我试图通过直接在users文件中包含适当的信息来限制每个用户在RADIUS中的一小组Mac-ID。 即使每个用户只限于一个mac也是可以接受的。 服务器从Ubuntu 13.10版本库运行FreeRADIUS版本2.1.12。 使用的身份validation是PEAP和MSCHAPv2。 当物理客户端(Nexus 5)尝试通过接入点(Netgear WG-102)连接时,FreeRADIUS似乎在访问请求中标识Mac-id,但不在检查中使用它。 在我当前的testing设置中,networking上的唯一设备是radius服务器,接入点和testing客户端。 users文件中的条目设置如下: testuser NT-Password := "<hash>", Calling-Station-Id == "a1b2c3d4e5f6" policy.conf文件有一个rewrite.calling_station_id函数,用于将Mac ID标准化为上述格式,并在preprocess后在available-sites/default调用。 正确格式化的mac-id显示在运行freeradius -X的日志中。 但是,这些请求被拒绝。 即使支票被Calling-Station-Id =* "a1b2c3d4e5f6"取代,只要该属性存在就应该通过,这些请求被拒绝。 但是,如果它被Calling-Station-Id !* "a1b2c3d4e5f6"取代,只有在请求中不存在该属性的情况下才会通过该请求,这些请求将被接受。 相反,如果我使用radclient ,则会观察到预期的行为。 configuration文件和相关日志链接如下。 整个/etc/freeradius文件夹已链接,并且还包含以下四种情况的日志。 请注意,数字2是唯一出乎意料的行为: nexus-without-mac-success : users文件没有mac检查,authentication成功 nexus-with-mac-fail : users文件具有正确的MAC地址,authentication失败 radclient-with-mac-expected-behaviour-fail-with-wrong :radclient以错误的mac地址运行并被拒绝: echo "User-Name=testuser,User-Password=test,Calling-Station-Id=8c:3a:e3:19:70:0e" | radclient localhost auth testing123 echo "User-Name=testuser,User-Password=test,Calling-Station-Id=8c:3a:e3:19:70:0e" | radclient localhost auth testing123 […]
我的客户端是Ubuntu,而服务器是CentOS。 我有共享密钥身份validation设置为从客户端login到服务器。 当我运行如下的服务器: sudo `which sshd` -d 一切按预期工作; 我没有得到用户login提示。 我认为这意味着一切都在正确的位置,具有正确的权限等。当我以“正常”模式重新启动服务器: sudo service sshd restart 我的客户提示我input用户密码。 这里是成功的详细输出(sshd -d): anregen@ba-vm-atf-01:~/workspace$ ssh -v [email protected] OpenSSH_6.0p1 (CentrifyDC build 5.1.1-814) (CentrifyDC build 5.1.1-814), OpenSSL 0.9.8w 23 Apr 2012 debug1: Reading configuration data /etc/centrifydc/ssh/ssh_config debug1: /etc/centrifydc/ssh/ssh_config line 52: Applying options for * debug1: Connecting to test.lab.network.com [172.20.80.45] port 22. debug1: Connection […]
我们有一个网站,只能通过authentication的活动目录用户访问。 进入网站时应该发生的第一件事是提示inputWindows凭据。 为了实现这一点,我们只启用了Windows身份validation并启用了模拟。 它在configuration中看起来像这样: <system.web> <identity impersonate="true"/> <authentication mode="Windows"></authentication> </system.web> 在IIS中显示如下: 但是 ,无论何时导航到页面,我都不会提示凭据,而是使用服务器名称作为用户。 我还能改变什么? 我们正在使用Windows Server 2012 R2 Datacenter 我们正在使用Internet Information Services v 8.5 这是一个使用.NET 4.5 Integrated的ASP.NET MVC应用程序 我希望只要有人碰到这个页面就能得到这个:
我们正在使用GPO将网站应用到区域分配给我们的用户,以便我们可以将一些特定的地址添加到他们的Internet Explorer的内联网和信任区域。 使用站点到区域GPO设置我已经安装.. * .domain.com 1 “domain.com”是我们的内部域名,所以我想anywebsite.domain.com被视为一个内部网站,以允许一些支持这些网站的SSO身份validation。 但是,这似乎并不奏效,在尝试访问使用SSO的网站时,在本地Intranet区域添加* .domain会提示input密码。 当我将提示input密码“mywebsite.domain.com”的内部站点的完整地址添加到本地Intranet区域时,SSO将工作,并且不会提示用户input密码。 我试图设置这个,所以我们并不总是必须添加网站到这个GPO设置,并等待它应用在客户端电脑等。而是使用* .domain.com覆盖任何子域。 为什么我们不能在站点中使用通配符来为本地Intranet分配区域,还是我的语法不正确? 回顾一下,像这样的设置不允许SSO: * .domain.com 1 这工作: mywebsite.domain.com 1 support.domain.com 1 数字“1”是Internet Explorer中的区域分配,在本例中是“本地Intranet区域”。 谢谢。
