指出的一件事情是,即使假设发生了密码更改(这对于上面的日志问题是未经证实的) – 挂起域服务帐户的密码不会立即“中断”服务,有一定的寿命,而且这个生命可以比预期的要长得多。 (Kerberos票证的生命期等)但老实说,虽然我通常知道这一点,但我并没有具体清楚这些因素。 我也相信授权可能会持续相当长的一段时间,即使密码更改也是如此。 有人可以帮我澄清一下吗? 在我的Windows环境中,我可以看到什么东西,服务将“存活”密码更改多久。
我有一个启用PIV的网站,基本上需要所有PIV卡证书来匹配服务器存储,在login时,通过在IIS上要求客户端证书。 一旦从读卡器中取出卡,会话就会丢失,并且用户得到可怕的403错误。 有没有人遇到过这个? 是否有可能以某种方式caching或保持客户端证书握手存活后,PIV卡被删除?
我有Nginx 1.10与ssl_verify_client = on 。 一切工作正常,除了服务器完成TLS握手,并继续parsing头,即使证书还没有被客户端发送。 可以通过发送没有客户端证书和非常大的http头的http请求来validation,nginx返回“ 400请求头或Cookie太大 ”。 据我们的安全审计员,服务器应该失败的TLS握手,因为parsing头“增加了可能的攻击面。 我的nginxconfiguration: server { listen 443 ssl default_server; listen [::]:443 ssl default_server; server_name myserver.com; ssl_certificate /etc/letsencrypt/live/myserver.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/myserver.com/privkey.pem; ssl_verify_client on; ssl_client_certificate /etc/nginx/ssl/ca.pem; location / { proxy_pass http://127.0.0.1:8001; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; } }
我无法使用Windows或smbclient访问远程驱动器; 根据samba日志文件,我的身份validation显示成功,但getpwuid失败。 服务器(远程)正在运行CentOS 7.2和Samba 4.2.3。 客户端是CentOS 7.2和smbclient 4.2.3。 日志文件显示: [2017/05/06 22:57:48.729284, 2] ../source3/auth/auth.c:305(auth_check_ntlm_password) check_ntlm_password: authentication for user [developer_prod] -> [developer_prod] -> [developer_prod] succeeded [2017/05/06 22:57:48.731091, 1] ../source3/auth/token_util.c:430(add_local_groups) SID S-1-5-21-4007675785-2624567327-467545301-1000 -> getpwuid(16777216) failed [2017/05/06 22:57:48.731164, 1] ../source3/smbd/sesssetup.c:280(reply_sesssetup_and_X_spnego) Failed to generate session_info (user and group token) for session setup: NT_STATUS_UNSUCCESSFUL 奇怪的是,SID对应一个本地用户: # wbinfo -s S-1-5-21-4007675785-2624567327-467545301-1000 NY4010\developer_prod 1 […]
我想在一个VirtualHost authnz_external模块中为系统用户使用,而mpm-itk模块在另一个用户下运行它。 我的VirtualHost的configuration文件看起来类似这样: <VirtualHost *:8081> AddExternalAuth pwauth /usr/bin/pwauth SetExternalAuthMethod pwauth pipe <IfModule mpm_itk_module> AssignUserId user1 apache </IfModule> <Directory /var/www/user1_folder/> AuthType Basic AuthUserFile /var/www/user1_folder/apache.users AuthName "private area" AuthBasicProvider external AuthExternal pwauth require valid-user </Directory> </VirtualHost> 但是,如果我使用这种configuration,我不能login到networking。 在Apache的error_log文件中是这样的: [Wed Jun 14 15:43:04.449652 2017] [unixd:alert] [pid 17150] (1)Operation not permitted: AH02156: setgid: unable to set group id to […]