我想在不使用yast GUI的情况下在SLES 12中启用/configurationLDAP客户端。 之前12(或11 sp3,如果我记得不错)我曾经这样做: yast2 ldap configure server="myserver" base="mybase" [some other parameters] 基本上这是一个像在RHEL中configurationauthconfig的configuration authconfig –enableldap –enableldapauth –enablemkhomedir [some other parameters] 我的问题是: 有没有一种方法来configuration(或者至less只是启用)没有任何GUI交互的LDAP客户端? 我想在安装完系统之后以脚本的方式来完成。 我不想去autoyast方法。
是我在strace中运行testsaslauthd时看到的 socket(PF_LOCAL, SOCK_STREAM, 0) = 3 connect(3, {sa_family=AF_LOCAL, sun_path="/var/run/saslauthd/mux"}, 110) = 0 writev(3, [{"\0\[email protected]\0\fxxx\0\4imap\0\0", 52}], 1) = 52 read(3, "\0@", 2) = 2 read(3, "NO [ALERT] Unexpected response from remote authentication server", 64) = 64 close(3) = 0 write(1, "0: NO \"authentication failed\"\n", 300: NO "authentication failed" ) = 30 exit_group(-1) = ? +++ exited […]
我改变了sshd_config将特定组中的用户监禁到他们的主目录。 将子系统更改为sftp internal-sftp并使用了forcecommand:internal-sftp 但是,这阻止了Ubuntu上的pipe理员用户访问sftp。 如何让用户让我们打电话给他'pipe理员'无限制的访问,不影响SSH的特权? pipe理员使用密钥authentication。 我search了有关forcecommand和子系统的文档,但是找不到太多内容。 目前我有这个 #Subsystem sftp /usr/lib/openssh/sftp-server Subsystem sftp intenal-sftp Match Group somegroup PasswordAuthentication yes ChrootDirectory %h X11Forwarding no AllowTcpForwarding no ForceCommand internal-sftp
我正在考虑在我的SSH账户(OpenSSH,Ubuntu)上设置双因素身份validation。 我正在研究Authy-SSH,但我想知道可能的缺点是什么? 另外,当服务器发生时间不同步或丢失手机时,我可以将自己locking吗?
Apache Httpd被用作两个端点服务器之间的负载平衡器。 每个服务器都有自己的HTTPauthentication。 目标是将端点身份validation传递给用户,用户input其凭据,并将身份validation传回到terminal服务器。 当我将Apache设置为反向代理时,身份validation将毫无问题地通过。 当我到本地主机,我得到提示凭据,我input他们,然后网站工作正常。 这是我的反向代理的configuration: <VirtualHost *:80> ProxyPass "/" "http://serv123:27001/" ProxyPassReverse "/" "http://serv123:27001/" <Location "/"> SetEnv proxy-chain-auth On </Location> </VirtualHost> 但是,当我添加负载平衡,似乎proxy-chain-authconfiguration不正确。 当我input凭据时,我立即得到提示,好像他们没有正确input。 <VirtualHost *:80> ProxyPass "/" "balancer://mycluster/" ProxyPassReverse "/" "balancer://mycluster/" <Location "/"> SetEnv proxy-chain-auth On </Location> <Proxy "balancer://mycluster"> BalancerMember "http://serv123:27001/" BalancerMember "http://serv456:27001/" </Proxy> </VirtualHost> 我也尝试过<Location "balancer://mycluster">和<Location "balancer://mycluster/"> ,但没有成功。 有谁知道正确的方式通过负载平衡的Apache Httpd身份validation?
这个问题是为了一般的应用,但我可以用一些具体的例子来说明我的问题的性质。 当某些Linuxauthentication软件包如krb5,sssd或pam_pkcs11被安装时,会进入PAMconfiguration目录下的文件(如/etc/pam.d/system-auth和/etc/pam.d/password-auth ),添加或修改一行以指向已安装的新.so文件,如pam_krb5.so , pam_sssd.so或pam_pkcs11.so以供使用。 这似乎是自动发生的某些软件包,无需用户干预,只需安装rpm软件包(使用yum或直接使用rpm工具),就像我观察到的那样,安装sssd软件包(至less在RHEL 7上)将会将对pam_sssd.so的引用添加到* -auth PAM文件中。 我想这是唯一可能的方法是通过rpms可以拥有的内部脚本,所以我查了一下如何在rpm的SPEC中列出内部脚本,安装了一个RHEL 7映像以便与源代码包对等,在Packages目录下运行: sudo rpm –scripts -qpl sssd- * | grep -i pam 然而,我没有返回任何行,表明任何东西都触及/etc/pam.d目录中的文件,即使如果我删除grep,我会看到if / then脚本逻辑做其他事情的结果,所以–scripts参数正在工作。 我也很好奇,在一个非常特殊的例子中,把这一行添加到我的/etc/pam.d/system-auth文件中: auth [成功=完成authinfo_unavail =忽略忽略=忽略默认=死亡] pam_pkcs11.so nodebug 如果它不是RPM的内部脚本,我想知道它是否可能是最初运行的新安装文件中的某个二进制文件,这是什么负责添加这些更改,但没有看到任何证据那。 此外,我实际上已经在RPM脚本中使用了authconfig行,因为我知道authconfig可以做到这一点,但没有find任何东西。 然而,它似乎必须运行authconfig或在背景等效的东西来做到这一点。 有没有人对这些改变有什么看法?