首先,请注意,我有Linux的经验,但由于某种原因,OpenLDAP代理身份validation让我非常困惑,所以我希望有人可以简单地回答我的问题,以帮助我更好地理解它。 我按照这个教程设置了一个Active Directoryauthentication代理( https://wiki.samba.org/index.php/OpenLDAP_as_proxy_to_AD )。 一些说明: OpenLDAP服务器的IP是10.41.22.103 Windows AD服务器IP是10.41.22.100 OpenLDAPpipe理员帐户是cn = admin,dc = example,dc = com 在教程之后,这里是我修改的文件。 我的slapd.conf文件(/etc/ldap/slapd.conf): ### Schema includes #### include /etc/ldap/schema/core.schema include /etc/ldap/schema/cosine.schema include /etc/ldap/schema/inetorgperson.schema include /etc/ldap/schema/misc.schema include /etc/ldap/schema/nis.schema ## Module paths ############################################################## modulepath /usr/lib/ldap moduleload back_ldap moduleload rwm # Main settings ############################################################### pidfile /var/run/slapd/slapd.pid argsfile /var/run/slapd/slapd.args ### Database definition (Proxy to […]
我目前正在重新开展我公司的IT基础设施。 现在到处都是,所以我试图从头开始重新组织一切。 我认为我要处理的第一件事是中央用户pipe理和authentication,以及良好的密码安全和pipe理。 我们有不到10名员工,大多数使用的是苹果电脑,但只有less数Windows PC。 我们有一个SAN用作中央文件共享。 目前,每个用户只有一个密码,他们login到他们的计算,用户名和密码login到文件共享。 此外,我们的密码安全和pipe理可以做升级,因为我们目前不使用密码pipe理器或任何其他类似的系统。 经过大量的研究,我计划推出以下内容: 在我们的现场服务器上设置OpenLDAP来处理用户pipe理和身份validation。 设置员工计算机以使用LDAP进行身份validation。 它看起来像是内置于OSX,我应该使用Windows的http://pgina.org/ 。 为所有员工设置LastPass,只允许通过SSOlogin并将身份validation传回给我们的现场服务器。 这样,我们就可以获得一个网站的密码pipe理器,这样我们就可以执行良好的密码pipe理和安全性,强大的身份validation措施来访问密码pipe理器,以及pipe理用户帐户和从中央位置访问所有login名和密码。 首先,这听起来像一个好的计划? 还有其他的select可以考虑吗? 其次,我有点卡在连接第三方Web应用程序到OpenLDAP。 我知道大多数提供商(包括LastPass)使用SAML进行SSO /联合访问,但是我不知道如何设置。 OpenLDAP是否支持SAML身份validation? 如果我想启用MFA(可能包括移动身份validation器和/或Yubikeys),该怎么办? 我猜测我可能需要OpenLDAP之前的另一个软件来处理SAML / MFA / Yubikey /等,然后只是从OpenLDAP查找用户详细信息,但我不知道我在寻找什么并没有发现任何东西。 编辑:当然,我的search发现后马上发现了一些东西! 我应该使用CAS( https://apereo.github.io/cas )进行基于Web的SAML身份validation吗? 它看起来像这将允许我处理基于Web的login,并通过LDAP目录进行身份validation。
我想在我的代理服务器上实现基于IP的身份validation。 考虑一下我的服务user1 。 以下是我的ACL目前的样子: acl user11 proxy_auth [-i] user11 acl user12 proxy_auth [-i] user12 acl user13 proxy_auth [-i] user13 与相应的传出IP地址分配: tcp_outgoing_address 175.25.11.25 user11 tcp_outgoing_address 175.25.11.26 user12 tcp_outgoing_address 175.25.11.27 user13 通过这种方式, user1可以在authentication时通过在用户名后面附加一个数字来使用多个出站IP地址。 我希望user1有权访问许多传出IP地址,但使用基于IP的身份validation。 据我所知,我会做这样的基于IP的authentication: acl user11 10.0.0.1 acl user12 10.0.0.1 acl user13 10.0.0.1 但是,这是行不通的,因为那么用户没有办法使用/指定不同的外出IP地址。 这意味着我必须为每个出站IP地址使用不同的端口。 假设我的服务器的主IP是175.25.11.1 (用户将连接到什么),我希望他们连接的每个端口有不同的出站IP地址。 我们还假设用户的IP是10.0.0.1 ,我们要使用基于IP的身份validation。 我理解的方式,这是我将如何做到这一点: http_port 175.25.11.1:3128 name=3128 http_port 175.25.11.1:3129 name=3129 […]